互联网扫描行为研究
发布时间:2020-12-26 10:19
随着互联网的快速普及与迅猛发展,各种网络服务漏洞也随之产生,网络安全问题面临前所未有的挑战。在互联网体系结构下最基本的客户端/服务器(C/S)模式中,服务器在开放环境中对所有来自客户端的请求进行响应,这使得入侵成为可能,而扫描是入侵行为的基础。因此,对互联网扫描行为的研究有利于掌握互联网上攻击的趋势,识别严重攻击的前兆,从而加强对网络攻击的预防。此外,互联网上还存在着许多的网络空间搜索引擎等正规扫描机构,对扫描流量进行分析时需要考虑到来自这些机构的非恶意扫描流量。本文的研究工作面向互联网上扫描行为的检测和分析展开。论文首先讨论了扫描的原理和定义,并根据扫描使用技术和扫描目标范围两个方面对扫描进行分类。论文将研究定位在TCP水平扫描上,因为这是当前最为普遍存在的扫描行为。在技术路线方面,选择实测数据作为研究对象,具体来源于网络边界的IBR流量和服务器主机,基于IBR流量、IP流记录以及主机实测流量这三种分析数据源进行扫描检测方法的研究。在基于IBR流量的扫描检测方面,论文首先完成了一个在CERNET南京主节点网络边界上实时获取IBR流量的系统NINET_IBR。论文随后根据IBR流量的特...
【文章来源】:东南大学江苏省 211工程院校 985工程院校 教育部直属院校
【文章页数】:75 页
【学位级别】:硕士
【部分图文】:
NJNET_IBR系统网络环境图
东南大学硕士学位论文平扫描流量量过多,文中无法一一给出,所以该测度我们选择了445年 5 月 10 日到 5 月 16 日 445 端口的 TCP 水平扫描流量2017 年 5 月 10 日至 5 月 13 日,系统检测到的 445 端口 5 月 14 日至 5 月 16 日端口水平扫描流量大幅下降。分 年 5 月 12 日爆发了著名的 Wannacry 勒索病毒[10],该病取漏洞主机信息并传播,在勒索病毒被遏制后,其造成低。这个实例说明了通过对端口水平扫描流量的统计,分析,进而及时地检测出互联网上新出现漏洞的协议。
东南大学硕士学位论文描特定的端口,该组织尝试发现互联网上开放了这些端口且具有漏洞的主机,并将相关的信息通报给主机所属的网络运营商。ShadowServer 的官网[45]上对所属的扫描项目都进行了介绍,它们主要是根据 US-CERT 的报告以及其他可能隐含安全漏洞的协议更新扫描的目标端口集合,这些端口也会被公布在官网中,图 4-1 是 ShadowServer 的扫描研究项目在官网中公布的扫描目标端口和对应的服务协议,截止到 2018 年 5 月 1 日,ShadowServer 组织共公布了 23 个 TCP扫描目标端口,它们分别是{23, 80, 137, 138, 139, 443, 445, 1900, 2323, 3389, 4786, 5900,6379, 7547, 9200, 11211, 27017, 27018, 27019, 28017, 30005, 50070, 50075},其中{4786,30005, 50070, 50075}为 2017 年 9 月后新增的扫描目标端口。对比上一章中 IBR 扫描流量检测结果(表 3-4 和表 3-5),这 23 个端口中的{23, 80, 445, 2323, 3389, 7547}端口是目前活跃的热门端口。ShadowServer 没有公布其扫描主机地址,但它的所有扫描主机同时也是 Web 服务器,可以直接通过其扫描主机的 IP 地址访问到图 4-2 所示的 Web 页面,这也是其扫描正规的体现之一。
【参考文献】:
期刊论文
[1]第41次《中国互联网络发展状况统计报告》发布[J]. 中国广播. 2018(03)
[2]Wannacry勒索病毒全球蔓延[J]. 叶纯青. 金融科技时代. 2017(06)
[3]运行网络背景辐射的获取与分析[J]. 缪丽华,丁伟,杨望. 软件学报. 2015(03)
[4]OpenSSL Heartbleed漏洞攻击原理及防范方法研究[J]. 安思华,易平,王春新,李朝峰. 通信技术. 2014(07)
[5]NetStream——精细化网络流量分析之利器[J]. 现代电信科技. 2006(07)
[6]端口扫描与反扫描技术研究[J]. 张登银,许芳颂. 南京邮电学院学报. 2005(06)
[7]网络安全扫描技术研究[J]. 洪宏,张玉清,胡予濮,戴祖锋. 计算机工程. 2004(10)
博士论文
[1]互联网背景辐射流量的测量与研究[D]. 缪丽华.东南大学 2015
硕士论文
[1]基于流记录的扫描和反射攻击行为主机检测[D]. 李刚.东南大学 2016
[2]互联网背景辐射流量的获取与统计分析[D]. 杨扬.东南大学 2016
本文编号:2939510
【文章来源】:东南大学江苏省 211工程院校 985工程院校 教育部直属院校
【文章页数】:75 页
【学位级别】:硕士
【部分图文】:
NJNET_IBR系统网络环境图
东南大学硕士学位论文平扫描流量量过多,文中无法一一给出,所以该测度我们选择了445年 5 月 10 日到 5 月 16 日 445 端口的 TCP 水平扫描流量2017 年 5 月 10 日至 5 月 13 日,系统检测到的 445 端口 5 月 14 日至 5 月 16 日端口水平扫描流量大幅下降。分 年 5 月 12 日爆发了著名的 Wannacry 勒索病毒[10],该病取漏洞主机信息并传播,在勒索病毒被遏制后,其造成低。这个实例说明了通过对端口水平扫描流量的统计,分析,进而及时地检测出互联网上新出现漏洞的协议。
东南大学硕士学位论文描特定的端口,该组织尝试发现互联网上开放了这些端口且具有漏洞的主机,并将相关的信息通报给主机所属的网络运营商。ShadowServer 的官网[45]上对所属的扫描项目都进行了介绍,它们主要是根据 US-CERT 的报告以及其他可能隐含安全漏洞的协议更新扫描的目标端口集合,这些端口也会被公布在官网中,图 4-1 是 ShadowServer 的扫描研究项目在官网中公布的扫描目标端口和对应的服务协议,截止到 2018 年 5 月 1 日,ShadowServer 组织共公布了 23 个 TCP扫描目标端口,它们分别是{23, 80, 137, 138, 139, 443, 445, 1900, 2323, 3389, 4786, 5900,6379, 7547, 9200, 11211, 27017, 27018, 27019, 28017, 30005, 50070, 50075},其中{4786,30005, 50070, 50075}为 2017 年 9 月后新增的扫描目标端口。对比上一章中 IBR 扫描流量检测结果(表 3-4 和表 3-5),这 23 个端口中的{23, 80, 445, 2323, 3389, 7547}端口是目前活跃的热门端口。ShadowServer 没有公布其扫描主机地址,但它的所有扫描主机同时也是 Web 服务器,可以直接通过其扫描主机的 IP 地址访问到图 4-2 所示的 Web 页面,这也是其扫描正规的体现之一。
【参考文献】:
期刊论文
[1]第41次《中国互联网络发展状况统计报告》发布[J]. 中国广播. 2018(03)
[2]Wannacry勒索病毒全球蔓延[J]. 叶纯青. 金融科技时代. 2017(06)
[3]运行网络背景辐射的获取与分析[J]. 缪丽华,丁伟,杨望. 软件学报. 2015(03)
[4]OpenSSL Heartbleed漏洞攻击原理及防范方法研究[J]. 安思华,易平,王春新,李朝峰. 通信技术. 2014(07)
[5]NetStream——精细化网络流量分析之利器[J]. 现代电信科技. 2006(07)
[6]端口扫描与反扫描技术研究[J]. 张登银,许芳颂. 南京邮电学院学报. 2005(06)
[7]网络安全扫描技术研究[J]. 洪宏,张玉清,胡予濮,戴祖锋. 计算机工程. 2004(10)
博士论文
[1]互联网背景辐射流量的测量与研究[D]. 缪丽华.东南大学 2015
硕士论文
[1]基于流记录的扫描和反射攻击行为主机检测[D]. 李刚.东南大学 2016
[2]互联网背景辐射流量的获取与统计分析[D]. 杨扬.东南大学 2016
本文编号:2939510
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/2939510.html
