基于地址分布特征的IP扫描攻击识别技术

IP扫描攻击是一种向某网络区域发送探测报文寻找目标主机的方式。这种方式通常被用于蠕虫病毒传播之前的发现可感染主机。这种攻击方式流量小,并且与正常业务非常类似,因此不易觉察和检出。该方案监控目标主机单位时间内新建流的目的 IP地址的分布特征来识别是否发生了IP扫描攻击。通过将IP地址分为a.b.c.d四个域,分析目标IP地址在这四个域上分别呈现集中分布还是分散,来判断新建流的目标主机是否短时间内集中在某个区域。通过这种方式,将攻击行为与正常业务流进行快速区分。实验结果表明该方法快速有效地辨别攻击主机。