基于動(dòng)態(tài)暗網(wǎng)的互聯(lián)網(wǎng)掃描行為分析
發(fā)布時(shí)間:2021-03-25 00:07
為了對(duì)互聯(lián)網(wǎng)上的掃描行為進(jìn)行觀測(cè),采用基于動(dòng)態(tài)暗網(wǎng)的互聯(lián)網(wǎng)背景輻射(IBR)流量實(shí)時(shí)采集算法實(shí)現(xiàn)對(duì)IBR流量的采集,并對(duì)采集到的IBR流量進(jìn)行分析;設(shè)計(jì)算法過(guò)濾出掃描流量,進(jìn)行面向端口的掃描行為觀測(cè).該動(dòng)態(tài)暗網(wǎng)是相對(duì)穩(wěn)定且分散的,不易被定位,通過(guò)其獲取到的IBR流量是進(jìn)行掃描分析的可靠數(shù)據(jù)源.IBR流量主要由傳輸控制協(xié)議(TCP)、用戶數(shù)據(jù)報(bào)協(xié)議(UDP)、Internet控制消息協(xié)議(ICMP)這3種協(xié)議組成,其中TCP流量占90%以上,與正常流量中3種協(xié)議的分布不同.IBR流量得到的TCP、UDP、ICMP流量都以掃描流量為主,且廣泛采用水平掃描的形式.TCP、UDP的熱門掃描端口都是危險(xiǎn)端口,證明面向端口的掃描行為分析對(duì)于發(fā)現(xiàn)互聯(lián)網(wǎng)中新出現(xiàn)的漏洞有重要作用.TCP端口掃描行為較分散,UDP端口掃描行為較集中.
【文章來(lái)源】:浙江大學(xué)學(xué)報(bào)(工學(xué)版). 2020,54(08)北大核心EICSCD
【文章頁(yè)數(shù)】:7 頁(yè)
【圖文】:
IBR流量的協(xié)議分布情況
與TCP、ICMP報(bào)文不同,UDP報(bào)文無(wú)標(biāo)志位,無(wú)法從報(bào)文頭直接判斷報(bào)文是否為掃描報(bào)文,因此設(shè)計(jì)簡(jiǎn)單算法,根據(jù)主機(jī)行為來(lái)判斷報(bào)文是否為掃描報(bào)文.UDP水平掃描主機(jī)、垂直掃描主機(jī)和隨機(jī)掃描主機(jī)定義如下.1)UDP水平掃描主機(jī).若一個(gè)主機(jī)在T時(shí)間內(nèi)向O個(gè)不同主機(jī)的同一端口發(fā)送相同字節(jié)數(shù)的報(bào)文,認(rèn)為該主機(jī)為水平掃描主機(jī),其向該端口發(fā)出的所有報(bào)文為水平掃描報(bào)文.
式中:P(X)為該主機(jī)向第X個(gè)(宿IP,宿端口)對(duì)發(fā)送的報(bào)文數(shù)與其發(fā)送的報(bào)文總數(shù)的比值.若H≥ln Q,則認(rèn)為該主機(jī)為隨機(jī)掃描主機(jī),其發(fā)送的所有報(bào)文為隨機(jī)掃描報(bào)文.根據(jù)上述定義,算法設(shè)計(jì)如下.
【參考文獻(xiàn)】:
期刊論文
[1]運(yùn)行網(wǎng)絡(luò)背景輻射的獲取與分析[J]. 繆麗華,丁偉,楊望. 軟件學(xué)報(bào). 2015(03)
碩士論文
[1]互聯(lián)網(wǎng)掃描行為研究[D]. 王力.東南大學(xué) 2018
[2]互聯(lián)網(wǎng)背景輻射流量的獲取與統(tǒng)計(jì)分析[D]. 楊揚(yáng).東南大學(xué) 2016
本文編號(hào):3098648
【文章來(lái)源】:浙江大學(xué)學(xué)報(bào)(工學(xué)版). 2020,54(08)北大核心EICSCD
【文章頁(yè)數(shù)】:7 頁(yè)
【圖文】:
IBR流量的協(xié)議分布情況
與TCP、ICMP報(bào)文不同,UDP報(bào)文無(wú)標(biāo)志位,無(wú)法從報(bào)文頭直接判斷報(bào)文是否為掃描報(bào)文,因此設(shè)計(jì)簡(jiǎn)單算法,根據(jù)主機(jī)行為來(lái)判斷報(bào)文是否為掃描報(bào)文.UDP水平掃描主機(jī)、垂直掃描主機(jī)和隨機(jī)掃描主機(jī)定義如下.1)UDP水平掃描主機(jī).若一個(gè)主機(jī)在T時(shí)間內(nèi)向O個(gè)不同主機(jī)的同一端口發(fā)送相同字節(jié)數(shù)的報(bào)文,認(rèn)為該主機(jī)為水平掃描主機(jī),其向該端口發(fā)出的所有報(bào)文為水平掃描報(bào)文.
式中:P(X)為該主機(jī)向第X個(gè)(宿IP,宿端口)對(duì)發(fā)送的報(bào)文數(shù)與其發(fā)送的報(bào)文總數(shù)的比值.若H≥ln Q,則認(rèn)為該主機(jī)為隨機(jī)掃描主機(jī),其發(fā)送的所有報(bào)文為隨機(jī)掃描報(bào)文.根據(jù)上述定義,算法設(shè)計(jì)如下.
【參考文獻(xiàn)】:
期刊論文
[1]運(yùn)行網(wǎng)絡(luò)背景輻射的獲取與分析[J]. 繆麗華,丁偉,楊望. 軟件學(xué)報(bào). 2015(03)
碩士論文
[1]互聯(lián)網(wǎng)掃描行為研究[D]. 王力.東南大學(xué) 2018
[2]互聯(lián)網(wǎng)背景輻射流量的獲取與統(tǒng)計(jì)分析[D]. 楊揚(yáng).東南大學(xué) 2016
本文編號(hào):3098648
本文鏈接:http://sikaile.net/guanlilunwen/ydhl/3098648.html
最近更新
教材專著