發(fā)布時(shí)間：2021-03-25 00:07

　　為了對(duì)互聯(lián)網(wǎng)上的掃描行為進(jìn)行觀測(cè),采用基于動(dòng)態(tài)暗網(wǎng)的互聯(lián)網(wǎng)背景輻射（IBR）流量實(shí)時(shí)采集算法實(shí)現(xiàn)對(duì)IBR流量的采集,并對(duì)采集到的IBR流量進(jìn)行分析;設(shè)計(jì)算法過(guò)濾出掃描流量,進(jìn)行面向端口的掃描行為觀測(cè).該動(dòng)態(tài)暗網(wǎng)是相對(duì)穩(wěn)定且分散的,不易被定位,通過(guò)其獲取到的IBR流量是進(jìn)行掃描分析的可靠數(shù)據(jù)源.IBR流量主要由傳輸控制協(xié)議（TCP）、用戶數(shù)據(jù)報(bào)協(xié)議（UDP）、Internet控制消息協(xié)議（ICMP）這3種協(xié)議組成,其中TCP流量占90%以上,與正常流量中3種協(xié)議的分布不同.IBR流量得到的TCP、UDP、ICMP流量都以掃描流量為主,且廣泛采用水平掃描的形式.TCP、UDP的熱門掃描端口都是危險(xiǎn)端口,證明面向端口的掃描行為分析對(duì)于發(fā)現(xiàn)互聯(lián)網(wǎng)中新出現(xiàn)的漏洞有重要作用.TCP端口掃描行為較分散,UDP端口掃描行為較集中. 

【文章來(lái)源】：浙江大學(xué)學(xué)報(bào)(工學(xué)版). 2020,54(08)北大核心EICSCD

【文章頁(yè)數(shù)】：7 頁(yè)

【圖文】：

IBR流量的協(xié)議分布情況

與TCP、ICMP報(bào)文不同，UDP報(bào)文無(wú)標(biāo)志位，無(wú)法從報(bào)文頭直接判斷報(bào)文是否為掃描報(bào)文，因此設(shè)計(jì)簡(jiǎn)單算法，根據(jù)主機(jī)行為來(lái)判斷報(bào)文是否為掃描報(bào)文.UDP水平掃描主機(jī)、垂直掃描主機(jī)和隨機(jī)掃描主機(jī)定義如下.1)UDP水平掃描主機(jī).若一個(gè)主機(jī)在T時(shí)間內(nèi)向O個(gè)不同主機(jī)的同一端口發(fā)送相同字節(jié)數(shù)的報(bào)文，認(rèn)為該主機(jī)為水平掃描主機(jī)，其向該端口發(fā)出的所有報(bào)文為水平掃描報(bào)文.

式中：P(X)為該主機(jī)向第X個(gè)(宿IP，宿端口)對(duì)發(fā)送的報(bào)文數(shù)與其發(fā)送的報(bào)文總數(shù)的比值.若H≥ln Q，則認(rèn)為該主機(jī)為隨機(jī)掃描主機(jī)，其發(fā)送的所有報(bào)文為隨機(jī)掃描報(bào)文.根據(jù)上述定義，算法設(shè)計(jì)如下.

【參考文獻(xiàn)】：
期刊論文
[1]運(yùn)行網(wǎng)絡(luò)背景輻射的獲取與分析[J]. 繆麗華,丁偉,楊望.  軟件學(xué)報(bào). 2015(03)

碩士論文
[1]互聯(lián)網(wǎng)掃描行為研究[D]. 王力.東南大學(xué) 2018
[2]互聯(lián)網(wǎng)背景輻射流量的獲取與統(tǒng)計(jì)分析[D]. 楊揚(yáng).東南大學(xué) 2016



本文編號(hào)：3098648