[发明专利]一种网络终端端口扫描方法及网络终端端口扫描系统

说明书

本发明提出了一种网络终端端口扫描方法及一种网络终端端口扫描系统，该方法包括：从获取的各网络终端的网络流量监控数据中提取各网络终端的源IP地址、目标IP地址、源端口、目标端口，筛选已使用的IP地址及端口；按预设规则确定同一网络社区内网络终端的中心节点；对中心节点已使用的IP地址及端口进行扫描。本发明用一种分重点次序的方式扫描网络终端，缩短了对网络终端扫描的时间，提高了对网络终端扫描的效率，用户体验佳。

技术领域

本发明涉及信息安全技术领域，特别涉及一种网络终端端口扫描方法及一种网络终端端口扫描系统。

背景技术

网络终端端口是否开启代表着服务是否运行，通过扫描端口的服务是否开启，为之后的网络安全预警做准备工作。现有的端口扫描技术，对终端每一端口进行扫描，判断服务(例如http服务、ftp服务、ssh服务、telnet服务、rdp服务等)是否开启。

但是现有的端口扫描技术存在一些问题。例如，对未知的IP地址段以及端口只能用轮询的方式进行扫描；或者用软件进行全量扫描，发现已经在使用的IP地址和端口，然后对这些IP地址和端口进行详细扫描。由于一个IP地址的端口通过16bit进行编号后最多可以有65536个端口，因此需要扫描的端口数太多，扫描时间太长，不利于安全漏洞的发现。

发明内容

鉴于上述问题，有必要提出一种网络终端端口扫描方法以解决或部分解决上述问题，本发明提出的技术方案如下：

一种网络终端端口扫描方法，包括以下步骤：

从获取的各网络终端的网络流量监控数据中提取各网络终端的源IP地址、目标IP地址、源端口、目标端口，筛选已使用的IP地址及端口；

按预设规则确定同一网络社区内网络终端的中心节点；

对中心节点已使用的IP地址及端口进行扫描。

进一步的，一种网络终端端口扫描方法还包括：在获取各网络终端的源IP地址、目标IP地址、源端口、目标端口，筛选已使用的IP地址及端口之前，利用社区发现算法将各网络终端划归为不同社区；或者，在获取各网络终端的源IP地址、目标IP地址、源端口、目标端口，筛选已使用的IP地址及端口之后，利用社区发现算法将各网络终端划归为不同社区。

进一步的，按预设规则确定同一网络社区内中心节点，具体包括：

利用各网络终端的源IP地址、目标IP地址分别计算网络社区内任一网络终端与其余各网络终端的距离；

若一网络终端与其余各网络终端的距离之和最小，则判断该网络终端为中心节点。

进一步的，计算网络社区内任一网络终端与其余各网络终端的距离具体包括：

根据两网络终端的源IP地址、目标IP地址判断两网络终端是否存在直接访问关系；

若存在，则两网络终端距离为1；否则两网络终端的距离为两网络终端间接访问经过的网络终端数量加1。

进一步的，所述网络终端端口扫描方法还包括：寻找中心节点的边缘节点，并扫描所述边缘节点已使用的IP地址及端口，所述边缘节点至少包括一度节点，所述一度节点为与中心节点存在直接访问关系的网络终端。

进一步的，所述边缘节点还包括二度节点，所述网络终端端口扫描方法还包括：寻找中心节点的二度节点，并扫描二度节点中已使用的IP地址及端口；寻找各中心节点的二度节点具体包括：

将各一度节点组成一度节点子集；

寻找与各一度节点具有直接访问关系的网络终端，去掉中心节点后得到备选子集；

在备选子集中去掉与一度节点子集相同的网络终端后得到的各网络终端即为二度节点。