黑客在实施攻击前必然会收集目标系统的信息，以确定攻击方法和攻击途径，目标的端口状态和OS类型对黑客来说极为重要，它们给黑客提供了攻击的直接途径。因此，检测端口扫描、OS扫描是入侵预警系统、入侵检测系统中一个值得深入研究的课题。 本文分析了目前能收集到的所有端口扫描方法和技术、端口扫描的工作原理，总结归纳了现有检测端口扫描的工具所存在的主要问题，提出了一系列的改进措施和方法：多线程、多接口同时捕获扫描包、扫描包基值终止法、时间端口基值法、对分段包进行组装检测分段扫描等，基于这些方法设计开发了一个实时检测端口扫描的程序。在作者进行的大量对比实验中，本程序的性能大大优于目前最好的端口扫描检测工具scanlogd。 作者还对OS扫描进行了较深入系统地分析，对具有代表性的OS扫描软件nmap的发包、分析回应包的过程以及目前黑客探测OS类型最常用的TCP/IP堆栈特征探测技术进行了详细介绍，指出了检测OS扫描的难点，提出了一系列的解决办法，包括：用时间基值来清除误记录的包、用TCP可选项来区分端口扫描包和OS扫描包、只记录一次OS扫描、重复信息只记录一个、多线程、用libpcap来捕获扫描包等，并以此为基础，设计开发了一个实时检测OS扫描的程序。实验表明，作者所提出的方法是正确可行的，该检测程序检测到了多台主机同时对它的OS扫描。 基于上述工作，以及在综合了其它入侵检测系统、入侵预警系统基础上，文中提出并设计了一个基于端口扫描和OS扫描检测的入侵预警系统BSIPS，该系统能实时检测黑客对本机的端口扫描、OS扫描、以及对本机的常见攻击。 最后，对论文所作的工作进行了总结，并指出了进一步的研究工作。