一种探测行为识别的方法及装置与流程

本发明涉及探测行为识别，具体为一种探测行为识别的方法及装置。

背景技术：

1、随着互联网的普及和技术的发展，各种各样的扫描器及自动化工具不断涌现，使得网络攻击变得更加容易和普遍，重要资产和关键基础设施经常遭受到大量的黑客和网络犯罪分子的攻击探测，网络安全面临着来自各方面的威胁。

2、公开号为cn111586005b的中国专利公开了一种扫描器扫描行为识别方法、装置、电子设备及计算机可读介质，主要通过由服务器前端获取当前访问的数据包；对所述数据包进行拆解分析，提取当前指纹特征；将所述当前指纹特征和指纹特征库中的多个指纹特征进行匹配；在所述当前指纹特征和所述多个指纹特征中的任一指纹特征匹配成功时，确定当前访问中包含扫描器扫描行为的方式，能够大大降低不法分子利用扫描器去发现服务器的漏洞的几率，增加不法人员发现服务器漏洞的时间成本，保护服务器的网络安全，上述专利虽然解决了探测行为识别的问题，但是在实际操作中还存在以下问题：

3、1.在对数据进行探测行为识别时，没有对异常的探测行为数据进行有效的阻断，从而使异常的数据进行数据交换导致资产出现安全情况欠佳。

4、2.在对探测无漏洞的数据进行正常数据交换时，没有对数据交换的传输信道以及传输完成后的存储空间进行对应的选择，从而导致数据交换时效率过慢。

技术实现思路

1、本发明的目的在于提供一种探测行为识别的方法及装置，通过传输控制协议的连接数量、传输控制协议是否为连接成功以及传输控制协议连接成功数量均不在合格的阈值范围内，则表示该数据为探测行为数据，通过对探测行为数据的确认可以进一步的提高对数据漏洞探测的准确性，通过对日志信息的获取，可以进一步的追溯到该探测行为数据的具体ip地址，从而可以更好的阻断该ip地址以后发送的所有信息，有效的提高了探测行为识别的准确性，可以解决现有技术中的问题。

2、为实现上述目的，本发明提供如下技术方案：

3、一种探测行为识别的方法，包括如下步骤；

4、s1：将hash信息表数据进行获取，hash信息表数据获取后将具备相同的hash信息表数据进行网络通信行为中的源ip地址和目的ip地址运算，并将运算结果存储在hash信息表数据中，同时，对源ip地址进行安全检测；

5、s2：将网络通信行为中的传输控制协议进行行为监测，根据传输控制协议的监测结果进行探测行为判断，当网络通信行为判断为探测行为时，通过配置效果阈值控制输出结果，其中，输出结果包括告警结果和阻断结果，当网络通信行为为正常行为时，不输出日志信息；

6、s3：当探测行为判断处理完成后，将探测为无漏洞的数据的传输信道和导入空间进行选择，传输信道和导入空间均选择完成后，则标注该探测行为数据为安全数据。

7、优选的，针对s1中源ip地址和目的ip地址的运算，包括：

8、源ip地址和目的ip地址进行运算时，若网络通信行为中的源ip地址和目的ip地址与hash信息表数据中的源ip地址和目的ip地址相同，则说明网络通信行为与hash信息表数据是同一组源ip地址和目的ip地址，并且hash信息表数据存储唯一的源ip地址和目的ip地址的组合。

9、优选的，针对s1中源ip地址的安全检测，包括：

10、将源ip地址导入至黑白名单数据库中，当源ip地址在白名单中，网络通信行为为正常行为；当源ip地址在黑名单中，网络通信行为为探测行为，则不进行下一步操作。

11、优选的，针对s2中网络通信行为中传输控制协议的行为监测，包括：

12、当传输控制协议的连接数量小于标准传输控制协议的第一阈值时，则该传输控制协议对应的网络通信行为为正常行为；

13、其中，传输控制协议的连接为同一时刻的五元组唯一，其中五元组包括源ip地址、源端口、目的ip地址、目的端口和协议，传输控制协议的连接数量为对多个传输控制协议连接做统计。

14、优选的，针对s2中网络通信行为中传输控制协议的行为监测，还包括：

15、当传输控制协议的连接数量大于标准传输控制协议的第一阈值时，并且传输控制协议连接成功数量大于标准传输控制协议的第二阈值时，则该传输控制协议对应的网络通信行为为正常行为；

16、其中，传输控制协议连接成功为传输控制协议的确认字符在同一条传输控制协议连接流中，网络通信行为中存在传输控制协议的确认字符时，表示传输控制协议连接成功；

17、当传输控制协议连接成功数量小于标准传输控制协议的第二阈值，并且目的端口数量小于标准传输控制协议的第三阈值时，则该传输控制协议对应的网络通信行为为正常行为；

18、其中，端口数量为探测源通过传输控制协议的同步序列数据包发送的端口数据；

19、当目的端口数量大于标准传输控制协议的第三阈值时，则该传输控制协议对应的网络通信行为为探测行为。

20、优选的，针对s2中网络通信行为中传输控制协议的行为监测，还包括：

21、当效果阈值为虚假数据或0时，则该效果阈值为告警结果，当效果阈值为真实数据或1时，则该效果阈值为阻断结果；

22、当效果阈值为虚假数据或0时，直接输出一条日志信息，日志信息内容包括：时间、源ip地址、目的ip地址、端口号及告警结果；

23、当效果阈值为真实数据或1时，会发送传输控制协议的重置数据包对当前链接进行阻断，输出一条日志信息，内容包括：时间、源ip地址、目的ip地址、端口号及阻断结果。

24、优选的，针对s3中判断无漏洞的数据的传输信道和导入空间的选择，包括：

25、将探测无漏洞数据的数据长度进行获取，探测无漏洞数据的数据长度获取完成后标注为长度数据，并将长度数据转换为容量数据；

26、将导入空间数据进行获取，导入空间数据为多个，分别将每个导入空间的总容量信息和剩余容量信息进行确认；

27、再将探测无漏洞数据传输至导入空间的传输信道数据进行获取，其中，传输信道数量与导入空间的数量为一致；

28、对传输信道的信道参数进行确认，其中，传输信道的信道参数包括传输信道饱和度和传输信道剩余容量；

29、根据容量数据选择对应的传输信道，再根据传输信道选择对应的导入空间，其中，容量数据的容量小于传输信道的剩余容量，传输信道的剩余容量小于导入空间的剩余容量。

30、优选的，根据容量数据选择对应的传输信道，包括：

31、提取所述每个传输信道的剩余容量；

32、提取所述每个传输信道的单位时间的额定数据吞吐量；

33、利用所述每个传输信道的剩余容量和额定数据吞吐量设置第一剩余容量阈值和第二剩余容量阈值；其中，所述第一剩余容量阈值和第二剩余容量阈值通过如下公式获取：

34、

35、

36、其中，c01和c02分别表示第一剩余容量阈值和第二剩余容量阈值；ce表示传输信道的剩余容量；e表示常数；n表示容量数据的容量小于传输信道的剩余容量的传输信道总个数；ci表示第i个传输信道的单位时间的额定数据吞吐量；cp表示n个传输信道的平均的单位时间的数据吞吐量；cz表示传输信道已被占用的容量；

37、当所述容量数据的容量不超过所述第一剩余容量阈值时，则认定所述容量数据的容量不超过所述第一剩余容量阈值所对应的传输信道为目标信道；

38、当所述容量数据的容量超过所述第一剩余容量阈值，但，未超过第二剩余容量阈值时，则将所述容量数据的容量超过所述第一剩余容量阈值，但，未超过第二剩余容量阈值所对应的传输信道作为备选信道；

39、当所述容量数据的容量超过所述第二剩余容量阈值，则将所述容量数据的容量超过所述第二剩余容量阈值对应的传输信道作为放弃信道。

40、优选的，根据传输信道选择对应的导入空间，包括：

41、提取所述每个导入空间的剩余容量；

42、提取所述每个导入空间的单位时间的数据导入量；

43、利用所述每个导入空间的剩余容量和所述每个导入空间的单位时间的数据导入量设置空间剩余容量阈值；其中，所述空间剩余容量阈值通过如下公式获取：

44、

45、其中，ck表示空间剩余容量阈值；czk表示导入空间的已占用容量；m表示传输信道的剩余容量小于导入空间的剩余容量的导入空间个数；cki表示第i个导入空间的每个导入空间的单位时间的数据导入量；ckpi表示第i个导入空间的每个导入空间的单位时间的平均数据导入量；

46、当所述传输信道的剩余容量不超过所述空间剩余容量阈值时，则认定所述导入空间为目标空间；

47、当所述传输信道的剩余容量超过所述空间剩余容量阈值时，则认定所述导入空间为放弃空间。

48、本发明提供另一种技术方案，一种探测行为识别方法的装置，包括：

49、主机和主机端口；

50、先将主机进行主机漏洞探测，其中，主机漏洞探测包括i cmp(集成电路板)漏洞探测和tcp syn(同步器)漏洞探测；

51、主机漏洞探测完成后进行主机端口探测，其中，主机端口探测为tcp syn(同步器)端口探测。

52、与现有技术相比，本发明的有益效果如下：

53、1.本发明提供的一种探测行为识别的方法及装置，通过传输控制协议的连接数量、传输控制协议是否为连接成功以及传输控制协议连接成功数量均不在合格的阈值范围内，则表示该数据为探测行为数据，通过对探测行为数据的确认可以进一步的提高对数据漏洞探测的准确性。

54、2.本发明提供的一种探测行为识别的方法及装置，通过对日志信息的获取，可以进一步的追溯到该探测行为数据的具体ip地址，从而可以更好的阻断该ip地址以后发送的所有信息，有效的提高了探测行为识别的准确性。

55、3.本发明提供的一种探测行为识别的方法及装置，根据探测无漏洞数据的容量选择比该数据容量大的传输信道，根据此方法可以使数据进行交换时传输的速度更快，根据该数据交换后的传输信道容量选择比该传输信道容量大的导入空间，根据此方法可以使交换数据保存的存储空间的容量更大，不会出现容量外溢导致的数据出现安全隐患的问题。