[发明专利]一种网络扫描发包速率探测系统及方法

说明书

本发明涉及一种网络扫描发包速率探测系统及方法，用于确定在不同网络环境中进行扫描工作的扫描主机的最佳发包速率。本发明首先从大量实验数据中获取先验知识，确定算法一些重要参数的初始值，然后在实际探测过程中对特定IP段重复扫描行为，根据实时存活主机数更新优化发包速率，并最终得到最佳速率值。本发明的最终目的是在进行网络扫描工作之前，扫描主机通过运行算法能在较短时间内自动探测到所处网络环境中的最佳扫描发包速率，从而在保证扫描效果的同时提高了扫描效率。

技术领域

本发明属于网络安全、网络扫描技术领域，具体涉及一种网络扫描发包速率探测系统及方法。

背景技术

网络扫描基于网络通信协议，利用各种常用的扫描技术，发送数据包去探测目标主机的端口和服务，收集目标主机的反馈信息，从而发现目标主机是否存活、服务器各TCP/UDP端口的分配、所开放的服务以及存在的可能被利用的安全漏洞。它在安全研究领域应用非常广泛，能帮助研究者探测网络拓扑，发现网络设备的漏洞以便及时修补避免被攻击，同时可以进行一些安全防护策略的应用效果评估等。现有的网络地址数目庞大，全网空间的网络扫描会消耗大量的时间，是网络扫描面临的新挑战，也是近些年研究的热点之一。例如IPv4的地址空间具有43亿IP，快速全网扫描工具Zmap能够在一秒内发送超过140万个探测包，从而可以在45分钟内完成IPv4地址空间的扫描。类似的工具Masscan能够一秒发送超过1000万个探测包，在不到6分钟的时间内扫描全网。

然而，上述的两个工具假设扫描主机拥有足够的上行带宽(指用户电脑向网络发送信息时的数据传输速率)，而一般网络环境中进行网络扫描，扫描主机带宽受限，加上其他影响因素，会出现数据包丢失的问题。扫描行为的丢包主要有四个原因：扫描主机上行带宽限制，第一跳路由或交换机的转发速率限制，网络拥塞限制以及目标网络限制。

目前，在端到端的网络环境性能探测方面已有相关成果，但在网络扫描这种一对多的模型之下的网络环境性能探测研究成果甚少，网络扫描基本都假设扫描主机拥有足够的上行带宽，事实上并不如此，从而现有的研究成果不能很好的直接应用于实际扫描。

发明内容

本发明针对现有技术的不足，提供一种网络扫描发包速率探测系统及方法。该方法是探测最佳扫描发包速率的学习算法，既能充分利用快速扫描工具的快速探测功能，又尽可能的消除了数据包丢失的问题。需要注意的是，该方法是在扫描工作开始之前进行探测，在得到最佳发包速率后利用该速率作为扫描的一个参数来进行扫描工作，并不是在扫描过程实时学习获取最佳发包速率。

本发明解决上述技术问题的技术方案如下：

一种网络扫描发包速率探测系统，包括参数初始化单元、扫描探测单元、发包速率学习更新单元和Socket通信单元；

所述参数初始化单元，负责根据依赖的先验知识下各参数的大致比例及相关关系确定一些重要的初始参数值，包括扫描的IP段网络前缀位数、该IP段的初始端口开放主机数N以及最佳发包速率所处的带宽区间等，为后面的扫描探测单元确定大致的参数范围，以便在该范围内检索最佳发包速率；

所述扫描探测单元，负责对特定目标IP段进行端口扫描，并记录扫描得到的对应端口开放的主机数，同时将结果提供给后续单元进行学习；

所述发包速率学习更新单元，负责根据扫描探测单元得到实时端口开放主机数，并将其与初始端口开放主机数N或者上一轮更新后的端口开放主机数N进行比较，进而动态学习更新，得到准确的适合当时网络环境的扫描发包速率；

所述Socket通信单元，负责实现扫描探测单元与发包速率学习更新单元之间的通信。

进一步地，所述参数初始化单元包括由大量人工实验得到的先验知识；所述先验知识是由大量人工实验得到的，包括扫描主机的上行带宽与最佳发包速率的比例关系、开放80端口较多的稳定IP段以及不同上行带宽所对应的IP段的网络前缀位数等。