超级会员免费看
智能互联网探测:使用自适应机器学习进行扫描
无状态和有状态扫描的比较
在网络扫描中,无状态和有状态扫描是两种常见的方式。通过对比发现,它们的整体性能相近,但在有状态扫描场景下,活跃 IP 的带宽节省略高。不过,有状态扫描会带来显著的计算开销。其原因在于,每次扫描结果都需要解析,接着进行特征提取,而且随着特征数量的增加,模型会变得复杂且运行速度变慢。鉴于有状态扫描带来的性能提升较小,对于特定的顺序扫描方法,无状态扫描已足够。
另一种减少互联网扫描探测的方法是避免向之前扫描中无响应的主机发送探测请求。但这种方法依赖于定期进行全局扫描,而本文提出的方法仅需部分详尽扫描来训练底层分类器。此外,使用历史数据无法识别新的活跃 IP 地址。研究中使用的五个快照显示,每个快照中平均有 19.7% 的活跃 IP 在上个月的快照中并不存在。此前的研究也表明,这种方法的准确率在一个月内会降至 80%。
以下是新活跃端口的平均百分比分布:
| 端口 | 协议 | 百分比 |
| — | — | — |
| 21 | ftp | 17.6% |
| 22 | ssh | 20.4% |
| 23 | telnet | 31.6% |
| 25 | smtp | 12.2% |
| 53 | dns | 28.8% |
| 80 | http | 13.5% |
| 110 | pop3 | 6.9% |
| 143 | imap | 5.2% |
| 443 | https | 14.6% |
| 445 | smb | 50.6% |
| 465 | smtp | 7.2%
订阅专栏 解锁全文
扫一扫
1584
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
