An Adaptive Algorithm to Detect Port Scans

Detection of port scan is an important component in a network intrusion detection and prevention system. Traditional statistical methods can be easily evaded by stealthy scans and are prone to DoS attacks. This paper presents a new mechanism termed PSD(port scan detection), which is based on TCP packet anomaly evaluation. By learning the port distribution and flags of TCP packets arriving at the protected hosts, PSD can compute the anomaly score of each packet and effectively detect port scans including slow scans and stealthy scans. Experiments show that PSD has high detection accuracy and low detection latency.

基于组合扫描的无状态工控设备资产探测方法

全面探测工控设备资产信息、了解资产状态是确保工业控制系统安全的重要前提。端口探活是进行资产探测的第一步,端口探活的准确率和效率将直接影响资产探测的性能。为提升端口探活的速度和准确性,提出了一种基于组合扫描的异步无状态端口扫描方法。通过构造组合扫描数据包,解决工控设备因禁ping导致主机探活准确率降低的问题,同时建立发送数据包线程和接收数据包线程,实现组合扫描数据包的异步处理,消除了传统无状态扫描的回复等待时间,缩短了端口探活时间。最后以Modbus协议为例,构造了资产请求数据包,并分析了数据包中主要字段和功能。测试结果表明,提出的资产探测方法在端口探活阶段单位时间内可以探测到更多的设备,同时能在较短的时间内完成完整资产信息的探测,在探测准确度和探测时间方面都得到了提升。

网络端口扫描及其防御技术研究

对当前的端口扫描及其防御技术进行了综述和归类分析,详细地讨论了各种技术的优缺点,并讨论了端口扫描技术的研究方向。

主动检测网络扫描技术

提出一种基于TCP端口和标志位异常检测的主动检测扫描技术。通过主动学习被保护网络提供的服务端口和TCP标志字段的分布特征,判断出每个到达数据包的异常性,检测各种基于TCP的扫描行为包括慢扫描和隐蔽扫描等多种系统扫描行为。测试表明,主动扫描技术具有很高检测率和较低的误报警率。

自适应分布式端口扫描检测方法

简要介绍了端口扫描技术及其检测技术,设计并实现了一种自适应的分布式端口扫描检测方法。该方法通过对异常包的检测及分类计算异常值的总和,并结合网络流量,设定动态阈值,然后判断出扫描。这种方法能有效地检测到慢速扫描、随机化扫描和分布式扫描,并能检测出分布式拒绝服务(DDoS)攻击。

网络扫描原理的研究

安全扫描是在网络安全领域中非常重要的一种技术手段。使用扫描,可以发现网络信息,甚至进行攻击。分析了网络安全扫描的原理,对扫描中使用的主要技术进行了分类,并阐述了每种技术的原理及协议特性。给出了常见平台上的有代表性的工具,并针对其特点进行了比较。指出网络扫描中存在的一些性能和安全上的问题,提出了一些使之完善化的建议。

联动防火墙的主机入侵检测系统的研究

联动防火墙的主机入侵检测系统可以实时监测主机的各种状态,辨别可能发生的入侵行为或非法操作,在入侵行为发生时联动防火墙进行自动阻断和报警,实时保护主机系统信息安全。这里主要介绍其中的端口扫描和木马检测两个模块。

一种基于端口扫描的模糊检测策略

文中简单介绍了端口扫描及其检测技术,提出一种新的采用模糊技术的检测方法,能有效地应付缓慢扫描、随机化扫描以及多种隐蔽扫描。实验结果表明该方法是可行的、有效的。

一种实时入侵检测专家系统的设计与实现

该文在分析几种常见入侵检测方法的基础上,设计并实现了一种实时入侵检测专家系统,给出了详细的设计方案和实现方法。最后,分析了常见的入侵,并提供用于检测主机/端口扫描的规则集。实验结果表明,该系统能够快速有效地发现并报告多种入侵,能集成到网络安全产品中。

计算机信息安全交换系统的设计

以全新的角度介绍在内部网(Intranet)和外部网(Internet)物理隔离环境下,实现内外网的信息交换。通过入侵检测、网络协议隔离与物理隔离技术,使该系统能够快速有效地发现、报告各种入侵,并自动实时切断与外部网络的物理连接,阻断各种入侵,实现内部网络的自我保护。

基于实时入侵检测技术的“网闸”安全系统的设计

以新的角度介绍在内部网(Intranet)和外部网(Internet)物理隔离环境下,实现内外网的信息交换。通过入侵检测系统与物理隔离器的互动,该系统能够快速有效地发现、报告各种入侵,并自动实时切断外部网络的物理连接,实现内部网络的自我保护。

网络已知攻击类型的防御方法

随着网络的发展,网络的安全问题逐渐被人们所认识。网络攻击行为的不断发生,促使网络安全系统的诞生。该文提出的一个分布式入侵检测模型,能够对常见的具有攻击特征的入侵行为进行防御,同时在设计模型时,注意了标准化的设计,因此系统具有很高的升级性、可扩充性和适应性。最后,给出的端口扫描、嗅探器和IP欺骗防御代理设计,说明了如何进行标准化的代理设计满足模型目标。

网络安全漏洞检测软件的设计与实现

分析了几种常见的网络安全漏洞的基本原理。采用具有跨平台运行优势的Java语言编程模拟FTP、SMTP、POP3等多个客户端,实现了弱密码漏洞检测,CGI漏洞检测,SQL注入漏洞检测和IIS解码编码漏洞检测。

基于支持向量机的网络流量异常检测

提出了一种基于支持向量机的网络流量异常检测方法.分析了支持向量机的基本原理,结合网络流量异常检测的特点,讨论了异常检测的特征选择问题;提出了网络流量对称性、TCP报文SYN和SYN/ACK对称性以及协议分布等具有鲁棒性的特征参数,描述了数据的预处理方法.测试结果表明,所选特征参数可有效地检测网络攻击导致的流量异常变化,说明基于支持向量机的检测方法具有较好的泛化能力.

一种高效的系统扫描检测方法

系统扫描检测是网络入侵检测与预警系统的重要组成部分。传统基于统计的系统扫描方法具有阈值、时间窗口难以设定,而且难以检测隐蔽扫描等不足。该文提出一种基于TCP包头异常检测的系统扫描检测方法THAD。通过学习到达被保护主机的TCP包的端口(Port)和标记(Flag)的分布特征,THAD可计算出每个到达TCP包的异常值,并结合TCP协议本身的特征对检测方法进行优化。测试表明,THAD可以有效地检测包括慢扫描和隐蔽扫描等多种系统扫描行为,与已有多种检测方法相比,THAD显著提高了检测的准确性,并提高了检测的效率和实时性。

NIDS中的扫描攻击分析与检测技术研究

介绍了检测端口扫描和操作系统扫描的原理和方法,实现了一个检测端口扫描和操作系统扫描的模型,该方法通过捕捉网络数据包进行分析然后匹配各类SNORT扫描规则,从而达到有效地检测出各类扫描攻击的目的。最后,文章介绍了设计该模型的意义及展望。

一种入侵检测实验系统的设计与实现

针对专业教学过程中理论内容较难理解和接受的情况,设计了一种入侵检测的实验系统,实现对网络嗅探和端口扫描两种类型的入侵进行检测。针对网络中的嗅探攻击,利用WinPcap网络开发包,实现基于ARP报文探测的嗅探攻击的演示。此外,实验系统还针对网络中的TCP端口扫描攻击,利用Libnids网络开发包,实现了基于统计阈值检测法的TCP端口扫描攻击的演示。最终通过短消息模块实现相应入侵行为的短信通知。

一种检测隐蔽扫描活动的模型

针对现有隐蔽扫描检测技术的不足,提出了一种基于网络流量特征的端口扫描检测模型,它采用与大多数现有检测技术不同的方式,在检测过程中不仅基于单个报文,而且结合基于会话的方式,在去除掉各种干扰检测的“噪声”扫描活动后,检测慢扫描、分布式扫描等异常隐蔽的扫描活动。实验表明,该检测模型对检测各种隐蔽扫描活动具有较高的准确率和较低的漏报率。

协议分析技术在ICMP中的应用

介绍ICMP报文的封装情况以及以太网帧、IP数据报、ICMP报文和UDP数据报的格式规定。然后在此基础上,从协议分析的角度出发,对一个ICMP诱骗端口扫描攻击案例进行了详细描述,得出了攻击特征,并提出了相应的解决办法。

用于异常检测的小参数集树突状细胞算法

树突状细胞算法（dendritic cell algorithm,DCA）是受自然免疫系统中树突状细胞的功能启发的免疫算法。当应用于实时异常检测时该算法具有优越的性能,但由于参数和随机元素相当多,算法难于分析。提出了一种用于异常检测的小参数集树突状细胞算法,在保证算法实现正确功能的前提下,减少了DCA中的参数,使算法参数数量得到了控制。此外,新算法还定义了更为简洁的信号处理过程以及对应的异常度量和异常阈值。最后,利用端口扫描数据集对算法进行了测试,实验结果表明,新算法是DCA的一种有效形式,新的异常度量更加敏感且它体现出的正确分类时间延长了30.3%~56.7%。