[发明专利]一种适于局域网环境的网络节点扫描检测方法和系统

权利要求书

1.一种适于局域网环境的网络节点扫描检测方法，包括网络终端、局域网、数据获取模块、DNS解析监控模块、可疑网络访问过滤模块、可疑网络访问统计模块、网络扫描检测模块，其特征在于所述方法的步骤：

数据获取步骤；

DNS解析监控步骤；

可疑网络访问过滤步骤；

可疑网络访问统计步骤；

网络扫描检测步骤。

2.根据权利要求1所述的一种适于局域网环境的网络节点扫描检测方法，其特征是，所述的数据获取步骤中的子步骤：

数据获取模块收集局域网络中所有网络数据包；

将收集到的网络数据包分为：与DNS域名解析相关的网络数据包，将该类网络数据包转发DNS解析监控模块；与主机节点发出的网络访问请求和应答相关的网络数据包，将该类网络数据包转发给后台的可疑网络访问过滤模块；其它网络数据包，将该类网络数据包直接丢弃。

3.根据权利要求1所述的一种适于局域网环境的网络节点扫描检测方法，其特征是，所述的DNS解析监控步骤中的子步骤：

接收来自数据获取模块的所有DNS域名解析协议相关的网络数据包；

对其进行DNS协议解析、提取DNS域名解析出的IP地址列表，同时记录各IP地址的最新DNS解析时间；

采用快速哈希表结构，以IP地址为索引将所有DNS域名解析出的各IP地址及其相关解析时间存储到快速哈希表中。

4.根据权利要求1所述的一种适于局域网环境的网络节点扫描检测方法，其特征是，所述的可疑网络访问过滤步骤中的子步骤：

接收来自数据获取模块的所有与新建外部网络访问请求和相关的网络数据包；

将获得该外出网络请求网络数据包的目标IP地址，以该目标IP地址为索引检索DNS解析监控模块维护的DNS域名解析IP地址快速哈希表；

如果检索到相应的DNS域名解析记录并且与之相关的最新DNS解析时间在可接受的范围之内，则认为该网络访问请求为正常的网络访问请求；

如果没有检索到相应的DNS解析记录，或者与之相关的最新DNS解析时间不在可接受的范围之内，则认为该网络访问请求为可疑网络访问请求，并将该可疑网络访问请求数据包转发给可疑网络访问统计模块。

5.根据权利要求1所述的一种适于局域网环境的网络节点扫描检测方法，其特征是，所述的可疑网络访问过滤步骤中的子步骤：

接收来自数据获取模块的所有与新建外部网络访问请求响应和相关的网络数据包；

将获得该网络访问请求响应网络数据包的源IP地址，以该源IP地址为索引检索DNS解析监控模块维护的DNS域名解析IP地址快速哈希表；

如果检索到相应的DNS域名解析记录并且与之相关的最新DNS解析时间在可接受的范围之内，则认为该网络访问请求响应数据包为正常的网络访问请求响应数据包；

如果没有检索到相应的DNS解析记录，或者与之相关的最新DNS解析时间不在可接受的范围之内，则认为该网络访问请求响应数据包为可疑网络访问请求响应数据包，并将其转发给可疑网络访问统计模块。

6.根据权利要求1所述的一种适于局域网环境的网络节点扫描检测方法，其特征是，所述的可疑网络访问统计步骤中的子步骤：

接收来自可疑网络访问过滤模块的所有可疑网络访问请求和响应网络数据包；

采取快速哈希表结构统计局域网络中各主机节点发出的可疑网络访问请求的数量、被响应的可疑网络访问请求的数量以及由可疑网络访问的目标IP地址映射而成的位图向量；

当某一主机节点所发出的可疑网络访问请求数量达到预先设置的阈值N时，将该主机节点对应的可疑网络访问统计记录发送给网络扫描检测模块进行检测。