一种检测隐蔽扫描活动的模型
吴
昊
刘刚常
(
湖南大学计算机与通信学院
针对现有隐蔽扫描检测技术的不足
它采用与大多数现有检测技术不同的方
式
而且结合基于会话的方式
扫描活动后
实验表明
关键词
噪声扫描
Abstract
Key words
°2è???ê?
3428(2006)24
02
文献标识码
TP311
在现代网络攻击活动中
这通常是进行攻
击的第1步
攻击者将可能获取到相当多对攻击有用的信息
会直接导致严重的安全事件
为了能够逃脱诸如日志审计
端口扫描手段日趋隐蔽化
以及各种已有的检测技术
实验表明该系统能有效地检测到此类隐蔽扫描
扫描具有较好的免疫力
根据
目标主机对此的响应
按照其使用的技术特征可以分
为开放扫描
其中隐
蔽扫描[1,2]
是最难以检测到的扫描行为
(1)扫描目的端
口号不呈常规的线性增长
(2)对目标主机的扫描活动分多次而不是短时间内的集中扫描
噪声
检测技术也在不断发展
(1)根
据扫
描
报文中
带有的特
征来构造
检测算
法
此类
检测技术的特点是对于已知特征的扫描行为检测十分准确
而且所需资源很少
其构造的扫描报
文中设置了特定的标志位
同时对于像特征随机化
(2)根据对端口的连接请求数是否超过阈值来判断是否
发生了端口扫描活动
其主要特点是配置一个端口连接请求在时间阈值(
或称窗口值)内的最大许可值
则判断为扫描行为
也能在一定程度上检测
到慢扫描行为
简单地将高于阈值的行为判断为扫描行为
实际情况表明很难找出合适的阈值作为评判的标准
从而在
以后的扫描中通过控制次数以逃脱系统的检测
特别是固定阈值所带
来的局限性如SPADE
检测引擎[7]?ù?Y±¨???D?′IP í3??3???D??′à′?üòì3£μ?±¨??
áíía?1óD?D????òyè?á??£oy??ê???êy?Y??DD·?
作者简介
男主研方向
蒋湘涛
刘刚常
2005-11-30 E-mail