计算机工程与应用
計算機工程與應用
계산궤공정여응용
COMPUTER ENGINEERING AND APPLICATIONS
2003年
1期
19-21
,共3页
端口扫描%异常检测%TCP/IP%网络安全
耑口掃描%異常檢測%TCP/IP%網絡安全
단구소묘%이상검측%TCP/IP%망락안전
系统扫描检测是网络入侵检测与预警系统的重要组成部分.传统基于统计的系统扫描方法具有阈值、时间窗口难以设定,而且难以检测隐蔽扫描等不足.该文提出一种基于TCP包头异常检测的系统扫描检测方法THAD.通过学习到达被保护主机的TCP包的端口(Port)和标记(Flag)的分布特征,THAD可计算出每个到达TCP包的异常值,并结合TCP协议本身的特征对检测方法进行优化.测试表明,THAD可以有效地检测包括慢扫描和隐蔽扫描等多种系统扫描行为,与已有多种检测方法相比,THAD显著提高了检测的准确性,并提高了检测的效率和实时性.
繫統掃描檢測是網絡入侵檢測與預警繫統的重要組成部分.傳統基于統計的繫統掃描方法具有閾值、時間窗口難以設定,而且難以檢測隱蔽掃描等不足.該文提齣一種基于TCP包頭異常檢測的繫統掃描檢測方法THAD.通過學習到達被保護主機的TCP包的耑口(Port)和標記(Flag)的分佈特徵,THAD可計算齣每箇到達TCP包的異常值,併結閤TCP協議本身的特徵對檢測方法進行優化.測試錶明,THAD可以有效地檢測包括慢掃描和隱蔽掃描等多種繫統掃描行為,與已有多種檢測方法相比,THAD顯著提高瞭檢測的準確性,併提高瞭檢測的效率和實時性.
계통소묘검측시망락입침검측여예경계통적중요조성부분.전통기우통계적계통소묘방법구유역치、시간창구난이설정,이차난이검측은폐소묘등불족.해문제출일충기우TCP포두이상검측적계통소묘검측방법THAD.통과학습도체피보호주궤적TCP포적단구(Port)화표기(Flag)적분포특정,THAD가계산출매개도체TCP포적이상치,병결합TCP협의본신적특정대검측방법진행우화.측시표명,THAD가이유효지검측포괄만소묘화은폐소묘등다충계통소묘행위,여이유다충검측방법상비,THAD현저제고료검측적준학성,병제고료검측적효솔화실시성.