[发明专利]一种确定TCP端口扫描的方法及装置

说明书

技术领域

本发明涉及工业以太网技术领域，尤其涉及一种确定TCP端口扫描的方法及装置。

背景技术

端口扫描是指攻击者发送一组端口扫描报文，试图以此侵入设备，获取设备的各种有用信息的一种方法。通过检测技术检测扫描报文中特定的标志位，可以对已知特征的端口扫描行为进行迅速、精确的检测，但对于未知特征的扫描行为则不能检测出。

在进行端口扫描时，针对每个端口在固定时间长度T（窗口值）内，发送的报文数量是否超过设定的阈值N，当该端口发送的报文数量超过设定的阈值N时，则确定该端口在进行端口扫描。但是该方法中时间长度T为固定值，无法有效检测出发送周期比较长的端口扫描（低速端口扫描）报文。

而采用Bayesian Networks等统计模型，可以对时间长度T进行调整，但是该方法具有“抗噪声”差的弱点，当扫描者在扫描时加入大量源地址、源端口随机伪造的“噪声”扫描，将导致时间长度T的提高，时间长度T越长，由于在该时间长度T内接收到的数据包都要缓存，因此将浪费掉大量的内存和CPU的检测时间，不利于提高端口扫描的效率。

snort检测方法可以在一个时间长度T内，检测从同一个源地址X发往不同目的地址Y的报文是否多于设定的阈值N个，当该报文数量多于N个时，则确定为端口扫描行为。同样的scanlogd检测的也是所有的端口，不管端口是开放的还是不开放的，portsentry检测的则是不开放的端口，synlog检测方法记录网络上半连接的状态，通过检测是否为半连接状态，从而检测是否为端口扫描行为。

上述检测方法中，snort检测方法中保存有扫描列表，该扫描列表中用源地址来进行分类，即接收不同源地址发送的报文，但该检测方法对不同源地址发送的报文不进行关联，并且在该检测方法中时间长度T和设置的阈值N虽然可以设定，但是设定后就不能改变了，而针对不同的网络、不同的设备会出现不同的情况，因此很难确定出一个针对哪种场景都适用的T和N值，因此基本上很难针对每种场景都能达到较好的检测效果。

发明内容

本发明实施例提供一种确定TCP端口扫描的方法及装置，用以解决现有技术在进行端口扫描检测时，效率低、适用范围窄的问题。

本发明实施例提供了一种确定TCP端口扫描的方法，适用于通过转发装置进行报文转发的场景，所述方法包括：

转发装置根据适用于通过转发装置进行报文转发的场景设置的白名单规则，过滤出待确定的端口扫描报文；

根据TCP报文中SYN报文的特征，在待确定的端口扫描报文中识别SYN报文；

针对识别出的每个SYN报文，根据该SYN报文的源地址信息和目的地址信息，构造SYN报文的响应确认SYN加ACK报文，并向该SYN报文的源地址信息对应的设备发送；

检测是否收到该源地址信息对应的设备向该目的地址信息对应的设备发送ACK报文；

当该源地址信息对应的设备向该目的地址信息对应的设备发送ACK报文时，检测在时间长度T1内是否同时扫描该目的地址信息对应设备的存在和不存在的目的地址或目的端口；

当确定有同时扫描该目的地址信息对应设备的存在和不存在的目的地址或目的端口时，统计该同时扫描该目的地址信息对应设备的存在和不存在的目的地址或目的端口的SYN报文数量，检测该SYN报文数量是否大于设定的阈值N1；

当该同时扫描该目的地址信息对应设备的存在和不存在的目的地址或目的端口的SYN报文数量大于设定的阈值N1时，确定该源地址信息对应的设备在进行TCP端口扫描。

本发明实施例提供了一种确定TCP端口扫描的装置，适用于通过转发装置进行报文转发的场景，所述装置包括：

过滤模块，用于根据设置的白名单规则，过滤出待确定的端口扫描报文；

识别模块，用于根据TCP报文中SYN报文的特征，在待确定的端口扫描报文中识别出SYN报文；

构造发送模块，用于针对识别出的每个SYN报文，根据该SYN报文的源地址信息和目的地址信息，构造SYN报文的响应确认SYN加ACK报文，并向该SYN报文的源地址信息对应的设备发送；