（计算机应用技术专业论文）信息可视化技术在端口扫描检测中的应用研究.pdf

摘要 网络安全信息可视化是近年来国外研究的一个热点领域。与传统分析日志数 据方法不同，可视化技术带来研究方法的变革。它不仅能有效处理海量数据信息， 而且通过对图形图像模式的分析能帮助网络管理人员快速识别潜在的攻击和异 常事件，甚至发现新的攻击类型和对安全事件做出预测。 论文从网络安全的难题之一端口扫描检测入手，重点研究了信息可视化技术 在网络安全事件识别中的应用。首先，从使用数据源、安全应用领域多个角度总 结了国外网络安全信息可视化的发展现状和取得成就，分析了现有多个著名安全 可视化工具的优缺点，指出该学科目前研究中面临的问题。接着，针对现有研究 方法集中在寻求新颖显示方式上，提出结合网络安全事件特征有针对性地对网络 数据进行可视化，并将这种研究思路应用于安全可视化工具设计当中。最后，通 过总结分析已有端口扫描技术和检测方法特征，设计与开发了可视化端口扫描检 测系统s c a n v i e w e r ，实验表明利用该系统能有效检测到慢速扫描、分布式扫描 和各类t c p 隐蔽扫描。 综上所述，本论文针对安全可视化领域研究方法单一的问题，提出了一种新 的研究思路，实现了一个可视化端口扫描检测系统s c a n v i e w e r ，该系统很容易 检测到常见各类扫描事件，具有较强的实用功能。 关键词：网络安全，信息可视化，端口扫描，端口扫描检测 a bs t r a c t n e t w o r ks e c u r i t yv i s u a l i z a t i o nh a sb e e nah o tr e s e a r c h a r e ai nr e c e n ty e a r s c o m p a r e dt ot h et r a d i t i o n a lm e t h o d so fa n a l y z i n gl o gd a t a ，v i s u a l i z a t i o nt e c h n o l o g y c a l lc h a n g et h er e s e a r c hm e t h o dg r e a t l y i tc a nn o to n l yd e a lw i t hm a s s i v ed a t a ，b u t a l s oh e l pn e t w o r ka d m i n i s t r a t o r sd e t e c ta n o m a l ye v e n t sb ya n a l y z i n gt h ep a t t e r n ，e v e n d i s c o v e rn e wa t t a c kt y p ea n df o r e c a s tt h et r e n do fe v e n t s a i m i n ga tt h ep o r ts c a nd e t e c t i o np r o b l e mi ns e c u r i t ya r e a ，t h i sp a p e rs t u d i e sh o w i n f o r m a t i o nv i s u a l i z a t i o nt e c h n o l o g yc a nh e l pa n a l y s t sd i s c o v e rs e c u r i t ye v e n t s f i r s t l y , t h ef o r e i g nr e s e a r c hs t a t u sa n da c h i e v e m e n t si nt h i sa r e aa r es u m m a r i z e df r o m d i f f e r e n tp e r s p e c t i v e ，t h e nm a n yf a m o u ss e c u r i t yv i s u a l i z a t i o nt o o l s a d v a n t a g ea n d d i s a d v a n t a g e a r ea n a l y z e di nd e t a i la n dt h ep r o b l e m sw h i c hs h o u l db es o l v e da r e p o i n t e do u t s e c o n d l y ，c o n s i d e r i n go f m o s tr e s e a r c hm e t h o d su s e da r ec o n c e n t r a t i n g o nh o wt of i n dn o v e lv i s u a ls t r u c t u r e s ，v i s u a l i z i n gn e t w o r kd a t ac o m b i n i n gw i t ht h e n e t w o r ke v e n tc h a r a c t e r i s t i c si sp r o p o s e d ，a n dt h en e wr e s e a r c hi d e ai su s e dt og u i d e t h ed e s i g no fo u rs e c u r i t yv i s u a l i z a t i o nt 0 0 1 f i n a l l y , a f t e ra n a l y z i n gp o r ts c a nm e t h o d s a n dd e t e c t i o nt e c h n o l o g i e su s e dn o w , av i s u a lp o r ts c a nd e t e c t i o ns y s t e mc a l l e d s c a n v i e w e ri sd e s i g n e da n di m p l e m e n t e d ，a n dt h ee x p e r i m e n t ss h o wt h a tt h es y s t e m c a nd e t e c ts l o ws c a n ，d i s t r i b u t e dp o r ts c a na n dm a n yk i n d so ft c ps t e a l s c a n e f f e c t i v e l y a b o v ea l l ，i nv i e wo ft h es i n g l er e s e a r c hm e t h o du s e di ns e c u r i t yv i s u a l i z a t i o n ，a n e wm e t h o di sp r o p o s e d ，t h e nav i s u a lp o r ts c a nd e t e c t i o ns y s t e mi sd e v e l o p e d ，a n d t h es y s t e mc a l ld e t e c tm a n yk i n d so fp o r ts c a ne v e n t se a s i l ya n dh a sh i 曲p r a c t i c a l f u n c t i o n k e yw o r d s ：n e t w o r ks e c u r i t y , i n f o r m a t i o nv i s u a l i z a t i o n ，p o r ts c a n ，p o r ts c a n d e t e c t i o n 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作和取得的 研究成果，除了文中特别加以标注和致谢之处外，论文中不包含其他人已经发表 或撰写过的研究成果，也不包含为获得苤鲞盘堂或其他教育机构的学位或证 书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中 作了明确的说明并表示了谢意。 学位论文作者签名：同t 厂 签字日期： 如7 年芗月步日 学位论文版权使用授权书 本学位论文作者完全了解苤盗盘堂有关保留、使用学位论文的规定。 特授权苤鲞盘鲎可以将学位论文的全部或部分内容编入有关数据库进行检 索，并采用影印、缩印或扫描等复制手段保存、汇编以供查阅和借阅。同意学校 向国家有关部门或机构送交论文的复印件和磁盘。 ( 保密的学位论文在解密后适用本授权说明) 学位论文作者签名： 固宁 签字日期：知可年岁月声日 新虢例叶 签字日期：细年z 月互日 第一章绪论 1 1 网络安全现状 第一章绪论 随着网络的普及，互联网上的各种应用得到了飞速发展，政府信息化办公、 电子商务、网上交易等业务已经逐渐融入我们的日常生活之中，而这些都对网络 安全提出了更高的要求。另一方面，网络入侵给全球经济造成的损失也在逐年迅 速增长，网络入侵无论在数量、手段还是性质、规模方面都已经到了令人乍舌的 地步。据统计，全球平均每2 0 秒就发生一次网络入侵事件，然而目前不论政府、 企业还是个人都只能仅仅依靠一些网络安全产品对这些入侵进行防范和抵御。 现有的网络安全产品主要集中在杀毒软件、防火墙和入侵检测系统三大领 域，而这三大类安全解决方案都存在着各自的不足。杀毒软件无法防范网络攻击； 防火墙只能进行静态防御，而且对于来自网络内部的攻击无能为力；相比之下入 侵检测系统作为一种主动地安全防护技术，对于来自内外部的攻击以及一些误操 作都能提供实时地保护，它是一种随着当前网络状态变化而动态响应的安全防御 手段，因而成为这些年网络安全研究领域的一个热点，但目前的各种入侵检测系 统存在着误报率较高、对攻击不能主动做出响应以及配置和维护困难等诸多问 题。除了这些各自的不足之外，网络安全产品能否发挥最大威力，还往往取决于 网络分析人员的经验，分析工具等这些外部的因素。 网络分析人员在使用上述安全产品时，一般是通过监视和分析相应的网络曰 志信息，找出可疑的事件做进一步诊断，最后对确定的异常和攻击做出回应。但 是随着网络数据量的急剧增大，攻击类型和复杂度的提升，这种传统的分析方式 已经不再显得有效，目前网络分析人员在分析日志信息时主要面临下面一些困 难： 认知负担过重。以入侵检测系统为例，部属于乔治亚州技术学院的i d s 传感器平均每天要产生5 0 0 0 0 个报警，通过传统分析日志信息的方式分析人员在 一天有限的时间内很难对这些报警都逐一做出详尽的分析和判断。 交互性不够。当发现可疑事件时，现有的分析方式不能够提供相关数据 过滤、事件细节显示等功能以帮助分析人员做出进一步有效的判断。 缺乏对网络全局信息的认识。分析人员看到的往往都是单一的数据记 录，缺乏对网络整体信息的了解，这使得他们很难识别出一些复杂的、协作式的 第一章绪论 和周期慢长的网络异常事件。 不能提前防御、预测攻击。通过日志分析的方式很难发现一些新的攻击 模式，也很难对攻击的趋势做出预测或者提前进行防范。 正是基于上述问题，许多研究人员正寻求新的方法用于帮助安全分析人员更 快速有效地识别网络中的攻击和异常事件。将信息可视化技术引入网络安全领域 正是这样一个尝试，并且目前已经取得了很多成果。 1 2 信息可视化简介 因特网的飞速发展使得可用信息变得越来越多，我们正处于一个信息爆炸式 增长的时代中。面对繁杂的信息，人们往往不知所措。为了从信息中获取有用的 知识，人们希望有一种办法能够快速了解信息之间的关系和信息中隐藏的特征。 人们常说，一幅好的图画所能表达的东西胜过十万个文字的描述，通过将数据以 图形图像的方式表现出来，便可以利用天生的视觉功能处理所有这些信息。可视 化( 也称数据可视化) 是一种计算和处理的方法，它将抽象的符号表示成具体的 几何关系，使研究者能亲眼看见他们所模拟和计算的结果，使用户看见原本不能 看见的东西。可视化技术不仅能使人们更容易感知信息，一次感知更多信息， 还可以马上看出表明趋势的数据模式、识别数据差异、发现数据的异常值或错误、 准确找到最小值和最大值以及识别聚类。因而，数据可视化应用帮助人们更好地 理解复杂系统、提高决策能力，以及发掘原本可能不知道的信息。可视化技术为 各领域提供了强有力的现代化研究、分析、理解、显示工具，使各科学研究工作 面貌发生了根本性的变化。 数据可视化( d a t av i s u a l i z a t i o n ) 包括科学计算可视化( s c i e n t i f i c v i s u a l i z a t i o n ) 和信息可视化( i n f o r m a t i o nv i s u a l i z a t i o n ) 。其中科学计算可 视化是指运用计算机图形学和图像处理技术，将科学计算、工程计算及测量过程 产生的数据转化为图形或图像，在屏幕上显示出来并进行交互处理的理论、方法 和技术豫】【羽。而信息可视化是用可交互的视觉表达方式来表现抽象的，非物理的 数据从而增强对数据本质的认识h 1 。“信息可视化”这个概念最早是由 g r o b e r t s o n ，s c a r d 与j m a c k i n l a y 在1 9 8 9 年发表的论文t h ec o g n i t i v e c o - p r o c e s s o rf o ri n t e r a c t i v eu s e ri n t e r f a c e s 中首次提出，之后在国外得 到迅猛发展，目前已成为与科学计算可视化并列的研究领域。 信息可视化涉及到人类认知学、人机交互、计算机图形学、图像技术、数据 挖掘、模式识别等多学科的理论和方法，是一个新兴的研究领域，j i mf o l e y 将 其列为了未来计算机图形学“十大尚未解决的关键问题”之一强1 。信息可视化不 2 第一章绪论 仅用图像来显示多维的非空间数据，使用户加深对数据含义的理解，而且用形象 直观的图像来指引检索过程，加快检索速度。在科学计算可视化中，显示的对象 涉及标量、矢量和张量等不同类别的空间数据，研究的重点放在如何真实、快速 地显示三维数据场；而在信息可视化中，显示的对象主要是多维的标量数据。目 前的研究重点在于，设计和选择什么样的显示方式，才能便于用户了解庞大的多 维数据和它们相互之间的关系。 信息可视化的目标就是帮助人们增强认知能力。x e r o xp a l oa l t o 研究中心 学者c a r d 等人提出了可视化可以增强认知的六种主要方式：通过扩大用户可用 的存储量和可处理的资源量；通过减少对信息的搜索；通过使用可视化表示提高 对模式的发掘：通过调动感知推理操作；通过把感知注意用于监控；通过把信息 编码为可操作的媒介。 目前国内的信息可视化研究尚处于起步阶段，研究的领域主要涉及到医学、 采矿、地质、文献、地理等学科。 1 3 网络安全信息可视化研究现状 网络安全可视化( n e t w o r ks e c u r i t yv i s u a l i z a t i o n ) 口3 是信息可视化中的 一个新型研究领域，它利用人类视觉对模型和结构的获取能力，将抽象的网络和 系统数据以图形图像的方式展现出来，帮助分析人员分析网络状况，识别网络异 常、入侵，预测网络安全事件发展趋势n 。它不仅能有效解决传统分析方法在处 理海量信息时面临的认知负担过重、缺乏对网络安全全局的认识、交互性不强、 不能对网络安全事件提前预测和防御等一系列问题，而且通过在人与数据之间实 现图像通信，使人们能观察到网络安全数据中隐含的模式，为揭示规律和发现潜 在的安全威胁提供有力的支持。将可视化技术引入网络安全领域是对现有研究分 析方法的重大变革。 不同于科学计算可视化，网络安全可视化要处理的往往是高维、无结构化的 多变量数据，同时这些数据具有规模大、非数值型等特点；在数据的关联关系上 面临着关系隐式化、时间依赖性强、类型多等困难；在绘制方面也没有统一的显 示模型。国外在该领域的研究从2 0 0 4 年开始变得热门起来，下面是该领域发表 论文情况副，0 5 年和0 6 年在0 4 年的基础上有稳步增长。 3 第一章绪论 图卜l 安全可视化领域逐年论文发表数量 早在1 9 9 5 年r i c h a rab e c k e r 就提出对网络数据( 网络流量状况) 而非其拓 扑结构进行信息可视化的概念”。之后l g i r a r d i n 和rfe r b a c h e r 又分别研究 了防火墙日志”2 、i d s 报警信息的可视化“”1 随着网络安全技术尤其是网络监控、 杀毒软件、防火墙和入侵检测系统的不断发展，对信息可视化的需求也越来越追 切，从2 0 0 4 年开始，学术界和工业界每年召开一次网络安全可视化国际会议 ( v i s u m i z a t i o nf o rc o m p u t e rs e c u r i t y v i z s e c ) ，这标志着网络安全信息可 视化真正得到大家重视。 网络安全信息可视化技术已经取得了初步成果，首先，在显示方式和绘制方 法方面，提出了利用散点图( s c a t t e r p l o t ) 4 “、颜色映射( c o l o rm a p ) ”“、 图元( g l y p h s ) 、平行轴坐标( p a r a 1 e 1c o o r d i n a e ) “”。8 、自组织映射 ( s e l f - o r g a n i z i n gm a p s ) 。”“”等方式进行网络和系统监控、异常检测、入侵发 现、模式的分析及报警。其中散点囤非常适用于大规模网络异构数据的显示，但 容易导致由于点、线重叠带来的关键信息丢失；颜色映射主要用于显示i p 和端口， 易于检测出异常和入侵及其模式，但不适合大规模网络安全信息的显示和报警： 图元方法结合了散点图和颜色映射的优点，但在将多个属性变量映射成可视图元 时缺乏规范和标准，导致绘制结果差异很大：平行轴坐标在表现数据信息的相似 性和差异性方面具有优势，但在显示大规模数据时需要其它方法的辅助；自组织 映射可方便数据分类，利于分析，但其绘制过程缺少充分的理论指导。 其次，随着网络规模的扩大，网络安全分析中需要显示的信息量也越来越大。 针对大规模网络安全信息可视化的实时绘制、全局和局部信息( c o n t e x t + f o c u s ) 并发显示问题，s i f t ( s e c u r i t yi n c l d e n tf u s i o nt o o ls ) 的n v i s i o n l p ”将网 络数据通过分层方式予咀显示，可以在一个b 级网络内检测出蠕虫、端口扫描和 拒绝服务攻击等，但不具备数据的实时显示和自动报警功能。h i d e k ik o i k e 通过 采用i pm a t r i x l 和i pm a t r i x3 d 方式可以表示大规模范围内的主机信息，但却 存在空间利用率低、交互性不够的缺陷。而且现有方法都未考虑如何提高网络节 第一章绪论 点布局的灵活性，方便动态调整网络布局，并没有利用图形加速单元( g p u ) 的 硬件加速特性来提高绘制算法速度，不能很好满足大规模网络数据的实时显示要 求。 同时，在网络安全信息可视化的人机交互方面，s n o r t v i e w 瞳3 1 可以实时地对 s n o r t 报警进行分等级显示，但针对报警得响应阶段却没有相应的交互方式。i p m a t r i x 月。m 够显示大规模主机信息，但却没有提供用于显示局部细节信息的交互方 式。现有方法在交互性方面的缺陷，导致无法很好地显示网络全局信息，不能按 照攻击类型和网络异常进行分类监控并对潜在威胁进行有效预测n 幻。同时，也没 有很好地解决网络安全信息可视化所面临的数据导航( n a v i g a t i o n ) 、超空间迷 失( l o s ti nh y p e r s p a c e ) 问题。如何设计高效安全事件分析和诊断交互技术， 包括新型的视图放缩、聚焦、关联数据显示、数据过滤、选择和回放、文档记录、 视图保存、历史数据比较、与防火墙进行联动响应等是摆在网络安全专家和信息 可视化专家面前的一个难题。 将可视化技术引入网络安全领域的一个最重要的优势是可以从图像图形空 间中发现网络安全事件的模式和规律，从而可实现对其提前预测和防御。但现有 的网络安全可视化方法都未考虑网络安全事件的图形图像模式和规律。更为重要 的是，当前网络安全的信息可视化技术缺少数据模型，现有的绘制方法在数据源 的选取、可选显示属性上缺乏统一的数据和数据关联模型，从而导致基于数据和 数据关系的各种绘制方法具有很强的主观性，普遍缺乏理论指导，这也使得现有 方法可信度不强，难于进行有效验证和评估。 最后，目前研究者将关注焦点过多集中在寻求新颖的表现方式和新的安全应 用领域上，而没有深入分析网络安全事件的特征，然后有针对性地对数据进行可 视化。这不仅加重了分析人员的认知负担，而且使得开发的安全可视化工具实用 性不够。 现在国外已经启动的安全可视化项目主要有s i f t 乜妇他引、n e t w o r ke y e 、 i d s w a t c h 、g a - i d s 等，也设计出了一些简单的软件原型系统如n i v a 、s n o r t s n a r f 、 p o r t v i s 、s n o r t v i e w 、n v i s i o n i p 、v i s f l o w c o n n e c t 、i d g r a p h 、v i s u a l f i r e w a l l 等n 州1 9 m 儿卿瞳6 儿2 7 1 。国内在网络安全的理论和工程实践都取得了很大进展，但是 在网络安全信息可视化关键技术研究方面依然是空白。 本论文从网路安全事件中出现频率很高的端口扫描入手，重点研究如何利用 信息可视化技术检测识别端口扫描以及跟端口密切相关的其它安全事件。 第一章绪论 1 4 全文组织结构 全文共分六章，第一章介绍了课题的研究背景、国外网络安全信息可视化研 究现状、取得成果和面临的问题。 第二章解释了端口扫描原理，分析总结了现有的端口扫描技术、检测方法以 及跟端口密切相关的其它安全事件。 第三章结合信息可视化流水线，详细说明可视化端口扫描检测系统应该采用 的数据源、选取的可视化结构和具备的交互功能，最后分析了国外现有主要安全 可视化工具的优缺点。 第四章阐述了可视化端口扫描检测系统s c a n v i e w e r 的设计与实现。 第五章通过实验证明s c a n v i e w e r 能检测到慢速扫描、分布式扫描、t c p 隐 蔽扫描等安全事件。 第六章是对全文总结和未来展望。 第二章端口扫描原理、技术、检测方法综述 第二章端口扫描原理、技术、检测方法综述 黑客在实施网络攻击或者入侵之前先要进行信息收集，通过对目标主机或者 网络进行扫描可以确定目标主机系统是否在活动，确定哪些服务在运行，检测目 标操作系统类型以及试图发现目标系统的漏洞，从而利于黑客有目的地实施攻 击。在众多扫描技术中，针对端口的扫描是最常见的一种。 2 1 端口扫描原理 t c p i p 协议允许不同厂家生产的不同型号的计算机，运行完全不同的操作 系统彼此之间进行互通信。支持t c p i p 协议的主机和设备，都是以开放端口来 提供服务的，端口可以说是系统对外的一个窗口。这里的端口是一个逻辑概念， 它是计算机中的应用程序进行通信的一个正整数标识，并不是硬件设备中的i o 端口。端口是与服务相对应的，一个同时提供w e b 、f t p 、s m t p 的服务器，客户 之所以能区分访问不同的服务，就是因为服务器上不同服务对应的端口号不同。 根据协议不同，端口分t c p 和u d p 两种，可用范围都是0 6 5 5 3 5 ( 1 6 位的正整 数) 。一般地，o 1 0 2 3 是被i e t f 保留的，通常分派给r f c 中指定的各种协议使用。 例如：h t t p 协议的端口号是8 0 ，f t p 协议的端口号是2 1 ，s m t p 协议的端口号是 2 5 。而1 0 2 4 1 6 5 5 3 5 则可以自由使用。客户端通常对它所使用的端口号并不关心， 只需保证该端口号在本机上是唯一的就可以了。客户端口号又称为临时端口号。 这是因为它通常只是在用户运行该客户程序时才存在，而服务器则只要其主机开 启其服务就运行瑚，。 端口扫描就是检测目标主机哪些端口处于开发状态，正是利用这些信息黑客 可以更有针对性地实施攻击。目前针对t c p 端口的扫描较为普遍，在采用t c p 协议 进行通信时，客户机器和服务器首先要建立一个连接，这个连接的建立分三步完 成嬉9 1 ，具体过程如下所示。 7 第二章端口扫描原理、技术、检测方法综述 报文段1 报文段3 图2 1t c p 的三次连接过程 报文段2 1 ) 请求端( 通常称为客户) 发送一个s y n 段指明客户打算连接的服务器的 端口，以及初始序号( i s n ，在这个例子中为1 4 1 5 5 3 1 5 2 1 ) 。这个s y n 段为报文 段1 。 2 ) 服务器发回包含服务器的初始序号的s y n 报文段( 报文段2 ) 作为应答。 同时，将确认序号设置为客户的i s n 加1 以对客户的s y n 报文段进行确认。一个 s y n 将占用一个序号。 3 ) 客户必须将确认序号设置为服务器的i s n 加1 以对服务器的s y n 报文段 进行确认( 报文段3 ) 。 通过这三个报文段完成整个连接的建立，这个过程也称为三次握手 ( t h r e e - w a yh a n d s h a k e ) 。一个最简单的端口扫描程序就是通过依次尝试连接目 标主机的各个端口，如果连接成功，则表明端口开放，如果连接失败，则表明端 口关闭。除了这种方法之外，现有的很多端口扫描技术还都通过发送自己构建填 充的t c p 数据包来达到端口扫描的目的，下面是t c p 数据包头部信息格式1 。 一3 2 b i t 5 一 s o u r c ep o r td h n t a o np o r t s e q u e n c en u m b e r a c k n o 、 抽l d 9 m e mn l j r n b e r t c p uadrsf h e a d e r 只 css yiw l n d o w i z i e n g i h gkhtnn c h e c k s u m u r g e n tp o i n w r ：c ) p l i o n s ( 0o rt l l l o r o3 2 - b i tw o r d s )： ：data(optional) = 图2 2t c p 数据包头部格式 第二章端口扫描原理、技术、检测方法综述 在上面t c p 数据包头部信息中有6 个标志位非常关键，很多针对t c p 端口的 扫描技术都与这些标志位有关，这6 个标志位含义分别如下： s y n ：用来建立连接，让连接双方同步序列号。如果s y n = 1 而a c k = o ，则表 示该数据包为连接请求，如果s y n = i 而a c k = i 则表示接受连接。 f i n ：表示发送端已经没有数据要求传输了，希望释放连接。 r s t ：用来复位一个连接。r s t 标志置位的数据包称为复位包。一般情况下， 如果t c p 收到的一个分段明显不是属于该主机上的任何一个连接，则向远端发送 一个复位包。 u r g ：为紧急数据标志。如果它为1 ，表示本数据包中包含紧急数据。此时 紧急数据指针有效。 a c k ：为确认标志位。如果为1 ，表示包中的确认号时有效的。否则，包中 的确认号无效。 p s h ：如果置位，接收端应尽快把数据传送给应用层。 另一方面，r f c7 9 3 还对如下情况规定了特殊处理： 当一个s y n 或者f i n 数据包到达一个关闭的端口，t c p 丢弃数据包同时 发送一个r s t 数据包 当一个r s t 数据包到达一个监听或者关闭的端口，r s t 被丢弃 当一个包含a c k 的数据包到达一个监听端口时，数据包被丢弃，同时发 送一个r s t 数据包 当一个s y n 位关闭的数据包到达一个监听端口时，正常的三阶段握手继 续，回答一个s y n i a c k 数据包 当一个f i n 数据包到达一个监听端口时，数据包被丢弃 很多高级的端口扫描技术正是利用t c p i p 协议的这些规范，通过自己构建 填充t c p 数据包，对数据包中的标志位进行不同的设置来达到扫描的目的。 2 2 端口扫描分类 根据扫描方式不同，端口扫描可以分为水平扫描、垂直扫描和混和扫描。其 中水平扫描指扫描特定主机的一系列端口；垂直扫描指扫描一系列主机的某一特 定端口；混和扫描则是这两者的结合。根据技术实现原理和应用策略，又可以分 为全连接扫描、半开扫描、秘密扫描和其它扫描技术。下面是这四类端口扫描方 法的实现原理说明捌。 1 ) 全连接扫描 全t c p 连接是长期以来t c p 端口扫描的基础。扫描主机尝试( 使用三次握手) 9 第二章端口扫描原理、技术、检测方法综述 与目的主机指定端口建立正规的连接。连接由系统调用c o n n e c t ( ) 开始。对于每 一个监听端口，c o n n e c t 0 会获得成功，否则返回一l ，表示端口不可访问。由于 通常情况下，这不需要什么特权，所以几乎所有的用户( 包括多用户环境下) 都 可以通过c o n n e c t 来实现这个技术。不过这种扫描方法很容易检测出来，而且在 日志文件中会有大量密集的连接和错误记录。 2 ) 半开扫描 半开扫描也叫t c ps y n 扫描，在这种技术中，扫描主机向目标主机的选择端 口发送s y n 数据段。如果应答是r s t ，那么说明端口是关闭的，按照设定就探听 其它端口；如果应答中包含s y n 和a c k ，说明目标端口处于监听状态。由于所有 的扫描主机都需要知道这个信息，传送一个r s t 给目标机从而停止建立连接。由 于在s y n 扫描时，全连接尚未建立，所以这种技术通常被称为半打开扫描。s y n 扫描的优点在于即使日志中对扫描有所记录，但是尝试进行连接的记录也要比全 扫描少得多。缺点是在大部分操作系统下，发送主机需要构造适用于这种扫描的 i p 包，通常情况下，构造s y n 数据包需要超级用户或者授权用户访问专门的系 统调用。 s y n + a c k 扫描是另一种与s y n 扫描相似的技术，它直接从t c p 连接的第二步 开始，到一个打开的端口则没有响应，到一个关闭的端口则返回r e t 。 3 ) 秘密扫描 这种技术不包含标准的t c p 三次握手协议的任何部分，所以无法被记录下 来，从而比s y n 扫描隐蔽得多。具体来说又包括f i n 扫描、a c k 扫描、n u l l 扫描 以及x m a s 扫描。 f i n 扫描是指设置f i n 标志位为1 ，当一个f i n 数据包到达一个关闭的端口， 数据包会被丢掉，并且会返回一个r s t 数据包。否则，当一个f i n 数据包到达一 个打开的端口，数据包只是简单的丢掉( 不返回r s t ) 。 a c k 扫描是指设置a c k 标志位为1 ，通过查看返回数据包的t t l 值和t c p w i n d o w 的大小可以检测端口的开放情况。开放端口所返回数据包的t t l 值一般 小于6 4 ，而关闭端口的返回值一般大于6 4 。开放端口所返回数据包的w i n 值一 般大于0 ，而关闭端口的返回值一般小于0 。 n u l l 扫描将6 个标志位全部置位0 ，当这样数据包到达一个关闭端口时，返 回r s t 信息，当到达一个开放端口时，没有返回信息。 x i d a s 扫描和n u l l 扫描很相似，不过它是将6 个标志位都置位1 。当这样数 据包到达一个关闭端口时，返回r s t 信息，当到达一个开放端口时，没有返回信 息。 秘密扫描通常适用于u n i x 目标主机，除过少量的应当丢弃数据包却发送 第二章端口扫描原理、技术、检测方法综述 r e s e t 信号的操作系统( 包括c i s c o ，b s d i ，h p u x ，m 、，s 和i r i x ) 。在w i n d o w s 9 5 n t 环境下，该方法无效，因为不论目标端口是否打开，操作系统都发送r s t 。在技 术实现上，半开扫描和秘密扫描都是通过利用原始套接字填充特定的t c p 数据包 来实现。 4 ) 其它扫描技术 除了上述扫描技术之外，还有间接扫描、f t p 代理扫描，以及针对u d p 端口 的扫描技术。在扫描过程中，扫描实施者通过采用一些扫描策略，比如降低扫描 的速度、随机化扫描的次序、伪造源地址、实施分布式扫描，都可以大大提高端 口扫描检测的难度。目前常用的端口扫描工具有：s u p e r s c a n 、s c a n r a n d 、n m a p 、 n e s s u s 、s t r o b e 、流光等。本文实验主要模拟了全连接扫描、半开扫描以及隐蔽 扫描，使用的扫描器是n m a p ，通过收集不同类型的扫描数据包进行分析处理。 2 3 端口扫描检测方法 虽然针对入侵检测系统的研究已经有十几年，但是关于端口扫描的检测至今 还没有非常高效的方法，很多知名的检测系统依然在用一些简单的检测方法，使 得黑客可以很容易通过人为设置就绕过这些检测。目前有很多工具像n s m 、s n o r t 、 g r i d s 、w a t c h e r 、s c a n l o g d 、p o r t s e n t r y 等都能在不同程度上检测出端口扫描 事件，下面是关于它们检测原理的简单描述。 1 ) n s m ( t h en e t w o r ks e c u r i t ym o n i t o r ) 这是第一个网络入侵检测系统( n i d s ) ，也是第一个检测扫描的网络入侵检 测系统。它的端口扫描检测定义为：如发现任意一个i p 地址在一个时间段内与 另外1 5 个的i p 地址进行连接，则认为是扫描行为。这个规则至今仍被许多系统 使用。 2 ) s n o r t s n o r t 是一个非常有名的开源入侵检测系统。它的端口扫描定义为在时间t ( 秒) 之内向超过p 个端口进行t c p 连接尝试，或者在时间t ( 秒) 之内向超过 p 个端口发送u d p 数据包。端口扫描可以是对任一i p 地址的多个端口，也可以 是对多个i p 地址的同一端口进行。目前版本可以处理一对一和一对多方式的端 口扫描，后续版本将可以处理分布式的端口扫描( 多对一或多对多) 。端口扫描 也包括单一的秘密扫描数据包，比如n u l l ，f i n ，s y n f i n ，x m a s 等。如果包括秘 密扫描的话，端口扫描模块会对每一个扫描数据包告警。如果使用外部记录特性， 可以在记录文件中看到端口扫描的技术和类型。该模块的参数如下： n e t w o r kt om o n i t o r 一监视端口扫描的目标网络以n e t w o r k c i d r 表。 第二章端裔扫描原理、技术、检测方法综述 n u m b e ro fp o r t s一在探测期间访问的端口数目。 d e t e c t i o np e r i o d一以秒计数的端口访问时间限制。 l o g d i r f i l e n a m e 一告警信息存放的目录文件名，告警也可以写入标准 的告警文件中。 铡懿：p o r t s c a n ：1 9 2 。1 6 8 。王。0 2 457 v a r t o g p o r t s c a n 1 0 9 表示摇果在 ? 秒内对指定网络1 9 2 1 6 8 。1 。0 2 4 超过5 个不同的瑞口进行连接，就会产生一 次端口扫描报警，并将报警信息写入p o r t s c a n 1 0 9 文件中。 如果用户的服务器( 比如n t p ，n f s 和d n s 服务器) 会妨碍端翻扫描的探测， 可以通知p o r t s c a n 模块忽略源自这些主机的t c ps y n 和u d p 端口扫描。该模块 的参数为i p s c i d r 的列表。 例如：p o r t s c a n i g n o r e h o s t s ：1 9 2 。1 6 8 。圭。5 3 21 9 2 1 6 8 3 。0 2 4 3 ) 鼢王醛 基于图形的入侵检测系统( g r i d s ) ，是被设计用来检测各种快速、自动的恶 意行为，包括端口扫描。这是第一个尝试在大范围内使用分层处理系统来进行端 口检测。g r i d s 通过建立节点之间的连接图表来代表网络中的主机间的互连，节 点表示主机，每条边表示节点闻的一个连接。这样，从连接的边的情况就可以看 出是否有来自图一个地址的端墨扫描行为。在实际应用中，这条规奚| l 常有时闯条 件的限制，所以只能检测那些相当快速地扫描行力。g r i d s 设计很复杂，其分层 处理引擎允许对相当大的范围的网络进行图表显示，这使得系统可以发现一些较 少的随机扫描。g r i d s 不能处理异常的数据包，所以在检测隐密扫描受到很大的 限制。另外，其原型实现使用了p e r l ，相对较慢，不能适应现在的大型高速网络。 4 ) w a t c h e r w a t c h e r 是一个比较完整的基于网络的入侵检测系统的设计代码。它检测所 有通过的信息包，并且将它认为是恶意的攻击行为记录在s y s l o g 中。它检测端口 扫描的原理是：如果在短时间内有超过7 个以上的端口收到信息包( 不管类型如 何) ，那么这一事件就被当成端口扫描记录下来。 5 ) s c a n l o g d s c a n l o g d 是一个专门用于检澳j t c p 端嚣扫描的工具。它的检测原理是在3 秒钟 之内，如果侦测到7 个不同的特权端嚣( 2 0 2 1 1 3 1 2 2 5 5 1 3 7 ：u d p ， l e n g t h5 0 1 5 ：4 0 ：1 2 3 0 4 7 8 0i p2 2 1 2 2 9 1 6 1 1 i 0 8 8 2 5 2 0 2 1 1 3 1 2 2 1 8 0 ：p 1 ：3 4 4 ( 3 4 3 ) a c k lw i n6 5 5 3 5 1 6 第三章信息可视化流水线在端口扫描检测中的应用分析 t c p 数据包各属性含义 u d p 数据包各属性含义 1 5 ：4 0 ：1 2 3 0 4 7 8 0时间1 5 ：4 0 ：1 2 3 0 4 7 8 0时间 i p 网络层协议类型 i p 网络层协议类型 2 2 1 2 2 9 1 6 1 1 1 0源i p2 0 2 1 1 3 1 2 2 0 源i p 8 8 2 5源端口号1 3 7 源端口号 数据流向 数据流向 2 0 2 1 1 3 1 2 2 1 目的i p2 0 2 1 1 3 1 2 2 5 5目的i p 8 0 目的端口 1 3 7 目的端口 pt c p 标志位u d p 传输层协议类型 1 ：3 4 4 ( 3 4 3 )顺序号( 数据包大 l e n g t h5 0 数据包大小 小) a c k1 确认号 w i n6 5 5 3 5 滑动窗口大小 与t c p d u m p 抓取的最原始数据包不同，n e t f l o w 是对数据更高层的描述。 n e t f l o w 最早来源于c i s a o 路由器为了高效查询而缓存的数据流信息。一个 n e t f l o w 流定义为在一个源i p 地址和目的i p 地址间单项传输的数据包流，且所 有数据包具有共同的传输层源、目的端口号。n e t f l o w 的数据格式有多种，比如 a r g u sn e t f l o wf o r m a t 、n c s au n i f i e df o r m a t ，其中后者是美国国家超级计算 应用中心( n c s a ) 为了方便管理和控制c i s c ov 5 和v 7n e t f l o w s 而自定制的一 种数据格式。美国s i f t 项目研究组开发的多个安全可视化工具使用的数据源就 采用这两种格式。下面是这两种n e t f l o w 格式的样例数据： 2 0a u g0 30 0 ：0 0 ：3 42 0a u g0 30 0 ：0 0 ：4 5t c p2 0 2 2 0 2 1 1 1 7 2 8 07 1 3 0 1 2 6 1 4 3 1 8 4 7 1 4 01 1 621 5 8 2 1 69 1 0e 】0 7 4 0 5 9 4 0 7 】0 7 4 0 5 9 4 1 02 3 7 4 9 0 4 9 0 24 3 2 12 3 7 4 8 9 4 0 8 24 5 0 7 45 7 2 43 46 表3 - 2a r g u s 和n c s a 两种n e t f l o w 数据格式说明 a r g u sn e t f lo wf o r m a t n c s au n if i e df o r m a t 2 0 a u 9 0 3 0 0 ：0 0 ：3 4开始时间 10 7 4 0 5 9 4 0 7开始时间 2 0 a u 9 0 3 0 0 ：0 0 ：4 5 结束时间1 0 7 4 0 5 9 4 1 0结束时间 t c p 协议类型2 3 7 4 9 0 4 9 0 2源i p 2 0 2 2 0 2 1 1 1 7 2 8 0 源i p 和源端口号 4 3 2 1 源端口 1 7 第三章信息可视化流水线在端口扫描检测中的应用分析 续表3 - 2 1 3 0 1 2 6 1 4 3 1 8 4 7 1 4 0目的i p 和目的端口2 3 7 4 8 9 4 0 8 2 目的i p 号 1 1 6 源到目的数据包数 4 5 0 7 4