端口掃描和OS掃描檢測方法及入侵預警系統(tǒng)的研究.pdf

1、黑客在實施攻擊前必然會收集目標系統(tǒng)的信息，以確定攻擊方法和攻擊途徑，目標的端口狀態(tài)和OS類型對黑客來說極為重要，它們給黑客提供了攻擊的直接途徑。因此，檢測端口掃描、OS掃描是入侵預警系統(tǒng)、入侵檢測系統(tǒng)中一個值得深入研究的課題。 本文分析了目前能收集到的所有端口掃描方法和技術、端口掃描的工作原理，總結歸納了現(xiàn)有檢測端口掃描的工具所存在的主要問題，提出了一系列的改進措施和方法：多線程、多接口同時捕獲掃描包、掃描包基值終止法、時間端口

2、基值法、對分段包進行組裝檢測分段掃描等，基于這些方法設計開發(fā)了一個實時檢測端口掃描的程序。在作者進行的大量對比實驗中，本程序的性能大大優(yōu)于目前最好的端口掃描檢測工具scanlogd。 作者還對OS掃描進行了較深入系統(tǒng)地分析，對具有代表性的OS掃描軟件nmap的發(fā)包、分析回應包的過程以及目前黑客探測OS類型最常用的TCP/IP堆棧特征探測技術進行了詳細介紹，指出了檢測OS掃描的難點，提出了一系列的解決辦法，包括：用時間基值來清除誤

3、記錄的包、用TCP可選項來區(qū)分端口掃描包和OS掃描包、只記錄一次OS掃描、重復信息只記錄一個、多線程、用libpcap來捕獲掃描包等，并以此為基礎，設計開發(fā)了一個實時檢測OS掃描的程序。實驗表明，作者所提出的方法是正確可行的，該檢測程序檢測到了多臺主機同時對它的OS掃描。 基于上述工作，以及在綜合了其它入侵檢測系統(tǒng)、入侵預警系統(tǒng)基礎上，文中提出并設計了一個基于端口掃描和OS掃描檢測的入侵預警系統(tǒng)BSIPS，該系統(tǒng)能實時檢測黑客對