隨著互聯(lián)網(wǎng)的快速普及與迅猛發(fā)展,各種網(wǎng)絡(luò)服務(wù)漏洞也隨之產(chǎn)生,網(wǎng)絡(luò)安全問(wèn)題面臨前所未有的挑戰(zhàn)。在互聯(lián)網(wǎng)體系結(jié)構(gòu)下最基本的客戶端/服務(wù)器(C/S)模式中,服務(wù)器在開放環(huán)境中對(duì)所有來(lái)自客戶端的請(qǐng)求進(jìn)行響應(yīng),這使得入侵成為可能,而掃描是入侵行為的基礎(chǔ)。因此,對(duì)互聯(lián)網(wǎng)掃描行為的研究有利于掌握互聯(lián)網(wǎng)上攻擊的趨勢(shì),識(shí)別嚴(yán)重攻擊的前兆,從而加強(qiáng)對(duì)網(wǎng)絡(luò)攻擊的預(yù)防。此外,互聯(lián)網(wǎng)上還存在著許多的網(wǎng)絡(luò)空間搜索引擎等正規(guī)掃描機(jī)構(gòu),對(duì)掃描流量進(jìn)行分析時(shí)需要考慮到來(lái)自這些機(jī)構(gòu)的非惡意掃描流量。本文的研究工作面向互聯(lián)網(wǎng)上掃描行為的檢測(cè)和分析展開。論文首先討論了掃描的原理和定義,并根據(jù)掃描使用技術(shù)和掃描目標(biāo)范圍兩個(gè)方面對(duì)掃描進(jìn)行分類。論文將研究定位在TCP水平掃描上,因?yàn)檫@是當(dāng)前最為普遍存在的掃描行為。在技術(shù)路線方面,選擇實(shí)測(cè)數(shù)據(jù)作為研究對(duì)象,具體來(lái)源于網(wǎng)絡(luò)邊界的IBR流量和服務(wù)器主機(jī),基于IBR流量、IP流記錄以及主機(jī)實(shí)測(cè)流量這三種分析數(shù)據(jù)源進(jìn)行掃描檢測(cè)方法的研究。在基于IBR流量的掃描檢測(cè)方面,論文首先完成了一個(gè)在CERNET南京主節(jié)點(diǎn)網(wǎng)絡(luò)邊界上實(shí)時(shí)獲取IBR流量的系統(tǒng)NINET_IBR。論文隨后根據(jù)IBR流量的特... 

【文章來(lái)源】：東南大學(xué)江蘇省 211工程院校 985工程院校 教育部直屬院校

【文章頁(yè)數(shù)】：75 頁(yè)

【學(xué)位級(jí)別】：碩士

【部分圖文】：

NJNET_IBR系統(tǒng)網(wǎng)絡(luò)環(huán)境圖

東南大學(xué)碩士學(xué)位論文平掃描流量量過(guò)多，文中無(wú)法一一給出，所以該測(cè)度我們選擇了445年 5 月 10 日到 5 月 16 日 445 端口的 TCP 水平掃描流量2017 年 5 月 10 日至 5 月 13 日，系統(tǒng)檢測(cè)到的 445 端口 5 月 14 日至 5 月 16 日端口水平掃描流量大幅下降。分 年 5 月 12 日爆發(fā)了著名的 Wannacry 勒索病毒[10]，該病取漏洞主機(jī)信息并傳播，在勒索病毒被遏制后，其造成低。這個(gè)實(shí)例說(shuō)明了通過(guò)對(duì)端口水平掃描流量的統(tǒng)計(jì)，分析，進(jìn)而及時(shí)地檢測(cè)出互聯(lián)網(wǎng)上新出現(xiàn)漏洞的協(xié)議。

東南大學(xué)碩士學(xué)位論文描特定的端口，該組織嘗試發(fā)現(xiàn)互聯(lián)網(wǎng)上開放了這些端口且具有漏洞的主機(jī)，并將相關(guān)的信息通報(bào)給主機(jī)所屬的網(wǎng)絡(luò)運(yùn)營(yíng)商。ShadowServer 的官網(wǎng)[45]上對(duì)所屬的掃描項(xiàng)目都進(jìn)行了介紹，它們主要是根據(jù) US-CERT 的報(bào)告以及其他可能隱含安全漏洞的協(xié)議更新掃描的目標(biāo)端口集合，這些端口也會(huì)被公布在官網(wǎng)中，圖 4-1 是 ShadowServer 的掃描研究項(xiàng)目在官網(wǎng)中公布的掃描目標(biāo)端口和對(duì)應(yīng)的服務(wù)協(xié)議，截止到 2018 年 5 月 1 日，ShadowServer 組織共公布了 23 個(gè) TCP掃描目標(biāo)端口，它們分別是{23, 80, 137, 138, 139, 443, 445, 1900, 2323, 3389, 4786, 5900,6379, 7547, 9200, 11211, 27017, 27018, 27019, 28017, 30005, 50070, 50075}，其中{4786,30005, 50070, 50075}為 2017 年 9 月后新增的掃描目標(biāo)端口。對(duì)比上一章中 IBR 掃描流量檢測(cè)結(jié)果（表 3-4 和表 3-5），這 23 個(gè)端口中的{23, 80, 445, 2323, 3389, 7547}端口是目前活躍的熱門端口。ShadowServer 沒(méi)有公布其掃描主機(jī)地址，但它的所有掃描主機(jī)同時(shí)也是 Web 服務(wù)器，可以直接通過(guò)其掃描主機(jī)的 IP 地址訪問(wèn)到圖 4-2 所示的 Web 頁(yè)面，這也是其掃描正規(guī)的體現(xiàn)之一。

【參考文獻(xiàn)】：
期刊論文
[1]第41次《中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》發(fā)布[J].   中國(guó)廣播. 2018(03)
[2]Wannacry勒索病毒全球蔓延[J]. 葉純青.  金融科技時(shí)代. 2017(06)
[3]運(yùn)行網(wǎng)絡(luò)背景輻射的獲取與分析[J]. 繆麗華,丁偉,楊望.  軟件學(xué)報(bào). 2015(03)
[4]OpenSSL Heartbleed漏洞攻擊原理及防范方法研究[J]. 安思華,易平,王春新,李朝峰.  通信技術(shù). 2014(07)
[5]NetStream——精細(xì)化網(wǎng)絡(luò)流量分析之利器[J].   現(xiàn)代電信科技. 2006(07)
[6]端口掃描與反掃描技術(shù)研究[J]. 張登銀,許芳頌.  南京郵電學(xué)院學(xué)報(bào). 2005(06)
[7]網(wǎng)絡(luò)安全掃描技術(shù)研究[J]. 洪宏,張玉清,胡予濮,戴祖鋒.  計(jì)算機(jī)工程. 2004(10)

博士論文
[1]互聯(lián)網(wǎng)背景輻射流量的測(cè)量與研究[D]. 繆麗華.東南大學(xué) 2015

碩士論文
[1]基于流記錄的掃描和反射攻擊行為主機(jī)檢測(cè)[D]. 李剛.東南大學(xué) 2016
[2]互聯(lián)網(wǎng)背景輻射流量的獲取與統(tǒng)計(jì)分析[D]. 楊揚(yáng).東南大學(xué) 2016



本文編號(hào)：2939510