| 发明名称 | 一种检测端口扫描行为的方法和系统 | ||
| 摘要 | 本发明提出一种检测端口扫描行为的方法和系统,包括:将受保护的各客户端的IP地址与其开放的端口号的对应关系写入配置文件中;监测受保护的各客户端被访问情况,维护各访问客户端对受保护的客户端的开放端口访问列表和未开放端口访问列表;根据各访问客户端对受保护的客户端的开放端口访问列表和未开放端口访问列表,分别计算各受保护客户端的开放端口以及未开放端口被各访问客户端平均访问过的个数;按照预置的快扫描判断准则和慢扫描判断准则同时进行快扫描判断和慢扫描判断,从而实现既能对端口快扫描行为进行检测,又能够很好地发现慢扫描行为。 | ||
| 申请公布号 | CN101902349B | 申请公布日期 | 2012.10.31 |
| 申请号 | CN200910085033.X | 申请日期 | 2009.05.27 |
| 申请人 | 北京启明星辰信息技术股份有限公司;北京启明星辰信息安全技术有限公司 | 发明人 | 李博;牛妍萍 |
| 分类号 | H04L12/24(2006.01)I;H04L29/06(2006.01)I | 主分类号 | H04L12/24(2006.01)I |
| 代理机构 | 北京安信方达知识产权代理有限公司 11262 | 代理人 | 龙洪;霍育栋 |
| 主权项 | 一种检测端口扫描行为的方法,包含步骤:将受保护的各客户端的IP地址与其开放的端口号的对应关系写入配置文件中;监测受保护的各客户端被访问情况,维护各访问客户端对受保护的客户端的开放端口访问列表和未开放端口访问列表;根据各访问客户端对受保护的客户端的开放端口访问列表和未开放端口访问列表,分别计算各受保护客户端的开放端口以及未开放端口被各访问客户端平均访问过的个数;按照预置的快扫描判断周期,统计每一周期内各访问客户端对各受保护客户端的开放端口和未开放端口访问到的个数,并判断是否存在某一访问客户端对某一受保护客户端的开放端口和未开放端口访问到的个数之和大于该某一受保护客户端的开放端口和未开放端口被各访问客户端平均访问过的个数之和的一快扫描倍数阈值,且该某一访问客户端对该某一受保护客户端的未开放端口访问到的个数大于快扫描未开放端口数阈值,如果存在,则认为该某一访问客户端对该某一受保护客户端正进行快扫描,执行相应的快扫描防御对策;以及按照预置的慢扫描判断周期,统计每一周期内各访问客户端对各受保护客户端的开放端口和未开放端口访问到的个数,并判断是否存在某一访问客户端对某一受保护客户端的开放端口和未开放端口访问到的个数之和大于该某一受保护客户端的开放端口和未开放端口被各访问客户端平均访问过的个数之和的一慢扫描倍数阈值,且该某一访问客户端对该某一受保护客户端的未开放端口访问到的个数大于慢扫描未开放端口数阈值,如果存在,则认为该某一访问客户端对该某一受保护客户端正进行慢扫描,执行相应的慢扫描防御对策。 | ||
| 地址 | 100193 北京市海淀区东北旺西路8号中关村软件园21号楼启明星辰大厦 | ||