随着信息技术的快速发展,信息的安全问题面临前所未有的挑战,互联网安全受到人们越来越多的重视。在纷繁复杂的网络入侵行为中,端口扫描往往是攻击者行动的第一步,攻击者向目标网络或主机的端口发起试探性访问,为进一步的攻击行为收集情报。因此,检测网络中的端口扫描行为对于保护目标网络或主机的安全具有重要作用,不仅可以发现潜在的危险和攻击者,为受保护系统提供预警,同时在蜜罐系统、电子取证等多个领域也存在合理的用途。传统的端口扫描检测系统多是基于简单的时间窗阈值机制,然而随着扫描技术的发展,这种检测机制很容易被有经验的攻击者逃避。研究者们开始从更为精准的规则设定、概率统计、流量异常分析、甚至视觉等方向提出新的检测算法,然后并没有某一种检测算法能够适用于所有的实际环境同时提供较好的检测性能。本文通过对基于序列假设(TRW)的检测算法的研究,在原算法的基础上提出一种改进的方案,同时又结合了检测系统的实际应用环境,利用Dempster-Shafer证据理论将改进后的基于序列假设的检测算法和基于端口分布特征的检测算法的结果进行数据融合,作为应用在实际系统中的端口扫描检测模型。以提高在实际网络环境中针对端口扫描的检测成功率,同时将误报率控制在合理的范围内。为了验证算法,文中选用了两个测试数据集进行实验,将原始的基于序列假设(TRW)的检测算法、改进后的基于序列假设的检测算法和经过数据融合之后的检测算法进行了比较,从而验证了本文算法的正确性和有效性。