学位论文 > 优秀研究生学位论文题录展示
端口扫描和OS扫描检测方法及入侵预警系统的研究
作 者: 唐洪英
导 师: 曹泽翰
学 校: 重庆大学
专 业: 计算机软件与理论
关键词: 端口扫描 OS扫描 TCP/IP堆栈特征探测技术 入侵预警系统
分类号: TP393.08
类 型: 硕士论文
年 份: 2002年
下 载: 308次
引 用: 2次
阅 读: 论文下载
内容摘要
黑客在实施攻击前必然会收集目标系统的信息,以确定攻击方法和攻击途径,目标的端口状态和OS类型对黑客来说极为重要,它们给黑客提供了攻击的直接途径。因此,检测端口扫描、OS扫描是入侵预警系统、入侵检测系统中一个值得深入研究的课题。 本文分析了目前能收集到的所有端口扫描方法和技术、端口扫描的工作原理,总结归纳了现有检测端口扫描的工具所存在的主要问题,提出了一系列的改进措施和方法:多线程、多接口同时捕获扫描包、扫描包基值终止法、时间端口基值法、对分段包进行组装检测分段扫描等,基于这些方法设计开发了一个实时检测端口扫描的程序。在作者进行的大量对比实验中,本程序的性能大大优于目前最好的端口扫描检测工具scanlogd。 作者还对OS扫描进行了较深入系统地分析,对具有代表性的OS扫描软件nmap的发包、分析回应包的过程以及目前黑客探测OS类型最常用的TCP/IP堆栈特征探测技术进行了详细介绍,指出了检测OS扫描的难点,提出了一系列的解决办法,包括:用时间基值来清除误记录的包、用TCP可选项来区分端口扫描包和OS扫描包、只记录一次OS扫描、重复信息只记录一个、多线程、用libpcap来捕获扫描包等,并以此为基础,设计开发了一个实时检测OS扫描的程序。实验表明,作者所提出的方法是正确可行的,该检测程序检测到了多台主机同时对它的OS扫描。 基于上述工作,以及在综合了其它入侵检测系统、入侵预警系统基础上,文中提出并设计了一个基于端口扫描和OS扫描检测的入侵预警系统BSIPS,该系统能实时检测黑客对本机的端口扫描、OS扫描、以及对本机的常见攻击。 最后,对论文所作的工作进行了总结,并指出了进一步的研究工作。
|
全文目录
中文摘要 4-5 英文摘要 5-9 1 绪论 9-14 1.1 论文选题及研究意义 9-10 1.2 论文选题背景 10 1.3 国内外研究现状 10-12 1.4 论文研究的主要工作 12 1.5 本文的章节安排 12-13 1.6 本章小结 13-14 2 端口扫描的分析 14-21 2.1 TCP标志位及连接建立过程 14-15 2.1.1 TCP标志位 14 2.1.2 TCP连接的建立过程 14-15 2.2 端口扫描的基本概念 15 2.3 端口扫描技术及对应的TCP标志 15 2.4 端口扫描的工作原理 15-18 2.4.1 TCP端口扫描的工作原理 15-17 2.4.2 UDP扫描的工作原理 17-18 2.5 分段扫描的分析 18-20 2.5.1 IP头的分段标志域和位 18 2.5.2 分段扫描的基本原理 18-19 2.5.3 分段扫描的发包过程 19-20 2.6 本章小结 20-21 3 端口扫描的检测 21-33 3.1 现有检测软件和工具的分析 21-22 3.2 检测端口扫描的改进方法 22-28 3.2.1 区分端口扫描包和非端口扫描包的方法 22-23 3.2.2 解决掉包的方法 23-25 3.2.3 解决知名端口和漏洞端口的方法 25 3.2.4 解决分段扫描的方法 25-28 3.2.5 完善检测类型和优化输出格式 28 3.3 端口扫描的检测流程 28-30 3.4 对比实验 30-32 3.4.1 实验数据 30-31 3.4.2 实验结果 31 3.4.3 实验结果的分析 31-32 3.5 本章小结 32-33 4 OS扫描的分析 33-40 4.1 扫描OS类型的技术 33-34 4.1.1 扫描OS类型的传统技术 33 4.1.2 TCP/IP堆栈特征探测技术 33-34 4.2 对OS扫描软件的分析 34-39 4.2.1 OS扫描软件 34-35 4.2.2 对OS扫描的分析 35-39 4.3 本章小结 39-40 5 OS扫描的检测 40-48 5.1 检测OS扫描的难点 40-41 5.2 检测OS扫描的方法 41-43 5.2.1 解决掉包的方法 41 5.2.2 解决系统状态不稳定的方法 41-42 5.2.3 解决误记录TCP标志包的方法 42 5.2.4 解决误记录UDP包的方法 42-43 5.3 OS扫描的检测流程 43-46 5.4 检测程序anti_os_scan的特点 46 5.5 检测OS扫描的实验 46-47 5.6 本章小结 47-48 6 基于端口扫描和OS扫描检测的入侵预警系统BSIPS 48-52 6.1 BSIPS系统的组件及功能 48-49 6.2 BSIPS系统组件间的关系 49-50 6.3 BSIPS系统的事件产生器在网络中的位置 50 6.4 BSIPS系统的功能 50-51 6.5 本章小结 51-52 7 论文总结 52-54 7.1 论文的主要工作 52-53 7.2 进一步的工作 53-54 致谢 54-55 参考文献 55-57 附录: 57-64 A. Scandetect的检测结果 57-60 B. Scanlogd的检测结果 60-62 C. 常见攻击的特征描述及检测 62-64 D. 作者在攻读硕士学位期间发表的文章目录 64
|
相似论文
- 网络攻击行为解析与演示,TP393.08
- 基于渗透测试的网络安全评估技术研究,TP393.08
- 多线程端口扫描软件设计与实现,TP393.08
- Internet蠕虫特征分析及抑制对策的研究和实现,TP393.08
- 成都烟草信息网络入侵检测系统,TP393.08
- 基于主机的信息安全测评技术的研究与软件实现,TP309
- 一种基于多线程机制的端口扫描器的设计与实现,TP393.08
- 基于网络异常流量的入侵检测系统研究,TP393.08
- 基于蜜罐技术的端口扫描检测系统的设计与实现,TP393.08
- 基于WINDOWS平台的主机入侵检测系统与防火墙的联动研究,TP393.08
- 信息可视化技术在端口扫描检测中的应用研究,TP393.08
- 网络安全工具的分析与设计实现,TP393.08
- 网络端口扫描技术的研究与实现,TP393.03
- 网络安全检测技术研究,TP393.08
- 网络攻击与防御仿真平台的设计与实现,TP393.08
- 网络攻防模拟环境的设计与实现,TP393.08
- 网络攻防平台及路由协议的设计与实现,TP393.08
- 基于端口扫描的安全漏洞检测系统的设计与实现,TP393.08
- 局域网专署软件远程安装的研究与实现,TP393.1
- 嗅探技术的研究与应用开发,TP393.08
中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 计算机的应用 > 计算机网络 > 一般性问题 > 计算机网络安全
© 2012 www.xueweilunwen.com
|