[发明专利]一种公共网络环境下NMAP网络扫描攻击行为的检测方法

说明书

本发明属于网络安全领域，具体涉及一种公共网络环境下NMAP网络扫描攻击行为的检测方法，包括：捕获流经处于公共网络环境中的终端设备的数据包，构建流量数据特征向量；将流量数据特征向量分别与每种NMAP扫描攻击行为下各种数据包对应的标称特征向量进行特征匹配，确定流量数据特征向量是否与该种NMAP扫描攻击行为下的任一标称特征向量相同；当存在一种NMAP扫描攻击行为具有与流量数据特征向量相同的标称特征向量，则判断公共网络环境受到该种NMAP扫描攻击行为攻击，当不存在时则判断公共网络环境未受到NMAP扫描攻击行为攻击。本发明实现针对扫描工具NMAP的典型扫描方式的全面检测，改善了以往扫描检测只针对部分扫描方式和命令以及特定网络场景的缺点。

技术领域

本发明属于网络安全领域，更具体地，涉及一种公共网络环境下NMAP网络扫描攻击行为的检测方法。

背景技术

NMAP是一款由开源社区众多志愿者所维护的一款扫描工具，目前已经成为业界内比较流行的一款扫描工具。NMAP具有非常强大的扫描功能：主机发现、端口扫描、服务与版本探测、操作系统探测、NSE脚本扫描。NMAP一般会被用来漏洞扫描等场景。NMAP支持的扫描方式比较多包括TCP SYN扫描、UDP扫描、PING扫描、非PING扫描等十几种扫描类型。同时NMAP对于各个端口的开放状态有更为细粒度的区分。除了常见的打开和关闭状态外还定义了其他状态。NMAP是目前被黑客广泛使用的网络扫描工具，根据扫描结果进而发起网络攻击行为。

因此，如果能在网络流量中对NMAP工具的扫描攻击行为进行精确检测，就可以采取针对性的防御措施，进而避免目标受到攻击，有效减少网络安全事件的发生概率，提高网络系统的防御能力。然而目前大部分的网络安全防御系统都只能检测少部分的网络扫描行为(扫描方式)，比如TCP扫描、PING扫描或者在特定应用场景下进行检测，比如Web服务扫描检测和DNS服务扫描检测以及SDN场景下的网络扫描行为检测，缺乏一种在公共网络环境下的通用性检测策略和手段。

发明内容

本发明提供一种公共网络环境下NMAP网络扫描攻击行为的检测方法，用以解决现有NMAP网络扫描攻击行为检测仅针对部分攻击行为以及特定网络场景而存在应用受限的技术问题。

本发明解决上述技术问题的技术方案如下：一种公共网络环境下NMAP网络扫描攻击行为的检测方法，包括：

S1、捕获流经处于公共网络环境中的终端设备的数据包，构建流量数据特征向量；

S2、将所述流量数据特征向量分别与每种NMAP扫描攻击行为下各种数据包对应的标称特征向量进行特征匹配，确定所述流量数据特征向量是否与该种NMAP扫描攻击行为下的一标称特征向量相同；

S3、当存在一种NMAP扫描攻击行为具有与所述流量数据特征向量相同的标称特征向量，则判断所述公共网络环境受该种NMAP扫描攻击行为攻击，当不存在时则判断公共网络环境未受NMAP扫描攻击行为攻击。

本发明的有益效果是：本发明提供的一种公共网络环境下NMAP网络扫描攻击行为的检测方法，将流量数据特征向量分别与每种NMAP扫描攻击行为下各种数据包对应的标称特征向量进行特征匹配，以实现针对扫描工具NMAP的典型扫描方式进行全面检测，改善了以往扫描检测的只能针对部分扫描方式和命令进行检测的缺点。同时，不同于其它扫描攻击行为的检测方法只能适用于特定网络场景下的特点，本发明方法是一种通用网络场景下的检测和发现方法，可以在公共网络场景下工作，在复杂的网络场景中具有极强的适应性。

上述技术方案的基础上，本发明还可以做如下改进。

进一步，所述NMAP扫描攻击行为的种类有：主机发现扫描、端口扫描、操作系统扫描、服务与版本扫描和NSE脚本扫描；

且所述各种数据包对应的标称特征向量包括该数据包内各扫描命令选项对应的标称特征向量，且每个标称特征向量为由其值固定且异于非攻击行为的字段及其对应的字段值构成。