為了對互聯(lián)網上的掃描行為進行觀測,采用基于動態(tài)暗網的互聯(lián)網背景輻射（IBR）流量實時采集算法實現(xiàn)對IBR流量的采集,并對采集到的IBR流量進行分析;設計算法過濾出掃描流量,進行面向端口的掃描行為觀測.該動態(tài)暗網是相對穩(wěn)定且分散的,不易被定位,通過其獲取到的IBR流量是進行掃描分析的可靠數(shù)據(jù)源.IBR流量主要由傳輸控制協(xié)議（TCP）、用戶數(shù)據(jù)報協(xié)議（UDP）、Internet控制消息協(xié)議（ICMP）這3種協(xié)議組成,其中TCP流量占90%以上,與正常流量中3種協(xié)議的分布不同.IBR流量得到的TCP、UDP、ICMP流量都以掃描流量為主,且廣泛采用水平掃描的形式.TCP、UDP的熱門掃描端口都是危險端口,證明面向端口的掃描行為分析對于發(fā)現(xiàn)互聯(lián)網中新出現(xiàn)的漏洞有重要作用.TCP端口掃描行為較分散,UDP端口掃描行為較集中. 

【文章來源】：浙江大學學報(工學版). 2020,54(08)北大核心EICSCD

【文章頁數(shù)】：7 頁

【圖文】：

IBR流量的協(xié)議分布情況

與TCP、ICMP報文不同，UDP報文無標志位，無法從報文頭直接判斷報文是否為掃描報文，因此設計簡單算法，根據(jù)主機行為來判斷報文是否為掃描報文.UDP水平掃描主機、垂直掃描主機和隨機掃描主機定義如下.1)UDP水平掃描主機.若一個主機在T時間內向O個不同主機的同一端口發(fā)送相同字節(jié)數(shù)的報文，認為該主機為水平掃描主機，其向該端口發(fā)出的所有報文為水平掃描報文.

式中：P(X)為該主機向第X個(宿IP，宿端口)對發(fā)送的報文數(shù)與其發(fā)送的報文總數(shù)的比值.若H≥ln Q，則認為該主機為隨機掃描主機，其發(fā)送的所有報文為隨機掃描報文.根據(jù)上述定義，算法設計如下.

【參考文獻】：
期刊論文
[1]運行網絡背景輻射的獲取與分析[J]. 繆麗華,丁偉,楊望.  軟件學報. 2015(03)

碩士論文
[1]互聯(lián)網掃描行為研究[D]. 王力.東南大學 2018
[2]互聯(lián)網背景輻射流量的獲取與統(tǒng)計分析[D]. 楊揚.東南大學 2016



本文編號：3098648