一种检测隐蔽扫描活动的模型

一种检测隐蔽扫描活动的模型

吴

昊

刘刚常

(

湖南大学计算机与通信学院

针对现有隐蔽扫描检测技术的不足

它采用与大多数现有检测技术不同的方

式

而且结合基于会话的方式

扫描活动后

实验表明

关键词

噪声扫描

Abstract

Key words

°2è???ê?

3428(2006)24

02

文献标识码

TP311

在现代网络攻击活动中

这通常是进行攻

击的第1步

攻击者将可能获取到相当多对攻击有用的信息

会直接导致严重的安全事件

为了能够逃脱诸如日志审计

端口扫描手段日趋隐蔽化

以及各种已有的检测技术

实验表明该系统能有效地检测到此类隐蔽扫描

扫描具有较好的免疫力

根据

目标主机对此的响应

按照其使用的技术特征可以分

为开放扫描

其中隐

蔽扫描[1,2]

是最难以检测到的扫描行为

(1)扫描目的端

口号不呈常规的线性增长

(2)对目标主机的扫描活动分多次而不是短时间内的集中扫描

噪声

检测技术也在不断发展

(1)根

据扫

描

报文中

带有的特

征来构造

检测算

法

此类

检测技术的特点是对于已知特征的扫描行为检测十分准确

而且所需资源很少

其构造的扫描报

文中设置了特定的标志位

同时对于像特征随机化

(2)根据对端口的连接请求数是否超过阈值来判断是否

发生了端口扫描活动

其主要特点是配置一个端口连接请求在时间阈值(

或称窗口值)内的最大许可值

则判断为扫描行为

也能在一定程度上检测

到慢扫描行为

简单地将高于阈值的行为判断为扫描行为

实际情况表明很难找出合适的阈值作为评判的标准

从而在

以后的扫描中通过控制次数以逃脱系统的检测

特别是固定阈值所带

来的局限性如SPADE

检测引擎[7]?ù?Y±¨???D?′IP í3??3???D??′à′?üòì3￡μ?±¨??

áíía?1óD?D????òyè?á??￡oy??ê???êy?Y??DD·?

作者简介

男主研方向

蒋湘涛

刘刚常

2005-11-30 E-mail