一种基于概率的实时扫描检测方法.pdfVIP

第 1 )钥 T 刽等:…种基于概率的实时扫恼检测方法 109 . 一种基于概率的实时扫描检测方法悦 r 剑，齐觉艳，因志絮，黄峙 (南京大学软件新技水罔家交点实验室计算机科学与扶水埠，江苏南京 21α)93) 摘 要:在对各种流行扫描方法分析的荔础上，板出了一种基于概牢的实时扫描检测方法(R问l咄阳如刷 Detection Approach B嗣制1 011 Prohabili时.RSDABP) 。该方法是…种后向扫描检涮方法，具有低误抵4匙、:9时性 和健壮性的优点，也4守在毒一泛的局限性。文末S岳出 T 需要加以改造的方向。 关键饲:实时:基于概率;入侵检测品统;后向扫描检测 中阁法分类4号: 1凹的.08 文献标tR码:A 文章编号: 1∞1-3695 (拟间)01 -0 1 仰4日 A Real四time Scan Detection Approa，巳h ?ased on Probabílíty DINGJ剧， QI J?J唱-y皿， LV ZIù才棚， 即ANG Hao t 蜘e Key Lahorawryfor 陆d 蝴K刷T曲悔γ. lkp. of cm胆ws.:阳?n咄咄屯y. Nar问Un时叫， Nar向阳酬211世回.Chino} Ah1ract, After anal阳ngma町 different 皿annir惠阳性时s. a Real-time 玩皿DetretiO(l A阴阳时胁时 on Pr咖hiJ;ty( RSDABP) is F酬ted in this pa阳r. This响.wach is 4 阳战wam 酬.de阳tum 脚thod. 50 jt is 10啊， 翩翩阳，rea.I巾翩翩耐，咖耽 At dte 唰酣 time , ìt a1so has 酬ne limi.咄咄路.At 胁end of tlús pa阳，we PrOJX脚 the 州州四 toin聊Ove it. E均W田咖 R棚l咖肌 h刷刷b由hility ， 1IJS(1ntrusi0ll Detection S阴阳.); Backw田d Se皿如烟tion 次扫描行为:对一些街扫描嫌疑的包进行关联分析，如 51 言 果发现某…组关联紧密的包满足了某个扫捕判断的条 件(1可能是某种阴值) .如}认为发生了一次扫描行为。然 随着在联网技术的飞速发展，网络逐渐深入到社会 而，这几种方法都有其不足之处。对于统计的方法来 体活的方方丽丽。在越来越多的单位和个人开始攸用 说，首先在于统计标峨的粗糙性，相对于其他JL种方法 相接触互联网的问时，各种各样的黑客行为也越来越频 来说很容易产生设:1ft瞥，;11;次它主￡哥哥对每个掷地址都保 繁地出现在人们的视野之中。如何更好地保护主矶和 存~泛的状态信息(已发送过的地址/端口对等)，~所 网络的安余，也就成为了对前ill.内关泼的焦点之斗。 夜的网绩较大时，法种做法是不实际的。两辛苦模式阪配 tE所有的威客行为之牛，扫描通常是…个不可或缺 的方法，这种方泌受限于必须知道扫描的模式将征，直H 的组成部分。直日附战斗中的侦察部队，黑客利用扫描字 巢黑容稍微改变扫描的ln去(如选择随机的地址/端口 段去发现一白宫