[发明专利]一种公共网络环境下NMAP网络扫描攻击行为的检测方法

权利要求书

1.一种公共网络环境下NMAP网络扫描攻击行为的检测方法，其特征在于，包括：

S1、捕获流经处于公共网络环境中的终端设备的数据包，构建流量数据特征向量；

S2、将所述流量数据特征向量分别与每种NMAP扫描攻击行为下各种数据包对应的标称特征向量进行特征匹配，确定所述流量数据特征向量是否与该种NMAP扫描攻击行为下的一标称特征向量相同；

S3、当存在一种NMAP扫描攻击行为具有与所述流量数据特征向量相同的标称特征向量，则判断所述公共网络环境受该种NMAP扫描攻击行为攻击，当不存在时则判断所述公共网络环境未受NMAP扫描攻击行为攻击；

所述NMAP扫描攻击行为的种类有：主机发现扫描、端口扫描、操作系统扫描、服务与版本扫描和NSE脚本扫描；

且所述各种数据包对应的标称特征向量包括该数据包内各扫描命令选项对应的标称特征向量，且每个标称特征向量为由其值固定且异于非攻击行为的字段及其对应的字段值构成；

所述S2包括：

计算匹配度M，表示为：

其中，k为当前NMAP扫描攻击行为数据包内所存在的所有扫描命令选项总数；H_i为将所述流量数据特征向量与扫描命令选项i的标称特征向量进行对比所得出的具有相同字段的命中维度，T_i为扫描命令选项i的标称特征向量的总字段维度；

计算匹配权重W，其值为在当前NMAP扫描攻击行为数据包内的扫描命令选项中匹配度M为1的数量；

计算匹配值，表示为：V_type＝W_type*M_type，type＝h,p,o；

其中，h代表主机发现扫描，p代表端口扫描，o代表操作系统扫描，M_type为所述流量数据特征向量在当前NMAP扫描攻击行为type数据包内的匹配度，W_type为所述流量数据特征向量在当前NMAP扫描攻击行为type数据包内的匹配权重；

所述S3包括：

当V_h不为0，V_p、V_o为0，则判断公开网络环境受到主机发现扫描攻击；

当V_p不为0，V_h、V_o为0，则判断公开网络环境受到端口扫描攻击；

当V_o不为0，V_h、V_p为0，则判断公开网络环境受到操作系统扫描攻击。

2.根据权利要求1所述的一种公共网络环境下NMAP网络扫描攻击行为的检测方法，其特征在于，所述主机发现扫描下各种数据包对应的标称特征向量包括：-PE、-PS、-PA、-PU、-PP和-PM标称特征向量，分别为：

(itype:8,icode:0,icmp_seq:0)；

(flags:SYN,ack:0,mss:1460,window:1024)；

(flags:ACK,seq:0,window:1024,content:|50|；offset:12；depth:1)；

(dsize:0)；

(itype:13,icode:0,icmp_seq:0)；

(itype:17,icode:0,icmp_seq:0)。