基于有穷自动机的网络扫描检测算法研究与实现

摘要

网络扫描通常是入侵的前奏,准确的检测网络扫描可以对网络入侵起到重要的预警作用.现有的网络扫描检测机制都过于简单且易于被攻击者逃避.提出了一种基于有穷自动机模型检测网络扫描的入侵预警算法(FSA-based intrusion pre-alert algorithm,SBIPA),用自动机状态迁移图表达扫描报文序列,同时设计了3种不同的机制基于自动机模型对扫描事件进行检测,并讨论了算法实现中的关键技术.实验表明,该算法能在更准确的检测普通扫描的同时,对分布式、多类型混杂扫描等现有技术难以检测的隐蔽扫描也有很好的检测效果,有效弥补了现有同类技术的不足.