分组抽样对端口扫描检测影响及其改进算法.docVIP

分组抽样对端口扫描检测影响及其改进算法摘要：端口扫描检测是网络安全防御系统的重要组成部分，而分组抽样在高速主干网络中有着广泛的应用。论文分析了分组抽样给TRW检测方法造成影响的原因，提出了一种改进TRW算法，通过样本流中的TCP序列号信息改进原始流的流大小分布估计，降低了入侵检测的误检率。 关键词：分组抽样；端口扫描；入侵检测 中图分类号：TP393文献标识码：A文章编号：1009-3044(2012)26-6206-05 The Influence of Port Scanning from Packet Sample and it’s Improved Method FENG Xi-gang1,QUE Chao-hui1, ZHANG Hai2 (1.51th Part of Army 92403,Fuzhou 350007,China;2.Network Center of South Medical Hospital,Guangzhou 510515,China) Abstract: Port scaning detection is an important part of network security system.Packed sample is largely used in high speed backbone network.Here we analyse the influence of packed sample on the TWR detecting method,then we propose an im? proved method. It reduces the probability of incorrect detecting by the information of TCP sequence which improve distribu? tion estimate of original stream. Key words: packet sample; port Scanning; detection of invasion 1端口扫描和分组抽样简介 端口扫描是一种检查目标系统开放的端口的信息收集技术。它的基本方法是向目标机器的各个端口发送连接的请求，根据返回的响应，判断在目标机器上是否开放了某个端口。端口扫描的直接结果就是得到目标主机开放和关闭的端口列表，这些开放的端口往往与一定的服务相对应，通过这些开放的端口，攻击者就能了解主机运行的服务，然后进一步整理和分析这些服务可能存在的漏洞，随后采取针对性的攻击。 端口扫描是一种常见的网络异常行为，它必然会产生异常的流量。能够观察到恶意流量并产生警告或阻止行为的系统称为入侵检测系统（Intrusion Detection System，简称IDS）。基于异常的IDS在观察网络流量时，会产生一些流量统计概要数据，然后对这些数据进行分析以寻找异常的分组流。基于异常的IDS最大的优点就是不依赖于已有的网络攻击知识，但是区分正常流量和异常流量是一个极具挑战性的问题。最有名的基于异常的IDS是Bro[1]，也是一个开放源码的IDS。本文讨论的端口扫描检测算法TRW[2]（Threshold Random Walk的简称，最具代表性的端口扫描检测算法之一）是被Bro系统所采用的。 在高速的主干网络上对所有流量的详细信息进行捕获，可扩展性和可操作性都很差。因此，在路由器和交换机中广泛应用分组抽样技术。抽样对网络测量的影响已经广泛地研究于众所周知的统计指标，例如平均抽样率和流大小的分布。但是，端口扫描检测往往依赖于不同的指标集，例如地址访问模式，连接状态，和每个源不同的行为。我们将分析分组抽样如何影响这些流量特征，从分析中可以看到抽样扭曲或丢失了原始流量中的相关信息，而这些信息又将影响现有的端口检测算法的有效性。 综合以上所述，改进后的TRW检测算法如下： 1)从待检测网络中求出样本流的流大小分布g=(g1,g2)，g1为样本流中单包流所占的百分比，而g2=1-g1；2)根据最大似然估计方法，由式（5-4）求出θ=(θ?1,θ?2)； 如果θ?150%，那么待检测的网络中存在端口扫描，否则待检测的网络中不存在端口扫描。 [3] Mai Jianning, Chuah Chen-Nee, Sridharan Ashwin, et al. Is sampled data sufficient for anomaly detection?[A]. Proceedings of the 6th ACM SIGCOMM conference on Internet