CAJ | 학술논문

系统扫描检测是网络入侵检测与预警系统的重要组成部分.传统基于统计的系统扫描方法具有阈值、时间窗口难以设定,而且难以检测隐蔽扫描等不足.该文提出一种基于TCP包头异常检测的系统扫描检测方法THAD.通过学习到达被保护主机的TCP包的端口(Port)和标记(Flag)的分布特征,THAD可计算出每个到达TCP包的异常值,并结合TCP协议本身的特征对检测方法进行优化.测试表明,THAD可以有效地检测包括慢扫描和隐蔽扫描等多种系统扫描行为,与已有多种检测方法相比,THAD显著提高了检测的准确性,并提高了检测的效率和实时性.
계통소묘검측시망락입침검측여예경계통적중요조성부분.전통기우통계적계통소묘방법구유역치、시간창구난이설정,이차난이검측은폐소묘등불족.해문제출일충기우TCP포두이상검측적계통소묘검측방법THAD.통과학습도체피보호주궤적TCP포적단구(Port)화표기(Flag)적분포특정,THAD가계산출매개도체TCP포적이상치,병결합TCP협의본신적특정대검측방법진행우화.측시표명,THAD가이유효지검측포괄만소묘화은폐소묘등다충계통소묘행위,여이유다충검측방법상비,THAD현저제고료검측적준학성,병제고료검측적효솔화실시성.