端口掃描和OS掃描檢測(cè)方法及入侵預(yù)警系統(tǒng)的研究.pdf

1、黑客在實(shí)施攻擊前必然會(huì)收集目標(biāo)系統(tǒng)的信息，以確定攻擊方法和攻擊途徑，目標(biāo)的端口狀態(tài)和OS類型對(duì)黑客來(lái)說(shuō)極為重要，它們給黑客提供了攻擊的直接途徑。因此，檢測(cè)端口掃描、OS掃描是入侵預(yù)警系統(tǒng)、入侵檢測(cè)系統(tǒng)中一個(gè)值得深入研究的課題。 本文分析了目前能收集到的所有端口掃描方法和技術(shù)、端口掃描的工作原理，總結(jié)歸納了現(xiàn)有檢測(cè)端口掃描的工具所存在的主要問(wèn)題，提出了一系列的改進(jìn)措施和方法：多線程、多接口同時(shí)捕獲掃描包、掃描包基值終止法、時(shí)間端口

2、基值法、對(duì)分段包進(jìn)行組裝檢測(cè)分段掃描等，基于這些方法設(shè)計(jì)開(kāi)發(fā)了一個(gè)實(shí)時(shí)檢測(cè)端口掃描的程序。在作者進(jìn)行的大量對(duì)比實(shí)驗(yàn)中，本程序的性能大大優(yōu)于目前最好的端口掃描檢測(cè)工具scanlogd。 作者還對(duì)OS掃描進(jìn)行了較深入系統(tǒng)地分析，對(duì)具有代表性的OS掃描軟件nmap的發(fā)包、分析回應(yīng)包的過(guò)程以及目前黑客探測(cè)OS類型最常用的TCP/IP堆棧特征探測(cè)技術(shù)進(jìn)行了詳細(xì)介紹，指出了檢測(cè)OS掃描的難點(diǎn)，提出了一系列的解決辦法，包括：用時(shí)間基值來(lái)清除誤

3、記錄的包、用TCP可選項(xiàng)來(lái)區(qū)分端口掃描包和OS掃描包、只記錄一次OS掃描、重復(fù)信息只記錄一個(gè)、多線程、用libpcap來(lái)捕獲掃描包等，并以此為基礎(chǔ)，設(shè)計(jì)開(kāi)發(fā)了一個(gè)實(shí)時(shí)檢測(cè)OS掃描的程序。實(shí)驗(yàn)表明，作者所提出的方法是正確可行的，該檢測(cè)程序檢測(cè)到了多臺(tái)主機(jī)同時(shí)對(duì)它的OS掃描。 基于上述工作，以及在綜合了其它入侵檢測(cè)系統(tǒng)、入侵預(yù)警系統(tǒng)基礎(chǔ)上，文中提出并設(shè)計(jì)了一個(gè)基于端口掃描和OS掃描檢測(cè)的入侵預(yù)警系統(tǒng)BSIPS，該系統(tǒng)能實(shí)時(shí)檢測(cè)黑客對(duì)