Scanner网络扫描攻击行为检测方法、介质及终端

scanner网络扫描攻击行为检测方法、介质及终端
技术领域
1.本发明属于网络安全技术领域，尤其涉及一种scanner网络扫描攻击行为检测方法、介质及终端。具体涉及一种scanner在正常网络环境中的网络扫描攻击行为的检测方法。


背景技术：

2.目前，scanner是一款由nsa(美国国家安全局)开发的扫描工具，其代码并未开源，于2017年4月14日由shadow broker(影子经济人)组织同eternal blue(永恒之蓝，wannacry病毒的原型)一起泄露出来，被部分黑客组织利用。
3.经逆向分析，scanner使用c/c++语言编写。其已知的泄露的可执行文件为linux环境下的elf文件，支持多种类型的扫描功能，包括对windows系统的主机基本信息扫描、对任意服务主机的tcp服务扫描、开放的各类协议端口扫描等。通过扫描，可获得目标主机的端口开放情况、服务与版本探测、操作系统探测等信息。进而方便网络攻击者分析目标主机可能存在的漏洞，并进行进一步的漏洞攻击。
4.相比同类网络探测工具，例如nmap等，scanner工具的功能较少，同时，由于scanner并未开源，所以目前可获取的scanner工具的版本有限。
5.因此，其行为特征与流量特征相较而言更难分析，检测与防御的难度更大。由于scanner工具同eternal blue等nsa工具一起被泄露出来，其泄露范围较广、影响力较大，但缺乏在特定的在公共网络环境下的通用性检测策略和手段。
6.通过上述分析，现有技术存在的问题及缺陷为：
7.(1)现有技术在复杂的网络环境下，对scanner扫描流量数据的准确识别准确率低；漏报率高，系统的适应性和检测效率低下。
8.(2)现有技术在实际网关环境下，对scanner扫描流量数据容易产生大量的误报。
9.解决以上问题及缺陷的难度为：
10.现有的各个工作对scanner工具的分析均有所不足，或没有相应的文件样本，或没有进行实际的逆向分析与行为分析，所以对流量的各个特征的准确性无法正确把握。
11.解决以上问题及缺陷的意义为：
12.本发明针对scanner的大部分指令进行了有针对性的检测，首创性的实现了对该工具扫描流量的检测方案，补充了现有网络防御手段在该方面的空缺，可以有效的提升网络系统的安全性。该策略的检测方式更多的为针对具体的scanner工具流量的分析检测，有很强的针对性，同时，这种检测防御方案可以应用于其他扫描工具，指定相应的检测方案。


技术实现要素：

13.针对现有技术存在的问题，本发明提供了一种scanner网络扫描攻击行为检测方法、介质及终端。
14.本发明是这样实现的，一种scanner网络扫描攻击行为检测方法，包括：
15.对所捕获的流量数据包中的特征提取并进行规则匹配，以检测和获取scanner网络扫描行为的流量并生成告警信息。
16.进一步，所述scanner网络扫描行为的流量包括：对windows主机信息扫描、主机协议服务扫描、snmp协议扫描中9项扫描命令，包括winn,win_scan,ftp,mail,t_mysql,ssh,snmp1,snmp2,snmp3。
17.进一步，所述scanner网络扫描攻击行为检测方法具体包括：
18.步骤一，通过对网卡流量的监督控制实现流量数据包的捕获；
19.步骤二，对流量特征进行提取；
20.步骤三，对已经提取的特征信息进行匹配，匹配的内容包括源端口信息、操作系统信息、有效载荷、协议头部分；
21.步骤四，分析匹配结果，判断是否存在攻击行为；
22.步骤五，若确认发生攻击行为，则产生报警日志并进行报警。
23.进一步，所述步骤二对流量特征进行提取包括：
24.通过端口与ip信息完成数据包的分类并产生event，最后将各个event中的数据流量进行解析、得到源端口、目的端口、协议类型、协议头、payload具体信息。
25.进一步，所述步骤三对已经提取的特征信息进行匹配包括针对payload特征信息进行比对，具体为：
26.第i个特征在流量payload中的存在情况为x
i
，其权重为a
i
，并设端口匹配情况为t，其中t、x
i
取值范围为{0,1}，a
i
为正整数，通过如下的计算公式定义匹配程度s；
[0027][0028]
并对每类流量进行阈值设定，当s大于这个阈值时判断产生攻击行为，否则判断无攻击行为。
[0029]
进一步，所述步骤三对已经提取的特征信息进行匹配还包括针对流量的行为特征信息进行判断，具体为：
[0030]
行为特征界定为符合正常协议端口使用逻辑的行为链，第i种行为的存在情况为x
i
，权重为b
i
，并设端口匹配情况为t,其中t、x
i
取值范围为{0,1}，b
i
为正整数，通过如下的公式定义行为的逻辑指数l；
[0031][0032]
并对每类流量进行行为匹配程度设定，设置正常行为界限，当l小于该界限时认为其不为正常流量而是扫描攻击流量，否则认为其为正常流量。
[0033]
进一步，所述步骤四具体包括：
[0034]
根据对scanner扫描攻击的复现流量，对指数l设定notice/alert两个阈值，通过步骤三得到的s/l值与相应notice/alert阈值进行比较计算，当高于notice阈值但低于alert阈值时产生notice告警信息，当高于alert阈值时产生alert告警信息；
[0035]
若存在攻击行为，则在步骤五依据比较阈值的差异生成notice/alert日志信息，
实现入侵检测的识别告警。
[0036]
本发明的另一目的在于提供一种接收用户输入程序存储介质，所存储的计算机程序使电子设备执行所述scanner网络扫描攻击行为检测方法。
[0037]
本发明的另一目的在于提供一种信息数据处理终端，所述信息数据处理终端包括存储器和处理器，所述存储器存储有计算机程序，所述计算机程序被所述处理器执行时，使得所述处理器执行所述scanner网络扫描攻击行为检测方法。
[0038]
结合上述的所有技术方案，本发明所具备的优点及积极效果为：
[0039]
本发明提出了一种scanner网络扫描攻击行为的检测策略，通过对流量payload和行为的检测分析，实现了对scanner扫描流量的准确识别，扫描识别准确率在实验流量下可达到100％，实现了对该工具从无到有的防御，补齐了目前网络扫描防范领域中对于该工具专有识别的缺失。本发明通过对scanner扫描流量的行为和字段进行了深度匹配，即使在复杂的网络环境下，也有极高的准确率和极低的误报，漏报率，提高了系统的适应性和检测效率。
附图说明
[0040]
图1是本发明实施例提供的scanner网络扫描攻击行为检测方法流程图。
[0041]
图2是本发明实施例提供的一实施例中scanner网络扫描攻击行为检测原理图。
[0042]
图3是本发明实施例提供的图2中scanner网络扫描攻击行为检测具体实施流程图。
具体实施方式
[0043]
为了使本发明的目的、技术方案及优点更加清楚明白，以下结合实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。
[0044]
针对现有技术存在的问题，本发明提供了一种scanner网络扫描攻击行为检测方法及检测系统，下面结合附图对本发明作详细的描述。
[0045]
本发明提供一种scanner网络扫描攻击行为检测方法，包括：对所捕获的流量数据包中的特征提取并进行规则匹配，以检测和发现scanner网络扫描行为的流量并生成告警信息。实现了scanner对windows主机信息扫描、主机协议服务扫描、snmp协议扫描等3类9项扫描命令的检测与报警。
[0046]
如图1所示，具体包括：
[0047]
s101，通过对网卡流量的监督控制实现流量数据包的捕获。
[0048]
s102，对流量特征进行提取。
[0049]
s103，对已经提取的特征信息进行匹配，匹配的内容包括源端口信息、操作系统信息、有效载荷、协议头部分等。
[0050]
s104，分析匹配结果，判断是否存在攻击行为。
[0051]
s105，若确认发生攻击行为，则产生报警日志并进行报警。
[0052]
下面结合具体实施例对本发明的技术方案作进一步描述。
[0053]
实施例
[0054]
图2是本发明实施例提供的scanner网络扫描攻击行为检测原理。包括：
[0055]
s1，接收数据包。
[0056]
s2，流量特征提取。
[0057]
s3，流量特征匹配。
[0058]
s4，扫描行为判断。
[0059]
s5，产生警告日志。
[0060]
图3是本发明实施例提供的图2中scanner网络扫描攻击行为检测具体实施流程。
[0061]
作为优选实施例，本发明的核心思想为对流量特征进行提取，并针对scanner的行为特征与scanner流量的payload特征进行流量筛查与防御。
[0062]
步骤s2流量特征提取中，本发明提供的策略会对网卡中所有流量数据进行拦截处理，实现s2
‑
1部分数据解析(如图3所示)。通过端口与ip信息完成数据包的分类并产生event，最后将各个event中的数据流量进行解析、得到源端口、目的端口、协议类型、协议头、payload等具体信息。
[0063]
具体到scanner指令的筛查，即流量特征匹配步骤s3中，依据侧重点不同可分为着重关注payload特征的部分与着重关注行为特征的部分。
[0064]
针对这部分的筛查策略，本策略分别总结了两类模型：
[0065]
模型1针对payload特征部分比对，设第i个特征在流量payload中的存在情况为x
i
，其权重为a
i
，并设端口匹配情况为t，其中t、x
i
取值范围为{0,1}，a
i
为正整数，通过如下的计算公式定义匹配程度s。
[0066][0067]
并对每类流量进行阈值设定，当s大于这个阈值时判断产生攻击行为，否则判断无攻击行为。
[0068]
模型2针对流量的行为特征判断，其中行为特征界定为符合正常协议端口使用逻辑的行为链，设第i种行为的存在情况为x
i
，其权重为b
i
，并设端口匹配情况为t,其中t、x
i
取值范围为{0,1}，b
i
为正整数，通过如下的公式定义其行为的逻辑指数l。
[0069][0070]
并对每类流量进行行为匹配程度设定，设置正常行为界限，当l小于该界限时认为其不为正常流量而是扫描攻击流量，否则认为其为正常流量。
[0071]
在scanner可分析的各类流量中，将其分类如下表1。
[0072][0073]
表1 scanner流量分类
[0074]
针对适用模型1的各类扫描流量，设定snmp3类检查161端口，ftp类检查21端口，mail类检查25端口，其余流量不限定流量接收端口。
[0075]
针对适用模型2的各类扫描流量，ssh类检查22端口，t_mysql类检查3306端口。
[0076]
通过步骤s3得到的s/l值与相应阈值进行匹配计算，可确定是否存在攻击行为，即步骤s4部分的判断内容。
[0077]
若存在攻击行为，则在步骤s5部分依据其较阈值的差异生成notice/alert日志信息，实现入侵检测的识别告警部分。
[0078]
下面结合具体实验验证对本发明积极效果作进一步描述。
[0079]
本发明的策略通过以下实验进行有效性证明。
[0080]
实验
[0081]
对提出的策略集进行检测实验，以测试scanner策略集的检测效果。由于scanner是运行在linux平台上的程序，与suricata sensor的运行平台一致，因此可以直接在suricata sensor主机上运行scanner进行检测实验，验证如下几点假设：
[0082]
1.策略集的有效性：能够对scanner这项工具进行有效的识别判断。
[0083]
2.策略集的精确性：针对正常流量不会产生误报现象，并且在大流量环境下不会漏识别scanner攻击。
[0084]
实验效果部分：
[0085]
首先将suricata sensor设置为ids模式，并在自己主机上运行scanner程序，然后使用不同的命令扫描sensor获取信息。测试所用命令为scanner常用的9条命令，实验结果如下表，各类流量均可正常识别
[0086]
类型win_scanwinnsnmp1snmp2snmp3ftpmailsslt_mysql结果√√√√√√√√√
[0087]
本发明以上策略的提出基于对scanner二进制文件的逆向分析、对scanner流量的复现及抓包分析等，均为真实情况下分析设计总结所得。并且通过tcp replay在security onion上回放数据包等方式，在linux平台下进行了多次检测实验，并验证了如下几点假设：
[0088]
策略集的有效性：能够对scanner这项工具进行有效的识别判断。
[0089]
策略集的精确性：针对正常流量不会产生误报现象，并且在大流量环境下不会漏识别scanner攻击。
[0090]
应当注意，本发明的实施方式可以通过硬件、软件或者软件和硬件的结合来实现。硬件部分可以利用专用逻辑来实现；软件部分可以存储在存储器中，由适当的指令执行系统，例如微处理器或者专用设计硬件来执行。本领域的普通技术人员可以理解上述的设备和方法可以使用计算机可执行指令和/或包含在处理器控制代码中来实现，例如在诸如磁盘、cd或dvd
‑
rom的载体介质、诸如只读存储器(固件)的可编程的存储器或者诸如光学或电子信号载体的数据载体上提供了这样的代码。本发明的设备及其模块可以由诸如超大规模集成电路或门阵列、诸如逻辑芯片、晶体管等的半导体、或者诸如现场可编程门阵列、可编程逻辑设备等的可编程硬件设备的硬件电路实现，也可以用由各种类型的处理器执行的软件实现，也可以由上述硬件电路和软件的结合例如固件来实现。
[0091]
以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，凡在本发明的精神和原则之内所
作的任何修改、等同替换和改进等，都应涵盖在本发明的保护范围之内。