基于流量统计特征的端口扫描检测算法
对于端口扫描行为,多数的入侵检测系统根据单位时间内所访问的主机数和端口数是否超过所设定的域值来判断,这种方法无法检测慢速的端口扫描行为。本文根据网络流量的统计特征提出一种慢速端口扫描行为检测算法,以主机数和端口数的比值及被访问主机端口集合之间的相似度为基础,采用非参数累积和CUSUM算法及小波变换方法对流量统计特征进行分析,进而判断是否存在端口扫描行为。实验结果表明,本文所提取的网络流量特征及算法可以有效地检测异常行为,该方法和Snort相比较具有低的漏报率和误报率。
流量分析 端口扫描 小波变换 CUSUM算法 入侵检测系
王平辉 秦涛 郑庆华 管晓宏 蔡忠闽
西安交通大学机械制造系统工程国家重点实验室,西安,710049;西安交通大学智能网络与网络安全教育部重点实验室,西安,710049
国内会议
青岛
中文
48-54
2007-07-18(万方平台首次上网日期,不代表论文的发表时间)