[发明专利]利用地址解析协议进行网络扫描的行为检测方法及装置

说明书

本申请公开了一种利用地址解析协议进行网络扫描的行为检测方法及装置、存储介质和计算机设备。方法包括：获取通信信息，其中，通信信息包括源地址、目的地址、请求时间以及请求结果；根据目的地址以及请求时间，确定源地址对应的请求规律；根据请求规律确定请求规律得分，根据源地址对应的请求结果确定请求结果得分，根据源地址对应的目的地址确定请求广度得分；根据请求规律得分、请求结果得分以及请求广度得分，在多个通信信息对应的源地址中，确定与网络扫描对应的目标源地址，并确定目标源地址对应的目标请求为网络扫描行为。本申请的方法，提高了ARP网络扫描行为检测的准确率。

技术领域

本申请涉及计算机技术领域，尤其是涉及到一种利用地址解析协议进行网络扫描行为检测方法及装置、存储介质和计算机设备。

背景技术

ARP(AddressResolutionProtocol，地址解析协议)是一个通过用于实现从IP地址到MAC地址的映射，即询问目标IP对应的MAC地址的一种协议。ARP协议在IPv4中极其重要。ARP扫描是一个用于识别本地网络上其他活动主机的过程。在渗透中，当攻击者拿下一台服务器作为跳板进一步进行内网渗透时，可以通过ARP网络扫描来快速收集链路中的存活主机信息。

针对利用APR(地址解析协议)进行网络扫描的行为，现有的检测方法只能根据网络中主机发送ARP请求的总数来判断该主机是否存在网络扫描行为，判断结果准确度低。

发明内容

有鉴于此，本申请提供了一种利用地址解析协议进行网络扫描行为检测方法及装置、存储介质和计算机设备，可以提高ARP网络扫描行为检测的准确率。

根据本申请的一个方面，提供了一种网络扫描行为检测方法，包括：

获取通信信息，其中，所述通信信息包括源地址、目的地址、请求时间以及请求结果；

根据所述源地址对应的目的地址以及所述源地址对应的请求时间，确定所述源地址对应的请求规律；

根据所述请求规律确定请求规律得分，根据所述源地址对应的请求结果确定请求结果得分，根据所述源地址对应的目的地址确定请求广度得分；

根据所述请求规律得分、所述请求结果得分以及所述请求广度得分，在多个所述通信信息对应的源地址中，确定与网络扫描对应的目标源地址，并确定所述目标源地址对应的目标请求为网络扫描行为。

可选地，所述请求规律包括字符规律；

所述根据所述源地址对应的目的地址以及所述源地址对应的请求时间，确定所述源地址对应的请求规律，具体包括：

根据所述通信信息，确定与所述源地址对应的至少一个第一目的地址；

将每个所述第一目的地址切分成为多个地址段，确定每个所述地址段在所述第一目的地址中的位置，并将所述位置相同的地址段作为一个地址段集合；

在每个所述地址段集合中，按照所述地址段对应的第一目的地址由小至大的顺序，为多个所述地址段排序，将每个所述地址段作为第一层地址段序列中的元素，得到与所述地址段集合对应的所述第一层地址段序列；

在第i层地址段序列中，将相邻两个所述元素相减，得到第i+1层地址段序列，其中，i＝1或i＝2；

根据第三层地址段序列中的元素确定所述字符规律。

可选地，所述请求规律包括访问规律；

所述根据所述源地址对应的目的地址以及所述源地址对应的请求时间，确定所述源地址对应的请求规律，具体包括：

在所述通信信息中，分别确定所述源地址在每个预设时间窗内的目标请求时间以及所述目标请求时间对应的第二目的地址；

对多个所述第二目的地址去重，得到第二目的地址的地址数量；