1种新的端口扫描检测方法.pdfVIP

一 种新的端 1=I扫描检测方法 247 一 种新的端 口扫描检测方法 AnNew PortscanDetection M ethod 葛志辉，李陶深 GeZhihui。LiTaoshen (广西大学计算机与电子信息学院，广西南宁 530004) (SchoolofComp．，Elec．andInfo．，GuangxiUniv．，Nanning，Guangxi，530004，China) 摘要：针对现有端 口扫描方法存在 的缺陷，提出一种端 口扫描检测 的新方法 。该方法充分利用受保护网段 内 各主机 的特征 。对可疑事件进行关联分析 ，不但可 以检测现有工具都可以检测的扫描 。而且对慢速扫描的检测 也非常有效 。 关键词 ：端 口扫描 检测 慢速 异常值 分析器 中图法分类号 ：TP393，08 文献标识码 ：A 文章编号 ：1002—7378(2005)04—0247—02 Abstract：A new portscan detectionmethod ispresented to overcome the existing defectsof currentportscanmetrods．Inthismethod。thehosts’featuresintheprotectednetworkarefully usedtoconducttheassociateanalysistoallthesuspiciousevents．Thismethodcandetectallthe scansthataredetectedbycurrenttechniques．andiSquiteefficientinslow scandetect． Keywords：portscan，detection，slow speed，abnormityvalue，analyzer 端 口扫描是 网络人侵中一种相 当重要 的手段 ， Snort是一个轻量级的网络人侵检测系统L3j。它 人侵者在实施人侵活动前几乎都会对攻击 目标进行 的探测引擎采用模块化 的插件 结构 ，允许开发者扩 扫描 ，以便获得 目标的操作系统信息 ，从而进一步发 展 Snort的功能 ，也可 以使得用户可 以按 自己的需 现系统的安全漏洞n]。端 口扫描通常分为水平扫描 要定制功能。Snort检测端 口扫描 的方法是 ：在 y秒 和垂直扫描两种 ，其中以水平扫描较为常见 ，常用的 内，如果检测到从 同一个源发出，目的为不同的主机 端 口扫 描技 术 有L1]：TCPconnect()扫描、TCP 和端 口的组合 的TCP或 UDP包 的数 目超 出阈值 SYN 扫描、TCPF1N 扫描 、1P分段扫描、ICMP端 X，则认为是扫描。其 中X和y的值可以由用户 自己 口不能到达扫描等。以上只是 目前发现的常用技术， 设 定。另外 ，Snort也 同样 可 以检测 有奇异标 志的 随着互联网应用的 日益广泛，入侵者的扫描技术越 TCP包 。 来越隐蔽，而且还在不停地变换扫描方式 ，比如改变 Watcher是一个比较完整 的基于网络的人侵检 扫描顺序、随机化扫描包的一些区域、慢速扫描等， 测系统的设计代码L4]。它检测所有通过的信息包，并 不但扫描到信息，而且又躲避了检测。 且将它认为是恶意的攻击行为记录在 syslog中。它 的检测原理是 ：如果在短时间 内有超过 7个 以上的 l 传统的端 口扫描方法分析 端 口收到信息包 (不管类 型如何)，那么这一事件就 人侵者对端 口扫描采用的方法有Snort方法、 被当成端 口扫描记录下来。 Watcher方法和PortSentry方法等三种 。它们采用 PortSentryu5是基于主机 的