針對內(nèi)網(wǎng)主機掃描攻擊的防火墻檢測技術(shù)研究.pdf

1、近年來，網(wǎng)絡(luò)在人們的生活中占據(jù)了非常重要的地位。防火墻相對于網(wǎng)絡(luò)安全來說，是必不可少的角色，掃描攻擊的檢測也是防火墻的一個核心功能。隨著網(wǎng)絡(luò)掃描攻擊方法越來越多樣化，傳統(tǒng)的端口掃描檢測技術(shù)已經(jīng)不能夠滿足要求，不能正確的并且高效的檢測出端口掃描行為。因此，如何提高檢測端口掃描行為的正確率，降低檢測端口掃描行為的誤檢率，這就變得尤為重要。本文從基于數(shù)據(jù)包和基于流兩個方面進(jìn)行端口掃描檢測算法的優(yōu)化。
　　第一方面，基于數(shù)據(jù)包進(jìn)行端口掃描

2、檢測算法的優(yōu)化。目前，基于數(shù)據(jù)包的算法比較典型的是TRW算法。TRW算法是針對整個網(wǎng)絡(luò)中是否有掃描行為進(jìn)行檢測，對每個待檢測主機的IP地址進(jìn)行分析，但是并沒有對端口的情況進(jìn)行分析。所以，為了更好的分析發(fā)生掃描時的掃描源和受害主機的情況，本文在前人研究的基礎(chǔ)上，提出了一個基于序列假設(shè)測試的掃描檢測優(yōu)化算法?；诖怂惴ǎ饕芯苛嗽贗P地址和端口均考慮的情況下，該算法的檢出率是否有提升以及誤檢率是否有降低。實驗證明，在提升檢測率的同時，誤檢

3、率也降低了，因此更大程度地提升了優(yōu)化算法的可用性。
　　第二方面，基于流進(jìn)行端口掃描檢測算法的優(yōu)化。目前，TAPS算法是基于流的各種算法當(dāng)中性能最好的算法。有研究者應(yīng)用此算法進(jìn)行掃描行為的檢測，結(jié)果發(fā)現(xiàn)在誤檢的主機當(dāng)中，有大部分都是因為誤將WEB服務(wù)器當(dāng)作掃描主機。因此，本文提出了一種降低WEB服務(wù)器誤檢率的TAPS優(yōu)化算法。主要結(jié)合了一種現(xiàn)有的WEB服務(wù)器檢測方法。實驗證明，先應(yīng)用TAPS算法進(jìn)行掃描行為的檢測，再對檢測出的IP