49、端口扫描攻击下异常检测器的比较评估

端口扫描攻击下异常检测器的比较评估

在网络安全领域，端口扫描攻击是常见的安全威胁之一。为了有效检测此类攻击，不同的异常检测算法应运而生。本文将详细介绍相关的端点数据集、异常检测算法及其性能评估。

1. 端点数据集

• 背景流量信息 ：选取了四个端点，包括家庭和大学类型，统计了不同端点的持续时间、总会话数和平均会话率。具体信息如下表所示：
  | 端点 ID | 端点类型 | 持续时间（月） | 总会话数 | 平均会话率（/秒） |
  | ---- | ---- | ---- | ---- | ---- |
  | 3 | 家庭 | 3 | 373,009 | 1.92 |
  | 4 | 家庭 | 2 | 444,345 | 5.28 |
  | 6 | 大学 | 9 | 60,979 | 0.19 |
  | 10 | 大学 | 13 | 152,048 | 0.21 |

从数据中可以看出，家庭计算机的流量速率明显高于大学计算机，这是因为家庭计算机通常由多个用户共享，并且运行着点对点和多媒体应用程序。

• 攻击流量生成 ：为了模拟攻击流量，使用了多种恶意软件感染端点上的虚拟机，包括 Zotob.G、Forbot - FU、Sdbot - AFR 等。这些恶意软件具有不同的扫描速率和攻击端口。例如，Dloader - NY 的扫描速率最高，为 46.84 次/秒，而 MyDoom - A 的扫描速率最低，为 0.14 次/秒。具体信息如下表：
  | 恶意软件 | 发布日期 | 平均扫描速率（/秒） | 使用