攻击行为记录在中。它的检测原理是如果在短时间内有超过个以上的端口收到信息包不管类型如何,那么这事件就被当成端口扫描记录下来。是基于主机的网络入侵检测系统的个组成部分，主要用来检测外部对主机的端口扫描，它能够对多种扫描方法进行检测。它的检测原理是对没有开放服务的端口的访问有可能是次扫描。通过监测没有开放服务的端口，在最近次连接里由同个源发起的连接超过次则判断为次扫描。以上几种扫描检测方法对端口扫描所采用的检测技术都比较简单，且存在以下缺点无法检测慢速扫描,因为在检测中时间窗是个固定值,只要扫描速度低于这个阈值,攻击者就可以成功地逃避检测。当设定的时间阈值大到定程度时,需要从相当长时间的网络连接记录中找出扫描行为,系统资源消耗较大,无法适应宽带网络尤其是高速网络环境从理论上讲,黑客总能够以略大于系统设定阈值的时间间隔进行端口扫描未考虑到受保护网段的特点,对网段内所有主机都采用相同的检测策略,效率不高而且容易导致误报。慢速端口扫描检测技术概述慢速端口扫描是在普通端口扫描技术上进化而来的，可以说是黑客技术提高的体现。通常普通端口扫描的扫描者对被扫描者发送探测性数据包都是快速的，被扫描者在进行捕包判断上就会显得比较容易，而慢速扫描与普通扫描样，都是对，即扫描者和被扫描者都只有个，但是其对目标主机发送探测性数据包的时间间隔上就变化很大，可以在分钟发送个探测性数据包后分钟再继续发送探测性数据包，也或者在发送个探测性数据包后时间就递增，产生个时间上的变化，总之给检测端口扫描带来了极大的困难，这就需要用新的规则，新的技术来进行端口检测。在目前的慢速扫描检测技术中，模糊技术是应用的比较好的能检测出慢速端口扫描的新型技术。端口扫描的分布式检测概述在当前端口扫描技术中，比较难以检测的是分布式扫描，针对分布式扫描，不能采取对普通扫描及慢速扫描的检测方法。如下图所示，分布扫描是指扫描者通过控制其他多台计算机对目标主机进行数据包探测，这样，被扫描者所捕获的数据包就是来自于不同的，但是实际扫描者通过所控制的计算机对应答数据包的分析依然能够判断出目标主机的端口开放情况，被扫描者虽然所捕获到的探测性数据包其是正确的，但是受到了欺骗，并没有判断出真正的扫描者，在这种情况下通常的检测方法对分布式扫描是无效的。当然，在分布式扫描的基础上加以慢速扫描，则是更加难以检测的扫描技术。图分布式扫描技术在当前的分布式扫描检测技术中，最常用的是在进行端口扫描检测时，将系统分成两个部分第部分是传感器，它的功能是判断个包的异常程度，赋给包个异常值。如果个包有异常，则从网络数据中过滤出来，进行下步的处理如果个包没有异常，则简单地丢弃。第二部分是分析器，它对异常包进行汇集分类分析。首先将异常包根据其不同特性分成不同的类，然后再对不同的类计算个类的异常值总和。如果个类的异常值总和超过了阈值，则判断为扫描。在分布式端口扫描检测系统中，传感器分布在个大网的各个子网内，采集网络上的各种有关扫描异常数据而分类器是个汇总的分析器，通过汇总分析网络内各个子网的数据，可以更好地分析网络上出现的扫描情况。分布式检测方法具有很多优点首先，它能够实现分布式扫描的检测。因为分布式扫描其扫描包具有定的异常性，所以这些包可以被第步的检测从网络数据中过滤出来。在第二步进行分类分析的时候，由于这些分布式扫描的包具有个共同的特性，即扫描对象是同个主机或同个端口，因此它们可以被聚集到个类里，从而被检测为扫描。其次，这种方法也能够检测慢速的扫描。由于网络上巨大的通信量，所以在以前的检测方法里检测时间窗必须很小，否则会消耗掉太多的内存和时间而瘫痪。而采用很小的时间窗,防止消耗掉过多的内存和时间。由于本文提出的方法与时间窗无关,所以在不降低系统整体性能的前提下，在慢速扫描发送探测性数据包时间间隔上不超出所设计程序所能记录数据包的最大上限的情况下仍能很好的检测慢速扫描。程序流程图设计实现重点代码性能测试端口扫描程序性能测试在端口扫描程序设计完成后，用开发出的端口扫描程序作了个性能演示，如下图所示，扫描者通过扫描命令向为的目标主机的端口进行了发送探测性数据包扫描，并根据回应显示目标主机的端口开放情况。图端口扫描效果显示图如图显示，为的目标主机在端口中，开放的端口有。检测端口扫描程序性能测试再用所开发的检测端口扫描程序作了测试，针对攻击者的扫描行为，捕获探测性数据包，并进行分析，当收到同地址而且目的端口不同的数据包有个时，能准确判断出来自扫描者的端口扫描行为。如下图所示，当程序运行并有为的扫描者向本机发起扫描时候，能显示为的扫描者发起了端口扫描行为，能作出判断并显示出相应的信息。图检测端口扫描效果显示图如图显示当本机遭受到扫瞄者扫描时，程序能对扫描者发起的探测性的数据包进行捕获，并记录下来，当有个来自于同，且目的端口不同的时候程序就判定为遭到了来自于所捕获数据包源主机的扫描。这种情况是在只有个扫描者的时候能正确显示出扫描者的信息以及扫描者对本机哪些端口进行了扫描。当程序运行并且有为和的两个扫描者向本机发起扫描时候，能显示为和的扫描者对本机发起了端口扫描行为，并能将探测性数据包显示出来且能作出判断并显示出相应的信息，对用户作出报警，由此可见扫描者的个数并不会影响程序的正常检测，如下图所示图多扫描者进行扫描时检测端口扫描效果显示图如图显示当本机遭受到有两个扫瞄者扫描时，程序能对扫描者发起的探测性的数据包进行捕获，并记录下来，当有个来自于同，且目的端口不同的时候程序就判定为遭到了来自于所捕获数据包源主机的扫描。在这种情况下有两个不同的扫描者对本机进行扫描，程序能分辨出不同的并显示出来遭受到来自两个扫描者的扫描。结论本文首先介绍了各种扫描技术,以及分析入侵者可以逃避检测的各种方法。其后又介绍了现有的各种端口扫描检测工具，并对它们的原理和功能进行了分析。检测端口扫描是防止系统被攻击的个重要手段,是的主要内容。文中分析了端口扫描基本原理,总结了现有检测工具存在的主要问题,对现有检测工具原理进行了阐述。本文所设计的端口扫描程序是基于连接设计端口检测是基于捕获数据包进行统计分析，能较好的解决普通扫描，并在定程度上能检测出慢速扫描，尚未解决分布式扫描，本人水平有限和时间仓促，很多问题考虑不周全甚至可能有。所以请老师多多指正。参考文献美计算机网络北京清华大学出版社,。美网络最高安全技术指南北京机械工业出版社,。美计算机网络管理北京清华大学出版社,。美网络互连技术北京清华大学出版社,。美技术内幕北京清华大学出版社,。美网络入侵检测系统分析与设计北京机械工业出版社,。美详解北京机械工业出版社,。张仕斌网络安全技术北京清华大学出版社,。方法，由于分析器只需分析处理异常包，因此可以取个很大的时间窗，从而检测出慢速的扫描。另外，分布式检测方法具有很好的实时性。由于传感器只需要判断个包的异常程度，而不需要判断是否属于扫描，因此可以实现个很快的异常包过滤器。而传统的检测方法，例如，在接收到个包以后，首先检查包的结构，然后检查现有的扫描列表，相对来说是很费时间的。异常包的检测首先，需要有个准则来确定网络上个包的异常程度。通过分析已有的些检测工具扫描工具以及入侵者用以躲避扫描检测的方法，总结出下面的包是异常的包带有奇怪标志位的包有可能是扫描包没有正确的执行协议握手过程的包有可能是扫描包连接后马上断开，没有具体协议内容的包，有可能是扫描包对没有开放服务的端口的连接包有可能是扫描包。扫描技术在进步，相应的检测技术也在相应提高，现今还出现了种新的检测分布式扫描的方法，其原理是靠统计流量来进行判断，也能很好的检测出分布式扫描。但是由于网络上的流量非常的大，且相当的不固定，要定义定时间内的流量有很大的困难，所以这种检测方法还存在很多缺陷，容易产生误判为端口扫描，也容易放过真正的端口扫描行为。主流的端口扫描工具常用的几种端口扫描检测器有和等。是最早的基于网络的入侵检测系统，它认为所有与大于个其它主机建立连接的主机都是扫描者。这种算法是许多检测系统检测算法的雏形。通过建立网络连接拓扑图来检测端口扫描。它使用节点代表主机，如果主机间存在数据交换，就在相应的节点间连线。次扫描试探就会在扫描者的主机和被扫描者的主机之间建立条连线，通过计算个节点上存在多少连线的方法判断是不是有端口扫描行为。这种方法不能检测秘密扫描，速度相对较慢，具体的端口扫描行为的判断需要人工完成。是基于的个源代码公开的轻量级的入侵检测系统。它的端口检测功能是通过个嵌入程序来完成。的扫描检测器通过计算在时间秒内有个或数据包从个源地址发往不同的目的地址来确定是否有端口扫描行为能查找单个不正常的包。缺点是不能检测分布式扫描慢速扫描，不能处理分片。是基于主机的端口扫描检测器。它指定多个端口进行监听，当这些端口被试图连接或扫描时，能在瞬间捕捉连接或扫描企图它能有效捕捉非连续随机扫描，生成外界扫描动作的详细日志记录，并将发起扫描的主机地址写入的文件中，并重指扫描者路由，把信息流重定向到个不存在的主机。缺点是仅限于对台单机进行端口扫描分析判断规则过于严格，正常的扫描容易被误认为是端口扫描行为。端口扫描的实现扫描程序的设计原理在进行端口扫描的设计与开发中，利用三次握手的原理，建立原始套接字，通过向目标主机的服务端口发送探测性数据包，并记录目标主机的响应情况，最后通过分析响应情况来判断目标主机服务端口是打开还是关闭，进而得知端口的状态。程序流程图如下图所示，所开发的端口扫描流程图图端口扫描流程图检测端口扫描的实现检测程序的