基于动态暗网的互联网扫描行为分析
发布时间:2021-03-25 00:07
为了对互联网上的扫描行为进行观测,采用基于动态暗网的互联网背景辐射(IBR)流量实时采集算法实现对IBR流量的采集,并对采集到的IBR流量进行分析;设计算法过滤出扫描流量,进行面向端口的扫描行为观测.该动态暗网是相对稳定且分散的,不易被定位,通过其获取到的IBR流量是进行扫描分析的可靠数据源.IBR流量主要由传输控制协议(TCP)、用户数据报协议(UDP)、Internet控制消息协议(ICMP)这3种协议组成,其中TCP流量占90%以上,与正常流量中3种协议的分布不同.IBR流量得到的TCP、UDP、ICMP流量都以扫描流量为主,且广泛采用水平扫描的形式.TCP、UDP的热门扫描端口都是危险端口,证明面向端口的扫描行为分析对于发现互联网中新出现的漏洞有重要作用.TCP端口扫描行为较分散,UDP端口扫描行为较集中.
【文章来源】:浙江大学学报(工学版). 2020,54(08)北大核心EICSCD
【文章页数】:7 页
【图文】:
IBR流量的协议分布情况
与TCP、ICMP报文不同,UDP报文无标志位,无法从报文头直接判断报文是否为扫描报文,因此设计简单算法,根据主机行为来判断报文是否为扫描报文.UDP水平扫描主机、垂直扫描主机和随机扫描主机定义如下.1)UDP水平扫描主机.若一个主机在T时间内向O个不同主机的同一端口发送相同字节数的报文,认为该主机为水平扫描主机,其向该端口发出的所有报文为水平扫描报文.
式中:P(X)为该主机向第X个(宿IP,宿端口)对发送的报文数与其发送的报文总数的比值.若H≥ln Q,则认为该主机为随机扫描主机,其发送的所有报文为随机扫描报文.根据上述定义,算法设计如下.
【参考文献】:
期刊论文
[1]运行网络背景辐射的获取与分析[J]. 缪丽华,丁伟,杨望. 软件学报. 2015(03)
硕士论文
[1]互联网扫描行为研究[D]. 王力.东南大学 2018
[2]互联网背景辐射流量的获取与统计分析[D]. 杨扬.东南大学 2016
本文编号:3098648
【文章来源】:浙江大学学报(工学版). 2020,54(08)北大核心EICSCD
【文章页数】:7 页
【图文】:
IBR流量的协议分布情况
与TCP、ICMP报文不同,UDP报文无标志位,无法从报文头直接判断报文是否为扫描报文,因此设计简单算法,根据主机行为来判断报文是否为扫描报文.UDP水平扫描主机、垂直扫描主机和随机扫描主机定义如下.1)UDP水平扫描主机.若一个主机在T时间内向O个不同主机的同一端口发送相同字节数的报文,认为该主机为水平扫描主机,其向该端口发出的所有报文为水平扫描报文.
式中:P(X)为该主机向第X个(宿IP,宿端口)对发送的报文数与其发送的报文总数的比值.若H≥ln Q,则认为该主机为随机扫描主机,其发送的所有报文为随机扫描报文.根据上述定义,算法设计如下.
【参考文献】:
期刊论文
[1]运行网络背景辐射的获取与分析[J]. 缪丽华,丁伟,杨望. 软件学报. 2015(03)
硕士论文
[1]互联网扫描行为研究[D]. 王力.东南大学 2018
[2]互联网背景辐射流量的获取与统计分析[D]. 杨扬.东南大学 2016
本文编号:3098648
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/3098648.html
