专利名称:检测蠕虫扫描的方法和装置的制作方法
技术领域:
本发明涉及通信技术,尤其涉及一种检测蠕虫扫描的方法和装置。
背景技术:
蠕虫病毒是计算机病毒的一种,其利用网络进行复制和传播。随着网络
的发展,蠕虫病毒层出不穷。蠕虫病毒的传播过程包括三个步骤扫描、攻 击和复制。其中,扫描指的是发送扫描数据包扫描存活的主机以探测出存在 漏洞的主机。当蠕虫病毒爆发时,蠕虫病毒发出的扫描数据包占用了大量的 带宽,造成网络拥塞,极大地影响网络通信速度。如果能够识别出蠕虫病毒 的扫描数据包,不但能够解决蠕虫病毒爆发对带宽的消耗,也能纟艮好地抑制 蠕虫病毒的爆发。
为了识别出蠕虫病毒的扫描数据包,现有技术中存在如下技术方案根 据网络中主机向以前未连接过的网络协议(Internet Protocol,以下简称 IP)地址,发起的第一次连接的成功或失败情况、以及第一次连接的时间间 隔,分别选择相应的概率计算公式计算主机感染蠕虫的概率;将计算所得概 率值与预设的主机感染蠕虫判断阈值进行比较,若扭无率大于主机感染蠕虫判 断阈值,则认为该主机为异常主机。
但是,发明人经过研究发现该技术方案存在如下缺陷需要IP会话表来 记录大量的已连接IP地址,该IP会话表在实际开发中由于数据量较大,而且随着IP地址的增加,数据量会越来越大,因此,需要占用检测设备的大量资 源。当检测设备的可用资源不够大时,会降低识别蠕虫扫描的准确率。
发明内容
本发明实施例提供了 一种检测蠕虫扫描的方法和装置,用以实现提高识 别蠕虫扫描的准确率。
本发明实施例才是供了一种4企测蠕虫扫描的方法,包括 对目标端口进行第一次蠕虫检测,获得第一组疑似蠕虫扫描目标IP地址; 对不包括所述第一组疑似蠕虫扫描目标IP地址的其他目标IP地址所对应 的所述目标端口进行蠕虫检测,获得蠕虫扫描源IP地址。 本发明实施例还提供了 一种检测蠕虫扫描的方法,包括 对目标端口进行第一次蠕虫检观'],获得第一组疑似蠕虫扫描目标IP地址;
对所述目标端口进行第二次蠕虫检测,获得第二组疑似蠕虫扫描目标IP 地址;
比较所述第一组疑似蠕虫扫描目标IP地址和所述第二组疑似蠕虫扫描目 标IP地址,将所述第二组l^似蠕虫扫描目标IP地址中与所述第一组I^似蠕虫 扫描目标IP地址不同的目标IP地址确定为蠕虫扫描目标IP地址,将与所述蠕 虫扫描目标IP地址对应的源IP地址确定为蠕虫扫描源IP地址。
本发明实施例还提供了 一种检测蠕虫扫描的装置,包括
第 一蠕虫扫描检测模块,用于对目标端口的进行第 一次蠕虫检测,获得 第一组疑似蠕虫扫描目标IP地址;
第 一蠕虫扫描源获耳又才莫块,用于对不包括所述第 一组lt似蠕虫扫描目标 IP地址的其他目标IP地址所对应的所述目标端口进行蠕虫^r测,获得蠕虫扫描源IP地址。
本发明实施例还提供了 一种检测蠕虫扫描的装置,包括 第二蠕虫扫描检测模块,用于对目标端口进行第一次蠕虫检测,获得第
一组疑似蠕虫扫描目标IP地址;
第三蠕虫扫描检测模块,用于对所述目标端口进行第二次蠕虫检测,获 得第二组疑似蠕虫扫描目标IP地址;
第二蠕虫扫描源获取模块,用于比较所述第一组疑似蠕虫扫描目标IP地 址和所述第二组疑似蠕虫扫描目标IP地址,将所述第二组疑似蠕虫扫描目标 IP地址中与所述第一组lt似蠕虫扫描目标IP地址不同的目标IP地址确定为蠕 虫扫描目标IP地址,将与所述蠕虫扫描目标IP地址对应的源IP地址确定为蠕 虫扫描源IP地址。
本发明实施例提供的检测蠕虫扫描的方法和装置,利用蠕虫扫描数据包 将不会出现所扫描的目标IP地址重复的情况,通过对目标端口的数据包进行两 次蠕虫扫描检测,排除了被重复扫描的目标IP地址,提高了识别蠕虫扫描的 准确率。
图l为本发明4企测蠕虫扫描的方法第一实施例的流程示意图; 图2为本发明检测蠕虫扫描的方法第二实施例的流程示意图; 图3为本发明;险测蠕虫扫描的方法第三实施例的流程示意图; 图4为本发明;险测蠕虫扫描的装置第一实施例的结构示意图; 图5为本发明检测蠕虫扫描的装置第二实施例的结构示意图; 图6为本发明检测蠕虫扫描的装置第三实施例的结构示意图。
具体实施例方式
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。 4企测蠕虫扫描的方法第 一 实施例
如图l所示,为本发明检测蠕虫扫描的方法第一实施例的流程示意图,
具体可以包括如下步骤
步骤ll、对目标端口进行第一次蠕虫检测,获得第一组疑似蠕虫扫描目 标IP地址;
步骤12、对不包括第一组疑似蠕虫扫描目标IP地址的其他目标IP地址 所对应的该目标端口进行蠕虫检测,获得蠕虫扫描源IP地址;
具体地,蠕虫扫描的数据包的目标IP地址通过会发生变化,而正常扫描 的数据包的目标IP地址通常不会发生变化,因此,蠕虫扫描数据包将不会出 现所扫描的目标IP地址重复的情况,据此,目标IP地址已经进行过蠕虫检测 的数据包可以被认为是正常扫描的数据包,在第二次检测时不再对已经进行过 蠕虫扫描检测的数据包进行检测。
本实施例利用蠕虫扫描数据包将不会出现所扫描的目标IP地址重复的情 况,通过对目标端口的数据包有选择的进行两次蠕虫扫描检测,提高了识别 蠕虫扫描的准确率。
才企测蠕虫扫描的方法第二实施例
蠕虫扫描和正常扫描的区别主要在于而大多数正常扫描同时扫描一台 主机的多个端口 ,例如正常扫描的成功率较高,应用同步(Synchronizat ion, 以下简称SYN)包扫描时,该端口发出一定数量的SYN包,返回同样数量的 同步确i人(SYN Acknowledge,以下简称SYN ACK)数据包,而大多凄t蠕虫扫描都是有针对性的扫描一 台主机的一个端口 ,且蠕虫扫描的成功率并不高,
该端口发出大量的SYN包,只返回少量的SYN ACK包,因此可以利用这一特点 检测蠕虫扫描。
如图2所示,为发明蠕虫扫描的方法第二实施例的流程示意图,可以包括 如下步骤
步骤21、在预设时间段内,对目标端口收到的扫描数据包与该目标端口 返回的扫描确认数据包的比值进行第 一次统计;
步骤22、若目标端口收到的扫描数据包与目标端口返回的扫描确i人凄史据 包的比值大于预设阈值,将扫描数据包的目标IP地址确定为第一组疑-似蠕虫 扫描目标IP地址;
该预设时间可以根据实际情况设置,例如0. l秒;
步骤23、在预设时间段内,对不包括第一组疑似蠕虫扫描目标IP;也址的 其他目标IP地址所对应的该目标端口收到的扫描数据包与该目标端口返回的 扫描确认数据包的比值进行第二次统计;
步骤24、若目标端口收到的扫描数据包与目标端口返回的扫描确i人数据 包的比值大于预设阈值,将扫描数据包的源IP地址确定为蠕虫扫描源IP地址。 在本实施例中,扫描数据包具体可以为SYN包,扫描确认数据包具体可以 为SYNACK包。除了可以采用SYN包进行扫描外,还可以采用其他的扫描数据 包,仿B口 网纟各4空制消息协i义(Internet Control Message Protocol,以 下简称ICMP)数据包进行扫描。
需要说明的是,本发明的步骤21和步骤22、以及步骤23和步骤24还可以 采用现有技术中其他检测蠕虫扫描的方法。
本实施例通过统计目标端口的数据包,初步确定蠕虫扫描源IP地址,结
9合第一次的统计结果,进行二次统计,确定蠕虫扫描源IP地址,提高了识别 蠕虫扫描的准确率。
检测蠕虫扫描的方法第三实施例
如图3所示,为本发明;险测蠕虫扫描的方法第三实施例的流程示意图,可
以包括如下步骤
步骤31、对目标端口进行第一次蠕虫检测,获得第一组疑似蠕虫扫描目 标IP地址;
步骤32、对该目标端口进行第二次蠕虫检测,获得第二组疑似蠕虫扫描 目标IP地址;
步骤33、比较第一组疑似蠕虫扫描目标IP地址和第二组疑似蠕虫扫描目 标IP地址,将第二组疑似蠕虫扫描目标IP地址中与第一组疑似蠕虫扫描目标 IP地址不同的目标IP地址确定为蠕虫扫描目标IP地址,将与蠕虫扫描目标IP 地址对应的源I P地址确定为蠕虫扫描源I P地址。
本实施例利用蠕虫扫描数据包将不会出现所扫描的目标IP地址重复的情 况,通过对目标端口的数据包进行两次蠕虫扫描检测的结果去重后,得到的 结果作为最终确定的蠕虫扫描源IP地址,提高了识别蠕虫扫描的准确率。
检测蠕虫扫描的装置第 一 实施例
如图4所示,为本发明检测蠕虫扫描的装置第一实施例的结构示意图,可 以包括第 一蠕虫扫描检测模块41和第 一蠕虫扫描源获取模块42 。
其中,第 一蠕虫扫描检测模块41用于对目标端口进行第 一次蠕虫检测, 获得第一组疑似蠕虫扫描目标IP地址;
第一蠕虫扫描源获取模块42用于对不包括第一组疑似蠕虫扫描目标IP地 址的其他目标IP地址所对应的该目标端口进行蠕虫检测,获得蠕虫扫描源IP
10地址。
具体地,蠕虫扫描的数据包的目标IP地址通过会发生变化,而正常扫描 的数据包的目标IP地址通常不会发生变化,因此,蠕虫扫描数据包将不会出 现所扫描的目标IP地址重复的情况,据此,目标IP地址已经进行过蠕虫扫描 检测的数据包可以认为是正常扫描的数据包,在第二次检测时不再对已经进行 过蠕虫扫描4企测的数据包进行检测。
本实施例利用蠕虫扫描数据包将不会出现所扫描的目标IP地址重复的情
况,通过第一蠕虫扫描检测模块41和第一蠕虫扫描源获取模块42对目标端口 的数据包进行两次蠕虫扫描检测,提高了识别蠕虫扫描的准确率。
如图5所示,为本发明检测蠕虫扫描的装置第二实施例的结构示意图,在 图4所示结构示意图的基础上,第一蠕虫扫描检测模块41可以包括第一统计单 元51和#是似蠕虫扫描确定单元5 2 。
其中,第一统计单元51用于在预设时间段内,对目标端口收到的扫描数 据包与该目标端口返回的扫描确认数据包的比值进行第一次统计。
疑似蠕虫扫描确定单元52用于若目标端口收到的扫描数据包与所述端口 返回的扫描确认数据包的比值大于预设阈值,将扫描数据包的目标IP地址确 定为第一组疑似蠕虫扫描目标IP地址。
在图4所示结构示意图的基础上,第 一蠕虫扫描源获取模块4 2可以包括第 二统计单元5 3和蠕虫扫描确定单元54 。
其中,第二统计单元53用于在预设时间段内,对不包括第一组疑似蠕虫 扫描目标IP地址的其他目标IP地址所对应的该目标端口收到的扫描凄t据包与 该目标端口返回的扫描确认数据包的比值进行第二次统计;
蠕虫扫描确定单元54用于若目标端口收到的扫描数据包与目标端口返回的扫描确认数据包的比值大于预设阈值,将扫描数据包的源IP地址确定为蠕 虫扫描源IP地址。
在本实施例中,扫描数据包具体可以为SYN包,扫描确认数据包具体可以 为SYNACK包。除了可以采用SYN包进行扫描外,还可以采用其他的扫描数据 包,仿H口网纟各4空制消息十办i义(Internet Control Message Protocol,以 下简称I CMP )数据包进行扫描。
需要说明的是,本发明的第 一蠕虫扫描检测模块41和第 一蠕虫扫描源获 取模块4 2还可以采用现有技术中其他检测蠕虫扫描的方法。
本实施例利用蠕虫扫描数据包将不会出现所扫描的目标IP地址重复的情 况,通过第一统计单元51统计目标端口的数据包,疑似蠕虫扫描确定单元52 初步确定蠕虫扫描源IP地址,第二统计单元53结合第一次的统计结果,进行 二次统计,蠕虫扫描确定单元54确定蠕虫扫描源IP地址,提高了识别蠕虫扫 描的准确率。
如图6所示,为本发明检测蠕虫扫描的装置第三实施例的结构示意图,可 以包括第二蠕虫扫描检测模块60、第三蠕虫扫描检测模块6l和第二蠕虫扫描 源获取模块62。
第二蠕虫扫描检测模块60用于对目标端口进行第 一次蠕虫检测,获得第 一组疑似蠕虫扫描目标IP地址;
第三蠕虫扫描检测模块61用于对目标端口进行第二次蠕虫检测,获得第 二组疑似蠕虫扫描目标IP地址;
第二蠕虫扫描源获取模块62用于比较第一组疑似蠕虫扫描目标IP地址和 第二组疑似蠕虫扫描目标IP地址,将第二组疑似蠕虫扫描目标IP地址中与第 一组疑似蠕虫扫描目标IP地址不同的目标IP地址确定为蠕虫扫描目标IP地址,将与蠕虫扫描目标IP地址对应的源I P地址确定为蠕虫扫描源I P地址。
本实施例利用蠕虫扫描数据包将不会出现所扫描的目标IP地址重复的情
况,通过第二蠕虫扫描检测模块60和第三蠕虫扫描检测模块61对目标端口的 数据包进行两次蠕虫扫描检测,排除了被重复扫描的目标IP地址,提高了识 别蠕虫扫描的准确率。
程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于 一计算机可获取存储介质中,该程序在执行时,可包括如上述各方法的实施 例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory, ROM)或随机存储记忆体(Random Access Memory, RAM)等。 最后应说明的是以上实施例仅用以说明本发明的技术方案而非限制, 尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当 理解,可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明技 术方案的^"神和范围。
权利要求
1、一种检测蠕虫扫描的方法,其特征在于,包括对目标端口进行第一次蠕虫检测,获得第一组疑似蠕虫扫描目标IP地址;对不包括所述第一组疑似蠕虫扫描目标IP地址的其他目标IP地址所对应的所述目标端口进行蠕虫检测,获得蠕虫扫描源IP地址。
2、 根据权利要求l所述的方法,其特征在于,所述对目标端口进行第一 次蠕虫检测,获得第一组疑似蠕虫扫描目标IP地址包括在预设时间段内,对目标端口收到的扫描数据包与所述端口返回的扫描 确认数据包的比值进行第 一次统计;若所述目标端口收到的扫描数据包与所述目标端口返回的扫描确认数据 包的比值大于预设阈值,将所述扫描数据包的目标IP地址确定为第一组疑似 蠕虫扫描目标IP地址。
3、 根据权利要求1或2所述的方法,其特征在于,所述对不包括所述第一 组疑似蠕虫扫描目标IP地址的其他目标IP地址所对应的所述目标端口进^f亍蠕 虫才企测,获得蠕虫扫描源IP地址包括在预设时间段内,对不包括所述第一组疑似蠕虫扫描目标IP地址的其他 目标IP地址所对应的所述目标端口收到的扫描H据包与所述目标端口返回的 扫描确认数据包的比值进行第二次统计;若所述目标端口收到的扫描数据包与所述目标端口返回的扫描确认数据 包的比值大于预设阈值,将所述扫描数据包的源IP地址确定为蠕虫扫描源IP 地址。
4、 一种检测蠕虫扫描的方法,其特征在于,包括对目标端口进行第一次蠕虫检测,获得第一组疑似蠕虫扫描目标IP地址; 对所述目标端口进行第二次蠕虫检测,获得第二组疑似蠕虫扫描目标IP 地址;比较所述第一组疑似蠕虫扫描目标IP地址和所述第二组疑似蠕虫扫描目 标IP地址,将所述第二组疑似蠕虫扫描目标IP地址中与所述第一组lt似蠕虫 扫描目标IP地址不同的目标IP地址确定为蠕虫扫描目标IP地址,将与所述蠕 虫扫描目标IP地址对应的源IP地址确定为蠕虫扫描源IP地址。
5、 一种检测蠕虫扫描的装置,其特征在于,包括 第一蠕虫扫描检测模块,用于对目标端口的进行第一次蠕虫检测,获得第一组疑似蠕虫扫描目标IP地址;第一蠕虫扫描源获取模块,用于对不包括所述第一组疑似蠕虫扫描目标 I P地址的其他目标I P地址所对应的所述目标端口进行蠕虫检测,获得蠕虫扫 描源IPi也址。
6、 根据权利要求5所述的装置,其特征在于,所述第一蠕虫扫描4企测模 块包括 、第一统计单元,用于在预设时间段内,对目标端口收到的扫描数据包与 所述目标端口返回的扫描确认数据包的比值进行第 一次统计; 疑似蠕虫扫描确定单元,用于若所述目标端口收到的扫描数据包与所述 端口返回的扫描确认数据包的比值大于预设阈值,将所述扫描数据包的目标 IP地址确定为第 一组疑似蠕虫扫描目标IP地址。
7、 根据权利要求5或6所述的装置,其特征在于,所述第一蠕虫扫描源获 取模块包括第二统计单元,用于在预设时间段内,对不包括所述第一组疑似蠕虫扫描目标IP地址的其他目标IP地址所对应的所述目标端口收到的扫描数据包与所述目标端口返回的扫描确认数据包的比值进行第二次统计;蠕虫扫描确定单元,用于若所述目标端口收到的扫描数据包与所述目标 端口返回的扫描确认数据包的比值大于预设阈值,将所述扫描数据包的源IP 地址确定为蠕虫扫描源I p地址。
8、 一种检测蠕虫扫描的装置,其特征在于,包括第二蠕虫扫描检测模块,用于对目标端口进行第一次蠕虫检测,获得第 一组疑似蠕虫扫描目标IP地址;第三蠕虫扫描检测模块,用于对所述目标端口进行第二次蠕虫检测,获 得第二组疑似蠕虫扫描目标IP地址;第二蠕虫扫描源获取模块,用于比较所述第一组疑似蠕虫扫描目标IP地 址和所述第二组疑似蠕虫扫描目标IP地址,将所述第二组者是似蠕虫扫描目标 IP地址中与所述第一组lt似蠕虫扫描目标IP地址不同的目标IP地址确定为蠕 虫扫描目标IP地址,将与所述蠕虫扫描目标IP地址对应的源IP地址确定为蠕 虫扫描源IP地址。
全文摘要
本发明实施例涉及一种检测蠕虫扫描的方法和装置。其中,一种检测蠕虫扫描的方法包括对目标端口进行第一次蠕虫检测,获得第一组疑似蠕虫扫描目标IP地址;对不包括所述第一组疑似蠕虫扫描目标IP地址的其他目标IP地址所对应的所述目标端口进行蠕虫检测,获得蠕虫扫描源IP地址。本发明实施例提高了识别蠕虫扫描的准确率。
文档编号H04L12/26GK101626321SQ20091009125
公开日2010年1月13日 申请日期2009年8月14日 优先权日2009年8月14日
发明者王丹峰 申请人:成都市华为赛门铁克科技有限公司