[发明专利]检测ICMP网络扫描网络攻击行为的方法、装置、电子设备及介质

说明书

本发明公开了一种检测ICMP网络扫描攻击行为的方法、装置、电子设备及介质，该方法首先获取实时数据、实时数据的源IP地址、历史ICMP通信结构图以及历史ICMP通信结构图的各节点的IP地址及对应的特征信息，然后基于实时数据，更新历史ICMP通信结构图，得到新的ICMP通信结构图；再基于实时数据的源IP地址及新的ICMP通信结构图，确定源IP地址对应的节点的特征信息；之后基于源IP地址、源IP地址对应的节点的特征信息、历史ICMP通信结构图的各节点的IP地址及对应的特征信息，得到新的ICMP通信结构图中每个节点对应的键值对，最后通过建模判断是否存在ICMP网络扫描攻击行为。由此该方能够及时检测出ICMP网络扫描攻击行为，提高了网络的安全性。

技术领域

本发明涉及互联网技术领域，特别涉及一种检测ICMP网络扫描攻击行为的方法、装置、电子设备及介质。

背景技术

网络扫描是网络攻击中的一种信息收集手段，当网络中某个主机被渗透后，攻击者会利用该主机作为跳板对局域网内其他主机进行扫描，其目的是确定哪些IP地址已连接计算机。而网络控制消息协议（Internet Control Message Protocol，ICMP）具有探测主机是否存在、是否可达、路由是否可用等功能。基于此，网络攻击者能够利用ICMP扫描精确定位到网络中主机的IP分配。因此，及时发现基于ICMP扫描的攻击行为就尤为重要。

在现有技术中，检测基于ICMP扫描的攻击行为的方法为：首先需要在预定的时间周期内获取网络数据并提取扫描特征，然后利用扫描特征和分类器检测是否存在攻击行为。但是，该方法需要在预定的时间周期内获取网络数据作为分析攻击行为的基础，也就是说每隔一定的时间段才对网络数据进行收集，这样就很难及时检测出攻击行为，导致网络安全性降低。

发明内容

本发明的目的在于提供一种检测ICMP网络扫描攻击行为的方法、装置、电子设备及介质，主要目的在于解决以上现有技术中的技术问题。

第一方面，根据本发明的实施例，提供了一种检测ICMP网络扫描攻击行为的方法，包括：

获取实时数据、所述实时数据的源IP地址、历史ICMP通信结构图以及所述历史ICMP通信结构图的各节点的IP地址及对应的特征信息，其中，所述历史ICMP通信结构图为以IP地址为节点且以ICMP通信记录为边的图数据结构，所述特征信息包括特征类型及对应的特征值；

基于所述实时数据，更新所述历史ICMP通信结构图，得到新的ICMP通信结构图；

基于所述实时数据的源IP地址及所述新的ICMP通信结构图，确定所述源IP地址对应的节点的特征信息，以实时获得所述实时数据的特征信息；

基于所述源IP地址、所述源IP地址对应的节点的特征信息、所述历史ICMP通信结构图的各节点的IP地址及对应的特征信息，得到所述新的ICMP通信结构图中每个节点对应的键值对，其中，每个所述键值对包括每个节点的IP地址及对应的特征信息；

基于所有所述键值对，通过建模判断是否存在ICMP网络扫描攻击行为。

在一些可能实现的方式中，所述通过建模判断是否存在ICMP网络扫描攻击行为，包括：

对所有所述键值对进行无监督学习，判断是否存在异常键值对；

如果存在异常键值对，则获取所述异常键值对，并判定所述异常键值对是否为ICMP网络扫描攻击行为数据；

如果所述异常键值对为ICMP网络扫描攻击行为数据，则确定存在ICMP网络扫描攻击行为。

在一些可能实现的方式中，所述判定所述异常键值对是否为ICMP网络扫描攻击行为数据，包括：

基于所述异常键值对的特征信息，得到所述异常键值对的分数值；