扫描检测平台效用评估
利用网络中未使用IP地址构建扫描检测平台能够有效提高检测准确率,降低虚警率.在扫描检测平台实际构建之前,需要对可控部署地址资源的预计检测效用进行评估,以确定地址资源可达的检测目标以及明确平台构建的必要性.为此,提出一种基于网络分类的扫描检测模型,依据此模型可对扫描检测平台对于随机扫描源和本地优先扫描源的检测效用进行评估,为扫描检测平台部署构建提供理论指导.以法国电信Leurre”com Honeynet Project实际分布式检测平台作为效用评估样例. 评估结果表明该检测平台能够有效检测类似Slammer蠕虫的高速随机扫描源和每秒至少发出2个扫描连接的本地优先扫描源,对低速扫描源检测效用低下.实际数据统计结果与仿真实验验证了评估结果的准确性.
IP地址构 扫描检测平台 模型参数 效用评估
马莉波 张甲 李星
清华大学电子工程系,北京,100084 清华大学计算机系,北京,100084 清华大学电子工程系,北京,100084;清华大学信息网络工程研究中心,北京,100084
国内会议
厦门
中文
79-83
2007-11-05(万方平台首次上网日期,不代表论文的发表时间)