学位论文 > 优秀研究生学位论文题录展示

端口扫描和OS扫描检测方法及入侵预警系统的研究

作 者: 唐洪英
导 师: 曹泽翰
学 校: 重庆大学
专 业: 计算机软件与理论
关键词: 端口扫描 OS扫描 TCP/IP堆栈特征探测技术 入侵预警系统
分类号: TP393.08
类 型: 硕士论文
年 份: 2002年
下 载: 308次
引 用: 2次
阅 读: 论文下载
 

内容摘要


黑客在实施攻击前必然会收集目标系统的信息,以确定攻击方法和攻击途径,目标的端口状态和OS类型对黑客来说极为重要,它们给黑客提供了攻击的直接途径。因此,检测端口扫描、OS扫描是入侵预警系统、入侵检测系统中一个值得深入研究的课题。 本文分析了目前能收集到的所有端口扫描方法和技术、端口扫描的工作原理,总结归纳了现有检测端口扫描的工具所存在的主要问题,提出了一系列的改进措施和方法:多线程、多接口同时捕获扫描包、扫描包基值终止法、时间端口基值法、对分段包进行组装检测分段扫描等,基于这些方法设计开发了一个实时检测端口扫描的程序。在作者进行的大量对比实验中,本程序的性能大大优于目前最好的端口扫描检测工具scanlogd。 作者还对OS扫描进行了较深入系统地分析,对具有代表性的OS扫描软件nmap的发包、分析回应包的过程以及目前黑客探测OS类型最常用的TCP/IP堆栈特征探测技术进行了详细介绍,指出了检测OS扫描的难点,提出了一系列的解决办法,包括:用时间基值来清除误记录的包、用TCP可选项来区分端口扫描包和OS扫描包、只记录一次OS扫描、重复信息只记录一个、多线程、用libpcap来捕获扫描包等,并以此为基础,设计开发了一个实时检测OS扫描的程序。实验表明,作者所提出的方法是正确可行的,该检测程序检测到了多台主机同时对它的OS扫描。 基于上述工作,以及在综合了其它入侵检测系统、入侵预警系统基础上,文中提出并设计了一个基于端口扫描和OS扫描检测的入侵预警系统BSIPS,该系统能实时检测黑客对本机的端口扫描、OS扫描、以及对本机的常见攻击。 最后,对论文所作的工作进行了总结,并指出了进一步的研究工作。

全文目录


中文摘要  4-5
英文摘要  5-9
1 绪论  9-14
  1.1 论文选题及研究意义  9-10
  1.2 论文选题背景  10
  1.3 国内外研究现状  10-12
  1.4 论文研究的主要工作  12
  1.5 本文的章节安排  12-13
  1.6 本章小结  13-14
2 端口扫描的分析  14-21
  2.1 TCP标志位及连接建立过程  14-15
    2.1.1 TCP标志位  14
    2.1.2 TCP连接的建立过程  14-15
  2.2 端口扫描的基本概念  15
  2.3 端口扫描技术及对应的TCP标志  15
  2.4 端口扫描的工作原理  15-18
    2.4.1 TCP端口扫描的工作原理  15-17
    2.4.2 UDP扫描的工作原理  17-18
  2.5 分段扫描的分析  18-20
    2.5.1 IP头的分段标志域和位  18
    2.5.2 分段扫描的基本原理  18-19
    2.5.3 分段扫描的发包过程  19-20
  2.6 本章小结  20-21
3 端口扫描的检测  21-33
  3.1 现有检测软件和工具的分析  21-22
  3.2 检测端口扫描的改进方法  22-28
    3.2.1 区分端口扫描包和非端口扫描包的方法  22-23
    3.2.2 解决掉包的方法  23-25
    3.2.3 解决知名端口和漏洞端口的方法  25
    3.2.4 解决分段扫描的方法  25-28
    3.2.5 完善检测类型和优化输出格式  28
  3.3 端口扫描的检测流程  28-30
  3.4 对比实验  30-32
    3.4.1 实验数据  30-31
    3.4.2 实验结果  31
    3.4.3 实验结果的分析  31-32
  3.5 本章小结  32-33
4 OS扫描的分析  33-40
  4.1 扫描OS类型的技术  33-34
    4.1.1 扫描OS类型的传统技术  33
    4.1.2 TCP/IP堆栈特征探测技术  33-34
  4.2 对OS扫描软件的分析  34-39
    4.2.1 OS扫描软件  34-35
    4.2.2 对OS扫描的分析  35-39
  4.3 本章小结  39-40
5 OS扫描的检测  40-48
  5.1 检测OS扫描的难点  40-41
  5.2 检测OS扫描的方法  41-43
    5.2.1 解决掉包的方法  41
    5.2.2 解决系统状态不稳定的方法  41-42
    5.2.3 解决误记录TCP标志包的方法  42
    5.2.4 解决误记录UDP包的方法  42-43
  5.3 OS扫描的检测流程  43-46
  5.4 检测程序anti_os_scan的特点  46
  5.5 检测OS扫描的实验  46-47
  5.6 本章小结  47-48
6 基于端口扫描和OS扫描检测的入侵预警系统BSIPS  48-52
  6.1 BSIPS系统的组件及功能  48-49
  6.2 BSIPS系统组件间的关系  49-50
  6.3 BSIPS系统的事件产生器在网络中的位置  50
  6.4 BSIPS系统的功能  50-51
  6.5 本章小结  51-52
7 论文总结  52-54
  7.1 论文的主要工作  52-53
  7.2 进一步的工作  53-54
致谢  54-55
参考文献  55-57
附录:  57-64
  A. Scandetect的检测结果  57-60
  B. Scanlogd的检测结果  60-62
  C. 常见攻击的特征描述及检测  62-64
  D. 作者在攻读硕士学位期间发表的文章目录  64

相似论文

  1. 网络攻击行为解析与演示,TP393.08
  2. 基于渗透测试的网络安全评估技术研究,TP393.08
  3. 多线程端口扫描软件设计与实现,TP393.08
  4. Internet蠕虫特征分析及抑制对策的研究和实现,TP393.08
  5. 成都烟草信息网络入侵检测系统,TP393.08
  6. 基于主机的信息安全测评技术的研究与软件实现,TP309
  7. 一种基于多线程机制的端口扫描器的设计与实现,TP393.08
  8. 基于网络异常流量的入侵检测系统研究,TP393.08
  9. 基于蜜罐技术的端口扫描检测系统的设计与实现,TP393.08
  10. 基于WINDOWS平台的主机入侵检测系统与防火墙的联动研究,TP393.08
  11. 信息可视化技术在端口扫描检测中的应用研究,TP393.08
  12. 网络安全工具的分析与设计实现,TP393.08
  13. 网络端口扫描技术的研究与实现,TP393.03
  14. 网络安全检测技术研究,TP393.08
  15. 网络攻击与防御仿真平台的设计与实现,TP393.08
  16. 网络攻防模拟环境的设计与实现,TP393.08
  17. 网络攻防平台及路由协议的设计与实现,TP393.08
  18. 基于端口扫描的安全漏洞检测系统的设计与实现,TP393.08
  19. 局域网专署软件远程安装的研究与实现,TP393.1
  20. 嗅探技术的研究与应用开发,TP393.08

中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 计算机的应用 > 计算机网络 > 一般性问题 > 计算机网络安全
© 2012 www.xueweilunwen.com