CN110191004A - 一种端口检测方法及*** - Google Patents

一种端口检测方法及*** Download PDF

Info

Publication number
CN110191004A
CN110191004A CN201910529286.5A CN201910529286A CN110191004A CN 110191004 A CN110191004 A CN 110191004A CN 201910529286 A CN201910529286 A CN 201910529286A CN 110191004 A CN110191004 A CN 110191004A
Authority
CN
China
Prior art keywords
port
service
destination
high frequency
access frequency
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201910529286.5A
Other languages
English (en)
Other versions
CN110191004B (zh
Inventor
刘晓
章宇东
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Sohu New Media Information Technology Co Ltd
Original Assignee
Beijing Sohu New Media Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Sohu New Media Information Technology Co Ltd filed Critical Beijing Sohu New Media Information Technology Co Ltd
Priority to CN201910529286.5A priority Critical patent/CN110191004B/zh
Publication of CN110191004A publication Critical patent/CN110191004A/zh
Application granted granted Critical
Publication of CN110191004B publication Critical patent/CN110191004B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0631Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/50Testing arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Mining & Analysis (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种端口检测方法及***,方法包括:采集网络设备的流信息,基于采集到的流信息,对同一目的IP的目的端口的访问频率进行分别统计,计算预设时间内的平均访问频率;当访问频率大于平均访问频率的M倍时,记录目的IP和目的端口;扫描目的IP的目的端口的服务和版本信息,判断是否为高频端口,若是,则:分析所述高频端口的服务,基于高频端口的服务生成相应的告警信息。本发明能够先通过netflow初步筛选出疑似异常端口,再针对疑似异常端口进一步通过nmap工具检测、分析,增加服务级别,双重因子筛选出异常端口,并进行相应的告警。

Description

一种端口检测方法及***
技术领域
本发明涉及网络检测技术领域,尤其涉及一种端口检测方法及***。
背景技术
随着网络应用的发展,需要对网络行为进行很好地管理,需要了解网络运行状况,如运行哪些端口,以及不同端口的访问频率,判断是否进行攻击等网络行为。
目前,netflow网络流量分析可以基本了解网络运行状况,以及带宽使用情况,更多的是根据源IP、目的IP、源端口、目的端口、协议等五元组信息来做分类汇总,发现疑似异常流量、异常端口;汇总分析的条件很简单,主要针对IP/flow/packet/port等,如果把这些做为异常数据报警,误报率会很高,需要更多的人工介入。nmap工具,可以利用版本检测,nmap-sV可以扫描出目标服务器IP的端口上运行的软件版本,通过解析,可获取目标服务器IP的端口、真实服务等详细信息,但是检测单个IP的所有端口的版本信息,耗时很长,需要分钟级别,更不适合企业大规模检测。netflow重点在网络流量行为的汇总分析,nmap端口扫描工具重点在端口扫描,两者均没有筛选异常端口和报警机制。
因此,如何有效的进行端口检测,是一项亟待解决的问题。
发明内容
有鉴于此,本发明提供了一种端口检测方法,能够先通过netflow初步筛选出疑似异常端口,再针对疑似异常端口进一步通过nmap工具检测、分析,增加服务级别,双重因子筛选出异常端口。
本发明提供了一种端口检测方法,包括:
采集网络设备的流信息;
基于采集到的所述流信息,对同一目的IP的目的端口的访问频率进行分别统计,计算预设时间内的平均访问频率;
当访问频率大于所述平均访问频率的M倍时,记录目的IP和目的端口;
扫描所述目的IP的目的端口的服务和版本信息,判断是否为高频端口,若是,则:
分析所述高频端口的服务,基于所述高频端口的服务生成相应的告警信息。
优选地,在所述采集网络设备的流信息之前,还包括:
对端口进行服务分级,其中,所述服务分级包括:普通服务、敏感服务和弱密码服务。
优选地,所述分析所述高频端口的服务,基于所述高频端口的服务生成相应的告警信息,包括:
当所述高频端口的服务为敏感服务时,生成敏感服务告警信息。
优选地,所述分析所述高频端口的服务,基于所述高频端口的服务生成相应的告警信息,包括:
当所述高频端口的服务为弱密码服务时,生成弱密码服务告警信息。
优选地,所述分析所述高频端口的服务,基于所述高频端口的服务生成相应的告警信息,包括:
当所述高频端口的服务为普通服务时,判断访问频率是否连续N次超过所述平均访问频率,若是,则生成普通服务告警信息。
一种端口检测***,包括:
信息采集模块,用于采集网络设备的流信息;
计算模块,用于基于采集到的所述流信息,对同一目的IP的目的端口的访问频率进行分别统计,计算预设时间内的平均访问频率;
记录模块,用于当访问频率大于所述平均访问频率的M倍时,记录目的IP和目的端口;
判断模块,用于扫描所述目的IP的目的端口的服务和版本信息,判断是否为高频端口;
报警模块,用于当为高频端口时,分析所述高频端口的服务,基于所述高频端口的服务生成相应的告警信息。
优选地,所述***还包括:
服务分级模块,用于对端口进行服务分级,其中,所述服务分级包括:普通服务、敏感服务和弱密码服务。
优选地,所述报警模块具体用于:
当所述高频端口的服务为敏感服务时,生成敏感服务告警信息。
优选地,所述报警模块具体用于:
当所述高频端口的服务为弱密码服务时,生成弱密码服务告警信息。
优选地,所述报警模块具体用于:
当所述高频端口的服务为普通服务时,判断访问频率是否连续N次超过所述平均访问频率,若是,则生成普通服务告警信息。
综上所述,本发明公开了一种端口检测方法,首先采集网络设备的流信息,然后基于采集到的所述流信息,对同一目的IP的目的端口的访问频率进行分别统计,计算预设时间内的平均访问频率;当访问频率大于平均访问频率的M倍时,记录目的IP和目的端口;扫描目的IP的目的端口的服务和版本信息,判断是否为高频端口,若是,则:分析高频端口的服务,基于高频端口的服务生成相应的告警信息。本发明能够先通过netflow初步筛选出疑似异常端口,再针对疑似异常端口进一步通过nmap工具检测、分析,增加服务级别,双重因子筛选出异常端口,并进行相应的告警。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明公开的一种端口检测方法实施例1的方法流程图;
图2为本发明公开的一种端口检测方法实施例2的方法流程图;
图3为本发明公开的一种端口检测方法实施例3的方法流程图;
图4为本发明公开的一种端口检测方法实施例4的方法流程图;
图5为本发明公开的一种端口检测***实施例1的结构示意图;
图6为本发明公开的一种端口检测***实施例2的结构示意图;
图7为本发明公开的一种端口检测***实施例3的结构示意图;
图8为本发明公开的一种端口检测***实施例4的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,为本发明公开的一种端口检测方法实施例1的方法流程图,所述方法可以包括以下步骤:
S101、采集网络设备的流信息;
当需要对端口进行检测时,首先对网络设备进行信息采集。具体的,采集网络设备的netflow流或sflow流,获取源IP、目的IP、源端口、目的端口、协议、时间戳,并通过IP关联公司资产管理平台的责任人、邮箱等基础信息。
S102、基于采集到的流信息,对同一目的IP的目的端口的访问频率进行分别统计,计算预设时间内的平均访问频率;
然后根据采集到的netflow流信息或sflow流信息,对同一目的IP的目的端口的访问频率进行分别统计,计算出预设时间内的平均访问频率。例如,计算出5分钟内的平均访问频率。
S103、当访问频率大于平均访问频率的M倍时,记录目的IP和目的端口;
当计算出平均访问频率后,对访问频率和平均访问频率进行判断,判断访问频率是否大于平均访问频率的M倍,其中,M可根据实际需求进行设定。当访问频率大于平均访问频率的M倍时,记录对应的目的IP和目的端口。
S104、扫描目的IP的目的端口的服务和版本信息,判断是否为高频端口,若是,则进入S105:
针对以上初步筛选的目的IP和目的端口,利用nmap工具的版本检测,“nmap–sV目的IP–p目的端口”可扫描以上目的IP的目的端口的服务和版本信息,判断是否为高频端口。
S105、分析高频端口的服务,基于高频端口的服务生成相应的告警信息。
当为高频端口时,进一步根据预先分级的端口服务分级分析高频端口的服务,并根据高频端口的服务生成相应的告警信息。
综上所述,在上述实施例中,当需要对端口进行检测时,首先采集网络设备的流信息,然后基于采集到的所述流信息,对同一目的IP的目的端口的访问频率进行分别统计,计算预设时间内的平均访问频率;当访问频率大于平均访问频率的M倍时,记录目的IP和目的端口;扫描目的IP的目的端口的服务和版本信息,判断是否为高频端口,若是,则:分析高频端口的服务,基于高频端口的服务生成相应的告警信息。本发明能够先通过netflow初步筛选出疑似异常端口,再针对疑似异常端口进一步通过nmap工具检测、分析,增加服务级别,双重因子筛选出异常端口,并进行相应的告警。
如图2所示,为本发明公开的一种端口检测方法实施例2的方法流程图,所述方法可以包括以下步骤:
S201、对端口进行服务分级,其中,服务分级包括:普通服务、敏感服务和弱密码服务;
当需要对端口进行检测时,可以预先根据公司的安全制度及规则,对端口进行服务分级,区分普通服务、敏感服务、弱密码服务。
S202、采集网络设备的流信息;
在对端口进行检测时,首先对网络设备进行信息采集。具体的,采集网络设备的netflow流或sflow流,获取源IP、目的IP、源端口、目的端口、协议、时间戳,并通过IP关联公司资产管理平台的责任人、邮箱等基础信息。
S203、基于采集到的流信息,对同一目的IP的目的端口的访问频率进行分别统计,计算预设时间内的平均访问频率;
然后根据采集到的netflow流信息或sflow流信息,对同一目的IP的目的端口的访问频率进行分别统计,计算出预设时间内的平均访问频率。例如,计算出5分钟内的平均访问频率。
S204、当访问频率大于平均访问频率的M倍时,记录目的IP和目的端口;
当计算出平均访问频率后,对访问频率和平均访问频率进行判断,判断访问频率是否大于平均访问频率的M倍,其中,M可根据实际需求进行设定。当访问频率大于平均访问频率的M倍时,记录对应的目的IP和目的端口。
S205、扫描目的IP的目的端口的服务和版本信息,判断是否为高频端口,若是,则进入S206:
针对以上初步筛选的目的IP和目的端口,利用nmap工具的版本检测,“nmap–sV目的IP–p目的端口”可扫描以上目的IP的目的端口的服务和版本信息,判断是否为高频端口。
S206、当高频端口的服务为敏感服务时,生成敏感服务告警信息。
当为高频端口时,进一步根据预先分级的端口服务分级分析高频端口的服务,当高频端口的服务为敏感服务时,则生成“目的IP的目的端口是敏感服务,且访问频繁高,请密切观察”的告警信息通知责任人。
如图3所示,为本发明公开的一种端口检测方法实施例3的方法流程图,所述方法可以包括以下步骤:
S301、对端口进行服务分级,其中,服务分级包括:普通服务、敏感服务和弱密码服务;
当需要对端口进行检测时,可以预先根据公司的安全制度及规则,对端口进行服务分级,区分普通服务、敏感服务、弱密码服务。
S302、采集网络设备的流信息;
在对端口进行检测时,首先对网络设备进行信息采集。具体的,采集网络设备的netflow流或sflow流,获取源IP、目的IP、源端口、目的端口、协议、时间戳,并通过IP关联公司资产管理平台的责任人、邮箱等基础信息。
S303、基于采集到的流信息,对同一目的IP的目的端口的访问频率进行分别统计,计算预设时间内的平均访问频率;
然后根据采集到的netflow流信息或sflow流信息,对同一目的IP的目的端口的访问频率进行分别统计,计算出预设时间内的平均访问频率。例如,计算出5分钟内的平均访问频率。
S304、当访问频率大于平均访问频率的M倍时,记录目的IP和目的端口;
当计算出平均访问频率后,对访问频率和平均访问频率进行判断,判断访问频率是否大于平均访问频率的M倍,其中,M可根据实际需求进行设定。当访问频率大于平均访问频率的M倍时,记录对应的目的IP和目的端口。
S305、扫描目的IP的目的端口的服务和版本信息,判断是否为高频端口,若是,则进入S306:
针对以上初步筛选的目的IP和目的端口,利用nmap工具的版本检测,“nmap–sV目的IP–p目的端口”可扫描以上目的IP的目的端口的服务和版本信息,判断是否为高频端口。
S306、当高频端口的服务为弱密码服务时,生成弱密码服务告警信息。
当为高频端口时,进一步根据预先分级的端口服务分级分析高频端口的服务,当高频端口的服务为弱密码服务时,则生成“目的IP的目的端口是弱密码,且访问频率高,请即刻修改”的告警信息通知责任人。
如图4所示,为本发明公开的一种端口检测方法实施例4的方法流程图,所述方法可以包括以下步骤:
S401、对端口进行服务分级,其中,所述服务分级包括:普通服务、敏感服务和弱密码服务;
当需要对端口进行检测时,可以预先根据公司的安全制度及规则,对端口进行服务分级,区分普通服务、敏感服务、弱密码服务。
S402、采集网络设备的流信息;
在对端口进行检测时,首先对网络设备进行信息采集。具体的,采集网络设备的netflow流或sflow流,获取源IP、目的IP、源端口、目的端口、协议、时间戳,并通过IP关联公司资产管理平台的责任人、邮箱等基础信息。
S403、基于采集到的流信息,对同一目的IP的目的端口的访问频率进行分别统计,计算预设时间内的平均访问频率;
然后根据采集到的netflow流信息或sflow流信息,对同一目的IP的目的端口的访问频率进行分别统计,计算出预设时间内的平均访问频率。例如,计算出5分钟内的平均访问频率。
S404、当访问频率大于平均访问频率的M倍时,记录目的IP和目的端口;
当计算出平均访问频率后,对访问频率和平均访问频率进行判断,判断访问频率是否大于平均访问频率的M倍,其中,M可根据实际需求进行设定。当访问频率大于平均访问频率的M倍时,记录对应的目的IP和目的端口。
S405、扫描目的IP的目的端口的服务和版本信息,判断是否为高频端口,若是,则进入S406:
针对以上初步筛选的目的IP和目的端口,利用nmap工具的版本检测,“nmap–sV目的IP–p目的端口”可扫描以上目的IP的目的端口的服务和版本信息,判断是否为高频端口。
S406、当高频端口的服务为普通服务时,判断访问频率是否连续N次超过平均访问频率,若是,则生成普通服务告警信息。
当为高频端口时,进一步根据预先分级的端口服务分级分析高频端口的服务,当高频端口的服务为普通服务时,而且访问频率连续N次超过平均访问频率(N可自行设定)时,则生成“目的IP的目的端口访问频率持续过高”的告警信息通知责任人。
综上所述,本发明基于netflow分析和nmap检测,增加服务级别,双重因子筛选异常端口,实现了异常端口的分析以及自动报警,提高了安全防御能力,减少了人工安全运维成本。
如图5所示,为本发明公开的一种端口检测***实施例1的结构示意图,所述***可以包括:
信息采集模块501,用于采集网络设备的流信息;
当需要对端口进行检测时,首先对网络设备进行信息采集。具体的,采集网络设备的netflow流或sflow流,获取源IP、目的IP、源端口、目的端口、协议、时间戳,并通过IP关联公司资产管理平台的责任人、邮箱等基础信息。
计算模块502,用于基于采集到的流信息,对同一目的IP的目的端口的访问频率进行分别统计,计算预设时间内的平均访问频率;
然后根据采集到的netflow流信息或sflow流信息,对同一目的IP的目的端口的访问频率进行分别统计,计算出预设时间内的平均访问频率。例如,计算出5分钟内的平均访问频率。
记录模块503,用于当访问频率大于平均访问频率的M倍时,记录目的IP和目的端口;
当计算出平均访问频率后,对访问频率和平均访问频率进行判断,判断访问频率是否大于平均访问频率的M倍,其中,M可根据实际需求进行设定。当访问频率大于平均访问频率的M倍时,记录对应的目的IP和目的端口。
判断模块504,用于扫描目的IP的目的端口的服务和版本信息,判断是否为高频端口;
针对以上初步筛选的目的IP和目的端口,利用nmap工具的版本检测,“nmap–sV目的IP–p目的端口”可扫描以上目的IP的目的端口的服务和版本信息,判断是否为高频端口。
报警模块505,用于当为高频端口时,分析高频端口的服务,基于高频端口的服务生成相应的告警信息。
当为高频端口时,进一步根据预先分级的端口服务分级分析高频端口的服务,并根据高频端口的服务生成相应的告警信息。
综上所述,在上述实施例中,当需要对端口进行检测时,首先采集网络设备的流信息,然后基于采集到的所述流信息,对同一目的IP的目的端口的访问频率进行分别统计,计算预设时间内的平均访问频率;当访问频率大于平均访问频率的M倍时,记录目的IP和目的端口;扫描目的IP的目的端口的服务和版本信息,判断是否为高频端口,若是,则:分析高频端口的服务,基于高频端口的服务生成相应的告警信息。本发明能够先通过netflow初步筛选出疑似异常端口,再针对疑似异常端口进一步通过nmap工具检测、分析,增加服务级别,双重因子筛选出异常端口,并进行相应的告警。
如图6所示,为本发明公开的一种端口检测***实施例2的结构示意图,所述***可以包括:
服务分级模块601,用于对端口进行服务分级,其中,所述服务分级包括:普通服务、敏感服务和弱密码服务;
当需要对端口进行检测时,可以预先根据公司的安全制度及规则,对端口进行服务分级,区分普通服务、敏感服务、弱密码服务。
信息采集模块602,用于采集网络设备的流信息;
在对端口进行检测时,首先对网络设备进行信息采集。具体的,采集网络设备的netflow流或sflow流,获取源IP、目的IP、源端口、目的端口、协议、时间戳,并通过IP关联公司资产管理平台的责任人、邮箱等基础信息。
计算模块603,用于基于采集到的流信息,对同一目的IP的目的端口的访问频率进行分别统计,计算预设时间内的平均访问频率;
然后根据采集到的netflow流信息或sflow流信息,对同一目的IP的目的端口的访问频率进行分别统计,计算出预设时间内的平均访问频率。例如,计算出5分钟内的平均访问频率。
记录模块604,用于当访问频率大于平均访问频率的M倍时,记录目的IP和目的端口;
当计算出平均访问频率后,对访问频率和平均访问频率进行判断,判断访问频率是否大于平均访问频率的M倍,其中,M可根据实际需求进行设定。当访问频率大于平均访问频率的M倍时,记录对应的目的IP和目的端口。
判断模块605,用于扫描目的IP的目的端口的服务和版本信息,判断是否为高频端口;
针对以上初步筛选的目的IP和目的端口,利用nmap工具的版本检测,“nmap–sV目的IP–p目的端口”可扫描以上目的IP的目的端口的服务和版本信息,判断是否为高频端口。
报警模块606,用于当为高频端口时,当高频端口的服务为敏感服务时,生成敏感服务告警信息。
当为高频端口时,进一步根据预先分级的端口服务分级分析高频端口的服务,当高频端口的服务为敏感服务时,则生成“目的IP的目的端口是敏感服务,且访问频繁高,请密切观察”的告警信息通知责任人。
如图7所示,为本发明公开的一种端口检测***实施例3的结构示意图,所述***可以包括:
服务分级模块701,用于对端口进行服务分级,其中,所述服务分级包括:普通服务、敏感服务和弱密码服务;
当需要对端口进行检测时,可以预先根据公司的安全制度及规则,对端口进行服务分级,区分普通服务、敏感服务、弱密码服务。
信息采集模块702,用于采集网络设备的流信息;
在对端口进行检测时,首先对网络设备进行信息采集。具体的,采集网络设备的netflow流或sflow流,获取源IP、目的IP、源端口、目的端口、协议、时间戳,并通过IP关联公司资产管理平台的责任人、邮箱等基础信息。
计算模块703,用于基于采集到的流信息,对同一目的IP的目的端口的访问频率进行分别统计,计算预设时间内的平均访问频率;
然后根据采集到的netflow流信息或sflow流信息,对同一目的IP的目的端口的访问频率进行分别统计,计算出预设时间内的平均访问频率。例如,计算出5分钟内的平均访问频率。
记录模块704,用于当访问频率大于平均访问频率的M倍时,记录目的IP和目的端口;
当计算出平均访问频率后,对访问频率和平均访问频率进行判断,判断访问频率是否大于平均访问频率的M倍,其中,M可根据实际需求进行设定。当访问频率大于平均访问频率的M倍时,记录对应的目的IP和目的端口。
判断模块705,用于扫描目的IP的目的端口的服务和版本信息,判断是否为高频端口;
针对以上初步筛选的目的IP和目的端口,利用nmap工具的版本检测,“nmap–sV目的IP–p目的端口”可扫描以上目的IP的目的端口的服务和版本信息,判断是否为高频端口。
报警模块706,用于当为高频端口时,当高频端口的服务为弱密码服务时,生成弱密码服务告警信息。
当为高频端口时,进一步根据预先分级的端口服务分级分析高频端口的服务,当高频端口的服务为弱密码服务时,则生成“目的IP的目的端口是弱密码,且访问频率高,请即刻修改”的告警信息通知责任人。
如图8所示,为本发明公开的一种端口检测***实施例4的结构示意图,所述***可以包括:
服务分级模块801,用于对端口进行服务分级,其中,所述服务分级包括:普通服务、敏感服务和弱密码服务;
当需要对端口进行检测时,可以预先根据公司的安全制度及规则,对端口进行服务分级,区分普通服务、敏感服务、弱密码服务。
信息采集模块802,用于采集网络设备的流信息;
在对端口进行检测时,首先对网络设备进行信息采集。具体的,采集网络设备的netflow流或sflow流,获取源IP、目的IP、源端口、目的端口、协议、时间戳,并通过IP关联公司资产管理平台的责任人、邮箱等基础信息。
计算模块803,用于基于采集到的流信息,对同一目的IP的目的端口的访问频率进行分别统计,计算预设时间内的平均访问频率;
然后根据采集到的netflow流信息或sflow流信息,对同一目的IP的目的端口的访问频率进行分别统计,计算出预设时间内的平均访问频率。例如,计算出5分钟内的平均访问频率。
记录模块804,用于当访问频率大于平均访问频率的M倍时,记录目的IP和目的端口;
当计算出平均访问频率后,对访问频率和平均访问频率进行判断,判断访问频率是否大于平均访问频率的M倍,其中,M可根据实际需求进行设定。当访问频率大于平均访问频率的M倍时,记录对应的目的IP和目的端口。
判断模块805,用于扫描目的IP的目的端口的服务和版本信息,判断是否为高频端口;
针对以上初步筛选的目的IP和目的端口,利用nmap工具的版本检测,“nmap–sV目的IP–p目的端口”可扫描以上目的IP的目的端口的服务和版本信息,判断是否为高频端口。
报警模块806,用于当为高频端口时,当高频端口的服务为普通服务时,判断访问频率是否连续N次超过平均访问频率,若是,则生成普通服务告警信息。
当为高频端口时,进一步根据预先分级的端口服务分级分析高频端口的服务,当高频端口的服务为普通服务时,而且访问频率连续N次超过平均访问频率(N可自行设定)时,则生成“目的IP的目的端口访问频率持续过高”的告警信息通知责任人。
综上所述,本发明基于netflow分析和nmap检测,增加服务级别,双重因子筛选异常端口,实现了异常端口的分析以及自动报警,提高了安全防御能力,减少了人工安全运维成本。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (10)

1.一种端口检测方法,其特征在于,包括:
采集网络设备的流信息;
基于采集到的所述流信息,对同一目的IP的目的端口的访问频率进行分别统计,计算预设时间内的平均访问频率;
当访问频率大于所述平均访问频率的M倍时,记录目的IP和目的端口;
扫描所述目的IP的目的端口的服务和版本信息,判断是否为高频端口,若是,则:
分析所述高频端口的服务,基于所述高频端口的服务生成相应的告警信息。
2.根据权利要求1所述的方法,其特征在于,在所述采集网络设备的流信息之前,还包括:
对端口进行服务分级,其中,所述服务分级包括:普通服务、敏感服务和弱密码服务。
3.根据权利要求2所述的方法,其特征在于,所述分析所述高频端口的服务,基于所述高频端口的服务生成相应的告警信息,包括:
当所述高频端口的服务为敏感服务时,生成敏感服务告警信息。
4.根据权利要求2所述的方法,其特征在于,所述分析所述高频端口的服务,基于所述高频端口的服务生成相应的告警信息,包括:
当所述高频端口的服务为弱密码服务时,生成弱密码服务告警信息。
5.根据权利要求2所述的方法,其特征在于,所述分析所述高频端口的服务,基于所述高频端口的服务生成相应的告警信息,包括:
当所述高频端口的服务为普通服务时,判断访问频率是否连续N次超过所述平均访问频率,若是,则生成普通服务告警信息。
6.一种端口检测***,其特征在于,包括:
信息采集模块,用于采集网络设备的流信息;
计算模块,用于基于采集到的所述流信息,对同一目的IP的目的端口的访问频率进行分别统计,计算预设时间内的平均访问频率;
记录模块,用于当访问频率大于所述平均访问频率的M倍时,记录目的IP和目的端口;
判断模块,用于扫描所述目的IP的目的端口的服务和版本信息,判断是否为高频端口;
报警模块,用于当为高频端口时,分析所述高频端口的服务,基于所述高频端口的服务生成相应的告警信息。
7.根据权利要求6所述的***,其特征在于,还包括:
服务分级模块,用于对端口进行服务分级,其中,所述服务分级包括:普通服务、敏感服务和弱密码服务。
8.根据权利要求7所述的***,其特征在于,所述报警模块具体用于:
当所述高频端口的服务为敏感服务时,生成敏感服务告警信息。
9.根据权利要求7所述的***,其特征在于,所述报警模块具体用于:
当所述高频端口的服务为弱密码服务时,生成弱密码服务告警信息。
10.根据权利要求7所述的***,其特征在于,所述报警模块具体用于:
当所述高频端口的服务为普通服务时,判断访问频率是否连续N次超过所述平均访问频率,若是,则生成普通服务告警信息。
CN201910529286.5A 2019-06-18 2019-06-18 一种端口检测方法及*** Active CN110191004B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910529286.5A CN110191004B (zh) 2019-06-18 2019-06-18 一种端口检测方法及***

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910529286.5A CN110191004B (zh) 2019-06-18 2019-06-18 一种端口检测方法及***

Publications (2)

Publication Number Publication Date
CN110191004A true CN110191004A (zh) 2019-08-30
CN110191004B CN110191004B (zh) 2022-05-27

Family

ID=67722420

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910529286.5A Active CN110191004B (zh) 2019-06-18 2019-06-18 一种端口检测方法及***

Country Status (1)

Country Link
CN (1) CN110191004B (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111339527A (zh) * 2020-02-20 2020-06-26 北京天融信网络安全技术有限公司 一种弱口令检测方法及***
CN111447199A (zh) * 2020-03-23 2020-07-24 深信服科技股份有限公司 服务器的风险分析方法、服务器的风险分析装置及介质
CN112995152A (zh) * 2021-02-07 2021-06-18 深信服科技股份有限公司 一种风险端口检测方法、装置、设备和介质
CN114499987A (zh) * 2021-12-29 2022-05-13 云南电网有限责任公司信息中心 一种基于相对密度的网络异常ip及端口混合检测方法

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030079087A1 (en) * 2001-10-19 2003-04-24 Nec Corporation Cache memory control unit and method
CN105681276A (zh) * 2015-12-25 2016-06-15 亿阳安全技术有限公司 一种敏感信息泄露主动监控与责任认定方法与装置
CN107172064A (zh) * 2017-06-08 2017-09-15 腾讯科技(深圳)有限公司 数据访问控制方法、装置及服务器
CN107515820A (zh) * 2016-06-17 2017-12-26 阿里巴巴集团控股有限公司 服务器监测方法及装置、检测服务器
CN107704765A (zh) * 2017-08-28 2018-02-16 深圳市诚壹科技有限公司 一种接口访问方法、服务器及计算机可读存储介质
US20180075240A1 (en) * 2015-03-20 2018-03-15 Alibaba Group Holding Limited Method and device for detecting a suspicious process by analyzing data flow characteristics of a computing device
CN107835149A (zh) * 2017-09-13 2018-03-23 杭州安恒信息技术有限公司 基于dns流量分析的网络窃密行为检测方法以及装置
CN108494791A (zh) * 2018-04-08 2018-09-04 北京明朝万达科技股份有限公司 一种基于Netflow日志数据的DDOS攻击检测方法及装置

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030079087A1 (en) * 2001-10-19 2003-04-24 Nec Corporation Cache memory control unit and method
US20180075240A1 (en) * 2015-03-20 2018-03-15 Alibaba Group Holding Limited Method and device for detecting a suspicious process by analyzing data flow characteristics of a computing device
CN105681276A (zh) * 2015-12-25 2016-06-15 亿阳安全技术有限公司 一种敏感信息泄露主动监控与责任认定方法与装置
CN107515820A (zh) * 2016-06-17 2017-12-26 阿里巴巴集团控股有限公司 服务器监测方法及装置、检测服务器
CN107172064A (zh) * 2017-06-08 2017-09-15 腾讯科技(深圳)有限公司 数据访问控制方法、装置及服务器
CN107704765A (zh) * 2017-08-28 2018-02-16 深圳市诚壹科技有限公司 一种接口访问方法、服务器及计算机可读存储介质
CN107835149A (zh) * 2017-09-13 2018-03-23 杭州安恒信息技术有限公司 基于dns流量分析的网络窃密行为检测方法以及装置
CN108494791A (zh) * 2018-04-08 2018-09-04 北京明朝万达科技股份有限公司 一种基于Netflow日志数据的DDOS攻击检测方法及装置

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111339527A (zh) * 2020-02-20 2020-06-26 北京天融信网络安全技术有限公司 一种弱口令检测方法及***
CN111339527B (zh) * 2020-02-20 2022-10-21 北京天融信网络安全技术有限公司 一种弱口令检测方法及***
CN111447199A (zh) * 2020-03-23 2020-07-24 深信服科技股份有限公司 服务器的风险分析方法、服务器的风险分析装置及介质
CN112995152A (zh) * 2021-02-07 2021-06-18 深信服科技股份有限公司 一种风险端口检测方法、装置、设备和介质
CN114499987A (zh) * 2021-12-29 2022-05-13 云南电网有限责任公司信息中心 一种基于相对密度的网络异常ip及端口混合检测方法

Also Published As

Publication number Publication date
CN110191004B (zh) 2022-05-27

Similar Documents

Publication Publication Date Title
CN110191004A (zh) 一种端口检测方法及***
JP6703613B2 (ja) データストリームにおける異常検出
EP2180660B1 (en) Method and system for statistical analysis of botnets
JP2018533897A5 (zh)
KR100617310B1 (ko) 네트워크 트래픽 이상 징후 감지 장치 및 그 방법
CN109164786A (zh) 一种基于时间相关基线的异常行为检测方法、装置及设备
US20060109793A1 (en) Network simulation apparatus and method for analyzing abnormal network
CN102340485A (zh) 基于信息关联的网络安全态势感知***及其方法
CN108446546A (zh) 异常访问检测方法、装置、设备及计算机可读存储介质
CN114598525A (zh) 一种针对网络攻击的ip自动封禁的方法和装置
CN111181978B (zh) 异常网络流量的检测方法、装置、电子设备及存储介质
CN106254137A (zh) 监管***的告警根源分析***及方法
CN104486320B (zh) 基于蜜网技术的内网敏感信息泄露取证***及方法
CN107635003A (zh) ***日志的管理方法、装置及***
CN105007175A (zh) 一种基于openflow的流深度关联分析方法及***
CN107465652B (zh) 一种操作行为检测方法、服务器及***
CN110891071A (zh) 一种网络流量信息获取方法、装置及其相关设备
CN112769739B (zh) 数据库操作违规处理方法、装置及设备
US8838774B2 (en) Method, system, and computer program product for identifying common factors associated with network activity with reduced resource utilization
CN108063764B (zh) 一种网络流量处理方法和装置
JP2005151289A (ja) ログ分析装置およびログ分析プログラム
KR20060079782A (ko) 아이피버젼포와 아이피버젼식스 혼재 망에서의 상호 운용성향상을 위한 보안 시스템
KR101469283B1 (ko) 기업 네트워크 분석 시스템 및 그 방법
CN112860471A (zh) 一种基于决策流的业务操作日志审计与告警方法及***
Steinke et al. Multi-tenancy-capable correlation of security events in 5G networks

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant