專利名稱:端口掃描方法
技術(shù)領(lǐng)域:
本發(fā)明涉及端口掃描方法���,尤其涉及一種避免被入侵檢測系統(tǒng)偵測到的端口掃描方法。
背景技術(shù):
在滲透測試中�����,黑盒測試是設(shè)計(jì)成為模擬攻擊者的入侵行為�,并在不了解客戶組織大部分信息和知識的情況下實(shí)施的。它可以用來測試內(nèi)部安全團(tuán)隊(duì)檢測和應(yīng)對一次攻擊的能力���。一次黑盒測試主要包括以下幾個(gè)階段1����、情報(bào)收集階段����,2、威脅建模階段����,3、漏洞分析階段���,4�����、滲透攻擊階段�,5、后滲透攻擊階段�,6、報(bào)告階段���。在上述幾個(gè)階段中���,情報(bào)收集是后面幾個(gè)階段的前提,而端口掃描又是情報(bào)收集的一種重要手段�。如果被測試目標(biāo)中安裝有入侵檢測系統(tǒng)或者入侵防御系統(tǒng),端口掃描的行為則有可能會(huì)被發(fā)現(xiàn)����,從而影響后續(xù)階段的執(zhí)行,甚至將造成后續(xù)階段不能執(zhí)行�����。入侵檢測(或防御)系統(tǒng)對端口掃描檢測的工作原理大致如下在一定時(shí)間T內(nèi),如果某些異常行為超過一個(gè)臨界值R�,則被認(rèn)定為收到了一次端口掃描攻擊。目前逃避被檢測的方法主要是通過拉長掃描時(shí)間�����,或者增加虛假IP來擾亂入侵檢測(或防御)系統(tǒng)對端口掃描的判斷�����。但是��,這樣的做法有一定的時(shí)間局限性�����,且需要花費(fèi)很長的時(shí)間才能完成一次任務(wù)��。
發(fā)明內(nèi)容
針對上述問題�,本發(fā)明的目的是提供一種避免被入侵檢測系統(tǒng)偵測到的端口掃描方法�����。一種端口掃描方法 ���,其包括以下步驟客戶端將待掃描目標(biāo)提交給云平臺(tái)中的控制主節(jié)點(diǎn)��;所述控制主節(jié)點(diǎn)按照模擬退火算法將端口掃描任務(wù)分配給所述云平臺(tái)中的多個(gè)工作節(jié)點(diǎn)��;所述多個(gè)工作節(jié)點(diǎn)分別對所述待掃描目標(biāo)進(jìn)行端口掃描����,并采用模擬退火算法計(jì)算符合入侵檢測系統(tǒng)對端口掃描的約束參數(shù)的較優(yōu)解;所述多個(gè)工作節(jié)點(diǎn)將掃描結(jié)果反饋至所述控制主節(jié)點(diǎn)�,所述控制主節(jié)點(diǎn)對所述掃描結(jié)果進(jìn)行處理并反饋至所述客戶端。本發(fā)明一較佳實(shí)施方式中�,所述多個(gè)工作節(jié)點(diǎn)的對所述待掃描目標(biāo)的掃描方法包括TCP連接掃描、TCP Syn掃描���、TCP FIN掃描���、TCP Ack掃描、TCP Null掃描�����、Xmas掃描�����、UDP 掃描、TCP Window 掃描及 TCP Maimon 掃描����。 本發(fā)明一較佳實(shí)施方式中,所述客戶端提交所述待掃描目標(biāo)給所述控制主節(jié)點(diǎn)時(shí)的端口掃描任務(wù)包括所述待掃描目標(biāo)的IP范圍����、端口范圍、入侵檢測/防御系統(tǒng)對端口掃描的約束參數(shù)及被檢測概率���。本發(fā)明一較佳實(shí)施方式中����,所述工作節(jié)點(diǎn)對所述待掃描目標(biāo)進(jìn)行端口掃描時(shí)���,在入侵檢測系統(tǒng)的對臨界值的刷新時(shí)間內(nèi),同一 IP進(jìn)行X掃描的次數(shù)小于入侵檢測系統(tǒng)判斷為掃描行為的臨界值�。本發(fā)明另外提供一種端口掃描系統(tǒng),其包括客戶端�、設(shè)置于云平臺(tái)的控制主節(jié)點(diǎn)及設(shè)置于云平臺(tái)的多個(gè)工作節(jié)點(diǎn);所述客戶端和所述控制主節(jié)點(diǎn)通信連接�����,所述客戶端將待掃描目標(biāo)提交給所述控制主節(jié)點(diǎn),由所述控制主節(jié)點(diǎn)按照模擬退火算法將端口掃描任務(wù)分配給所述多個(gè)工作節(jié)點(diǎn)����,所述多個(gè)工作節(jié)點(diǎn)分別對所述待掃描目標(biāo)進(jìn)行端口掃描,并將掃描結(jié)果反饋至所述控制主節(jié)點(diǎn)�,所述控制主節(jié)點(diǎn)對所述掃描結(jié)果進(jìn)行處理并反饋至所述客戶端。相較于現(xiàn)有技術(shù)�����,本發(fā)明提供的端口掃描方法中客戶端通過云平臺(tái)中的控制主節(jié)點(diǎn)和多個(gè)動(dòng)作節(jié)點(diǎn)簡介對待掃描目標(biāo)進(jìn)行端口掃描���,由此可以有效地結(jié)合利用云平臺(tái)的資源�,提高掃描效率�。此外,所述端口掃描方法采用模擬退火算法結(jié)合已有的端口掃描技術(shù)��,提高了端口掃描行為的隱蔽性����,可以有效地實(shí)現(xiàn)避免被入侵檢測系統(tǒng)偵測到的目的。上述說明僅是本發(fā)明技術(shù)方案的概述����,為了能夠更清楚了解本發(fā)明的技術(shù)手段����,而可依照說明書的內(nèi)容予以實(shí)施���,并且為了讓本發(fā)明的上述和其它目的����、特征和優(yōu)點(diǎn)能夠更明顯易懂�,以下特舉實(shí)施例,并配合附圖����,詳細(xì)說明如下。
圖1為本發(fā)明第一實(shí)施例提供的端口掃描方法的流程圖����。圖2為工作節(jié)點(diǎn)的工作方式示意圖�。圖3為圖1所示端口掃描方法采用模擬推法算法的流程圖。圖4為本發(fā)明第二實(shí)施例提供的端 口掃描系統(tǒng)的架構(gòu)圖��。
具體實(shí)施例方式下面結(jié)合附圖及具體實(shí)施例對本發(fā)明作進(jìn)一步詳細(xì)的說明�����。請參閱圖1,本發(fā)明第一實(shí)施例提供一種端口掃描方法����,其可避免被入侵檢測系統(tǒng)偵測到,所述端口掃描方法包括以下步驟步驟S101�����、客戶端將待掃描目標(biāo)提交給云平臺(tái)中的控制主節(jié)點(diǎn)�����。步驟S103��、所述控制主節(jié)點(diǎn)按照模擬退火算法將端口掃描任務(wù)分配給所述云平臺(tái)中的多個(gè)工作節(jié)點(diǎn)�����。本實(shí)施例中����,所述模擬退火算法包括以下內(nèi)容1、分別確定所述多個(gè)工作節(jié)點(diǎn)的對所述待掃描目標(biāo)的掃描方法�����,如TCP連接掃描、TCP Syn 掃描�����、TCP FIN 掃描����、TCP Ack 掃描、TCP Null 掃描���、Xmas 掃描����、UDP 掃描����、TCPWindow 掃描、TCP Maimon 掃描等���。可以理解的是���,每一所述工作節(jié)點(diǎn)均可采用一種或多種掃描方法��?���?梢岳斫獾氖牵瑢τ诓煌膾呙璺椒?��,具有不同的入侵檢測系統(tǒng)(防御)對端口掃描的約束參數(shù)(Constraints) C1��、C2�、C3�����、C4......Cn+1��,如Cl:在tl時(shí)間內(nèi)nl〈kl�,此處nl為同一 IP進(jìn)行TCP連接掃描的次數(shù),kl為入侵檢測(防御)系統(tǒng)判斷為連接掃描行為的臨界值�,tl為入侵檢測(防御)系統(tǒng)的對臨界值的刷新時(shí)間。C2:在t2時(shí)間內(nèi)n2〈k2��,此處n2為同一 IP進(jìn)行TCP Syn掃描的次數(shù)����,k2為入侵檢測(防御)系統(tǒng)判斷為TCP Syn掃描行為的臨界值���,t2為入侵檢測(防御)系統(tǒng)的對臨界值的刷新時(shí)間。C3:在t3時(shí)間內(nèi)n3〈k3����,此處n3為同一 IP進(jìn)行TCP FIN掃描的次數(shù),k3為入侵檢測(防御)系統(tǒng)判斷為TCP FIN掃描行為的臨界值����,t3為入侵檢測(防御)系統(tǒng)的對臨界值的刷新時(shí)間。C4:在t4時(shí)間內(nèi)n4〈k4�,此處n4為同一 IP進(jìn)行TCP Ack掃描的次數(shù),k4為入侵檢測(防御)系統(tǒng)判斷為TCP Ack掃描行為的臨界值�����,t4為入侵檢測(防御)系統(tǒng)的對臨界值的刷新時(shí)間�。C1:在ti時(shí)間內(nèi)ni〈ki,此處ni為同一 IP進(jìn)行X掃描的次數(shù)���,ki為入侵檢測(防御)系統(tǒng)判斷為X掃描行為的臨界值����,ti為入侵檢測(防御)系統(tǒng)的對臨界值的刷新時(shí)間。Cn+1 :Ns/(nl+n2+…+ηη)〈 ε其中����,Ns為虛假的IP發(fā)送的掃描次數(shù)�,ε為可以接受的被檢測到的概率。2�、輸入值。即所述客戶端提交所述待掃描目標(biāo)給云平臺(tái)中的控制主節(jié)點(diǎn)時(shí)的端口掃描任務(wù)��。本實(shí)施例中�,所述輸入值包括所述待掃描目標(biāo)的IP地址或IP范圍;端口范圍��;入侵檢測系
統(tǒng)對端口掃描的約束參數(shù)(Constraints) :kl�����、k2�、k3、......����、kn, tl、t2��、t3、......����、tn, ε ;
以及虛假的IP地址數(shù)據(jù)庫���。3�、輸出所述多個(gè)工作節(jié)點(diǎn)對所述帶掃描目標(biāo)進(jìn)行端口掃描的執(zhí)行方式���。本實(shí)施例中�����, 輸出所述多個(gè)工作節(jié)點(diǎn)對所述帶掃描目標(biāo)進(jìn)行端口掃描的執(zhí)行方式為一套執(zhí)行列表����,如圖2所示���,每一所述工作節(jié)點(diǎn)均按照所述執(zhí)行列表執(zhí)行工作��,即對所述待掃描目標(biāo)進(jìn)行端口掃描�����。步驟S105��、所述多個(gè)工作節(jié)點(diǎn)分別對所述待掃描目標(biāo)進(jìn)行端口掃描�,并采用模擬退火算法計(jì)算符合入侵檢測系統(tǒng)對端口掃描的約束參數(shù)的較優(yōu)解?��?梢岳斫獾氖牵龆鄠€(gè)工作節(jié)點(diǎn)即按照所述執(zhí)行列表對所述待掃描目標(biāo)進(jìn)行端口掃描��。具體地�,請參閱圖2,對于工作節(jié)點(diǎn)1��,在tl時(shí)間內(nèi)����,其以虛假IPl對所述待掃描目標(biāo)進(jìn)行TCP連續(xù)掃描nl次,且nl〈kl ;完成后�,在t2時(shí)間內(nèi),以虛假IP2對所述待掃描目標(biāo)進(jìn)行其他端口掃描方法���;直至所述工作節(jié)點(diǎn)I完成全部掃描任務(wù)����,獲得最終的掃描結(jié)果。同樣地����,工作節(jié)點(diǎn)2、工作節(jié)點(diǎn)η均相應(yīng)地執(zhí)行掃描任務(wù)��。4���、算法流程�。本實(shí)施例中��,采用模擬退火算法(Simulated Annealing Algorithm)計(jì)算符合入侵檢測系統(tǒng)對端口掃描的約束參數(shù)的較優(yōu)解Sbest�,具體流程請參閱圖3。第一����、初始化一個(gè)抖動(dòng)參數(shù)。第二���、假設(shè)一個(gè)符合約束的解(solution)的集合S,如假設(shè)nl�、n2�、......、nn和使
用所述工作節(jié)點(diǎn)個(gè)數(shù)N是一個(gè)解S0�����。第三、假設(shè)一個(gè)優(yōu)化方程F��。其中�����,
權(quán)利要求
1.ー種端ロ掃描方法�����,其特征在于����,所述端ロ掃描方法包括以下步驟 客戶端將待掃描目標(biāo)提交給云平臺(tái)中的控制主節(jié)點(diǎn)�; 所述控制主節(jié)點(diǎn)按照模擬退火算法將端ロ掃描任務(wù)分配給所述云平臺(tái)中的多個(gè)工作節(jié)點(diǎn); 所述多個(gè)工作節(jié)點(diǎn)分別對所述待掃描目標(biāo)進(jìn)行端ロ掃描�����,并采用模擬退火算法計(jì)算符合入侵檢測系統(tǒng)對端ロ掃描的約束參數(shù)的較優(yōu)解��; 所述多個(gè)工作節(jié)點(diǎn)將掃描結(jié)果反饋至所述控制主節(jié)點(diǎn)�,所述控制主節(jié)點(diǎn)對所述掃描結(jié)果進(jìn)行處理并反饋至所述客戶端����。
2.如權(quán)利要求1所述的端ロ掃描方法�,其特征在于,所述多個(gè)工作節(jié)點(diǎn)的對所述待掃描目標(biāo)的掃描方法包括TCP連接掃描���、TCP Syn掃描����、TCP FIN掃描����、TCP Ack掃描、TCP Null掃描���、Xmas掃描��、UDP掃描����、TCP Window掃描及TCP Maimon掃描���。
3.如權(quán)利要求1所述的端ロ掃描方法�,其特征在于,所述客戶端提交所述待掃描目標(biāo)給所述控制主節(jié)點(diǎn)時(shí)的端ロ掃描任務(wù)包括所述待掃描目標(biāo)的IP范圍�、端ロ范圍、入侵檢測/防御系統(tǒng)對端ロ掃描的約束參數(shù)及被檢測概率�����。
4.如權(quán)利要求1所述的端ロ掃描方法�,其特征在于,所述工作節(jié)點(diǎn)對所述待掃描目標(biāo)進(jìn)行端ロ掃描時(shí)����,在入侵檢測系統(tǒng)的對臨界值的刷新時(shí)間內(nèi),同一 IP進(jìn)行X掃描的次數(shù)小于入侵檢測系統(tǒng)判斷為掃描行為的臨界值�。
5.ー種端ロ掃描系統(tǒng)����,其特征在于,所述端ロ掃描系統(tǒng)包括客戶端�����、設(shè)置于云平臺(tái)的控制主節(jié)點(diǎn)及設(shè)置于云平臺(tái)的多個(gè)工作節(jié)點(diǎn)�����;所述客戶端和所述控制主節(jié)點(diǎn)通信連接,所述客戶端將待掃描目標(biāo)提交給所述控制主節(jié)點(diǎn)�����,由所述控制主節(jié)點(diǎn)按照模擬退火算法將端ロ掃描任務(wù)分配給所述多個(gè)工作節(jié)點(diǎn)�����,所述多個(gè)工作節(jié)點(diǎn)分別對所述待掃描目標(biāo)進(jìn)行端ロ掃描���,并將掃描結(jié)果反饋至所述控制主節(jié)點(diǎn)�,所述控制主節(jié)點(diǎn)對所述掃描結(jié)果進(jìn)行處理并反饋至所述客戶端����。
全文摘要
本發(fā)明提出一種端口掃描方法,其包括以下步驟客戶端將待掃描目標(biāo)提交給云平臺(tái)中的控制主節(jié)點(diǎn)�����;所述控制主節(jié)點(diǎn)按照模擬退火算法將端口掃描任務(wù)分配給所述云平臺(tái)中的多個(gè)工作節(jié)點(diǎn)�;所述多個(gè)工作節(jié)點(diǎn)分別對所述待掃描目標(biāo)進(jìn)行端口掃描,并采用模擬退火算法計(jì)算符合入侵檢測系統(tǒng)對端口掃描的約束參數(shù)的較優(yōu)解����;所述多個(gè)工作節(jié)點(diǎn)將掃描結(jié)果反饋至所述控制主節(jié)點(diǎn)�����,所述控制主節(jié)點(diǎn)對所述掃描結(jié)果進(jìn)行處理并反饋至所述客戶端��。所述端口掃描方法可有效地結(jié)合利用云平臺(tái)的資源�����,提高掃描效率���,且采用模擬退火算法結(jié)合已有的端口掃描技術(shù),提高了端口掃描行為的隱蔽性��,可以有效地避免被入侵檢測系統(tǒng)偵測到���。
文檔編號H04L29/06GK103051620SQ201210558868
公開日2013年4月17日 申請日期2012年12月20日 優(yōu)先權(quán)日2012年12月20日
發(fā)明者邱健聰, 彭賢斌, 須成忠, 劉進(jìn), 陳凱, 陳光華 申請人:中國科學(xué)院深圳先進(jìn)技術(shù)研究院