針對(duì)內(nèi)網(wǎng)主機(jī)掃描攻擊的防火墻檢測(cè)技術(shù)研究.pdf

1、近年來(lái)，網(wǎng)絡(luò)在人們的生活中占據(jù)了非常重要的地位。防火墻相對(duì)于網(wǎng)絡(luò)安全來(lái)說(shuō)，是必不可少的角色，掃描攻擊的檢測(cè)也是防火墻的一個(gè)核心功能。隨著網(wǎng)絡(luò)掃描攻擊方法越來(lái)越多樣化，傳統(tǒng)的端口掃描檢測(cè)技術(shù)已經(jīng)不能夠滿足要求，不能正確的并且高效的檢測(cè)出端口掃描行為。因此，如何提高檢測(cè)端口掃描行為的正確率，降低檢測(cè)端口掃描行為的誤檢率，這就變得尤為重要。本文從基于數(shù)據(jù)包和基于流兩個(gè)方面進(jìn)行端口掃描檢測(cè)算法的優(yōu)化。
　　第一方面，基于數(shù)據(jù)包進(jìn)行端口掃描

2、檢測(cè)算法的優(yōu)化。目前，基于數(shù)據(jù)包的算法比較典型的是TRW算法。TRW算法是針對(duì)整個(gè)網(wǎng)絡(luò)中是否有掃描行為進(jìn)行檢測(cè)，對(duì)每個(gè)待檢測(cè)主機(jī)的IP地址進(jìn)行分析，但是并沒(méi)有對(duì)端口的情況進(jìn)行分析。所以，為了更好的分析發(fā)生掃描時(shí)的掃描源和受害主機(jī)的情況，本文在前人研究的基礎(chǔ)上，提出了一個(gè)基于序列假設(shè)測(cè)試的掃描檢測(cè)優(yōu)化算法?；诖怂惴ǎ饕芯苛嗽贗P地址和端口均考慮的情況下，該算法的檢出率是否有提升以及誤檢率是否有降低。實(shí)驗(yàn)證明，在提升檢測(cè)率的同時(shí)，誤檢

3、率也降低了，因此更大程度地提升了優(yōu)化算法的可用性。
　　第二方面，基于流進(jìn)行端口掃描檢測(cè)算法的優(yōu)化。目前，TAPS算法是基于流的各種算法當(dāng)中性能最好的算法。有研究者應(yīng)用此算法進(jìn)行掃描行為的檢測(cè)，結(jié)果發(fā)現(xiàn)在誤檢的主機(jī)當(dāng)中，有大部分都是因?yàn)檎`將WEB服務(wù)器當(dāng)作掃描主機(jī)。因此，本文提出了一種降低WEB服務(wù)器誤檢率的TAPS優(yōu)化算法。主要結(jié)合了一種現(xiàn)有的WEB服務(wù)器檢測(cè)方法。實(shí)驗(yàn)證明，先應(yīng)用TAPS算法進(jìn)行掃描行為的檢測(cè)，再對(duì)檢測(cè)出的IP