一种端口检测方法及系统与流程
本发明涉及网络检测技术领域,尤其涉及一种端口检测方法及系统。
背景技术:
随着网络应用的发展,需要对网络行为进行很好地管理,需要了解网络运行状况,如运行哪些端口,以及不同端口的访问频率,判断是否进行攻击等网络行为。
目前,netflow网络流量分析可以基本了解网络运行状况,以及带宽使用情况,更多的是根据源ip、目的ip、源端口、目的端口、协议等五元组信息来做分类汇总,发现疑似异常流量、异常端口;汇总分析的条件很简单,主要针对ip/flow/packet/port等,如果把这些做为异常数据报警,误报率会很高,需要更多的人工介入。nmap工具,可以利用版本检测,nmap-sv可以扫描出目标服务器ip的端口上运行的软件版本,通过解析,可获取目标服务器ip的端口、真实服务等详细信息,但是检测单个ip的所有端口的版本信息,耗时很长,需要分钟级别,更不适合企业大规模检测。netflow重点在网络流量行为的汇总分析,nmap端口扫描工具重点在端口扫描,两者均没有筛选异常端口和报警机制。
因此,如何有效的进行端口检测,是一项亟待解决的问题。
技术实现要素:
有鉴于此,本发明提供了一种端口检测方法,能够先通过netflow初步筛选出疑似异常端口,再针对疑似异常端口进一步通过nmap工具检测、分析,增加服务级别,双重因子筛选出异常端口。
本发明提供了一种端口检测方法,包括:
采集网络设备的流信息;
基于采集到的所述流信息,对同一目的ip的目的端口的访问频率进行分别统计,计算预设时间内的平均访问频率;
当访问频率大于所述平均访问频率的m倍时,记录目的ip和目的端口;
扫描所述目的ip的目的端口的服务和版本信息,判断是否为高频端口,若是,则:
分析所述高频端口的服务,基于所述高频端口的服务生成相应的告警信息。
优选地,在所述采集网络设备的流信息之前,还包括:
对端口进行服务分级,其中,所述服务分级包括:普通服务、敏感服务和弱密码服务。
优选地,所述分析所述高频端口的服务,基于所述高频端口的服务生成相应的告警信息,包括:
当所述高频端口的服务为敏感服务时,生成敏感服务告警信息。
优选地,所述分析所述高频端口的服务,基于所述高频端口的服务生成相应的告警信息,包括:
当所述高频端口的服务为弱密码服务时,生成弱密码服务告警信息。
优选地,所述分析所述高频端口的服务,基于所述高频端口的服务生成相应的告警信息,包括:
当所述高频端口的服务为普通服务时,判断访问频率是否连续n次超过所述平均访问频率,若是,则生成普通服务告警信息。
一种端口检测系统,包括:
信息采集模块,用于采集网络设备的流信息;
计算模块,用于基于采集到的所述流信息,对同一目的ip的目的端口的访问频率进行分别统计,计算预设时间内的平均访问频率;
记录模块,用于当访问频率大于所述平均访问频率的m倍时,记录目的ip和目的端口;
判断模块,用于扫描所述目的ip的目的端口的服务和版本信息,判断是否为高频端口;
报警模块,用于当为高频端口时,分析所述高频端口的服务,基于所述高频端口的服务生成相应的告警信息。
优选地,所述系统还包括:
服务分级模块,用于对端口进行服务分级,其中,所述服务分级包括:普通服务、敏感服务和弱密码服务。
优选地,所述报警模块具体用于:
当所述高频端口的服务为敏感服务时,生成敏感服务告警信息。
优选地,所述报警模块具体用于:
当所述高频端口的服务为弱密码服务时,生成弱密码服务告警信息。
优选地,所述报警模块具体用于:
当所述高频端口的服务为普通服务时,判断访问频率是否连续n次超过所述平均访问频率,若是,则生成普通服务告警信息。
综上所述,本发明公开了一种端口检测方法,首先采集网络设备的流信息,然后基于采集到的所述流信息,对同一目的ip的目的端口的访问频率进行分别统计,计算预设时间内的平均访问频率;当访问频率大于平均访问频率的m倍时,记录目的ip和目的端口;扫描目的ip的目的端口的服务和版本信息,判断是否为高频端口,若是,则:分析高频端口的服务,基于高频端口的服务生成相应的告警信息。本发明能够先通过netflow初步筛选出疑似异常端口,再针对疑似异常端口进一步通过nmap工具检测、分析,增加服务级别,双重因子筛选出异常端口,并进行相应的告警。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明公开的一种端口检测方法实施例1的方法流程图;
图2为本发明公开的一种端口检测方法实施例2的方法流程图;
图3为本发明公开的一种端口检测方法实施例3的方法流程图;
图4为本发明公开的一种端口检测方法实施例4的方法流程图;
图5为本发明公开的一种端口检测系统实施例1的结构示意图;
图6为本发明公开的一种端口检测系统实施例2的结构示意图;
图7为本发明公开的一种端口检测系统实施例3的结构示意图;
图8为本发明公开的一种端口检测系统实施例4的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,为本发明公开的一种端口检测方法实施例1的方法流程图,所述方法可以包括以下步骤:
s101、采集网络设备的流信息;
当需要对端口进行检测时,首先对网络设备进行信息采集。具体的,采集网络设备的netflow流或sflow流,获取源ip、目的ip、源端口、目的端口、协议、时间戳,并通过ip关联公司资产管理平台的责任人、邮箱等基础信息。
s102、基于采集到的流信息,对同一目的ip的目的端口的访问频率进行分别统计,计算预设时间内的平均访问频率;
然后根据采集到的netflow流信息或sflow流信息,对同一目的ip的目的端口的访问频率进行分别统计,计算出预设时间内的平均访问频率。例如,计算出5分钟内的平均访问频率。
s103、当访问频率大于平均访问频率的m倍时,记录目的ip和目的端口;
当计算出平均访问频率后,对访问频率和平均访问频率进行判断,判断访问频率是否大于平均访问频率的m倍,其中,m可根据实际需求进行设定。当访问频率大于平均访问频率的m倍时,记录对应的目的ip和目的端口。
s104、扫描目的ip的目的端口的服务和版本信息,判断是否为高频端口,若是,则进入s105:
针对以上初步筛选的目的ip和目的端口,利用nmap工具的版本检测,“nmap–sv目的ip–p目的端口”可扫描以上目的ip的目的端口的服务和版本信息,判断是否为高频端口。
s105、分析高频端口的服务,基于高频端口的服务生成相应的告警信息。
当为高频端口时,进一步根据预先分级的端口服务分级分析高频端口的服务,并根据高频端口的服务生成相应的告警信息。
综上所述,在上述实施例中,当需要对端口进行检测时,首先采集网络设备的流信息,然后基于采集到的所述流信息,对同一目的ip的目的端口的访问频率进行分别统计,计算预设时间内的平均访问频率;当访问频率大于平均访问频率的m倍时,记录目的ip和目的端口;扫描目的ip的目的端口的服务和版本信息,判断是否为高频端口,若是,则:分析高频端口的服务,基于高频端口的服务生成相应的告警信息。本发明能够先通过netflow初步筛选出疑似异常端口,再针对疑似异常端口进一步通过nmap工具检测、分析,增加服务级别,双重因子筛选出异常端口,并进行相应的告警。
如图2所示,为本发明公开的一种端口检测方法实施例2的方法流程图,所述方法可以包括以下步骤:
s201、对端口进行服务分级,其中,服务分级包括:普通服务、敏感服务和弱密码服务;
当需要对端口进行检测时,可以预先根据公司的安全制度及规则,对端口进行服务分级,区分普通服务、敏感服务、弱密码服务。
s202、采集网络设备的流信息;
在对端口进行检测时,首先对网络设备进行信息采集。具体的,采集网络设备的netflow流或sflow流,获取源ip、目的ip、源端口、目的端口、协议、时间戳,并通过ip关联公司资产管理平台的责任人、邮箱等基础信息。
s203、基于采集到的流信息,对同一目的ip的目的端口的访问频率进行分别统计,计算预设时间内的平均访问频率;
然后根据采集到的netflow流信息或sflow流信息,对同一目的ip的目的端口的访问频率进行分别统计,计算出预设时间内的平均访问频率。例如,计算出5分钟内的平均访问频率。
s204、当访问频率大于平均访问频率的m倍时,记录目的ip和目的端口;
当计算出平均访问频率后,对访问频率和平均访问频率进行判断,判断访问频率是否大于平均访问频率的m倍,其中,m可根据实际需求进行设定。当访问频率大于平均访问频率的m倍时,记录对应的目的ip和目的端口。
s205、扫描目的ip的目的端口的服务和版本信息,判断是否为高频端口,若是,则进入s206:
针对以上初步筛选的目的ip和目的端口,利用nmap工具的版本检测,“nmap–sv目的ip–p目的端口”可扫描以上目的ip的目的端口的服务和版本信息,判断是否为高频端口。
s206、当高频端口的服务为敏感服务时,生成敏感服务告警信息。
当为高频端口时,进一步根据预先分级的端口服务分级分析高频端口的服务,当高频端口的服务为敏感服务时,则生成“目的ip的目的端口是敏感服务,且访问频繁高,请密切观察”的告警信息通知责任人。
如图3所示,为本发明公开的一种端口检测方法实施例3的方法流程图,所述方法可以包括以下步骤:
s301、对端口进行服务分级,其中,服务分级包括:普通服务、敏感服务和弱密码服务;
当需要对端口进行检测时,可以预先根据公司的安全制度及规则,对端口进行服务分级,区分普通服务、敏感服务、弱密码服务。
s302、采集网络设备的流信息;
在对端口进行检测时,首先对网络设备进行信息采集。具体的,采集网络设备的netflow流或sflow流,获取源ip、目的ip、源端口、目的端口、协议、时间戳,并通过ip关联公司资产管理平台的责任人、邮箱等基础信息。
s303、基于采集到的流信息,对同一目的ip的目的端口的访问频率进行分别统计,计算预设时间内的平均访问频率;
然后根据采集到的netflow流信息或sflow流信息,对同一目的ip的目的端口的访问频率进行分别统计,计算出预设时间内的平均访问频率。例如,计算出5分钟内的平均访问频率。
s304、当访问频率大于平均访问频率的m倍时,记录目的ip和目的端口;
当计算出平均访问频率后,对访问频率和平均访问频率进行判断,判断访问频率是否大于平均访问频率的m倍,其中,m可根据实际需求进行设定。当访问频率大于平均访问频率的m倍时,记录对应的目的ip和目的端口。
s305、扫描目的ip的目的端口的服务和版本信息,判断是否为高频端口,若是,则进入s306:
针对以上初步筛选的目的ip和目的端口,利用nmap工具的版本检测,“nmap–sv目的ip–p目的端口”可扫描以上目的ip的目的端口的服务和版本信息,判断是否为高频端口。
s306、当高频端口的服务为弱密码服务时,生成弱密码服务告警信息。
当为高频端口时,进一步根据预先分级的端口服务分级分析高频端口的服务,当高频端口的服务为弱密码服务时,则生成“目的ip的目的端口是弱密码,且访问频率高,请即刻修改”的告警信息通知责任人。
如图4所示,为本发明公开的一种端口检测方法实施例4的方法流程图,所述方法可以包括以下步骤:
s401、对端口进行服务分级,其中,所述服务分级包括:普通服务、敏感服务和弱密码服务;
当需要对端口进行检测时,可以预先根据公司的安全制度及规则,对端口进行服务分级,区分普通服务、敏感服务、弱密码服务。
s402、采集网络设备的流信息;
在对端口进行检测时,首先对网络设备进行信息采集。具体的,采集网络设备的netflow流或sflow流,获取源ip、目的ip、源端口、目的端口、协议、时间戳,并通过ip关联公司资产管理平台的责任人、邮箱等基础信息。
s403、基于采集到的流信息,对同一目的ip的目的端口的访问频率进行分别统计,计算预设时间内的平均访问频率;
然后根据采集到的netflow流信息或sflow流信息,对同一目的ip的目的端口的访问频率进行分别统计,计算出预设时间内的平均访问频率。例如,计算出5分钟内的平均访问频率。
s404、当访问频率大于平均访问频率的m倍时,记录目的ip和目的端口;
当计算出平均访问频率后,对访问频率和平均访问频率进行判断,判断访问频率是否大于平均访问频率的m倍,其中,m可根据实际需求进行设定。当访问频率大于平均访问频率的m倍时,记录对应的目的ip和目的端口。
s405、扫描目的ip的目的端口的服务和版本信息,判断是否为高频端口,若是,则进入s406:
针对以上初步筛选的目的ip和目的端口,利用nmap工具的版本检测,“nmap–sv目的ip–p目的端口”可扫描以上目的ip的目的端口的服务和版本信息,判断是否为高频端口。
s406、当高频端口的服务为普通服务时,判断访问频率是否连续n次超过平均访问频率,若是,则生成普通服务告警信息。
当为高频端口时,进一步根据预先分级的端口服务分级分析高频端口的服务,当高频端口的服务为普通服务时,而且访问频率连续n次超过平均访问频率(n可自行设定)时,则生成“目的ip的目的端口访问频率持续过高”的告警信息通知责任人。
综上所述,本发明基于netflow分析和nmap检测,增加服务级别,双重因子筛选异常端口,实现了异常端口的分析以及自动报警,提高了安全防御能力,减少了人工安全运维成本。
如图5所示,为本发明公开的一种端口检测系统实施例1的结构示意图,所述系统可以包括:
信息采集模块501,用于采集网络设备的流信息;
当需要对端口进行检测时,首先对网络设备进行信息采集。具体的,采集网络设备的netflow流或sflow流,获取源ip、目的ip、源端口、目的端口、协议、时间戳,并通过ip关联公司资产管理平台的责任人、邮箱等基础信息。
计算模块502,用于基于采集到的流信息,对同一目的ip的目的端口的访问频率进行分别统计,计算预设时间内的平均访问频率;
然后根据采集到的netflow流信息或sflow流信息,对同一目的ip的目的端口的访问频率进行分别统计,计算出预设时间内的平均访问频率。例如,计算出5分钟内的平均访问频率。
记录模块503,用于当访问频率大于平均访问频率的m倍时,记录目的ip和目的端口;
当计算出平均访问频率后,对访问频率和平均访问频率进行判断,判断访问频率是否大于平均访问频率的m倍,其中,m可根据实际需求进行设定。当访问频率大于平均访问频率的m倍时,记录对应的目的ip和目的端口。
判断模块504,用于扫描目的ip的目的端口的服务和版本信息,判断是否为高频端口;
针对以上初步筛选的目的ip和目的端口,利用nmap工具的版本检测,“nmap–sv目的ip–p目的端口”可扫描以上目的ip的目的端口的服务和版本信息,判断是否为高频端口。
报警模块505,用于当为高频端口时,分析高频端口的服务,基于高频端口的服务生成相应的告警信息。
当为高频端口时,进一步根据预先分级的端口服务分级分析高频端口的服务,并根据高频端口的服务生成相应的告警信息。
综上所述,在上述实施例中,当需要对端口进行检测时,首先采集网络设备的流信息,然后基于采集到的所述流信息,对同一目的ip的目的端口的访问频率进行分别统计,计算预设时间内的平均访问频率;当访问频率大于平均访问频率的m倍时,记录目的ip和目的端口;扫描目的ip的目的端口的服务和版本信息,判断是否为高频端口,若是,则:分析高频端口的服务,基于高频端口的服务生成相应的告警信息。本发明能够先通过netflow初步筛选出疑似异常端口,再针对疑似异常端口进一步通过nmap工具检测、分析,增加服务级别,双重因子筛选出异常端口,并进行相应的告警。
如图6所示,为本发明公开的一种端口检测系统实施例2的结构示意图,所述系统可以包括:
服务分级模块601,用于对端口进行服务分级,其中,所述服务分级包括:普通服务、敏感服务和弱密码服务;
当需要对端口进行检测时,可以预先根据公司的安全制度及规则,对端口进行服务分级,区分普通服务、敏感服务、弱密码服务。
信息采集模块602,用于采集网络设备的流信息;
在对端口进行检测时,首先对网络设备进行信息采集。具体的,采集网络设备的netflow流或sflow流,获取源ip、目的ip、源端口、目的端口、协议、时间戳,并通过ip关联公司资产管理平台的责任人、邮箱等基础信息。
计算模块603,用于基于采集到的流信息,对同一目的ip的目的端口的访问频率进行分别统计,计算预设时间内的平均访问频率;
然后根据采集到的netflow流信息或sflow流信息,对同一目的ip的目的端口的访问频率进行分别统计,计算出预设时间内的平均访问频率。例如,计算出5分钟内的平均访问频率。
记录模块604,用于当访问频率大于平均访问频率的m倍时,记录目的ip和目的端口;
当计算出平均访问频率后,对访问频率和平均访问频率进行判断,判断访问频率是否大于平均访问频率的m倍,其中,m可根据实际需求进行设定。当访问频率大于平均访问频率的m倍时,记录对应的目的ip和目的端口。
判断模块605,用于扫描目的ip的目的端口的服务和版本信息,判断是否为高频端口;
针对以上初步筛选的目的ip和目的端口,利用nmap工具的版本检测,“nmap–sv目的ip–p目的端口”可扫描以上目的ip的目的端口的服务和版本信息,判断是否为高频端口。
报警模块606,用于当为高频端口时,当高频端口的服务为敏感服务时,生成敏感服务告警信息。
当为高频端口时,进一步根据预先分级的端口服务分级分析高频端口的服务,当高频端口的服务为敏感服务时,则生成“目的ip的目的端口是敏感服务,且访问频繁高,请密切观察”的告警信息通知责任人。
如图7所示,为本发明公开的一种端口检测系统实施例3的结构示意图,所述系统可以包括:
服务分级模块701,用于对端口进行服务分级,其中,所述服务分级包括:普通服务、敏感服务和弱密码服务;
当需要对端口进行检测时,可以预先根据公司的安全制度及规则,对端口进行服务分级,区分普通服务、敏感服务、弱密码服务。
信息采集模块702,用于采集网络设备的流信息;
在对端口进行检测时,首先对网络设备进行信息采集。具体的,采集网络设备的netflow流或sflow流,获取源ip、目的ip、源端口、目的端口、协议、时间戳,并通过ip关联公司资产管理平台的责任人、邮箱等基础信息。
计算模块703,用于基于采集到的流信息,对同一目的ip的目的端口的访问频率进行分别统计,计算预设时间内的平均访问频率;
然后根据采集到的netflow流信息或sflow流信息,对同一目的ip的目的端口的访问频率进行分别统计,计算出预设时间内的平均访问频率。例如,计算出5分钟内的平均访问频率。
记录模块704,用于当访问频率大于平均访问频率的m倍时,记录目的ip和目的端口;
当计算出平均访问频率后,对访问频率和平均访问频率进行判断,判断访问频率是否大于平均访问频率的m倍,其中,m可根据实际需求进行设定。当访问频率大于平均访问频率的m倍时,记录对应的目的ip和目的端口。
判断模块705,用于扫描目的ip的目的端口的服务和版本信息,判断是否为高频端口;
针对以上初步筛选的目的ip和目的端口,利用nmap工具的版本检测,“nmap–sv目的ip–p目的端口”可扫描以上目的ip的目的端口的服务和版本信息,判断是否为高频端口。
报警模块706,用于当为高频端口时,当高频端口的服务为弱密码服务时,生成弱密码服务告警信息。
当为高频端口时,进一步根据预先分级的端口服务分级分析高频端口的服务,当高频端口的服务为弱密码服务时,则生成“目的ip的目的端口是弱密码,且访问频率高,请即刻修改”的告警信息通知责任人。
如图8所示,为本发明公开的一种端口检测系统实施例4的结构示意图,所述系统可以包括:
服务分级模块801,用于对端口进行服务分级,其中,所述服务分级包括:普通服务、敏感服务和弱密码服务;
当需要对端口进行检测时,可以预先根据公司的安全制度及规则,对端口进行服务分级,区分普通服务、敏感服务、弱密码服务。
信息采集模块802,用于采集网络设备的流信息;
在对端口进行检测时,首先对网络设备进行信息采集。具体的,采集网络设备的netflow流或sflow流,获取源ip、目的ip、源端口、目的端口、协议、时间戳,并通过ip关联公司资产管理平台的责任人、邮箱等基础信息。
计算模块803,用于基于采集到的流信息,对同一目的ip的目的端口的访问频率进行分别统计,计算预设时间内的平均访问频率;
然后根据采集到的netflow流信息或sflow流信息,对同一目的ip的目的端口的访问频率进行分别统计,计算出预设时间内的平均访问频率。例如,计算出5分钟内的平均访问频率。
记录模块804,用于当访问频率大于平均访问频率的m倍时,记录目的ip和目的端口;
当计算出平均访问频率后,对访问频率和平均访问频率进行判断,判断访问频率是否大于平均访问频率的m倍,其中,m可根据实际需求进行设定。当访问频率大于平均访问频率的m倍时,记录对应的目的ip和目的端口。
判断模块805,用于扫描目的ip的目的端口的服务和版本信息,判断是否为高频端口;
针对以上初步筛选的目的ip和目的端口,利用nmap工具的版本检测,“nmap–sv目的ip–p目的端口”可扫描以上目的ip的目的端口的服务和版本信息,判断是否为高频端口。
报警模块806,用于当为高频端口时,当高频端口的服务为普通服务时,判断访问频率是否连续n次超过平均访问频率,若是,则生成普通服务告警信息。
当为高频端口时,进一步根据预先分级的端口服务分级分析高频端口的服务,当高频端口的服务为普通服务时,而且访问频率连续n次超过平均访问频率(n可自行设定)时,则生成“目的ip的目的端口访问频率持续过高”的告警信息通知责任人。
综上所述,本发明基于netflow分析和nmap检测,增加服务级别,双重因子筛选异常端口,实现了异常端口的分析以及自动报警,提高了安全防御能力,减少了人工安全运维成本。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(ram)、内存、只读存储器(rom)、电可编程rom、电可擦除可编程rom、寄存器、硬盘、可移动磁盘、cd-rom、或技术领域内所公知的任意其它形式的存储介质中。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
- 还没有人留言评论。精彩留言会获得点赞!