端口扫描和OS扫描检测方法及入侵预警系统的研究

摘要

黑客在实施攻击前必然会收集目标系统的信息，以确定攻击方法和攻击途径，目标的端口状态和OS类型对黑客来说极为重要，它们给黑客提供了攻击的直接途径。因此，检测端口扫描、OS扫描是入侵预警系统、入侵检测系统中一个值得深入研究的课题。 本文分析了目前能收集到的所有端口扫描方法和技术、端口扫描的工作原理，总结归纳了现有检测端口扫描的工具所存在的主要问题，提出了一系列的改进措施和方法：多线程、多接口同时捕获扫描包、扫描包基值终止法、时间端口基值法、对分段包进行组装检测分段扫描等，基于这些方法设计开发了一个实时检测端口扫描的程序。在作者进行的大量对比实验中，本程序的性能大大优于目前最好的端口扫描检测工具scanlogd。 作者还对OS扫描进行了较深入系统地分析，对具有代表性的OS扫描软件nmap的发包、分析回应包的过程以及目前黑客探测OS类型最常用的TCP/IP堆栈特征探测技术进行了详细介绍，指出了检测OS扫描的难点，提出了一系列的解决办法，包括：用时间基值来清除误记录的包、用TCP可选项来区分端口扫描包和OS扫描包、只记录一次OS扫描、重复信息只记录一个、多线程、用libpcap来捕获扫描包等，并以此为基础，设计开发了一个实时检测OS扫描的程序。实验表明，作者所提出的方法是正确可行的，该检测程序检测到了多台主机同时对它的OS扫描。 基于上述工作，以及在综合了其它入侵检测系统、入侵预警系统基础上，文中提出并设计了一个基于端口扫描和OS扫描检测的入侵预警系统BSIPS，该系统能实时检测黑客对本机的端口扫描、OS扫描、以及对本机的常见攻击。 最后，对论文所作的工作进行了总结，并指出了进一步的研究工作。

目录

文摘

英文文摘

1绪论

1.1论文选题及研究意义

1.2论文选题背景

1.3国内外研究现状

1.4论文研究的主要工作

1.5本文的章节安排

1.6本章小结

2端口扫描的分析

2.1TCP标志位及连接建立过程

2.1.1TCP标志位

2.1.2TCP连接的建立过程

2.2端口扫描的基本概念

2.3端口扫描技术及对应的TCP标志

2.4端口扫描的工作原理

2.4.1TCP端口扫描的工作原理

2.4.2UDP扫描的工作原理

2.5分段扫描的分析

2.5.1IP头的分段标志域和位

2.5.2分段扫描的基本原理

2.5.3分段扫描的发包过程

2.6本章小结

3端口扫描的检测

3.1现有检测软件和工具的分析

3.2检测端口扫描的改进方法

3.2.1区分端口扫描包和非端口扫描包的方法

3.2.2解决掉包的方法

3.2.3解决知名端口和漏洞端口的方法

3.2.4解决分段扫描的方法

3.2.5完善检测类型和优化输出格式

3.3端口扫描的检测流程

3.4对比实验

3.4.1实验数据

3.4.2实验结果

3.4.3实验结果的分析

3.5本章小结

4 OS扫描的分析

4.1扫描OS类型的技术

4.1.1扫描OS类型的传统技术

4.1.2TCP/IP堆栈特征探测技术

4.2对OS扫描软件的分析

4.2.1OS扫描软件

4.2.2对OS扫描的分析

4.3本章小结

5 OS扫描的检测

5.1检测OS扫描的难点

5.2检测OS扫描的方法

5.2.1解决掉包的方法

5.2.2解决系统状态不稳定的方法

5.2.3解决误记录TCP标志包的方法

5.2.4解决误记录UDP包的方法

5.3 OS扫描的检测流程

5.4检测程序anti os scan的特点

5.5检测OS扫描的实验

5.6本章小结

6基于端口扫描和OS扫描检测的入侵预警系统BSIPS

6.1 BSIPS系统的组件及功能

6.2 BSIPS系统组件间的关系

6.3 BSIPS系统的事件产生器在网络中的位置

6.4 BSIPS系统的功能

6.5本章小结

7论文总结

7.1论文的主要工作

7.2进一步的工作

致谢

参考文献

附录A

附录B

附录C 常见攻击的特征描述及检测

附录D 作者在攻读硕士学位期间发表的论文目录