本发明专利技术提出了一种用于主机进程对外进行半连接扫描的识别方法及装置,方法包括:获取主机进程的对外半连接访问数据;对访问数据进行白名单过滤;对当前访问数据进行分组,对每一分组内的每条数据,拼接访问目标IP与访问目标端口,以获得拼接后的IP:PORT数据;基于IP:PORT数据,确定主机进程对外扫描风险总分;基于风险总分,利用配置的阈值确定风险总分对应的主机进程是否出现对外进行半连接扫描现象,本发明专利技术通过高效的半连接网络连接数据采集,通过分组聚合后的风险识别计算后,可以精准的识别出对外进行半连接网络扫描现象。别出对外进行半连接网络扫描现象。别出对外进行半连接网络扫描现象。
【技术实现步骤摘要】
一种用于主机进程对外进行半连接扫描的识别方法及装置
[0001]本专利技术涉及服务器
,尤其涉及一种用于主机进程对外进行半连接扫描的识别方法及装置。
技术介绍
[0002]半连接网络扫描典型的如Masscan是横向渗透等攻击中的主要扫描方法,半连接扫描具有高隐蔽性,不会产生TCP完整会话记录,且扫描性能极高,因此使用非常广泛,但是此类扫描行为当前相关检测技术却存在诸多不足。
[0003]传统的网络扫描检测主要是网络边界中部署旁路流量检测探针来实现网络扫描的检测,这种方案主要以覆盖南北向流量为主,覆盖东西向流量的成本过高,一般机房内部服务器间难以覆盖。另外网络流量侧的检测无法精准识别到攻击进程信息,对安全分析与定位以及自动的误报消除等也存在较多问题。
[0004]然而,主机侧传统方案受限于采集netstat网络快照等方式,只能检测主机上的全连接网络扫描,而实际上如果对外发起半连接网络扫描或内网服务器较少时,无法产出太多连接记录时,无法完成相关检测。
[0005]因此如何识别服务器上有进程在对外进行半连接扫描,当前没有较好的解决方法。
技术实现思路
[0006]本专利技术要解决的技术问题是,如何识别服务器上有进程在对外进行半连接扫描;有鉴于此,本专利技术提供一种用于主机进程对外进行半连接扫描的识别方法及装置。
[0007]本专利技术采用的技术方案是,一种用于主机进程对外进行半连接扫描的识别方法,包括:
[0008]获取主机进程的对外半连接访问数据;
[0009]对所述访问数据进行白名单过滤;
[0010]对当前访问数据进行分组,对每一分组内的每条数据,拼接访问目标IP与访问目标端口,以获得拼接后的IP:PORT数据;
[0011]基于所述IP:PORT数据,确定主机进程对外扫描风险总分;
[0012]基于所述风险总分,利用配置的阈值确定所述风险总分对应的主机进程是否出现对外进行半连接扫描现象。
[0013]在一个实施方式中,所述获取主机进程的对外半连接访问数据,包括:
[0014]通过eBPF XDP捕获进程对外半连接访问数据;和/或
[0015]利用内核Hook采集对外半连接访问数据。
[0016]在一个实施方式中,所述对当前访问数据进行分组,对每一分组内的每条数据,拼接访问目标IP与访问目标端口,以获得拼接后的IP:PORT数据,包括:
[0017]将所述访问数据中,同一主机UUID且同一进程ID的数据分至同一分组中;
[0018]对每一分组内的每条数据中的访问目标IP与访问目标端口进行拼接,以获得拼接后的IP:PORT数据。
[0019]在一个实施方式中,所述基于所述IP:PORT数据,确定主机进程对外扫描风险总分,包括:
[0020]对所述IP:PORT数据进行去重,确定总去重个数N;
[0021]对N进行权值计算处理,以确定主机进程对外扫描风险总分。
[0022]本专利技术的另一方面还提供了一种用于主机进程对外进行半连接扫描的识别装置,包括:
[0023]获取模块,被配置为获取主机进程的对外半连接访问数据;
[0024]过滤模块,被配置为对所述访问数据进行白名单过滤;
[0025]数据处理模块,被配置为对当前访问数据进行分组,对每一分组内的每条数据,拼接访问目标IP与访问目标端口,以获得拼接后的IP:PORT数据;
[0026]评估模块,被配置为基于所述IP:PORT数据,确定主机进程对外扫描风险总分;
[0027]判定模块,被配置为基于所述风险总分,利用配置的阈值确定所述风险总分对应的主机进程是否出现对外进行半连接扫描现象。
[0028]在一个实施方式中,获取模块被进一步配置为:
[0029]通过eBPF XDP捕获进程对外半连接访问数据;和/或
[0030]利用内核Hook采集对外半连接访问数据。
[0031]在一个实施方式中,所述数据处理模块被进一步配置为:
[0032]将所述访问数据中,同一主机UUID且同一进程ID的数据分至同一分组中;
[0033]对每一分组内的每条数据中的访问目标IP与访问目标端口进行拼接,以获得拼接后的IP:PORT数据。
[0034]在一个实施方式中,所述评估模块被进一步配置为:
[0035]对所述IP:PORT数据进行去重,确定总去重个数N;
[0036]对N进行权值计算处理,以确定主机进程对外扫描风险总分。
[0037]本专利技术的另一方面还提供了一种电子设备,所述电子设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现如上任一项所述的用于主机进程对外进行半连接扫描的识别方法的步骤。
[0038]本专利技术的另一方面还提供了一种计算机存储介质,所述计算机存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上任一项所述的用于主机进程对外进行半连接扫描的识别方法的步骤。
[0039]采用上述技术方案,本专利技术至少具有下列优点:
[0040]本专利技术通过高效的半连接网络连接数据采集,并通过白名单有效减少了误报和提升了检测性能,通过分组聚合后的风险识别计算后,可以精准的识别出哪个主机上的哪个进程在对外进行半连接网络扫描。解决了传统网络侧难以覆盖东西向扫描以及无法精准识别到扫描进程的问题,也解决了传统主机安全无法覆盖主机进程对外进行半连接网络扫描异常检测的问题。
附图说明
[0041]图1为根据本专利技术实施例的用于主机进程对外进行半连接扫描的识别方法流程示意图;
[0042]图2为根据本专利技术实施例的用于主机进程对外进行半连接扫描的识别方法的具体实施框架示意图;
[0043]图3为根据本专利技术实施例的用于主机进程对外进行半连接扫描的识别装置组成结构图;
[0044]图4为根据本专利技术实施例的电子设备结构示意图。
具体实施方式
[0045]为更进一步阐述本专利技术为达成预定目的所采取的技术手段及功效,以下结合附图及较佳实施例,对本专利技术进行详细说明如后。
[0046]在附图中,为了便于说明,已稍微夸大了物体的厚度、尺寸和形状。附图仅为示例而并非严格按比例绘制。
[0047]还应理解的是,用语“包括”、“包括有”、“具有”、“包含”和/或“包含有”,当在本说明书中使用时表示存在所陈述的特征、整体、步骤、操作、元件和/或部件,但不排除存在或附加有一个或多个其它特征、整体、步骤、操作、元件、部件和/或它们的组合。此外,当诸如“...中的至少一个”的表述出现在所列特征的列表之后时,修饰整个所列特征,而不是修饰列表中的单独元件。此外,当描述本申请的实施方式时,使用“可以”表示“本申请的一个或多个实施方式”。并且,用语“示例性的”旨在指代示例或举例说明。
[0048]如在本文中使用的,用语“基本上”、“大约”以本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种用于主机进程对外进行半连接扫描的识别方法,其特征在于,包括:获取主机进程的对外半连接访问数据;对所述访问数据进行白名单过滤;对当前访问数据进行分组,对每一分组内的每条数据,拼接访问目标IP与访问目标端口,以获得拼接后的IP:PORT数据;基于所述IP:PORT数据,确定主机进程对外扫描风险总分;基于所述风险总分,利用配置的阈值确定所述风险总分对应的主机进程是否出现对外进行半连接扫描现象。2.根据权利要求1所述的用于主机进程对外进行半连接扫描的识别方法,其特征在于,所述获取主机进程的对外半连接访问数据,包括:通过eBPF XDP捕获进程对外半连接访问数据;和/或利用内核Hook采集对外半连接访问数据。3.根据权利要求1所述的用于主机进程对外进行半连接扫描的识别方法,其特征在于,所述对当前访问数据进行分组,对每一分组内的每条数据,拼接访问目标IP与访问目标端口,以获得拼接后的IP:PORT数据,包括:将所述访问数据中,同一主机UUID且同一进程ID的数据分至同一分组中;对每一分组内的每条数据中的访问目标IP与访问目标端口进行拼接,以获得拼接后的IP:PORT数据。4.根据权利要求1所述的用于主机进程对外进行半连接扫描的识别方法,其特征在于,所述基于所述IP:PORT数据,确定主机进程对外扫描风险总分,包括:对所述IP:PORT数据进行去重,确定总去重个数N;对N进行权值计算处理,以确定主机进程对外扫描风险总分。5.一种用于主机进程对外进行半连接扫描的识别装置,其特征在于,包括:获取模块,被配置为获取主机进程的对外半连接访问数据;过滤模块,被配置...
【专利技术属性】
技术研发人员:许祥,余登峰,
申请(专利权)人:中电云数智科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。