NIDS中的扫描攻击分析与检测技术研究.doc

2012-07-19###N##ID#S#中##的##扫## 2012-07-19###N##ID#S#中##的##扫##描20攻1击2-分07析-1与9#检#测##技##2术#0#1研2-究07-19######## 蔡洪民 1 (1广州中医药大学信息技术学院 广州 伍乃骐 2 510006 滕少华 2 2广东工业大学机电学院 广州 510090 ) 摘 要 :介绍了检测端口扫描和操作系统扫描的原理和方法 ,实现了一个检测端口扫描和操作系统扫描的模型 ,该方法通过 捕捉网络数据包进行分析然后匹配各类 SNOR T扫描规则 ,从而达到有效地检测出各类扫描攻击的目的 。最后 ,文章介绍了设 计该模型的意义及展望 。 关键词 :网络安全 ID S 端口扫描 O S扫描 扫描检测 Re sea rch of Ana ly s is an d D e tec t ion of Scann in g A tta ck of N ID S CA I Hongm in1 , WU N a iq i2 , TEN G Shaohua2 (1 Facu lty of Info rm a tion Techno logy, Guangzhou U n ive rsity of Trad itiona l Ch ine se M ed ic ine, GuangZhou, 510006 , Ch ina 2 Facu lty of E lec troM echan ica l Enginee ring, GuangDong U n ive rsity of Techno logy, GuangZhou, 510090, Ch ina) A b stra c t: Th is a rtic le in troduce s the theo rys and the m e thod s of the de tec tion of po rt scann ing and O S scann ing, and p u t fo rwa rd a mod2 e l of de tec ting po rt scann ing and O S scann ing. It can effec tive ly de tec ts m any typ e s of a ttack of scann ing, by cap tu ring the ne two rk p acke ts and m a tch ing the sno rt ru le s. In the end, the a rtic le in troduced the sign ificance and p ro sp ec t of the mode l. Keyword s: N e two rk Secu rity , In tru sion D e tec tion System , Po rt scan, O S scan, Scan D e tec tion 1 引言 扫描攻击往往是黑客正式攻击的前奏 ,是对即将攻击目标进行信息收集的必要步骤 。黑客如何能在最 短的时间内 ,寻找到攻击目标 ,确定目标是否连在网上 ? 并获得目标系统的操作系统是什么 ? 提供了哪些 服务 ? 端口扫描器是黑客们进行扫描攻击的有力工具 ,端口扫描器通过连接远程 TCP / IP不同端口的服务 , 并记录目标返回的回答 ,可以搜集到很多关于目标主机的各种有用信息 [ 1 ] 。 对扫描技术进行研究 ,可以在攻击前得到一些警告和预报 ,尽早地预测攻击者的行为并获得一定的证 据 ,从而对攻击行为进行预警 。 本文通过检测扫描攻击的特征 ,采用统计与特征相结合的方法 ,实现了一个检测扫描攻击的工具 ,能够 检测各类 TCP扫描 、UD P扫描及 O S扫描 ,通过对各类扫描攻击的预警加强了网络安全 。 2 端口扫描技术 端口扫描探测可得到的信息有 :确定目标主机是否活动 、主机操作系统 、正在使用哪些 端口 、提供了哪些服务 、相关服务的软件版本等 [ 2 ] 。 端口扫描技术可以划分为二大类 ,传统扫描技术 、秘密扫描技术 。 2012-2101 7传-统1扫9描#技#术###########2012-07-19######2#0#12-07-19######## 如果端口处于侦 如果端口处于侦听状态 ,那么 connec t ( )就能成功 ,否则 ,这个端口不能用 [ 3 ] 。这个技术的最大优点是 ,不需 要任何权限 ,系统中的任何用户都可使用此调用 。但这样的扫描会在目标上留下大量的日志信息 ,所以也 很容易被发现 [ 4 ] 。