专利名称:一种适于局域网环境的网络节点扫描检测方法和系统的制作方法
技术领域:
本发明涉及一种适于局域网环境的网络节点扫描检测方法和系统,属于计 算机网络技术领域。
背景技术:
随着互联网络的飞速发展,网络上发生的安全事件也逐渐增多,从早期的 蠕虫攻击事件到现在的拒绝服务攻击和僵尸网络事件,这些网络安全事件为个 人和社会带来很大的经济损失。如何检测和防范这些网络安全事件已经成为网 络安全领域的研究热点。不管是蠕虫攻击、拒绝服务攻击和僵尸网络事件,其 早期攻击行为都表现为对互联网络进行扫描,以发现互联网络中可利用的网络 节点,并且,为避免被发现,多数网络攻击行为都采用较隐蔽的网络慢扫描方 法。
根据检测指标的不同,可以将现有网络扫描检测方法分为以下4类1)网 络访问次数统计;2)网络访问速率统计;3)网络访问成功比率统计;4)网络 访问失败比率统计。开源IDS Bro采用网络访问次数统计方法来检测网络扫描事 件,它能够检测网络慢扫描事件,但误报率较高。开源IDS SNORT和多数商用 IDS基于网络访问速率来检测网络扫描事件,它采用一种基于时间窗统计方法, 其难点是统计时间窗口大小阈值的确定,如果设置得较低则导致误报,如果设 置得较高则无法检测那些隐蔽的网络慢扫描事件。网络访问成功/失败比率统计 方法则通过统计各主机发出的前N次网络访问的成功或失败比率来检测网络扫 描事件,与其它方法相比,该种方法在检测网络节点慢扫描事件方面具有一定 的优势,但该检测方法并不区分正常网络访问流量和可疑的网络扫描访问流量, 其检测精确度受网络节点的正常网络访问流量影响较大。
发明内容
为了克服现有技术的不足,本发明提供一种适于局域网环境的网络节点扫 描检测方法和系统。本发明目的是克服现有网络扫描检测系统不能正确区分主 机节点发出的正常网络访问流量和可能的网络扫描访问流量的缺点,通过分析
每个主机节点的每次外出网络访问是否存在相关的DNS解析操作来实现正常网
络访问流量和可能的网络扫描访问流量的区分,并通过进一步分析可能的网络 扫描访问流量的相应率和目标IP地址发散度来有效检测局域网络中的各种隐蔽 的网络扫描事件。
本发明解决其技术问题所采用的技术方案是
一种适于局域网环境的网络节点扫描检测方法,包括网络终端、局域网、
数据获取模块、DNS解析监控模块、可疑网络访问过滤模块、可疑网络访问统
计模块、网络扫描检测模块,其特征在于所述方法的步骤 数据获取步骤; DNS解析监控步骤; 可疑网络访问过滤步骤; 可疑网络访问统计步骤; 网络扫描检测步骤。
一种适于局域网环境的网络节点扫描检测系统,包括网络终端、局域网, 其特征在于,收集局域网中所有网络数据包的并分类的数据获取模块,与数据 模块连接的对数据包进行DNS解析并将数据包的IP地址列表的DNS解析监控 模块,与数据获取模块、DNS解析监控模块连接的使用IP地址列表对数据包进 行过滤的可疑网络访问过滤模块,对可疑网络访问过滤模块所检测到的可疑数 据包进行访问数量检测的可疑网络访问统计模块,对经可疑网络访问统计模块 进一歩确认的可疑数据包做可疑网络访问连接响应率和目标IP地址发散度检测 进而最终确认网络节点扫描事件的网络扫描检测模块。
本发明的有益效果本发明通过将各主机节点发出的所有网络访问请求与
本局域网中最近DNS解析过的IP地址列表进行关联,最大限度的过滤掉那些与 正常网络访问流量相关的网络访问请求,并只对各主机节点发出的可疑网络访 问请求进行统计和检测,从而最大限度的降低正常网络访问流量对网络扫描检
测结果的精度;同时,采用可疑网络访问请求连接响应率和可疑网络访问请求
的目标IP地址发散度为网络扫描检测指标,而不是以同定时间窗口为统计依据,
可以本发明所述的网络扫描检测系统可以检测出各种非常隐蔽的网络扫描事
件。本发明所述的适于局域网环境的网络节点扫描检测系统可广泛应用于入侵
检测系统/入侵防御系统等所有需要对局域网络中各主机节点的扫描行为进行监
控的网络安全产品中。
下面结合附图和实施例对本发明进一步说明。
图1为本发明实施例一和实施例八所述的网络节点扫描检测系统体系结构
图2为本发明实施例三和实施例四所述的DNS解析监控模块创建的DNS 解析IP地址哈希表;
图3为本发明实施例六所述的可疑网络访问统计模块创建的主机节点可疑 网络访问统计哈希表;
图4为本发明实施六例所述的可疑网络访问统计模块用于计算可疑网络访 问请求的目标IP地址发散度的位图向量;
图5为本发明实施七所述的网络节点扫描检测模块的网络节点扫描检测流程。
具体实施例方式
实施例一
本实施例是一种适于局域网环境的网络节点扫描检测方法,图1为本发明 所述方法所使用的系统示意图。
本实施例的基本思路是,检测网络扫描事件,可以从网络访问行为序列的 上下文进行区别。网络扫描主机节点发出的网络访问流量与正常网络访问主机 节点发出的网络访问流量是有区别的正常情况下, 一个正常网络访问节点发 出 一个正常的外出网络访问企图时,将先发出 一个与该次外出网络访问的目标
IP地址相关的DNS (Domain Naming System,域名解析系统)解析操作;而一 个网络扫描主机节点发出的一次网络扫描访问,其相关目标IP地址是随机构造 的,因此不存在与该目标IP地址相关的DNS解析操作。因此,通过分析每个主 机节点的外出网络访问是否存在相关的DNS解析操作,可以将主机发出的正常 网络访问流量和可能的网络扫描访问流量分离开来,通过重点对可能的网络扫 描访问流量进行统计分析,就可有效检测出各种隐蔽的网络扫描事件。
本实施例基于这一思路构建了包括数据获取模块、DNS解析监控模块、可 疑网络访问过滤模块、可疑网络访问统计模块、网络扫描检测模块组成的系统。 本实施例所述方法所使用的硬件系统包括网络终端、局域网。所述方法主要包 括一下步骤
1) 数据获取步骤。用于收集局域网络中所有网络数据包并对接收的数据包 进行分类。
2) DNS解析监控步骤。接收来自数据获取模块的所有DNS域名解析协议 相关的网络数据包,对其进行DNS协议解析、提取DNS域名解析出的IP地址 列表、并动态维护一个关于这些IP地址列表的数据缓存。
3) 可疑网络访问过滤步骤。接收来自数据获取模块的所有与新建外部网络 访问请求和响应相关的网络数据包,根据DNS解析监控模块维护的DNS协议 解析IP地址列表对这些网络访问请求进行筛选,过滤掉那些目标IP地址在DNS 协议解析IP地址列表中的网络访问请求(正常网络访问请求),只剩下那些目标 IP地址不在DNS协议解析IP地址列表中的网络访问请求(可疑网络访问请求); 同时,根据DNS解析监控模块维护的DNS协议解析IP地址列表对各主机节点发出的网络访问请求响应网络数据包进行筛选,过滤掉那些源IP地址在DNS 协议解析IP地址列表中的网络访问请求响应网络数据包(正常网络访问请求响
应数据包),只剩下那些源IP地址不在DNS协议解析IP地址列表中的网络访问 请求响应数据包(可疑网络访问请求响应数据包)。
4) 可疑网络访问统计步骤。接收来自可疑网络访问过滤模块的所有可疑网 络访问请求和响应网络数据包,统计局域网络内各主机节点发出的可疑网络访 问请求的数量、被响应的可疑网络访问请求的数量以及可疑网络访问请求的目 标IP地址映射位图。
5) 网络扫描检测步骤。接收来自可疑网络访问统计模块的主机节点可疑网 络访问请求和响应统计结果,计算各主机节点的可疑网络访问请求连接响应率 和目标IP地址发散度,根据预先设定的请求连接响应率和目标IP地址发散度阈 值判定是否在某主机节点上发生了网络扫描事件,若是,则产生相应的网络扫 描事件。
实施例二
本实施例是实施例一的细化,是关于数据获取步骤优选方案。数据获取模 块首先收集局域网络上的所有数据包。数据获取模块在捕获到网络数据包后,
需要将这些网络数据包分成三类
1) 与DNS域名解析相关的网络数据包,这里网络数据包以TCP或UDP53 端口为标志,这类网络数据包将被转发给DNS解析监控模块进行进一歩分析。
2) 与主机节点发出的网络访问请求和应答相关的网络数据包,本实施例只 考虑TCP-SYN、 TCP-SYN-ACK、 ICMP-Request禾B ICMP-Reply类型报文,这 类型网络数据包将转发给后台的可疑网络访问过滤模块。
3) 其它网络数据包,该类型网络数据包无助于本发明所述的网络节点扫描 检测,因此数据捕获模块直接丢弃这些数据包,使得本实施例所述的网络节点 扫描检测系统适合高速局域网环境。
本实施例所述的数据获取步骤的具体过程如下 数据获取模块收集局域网络中所有网络数据包;
将收集到的网络数据包分为与DNS域名解析相关的网络数据包,将该类 网络数据包转发DNS解析监控模块;与主机节点发出的网络访问请求和应答相 关的网络数据包,将该类网络数据包转发给后台的可疑网络访问过滤模块;其 它网络数据包,将该类网络数据包直接丢弃。
实施例三
本实施例是实施例一的细化,是关于DNS解析监控步骤优选方案。
本步骤接收来自数据获取模块的所有DNS域名解析协议相关的网络数据 包,对其进行DNS协议解析、提取DNS域名解析出的IP地址列表、并动态维 护一个关于这些IP地址列表的数据缓存。
DNS解析监控模块在缓存这些被DNS域名解析出的IP地址列表时,同时 记录了各IP地址的最新DNS解析时间,采用快速哈希表结构,以IP地址为索 引将所有DNS域名解析出的各IP地址及其相关解析时间存储到快速哈希表中。
可以将DNS域名解析协议相关的网络数据包分为两种类型DNS域名解析 请求数据包和DNS域名解析响应数据包,其中DNS域名解析请求数据包一般 由DNS客户端或DNS代理发出,请求将某个主机域名解析为该域名所对应的 IP地址;DNS域名解析响应数据包由DNS服务器发出,它包含了DNS域名服 务器对某个主机域名解析请求的解析结果,比如该主机域名所对应的IP地址列 表。
本实施例只需获知本局域网环境中哪些IP地址被最近解析过,因此,只需 要对DNS域名解析响应数据包进行解析。关于DNS协议格式的知识可以从国 际IETF (互联网工程任务组)组织公布的DNS协议标准文档获知。本实施例所 述的DNS解析监控模块在提取被解析出的IP地址列表时,只需要对DNS域名 解析响应数据报文中的RR记录进行分析,就可以提取出本次DNS域名解析获
得的IP地址列表。
本实施例所述的DNS解析监控模块需要实时维护本局域网中最近被DNS 域名解析出的IP地址列表。本实施例所采用快速哈希表结构,如图2所示。该 哈希表由65536个桶组成,每桶可以顺序存储4个DNS解析IP地址记录,每条 DNS解析IP地址记录包含IP地址(DNSed IPv4)和最后解析时间(Last Resolv-Time)两个字段,其中最后解析时间用于判定对应记录是否在保鲜期内。 本快速哈希表的哈希函数为Hl,该函数以DNS解析出的IP地址为输入参数。 本哈希表负责将从DNS消息RR记录中提取的IP地址(32bits空间)均匀分配到 哈希表各桶中(16bits空间)。具有相同哈希键值的DNS解析IP地址记录被分 配到同一个桶中并顺序存储,当某一哈希桶4个记录空间用完时,将替换掉最 后解析事件最老的那个记录。
本实施例所述的DNS解析监控步骤的具体过程如下 接收来自数据获取模块的所有DNS域名解析协议相关的网络数据包; 对其进行DNS协议解析、提取DNS域名解析出的IP地址列表,同时记录 各IP地址的最新DNS解析时间;
采用快速哈希表结构,以IP地址为索引将所有DNS域名解析出的各IP地 址及其相关解析时间存储到快速哈希表中。 实施例四
本实施例是实施例一的细化,是关于可疑网络访问过滤步骤优选方案,是 对所有可疑网络访问请求网络数据包的分析。
本步骤接收来自可疑网络访问过滤模块的所有可疑网络访问请求网络数据 包,统计局域网络内各主机节点发出的可疑网络访问请求的数量、可疑网络访 问请求的目标IP地址映射位图。
本步骤在判定某一主机发出的外出网络访问请求是否为可疑网络访问时, 将首先获得该外出网络请求网络数据包的目标IP地址,以该目标IP地址为索引
检索DNS解析监控模块维护的DNS域名解析IP地址快速哈希表,如图2所示, 如果检索到相应的DNS域名解析记录并且与之相关的最新DNS解析时间在可 接受的范围之内,则认为该网络访问请求为正常的网络访问请求,否则,如果 没有检索到相应的DNS解析记录,或者与之相关的最新DNS解析时间不在可 接受的范围之内,则认为该网络访问请求为可疑网络访问请求,并将该可疑网 络访问请求数据包转发给可疑网络访问统计模块。
本实施例所述的可疑网络访问过滤步骤的具体过程如下 接收来自数据获取模块的所有与新建外部网络访问请求和相关的网络数据
包;
将获得该外出网络请求网络数据包的目标IP地址,以该目标IP地址为索引 检索DNS解析监控模块维护的DNS域名解析IP地址快速哈希表;
如果检索到相应的DNS域名解析记录并且与之相关的最新DNS解析时间 在可接受的范围之内,则认为该网络访问请求为正常的网络访问请求;
如果没有检索到相应的DNS解析记录,或者与之相关的最新DNS解析时 间不在可接受的范围之内,则认为该网络访问请求为可疑网络访问请求,并将 该可疑网络访问请求数据包转发给可疑网络访问统计模块。
实施例五
本实施例是实施例一的细化,是关于可疑网络访问过滤歩骤的又一优选方 案,是对所有与新建外部网络访问请求响应和相关的网络数据包的分析。
对于进入局域网络的网络访问请求响应网络数据包(包括TCP-SYN-ACK 和ICMP-Reply),首先,提取该网络数据包的源IP地址,并检索DNS解析监控 模块维护的DNS域名解析结果快速哈希表如果对应记录不在哈希表中,则判 定此网络数据包为对某主机发出的可疑网络访问的连接响应报文;如果对应 DNS解析IP地址记录存在,则査看其最后更新时间字段值,如果发现此记录已 经长时间未更新,同样判定此报文为对某主机发出的可疑网络访问的响应报文;
对于其它情况不予处理。
本实施例所述的可疑网络访问过滤步骤的具体过程如下
接收来自数据获取模块的所有与新建外部网络访问请求响应和相关的网络 数据包;
将获得该网络访问请求响应网络数据包的源IP地址,以该源IP地址为索引
检索DNS解析监控模块维护的DNS域名解析IP地址快速哈希表;
如果检索到相应的DNS域名解析记录并且与之相关的最新DNS解析时间 在可接受的范围之内,则认为该网络访问请求响应数据包为正常的网络访问请 求响应数据包;
如果没有检索到相应的DNS解析记录,或者与之相关的最新DNS解析时 间不在可接受的范围之内,则认为该网络访问请求响应数据包为可疑网络访问 请求响应数据包,并将其转发给可疑网络访问统计模块。
实施例六
本实施例是实施例一的细化,是关于可疑网络访问统计步骤优选方案。 本实施例所述步骤采取如图3所示的快速哈希表结构统计局域网络中各主 机节点发出的可疑网络访问请求的数量、被响应的可疑网络访问请求的数量、 可疑网络访问目标IP地址映射位图向量。这里需要统计各主机节点相关的TCP 连接类型和ICMP连接类型的可疑网络访问请求和响应数据包情况。该快速哈 希表以主机节点为索引,该哈希表中每一项统计记录包含了如下几个字段 Host-IP:主机节点IP地址;Syn-Sent:该主机节点发出的TCP类型的可疑网络 访问请求的数量;ICMP-Req:该主机节点发出的ICMP类型的可疑网络访问请 求的数量;SynO-bitmap:该主机节点发出的TCP类型的可疑网络访问请求的目 标IP地址映射位图向量;ICMPO-Bitmap:该主机节点发出的ICMP类型的可疑 网络访问请求的目标IP地址映射位图向量;SYN-ACK:该主机节点接收到的 TCP类型可疑网络访问请求响应报文的数量;ICMP-RPL:该主机节点接收到的
ICMP类型的可疑网络访问请求响应报文的数量;Last-Time:该主机节点最近一 次发出可疑网络报文或接收网络报文的时间。当某一主机节点所发出的TCP类 型可疑网络访问请求数量达到某一预先设置的阈值N时,则将该主机节点TCP 类型可疑网络访问统计记录数据发送给网络扫描检测模块进行检测,同时,将 该主机节点TCP类型的可疑网络访问统计数据清零,重新进行下一次统计;同 理,当某一主机节点所发出的ICMP类型可疑网络访问请求数量达到某一预先 设置的阈值N时,则将该主机节点ICMP类型可疑网络访问统计记录数据发送 给网络扫描检测模块进行检测,同时,将该主机节点ICMP类型的可疑网络访 问统计数据清零,重新进行下一次统计。
本实施例所述步骤采用位图向量的方法统计某主机节点发出的TCP/ICMP 类型可疑网络访问的目标IP地址发散度。如图4所示,(图中N个可疑网络访 问请求目标IP(DIPi)地址被H,函数映射到N为比特向量中各个格)令V为一面 积为N的位图向量(N个比特位),其中N为预先设置的主机节点S发出的可 疑网络访问请求数量的阈值;定义一个均匀映射函数H,将主机S发出的可疑 网络访问请求的目标IP地址映射到位图向量V中某一格。首先,将整个位图向 量清零。然后,对于该主机节点发出的每一个可疑网络访问请求的目标IP地址, 映射到该位图向量中某一格并置l。最后,当统计的可疑网络访问请求的数量达 到预先设置的阈值N时,得到的是一个维数为N的比特向量。 本实施例所述的可疑网络访问统计步骤的具体过程如下 接收来自可疑网络访问过滤模块的所有可疑网络访问请求和响应网络数据
包;
采取快速哈希表结构统计局域网络中各主机节点发出的可疑网络访问请求 的数量、被响应的可疑网络访问请求的数量以及由可疑网络访问的目标IP地址 映射而成的位图向量;
当某一主机节点所发出的可疑网络访问请求数量达到预先设置的阈值N
时,将该主机节点对应的可疑网络访问统计记录发送给网络扫描检测模块进行 检测。
实施例七
本实施例是实施例一的细化,是关于网络扫描检测步骤优选方案。 本实施例所述的网络扫描检测步骤的过程如图5所示。网络扫描检测模块
接收由可疑网络统计模块发送来的主机节点TCP类型/ICMP类型的可疑网络访 问统计记录,根据可疑网络访问请求数目和被响应的可疑网络访问请求数目这 两个数值计算出该主机节点发出的可疑网络访问请求的连接响应率;同时由该 主机节点发出的所有可疑网络访问请求所构造的N维比特向量可以计算出该主 机节点可疑网络访问请求的目标IP地址发散度;最后,将计算出的可疑网络访 问连接响应率和目标IP地址发散度分别与预先设置的阈值相比较,当发现可疑 网络连接响应率低于预先设置的阈值,以及目标IP地址发散度高于预先设置的 阈值时,则表明在该主机节点上正在发生一次网络扫描事件。
这里将某一主机节点S发出的TCP类型可疑网络访问的响应率R(S)定义为
这里Attempt(S)表示主机节点S发出的TCP类型可疑网络访问数量,而 Response(S)为主机节点S接收到的TCP类型可疑网络访问的响应数量。
对于由主机节点S发出的TCP类型可疑网络访问所构建的N维位图向量V, 其目标IP地址发散度定义为
Z/(S)=(位图F非零位个数)AV (2)
当主机节点S发出的TCP类型可疑网络访问数量达到预先定义的域值N,
且主机节点S发出的这N个可疑网络访问请求的响应率R(S)和目标IP地址发散
度H(S)满足以下条件时,则检测到了一个网络扫描事件
,《77,,)^ (3) 这里il和4)为网络扫描检测域值,其中G^^1,G^^^1。 n和cj)两个参数可
以根据现实网络环境来确定。
对于某一主机节点S发出的ICMP类型可疑网络访问的统计数据的检测方 法同上。
本实施例所述的网络扫描检测步骤的具体过程如下
接收来自可疑网络访问统计模块的主机节点可疑网络访问请求和响应统计 结果;
根据可疑网络访问请求数目和被响应的可疑网络访问请求数目这两个数值 计算出该主机节点发出的可疑网络访问请求的连接响应率;
由该主机节点发出的所有可疑网络访问请求的目标IP地址列表映射而成的 位图向量计算出该主机节点可疑网络访问请求的目标IP地址发散度;
将计算出的可疑网络访问连接响应率和目标IP地址发散度分别与预先设置 的阈值相比较,当发现可疑网络连接响应率低于预先设置的阈值,以及目标IP 地址发散度高于预先设置的阈值时,则表明在该主机节点上正在发生一次网络 扫描事件。
实施例八
本实施例是使用实施例一所述一种适于局域网环境的网络节点扫描检测系 统,其系统体系结构如图1所示。所述的系统硬件架构包括网络终端、局域 网,收集局域网中所有网络数据包的并分类的数据获取模块,与数据模块连接
的对数据包进行DNS解析并将数据包的IP地址列表的DNS解析监控模块,与 数据获取模块、DNS解析监控模块连接的使用IP地址列表对数据包进行过滤的
可疑网络访问过滤模块,对可疑网络访问过滤模块所检测到的可疑数据包进行 访问数量检测的可疑网络访问统计模块,对经可疑网络访问统计模块进一步确 认的可疑数据包做可疑网络访问连接响应率和目标IP地址发散度检测进而最终 确认网络节点扫描事件的网络扫描检测模块。
1)数据获取模块数据获取模块实时收集局域网络中所有网络数据包;网 络数据包获取可以采用软件技术,比如基于libpcap的操作系统内核级报文捕获 技术;也可以采用硬件技术,比如采用专用高速局域网网络报文捕获卡(比如 DAG卡);数据获取模块将对获取的网络数据包进行分类和过滤,最后将与网络 扫描检测相关的网络数据包交给后面的DNS解析监控模块和可疑网络访问过滤 模块做进一步分析处理。
2) DNS解析监控模块DNS解析监控模块实时接收来自数据获取模块的 所有与DNS域名解析相关的网络数据包,对其进行DNS协议解析、提取DNS 域名解析出的IP地址列表、并维护一个关于这些IP地址列表的数据缓存,这个 IP地址列表缓存协助可疑网络访问过滤模块将可疑网络访问请求与正常网络访 问请求区分开来,同时也便于将对可疑网络访问请求的响应网络数据包与对正 常网络访问请求的响应网络数据包区分开来。
3) 可疑网络访问过滤模块可疑网络访问过滤模块接收来自数据获取模块 的所有表征网络访问请求的网络数据包,然后根据DNS解析监控模块维护的 DNS协议解析IP地址列表缓存对这些网络访问请求网络数据包进行筛选,过滤 掉那些目标IP地址在DNS协议解析IP地址列表中的正常网络访问请求,只剩 下那些目标IP地址不在DNS协议解析IP地址列表中的可疑网络访问请求,这 些过滤后剩下的可疑网络访问请求数据包将传送给可疑网络访问统计模块进行 统计;此外,可疑网络访问过滤模块接收来自数据获取模块的所有表征网络访 问请求响应的网络数据包,然后根据DNS解析监控模块维护的DNS协议解析 IP地址列表缓存对这些网络访问请求响应网络数据包进行筛选,过滤掉那些源 IP地址在DNS协议解析IP地址列表中的正常网络访问请求响应数据包,只剩 下那些源IP地址不在DNS协议解析IP地址列表中的可疑网络访问请求响应数 据包,这些过滤后剩下的可疑网络访问请求响应数据包将传送给可疑网络访问 统计模块进行统计。
4) 可疑网络访问统计模块可疑网络访问统计模块接收来自可疑网络访问 过滤模块的所有可疑网络访问请求和响应网络数据包,然后按局域网络内各主 机节点统计各主机节点发出的可疑网络访问请求的数量、被响应的可疑网络访 问请求的数量以及由可疑网络访问请求目标IP地址映射而成的位图向量; 一旦
发现某一主机节点发出的可疑网络访问请求的数量超过预先设置的阈值N,则
将该主机节点的可疑网络访问统计数据发送给网络扫描检测模块做进一步的检 测处理。
5)网络扫描检测模块网络扫描检测模块接收来自可疑网络访问统计模块 的主机节点可疑网络访问统计结果,并计算各主机节点的两个检测指标可疑 网络访问连接响应率和目标IP地址发散度;然后根据预先设定的连接响应率和
目标IP地址发散度阈值判定该主机节点是否正在执行网络扫描行为,若是,则 产生一个网络节点扫描事件。
权利要求
1.一种适于局域网环境的网络节点扫描检测方法,包括网络终端、局域网、数据获取模块、DNS解析监控模块、可疑网络访问过滤模块、可疑网络访问统计模块、网络扫描检测模块,其特征在于所述方法的步骤数据获取步骤;DNS解析监控步骤;可疑网络访问过滤步骤;可疑网络访问统计步骤;网络扫描检测步骤。
2. 根据权利要求1所述的一种适于局域网环境的网络节点扫描检测方法, 其特征是,所述的数据获取步骤中的子步骤数据获取模块收集局域网络中所有网络数据包;将收集到的网络数据包分为与dns域名解析相关的网络数据包,将该类 网络数据包转发dns解析监控模块;与主机节点发出的网络访问请求和应答相 关的网络数据包,将该类网络数据包转发给后台的可疑网络访问过滤模块;其 它网络数据包,将该类网络数据包直接丢弃。
3. 根据权利要求1所述的一种适于局域网环境的网络节点扫描检测方法, 其特征是,所述的dns解析监控步骤中的子步骤接收来自数据获取模块的所有dns域名解析协议相关的网络数据包; 对其进行dns协议解析、提取dns域名解析出的ip地址列表,同时记录各ip地址的最新dns解析时间;采用快速哈希表结构,以ip地址为索引将所有dns域名解析出的各ip地址及其相关解析时间存储到快速哈希表中。
4. 根据权利要求1所述的一种适于局域网环境的网络节点扫描检测方法, 其特征是,所述的可疑网络访问过滤步骤中的子步骤接收来自数据获取模块的所有与新建外部网络访问请求和相关的网络数据包;将获得该外出网络请求网络数据包的目标IP地址,以该目标IP地址为索引检索DNS解析监控模块维护的DNS域名解析IP地址快速哈希表;如果检索到相应的DNS域名解析记录并且与之相关的最新DNS解析时间在可接受的范围之内,则认为该网络访问请求为正常的网络访问请求;如果没有检索到相应的DNS解析记录,或者与之相关的最新DNS解析时间不在可接受的范围之内,则认为该网络访问请求为可疑网络访问请求,并将该可疑网络访问请求数据包转发给可疑网络访问统计模块。
5. 根据权利要求1所述的一种适于局域网环境的网络节点扫描检测方法, 其特征是,所述的可疑网络访问过滤步骤中的子步骤接收来自数据获取模块的所有与新建外部网络访问请求响应和相关的网络 数据包;将获得该网络访问请求响应网络数据包的源IP地址,以该源IP地址为索引 检索DNS解析监控模块维护的DNS域名解析IP地址快速哈希表;如果检索到相应的DNS域名解析记录并且与之相关的最新DNS解析时间 在可接受的范围之内,则认为该网络访问请求响应数据包为正常的网络访问请 求响应数据包;如果没有检索到相应的DNS解析记录,或者与之相关的最新DNS解析时 间不在可接受的范围之内,则认为该网络访问请求响应数据包为可疑网络访问 请求响应数据包,并将其转发给可疑网络访问统计模块。
6. 根据权利要求1所述的一种适于局域网环境的网络节点扫描检测方法, 其特征是,所述的可疑网络访问统计步骤中的子步骤接收来自可疑网络访问过滤模块的所有可疑网络访问请求和响应网络数据包;采取快速哈希表结构统计局域网络中各主机节点发出的可疑网络访问请求的数量、被响应的可疑网络访问请求的数量以及由可疑网络访问的目标IP地址 映射而成的位图向量;当某一主机节点所发出的可疑网络访问请求数量达到预先设置的阈值N时,将该主机节点对应的可疑网络访问统计记录发送给网络扫描检测模块进行 检测。
7. 根据权利要求1所述的一种适于局域网环境的网络节点扫描检测方法,其特征是,所述的网络扫描检测步骤中的子步骤接收来自可疑网络访问统计模块的主机节点可疑网络访问请求和响应统计结果;根据可疑网络访问请求数目和被响应的可疑网络访问请求数目这两个数值计算出该主机节点发出的可疑网络访问请求的连接响应率;由该主机节点发出的所有可疑网络访问请求的目标IP地址列表映射而成的 位图向量计算出该主机节点可疑网络访问请求的目标IP地址发散度;将计算出的可疑网络访问连接响应率和目标IP地址发散度分别与预先设置 的阈值相比较,当发现可疑网络连接响应率低于预先设置的阈值,以及目标IP 地址发散度高于预先设置的阈值时,则表明在该主机节点上正在发生一次网络 扫描事件。
8. —种适于局域网环境的网络节点扫描检测系统,包括网络终端、局域 网,其特征在于,收集局域网中所有网络数据包的并分类的数据获取模块,与数据模块连接的对数据包进行DNS解析并将数据包的IP地址列表的DNS解析 监控模块,与数据获取模块、DNS解析监控模块连接的使用IP地址列表对数据 包进行过滤的可疑网络访问过滤模块,对可疑网络访问过滤模块所检测到的可 疑数据包进行访问数量检测的可疑网络访问统计模块,对经可疑网络访问统计 模块进一步确认的可疑数据包做可疑网络访问连接响应率和目标IP地址发散度 检测进而最终确认网络节点扫描事件的网络扫描检测模块。
全文摘要
本发明涉及一种适于局域网环境的网络节点扫描检测方法和系统,是一种适于高速局域网环境的网络节点扫描检测的方法和系统。本发明包括网络终端、局域网,所述方法的步骤数据获取步骤;DNS解析监控步骤;可疑网络访问过滤步骤;可疑网络访问统计步骤;网络扫描检测步骤。本发明通过将各主机节点发出的所有网络访问请求与本局域网中最近DNS解析过的IP地址列表进行关联,最大限度的过滤掉那些与正常网络访问流量相关的网络访问请求。采用可疑网络访问请求连接响应率和可疑网络访问请求的目标IP地址发散度为网络扫描检测指标,适于局域网环境的网络节点扫描检测系统对局域网络中各主机节点的扫描行为进行监控的网络安全产品中。
文档编号H04L29/06GK101184094SQ20071017885
公开日2008年5月21日 申请日期2007年12月6日 优先权日2007年12月6日
发明者华东明, 叶润国, 博 李, 胡振宇, 骆拥政 申请人:北京启明星辰信息技术有限公司