基于协议状态有限机的系统扫描检测算法.pdfVIP

计算机科学 2007Vol. 34胁.10 基于协议状态有限机的系统扫描检测算法 邓-f费. :E康2 邱会杰L.2 1[庆大学计算机学院 1重庆 400044) (重庆大学信息与阅络管理中心 重庆 40∞44) 摘 J 针对现有扫描检测算法咛隐蔽扫楠、慢初揭克法识别的本足.提出 T晶于协议状~有限机的检测算址，该算 法能是准确地检测l 由普通扫描，对隐截扫楠、俄扫描等现有技术难..(检测的扫描也有较好的枪圳就果.实验测试*明 该算法能提高单纯扫描检测性能，降低说报串和~警次lt. 关键词 入侵检测，革统扫描扮测，协议状态有限机 A Scanning Det缸tion Algorìthm B幽ed 蛐Finìte Machlne of Protocol Stat田 DENG Yi-Gui,.1 W却叫G Kang QIυQuan-J ie 2 (College af Cornputer 如lence ， Choogqing University, Chongqing 400044) ~ (Network Center. Chongqing University, Choogqing 400044)2 Abslract In arder 10 re.oolve Ihe prablem lha! current scanning det回tíon algorit忖阳 can oot reoognize hidden scanniDg 3M slow scannin晤， ? 503nning detection algoritbm b剧时 on {inite machine o{ protocol 旧旧时 lS propo阔d. It can mo四 exactly detect conunon scannin日， .nd has eff配t on hídden sca.nnìng and slow s四nning which c:urrent scarming detectíon algorithms 四n not T咄咄níze. Ex阳riment índicates tMt the a地orithm can augment the performan白。f scanning detec- tion, decline the rate of nllsìnfonnation and alarming tim阳. K.yw ... 由 Intrusion detection, System scanni咽 detection. Fin?te machíne of protocol s阳tus 号 l富 系统扫描往往成为人僚的前奏.对系统扫描活动的准确 检测是人俊检测系统不可忽略的部分。传统的扫描愤测主要 使用统计的方法. 800rt 是一个目前获得广泛成用并且开放 源代码的轻最缀网络入侵检测革统[~J 其拘捕检测规则为 对于任意一个目标j:饥日1 ，如果在某个时问段M内H2与 日1 建立的连接数超过了阀值 N，则认为 H2 对日l 发弱了端 口扫描. Wenke Lee使用放报挖掘方法提取入侵检测特 征[刻，其用于检测扫捕的规则和 500rt 类似。Raj Basu 等人 使用婆于时间窗口的方法来俄测扫描凶，.111基于连接窗口的 方法检测慢扫描，其原理和 Wenk. Lee 的方法基本相同，其 缺点也类似. Emerald 系统为被保护网络中每个主机在正常 情形下的通信建立模毁闷，该模型为 1025 维萨j簸，其中前 1024 个属性对应于 1-1024 端口，昼后…个属性对应于所有 大于 1024 的端口 .1前性值为对应蝙口发送和接收的报文数。 将短期和长期的模哥哥进行比较，如果偏兼较大，则可判断为异 常. Emerald 系统能够检测高强度的扫锚，但仍元法检测慢 扫描. Stam{ord 等人提出一种扇发式的基于网络包头异常 分析的端口扫描检测方法[5] 通过对每个 IP 包头郁的 4 个字 段〈源 lp地址，源端口，目的 lp 地址，目的端口)进行统计.叶 算联合榄率分布，从而可以计算均每个报义的异常惊。对异 常值篇ìí阀僚的报文进行相关性分析，盖在终确定是沓1i:j:扫 描行为，但通过测试发现.多个参数的设置对检测结果有很 大影响，如何确定参数值没有可行的指导版则 ，XIli检测一些安 隐蔽的扫描行为，说报率较高. 这些方法的主要做点是参数 M、 N 难以确定，检测准确 性较低，难以检测慢扫描、分布王军扫描等多种隐蔽扫描，而且 要维护每个连接的状态，检测最统易受胁$攻击盼 传统的扫描撤测方法简单J也很擞连接的统计信息界定扫 描没有考虑协议Jltt状态间的关系，;j吃法检测攻击省崩来鹅 多地使用的隐敲扫描、慢拘