[发明专利]一种降低WEB服务器误检率的TAPS优化方法

说明书

技术领域

本发明涉及的是一种网络扫描检测方法，具体地说主要是一种降低WEB服务器误检率的TAPS优化方法。

背景技术

随着防御功能越来越强大，网络扫描方法的变化也越来越多样化，传统的、简单的、低层次的端口扫描检测技术，已经不能够满足要求，难以正确的、高效的检测出端口扫描行为，所以需要对正常的网络流量和数据包特点以及发生扫描行为时的流量和数据包特点进行更加深入的对比分析。但是，正常的网络行为会对检测端口扫描行为发生干扰，发生误检的情况也会存在。此时，如何提高检测端口扫描行为的正确率，降低检测端口扫描行为的误检率变得尤为重要。

目前的TAPS方法也存在一个非常普遍的缺点，那就是在检测出来的IP地址中，会出现大量的误检情况，在误检的IP地址中分析得出，许多WEB服务器被误当成了扫描主机。众所周知，在大多数情况下，WEB服务器会被极少数的客户端访问，这就导致WEB服务器的目的IP地址数很小。同时，多数客户端的浏览器在访问网站的时候，会同时使用多个源端口号发起并发连接，这就导致了WEB服务器的目的端口数很多。它的目的端口数与目的IP地址数比值也是很高的，所以会有很多WEB服务器被误识别为扫描机。

发明内容

本发明的目的在于提供一种能够正确地检测出WEB服务器的降低WEB服务器误检率的TAPS优化方法。

本发明的目的是这样实现的：

首先计算待检测主机的IP与端口的比值或者反比，然后通过与阈值进行比较，分两种情况进行每个源IP地址的比率值的计算，再将比率值与阈值进行比较，提取出疑似扫描机的集合；最后在疑似扫描机的集合中筛选出WEB服务器，得到新的扫描机集合。

本发明还可以包括：

1、所述提取出疑似扫描机的集合具体包括：二者若有其一大于阈值，那么计算假设是扫描机的条件概率，并更新源主机的比率值，计算公式为假设是扫描机的条件概率乘以上一次的比率值；若二者都小于等于阈值，那么计算假设是良性主机的条件概率，并更新源主机的比率值，计算公式为假设是良性主机的条件概率乘以上一次的比率值。

2、所述筛选出WEB服务器具体包括：首先判断在一个时间段内，待检测主机的入站连接数是否是远远大于出站连接数的，若是，进行下面的判断；然后判断多个IP地址访问待检测主机的时间，是否呈现了一定的规律性，若是，进行下面的判断；最后判断待检测主机用来通信的端口数是不是固定的极少几个，若是，则为WEB服务器将其剔除，得到新的扫描机集合。

与现有技术相比，本发明具有如下的有益效果：

本发明针对现有的TAPS方法会将WEB服务器误当成扫描主机，提出了一种降低WEB服务器误检率的TAPS优化方法，将TAPS和WEB服务器检测相结合，在疑似扫描机的集合中筛选出WEB服务器，得到新的扫描机集合。通过实验验证了TAPS方法会将WEB服务器误当成扫描主机，同时本发明可以正确的检测出WEB服务器，从而降低误检率。

附图说明

图1为TAPS方法流程图。

图2为降低WEB服务器误检率的TAPS优化方法框架图。

图3为TAPS方法与本发明的实验结果对比图。

具体实施方式

下面结合具体实施例对本发明进行详细说明。

本发明的降低WEB服务器误检率的TAPS优化方法，具体包括以下步骤：

步骤1：提取疑似扫描机的集合；

步骤2：筛选WEB服务器；

所述步骤1主要包括下列步骤：

步骤11，计算一段时间内待检测主机的目的IP地址数与目的端口数的比值或者反比。

步骤12，将比值与阈值进行比较。若有其一大于阈值，那么计算假设是扫描机的条件概率，并更新源主机的比率值，计算公式为假设是扫描机的条件概率乘以上一次的比率值。若二者都小于等于阈值，那么计算假设是良性主机的条件概率，并更新源主机的比率值，计算公式为假设是良性主机的条件概率乘以上一次的比率值。

步骤13，将比率值与阈值进行比较，若比率值大于η₁，则将此IP地址加入到扫描机序列当中；若其值小于η₀，将此IP地址删除。其中，η₀和η₁代表常数，η₀为0.01，η₁为99。

所述步骤2主要包括下列步骤：