检测蠕虫扫描的方法和装置

摘要

本发明实施例涉及一种检测蠕虫扫描的方法和装置。其中，一种检测蠕虫扫描的方法包括：对目标端口进行第一次蠕虫检测，获得第一组疑似蠕虫扫描目标IP地址；对不包括所述第一组疑似蠕虫扫描目标IP地址的其他目标IP地址所对应的所述目标端口进行蠕虫检测，获得蠕虫扫描源IP地址。本发明实施例提高了识别蠕虫扫描的准确率。

说明书

技术领域

本发明涉及通信技术，尤其涉及一种检测蠕虫扫描的方法和装置。

背景技术

蠕虫病毒是计算机病毒的一种，其利用网络进行复制和传播。随着网络的发展，蠕虫病毒层出不穷。蠕虫病毒的传播过程包括三个步骤：扫描、攻击和复制。其中，扫描指的是发送扫描数据包扫描存活的主机以探测出存在漏洞的主机。当蠕虫病毒爆发时，蠕虫病毒发出的扫描数据包占用了大量的带宽，造成网络拥塞，极大地影响网络通信速度。如果能够识别出蠕虫病毒的扫描数据包，不但能够解决蠕虫病毒爆发对带宽的消耗，也能很好地抑制蠕虫病毒的爆发。

为了识别出蠕虫病毒的扫描数据包，现有技术中存在如下技术方案：根据网络中主机向以前未连接过的网络协议(Internet Protocol，以下简称：IP)地址，发起的第一次连接的成功或失败情况、以及第一次连接的时间间隔，分别选择相应的概率计算公式计算主机感染蠕虫的概率；将计算所得概率值与预设的主机感染蠕虫判断阈值进行比较，若概率大于主机感染蠕虫判断阈值，则认为该主机为异常主机。

但是，发明人经过研究发现该技术方案存在如下缺陷：需要IP会话表来记录大量的已连接IP地址，该I P会话表在实际开发中由于数据量较大，而且随着IP地址的增加，数据量会越来越大，因此，需要占用检测设备的大量资源。当检测设备的可用资源不够大时，会降低识别蠕虫扫描的准确率。

发明内容

本发明实施例提供了一种检测蠕虫扫描的方法和装置，用以实现提高识别蠕虫扫描的准确率。

本发明实施例提供了一种检测蠕虫扫描的方法，包括：

对目标端口进行第一次蠕虫检测，获得第一组疑似蠕虫扫描目标IP地址；

对不包括所述第一组疑似蠕虫扫描目标IP地址的其他目标IP地址所对应的所述目标端口进行蠕虫检测，获得蠕虫扫描源IP地址。

本发明实施例还提供了一种检测蠕虫扫描的方法，包括：

对目标端口进行第一次蠕虫检测，获得第一组疑似蠕虫扫描目标IP地址；

对所述目标端口进行第二次蠕虫检测，获得第二组疑似蠕虫扫描目标IP地址；

比较所述第一组疑似蠕虫扫描目标IP地址和所述第二组疑似蠕虫扫描目标IP地址，将所述第二组疑似蠕虫扫描目标IP地址中与所述第一组疑似蠕虫扫描目标IP地址不同的目标IP地址确定为蠕虫扫描目标IP地址，将与所述蠕虫扫描目标IP地址对应的源I P地址确定为蠕虫扫描源IP地址。

本发明实施例还提供了一种检测蠕虫扫描的装置，包括：

第一蠕虫扫描检测模块，用于对目标端口的进行第一次蠕虫检测，获得第一组疑似蠕虫扫描目标IP地址；

第一蠕虫扫描源获取模块，用于对不包括所述第一组疑似蠕虫扫描目标IP地址的其他目标IP地址所对应的所述目标端口进行蠕虫检测，获得蠕虫扫描源IP地址。

本发明实施例还提供了一种检测蠕虫扫描的装置，包括：

第二蠕虫扫描检测模块，用于对目标端口进行第一次蠕虫检测，获得第一组疑似蠕虫扫描目标IP地址；

第三蠕虫扫描检测模块，用于对所述目标端口进行第二次蠕虫检测，获得第二组疑似蠕虫扫描目标IP地址；

第二蠕虫扫描源获取模块，用于比较所述第一组疑似蠕虫扫描目标IP地址和所述第二组疑似蠕虫扫描目标IP地址，将所述第二组疑似蠕虫扫描目标IP地址中与所述第一组疑似蠕虫扫描目标IP地址不同的目标IP地址确定为蠕虫扫描目标IP地址，将与所述蠕虫扫描目标IP地址对应的源IP地址确定为蠕虫扫描源IP地址。

本发明实施例提供的检测蠕虫扫描的方法和装置，利用蠕虫扫描数据包将不会出现所扫描的目标IP地址重复的情况，通过对目标端口的数据包进行两次蠕虫扫描检测，排除了被重复扫描的目标IP地址，提高了识别蠕虫扫描的准确率。

附图说明

图1为本发明检测蠕虫扫描的方法第一实施例的流程示意图；

图2为本发明检测蠕虫扫描的方法第二实施例的流程示意图；

图3为本发明检测蠕虫扫描的方法第三实施例的流程示意图；

图4为本发明检测蠕虫扫描的装置第一实施例的结构示意图；

图5为本发明检测蠕虫扫描的装置第二实施例的结构示意图；

图6为本发明检测蠕虫扫描的装置第三实施例的结构示意图。

具体实施方式

下面通过附图和实施例，对本发明的技术方案做进一步的详细描述。

检测蠕虫扫描的方法第一实施例

如图1所示，为本发明检测蠕虫扫描的方法第一实施例的流程示意图，具体可以包括如下步骤：

步骤11、对目标端口进行第一次蠕虫检测，获得第一组疑似蠕虫扫描目标IP地址；

步骤12、对不包括第一组疑似蠕虫扫描目标IP地址的其他目标IP地址所对应的该目标端口进行蠕虫检测，获得蠕虫扫描源IP地址；

具体地，蠕虫扫描的数据包的目标IP地址通过会发生变化，而正常扫描的数据包的目标IP地址通常不会发生变化，因此，蠕虫扫描数据包将不会出现所扫描的目标IP地址重复的情况，据此，目标IP地址已经进行过蠕虫检测的数据包可以被认为是正常扫描的数据包，在第二次检测时不再对已经进行过蠕虫扫描检测的数据包进行检测。

本实施例利用蠕虫扫描数据包将不会出现所扫描的目标IP地址重复的情况，通过对目标端口的数据包有选择的进行两次蠕虫扫描检测，提高了识别蠕虫扫描的准确率。

检测蠕虫扫描的方法第二实施例

蠕虫扫描和正常扫描的区别主要在于：而大多数正常扫描同时扫描一台主机的多个端口，例如：正常扫描的成功率较高，应用同步(Synchronization，以下简称：SYN)包扫描时，该端口发出一定数量的SYN包，返回同样数量的同步确认(SYN Acknowledge，以下简称：SYN ACK)数据包，而大多数蠕虫扫描都是有针对性的扫描一台主机的一个端口，且蠕虫扫描的成功率并不高，该端口发出大量的SYN包，只返回少量的SYN ACK包，因此可以利用这一特点检测蠕虫扫描。

如图2所示，为发明蠕虫扫描的方法第二实施例的流程示意图，可以包括如下步骤：

步骤21、在预设时间段内，对目标端口收到的扫描数据包与该目标端口返回的扫描确认数据包的比值进行第一次统计；

步骤22、若目标端口收到的扫描数据包与目标端口返回的扫描确认数据包的比值大于预设阈值，将扫描数据包的目标IP地址确定为第一组疑似蠕虫扫描目标IP地址；

该预设时间可以根据实际情况设置，例如：0.1秒；

步骤23、在预设时间段内，对不包括第一组疑似蠕虫扫描目标IP地址的其他目标IP地址所对应的该目标端口收到的扫描数据包与该目标端口返回的扫描确认数据包的比值进行第二次统计；

步骤24、若目标端口收到的扫描数据包与目标端口返回的扫描确认数据包的比值大于预设阈值，将扫描数据包的源IP地址确定为蠕虫扫描源IP地址。

在本实施例中，扫描数据包具体可以为SYN包，扫描确认数据包具体可以为SYN ACK包。除了可以采用SYN包进行扫描外，还可以采用其他的扫描数据包，例如：网络控制消息协议(Internet Control Message Protocol，以下简称：ICMP)数据包进行扫描。

需要说明的是，本发明的步骤21和步骤22、以及步骤23和步骤24还可以采用现有技术中其他检测蠕虫扫描的方法。

本实施例通过统计目标端口的数据包，初步确定蠕虫扫描源IP地址，结合第一次的统计结果，进行二次统计，确定蠕虫扫描源IP地址，提高了识别蠕虫扫描的准确率。

检测蠕虫扫描的方法第三实施例

如图3所示，为本发明检测蠕虫扫描的方法第三实施例的流程示意图，可以包括如下步骤：

步骤31、对目标端口进行第一次蠕虫检测，获得第一组疑似蠕虫扫描目标IP地址；

步骤32、对该目标端口进行第二次蠕虫检测，获得第二组疑似蠕虫扫描目标IP地址；

步骤33、比较第一组疑似蠕虫扫描目标IP地址和第二组疑似蠕虫扫描目标IP地址，将第二组疑似蠕虫扫描目标IP地址中与第一组疑似蠕虫扫描目标IP地址不同的目标IP地址确定为蠕虫扫描目标IP地址，将与蠕虫扫描目标IP地址对应的源IP地址确定为蠕虫扫描源IP地址。

本实施例利用蠕虫扫描数据包将不会出现所扫描的目标IP地址重复的情况，通过对目标端口的数据包进行两次蠕虫扫描检测的结果去重后，得到的结果作为最终确定的蠕虫扫描源IP地址，提高了识别蠕虫扫描的准确率。

检测蠕虫扫描的装置第一实施例

如图4所示，为本发明检测蠕虫扫描的装置第一实施例的结构示意图，可以包括第一蠕虫扫描检测模块41和第一蠕虫扫描源获取模块42。

其中，第一蠕虫扫描检测模块41用于对目标端口进行第一次蠕虫检测，获得第一组疑似蠕虫扫描目标IP地址；

第一蠕虫扫描源获取模块42用于对不包括第一组疑似蠕虫扫描目标IP地址的其他目标IP地址所对应的该目标端口进行蠕虫检测，获得蠕虫扫描源IP地址。

具体地，蠕虫扫描的数据包的目标IP地址通过会发生变化，而正常扫描的数据包的目标IP地址通常不会发生变化，因此，蠕虫扫描数据包将不会出现所扫描的目标IP地址重复的情况，据此，目标IP地址已经进行过蠕虫扫描检测的数据包可以认为是正常扫描的数据包，在第二次检测时不再对已经进行过蠕虫扫描检测的数据包进行检测。

本实施例利用蠕虫扫描数据包将不会出现所扫描的目标IP地址重复的情况，通过第一蠕虫扫描检测模块41和第一蠕虫扫描源获取模块42对目标端口的数据包进行两次蠕虫扫描检测，提高了识别蠕虫扫描的准确率。

如图5所示，为本发明检测蠕虫扫描的装置第二实施例的结构示意图，在图4所示结构示意图的基础上，第一蠕虫扫描检测模块41可以包括第一统计单元51和疑似蠕虫扫描确定单元52。

其中，第一统计单元51用于在预设时间段内，对目标端口收到的扫描数据包与该目标端口返回的扫描确认数据包的比值进行第一次统计。

疑似蠕虫扫描确定单元52用于若目标端口收到的扫描数据包与所述端口返回的扫描确认数据包的比值大于预设阈值，将扫描数据包的目标IP地址确定为第一组疑似蠕虫扫描目标IP地址。

在图4所示结构示意图的基础上，第一蠕虫扫描源获取模块42可以包括第二统计单元53和蠕虫扫描确定单元54。

其中，第二统计单元53用于在预设时间段内，对不包括第一组疑似蠕虫扫描目标IP地址的其他目标IP地址所对应的该目标端口收到的扫描数据包与该目标端口返回的扫描确认数据包的比值进行第二次统计；

蠕虫扫描确定单元54用于若目标端口收到的扫描数据包与目标端口返回的扫描确认数据包的比值大于预设阈值，将扫描数据包的源IP地址确定为蠕虫扫描源IP地址。

在本实施例中，扫描数据包具体可以为SYN包，扫描确认数据包具体可以为SYN ACK包。除了可以采用SYN包进行扫描外，还可以采用其他的扫描数据包，例如：网络控制消息协议(Internet Control Message Protocol，以下简称：ICMP)数据包进行扫描。

需要说明的是，本发明的第一蠕虫扫描检测模块41和第一蠕虫扫描源获取模块42还可以采用现有技术中其他检测蠕虫扫描的方法。

本实施例利用蠕虫扫描数据包将不会出现所扫描的目标IP地址重复的情况，通过第一统计单元51统计目标端口的数据包，疑似蠕虫扫描确定单元52初步确定蠕虫扫描源IP地址，第二统计单元53结合第一次的统计结果，进行二次统计，蠕虫扫描确定单元54确定蠕虫扫描源IP地址，提高了识别蠕虫扫描的准确率。

如图6所示，为本发明检测蠕虫扫描的装置第三实施例的结构示意图，可以包括第二蠕虫扫描检测模块60、第三蠕虫扫描检测模块61和第二蠕虫扫描源获取模块62。

第二蠕虫扫描检测模块60用于对目标端口进行第一次蠕虫检测，获得第一组疑似蠕虫扫描目标IP地址；

第三蠕虫扫描检测模块61用于对目标端口进行第二次蠕虫检测，获得第二组疑似蠕虫扫描目标IP地址；

第二蠕虫扫描源获取模块62用于比较第一组疑似蠕虫扫描目标IP地址和第二组疑似蠕虫扫描目标IP地址，将第二组疑似蠕虫扫描目标IP地址中与第一组疑似蠕虫扫描目标IP地址不同的目标IP地址确定为蠕虫扫描目标IP地址，将与蠕虫扫描目标IP地址对应的源IP地址确定为蠕虫扫描源IP地址。

本实施例利用蠕虫扫描数据包将不会出现所扫描的目标IP地址重复的情况，通过第二蠕虫扫描检测模块60和第三蠕虫扫描检测模块61对目标端口的数据包进行两次蠕虫扫描检测，排除了被重复扫描的目标IP地址，提高了识别蠕虫扫描的准确率。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算机可获取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-OnlyMemory，ROM)或随机存储记忆体(Random Access Memory，RAM)等。

最后应说明的是：以上实施例仅用以说明本发明的技术方案而非限制，尽管参照较佳实施例对本发明进行了详细说明，本领域的普通技术人员应当理解，可以对本发明的技术方案进行修改或者等同替换，而不脱离本发明技术方案的精神和范围。