[发明专利]一种适于局域网环境的网络节点扫描检测方法和系统

说明书

技术领域

本发明涉及一种适于局域网环境的网络节点扫描检测方法和系统，属于计算机网络技术领域。

背景技术

随着互联网络的飞速发展，网络上发生的安全事件也逐渐增多，从早期的蠕虫攻击事件到现在的拒绝服务攻击和僵尸网络事件，这些网络安全事件为个人和社会带来很大的经济损失。如何检测和防范这些网络安全事件已经成为网络安全领域的研究热点。不管是蠕虫攻击、拒绝服务攻击和僵尸网络事件，其早期攻击行为都表现为对互联网络进行扫描，以发现互联网络中可利用的网络节点，并且，为避免被发现，多数网络攻击行为都采用较隐蔽的网络慢扫描方法。

根据检测指标的不同，可以将现有网络扫描检测方法分为以下4类：1)网络访问次数统计；2)网络访问速率统计；3)网络访问成功比率统计；4)网络访问失败比率统计。开源IDS Bro采用网络访问次数统计方法来检测网络扫描事件，它能够检测网络慢扫描事件，但误报率较高。开源IDS SNORT和多数商用IDS基于网络访问速率来检测网络扫描事件，它采用一种基于时间窗统计方法，其难点是统计时间窗口大小阈值的确定，如果设置得较低则导致误报，如果设置得较高则无法检测那些隐蔽的网络慢扫描事件。网络访问成功/失败比率统计方法则通过统计各主机发出的前N次网络访问的成功或失败比率来检测网络扫描事件，与其它方法相比，该种方法在检测网络节点慢扫描事件方面具有一定的优势，但该检测方法并不区分正常网络访问流量和可疑的网络扫描访问流量，其检测精确度受网络节点的正常网络访问流量影响较大。

发明内容

为了克服现有技术的不足，本发明提供一种适于局域网环境的网络节点扫描检测方法和系统。本发明目的是克服现有网络扫描检测系统不能正确区分主机节点发出的正常网络访问流量和可能的网络扫描访问流量的缺点，通过分析每个主机节点的每次外出网络访问是否存在相关的DNS解析操作来实现正常网络访问流量和可能的网络扫描访问流量的区分，并通过进一步分析可能的网络扫描访问流量的相应率和目标IP地址发散度来有效检测局域网络中的各种隐蔽的网络扫描事件。

本发明解决其技术问题所采用的技术方案是：

一种适于局域网环境的网络节点扫描检测方法，包括网络终端、局域网、数据获取模块、DNS解析监控模块、可疑网络访问过滤模块、可疑网络访问统计模块、网络扫描检测模块，其特征在于所述方法的步骤：

数据获取步骤；

DNS解析监控步骤；

可疑网络访问过滤步骤；

可疑网络访问统计步骤；

网络扫描检测步骤。

一种适于局域网环境的网络节点扫描检测系统，包括：网络终端、局域网，其特征在于，收集局域网中所有网络数据包的并分类的数据获取模块，与数据模块连接的对数据包进行DNS解析并将数据包的IP地址列表的DNS解析监控模块，与数据获取模块、DNS解析监控模块连接的使用IP地址列表对数据包进行过滤的可疑网络访问过滤模块，对可疑网络访问过滤模块所检测到的可疑数据包进行访问数量检测的可疑网络访问统计模块，对经可疑网络访问统计模块进一步确认的可疑数据包做可疑网络访问连接响应率和目标IP地址发散度检测进而最终确认网络节点扫描事件的网络扫描检测模块。

本发明的有益效果：本发明通过将各主机节点发出的所有网络访问请求与本局域网中最近DNS解析过的IP地址列表进行关联，最大限度的过滤掉那些与正常网络访问流量相关的网络访问请求，并只对各主机节点发出的可疑网络访问请求进行统计和检测，从而最大限度的降低正常网络访问流量对网络扫描检测结果的精度；同时，采用可疑网络访问请求连接响应率和可疑网络访问请求的目标IP地址发散度为网络扫描检测指标，而不是以固定时间窗口为统计依据，可以本发明所述的网络扫描检测系统可以检测出各种非常隐蔽的网络扫描事件。本发明所述的适于局域网环境的网络节点扫描检测系统可广泛应用于入侵检测系统/入侵防御系统等所有需要对局域网络中各主机节点的扫描行为进行监控的网络安全产品中。

附图说明

下面结合附图和实施例对本发明进一步说明。

图1为本发明实施例一和实施例八所述的网络节点扫描检测系统体系结构图；

图2为本发明实施例三和实施例四所述的DNS解析监控模块创建的DNS解析IP地址哈希表；

图3为本发明实施例六所述的可疑网络访问统计模块创建的主机节点可疑网络访问统计哈希表；

图4为本发明实施六例所述的可疑网络访问统计模块用于计算可疑网络访问请求的目标IP地址发散度的位图向量；