伴随着网络带宽的快速增长和越来越多的行业引入互联网技术,各种恶意网络攻击技术也日益提高,互联网信息安全问题也变得越来越重要。为了不被新型网络攻击干扰,主动了解攻击者,改变当前网络安全系统的被动防御缺点是极其重要的。通过端口扫描来获得目标主机的信息是网络入侵的关键一步,端口扫描是网络攻击的第一步,因此对端口扫描的检测在网络安全中显得非常重要。蜜罐是一种安全资源,其存在的价值就是被攻击或损害。在网络安全领域蜜罐的这种性质能够吸引攻击者或把攻击者从真正的目标转移到蜜罐。利用蜜罐的诱惑性,在蜜罐被攻击或损害的过程中获得攻击者的相关信息或攻击工具,为分析攻击者提供基础,也同样为提前发觉新型攻击方法提供了可能性,从一定程度上弥补了当前入侵检测系统的被动防御性缺点。鉴于端口扫描检测的重要性和蜜罐的主动性优点,本文提出了基于蜜罐技术的端口扫描检测观点。在一台独立主机上布置虚拟蜜罐,捕捉访问蜜罐虚拟主机的数据报,对访问者提供蜜罐模拟服务的同时检测端口扫描。为了避免常用阈值法端口扫描检测难以人为设置阈值的弊病,本文在已有的概率统计端口扫描检测技术基础上,利用所捕获数据报的源地址、目的地址和目的端口三个特性,结合扫描者具有访问多个目的主机的某一端口或单个目的主机的多个端口的特征,分别对水平端口扫描和垂直端口扫描设计检测算法。该方法首先具有一定的适时性,另外,由于蜜罐的诱惑性还可以得到广泛的数据来源。