CN104519068A - 一种基于操作系统指纹跳变的移动目标防护方法 - Google Patents
一种基于操作系统指纹跳变的移动目标防护方法 Download PDFInfo
- Publication number
- CN104519068A CN104519068A CN201410823806.0A CN201410823806A CN104519068A CN 104519068 A CN104519068 A CN 104519068A CN 201410823806 A CN201410823806 A CN 201410823806A CN 104519068 A CN104519068 A CN 104519068A
- Authority
- CN
- China
- Prior art keywords
- operating system
- saltus step
- scanning
- module
- fingerprint
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Lock And Its Accessories (AREA)
Abstract
一种基于操作系统指纹跳变的移动目标防护方法,该方法针对攻击者使用的扫描工具进行防范,利用这些扫描工具的操作系统特征库进行有针对性的指纹跳变,实现对攻击扫描行为的识别和指纹特征伪装,使得攻击者无法正取获取要攻击操作系统的具体信息,进而无法进行下一步攻击行为,从而实现网络防护。本发明从提高操作系统本身的复杂性出发,针对攻击者扫描技术进行有针对性的跳变,通过在出口网络上部署该技术手段可使得外部攻击者无法获取网络内部的信息系统的具体信息,这样用户原有的信息系统无须改变,避免了改造成本,同时攻击者无法正确获取网络内部的操作系统信息,也就无法正确采用合适的攻击方法,进而提高了信息系统的防护能力。
Description
技术领域
本发明属于网络安全领域,具体涉及一种基于操作系统指纹跳变的移动目标防护方法。
背景技术
当前以防火墙、入侵检测等技术为核心的网络防护体系在防范网络攻击上越来越受限,攻防双方处于严重的不对称状态:攻击者有充足的时间研究要攻击的信息系统并发现漏洞实现攻击,而防护者即使找到了漏洞的99%并进行了防护,如果攻击者采用的漏洞不在发现漏洞范围内,攻击也不能有效避免,因此这种静态的防护思想与动态的攻击行为相比具有天生的弱势,为此,学界提出了移动目标防御(moving target defense,MTD)技术,该技术不追求完全安全的信息系统,而是通过不断变换信息系统资源(网络、操作系统、应用系统)来提高攻击者的研究时间和攻击难度,进而减少攻击的发生。
目前通过对国内外文期刊、会议文献进行检索,已有的操作系统MTD实现主要是基于虚拟机轮换。该技术方案是基于虚拟机轮换的操作系统防护,主要利用虚拟技术将要保护的应用系统安装在不同的操作系统上,采用“一主多备”的运行方式,即某个时刻只有一个虚拟机处于服务状态,其他虚拟机处于离线状态,所有离线虚拟机利用快照技术快速回退到初始状态,消除虚拟机被攻击者攻陷后带来的问题。由于该方案采用不同的操作系统轮转,因此即使某时刻虚拟机被攻破,但是在下一个轮换发生后这种攻击行为将不在有效,从而提高了信息系统的复杂程度,使得攻击者的分析时间大大增加,攻击门槛大大提高。
该技术的主要缺点:
虽然该技术能够提高信息系统的抗攻击能力,但是存在以下几个方面的问题:
1、该方案需要应用系统能够运行在不同操作系统的虚拟机上,也就是说使用该技术需要对现有的信息系统进行改造,使其既能运行在不同操作系统上,也要迁移到虚拟机上,这就使得该方案改造成本高、实施复杂。
2、该方案并没有解决操作系统本身安全性问题,由于操作系统都存在漏洞因此攻击行为攻破系统的概率是非常高的,一旦虚拟机轮转时间较长,攻击者仍然有足够时间完成攻击破坏,因此该方案防护能力有限。
发明内容
本发明的目的在于提供一种基于操作系统指纹跳变的移动目标防护方法,其针对攻击者扫描技术进行有针对性的跳变,通过在出口网络上部署该技术手段可使得外部攻击者无法获取网络内部的信息系统的具体信息,这样用户原有的信息系统无须改变,避免了改造成本,同时攻击者无法正确获取网络内部的操作系统信息,也就无法正确采用合适的攻击方法,进而提高了信息系统的防护能力。
本发明的技术解决方案是:
一种基于操作系统指纹跳变的移动目标防护方法,其特殊之处在于:该方法针对攻击者常用的扫描工具进行防范,利用这些扫描工具的操作系统特征库进行有针对性的指纹跳变,实现对攻击扫描行为的识别和指纹特征伪装,使得攻击者无法正取获取要攻击操作系统的具体信息,进而无法进行下一步攻击行为,实现网络防护。
上述基于操作系统指纹跳变的移动目标防护方法,其特殊之处在于:该方法采用内外网隔离方式,对网络内部的终端进行保护,包括依次连接的网络接口、数据包截获模块、行为分析模块、操作系统特征跳变模块以及回应数据包篡改模块,与行为分析模块连接的扫描工具特征库,与操作系统特征跳变模块连接的操作系统特征库,以及对行为分析模块和操作系统特征跳变模块进行信息记录的扫描信息记录表。
上述基于操作系统指纹跳变的移动目标防护方法,其特殊之处在于,该方法具体包括以下步骤:
1)数据包截获模块M1截取外网或内网网络接口上进入的数据包,将数据包发送给行为分析模块M2进行识别;
2)行为分析模块M2将数据包的特征与扫描工具特征库D1内的特征进行比对,判别是那种扫描工具,并将扫描者IP地址和端口、被扫描者的IP地址和端口、扫描工具及扫描时间的信息记录到扫描信息记录表D3中;
3)数据包截获模块M1截获内网或外网网络接口上回应的数据包,将数据包发送行为分析模块M2;
4)行为分析模块M2将数据包的特征与扫描信息记录表D3中的扫描信息进行比对,如果发现该数据包是被扫描者的回应数据包,就调用操作系统特征跳变模块M3进行跳变;
5)操作系统特征跳变模块M3根据用户设定的规则,从操作系统特征库D2中选出要跳变的特征,调用回应数据包篡改模块M4对截获的回应数据包进行篡改;
6)回应数据包篡改模块M4根据操作系统特征跳变模块M3发送归来的跳变规则对回应数据包进行修改,并发送出去;
扫描用户就会得到虚假的扫描结果,如果操作系统特征跳变模块M3中的规则随时间进行变化,即可实现指纹跳变。
上述基于操作系统指纹跳变的移动目标防护方法,其特殊之处在于:该方法应用于网络防护设备或网络安全软件。
上述基于操作系统指纹跳变的移动目标防护方法,其特殊之处在于:该方法能将一个操作系统伪装成多个操作系统。
上述攻击者常用的扫描工具是指Nmap、xprobe及Xscan等攻击的操作系统扫描工具。
本发明的优点在于:本发明从提高操作系统本身的复杂性出发,针对攻击者扫描技术进行有针对性的跳变,通过在出口网络上部署该技术手段可使得外部攻击者无法获取网络内部的信息系统的具体信息,这样用户原有的信息系统无须改变,避免了改造成本,同时攻击者无法正确获取网络内部的操作系统信息,也就无法正确采用合适的攻击方法,进而提高了信息系统的防护能力。
附图说明
图1为本发明各功能模块功能组成框图;
其中实线代表功能调用关系,虚线代表数据读写关系。
具体实施方式
参见图1,一种基于操作系统指纹跳变的移动目标防护方法,该方法针对攻击者常用的扫描工具进行防范,利用这些扫描工具的操作系统特征库进行有针对性的指纹跳变,实现对攻击扫描行为的识别和指纹特征伪装,使得攻击者无法正取获取要攻击操作系统的具体信息,进而无法进行下一步攻击行为,实现网络防护。
该方法采用内外网隔离方式,对网络内部的终端进行保护,包括依次连接的网络接口、数据包截获模块、行为分析模块、操作系统特征跳变模块以及回应数据包篡改模块,与行为分析模块连接的扫描工具特征库,与操作系统特征跳变模块连接的操作系统特征库,以及对行为分析模块和操作系统特征跳变模块进行信息记录的扫描信息记录表。
该方法具体包括以下步骤:
1)数据包截获模块M1截取外网或内网网络接口上进入的数据包,将数据包发送给行为分析模块M2进行识别;
2)行为分析模块M2将数据包的特征与扫描工具特征库D1内的特征进行比对,判别是那种扫描工具,并将扫描者IP地址和端口、被扫描者的IP地址和端口、扫描工具及扫描时间的信息记录到扫描信息记录表D3中;
3)数据包截获模块M1截获内网或外网网络接口上回应的数据包,将数据包发送行为分析模块M2;
4)行为分析模块M2将数据包的特征与扫描信息记录表D3中的扫描信息进行比对,如果发现该数据包是被扫描者的回应数据包,就调用操作系统特征跳变模块M3进行跳变;
5)操作系统特征跳变模块M3根据用户设定的规则,从操作系统特征库D2中选出要跳变的特征,调用回应数据包篡改模块M4对截获的回应数据包进行篡改;
6)回应数据包篡改模块M4根据操作系统特征跳变模块M3发送归来的跳变规则对回应数据包进行修改,并发送出去;
扫描用户就会得到虚假的扫描结果,如果操作系统特征跳变模块M3中的规则随时间进行变化,即可实现指纹跳变。
该方法可应用于网络防护设备,或应用于编写成软件安装到受保护的操作系统上。
该方法能将一个操作系统伪装成多个操作系统,并可随时间变化。
其中攻击者常用的扫描工具是指Nmap、xprobe及Xscan等操作系统扫描工具。
本发明从提高操作系统本身的复杂性出发,针对攻击者扫描技术进行有针对性的跳变,通过在出口网络上部署该技术手段可使得外部攻击者无法获取网络内部的信息系统的具体信息,这样用户原有的信息系统无须改变,避免了改造成本,同时攻击者无法正确获取网络内部的操作系统信息,也就无法正确采用合适的攻击方法,进而提高了信息系统的防护能力。
Claims (6)
1.一种基于操作系统指纹跳变的移动目标防护方法,其特征在于:该方法针对攻击者常用的扫描工具进行防范,利用这些扫描工具的操作系统特征库进行有针对性的指纹跳变,实现对攻击扫描行为的识别和指纹特征伪装,使得攻击者无法正取获取要攻击操作系统的具体信息,进而无法进行下一步攻击行为,实现网络防护。
2.根据权利要求1所述基于操作系统指纹跳变的移动目标防护方法,其特征在于:该方法采用内外网隔离方式,对网络内部的终端进行保护,包括依次连接的网络接口、数据包截获模块、行为分析模块、操作系统特征跳变模块以及回应数据包篡改模块,与行为分析模块连接的扫描工具特征库,与操作系统特征跳变模块连接的操作系统特征库,以及对行为分析模块和操作系统特征跳变模块进行信息记录的扫描信息记录表。
3.根据权利要求1或2所述基于操作系统指纹跳变的移动目标防护方法,其特征在于,该方法具体包括以下步骤:
1)数据包截获模块(M1)截取外网或内网网络接口上进入的数据包,将数据包发送给行为分析模块(M2)进行识别;
2)行为分析模块(M2)将数据包的特征与扫描工具特征库(D1)内的特征进行比对,判别是那种扫描工具,并将扫描者IP地址和端口、被扫描者的IP地址和端口、扫描工具及扫描时间的信息记录到扫描信息记录表(D3)中;
3)数据包截获模块(M1)截获内网或外网网络接口上回应的数据包,将数据包发送行为分析模块(M2);
4)行为分析模块(M2)将数据包的特征与扫描信息记录表(D3)中的扫描信息进行比对,如果发现该数据包是被扫描者的回应数据包,就调用操作系统特征跳变模块(M3)进行跳变;
5)操作系统特征跳变模块(M3)根据用户设定的规则,从操作系统特征库(D2)中选出要跳变的特征,调用回应数据包篡改模块(M4)对截获的回应数据包进行篡改;
6)回应数据包篡改模块(M4)根据操作系统特征跳变模块(M3)发送归来的跳变规则对回应数据包进行修改,并发送出去;
扫描用户就会得到虚假的扫描结果,如果操作系统特征跳变模块(M3)中的规则随时间进行变化,即可实现指纹跳变。
4.根据权利要求3所述基于操作系统指纹跳变的移动目标防护方法,其特征在于:该方法应用于网络防护设备或网络安全软件。
5.根据权利要求4所述基于操作系统指纹跳变的移动目标防护方法,其特征在于:该方法能将一个操作系统伪装成多个操作系统,并会随时间进行变化。
6.根据权利要求5所述基于操作系统指纹跳变的移动目标防护方法,其特征在于:所述攻击者常用的扫描工具是指Nmap、xprobe及Xscan操作系统扫描工具。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410823806.0A CN104519068A (zh) | 2014-12-26 | 2014-12-26 | 一种基于操作系统指纹跳变的移动目标防护方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410823806.0A CN104519068A (zh) | 2014-12-26 | 2014-12-26 | 一种基于操作系统指纹跳变的移动目标防护方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN104519068A true CN104519068A (zh) | 2015-04-15 |
Family
ID=52793790
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410823806.0A Pending CN104519068A (zh) | 2014-12-26 | 2014-12-26 | 一种基于操作系统指纹跳变的移动目标防护方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN104519068A (zh) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105227540A (zh) * | 2015-05-08 | 2016-01-06 | 中国科学院信息工程研究所 | 一种事件触发式的mtd防护系统及方法 |
CN105721442A (zh) * | 2016-01-22 | 2016-06-29 | 耿童童 | 基于动态变换虚假响应系统、方法及网络安全系统与方法 |
WO2018171810A1 (zh) * | 2017-03-20 | 2018-09-27 | 中兴通讯股份有限公司 | 一种实现移动目标防御的方法、装置及存储介质 |
CN108900486A (zh) * | 2018-06-19 | 2018-11-27 | 杭州默安科技有限公司 | 一种扫描器指纹识别方法及其系统 |
CN109076011A (zh) * | 2016-04-19 | 2018-12-21 | 三菱电机株式会社 | 中继装置 |
CN110058565A (zh) * | 2019-03-01 | 2019-07-26 | 中国电子科技网络信息安全有限公司 | 一种基于Linux操作系统的工业控制PLC系统指纹模拟方法 |
CN112702363A (zh) * | 2021-03-24 | 2021-04-23 | 远江盛邦(北京)网络安全科技股份有限公司 | 基于欺骗的节点隐藏方法、系统及设备 |
CN114363087A (zh) * | 2022-01-27 | 2022-04-15 | 杭州默安科技有限公司 | 一种基于旁路干扰的扫描器对抗方法及系统 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1421771A (zh) * | 2001-11-27 | 2003-06-04 | 四川安盟科技有限责任公司 | 一种有效防御未知攻击手法的网络入侵安全防御系统 |
WO2005041141A2 (en) * | 2003-10-15 | 2005-05-06 | Cisco Technology, Inc. | Method and system for reducing the false alarm rate of network intrusion detection systems |
CN102916934A (zh) * | 2011-08-03 | 2013-02-06 | 西安秦码软件科技有限公司 | 基于拓扑与操作系统的网络伪装系统 |
CN103227798A (zh) * | 2013-04-23 | 2013-07-31 | 西安电子科技大学 | 一种免疫网络系统 |
CN103312689A (zh) * | 2013-04-08 | 2013-09-18 | 西安电子科技大学 | 一种计算机的网络隐身方法及基于该方法的网络隐身系统 |
-
2014
- 2014-12-26 CN CN201410823806.0A patent/CN104519068A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1421771A (zh) * | 2001-11-27 | 2003-06-04 | 四川安盟科技有限责任公司 | 一种有效防御未知攻击手法的网络入侵安全防御系统 |
WO2005041141A2 (en) * | 2003-10-15 | 2005-05-06 | Cisco Technology, Inc. | Method and system for reducing the false alarm rate of network intrusion detection systems |
CN102916934A (zh) * | 2011-08-03 | 2013-02-06 | 西安秦码软件科技有限公司 | 基于拓扑与操作系统的网络伪装系统 |
CN103312689A (zh) * | 2013-04-08 | 2013-09-18 | 西安电子科技大学 | 一种计算机的网络隐身方法及基于该方法的网络隐身系统 |
CN103227798A (zh) * | 2013-04-23 | 2013-07-31 | 西安电子科技大学 | 一种免疫网络系统 |
Non-Patent Citations (2)
Title |
---|
刘长征等: "操作系统指纹特征伪装技术研究", 《信息网络安全》 * |
布日古德: "动态网络伪装安全模型研究", 《中国优秀博硕士学位论文全文数据库(硕士)信息科技辑》 * |
Cited By (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105227540B (zh) * | 2015-05-08 | 2018-05-08 | 中国科学院信息工程研究所 | 一种事件触发式的mtd防护系统及方法 |
CN105227540A (zh) * | 2015-05-08 | 2016-01-06 | 中国科学院信息工程研究所 | 一种事件触发式的mtd防护系统及方法 |
CN105721442A (zh) * | 2016-01-22 | 2016-06-29 | 耿童童 | 基于动态变换虚假响应系统、方法及网络安全系统与方法 |
CN105721442B (zh) * | 2016-01-22 | 2019-03-22 | 北京卫达信息技术有限公司 | 基于动态变换虚假响应系统、方法及网络安全系统与方法 |
CN109076011A (zh) * | 2016-04-19 | 2018-12-21 | 三菱电机株式会社 | 中继装置 |
WO2018171810A1 (zh) * | 2017-03-20 | 2018-09-27 | 中兴通讯股份有限公司 | 一种实现移动目标防御的方法、装置及存储介质 |
CN108632214A (zh) * | 2017-03-20 | 2018-10-09 | 中兴通讯股份有限公司 | 一种实现移动目标防御的方法及装置 |
CN108632214B (zh) * | 2017-03-20 | 2022-02-22 | 中兴通讯股份有限公司 | 一种实现移动目标防御的方法及装置 |
CN108900486A (zh) * | 2018-06-19 | 2018-11-27 | 杭州默安科技有限公司 | 一种扫描器指纹识别方法及其系统 |
CN108900486B (zh) * | 2018-06-19 | 2020-11-27 | 杭州默安科技有限公司 | 一种扫描器指纹识别方法及其系统 |
CN110058565A (zh) * | 2019-03-01 | 2019-07-26 | 中国电子科技网络信息安全有限公司 | 一种基于Linux操作系统的工业控制PLC系统指纹模拟方法 |
CN112702363A (zh) * | 2021-03-24 | 2021-04-23 | 远江盛邦(北京)网络安全科技股份有限公司 | 基于欺骗的节点隐藏方法、系统及设备 |
CN114363087A (zh) * | 2022-01-27 | 2022-04-15 | 杭州默安科技有限公司 | 一种基于旁路干扰的扫描器对抗方法及系统 |
CN114363087B (zh) * | 2022-01-27 | 2024-05-14 | 杭州默安科技有限公司 | 一种基于旁路干扰的扫描器对抗方法及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104519068A (zh) | 一种基于操作系统指纹跳变的移动目标防护方法 | |
CN107888607A (zh) | 一种网络威胁检测方法、装置及网络管理设备 | |
CN112788008B (zh) | 一种基于大数据的网络安全动态防御系统及方法 | |
CN109246108B (zh) | 拟态化蜜罐指纹混淆系统及其sdn网络架构 | |
CN107612924B (zh) | 基于无线网络入侵的攻击者定位方法及装置 | |
CN106790186A (zh) | 基于多源异常事件关联分析的多步攻击检测方法 | |
CN103944915A (zh) | 一种工业控制系统威胁检测防御装置、系统及方法 | |
CN111181926B (zh) | 一种基于拟态防御思想的安全设备及其运行方法 | |
CN101902349B (zh) | 一种检测端口扫描行为的方法和系统 | |
CN107465702B (zh) | 基于无线网络入侵的预警方法及装置 | |
CN108259472A (zh) | 基于攻击行为分析的动态联防机制实现系统及方法 | |
CN102333313A (zh) | 移动僵尸网络特征码生成方法和移动僵尸网络检测方法 | |
CN105516073B (zh) | 网络入侵防御方法 | |
CN103888480B (zh) | 基于云监测的网络信息安全性鉴定方法及云端设备 | |
CN113612783B (zh) | 一种蜜罐防护系统 | |
CN1322712C (zh) | 一种实现诱骗网络数据流重定向的方法 | |
CN114584359B (zh) | 安全诱捕方法、装置和计算机设备 | |
Teng et al. | A cooperative intrusion detection model for cloud computing networks | |
Suo et al. | Research on the application of honeypot technology in intrusion detection system | |
CN104125213A (zh) | 一种防火墙抗分布式拒绝服务ddos攻击的方法和装置 | |
Ma et al. | A design of firewall based on feedback of intrusion detection system in cloud environment | |
CN107493258A (zh) | 一种基于网络安全的入侵检测系统 | |
CN106209867B (zh) | 一种高级威胁防御方法及系统 | |
CN104580087A (zh) | 一种免疫网络系统 | |
Ou et al. | Immunity-inspired host-based intrusion detection systems |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20150415 |
|
RJ01 | Rejection of invention patent application after publication |