随着互联网的快速普及与迅猛发展,各种网络服务漏洞也随之产生,网络安全问题面临前所未有的挑战。在互联网体系结构下最基本的客户端/服务器(C/S)模式中,服务器在开放环境中对所有来自客户端的请求进行响应,这使得入侵成为可能,而扫描是入侵行为的基础。因此,对互联网扫描行为的研究有利于掌握互联网上攻击的趋势,识别严重攻击的前兆,从而加强对网络攻击的预防。此外,互联网上还存在着许多的网络空间搜索引擎等正规扫描机构,对扫描流量进行分析时需要考虑到来自这些机构的非恶意扫描流量。本文的研究工作面向互联网上扫描行为的检测和分析展开。论文首先讨论了扫描的原理和定义,并根据扫描使用技术和扫描目标范围两个方面对扫描进行分类。论文将研究定位在TCP水平扫描上,因为这是当前最为普遍存在的扫描行为。在技术路线方面,选择实测数据作为研究对象,具体来源于网络边界的IBR流量和服务器主机,基于IBR流量、IP流记录以及主机实测流量这三种分析数据源进行扫描检测方法的研究。在基于IBR流量的扫描检测方面,论文首先完成了一个在CERNET南京主节点网络边界上实时获取IBR流量的系统NINET_IBR。论文随后根据IBR流量的特征给出了从IBR流量中过滤扫描流量的规则,并在此基础上提出了一种基于IBR流量的扫描检测算法,它基于NJNET_IBR系统提供的IBR流量实现对TCP水平扫描行为的检测。论文对获取的IBR流量扫描进行了面向日扫描流量占比、日水平扫描流量占比、端口日水平扫描流量和端口日水平扫描主机数这四个测度的统计分析,结果表明TCP扫描流量是IBR流量的重要组成部分,且互联网上的扫描广泛采用TCP水平扫描的方式。在IBR流量扫描分析方面,论文提出了一种基于白名单过滤非恶意扫描流量的方法,用其成功地获取了ShadowServer机构的若干台扫描主机地址。基于这些地址建立的白名单,从IBR中获取了该机构的水平扫描流量,并对其进行了统计分析。基于IBR流量的热门扫描端口分析,论文实现对一个以流记录为分析数据源的扫描检测系统的改进,改进包括动态调整检测端口等方面。实测结果表明改进后的系统可以支持动态地检测当前热门端口上的扫描行为。在基于主机实测流量的扫描检测方面。根据服务器流量中TCP SYN扫描与正常的TCP交互的TCP状态变迁过程的不同,设计有限状态自动机来分析每个TCP连接状态的变迁过程,并做出扫描判定。基于这个思路设计了一个扫描检测算法,可以从服务器接收的报文数中筛选出TCP SYN扫描流量,并对扫描后续行为进行跟踪与分析。