[发明专利]一种TCP端口扫描的检测方法有效
| 申请号: | 202010219855.9 | 申请日: | 2020-03-25 |
| 公开(公告)号: | CN111447218B | 公开(公告)日: | 2022-08-05 |
| 发明(设计)人: | 王小东;肖俊杰 | 申请(专利权)人: | 北京天地和兴科技有限公司 |
| 主分类号: | H04L9/40 | 分类号: | H04L9/40;H04L69/163;H04L67/12 |
| 代理公司: | 北京科亿知识产权代理事务所(普通合伙) 11350 | 代理人: | 汤东凤 |
| 地址: | 100193 北京市海淀区东*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 tcp 端口扫描 检测 方法 | ||
1.一种TCP端口扫描的检测方法,其特征在于:包括以下步骤:
S1、网络安全设备通过发射模块向工业控制系统的TCP端口发送RST数据包;
S2、所述网络安全设备通过监控模块过滤出待确定的端口扫描报文,根据TCP报文中RST报文的特性,在待确定的端口扫描报文中识别出RST报文,并对RST报文出现速率进行监控和统计;
S3、所述网络安全设备通过参数配置模块对预设参数a进行自动配置,统计最近1S内的RST报文数为b;设置初始预设参数a0为5、b0为0,当监控模块未检测RST报文时,预定义参数an=10+0.8*an-1+0.2*bn-1;当监控模块检测到RST报文时,预定义参数an=an-1,当管理人员处理端口扫描事件后,再重新采样进行预设参数的估计;
S4、所述网络安全设备通过处理模块对端口扫描行为检测,所述处理模块通过将最近1秒内统计的RST报文数bn与前1秒的预设参数an-1进行对比,若bn大于an-1,则确认发生了TCP端口扫描行为;若bn小于等于an-1,则认为工业控制系统正常,未出现TCP端口扫描行为。
2.根据权利要求1所述的一种TCP端口扫描的检测方法,其特征在于:还包括S5,当确定网络安全设备确认发生了TCP端口扫描行为,则通过报警模块生成报警信息并通知管理人员。
3.根据权利要求1所述的一种TCP端口扫描的检测方法,其特征在于:所述网络安全设备选用扫描器。
4.根据权利要求1所述的一种TCP端口扫描的检测方法,其特征在于:所述网络安全设备开始运行的一段时间内进行预设参数的学习,之后再进行端口扫描行为的检测,所述预设参数的学习时间不少于半小时。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于北京天地和兴科技有限公司,未经北京天地和兴科技有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202010219855.9/1.html,转载请声明来源钻瓜专利网。
- 上一篇:划痕缺陷检测方法、装置、计算设备和存储介质
- 下一篇:一种框架迁移方法及装置
