本发明专利技术公开了一种基于TCP服务开放端口识别异常通信的方法,属于网络安全检测技术领域,其特征在于,包括以下步骤:S1、从旁路镜像的数据流中抽取每个成功TCP会话流的SYN数据帧;S2、提取会话开始时间、服务端IP和服务端端口;S3、将步骤S2中的会话开始时间、服务端IP和服务端端口作为一条记录存入数据库中;S4、查询数据库,抽取记录集X和记录集Y;S5、将记录集X与记录集Y进行联表分析,形成异常通信的记录集Z。本发明专利技术能够有效发现网络中可疑端口通信,确定是否为异常操作,极大的提高了识别异常通信的准确性,方便网络管理人员进行网络管理,保障安全运维。保障安全运维。保障安全运维。
【技术实现步骤摘要】
一种基于TCP服务开放端口识别异常通信的方法
[0001]本专利技术涉及到网络安全检测
,尤其涉及一种基于TCP服务开放端口识别异常通信的方法。
技术介绍
[0002]随着网络规模的迅速扩张,网络中大量主机任意开放端口,导致资产难以管理同时也增加网络风险,对于网络管理、安全运维人员而言,要及时对该情况进行管理及分析难度较大。
[0003]目前对该情况进行的解决方案主要有:依靠访问策略的防护设备和传统流量审计系统。
[0004]传统依靠访问策略的防护设备主要基于防火墙对通信数据进行访问限制或对日志结果进行审计,但以上模式主要依靠策略进行主动限制,灵活性不足。
[0005]而对于传统的流量审计系统,大部分仅对网络中的会话及内容进行审计,未对端口开放的合法性进行分析;如果网络管理人员有详细的服务端口开放资产表,可对当前的端口开放情况进行预警,但其研判预警手段只能通过资产更新人为干预的方式进行管理,效率低下。
[0006]公开号为CN114679338A,公开日为2022年06月28日的中国专利文献公开了一种基于网络安全态势感知的网络风险评估方法,其特征在于,包括:数据采集平台基于威胁潜伏探针进行数据的收集;大数据分析平台采用用户和实体行为分析、威胁建模及机器学习,将特征检测和行为检测相结合,对所述数据进行分析并接收威胁情报;大数据分析平台根据对所述数据的分析结果以及接收到的威胁情报进行网络风险评估,并将网络风险评估结果发送至告警及控制中心;其中,大数据分析平台根据对所述数据的分析结果以及接收到的威胁情报进行网络风险评估,包括:从网络性能指标中,选取指标进行实验;通过贝叶斯网络进行分析,确定各指标之间的依赖关系,画出贝叶斯网络拓扑结构图;对所述数据的分析结果以及接收到的威胁情报行归一化处理,得到对应指标某一时间段的时间序列图,然后进行统计分析,计算出各指标的先验概率和各指标的后验概率;通过上述计算结果,结合评估系数公式,求出各指标的某个风险因素的概率变化的最大允许量并进行排序,最后计算网络风险率,结合风险等级表查看当前时刻的网络风险等级。
[0007]该专利文献公开的一种基于网络安全态势感知的网络风险评估方法,能够解决目前网络安全事件分析难度大,安全威胁处理陷入困局,网络攻击越来越复杂,安全问题难以检测的问题。但是,受制约因素较多,实现过程较为繁琐,其结果的准确性难以保证。
技术实现思路
[0008]本专利技术为了克服上述现有技术的缺陷,提供一种基于TCP服务开放端口识别异常
通信的方法,本专利技术通过对网络流量中服务端、服务端端口和会话开始时间进行对比分析,能够有效发现网络中可疑端口通信,进一步确定是否为异常操作,极大的提高了识别异常通信的准确性,方便网络管理人员进行网络管理,保障安全运维。
[0009]本专利技术通过下述技术方案实现:一种基于TCP服务开放端口识别异常通信的方法,其特征在于,包括以下步骤:S1、从旁路镜像的数据流中抽取每个成功TCP会话流的SYN数据帧;S2、提取会话开始时间、服务端IP和服务端端口;S3、将步骤S2中的会话开始时间、服务端IP和服务端端口作为一条记录存入数据库中;S4、查询数据库,抽取记录集X和记录集Y;S5、将记录集X与记录集Y进行联表分析,形成异常通信的记录集Z。
[0010]所述步骤S1具体包括:S11、识别会话是否为TCP协议,非TCP协议的会话数据帧直接丢弃;S12、判断会话是否经过完整三次握手,会话流最开始部分连续的SYN数据帧、SYN+ACK数据帧和ACK数据帧,未经过三次握手的数据帧直接丢弃;S13、抽取TCP会话流的SYN数据帧。
[0011]所述步骤S2具体包括:S21、提取SYN数据帧头部的时间戳,作为会话开始时间;S22、提取SYN数据帧的IP协议头的目的地址作为服务端IP;S23、提取SYN数据帧的TCP协议头的目的端口作为服务端端口。
[0012]所述步骤S4中,抽取记录集X和记录集Y具体是指对数据库中会话开始时间在时间点A到时间点B内的记录提取成记录集X,对时间点C到时间点D内的会话提取成记录集Y。
[0013]所述记录集X的时间段为A到B作为分析的目标时间段,记录集Y的时间段为C到D作为对比时间段。
[0014]所述目标时间段和对比时间段为多个不重叠且不连续的时间段。
[0015]所述对比时间段的范围大于目标时间段的范围。
[0016]所述步骤S5具体包括:S51、遍历记录集X中的服务端IP和服务端端口,抽取一条记录作为参考对象,对比服务端IP和服务端端口是否存在于记录集Y中,若是则丢弃,若否则继续步骤S52;S52、判断步骤S51记录的服务端IP是否为内网地址,若是则加入异常通信的记录集Z,若否则丢弃;S53、继续遍历,直至记录集X遍历完成。
[0017]本专利技术所述TCP是指传输控制协议。
[0018]本专利技术所述IP是指网际协议。
[0019]本专利技术所述SYN是指同步序列编号,是TCP/IP协议建立连接时的握手信号,为数据帧中TCP字段中的标识位。
[0020]本专利技术所述ACK是指确认位,在TCP/IP协议中表示发来的数据已确认接受无误,为数据帧中TCP字段中的标识位。
[0021]本专利技术的有益效果主要表现在以下方面:
1、本专利技术,S1、从旁路镜像的数据流中抽取每个成功TCP会话流的SYN数据帧;S2、提取会话开始时间、服务端IP和服务端端口;S3、将步骤S2中的会话开始时间、服务端IP和服务端端口作为一条记录存入数据库中;S4、查询数据库,抽取记录集X和记录集Y;S5、将记录集X与记录集Y进行联表分析,形成异常通信的记录集Z,较现有技术而言,本专利技术通过对网络流量中服务端、服务端端口和会话开始时间进行对比分析,能够有效发现网络中可疑端口通信,进一步确定是否为异常操作,极大的提高了识别异常通信的准确性,方便网络管理人员进行网络管理,保障安全运维。
[0022]2、针对依靠访问策略的防护设备,存在端口访问策略未生效、策略不够严谨及防护设备失陷导致策略失效致使灵活性不足而言,本专利技术采用旁路镜像流量的方式进行,其通信情况真实可靠,灵活性好。
[0023]3、对于传统的流量审计系统存在的效率问题而言,本专利技术采用自动对比的方式,在网络管理人员没有服务端口开放资产表的情况下依然能对临时出现的端口进行快速预警,预警高效便捷。
[0024]4、本专利技术,利用服务端IP及服务端端口在不同时间段上进行端口差异对比,能够发现可疑端口开放,进而发现异常通信。
[0025]5、本专利技术,对比时间段的范围大于目标时间段的范围,能够极大的提高对比结果的可靠性。
[0026]6、本专利技术,对比时间段和目标时间段可根据需要进行灵活调整,具有较好的灵活性。
附图说明
[0027]下面将结合说明书附图和具体实施方式对本专利技术作进一步的具体说明:图1为本专利技术的逻辑框图。
具体实施方式
[0028]实施本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于TCP服务开放端口识别异常通信的方法,其特征在于,包括以下步骤:S1、从旁路镜像的数据流中抽取每个成功TCP会话流的SYN数据帧;S2、提取会话开始时间、服务端IP和服务端端口;S3、将步骤S2中的会话开始时间、服务端IP和服务端端口作为一条记录存入数据库中;S4、查询数据库,抽取记录集X和记录集Y;S5、将记录集X与记录集Y进行联表分析,形成异常通信的记录集Z。2.根据权利要求1所述的一种基于TCP服务开放端口识别异常通信的方法,其特征在于:所述步骤S1具体包括:S11、识别会话是否为TCP协议,非TCP协议的会话数据帧直接丢弃;S12、判断会话是否经过完整三次握手,会话流最开始部分连续的SYN数据帧、SYN+ACK数据帧和ACK数据帧,未经过三次握手的数据帧直接丢弃;S13、抽取TCP会话流的SYN数据帧。3.根据权利要求1所述的一种基于TCP服务开放端口识别异常通信的方法,其特征在于:所述步骤S2具体包括:S21、提取SYN数据帧头部的时间戳,作为会话开始时间;S22、提取SYN数据帧的IP协议头的目的地址作为服务端IP;S23、提取SYN数据帧的TCP协议头的目的端口作为服务端端口。4.根据权利要求1所述的一种基于...
【专利技术属性】
技术研发人员:徐文勇,蔡葳蕤,朱志宇,
申请(专利权)人:成都数默科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。