一種基於假設檢驗的埠掃描引擎調優方法

摘要：目前，由於穩定的TCP連接方法無法支持半連接掃描技術下的埠掃描，導致其掃描結果被網路波動所制約。因此，掃描結果的不穩定等問題成為制約互聯網態勢感知系統產出數據可靠性的最大因素。針對上述問題，提出了一種基於半連接的埠掃描優化方法，可以在快速的掃描速度下使得埠掃描引擎獲得更加穩定、可靠的埠掃描結果。實驗結果表明，該方法可以有效較少人工對比測試過程的介入，從而提高引擎調優的效率。

正文內容：

0 引言

隨著我國對互聯網安全重視程度的不斷提升，社會對實現互聯網態勢感知的需求愈發顯著。構建互聯網態勢感知系統，不僅有利於提高我國網路系統的應急響應能力，而且對緩解網路攻擊造成的危害、發現潛在惡意入侵行為和提高網路反擊能力具有重大意義[1]。

實現互聯網態勢感知，關鍵在於對互聯網空間中近40億個IP所屬主機的主機存活性、埠開放性、埠所提供的服務以及埠組件等信息進行識別。為了實現上述要求，埠掃描技術是關鍵。從連接範圍來看，埠掃描技術可分為全連接掃描和半連接掃描兩類。其中，以NMAP為代表的全連接掃描引擎由於埠掃描建立在穩定的TCP連接之上，具有漏報率較低、結果穩定等優點。相比於全連接掃描技術，以ZMAP、MASSCAN為代表的半掃描技術由於數據包收發分離且無需維護TCP連接，具有更高的埠掃描效率[2]。由於互聯網態勢感知關注的是整個互聯網空間，而NMAP等全連接掃描引擎的掃描效率無法滿足實際的埠掃描需求，因此以ZMAP為代表的基於半連接技術的埠掃描引擎是建立態勢感知系統底層埠識別模塊的有效方法。

本文將介紹半連接埠掃描技術的原理，分析限制掃描效率的原因，並提出了一種解決方案。經過試驗證明，本文方法能夠有效提升半連接埠的掃描速率。

1　半連接埠掃描原理

因為半連接掃描技術下的埠掃描不是建立在穩定的TCP連接之上，所以其掃描結果受網路波動影響較大。掃描結果的不穩定等問題，成為制約互聯網態勢感知系統產出可靠數據的最大因素。

半連接埠掃描技術是一種無需維護完整的TCP連接的技術。它與目標伺服器的埠連接過程如下[3]：

（1）向目標埠發送SYN包；

（2）如果目標埠回復SYN+ACK包，說明該埠目前為開放狀態，可以進行連接；

（3）如果目標埠沒有回復包或回復RST包，說明此時目標埠為關閉狀態，無法進行連接。

需要注意的是，由於是半連接的掃描方式，向目標埠發出的SYN包和其他回復包均可能在網路傳輸中丟失。此時，系統會錯誤判斷目標埠為關閉狀態。

可見，對於基於半連接掃描技術的埠掃描引擎，網路丟包是導致其掃描結果可靠性下降的根本因素。為了解決該問題，通常利用調整發包速率和SYN包的發包次數來進行調優。當參數調整後的測試對比結果可靠性提高時，參數的調優方向也比較明確。但是，當參數調整後的測試結果對比不是很顯著時，參數的調優方向一般由研發人員根據經驗決定，而沒有比較科學的理論依據做支持。

綜上所述，為了解決半連接掃描引擎由於網路丟包而導致的可靠性下降問題，本文利用概率論中的假設檢驗理論[4]，以ZMAP埠掃描工具為例，提出一種科學的掃描引擎調優方法，使得埠掃描引擎在保證掃描速率的前提下，獲得更加穩定、可靠的埠掃描結果，並得出切實可行的優化方案。

2　提升掃描結果的穩定性

2.1　問題分析

通常，由於互聯網的複雜性和網路狀況隨時間的不斷變化，對同一批目標IP的相同目標埠在間隔較短的不同時間進行埠掃描，可能得到差異很大的掃描結果。針對該問題，本文提出利用多次發包的方法緩解由於網路丟包造成的掃描結果波動較大的問題。

2.2　優化方案與實驗驗證

本文設計如下優化方案進行配對實驗。首先，原始方案僅向目標埠發送一個SYN包；優化方案向目標埠發送2個SYN包，並使用相同的發包頻率。為了保證2個測試方案的網路情況一致，它們於同一時間在同一測試機上進行實驗，取15組測試數據，如表1所示。

其中，Original欄位和Optimized欄位分別為原始方案和優化方案掃描的開放埠總數。對測試數據進行可視化操作，結果如圖1所示。

從圖1可以明顯看出，在相同的測試環境下，本文的優化方案可以更好地應對網路波動情況，產生更為理想的測試數據。另外，本文還設計了如下假設檢驗方案對上述優化方案的掃描效果進行進一步驗證。由於原始方案和優化方案是在同一時間相同網路條件下執行的配對測試，因此對測試結果執行配對 檢驗。

指定alpha level為1%，並提出假設：零假設，即原始方案與優化方案掃描出的開放埠總數相差不大；對立假設，即優化方案掃描出的開放埠數大於原始方案掃描出的開放埠數。

為了與alpha level進行比較，本文使用配對T 檢驗的 t值結果進行對比，其計算公式如下：

根據式（1）的計算結果，得到對應p 值為2.60e-12。由於該結果遠小於alpha level，所以拒絕零假設並接受對立假設。經過上述實驗對比可以看出，本文優化方案的掃描效率要優於原始方案，在相同實驗條件下，本文優化方案還可以得到更多的開放埠數目。

3　提升掃描速度

3.1　問題分析及優化方法

通常，以ZMAP為代表的半連接掃描引擎的掃描速率與發包速度有關。發包速度越高，掃描速度越快，而其發包速度通過-B參數指定帶寬予以控制。但是，由於掃描引擎的掃描行為本身也會對網路情況產生影響，過大的發包速度會導致掃描到的開放埠數變少。因此，如何針對不同的網路狀況選擇合適的發包速度，從而在儘可能短的時間內掃描出儘可能多的開放埠數，也是掃描引擎調優至關重要的方面。

3.2　優化方案和實驗驗證

針對上述問題，本文提出如下測試方案。首先，方案一採用128 kHz帶寬進行埠開放性掃描；其次，方案二採用256 kHz帶寬進行埠開放性掃描。分別使用2個方案在不同日期的相同時間段內各自進行若干次掃描，並統計掃描出的開放埠數，結果如表2所示。

觀察2組測試數據可以發現，部分測試數據在256 kHz帶寬下獲得了較低的開放埠發現數量，也有部分測試數據並沒有獲得較低的開放埠發現數量。因此，僅通過觀察樣本數據無法得出明確結論。本文依據假設檢驗理論對樣本數據執行假設檢驗，由於2組數據樣本之間的獨立性，此處對它們執行獨立雙樣本t 檢驗。

指定alpha level為1%，並提出假設：零假設，256 kHz帶寬掃描出的埠開放個數與128 kHz帶寬掃描出的埠開放個數無明顯差異；對立假設，256 kHz帶寬掃描出的埠開放個數少於128 kHz帶寬掃描出的埠開放個數。

使用獨立雙樣本t 檢驗計算t 值，獨立雙樣本t 檢驗的計算公式如下：

其中，n 為樣本數[5]。所述二群樣本各自的平均數和所述樣本之共同變異數依次為：

針對本次對比測試的測試結果，計算得到p 值為0.040 6，結果大於alpha level，因此未能拒絕零假設。實驗結果表明，在256 kHz帶寬參數下，掃描引擎掃描出的開放埠數並沒有明顯下降，因此可以將掃描引擎的掃描速率提升一倍。

4　結　語

本文通過引入假設檢驗理論，促使掃描引擎的優化過程不再僅僅依靠研發人員的經驗，而是有了可以參照的理論和對應計算數據作為依據。另外，在無法從對比測試數據中直接看出明顯差異的情況下，本文提供了一個更加簡便和準確的方式作為引擎調優方向的指導。實驗結果表明，本文方法可以有效減少反覆進行對比測試的過程，從而提高引擎調優的效率。

參考文獻：

[1] 王慧強,賴積保,朱亮等.網路態勢感知系統研究綜述[J].計算機科學,2006,33(10):1-6.

[2] Zakir D,Eric W,Halderman J A.ZMAP:Fast Internet-wide Scanning and Its Security Applications[C].22nd USENIX Security Symposium,2013:606-610.

[3] 劉文晉,姜建國.半連接埠掃描的TCP層技術研究[J].重慶電力高等專科學校學報,2009,14(02):31-34.

[4] 馬鳳鳴,王忠禮.假設檢驗方法分析及應用[J].長春大學學報,2012,22(02):1-6.

[5] 史書良.統計學原理[M].北京:清華大學出版社,2007:256-258,270-273.

作者：孫耀輝，賀　劼，齊　權

單位：北京知道未來信息技術有限公司，北京 100000

作者簡介：孫耀輝，男，學士，工程師，主要研究方向為優化設計；

賀　劼，男，碩士，高級工程師，主要研究方向為信息安全、軟體工程；

齊　權，男，學士，工程師，主要研究方向為信息安全。

本文刊登在《通信技術》2018年第5期（轉載請註明出處，否則禁止轉載）

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！