專利名稱:端口掃描方法
技術(shù)領(lǐng)域:
本發(fā)明涉及端口掃描方法,尤其涉及一種避免被入侵檢測(cè)系統(tǒng)偵測(cè)到的端口掃描方法。
背景技術(shù):
在滲透測(cè)試中,黑盒測(cè)試是設(shè)計(jì)成為模擬攻擊者的入侵行為,并在不了解客戶組織大部分信息和知識(shí)的情況下實(shí)施的。它可以用來(lái)測(cè)試內(nèi)部安全團(tuán)隊(duì)檢測(cè)和應(yīng)對(duì)一次攻擊的能力。一次黑盒測(cè)試主要包括以下幾個(gè)階段1、情報(bào)收集階段,2、威脅建模階段,3、漏洞分析階段,4、滲透攻擊階段,5、后滲透攻擊階段,6、報(bào)告階段。在上述幾個(gè)階段中,情報(bào)收集是后面幾個(gè)階段的前提,而端口掃描又是情報(bào)收集的一種重要手段。如果被測(cè)試目標(biāo)中安裝有入侵檢測(cè)系統(tǒng)或者入侵防御系統(tǒng),端口掃描的行為則有可能會(huì)被發(fā)現(xiàn),從而影響后續(xù)階段的執(zhí)行,甚至將造成后續(xù)階段不能執(zhí)行。入侵檢測(cè)(或防御)系統(tǒng)對(duì)端口掃描檢測(cè)的工作原理大致如下在一定時(shí)間T內(nèi),如果某些異常行為超過(guò)一個(gè)臨界值R,則被認(rèn)定為收到了一次端口掃描攻擊。目前逃避被檢測(cè)的方法主要是通過(guò)拉長(zhǎng)掃描時(shí)間,或者增加虛假I(mǎi)P來(lái)擾亂入侵檢測(cè)(或防御)系統(tǒng)對(duì)端口掃描的判斷。但是,這樣的做法有一定的時(shí)間局限性,且需要花費(fèi)很長(zhǎng)的時(shí)間才能完成一次任務(wù)。
發(fā)明內(nèi)容
針對(duì)上述問(wèn)題,本發(fā)明的目的是提供一種避免被入侵檢測(cè)系統(tǒng)偵測(cè)到的端口掃描方法。一種端口掃描方法 ,其包括以下步驟客戶端將待掃描目標(biāo)提交給云平臺(tái)中的控制主節(jié)點(diǎn);所述控制主節(jié)點(diǎn)按照模擬退火算法將端口掃描任務(wù)分配給所述云平臺(tái)中的多個(gè)工作節(jié)點(diǎn);所述多個(gè)工作節(jié)點(diǎn)分別對(duì)所述待掃描目標(biāo)進(jìn)行端口掃描,并采用模擬退火算法計(jì)算符合入侵檢測(cè)系統(tǒng)對(duì)端口掃描的約束參數(shù)的較優(yōu)解;所述多個(gè)工作節(jié)點(diǎn)將掃描結(jié)果反饋至所述控制主節(jié)點(diǎn),所述控制主節(jié)點(diǎn)對(duì)所述掃描結(jié)果進(jìn)行處理并反饋至所述客戶端。本發(fā)明一較佳實(shí)施方式中,所述多個(gè)工作節(jié)點(diǎn)的對(duì)所述待掃描目標(biāo)的掃描方法包括TCP連接掃描、TCP Syn掃描、TCP FIN掃描、TCP Ack掃描、TCP Null掃描、Xmas掃描、UDP 掃描、TCP Window 掃描及 TCP Maimon 掃描。 本發(fā)明一較佳實(shí)施方式中,所述客戶端提交所述待掃描目標(biāo)給所述控制主節(jié)點(diǎn)時(shí)的端口掃描任務(wù)包括所述待掃描目標(biāo)的IP范圍、端口范圍、入侵檢測(cè)/防御系統(tǒng)對(duì)端口掃描的約束參數(shù)及被檢測(cè)概率。本發(fā)明一較佳實(shí)施方式中,所述工作節(jié)點(diǎn)對(duì)所述待掃描目標(biāo)進(jìn)行端口掃描時(shí),在入侵檢測(cè)系統(tǒng)的對(duì)臨界值的刷新時(shí)間內(nèi),同一 IP進(jìn)行X掃描的次數(shù)小于入侵檢測(cè)系統(tǒng)判斷為掃描行為的臨界值。本發(fā)明另外提供一種端口掃描系統(tǒng),其包括客戶端、設(shè)置于云平臺(tái)的控制主節(jié)點(diǎn)及設(shè)置于云平臺(tái)的多個(gè)工作節(jié)點(diǎn);所述客戶端和所述控制主節(jié)點(diǎn)通信連接,所述客戶端將待掃描目標(biāo)提交給所述控制主節(jié)點(diǎn),由所述控制主節(jié)點(diǎn)按照模擬退火算法將端口掃描任務(wù)分配給所述多個(gè)工作節(jié)點(diǎn),所述多個(gè)工作節(jié)點(diǎn)分別對(duì)所述待掃描目標(biāo)進(jìn)行端口掃描,并將掃描結(jié)果反饋至所述控制主節(jié)點(diǎn),所述控制主節(jié)點(diǎn)對(duì)所述掃描結(jié)果進(jìn)行處理并反饋至所述客戶端。相較于現(xiàn)有技術(shù),本發(fā)明提供的端口掃描方法中客戶端通過(guò)云平臺(tái)中的控制主節(jié)點(diǎn)和多個(gè)動(dòng)作節(jié)點(diǎn)簡(jiǎn)介對(duì)待掃描目標(biāo)進(jìn)行端口掃描,由此可以有效地結(jié)合利用云平臺(tái)的資源,提高掃描效率。此外,所述端口掃描方法采用模擬退火算法結(jié)合已有的端口掃描技術(shù),提高了端口掃描行為的隱蔽性,可以有效地實(shí)現(xiàn)避免被入侵檢測(cè)系統(tǒng)偵測(cè)到的目的。上述說(shuō)明僅是本發(fā)明技術(shù)方案的概述,為了能夠更清楚了解本發(fā)明的技術(shù)手段,而可依照說(shuō)明書(shū)的內(nèi)容予以實(shí)施,并且為了讓本發(fā)明的上述和其它目的、特征和優(yōu)點(diǎn)能夠更明顯易懂,以下特舉實(shí)施例,并配合附圖,詳細(xì)說(shuō)明如下。
圖1為本發(fā)明第一實(shí)施例提供的端口掃描方法的流程圖。圖2為工作節(jié)點(diǎn)的工作方式示意圖。圖3為圖1所示端口掃描方法采用模擬推法算法的流程圖。圖4為本發(fā)明第二實(shí)施例提供的端 口掃描系統(tǒng)的架構(gòu)圖。
具體實(shí)施例方式下面結(jié)合附圖及具體實(shí)施例對(duì)本發(fā)明作進(jìn)一步詳細(xì)的說(shuō)明。請(qǐng)參閱圖1,本發(fā)明第一實(shí)施例提供一種端口掃描方法,其可避免被入侵檢測(cè)系統(tǒng)偵測(cè)到,所述端口掃描方法包括以下步驟步驟S101、客戶端將待掃描目標(biāo)提交給云平臺(tái)中的控制主節(jié)點(diǎn)。步驟S103、所述控制主節(jié)點(diǎn)按照模擬退火算法將端口掃描任務(wù)分配給所述云平臺(tái)中的多個(gè)工作節(jié)點(diǎn)。本實(shí)施例中,所述模擬退火算法包括以下內(nèi)容1、分別確定所述多個(gè)工作節(jié)點(diǎn)的對(duì)所述待掃描目標(biāo)的掃描方法,如TCP連接掃描、TCP Syn 掃描、TCP FIN 掃描、TCP Ack 掃描、TCP Null 掃描、Xmas 掃描、UDP 掃描、TCPWindow 掃描、TCP Maimon 掃描等??梢岳斫獾氖?,每一所述工作節(jié)點(diǎn)均可采用一種或多種掃描方法??梢岳斫獾氖?,對(duì)于不同的掃描方法,具有不同的入侵檢測(cè)系統(tǒng)(防御)對(duì)端口掃描的約束參數(shù)(Constraints) C1、C2、C3、C4......Cn+1,如Cl:在tl時(shí)間內(nèi)nl〈kl,此處nl為同一 IP進(jìn)行TCP連接掃描的次數(shù),kl為入侵檢測(cè)(防御)系統(tǒng)判斷為連接掃描行為的臨界值,tl為入侵檢測(cè)(防御)系統(tǒng)的對(duì)臨界值的刷新時(shí)間。C2:在t2時(shí)間內(nèi)n2〈k2,此處n2為同一 IP進(jìn)行TCP Syn掃描的次數(shù),k2為入侵檢測(cè)(防御)系統(tǒng)判斷為T(mén)CP Syn掃描行為的臨界值,t2為入侵檢測(cè)(防御)系統(tǒng)的對(duì)臨界值的刷新時(shí)間。C3:在t3時(shí)間內(nèi)n3〈k3,此處n3為同一 IP進(jìn)行TCP FIN掃描的次數(shù),k3為入侵檢測(cè)(防御)系統(tǒng)判斷為T(mén)CP FIN掃描行為的臨界值,t3為入侵檢測(cè)(防御)系統(tǒng)的對(duì)臨界值的刷新時(shí)間。C4:在t4時(shí)間內(nèi)n4〈k4,此處n4為同一 IP進(jìn)行TCP Ack掃描的次數(shù),k4為入侵檢測(cè)(防御)系統(tǒng)判斷為T(mén)CP Ack掃描行為的臨界值,t4為入侵檢測(cè)(防御)系統(tǒng)的對(duì)臨界值的刷新時(shí)間。C1:在ti時(shí)間內(nèi)ni〈ki,此處ni為同一 IP進(jìn)行X掃描的次數(shù),ki為入侵檢測(cè)(防御)系統(tǒng)判斷為X掃描行為的臨界值,ti為入侵檢測(cè)(防御)系統(tǒng)的對(duì)臨界值的刷新時(shí)間。Cn+1 :Ns/(nl+n2+…+ηη)〈 ε其中,Ns為虛假的IP發(fā)送的掃描次數(shù),ε為可以接受的被檢測(cè)到的概率。2、輸入值。即所述客戶端提交所述待掃描目標(biāo)給云平臺(tái)中的控制主節(jié)點(diǎn)時(shí)的端口掃描任務(wù)。本實(shí)施例中,所述輸入值包括所述待掃描目標(biāo)的IP地址或IP范圍;端口范圍;入侵檢測(cè)系
統(tǒng)對(duì)端口掃描的約束參數(shù)(Constraints) :kl、k2、k3、......、kn, tl、t2、t3、......、tn, ε ;
以及虛假的IP地址數(shù)據(jù)庫(kù)。3、輸出所述多個(gè)工作節(jié)點(diǎn)對(duì)所述帶掃描目標(biāo)進(jìn)行端口掃描的執(zhí)行方式。本實(shí)施例中, 輸出所述多個(gè)工作節(jié)點(diǎn)對(duì)所述帶掃描目標(biāo)進(jìn)行端口掃描的執(zhí)行方式為一套執(zhí)行列表,如圖2所示,每一所述工作節(jié)點(diǎn)均按照所述執(zhí)行列表執(zhí)行工作,即對(duì)所述待掃描目標(biāo)進(jìn)行端口掃描。步驟S105、所述多個(gè)工作節(jié)點(diǎn)分別對(duì)所述待掃描目標(biāo)進(jìn)行端口掃描,并采用模擬退火算法計(jì)算符合入侵檢測(cè)系統(tǒng)對(duì)端口掃描的約束參數(shù)的較優(yōu)解??梢岳斫獾氖?,所述多個(gè)工作節(jié)點(diǎn)即按照所述執(zhí)行列表對(duì)所述待掃描目標(biāo)進(jìn)行端口掃描。具體地,請(qǐng)參閱圖2,對(duì)于工作節(jié)點(diǎn)1,在tl時(shí)間內(nèi),其以虛假I(mǎi)Pl對(duì)所述待掃描目標(biāo)進(jìn)行TCP連續(xù)掃描nl次,且nl〈kl ;完成后,在t2時(shí)間內(nèi),以虛假I(mǎi)P2對(duì)所述待掃描目標(biāo)進(jìn)行其他端口掃描方法;直至所述工作節(jié)點(diǎn)I完成全部掃描任務(wù),獲得最終的掃描結(jié)果。同樣地,工作節(jié)點(diǎn)2、工作節(jié)點(diǎn)η均相應(yīng)地執(zhí)行掃描任務(wù)。4、算法流程。本實(shí)施例中,采用模擬退火算法(Simulated Annealing Algorithm)計(jì)算符合入侵檢測(cè)系統(tǒng)對(duì)端口掃描的約束參數(shù)的較優(yōu)解Sbest,具體流程請(qǐng)參閱圖3。第一、初始化一個(gè)抖動(dòng)參數(shù)。第二、假設(shè)一個(gè)符合約束的解(solution)的集合S,如假設(shè)nl、n2、......、nn和使
用所述工作節(jié)點(diǎn)個(gè)數(shù)N是一個(gè)解S0。第三、假設(shè)一個(gè)優(yōu)化方程F。其中,
權(quán)利要求
1.ー種端ロ掃描方法,其特征在于,所述端ロ掃描方法包括以下步驟 客戶端將待掃描目標(biāo)提交給云平臺(tái)中的控制主節(jié)點(diǎn); 所述控制主節(jié)點(diǎn)按照模擬退火算法將端ロ掃描任務(wù)分配給所述云平臺(tái)中的多個(gè)工作節(jié)點(diǎn); 所述多個(gè)工作節(jié)點(diǎn)分別對(duì)所述待掃描目標(biāo)進(jìn)行端ロ掃描,并采用模擬退火算法計(jì)算符合入侵檢測(cè)系統(tǒng)對(duì)端ロ掃描的約束參數(shù)的較優(yōu)解; 所述多個(gè)工作節(jié)點(diǎn)將掃描結(jié)果反饋至所述控制主節(jié)點(diǎn),所述控制主節(jié)點(diǎn)對(duì)所述掃描結(jié)果進(jìn)行處理并反饋至所述客戶端。
2.如權(quán)利要求1所述的端ロ掃描方法,其特征在于,所述多個(gè)工作節(jié)點(diǎn)的對(duì)所述待掃描目標(biāo)的掃描方法包括TCP連接掃描、TCP Syn掃描、TCP FIN掃描、TCP Ack掃描、TCP Null掃描、Xmas掃描、UDP掃描、TCP Window掃描及TCP Maimon掃描。
3.如權(quán)利要求1所述的端ロ掃描方法,其特征在于,所述客戶端提交所述待掃描目標(biāo)給所述控制主節(jié)點(diǎn)時(shí)的端ロ掃描任務(wù)包括所述待掃描目標(biāo)的IP范圍、端ロ范圍、入侵檢測(cè)/防御系統(tǒng)對(duì)端ロ掃描的約束參數(shù)及被檢測(cè)概率。
4.如權(quán)利要求1所述的端ロ掃描方法,其特征在于,所述工作節(jié)點(diǎn)對(duì)所述待掃描目標(biāo)進(jìn)行端ロ掃描時(shí),在入侵檢測(cè)系統(tǒng)的對(duì)臨界值的刷新時(shí)間內(nèi),同一 IP進(jìn)行X掃描的次數(shù)小于入侵檢測(cè)系統(tǒng)判斷為掃描行為的臨界值。
5.ー種端ロ掃描系統(tǒng),其特征在于,所述端ロ掃描系統(tǒng)包括客戶端、設(shè)置于云平臺(tái)的控制主節(jié)點(diǎn)及設(shè)置于云平臺(tái)的多個(gè)工作節(jié)點(diǎn);所述客戶端和所述控制主節(jié)點(diǎn)通信連接,所述客戶端將待掃描目標(biāo)提交給所述控制主節(jié)點(diǎn),由所述控制主節(jié)點(diǎn)按照模擬退火算法將端ロ掃描任務(wù)分配給所述多個(gè)工作節(jié)點(diǎn),所述多個(gè)工作節(jié)點(diǎn)分別對(duì)所述待掃描目標(biāo)進(jìn)行端ロ掃描,并將掃描結(jié)果反饋至所述控制主節(jié)點(diǎn),所述控制主節(jié)點(diǎn)對(duì)所述掃描結(jié)果進(jìn)行處理并反饋至所述客戶端。
全文摘要
本發(fā)明提出一種端口掃描方法,其包括以下步驟客戶端將待掃描目標(biāo)提交給云平臺(tái)中的控制主節(jié)點(diǎn);所述控制主節(jié)點(diǎn)按照模擬退火算法將端口掃描任務(wù)分配給所述云平臺(tái)中的多個(gè)工作節(jié)點(diǎn);所述多個(gè)工作節(jié)點(diǎn)分別對(duì)所述待掃描目標(biāo)進(jìn)行端口掃描,并采用模擬退火算法計(jì)算符合入侵檢測(cè)系統(tǒng)對(duì)端口掃描的約束參數(shù)的較優(yōu)解;所述多個(gè)工作節(jié)點(diǎn)將掃描結(jié)果反饋至所述控制主節(jié)點(diǎn),所述控制主節(jié)點(diǎn)對(duì)所述掃描結(jié)果進(jìn)行處理并反饋至所述客戶端。所述端口掃描方法可有效地結(jié)合利用云平臺(tái)的資源,提高掃描效率,且采用模擬退火算法結(jié)合已有的端口掃描技術(shù),提高了端口掃描行為的隱蔽性,可以有效地避免被入侵檢測(cè)系統(tǒng)偵測(cè)到。
文檔編號(hào)H04L29/06GK103051620SQ201210558868
公開(kāi)日2013年4月17日 申請(qǐng)日期2012年12月20日 優(yōu)先權(quán)日2012年12月20日
發(fā)明者邱健聰, 彭賢斌, 須成忠, 劉進(jìn), 陳凱, 陳光華 申請(qǐng)人:中國(guó)科學(xué)院深圳先進(jìn)技術(shù)研究院