專利名稱:一種檢測(cè)ip掃描行為的方法�����、裝置及網(wǎng)絡(luò)設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域���,尤指一種檢測(cè)IP掃描行為的方法��、裝置及網(wǎng)絡(luò)設(shè)備�。
背景技術(shù):
網(wǎng)絡(luò)病毒或者黑客在對(duì)主機(jī)設(shè)備進(jìn)行入侵之前����,首先要進(jìn)行網(wǎng)絡(luò)窺探來了解目標(biāo)網(wǎng)絡(luò)上是否有可以攻擊或者感染的對(duì)象。通常采用的方法有互聯(lián)網(wǎng)協(xié)議(InternetProtocol, IP)掃描和端口掃描兩種�����,其中IP掃描是發(fā)現(xiàn)目標(biāo)網(wǎng)絡(luò)內(nèi)的有效主機(jī)設(shè)備,端口掃描是發(fā)現(xiàn)目標(biāo)主機(jī)設(shè)備上開啟的服務(wù)����,通過 IP掃描和端口掃描發(fā)現(xiàn)目標(biāo)網(wǎng)絡(luò)/主機(jī)設(shè)備中可利用的端口、服務(wù)���、操作系統(tǒng)(Operating System, OS)類型等,為進(jìn)一步的攻擊或滲透提供基礎(chǔ)信息���。在企業(yè)局域網(wǎng)上,病毒可以借助IP掃描和端口掃描找到下一個(gè)感染源�����,在此基礎(chǔ)上實(shí)現(xiàn)大量的病毒傳播�����。病毒的存在對(duì)企業(yè)局域網(wǎng)安全是一個(gè)挑戰(zhàn)�����,網(wǎng)絡(luò)安全設(shè)備的重要功能就是發(fā)現(xiàn)主機(jī)設(shè)備的掃描行為并且鎖定�����。目前�����,檢測(cè)IP掃描行為的功能通常設(shè)置在防火墻上��,當(dāng)有報(bào)文經(jīng)過防火墻時(shí)�����,防火墻會(huì)分析報(bào)文中源IP地址對(duì)應(yīng)的主機(jī)設(shè)備的行為�,如果該主機(jī)設(shè)備在一段時(shí)間內(nèi)新建了很多連接,則進(jìn)一步分析該主機(jī)設(shè)備所有新建連接中目的IP的變化量或者絕對(duì)量來確定是否發(fā)生了 IP掃描行為���。上述檢測(cè)IP掃描行為的方法適用于一般的應(yīng)用模型���,在這種應(yīng)用模型中,發(fā)起連接方通常稱為客戶端����,是針對(duì)固定的服務(wù)器發(fā)起連接的,不同的服務(wù)器代表了不同的業(yè)務(wù)提供者�����,這些服務(wù)器提供的業(yè)務(wù)是不同的。但隨著應(yīng)用的發(fā)展�����,點(diǎn)對(duì)點(diǎn)(Peer to Peer, P2P)軟件的出現(xiàn)改變了這種應(yīng)用模型的模式�����,P2P軟件可以通過使用下載種子列表(即提供相應(yīng)服務(wù)的服務(wù)器清單)在瞬間對(duì)大量的服務(wù)器發(fā)起連接以獲得最大的下載能力�。在安裝有P2P軟件的主機(jī)設(shè)備上采用上述方法檢測(cè)IP掃描行為時(shí),極容易將P2P軟件合法的下載行為誤判為IP掃描行為���。綜上所述��,現(xiàn)有的檢測(cè)IP掃描行為的方法容易對(duì)合法應(yīng)用產(chǎn)生誤判�,不能準(zhǔn)確檢測(cè)出IP掃描行為�����。
發(fā)明內(nèi)容
本發(fā)明實(shí)施例提供一種檢測(cè)IP掃描行為的方法��、裝置及網(wǎng)絡(luò)設(shè)備��,用以解決現(xiàn)有的檢測(cè)IP掃描行為的方法中存在的容易對(duì)合法應(yīng)用產(chǎn)生誤判�����,不能準(zhǔn)確檢測(cè)出IP掃描行為的問題�。一種檢測(cè)IP掃描行為的方法,包括在設(shè)定周期開始時(shí)�,清空預(yù)設(shè)的與受監(jiān)控主機(jī)對(duì)應(yīng)的第一設(shè)定數(shù)目的統(tǒng)計(jì)組,每個(gè)所述統(tǒng)計(jì)組包含互聯(lián)網(wǎng)協(xié)議IP地址四個(gè)域中的至少一個(gè)域�����;在所述設(shè)定周期內(nèi)�,獲取所述受監(jiān)控主機(jī)建立連接的目的IP地址后,將獲取的IP地址添加到所述第一設(shè)定數(shù)目的統(tǒng)計(jì)組中��;
在所述設(shè)定周期到期后�����,確定每個(gè)所述統(tǒng)計(jì)組的離散度��;根據(jù)確定的每個(gè)所述統(tǒng)計(jì)組的離散度�,檢測(cè)所述受監(jiān)控主機(jī)在所述設(shè)定監(jiān)控周期內(nèi)是否發(fā)生了 IP掃描行為。一種檢測(cè)IP掃描行為的裝置�����,包括清空單元,用于在設(shè)定周期開始時(shí)��,清空預(yù)設(shè)的與受監(jiān)控主機(jī)對(duì)應(yīng)的第一設(shè)定數(shù)目的統(tǒng)計(jì)組�,每個(gè)所述統(tǒng)計(jì)組包含互聯(lián)網(wǎng)協(xié)議IP地址四個(gè)域中的至少一個(gè)域;添加單元�����,用于在所述設(shè)定周期內(nèi)����,獲取 所述受監(jiān)控主機(jī)建立連接的目的IP地址后,將獲取的IP地址添加到所述第一設(shè)定數(shù)目的統(tǒng)計(jì)組中����;確定單元,用于在所述設(shè)定周期到期后��,確定每個(gè)所述統(tǒng)計(jì)組的離散度���;檢測(cè)單元,用于根據(jù)確定的每個(gè)所述統(tǒng)計(jì)組的離散度����,檢測(cè)所述受監(jiān)控主機(jī)在所述設(shè)定監(jiān)控周期內(nèi)是否發(fā)生了 IP掃描行為�����。一種網(wǎng)絡(luò)設(shè)備��,包括上述的檢測(cè)IP掃描行為的裝置�。本發(fā)明有益效果如下本發(fā)明實(shí)施例提供的檢測(cè)IP掃描行為的方法�、裝置及網(wǎng)絡(luò)設(shè)備,通過在設(shè)定周期開始時(shí)�����,清空預(yù)設(shè)的與受監(jiān)控主機(jī)對(duì)應(yīng)的第一設(shè)定數(shù)目的統(tǒng)計(jì)組���,每個(gè)所述統(tǒng)計(jì)組包含互聯(lián)網(wǎng)協(xié)議IP地址四個(gè)域中的至少一個(gè)域���;在所述設(shè)定周期內(nèi),獲取所述受監(jiān)控主機(jī)建立連接的目的IP地址后����,將獲取的IP地址添加到所述第一設(shè)定數(shù)目的統(tǒng)計(jì)組中;在所述設(shè)定周期到期后�,確定每個(gè)所述統(tǒng)計(jì)組的離散度;根據(jù)確定的每個(gè)所述統(tǒng)計(jì)組的離散度�,檢測(cè)所述受監(jiān)控主機(jī)在所述設(shè)定監(jiān)控周期內(nèi)是否發(fā)生了 IP掃描行為�。該方案中預(yù)設(shè)與受監(jiān)控主機(jī)對(duì)應(yīng)的第一設(shè)定數(shù)目的統(tǒng)計(jì)組�,在設(shè)定周期開始時(shí),首先將與受監(jiān)控主機(jī)對(duì)應(yīng)的統(tǒng)計(jì)組全部清空�,然后再添加受監(jiān)控主機(jī)建立連接的目的IP地址,在設(shè)定周期到期后���,確定每個(gè)統(tǒng)計(jì)組的離散度���,然后根據(jù)確定的每個(gè)統(tǒng)計(jì)組的離散度進(jìn)一步檢測(cè)受監(jiān)控主機(jī)在設(shè)定周期內(nèi)是否發(fā)生了 IP掃描行為,該方案實(shí)現(xiàn)機(jī)制簡(jiǎn)單����,減少將合法應(yīng)用誤判為IP掃描行為的可能性,能夠精確檢測(cè)出受監(jiān)控主機(jī)是否發(fā)生了 IP掃描行為���。
圖I為本發(fā)明實(shí)施例中檢測(cè)IP掃描行為的方法的流程圖���;圖2為本發(fā)明實(shí)施例中的內(nèi)網(wǎng)設(shè)置防火墻的示意圖;圖3為本發(fā)明實(shí)施例中設(shè)有4個(gè)統(tǒng)計(jì)組的示意圖�;圖4為本發(fā)明實(shí)施例中添加在圖3所示的4個(gè)統(tǒng)計(jì)組中添加一個(gè)IP地址后的示意圖;圖5為本發(fā)明實(shí)施例中4個(gè)統(tǒng)計(jì)組設(shè)有256個(gè)單元的示意圖�;圖6為本發(fā)明實(shí)施例中添加在圖5所示的4個(gè)統(tǒng)計(jì)組中添加一個(gè)設(shè)定周期獲取的IP地址后的不意圖;圖7為本發(fā)明實(shí)施例中檢測(cè)IP掃描行為的裝置的結(jié)構(gòu)示意圖。
具體實(shí)施例方式針對(duì)現(xiàn)有的檢測(cè)IP掃描行為的方法中存在的容易對(duì)合法應(yīng)用產(chǎn)生誤判�����,不能準(zhǔn)確檢測(cè)出IP掃描行為的問題���,本發(fā)明實(shí)施例提供的檢測(cè)IP掃描行為的方法,首先介紹一下本發(fā)明的基本原理掃描行為和同時(shí)針對(duì)多個(gè)服務(wù)器發(fā)起連接的合法應(yīng)用在特征上是有差異的掃描行為的目的是為了發(fā)現(xiàn)網(wǎng)絡(luò)上存在的主機(jī)�����,事先并不清楚哪些主機(jī)存在�����,哪些主機(jī)不存在����,因?yàn)槿绻溃蔷蜎]有必要掃描了�,因此掃描行為本身是針對(duì)某個(gè)網(wǎng)絡(luò)或者IP地址連續(xù)范圍實(shí)施的,不會(huì)是針對(duì)隨機(jī)的IP地址進(jìn)行的���,如果完全隨機(jī)���,那就等于將因特網(wǎng)上所有的主機(jī)都掃描一遍��,這是沒有任何意義的��,因此掃描行為中目的IP地址必然有一定的連續(xù)性��。而合法應(yīng)用�����,非常清楚要連接的服務(wù) 器的IP地址�,直接訪問服務(wù)器就可以�����,并不需要去搜索服務(wù)器��。例如����,對(duì)于P2P軟件,其服務(wù)器清單是儲(chǔ)存在因特網(wǎng)上的����,其連接的服務(wù)器IP地址是離散的,一般不會(huì)是連續(xù)的,因?yàn)榉?wù)器一般不會(huì)大范圍的集中在某個(gè)子網(wǎng)內(nèi)�����。下面詳細(xì)介紹本發(fā)明中的檢測(cè)IP掃描行為的方法����,該方法的流程如圖I所示�����,該方法可以設(shè)置在防火墻����、交換機(jī)等網(wǎng)絡(luò)設(shè)備中,下面以設(shè)置在防火墻上為例進(jìn)行說明�,具體執(zhí)行步驟如下S10:在設(shè)定周期開始時(shí),清空預(yù)設(shè)的與受監(jiān)控主機(jī)對(duì)應(yīng)的第一設(shè)定數(shù)目的統(tǒng)計(jì)組�,每個(gè)統(tǒng)計(jì)組包含互聯(lián)網(wǎng)協(xié)議IP地址四個(gè)域中的至少一個(gè)域?�?梢詫⒎阑饓Σ贾迷趦?nèi)網(wǎng)中��,如圖2所示�,這樣內(nèi)網(wǎng)中所有的主機(jī)都是受防火墻監(jiān)控的,可以稱為受監(jiān)控主機(jī),內(nèi)網(wǎng)中所有受監(jiān)控主機(jī)的報(bào)文都要經(jīng)過防火墻�。可以在防火墻上為每個(gè)受監(jiān)控主機(jī)維護(hù)第一設(shè)定數(shù)目的統(tǒng)計(jì)組�����,這些統(tǒng)計(jì)組可以設(shè)置在一個(gè)統(tǒng)計(jì)對(duì)象中���,當(dāng)然也可以是其它方式?,F(xiàn)有的IP地址包括四個(gè)域�,例如192. 168. O. 23這個(gè)IP地址,用三個(gè)”將一個(gè)IP地址隔成四個(gè)域�,192是第一個(gè)域,168是第二個(gè)域�,O是第三個(gè)域,23是第四個(gè)域�����,每個(gè)統(tǒng)計(jì)組包含IP地址這四個(gè)域中的至少一個(gè)域���。例如預(yù)設(shè)有3個(gè)統(tǒng)計(jì)組����,第一個(gè)統(tǒng)計(jì)組可以包含第一個(gè)域,第二統(tǒng)計(jì)組可以包含第二個(gè)域和第三個(gè)域���,第三統(tǒng)計(jì)組可以包含第四個(gè)域�����;又例如��,如圖3所示預(yù)設(shè)有4個(gè)統(tǒng)計(jì)組,第一統(tǒng)計(jì)組可以包含第一個(gè)域�����,第二統(tǒng)計(jì)組可以包含第二個(gè)域����,第三統(tǒng)計(jì)組可以包含第三個(gè)域,第四統(tǒng)計(jì)組可以包含第四個(gè)域�����;還有其他很多種設(shè)置統(tǒng)計(jì)組的情況�����,在這里不再一一舉例說明??梢栽O(shè)置多個(gè)設(shè)定周期來檢測(cè)受監(jiān)控主機(jī)是否發(fā)生了 IP掃描行為,設(shè)定周期可以為ls��、2s���、4s等等��,在一個(gè)設(shè)定周期開始時(shí)��,將與受監(jiān)控主機(jī)對(duì)應(yīng)的第一設(shè)定數(shù)目的統(tǒng)計(jì)組清空��,這樣才能保證最終的檢測(cè)結(jié)果是正確的����,從而保證檢測(cè)的精確度���。Sll :在設(shè)定周期內(nèi)��,獲取受監(jiān)控主機(jī)建立連接的目的IP地址后�����,將獲取的IP地址添加到第一設(shè)定數(shù)目的統(tǒng)計(jì)組中��。S12 :在設(shè)定周期到期后����,確定每個(gè)統(tǒng)計(jì)組的離散度。S13:根據(jù)確定的每個(gè)統(tǒng)計(jì)組的離散度�����,檢測(cè)受監(jiān)控主機(jī)在設(shè)定監(jiān)控周期內(nèi)是否發(fā)生了 IP掃描行為��。該方案中預(yù)設(shè)與受監(jiān)控主機(jī)對(duì)應(yīng)的第一設(shè)定數(shù)目的統(tǒng)計(jì)組���,在設(shè)定周期開始時(shí)���,首先將與受監(jiān)控主機(jī)對(duì)應(yīng)的統(tǒng)計(jì)組全部清空�,然后再添加受監(jiān)控主機(jī)建立連接的目的IP地址,在設(shè)定周期到期后�����,確定每個(gè)統(tǒng)計(jì)組的離散度��,然后根據(jù)確定的每個(gè)統(tǒng)計(jì)組的離散度進(jìn)一步檢測(cè)受監(jiān)控主機(jī)在設(shè)定周期內(nèi)是否發(fā)生了 IP掃描行為�����,該方案實(shí)現(xiàn)機(jī)制簡(jiǎn)單,減少將合法應(yīng)用誤判為IP掃描行為的可能性�,能夠精確檢測(cè)出受監(jiān)控主機(jī)是否發(fā)生了 IP掃描行為。具體的�,上述Sll中的將獲取的IP地址添加到第一設(shè)定數(shù)目的統(tǒng)計(jì)組中,具體包括將獲取的IP地址的四個(gè)域分別添加到對(duì)應(yīng)的統(tǒng)計(jì)組中��。在設(shè)定周期內(nèi)獲取受監(jiān)控主機(jī)建立連接的目的IP地址后��,就可以將獲取的IP地址直接添加到對(duì)應(yīng)的統(tǒng)計(jì)組中��。繼續(xù)沿用上例���,若192. 168. 9. 2這個(gè)受監(jiān)控主機(jī)建立連接的目的IP地址為192. 168. O. 23�����,當(dāng)防火墻獲取192. 168. O. 23這個(gè)IP地址后��,如果預(yù)設(shè)的是4個(gè)統(tǒng)計(jì)組���,分別稱為A組、B組�����、C組、D組��,那么就將192添加到A組���,將168添加到B組�,將O添加至Ij C組����,將23添加至Ij D組,添加后的結(jié)果如圖4所示�����。具體的��,上述S12中的確定每個(gè)統(tǒng)計(jì)組的離散度�����,具體包括確定每個(gè)統(tǒng)計(jì)組中不同元素的個(gè)數(shù)與獲取的IP地址總數(shù)的比值���,將比值作為每個(gè)統(tǒng)計(jì)組的離散度�。在設(shè)定周期結(jié)束后��,就可以確定每個(gè)統(tǒng)計(jì)組的離散度了�,繼續(xù)沿用上例,假設(shè)共獲取了 10個(gè)IP地址�,如果A組中不同元素的個(gè)數(shù)為1,也就是說A組中的元素都是192�,那么A組的離散度為1/10。其他統(tǒng)計(jì)組離散度的計(jì)算方法相同���,在這里不再贅述���。具體的,上述Sll中的將獲取的IP地址添加到第一設(shè)定數(shù)目的統(tǒng)計(jì)組中�,具體包括在每個(gè)統(tǒng)計(jì)組中找到獲取的IP地址的四個(gè)域?qū)?yīng)的單元,每個(gè)統(tǒng)計(jì)組劃分為第二設(shè)定數(shù)目的單元�����;在找到的單元中設(shè)置標(biāo)識(shí)信息�。也可以將每個(gè)統(tǒng)計(jì)組劃分為第二設(shè)定數(shù)目的單元,如圖5所示�����,將每個(gè)統(tǒng)計(jì)組劃分為256個(gè)單元,當(dāng)獲取IP地址后����,在每個(gè)統(tǒng)計(jì)組中找到獲取的IP地址的四個(gè)域?qū)?yīng)的單元,然后在找到的單元中設(shè)置標(biāo)識(shí)信息�。例如獲取的是192. 168. O. 23這個(gè)IP地址,那么����,就可以在A組中將192這個(gè)單元置1,在B組中將168這個(gè)單元置1��,在C組中將O這個(gè)單元置1�,在D組中將23這個(gè)單元置I,如果以后獲取的IP地址為192. 168. O. 24�����,那么�����,在添加到統(tǒng)計(jì)組中時(shí)�,A組、B組和C組中不用改變��,D組需要在24這個(gè)單元置I��。這里假設(shè)標(biāo)識(shí)信息為1�����,當(dāng)然也可以是其他的標(biāo)識(shí)信息�����,如2�����、3����、4等等。具體的����,上述S12中的確定每個(gè)統(tǒng)計(jì)組的離散度,具體包括確定每個(gè)統(tǒng)計(jì)組中設(shè)置標(biāo)識(shí)信息的單元個(gè)數(shù)與第二設(shè)定數(shù)目的比值�����,將比值作為每個(gè)統(tǒng)計(jì)組的離散度。假設(shè)在設(shè)定周期結(jié)束后����,獲取的IP地址添加到4個(gè)統(tǒng)計(jì)組后的結(jié)果如圖6所示,如果A組中共有10個(gè)1�����,那么A組的離散度為10/256�����。其他統(tǒng)計(jì)組離散度的計(jì)算方法相同��,在這里不再贅述�����。具體的����,上述S13中的根據(jù)確定的每個(gè)統(tǒng)計(jì)組的離散度,檢測(cè)受監(jiān)控主機(jī)在設(shè)定監(jiān)控周期內(nèi)是否發(fā)生了 IP掃描行為��,具體包括若包含IP地址高位域的統(tǒng)計(jì)組的離散度小于第一閾值、且包含IP地址低位域的統(tǒng)計(jì)組的離散度大于第二閾值��,確定受監(jiān)控主機(jī)發(fā)生IP掃描行為���。在一個(gè)IP地址中,包含IP地址最高位的域稱為高位域����,包含IP地址最低位的域稱為低位域,例如將一個(gè)IP地址192. 168. O. 23劃分為四個(gè)域時(shí)�,第一個(gè)域192包含IP地址的最高位,那么第一個(gè)域192就可以稱為IP地址的高位域����,第四個(gè)域23包含IP地址的最低位,那么第四個(gè)域可以稱為低位域����。可以設(shè)定第一閾值和第二閾值��,將確定出的包含IP地址高位域的統(tǒng)計(jì)組的離散度與第一閾值進(jìn)行比較��、包含IP地址低位域的統(tǒng)計(jì)組的離散度與第二閾值進(jìn)行比較��,就可以檢測(cè)受監(jiān)控主機(jī)是否法發(fā)生IP掃描行為了。若包含IP地址高位域的統(tǒng)計(jì)組的離散度小于第一閾值�、且包含IP地址低位域的統(tǒng)計(jì)組的離散度大于第二閾值,就可以確定受監(jiān)控主機(jī)發(fā)生了 IP掃描行為��。其中第一閾值和第二閾值可以依據(jù)實(shí)際情況進(jìn)行設(shè)定�。下面以將IP地址的四個(gè)域添加到四個(gè)統(tǒng)計(jì)組為例來介紹可能得到的各種檢測(cè)結(jié)
果O假設(shè)將IP地址的第一個(gè)域添加到A組,將第二個(gè)域添加到B組��,將第三個(gè)域添加到C組�,將第四個(gè)域添加到D組,將A��、B��、C���、D這四個(gè)統(tǒng)計(jì)組的離散度分別與第一閾值和第二閾值進(jìn)行比較���,比較的結(jié)果以及根據(jù)這些比較的結(jié)果最后得到的結(jié)論如下表所示,其中��,當(dāng)統(tǒng)計(jì)組的離散度小于第一設(shè)定閾值時(shí)�,可以認(rèn)為該統(tǒng)計(jì)組是“集中”的,當(dāng)統(tǒng)計(jì)組的離散度不小于第二設(shè)定閾值時(shí)��,可以認(rèn)為該統(tǒng)計(jì)組是“離散”的
權(quán)利要求
1.一種檢測(cè)IP掃描行為的方法,其特征在于,包括 在設(shè)定周期開始時(shí),清空預(yù)設(shè)的與受監(jiān)控主機(jī)對(duì)應(yīng)的第一設(shè)定數(shù)目的統(tǒng)計(jì)組�,每個(gè)所述統(tǒng)計(jì)組包含互聯(lián)網(wǎng)協(xié)議IP地址四個(gè)域中的至少一個(gè)域; 在所述設(shè)定周期內(nèi)���,獲取所述受監(jiān)控主機(jī)建立連接的目的IP地址后���,將獲取的IP地址添加到所述第一設(shè)定數(shù)目的統(tǒng)計(jì)組中�; 在所述設(shè)定周期到期后,確定每個(gè)所述統(tǒng)計(jì)組的離散度����; 根據(jù)確定的每個(gè)所述統(tǒng)計(jì)組的離散度,檢測(cè)所述受監(jiān)控主機(jī)在所述設(shè)定監(jiān)控周期內(nèi)是否發(fā)生了 IP掃描行為�����。
2.如權(quán)利要求I所述的方法�����,其特征在于��,將獲取的IP地址添加到所述第一設(shè)定數(shù)目的統(tǒng)計(jì)組中��,具體包括 將獲取的IP地址的四個(gè)域分別添加到對(duì)應(yīng)的統(tǒng)計(jì)組中。
3.如權(quán)利要求2所述的方法���,其特征在于����,確定每個(gè)所述統(tǒng)計(jì)組的離散度��,具體包括 確定每個(gè)所述統(tǒng)計(jì)組中不同元素的個(gè)數(shù)與獲取的IP地址總數(shù)的比值�,將所述比值作為每個(gè)所述統(tǒng)計(jì)組的離散度。
4.如權(quán)利要求I所述的方法��,其特征在于���,將獲取的IP地址添加到所述第一設(shè)定數(shù)目的統(tǒng)計(jì)組中��,具體包括 在每個(gè)統(tǒng)計(jì)組中找到獲取的IP地址的四個(gè)域?qū)?yīng)的單元��,每個(gè)所述統(tǒng)計(jì)組劃分為第二設(shè)定數(shù)目的單元�����; 在找到的單元中設(shè)置標(biāo)識(shí)信息�����。
5.如權(quán)利要求4所述的方法�����,其特征在于�,確定每個(gè)所述統(tǒng)計(jì)組的離散度,具體包括 確定每個(gè)所述統(tǒng)計(jì)組中設(shè)置標(biāo)識(shí)信息的單元個(gè)數(shù)與所述第二設(shè)定數(shù)目的比值�����,將所述比值作為每個(gè)所述統(tǒng)計(jì)組的離散度�����。
6.如權(quán)利要求1-5任一所述的方法�,其特征在于���,根據(jù)確定的每個(gè)所述統(tǒng)計(jì)組的離散度�����,檢測(cè)所述受監(jiān)控主機(jī)在所述設(shè)定監(jiān)控周期內(nèi)是否發(fā)生了 IP掃描行為���,具體包括 若包含IP地址高位域的統(tǒng)計(jì)組的離散度小于第一閾值����、且包含IP地址低位域的統(tǒng)計(jì)組的離散度大于第二閾值�����,確定所述受監(jiān)控主機(jī)發(fā)生IP掃描行為��。
7.—種檢測(cè)IP掃描行為的裝置��,其特征在于���,包括 清空單元���,用于在設(shè)定周期開始時(shí),清空預(yù)設(shè)的與受監(jiān)控主機(jī)對(duì)應(yīng)的第一設(shè)定數(shù)目的統(tǒng)計(jì)組�,每個(gè)所述統(tǒng)計(jì)組包含互聯(lián)網(wǎng)協(xié)議IP地址四個(gè)域中的至少一個(gè)域; 添加單元��,用于在所述設(shè)定周期內(nèi)����,獲取所述受監(jiān)控主機(jī)建立連接的目的IP地址后,將獲取的IP地址添加到所述第一設(shè)定數(shù)目的統(tǒng)計(jì)組中; 確定單元���,用于在所述設(shè)定周期到期后����,確定每個(gè)所述統(tǒng)計(jì)組的離散度����; 檢測(cè)單元,用于根據(jù)確定的每個(gè)所述統(tǒng)計(jì)組的離散度���,檢測(cè)所述受監(jiān)控主機(jī)在所述設(shè)定監(jiān)控周期內(nèi)是否發(fā)生了 IP掃描行為����。
8.如權(quán)利要求7所述的裝置��,其特征在于�,所述添加單元����,具體用于 將獲取的IP地址的四個(gè)域分別添加到對(duì)應(yīng)的統(tǒng)計(jì)組中。
9.如權(quán)利要求8所述的裝置��,其特征在于,所述確定單元����,具體用于 確定每個(gè)所述統(tǒng)計(jì)組中不同元素的個(gè)數(shù)與獲取的IP地址總數(shù)的比值,將所述比值作為每個(gè)所述統(tǒng)計(jì)組的離散度���。
10.如權(quán)利要求7所述的裝置��,其特征在于���,所述添加單元,具體用于 在每個(gè)統(tǒng)計(jì)組中找到獲取的IP地址的四個(gè)域?qū)?yīng)的單元��,每個(gè)所述統(tǒng)計(jì)組劃分為第二設(shè)定數(shù)目的單元���; 在找到的單元中設(shè)置標(biāo)識(shí)信息��。
11.如權(quán)利要求10所述的裝置�,其特征在于�,所述確定單元,具體用于 確定每個(gè)所述統(tǒng)計(jì)組中設(shè)置標(biāo)識(shí)信息的單元個(gè)數(shù)與所述第二設(shè)定數(shù)目的比值�,將所述比值作為每個(gè)所述統(tǒng)計(jì)組的離散度。
12.如權(quán)利要求7-11任一所述的裝置�,其特征在于����,所述檢測(cè)單元��,具體用于 若包含IP地址高位域的統(tǒng)計(jì)組的離散度小于第一閾值�����、且包含IP地址低位域的統(tǒng)計(jì)組的離散度大于第二閾值���,確定所述受監(jiān)控主機(jī)發(fā)生IP掃描行為��。
13.—種網(wǎng)絡(luò)設(shè)備����,其特征在于���,包括如權(quán)利要求7-12任一所述的檢測(cè)IP掃描行為的>j-U ρ α裝直�。
全文摘要
本發(fā)明公開了一種檢測(cè)IP掃描行為的方法���、裝置及網(wǎng)絡(luò)設(shè)備,該方法包括在設(shè)定周期開始時(shí)����,清空預(yù)設(shè)的與受監(jiān)控主機(jī)對(duì)應(yīng)的第一設(shè)定數(shù)目的統(tǒng)計(jì)組�����,每個(gè)所述統(tǒng)計(jì)組包含互聯(lián)網(wǎng)協(xié)議IP地址四個(gè)域中的至少一個(gè)域�����;在所述設(shè)定周期內(nèi)���,獲取所述受監(jiān)控主機(jī)建立連接的目的IP地址后,將獲取的IP地址添加到所述第一設(shè)定數(shù)目的統(tǒng)計(jì)組中��;在所述設(shè)定周期到期后����,確定每個(gè)所述統(tǒng)計(jì)組的離散度;根據(jù)確定的每個(gè)所述統(tǒng)計(jì)組的離散度�,檢測(cè)所述受監(jiān)控主機(jī)在所述設(shè)定監(jiān)控周期內(nèi)是否發(fā)生了IP掃描行為。該方案實(shí)現(xiàn)機(jī)制簡(jiǎn)單��,減少將合法應(yīng)用誤判為IP掃描行為的可能性�,能夠精確檢測(cè)出受監(jiān)控主機(jī)是否發(fā)生了IP掃描行為。
文檔編號(hào)H04L29/06GK102857391SQ20121029883
公開日2013年1月2日 申請(qǐng)日期2012年8月21日 優(yōu)先權(quán)日2012年8月21日
發(fā)明者馬云鶯 申請(qǐng)人:北京星網(wǎng)銳捷網(wǎng)絡(luò)技術(shù)有限公司