基于Dempster-Shafer证据理论的端口扫描检测方法

被引：10

作者：

赖海光 ^{[1
]}

许峰 ^{[2
]}

黄皓 ^{[1
]}

谢俊元 ^{[1
]}

机构：

[1] 南京大学计算机软件新技术国家重点实验室

[2] 南京航空航天大学信息科学与技术学院

来源：

电子学报 | 2006年 / 11期

关键词：

扫描检测; 入侵检测; Dempster-Shafer证据理论; 数据融合;

D O I：

暂无

中图分类号：

TP393.08 [];

学科分类号：

摘要：

端口扫描是通过对目标系统端口试探性的访问来判断端口是否开放的行为.它往往是攻击者入侵行为的第一步.端口扫描检测是入侵监测系统不可缺少的一部分,而当前端口扫描的检测方法不多,并且准确性不高.为提高扫描检测的准确性,本文使用Dempster-Shafer证据理论对两种扫描检测方法产生的数据进行融合:一种是基于端口分布特征的扫描检测方法,该方法简单且具有较高的检测率;另一种是基于序列假设测试的扫描检测方法,该方法充分利用了端口扫描的本质特征.实验结果表明,同单独使用基于端口分布特征或序列假设测试的方法相比,这种基于Dempster-Shafer证据理论的扫描检测方法对端口扫描的检测准确得多.

引用

页码：1946 / 1950

页数：5