[发明专利]一种网卡流量的端口扫描检测方法、装置和可读存储介质

说明书

本发明公开的了一种网卡流量的端口扫描检测方法、装置和可读存储介质。所述方法包括：获取Agent主机网络数据，提取所述Agent主机网络数据的SYN数据包特征，得到SYN数据包特征信息，根据所述SYN数据包特征信息对数据包对应连接信息进行处理。本发明通过在应用层实现对主机网卡流量的监控、解析、缓冲以及策略分析，达到对主机端口扫描行为的分析。能够提高网络安全。

技术领域

本申请涉及数据处理和数据传输领域，更具体的，涉及一种网卡流量的端口扫描检测方法、装置和可读存储介质。

背景技术

现有的端口扫描检测技术常见有两种模式：第一，基于交换机的网络流量。通过在交换机端配置镜像端口，获取整个局域网的网络数据，基于四元组(客户端IP、服务端IP、客户端端口、服务端端口)或者流量特征分析端口扫描行为。第二，基于内核驱动层获取主机网络流量。通过编写内核驱动程序捕获主机网络流量，直接针对单个主机的网络数据分析端口扫描行为。现有技术主要是作为端点检测和响应(EDR，Endpoint DetectionResponse)的一个重要检测项来实现，因此基于交换机网络流量的实现明显不再适用，而基于内核驱动层获取主机网络量实现检测的方式，也存在程序错误导致主机系统崩溃的问题。

现有技术存在缺陷急需改进。

发明内容

鉴于上述问题，本发明的目的是提供一种网卡流量的端口扫描检测方法、装置和可读存储介质，本发明的端口扫描检测技术部署于agent主机，通过在应用层实现对主机网卡流量的监控、解析、缓冲以及策略分析，达到对主机端口扫描行为的分析。网卡流量的端口扫描检测技术并不与其他防御技术相排斥，相反，结合当下的主机入侵与检测(EDR)、微隔离等防护产品，更能在网络安全防御中能发挥作用，以解决上述问题。

本发明第一方面提供了一种网卡流量的端口扫描检测方法，包括：

获取Agent主机网络数据；

提取所述Agent主机网络数据的SYN数据包特征，得到SYN数据包特征信息；

根据所述SYN数据包特征信息对数据包对应连接信息进行处理。

本方案中，获取Agent主机网络数据包括：

获取Agent主机网卡类型信息，根据所述Agent主机网卡类型信息对虚拟网卡进行过滤处理；

获取Agent主机物理网卡的网络流量信息；

根据BPF规则对TCP SYN入栈包之外的数据包进行过滤处理。

本方案中，

所述SYN数据包特征信息包括源IP信息和目的端口信息。

本方案中，根据所述SYN数据包特征信息对数据包对应连接信息进行处理，包括：

根据所述SYN数据包特征信息判断数据包所述对应连接信息是否出现过；

若否，将所述对应连接信息存入缓存数据；

若是，则更新所述缓存数据中的时间戳字段。

本方案中，根据所述SYN数据包特征信息判断数据包所述对应连接信息是否出现过，若否，将所述对应连接信息存入缓存数据，若是，则更新所述缓存数据中的时间戳字段之后，还包括：

根据所述源IP信息和目的端口信息进行分析；

得到所述源IP信息地址相同和所述目的端口信息不一致的数据包的个数信息；

判断任一源IP对应的目的端口数是否在预设阈值范围内；

若否，发送告警信息至预设终端。

本发明第二方面提供了一种装置。该装置包括：