[发明专利]一种扫描器指纹识别方法及其系统

权利要求书

1.一种扫描器指纹识别方法，其特征在于，包括以下步骤：

获取原始流量；

提取通信行为特征；

检测攻击行为；

判断是否存在攻击行为；

如果存在，计算扫描器指纹；

根据已有扫描器指纹样本，预测扫描器类型；

所述原始流量为TCP通信流量，所述获取原始流量、提取通信行为特征包括以下步骤：

TCP通信流量镜像；

在一个周期内对镜像流量进行组包，筛选出SYN、SYN-ACK、RST和RST-ACK包，解析出毎类包的四元组数据和包的类型作为所述通信行为特征；

所述四元组数据包括源IP、目的IP、源端口、目的端口；

所述检测攻击行为包括：

针对所述源IP，统计所述一个周期内所述源IP的一级特征，得到特征向量后，根据自适应阈值检测攻击行为；所述攻击行为包括水平扫描、垂直扫描、块扫描或者暴力破解；

所述一级特征包括SYN包数量，SYN-ACK包数量，目的IP数，每个所述目的IP的平均端口数；

当所述SYN包数量与所述SYN-ACK包数量的数量差大于第一阈值时，判断属于疑似扫描行为；进一步的，统计所述源IP访问同一目的IP不同连接端口个数，如果所述源IP访问同一目的IP的不同连接端口个数大于第二阈值，则判断为垂直扫描行为；如果所述源IP连接的目的IP数大于第三阈值，则判断为水平扫描行为；如果所述源IP访问同一目的IP的不同连接端口个数大于第二阈值且所述源IP连接的目的IP数大于第三阈值，则判断为块扫描行为；

当所述SYN包数量与所述SYN-ACK包数量的数量差小于第一阈值时，判断属于疑似暴力破解行为；进一步的，如果探测记录数量大于第四阈值，则判断为暴力破解行为；所述探测记录数量为源IP对一个目的IP的一个目的端口发送的SYN包数量。

2.如权利要求1所述的扫描器指纹识别方法，其特征在于，所述特征向量计算方法为，

其中，v表示所述特征向量，s表示所述SYN包数量，a表示所述SYN-ACK包数量，i表示所述目的IP数，p表示每个所述目的IP的平均端口数；

所述第一阈值的计算方式为，t1＝max(mean(v)，T1)，其中，t1表示第一阈值，v表示特征向量，T1为设定阈值；

或者所述第二阈值的计算方式为，t2＝max(mean(v)，T2)，其中，t2表示第二阈值，v表示特征向量，T2为设定阈值；

或者所述第三阈值的计算方式为，t3＝max(mean(v)，T3)，其中，t3表示第三阈值，v表示特征向量，T3为设定阈值；

或者所述第四阈值的计算方式为，t4＝max(mean(v)，T4)，其中，t4表示第四阈值，v表示特征向量，T4为设定阈值。

3.如权利要求1所述的扫描器指纹识别方法，其特征在于，所述计算扫描器指纹包括：

对于存在所述攻击行为的源IP，提取出N条对不同目标的扫描记录，遍历所述扫描记录；

从每条所述扫描记录中计算扫描特征，并将所述扫描特征拼接提取所述扫描器指纹；其中N为正整数。

4.如权利要求3所述的扫描器指纹识别方法，其特征在于，所述扫描特征包括所述源IP发送给一个目的IP的SYN包数量n1、RST包数量n2、RST-ACK包数量n3，80端口SYN包数量n4，所述目的IP发送给所述源IP的的SYN-ACK包数量n5、RST-ACK包数量n6，SYN包与扫描端口数的比例k；

所述扫描器指纹f＝(n₁，n₂，n₃，n₄，n₅，n₆，k)。

5.如权利要求1-4任一项所述的扫描器指纹识别方法，其特征在于，所述扫描器类型包括Nmap、Zmap、Masscan和other；

所述根据已有扫描器指纹样本，预测扫描器类型包括以下步骤：

利用邻近算法计算所述扫描器指纹和已有扫描器指纹样本的距离，选取距离小于指定阈值的M个扫描器指纹样本；根据所述M个扫描器指纹样本的类型判断扫描器类型；

其中，所述M为正整数。

6.一种扫描器指纹识别系统，其特征在于，包括：

获取装置，用于获取原始流量；

提取装置，用于提取通信行为特征；

检测装置，用于检测攻击行为；

判断装置，用于判断是否存在攻击行为；

计算装置，用于当存在攻击行为时，计算扫描器指纹；

预测装置，用于根据已有扫描器指纹样本，预测扫描器类型；

所述获取装置包括镜像单元，用于对TCP原始流量进行镜像；

所述提取装置包括组包单元和解析单元，所述组包单元用于在一个周期内对镜像流量进行组包，筛选出SYN、SYN-ACK、RST和RST-ACK包；所述解析单元用于解析出毎类包的四元组数据和包的类型作为所述通信行为特征；

所述检测装置包括统计单元和第一判断单元，所述统计单元用于统计SYN包数量，SYN-ACK包数量，目的IP数，每个所述目的IP的平均端口数；所述第一判断单元用于判断所述SYN包数量与所述SYN-ACK包数量的数量差是否大于第一阈值，当所述SYN包数量与所述SYN-ACK包数量的数量差大于第一阈值时，判断属于疑似扫描行为；当所述SYN包数量与所述SYN-ACK包数量的数量差小于第一阈值时，判断属于疑似暴力破解行为；

所述判断装置包括垂直扫描判断单元、水平扫描判断单元、块扫描判断单元和暴力破解判断单元；

所述垂直扫描判断单元用于判断源IP访问同一目的IP的不同连接端口个数是否大于第二阈值，如果是，则判断为垂直扫描行为；

所述水平扫描判断单元用于判断所述源IP连接的目的IP数是否大于第三阈值，如果是，则判断为水平扫描行为；

所述块扫描判断单元用于判断所述源IP访问同一目的IP的不同连接端口个数是否大于第二阈值且所述源IP连接的目的IP数是否大于第三阈值，如果两者都是，都判断为块扫描行为；

所述暴力破解判断单元用于判断探测记录数量是否大于第四阈值，如果是，则判断为暴力破解行为；所述探测记录数量为源IP对一个目的IP的一个目的端口的发送的SYN包数量；

所述计算装置包括遍历单元、计算单元和拼接单元；

所述遍历单元用于遍历具有攻击行为的源IP的扫描记录；

所述计算单元用于根据所述扫描记录计算扫描特征；

所述拼接单元用于将所述扫描特征拼接为扫描器指纹；

所述预测装置包括选取单元和类型判断单元；

所述选取单元用于利用邻近算法计算所述扫描器指纹和已有扫描器指纹样本的距离，选取距离小于指定阈值的M个扫描器指纹样本；

所述类型判断单元用于根据所述M个扫描器指纹样本的类型判断扫描器类型；其中所述M为正整数。