馮錫鋼 闕朝暉 張海

摘要：端口掃描檢測是網(wǎng)絡(luò)安全防御系統(tǒng)的重要組成部分，而分組抽樣在高速主干網(wǎng)絡(luò)中有著廣泛的應(yīng)用。論文分析了分組抽樣給TRW檢測方法造成影響的原因，提出了一種改進(jìn)TRW算法，通過樣本流中的TCP序列號信息改進(jìn)原始流的流大小分布估計，降低了入侵檢測的誤檢率。

關(guān)鍵詞：分組抽樣；端口掃描；入侵檢測

中圖分類號：TP393文獻(xiàn)標(biāo)識碼：A文章編號：1009-3044(2012)26-6206-05

The Influence of Port Scanning from Packet Sample and its Improved Method

FENG Xi-gang1,QUE Chao-hui1, ZHANG Hai2

(1.51th Part of Army 92403,Fuzhou 350007,China;2.Network Center of South Medical Hospital,Guangzhou 510515,China)

Abstract: Port scaning detection is an important part of network security system.Packed sample is largely used in high speed backbone network.Here we analyse the influence of packed sample on the TWR detecting method,then we propose an im? proved method. It reduces the probability of incorrect detecting by the information of TCP sequence which improve distribu? tion estimate of original stream.

Key words: packet sample; port Scanning; detection of invasion

1端口掃描和分組抽樣簡介

端口掃描是一種檢查目標(biāo)系統(tǒng)開放的端口的信息收集技術(shù)。它的基本方法是向目標(biāo)機(jī)器的各個端口發(fā)送連接的請求，根據(jù)返回的響應(yīng)，判斷在目標(biāo)機(jī)器上是否開放了某個端口。端口掃描的直接結(jié)果就是得到目標(biāo)主機(jī)開放和關(guān)閉的端口列表，這些開放的端口往往與一定的服務(wù)相對應(yīng)，通過這些開放的端口，攻擊者就能了解主機(jī)運(yùn)行的服務(wù)，然后進(jìn)一步整理和分析這些服務(wù)可能存在的漏洞，隨后采取針對性的攻擊。

端口掃描是一種常見的網(wǎng)絡(luò)異常行為，它必然會產(chǎn)生異常的流量。能夠觀察到惡意流量并產(chǎn)生警告或阻止行為的系統(tǒng)稱為入侵檢測系統(tǒng)（Intrusion Detection System，簡稱IDS）?；诋惓５腎DS在觀察網(wǎng)絡(luò)流量時，會產(chǎn)生一些流量統(tǒng)計概要數(shù)據(jù)，然后對這些數(shù)據(jù)進(jìn)行分析以尋找異常的分組流?；诋惓５腎DS最大的優(yōu)點(diǎn)就是不依賴于已有的網(wǎng)絡(luò)攻擊知識，但是區(qū)分正常流量和異常流量是一個極具挑戰(zhàn)性的問題。最有名的基于異常的IDS是Bro[1]，也是一個開放源碼的IDS。本文討論的端口掃描檢測算法TRW[2]（Threshold Random Walk的簡稱，最具代表性的端口掃描檢測算法之一）是被Bro系統(tǒng)所采用的。

在高速的主干網(wǎng)絡(luò)上對所有流量的詳細(xì)信息進(jìn)行捕獲，可擴(kuò)展性和可操作性都很差。因此，在路由器和交換機(jī)中廣泛應(yīng)用分組抽樣技術(shù)。抽樣對網(wǎng)絡(luò)測量的影響已經(jīng)廣泛地研究于眾所周知的統(tǒng)計指標(biāo)，例如平均抽樣率和流大小的分布。但是，端口掃描檢測往往依賴于不同的指標(biāo)集，例如地址訪問模式，連接狀態(tài)，和每個源不同的行為。我們將分析分組抽樣如何影響這些流量特征，從分析中可以看到抽樣扭曲或丟失了原始流量中的相關(guān)信息，而這些信息又將影響現(xiàn)有的端口檢測算法的有效性。

綜合以上所述，改進(jìn)后的TRW檢測算法如下：

1)從待檢測網(wǎng)絡(luò)中求出樣本流的流大小分布g=(g1,g2)，g1為樣本流中單包流所占的百分比，而g2=1-g1；2)根據(jù)最大似然估計方法，由式（5-4）求出θ=(θ?1,θ?2)；

如果θ?1>50%，那么待檢測的網(wǎng)絡(luò)中存在端口掃描，否則待檢測的網(wǎng)絡(luò)中不存在端口掃描。

[3] Mai Jianning, Chuah Chen-Nee, Sridharan Ashwin, et al. Is sampled data sufficient for anomaly detection?[A]. Proceedings of the 6th ACM SIGCOMM conference on Internet measurement[C]. Rio de Janeriro: ACM, 2006: 165–176.

[4] Nicolas Hohn, Darryl Veitch. Inverting sampled traffic[C]. Proceedings of the 3rd ACM SIGCOMM conference on Internet mea? surement., New York: ACM, 2003: 222–233.

[5] Mai Jianning, Sridharan Ashwin, Chuah Chen-Nee, et al. Impact of Packet Sampling on Portscan Anomaly Detection[J]. IEEE Journal on Selected Areas of Communications Special Issue on Sampling the Internet, 2006, 24(12): 2285-2298.

[6] Duffield N, Chiou D, Claise B, et al. A Framework for Packet Selection and Reporting[EB/OL].http://www.ietf.org/rfc/rfc5474.txt.