原先依靠于流量统计数据来做反病毒软件的网络安全检查

由于网络环境的恶化和危险增加导致的，单独依靠人工或者单个系统很难做到面面俱到；而攻击方往往只需抓住一个漏洞，就可以攻破系统、突破边界。

端口扫描攻击通常是重大网络攻击的序器。扫描会短时间会发起大量的SYN包端口扫描，有可能会造成以下几种安全设备的告警：

（1）网络防火墙设备

大量并发的syn请求会对防火墙新建会话性能造成较大压力，引起防火墙会话数高报警，但是由于访问目标分散，半连接会话存续时间短，整体流量小，防火墙上不会留下任何日志记录，几乎无法进行定位。

（2）DDOS抗拒绝服务攻击设备

DDOS攻击防护设备通常具备如syn flood等各类攻击检测能力，为减少误报，通常需要安全运营人员持续进行优化调整，通常策略设置方式为针对单个系统或目标服务器IP设置具有一定容忍度的syn flood阈值，如果设置过大可能会出现部分扫描行为不会触发DDOS告警。

（3）其它安全类设备

由于设备自身的防护机制，一般情况下对于较为敏感的安全设备，如果被外部扫描到确实可能会触发相关安全告警，以此来及时发现攻击者扫描行为，收集相关攻击信息。有些攻击者为了避免被发现，通常会将扫描速率降到极低的程度，花费数天的时间慢慢收集信息，以防止被发现，此类扫描行为的特征是扫描仪的流量安全性低、扫描仪会话少、扫描仪行为相对比较隐蔽，难以被专业人员发现。

针对特征一，将一段时间周期内SYN数据报文总数和SYN ACK数据报文总数进行分析，如果发现两者差值出现明显上升，就说明存在端口扫描事件的发生。如果端口扫描事件发生，那么系统会自动检测到该端口，并且将其清除，这样就可以避免出现大量垃圾邮件了。

（编辑：银川站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!