[发明专利]一种扫描器指纹识别方法及其系统

说明书

本发明提供了一种扫描器指纹识别方法及其系统，所述方法包括步骤：获取原始流量；提取通信行为特征；检测攻击行为；判断是否存在攻击行为；如果存在，计算扫描器指纹；根据已有扫描器指纹样本，预测扫描器类型。本发明提供的扫描器指纹识识别方法通过对原始流量进行通信行为特征提取，检测攻击行为，当存在攻击行为时，计算扫描器指纹，最后根据已有扫描器指纹样本预测扫描器类型，该方法能够实现端口扫描器的识别。

技术领域

本发明涉及网络流量分析技术领域，尤其涉及一种扫描器指纹识别方法及其系统。

背景技术

扫描器是一种攻击者常用的信息探测工具。扫描器指纹识别是一种对攻击者进行标记和追踪的方法。当前的扫描器指纹识别方法能对Web扫描器和漏洞扫描器进行指纹识别，这种指纹识别方法通过检测扫描器HTTP请求的Header、请求参数中的特定字段，实现识别扫描器的目的，从而拦截攻击行为或者对攻击者进行标记与追踪。但对于一些端口扫描器，例如Nmap(Network Mapper，是Linux下的网络扫描和嗅探工具包)、Masscan(极速TCP端口扫描器)、Zmap(一款扫描软件，由Durumeric领导密歇根大学研究团队开发)等，它们在扫描过程中一般不发送或很少发送HTTP请求，因此，当前的扫描器指纹识别方法无法有效识别这类端口扫描器。

发明内容

为了克服现有技术的不足，本发明提供了一种扫描器指纹识别方法及其系统，能够实现包括Nmap、Zmap和Masscan等常见端口扫描器在内的扫描器指纹识别，为标记和追踪攻击者提供支持。具体采用的技术方案如下：

一种扫描器指纹识别方法，其特征在于，包括以下步骤：

获取原始流量；

提取通信行为特征；

检测攻击行为；

判断是否存在攻击行为；

如果存在，计算扫描器指纹；

根据已有扫描器指纹样本，预测扫描器类型。

优选的，所述原始流量为TCP通信流量，所述获取原始流量、提取通信行为特征包括以下步骤：

TCP通信流量镜像；

在一个周期内对镜像流量进行组包，筛选出SYN、SYN-ACK、RST和RST-ACK包，解析出毎类包的四元组数据和包的类型作为所述通信行为特征；

所述四元组数据包括源IP、目的IP、源端口、目的端口。

优选的，所述检测攻击行为包括：

针对所述源IP，统计所述一个周期内所述源IP的一级特征，得到特征向量后，根据自适应阈值检测攻击行为；所述攻击行为包括水平扫描、垂直扫描、块扫描或者暴力破解。

优选的，所述一级特征包括SYN包数量，SYN-ACK包数量，目的IP数，每个所述目的IP的平均端口数；

当所述SYN包数量与所述SYN-ACK包数量的数量差大于第一阈值时，判断属于疑似扫描行为；进一步的，统计所述源IP访问同一目的IP不同连接端口个数，如果所述源IP访问同一目的IP的不同连接端口个数大于第二阈值，则判断为垂直扫描行为；如果所述源IP连接的目的IP数大于第三阈值，则判断为水平扫描行为；如果所述源IP访问同一目的IP的不同连接端口个数大于第二阈值且所述源IP连接的目的IP数大于第三阈值，则判断为块扫描行为；

当所述SYN包数量与所述SYN-ACK包数量的数量差小于第一阈值时，判断属于疑似暴力破解行为；进一步的，如果探测记录数量大于第四阈值，则判断为暴力破解行为；所述探测记录数量为源IP对一个目的IP的一个目的端口发送的SYN包数量。

优选的，所述特征向量计算方法为，