针对内网主机扫描攻击的防火墙检测技术研究

摘要

近年来，网络在人们的生活中占据了非常重要的地位。防火墙相对于网络安全来说，是必不可少的角色，扫描攻击的检测也是防火墙的一个核心功能。随着网络扫描攻击方法越来越多样化，传统的端口扫描检测技术已经不能够满足要求，不能正确的并且高效的检测出端口扫描行为。因此，如何提高检测端口扫描行为的正确率，降低检测端口扫描行为的误检率，这就变得尤为重要。本文从基于数据包和基于流两个方面进行端口扫描检测算法的优化。
　　第一方面，基于数据包进行端口扫描检测算法的优化。目前，基于数据包的算法比较典型的是TRW算法。TRW算法是针对整个网络中是否有扫描行为进行检测，对每个待检测主机的IP地址进行分析，但是并没有对端口的情况进行分析。所以，为了更好的分析发生扫描时的扫描源和受害主机的情况，本文在前人研究的基础上，提出了一个基于序列假设测试的扫描检测优化算法。基于此算法，主要研究了在IP地址和端口均考虑的情况下，该算法的检出率是否有提升以及误检率是否有降低。实验证明，在提升检测率的同时，误检率也降低了，因此更大程度地提升了优化算法的可用性。
　　第二方面，基于流进行端口扫描检测算法的优化。目前，TAPS算法是基于流的各种算法当中性能最好的算法。有研究者应用此算法进行扫描行为的检测，结果发现在误检的主机当中，有大部分都是因为误将WEB服务器当作扫描主机。因此，本文提出了一种降低WEB服务器误检率的TAPS优化算法。主要结合了一种现有的WEB服务器检测方法。实验证明，先应用TAPS算法进行扫描行为的检测，再对检测出的IP地址进行WEB服务器的检测，确实可以筛选出WEB服务器，使得误检率降低了。

目录

声明

摘要

第1章 绪论

1．1 课题研究背景

1．2 课题研究的目的和意义

1．3 论文研究内容与组织结构

第2章 国内外相关研究概述

2．1 引言

2．2 扫描攻击

2．2．1 TCP／IP基本概念

2．2．2 网络扫描原理与技术分类

2．3 端口扫描检测

2．3．1 端口扫描检测原理

2．3．2 端口扫描检测技术分类

2．4 本章小结

第3章 基于序列假设测试的扫描检测优化算法

3．1 引言

3．2 基于序列假设测试的检测算法

3．2．1 TRW算法思想

3．2．2 TRW算法流程

3．3 基于序列假设测试检测算法的优化

3．3．1 TRW算法存在的问题

3．3．2 TRW算法优化

3．4 实验结果与分析

3．4．1 实验环境与步骤

3．4．2 实验结果

3．5 本章小结

第4章 一种降低WEB服务器误检率的TAPS优化算法

4．1 引言

4．2 基于流的端口扫描检测算法

4．2．1 TAPS算法介绍

4．2．2 TAPS算法存在的问题

4．3 优化的TAPS算法模型

4．4 实验结果与分析

4．4．1 实验环境与步骤

4．4．2 实验结果

4．5 本章小结

结论

参考文献

攻读硕士学位期间发表的论文和取得的科研成果

致谢