An Adaptive Algorithm to Detect Port Scans

Detection of port scan is an important component in a network intrusion detection and prevention system. Traditional statistical methods can be easily evaded by stealthy scans and are prone to DoS attacks. This paper presents a new mechanism termed PSD(port scan detection), which is based on TCP packet anomaly evaluation. By learning the port distribution and flags of TCP packets arriving at the protected hosts, PSD can compute the anomaly score of each packet and effectively detect port scans including slow scans and stealthy scans. Experiments show that PSD has high detection accuracy and low detection latency.

计算机网络扫描技术研究

从TCP/IP协议的基本原理出发,讨论了计算机网络扫描技术的理论基础,对当前网络扫描的主要技术-端口扫描和远程操作系统扫描的内在机制作了扼要的分类和阐述,并初步探讨了网络扫描中逃避检测的方法。在此基础上,就先进的网络扫描器的设计思路提出了自己的建议,并给出了一个网络脆弱性扫描器实现的概念模型。

隐蔽端口扫描的原理及防御方法

本文简单介绍了隐蔽端口扫描的原理 ,并介绍了目前主要的防御方法及其优缺点。然后 ,重点介绍了作者提出的能彻底防御隐蔽端口扫描的基于运输层的连接代理方法。

端口扫描技术及防御分析

针对目前端口扫描器给网络安全带来的威胁,文中系统地分析了端口扫描的技术基础和实现方式。针对扫描带来的威胁,给出了一些防御的方法。在实际使用中具有一定的现实意义。

一种高效的系统扫描检测方法

系统扫描检测是网络入侵检测与预警系统的重要组成部分。传统基于统计的系统扫描方法具有阈值、时间窗口难以设定,而且难以检测隐蔽扫描等不足。该文提出一种基于TCP包头异常检测的系统扫描检测方法THAD。通过学习到达被保护主机的TCP包的端口(Port)和标记(Flag)的分布特征,THAD可计算出每个到达TCP包的异常值,并结合TCP协议本身的特征对检测方法进行优化。测试表明,THAD可以有效地检测包括慢扫描和隐蔽扫描等多种系统扫描行为,与已有多种检测方法相比,THAD显著提高了检测的准确性,并提高了检测的效率和实时性。

网络隐蔽扫描技术研究

介绍了多种网络隐蔽扫描技术,并分析了各技术实现原理和优缺点,讨论了隐蔽扫描技术的发展过程及其对网络安全防护技术发展的影响,指出了隐蔽扫描技术的发展趋势,给出了一个隐蔽扫描系统模型并对其进行了简要描述。该系统建立了扫描策略组件库和操作系统及入侵检测系统知识库,能够进行扫描效果评估,并实现与漏洞扫描及攻击系统链接。

端口扫描技术研究

端口扫描是网络安全探测的基础,对端口扫描技术的研究有非常突出的现实意义。重点研究了几种端口扫描技术,并通过实验分析了这些扫描技术的特点。

反射式TCP端口扫描技术的研究

本文介绍了各种常用TCP端口扫描技术的基本原理,在此基础上,介绍了反射式端口扫描技术,分析这种扫描技术实现的原理和特点。最后给出了针对这种端口扫描技术的一些防御办法。