CN109495583B - 一种基于主机特征混淆的数据安全交互方法 - Google Patents

一种基于主机特征混淆的数据安全交互方法 Download PDF

Info

Publication number
CN109495583B
CN109495583B CN201811552323.6A CN201811552323A CN109495583B CN 109495583 B CN109495583 B CN 109495583B CN 201811552323 A CN201811552323 A CN 201811552323A CN 109495583 B CN109495583 B CN 109495583B
Authority
CN
China
Prior art keywords
data
communication
information
host
fingerprint
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201811552323.6A
Other languages
English (en)
Other versions
CN109495583A (zh
Inventor
张海锋
贾哲
许书彬
侯镇
泰彬彬
赵立军
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
CETC 54 Research Institute
Original Assignee
CETC 54 Research Institute
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by CETC 54 Research Institute filed Critical CETC 54 Research Institute
Priority to CN201811552323.6A priority Critical patent/CN109495583B/zh
Publication of CN109495583A publication Critical patent/CN109495583A/zh
Application granted granted Critical
Publication of CN109495583B publication Critical patent/CN109495583B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/51Discovery or management thereof, e.g. service location protocol [SLP] or web services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45504Abstract machines for programme code execution, e.g. Java virtual machine [JVM], interpreters, emulators
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/06Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及了一种基于主机特征混淆的数据安全交互方法,它涉及在开放网络环境下,通信双方利用本端主机指纹混淆池,按照预定义规则,让交互数据包携带不同的主机指纹信息暴露给对方,实现数据交互的方法。本发明在通信两端预存储主机指纹通信字节代换表,并生成多个异构容器动态构建主机指纹混淆池,信源依据数据请求,触发混淆池内对应的异构容器,生成携带特定主机指纹信息的数据包进行回复,信宿分析回复指纹信息,利用代换表得到最终的数据。本发明将交互数据隐藏在标准、普通的各类协议主机指纹特征中,没有表征出任何业务信息,保证了通信双方的数据安全交互。

Description

一种基于主机特征混淆的数据安全交互方法
技术领域
本发明涉及开放网络环境中收发双方进行安全通信技术领域,特别是指一种通过构建异构容器池基于主机特征混淆的数据安全交互方法。
背景技术
在开放网络环境下收发双发进行通信,面临着诸多缺陷,信息传输经过众多中间节点,这些节点对于用户不可控,风险高,容易受到非法第三方的监听,数据经过恶意节点、链路时,面临着信息被嗅探、提取、篡改以及阻断的风险。
目前,网络安全通信方式多样,包括认证身份、加密数据以及构建虚拟专网等,但这些方式仍然存在以下问题:
(1)对传输数据及通信行为进行安全保护,无异于对外表明了通信双方的特殊性,容易招致第三方的重点监视。
(2)采取的身份认证、数据加密等安全处理手段,多是在已有网络二层及以上协议上进行改进,数据传输时,仍然存在可被分析的协议特征,造成数据泄露的风险。
发明内容
有鉴于此,本发明提出一种基于主机特征混淆的数据安全交互方法,将交互数据隐藏在标准、普通的各类协议的主机指纹特征中,通过指纹混淆实现数据的安全交互,进而规避第三方的监视。
为了实现上述目的,本发明提供的技术方案是:
一种基于主机特征混淆的数据安全交互方法,其特征在于包括以下步骤:
(1)利用主机指纹信息设计通信字节代换表T并存储在通信两端;其中,通信字节代换表T内每个元素E为一个键值对,键K为主机指纹,值V为字节数据;通信两端包括信源和信宿;
(2)信源和信宿两端利用虚拟化技术动态各生成多个系统架构和版本各不相同的异构容器C,异构容器C内部署有包括Web和FTP的多种不同类型的服务;通过对所有异构容器C进行控制,形成主机指纹混淆池;
(3)信源收到信宿的发送数据请求包P后,信源对发送数据请求包P进行编号、缓存,并提取P中的主机指纹信息;基于通信字节代换表T,信源根据主机指纹信息,得到对应的字节数据;根据约定的通信规则库,信源利用字节数据查询出通信指令;
(4)根据通信指令,信源计算出响应数据D,并将D作为一个值或拆分为多个值,基于通信字节代换表T,查询得到对应的一个键K或多个键,每个键K标识一个主机指纹;
(5)信源依次处理每个键K,从主机指纹混淆池中选择、激活相应的容器C;容器C根据键K,触发对应的服务,生成标准、普通的协议数据包PD;
(6)信源依据防护策略对协议数据包PD的发送时间、时延、属性进行修改,得到回复数据包RD并发送到信宿;
(7)信宿收到回复数据包RD,提取出回复数据包中携带的主机指纹信息,利用通信字节代换表T得到信源发送的数据,从而完成通信双方数据的安全交互。
可选的,所述步骤(1)中,主机指纹信息包括:操作系统架构类型、系统版本号、运行的服务类型、服务接口号、浏览器类型、和TTL时间。
可选的,所述步骤(2)中,虚拟化技术包括KVM、Docker和VMWare;操作系统架构包括Windows、Linux、Unix,其中Linux系统包括:RedHat、CentOS、Ubuntu和Fedora;Web服务包括:IIS、Apache/Tomcat和Nginx;运行的服务器类型包括TCP、FTP、HTTP、SSH、telnet和IMAP。
可选的,所述步骤(3)中,通信指令包括:心跳保持、数据获取请求、重传请求、数据获取确认和连接断开。
可选的,所述步骤(5)中,协议数据包类型包括:ICMP、TCP、FTP、HTTP、SSH、telnet和IMAP。
可选的,所述步骤(6)中,协议数据包PD的属性包括源IP地址、源MAC地址、源端口号、目的IP地址、目的MAC地址和目的端口号。
本发明与现有技术相比,所取得的有益效果为:
1、本发明巧妙地将交互数据隐藏到已有、常用、标准的通信协议主机指纹中,交互内容为常规明文,有效规避了第三方的监管。
2、本发明将数据分散到不同层级、不同类型协议的主机指纹中,交叉使用多种网络协议同时交互,有效伪装了通信行为,内容更隐蔽,数据更安全。
3、本发明进一步地可以实现基于主机特征混淆的数据安全交互软件系统,该方案提取、设计了主机特征混淆公共处理流程及软件各功能模块,定义了主机指纹字节代换表和通信指令规则库,有利于本发明的推广。
附图说明
图1是本发明软件系统组成结构示意图。
图2是本发明方法的数据处理流程图。
具体实施方式
参照图1和图2,本发明实现了一种基于主机特征混淆的数据安全交互方法,该方法通过接收、提取、生成携带指定主机指纹的数据包,完成通信双方的安全交互。
图1是本发明方法的模块组成图,包括通信字节代换模块、目标识别模块、通信控制模块、服务总线模块、通信引擎模块、主机指纹混淆模块、流量牵引模块和数据处理模块。图2是软件功能架构及数据处理流程图,信源和信宿两端相同。
本发明的一种基于主机特征混淆的数据安全交互方法,其特征在于包括以下步骤:
(1)利用主机指纹信息设计通信字节代换表T并存储在通信两端;其中,通信字节代换表T内每个元素E为一个键值对,键K为主机指纹,值V为字节数据;通信两端包括信源和信宿;
(2)信源和信宿两端利用虚拟化技术动态各生成多个系统架构和版本各不相同的异构容器C,异构容器C内部署有包括Web和FTP的多种不同类型的服务;通过对所有异构容器C进行控制,形成主机指纹混淆池;
(3)信源收到信宿的发送数据请求包P后,信源对发送数据请求包P进行编号、缓存,并提取P中的主机指纹信息;基于通信字节代换表T,信源根据主机指纹信息,得到对应的字节数据;根据约定的通信规则库,信源利用字节数据查询出通信指令;
(4)根据通信指令,信源计算出响应数据D,并将D作为一个值或拆分为多个值,基于通信字节代换表T,查询得到对应的一个键K或多个键,每个键K标识一个主机指纹;
(5)信源依次处理每个键K,从主机指纹混淆池中选择、激活相应的容器C;容器C根据键K,触发对应的服务,生成标准、普通的协议数据包PD;
(6)信源依据防护策略对协议数据包PD的发送时间、时延、属性进行修改,得到回复数据包RD并发送到信宿;
(7)信宿收到回复数据包RD,提取出回复数据包中携带的主机指纹信息,利用通信字节代换表T得到信源发送的数据,从而完成通信双方数据的安全交互。
为了更明确的说明,本发明的具体实施例如下:
如图2所示,一种基于主机特征混淆的数据安全交互方法,其特征在于包括以下步骤:
(1)通信前,系统利用主机指纹信息构建通信字节代换表T,下发到信源和信宿,存储在双方的数据库中。通信字节代换表结构由四列组成,第一列为主键索引,第二列为主机指纹信息,第三列为数据内容,第四列为该条映射的描述信息;
其中,数据库中存储的主机指纹信息包括:操作系统架构类型、系统版本号、运行的服务类型、服务接口号、浏览器类型、和TTL时间;
(2)信源和信宿两端选择KVM、Docker和VMWare虚拟化技术,动态生成多个系统架构和版本各异的容器,每个容器为内存、存储、网络资源各自独立的操作系统。操作系统包括WindowsXP、Win7、CentOS7和Ubuntu14;
每个容器内部署Web和FTP多种不同类型的服务;Web服务类型包括IIS、Apache/Tomcat和Nginx;容器内部署的服务还包括TCP、FTP、HTTP、SSH、telnet和IMAP。通信引擎对所有异构容器资源进行控制,形成主机指纹混淆池;
(3)信源通过ICMP、TCP、FTP、HTTP、SSH协议收到信宿的请求包,依据白名单对目标进行识别,若不在白名单中,则直接丢弃。若在白名单中,分流引擎对发送数据P请求包进行编号,缓存到数据库中,并转发到通信控制模块;
通信控制模块提取P中的主机指纹信息,依据规则中的通信字节代换表T,得到对应的字节数据,并发送到数据处理模块;数据处理模块对数据进行解密操作,查询通信规则数据库,得到心跳保持、数据获取请求、重传请求、数据获取确认和连接断开通信指令内容;
(4)根据通信指令类型及输入信息,数据处理模块构造对应的响应数据包,加密后发送到通信引擎;通信引擎根据包的大小,按需拆分为多个子包,利用服务总线获取内存中通信字节代换表信息,查询得到各子包对应的主机指纹信息;
(5)通信引擎依次处理每个主机指纹,利用资源控制模块,从主机指纹混淆池中选择、激活相应的容器;容器内的操作系统被唤醒,解析通信引擎发送的主机指纹,构造一个ICMP、TCP、FTP、HTTP、SSH、telnet和IMAP协议数据包,发送到流量引擎;
(6)流量引擎模块依据防护策略修改协议数据包的源IP地址、源MAC地址、源端口号、目的IP地址、目的MAC地址和目的端口号属性,通过ICMP、TCP、FTP、HTTP、SSH、telnet和IMAP协议发送到信宿;
(7)信宿收到信源发送的数据包,按照图2所示流程,提取数据包携带的主机指纹信息,利用通信字节代换表T得到信源发送的数据,从而完成通信双方数据的安全交互。
本发明丢弃了在网络协议上采用身份认证、数据加密等进行通信的传统方式,采用了一种基于主机特征混淆实现数据安全交互方法,提出了在开放网络环境中收发双方进行安全通信的新思路,是对现有技术的一种重要补充。

Claims (5)

1.一种基于主机特征混淆的数据安全交互方法,其特征在于包括以下步骤:
(1)利用主机指纹信息设计通信字节代换表T并存储在通信两端;其中,通信字节代换表T内每个元素E为一个键值对,键K为主机指纹,值V为字节数据;通信两端包括信源和信宿;主机指纹信息包括:操作系统架构类型、系统版本号、运行的服务类型、服务接口号、浏览器类型和TTL时间;
(2)信源和信宿两端利用虚拟化技术动态各生成多个系统架构和版本各不相同的异构容器C,异构容器C内部署有包括Web和FTP的多种不同类型的服务;通过对所有异构容器C进行控制,形成主机指纹混淆池;
(3)信源收到信宿的发送数据请求包P后,信源对发送数据请求包P进行编号、缓存,并提取P中的主机指纹信息;基于通信字节代换表T,信源根据主机指纹信息,得到对应的字节数据;根据约定的通信规则库,信源利用字节数据查询出通信指令;
(4)根据通信指令,信源计算出响应数据D,并将D作为一个值或拆分为多个值,基于通信字节代换表T,查询得到对应的一个键K或多个键,每个键K标识一个主机指纹;
(5)信源依次处理每个键K,从主机指纹混淆池中选择、激活相应的容器C;容器C根据键K,触发对应的服务,生成标准、普通的协议数据包PD;
(6)信源依据防护策略对协议数据包PD的发送时间、时延、属性进行修改,得到回复数据包RD并发送到信宿;
(7)信宿收到回复数据包RD,提取出回复数据包中携带的主机指纹信息,利用通信字节代换表T得到信源发送的数据,从而完成通信双方数据的安全交互。
2.根据权利要求1所述的一种基于主机特征混淆的数据安全交互方法,其特征在于:所述步骤(2)中,虚拟化技术包括KVM、Docker和VMWare;操作系统架构包括Windows、Linux、Unix,其中Linux系统包括:RedHat、CentOS、Ubuntu和Fedora;Web服务包括:IIS、Apache/Tomcat和Nginx;运行的服务器类型包括TCP、FTP、HTTP、SSH、telnet和IMAP。
3.根据权利要求1所述的一种基于主机特征混淆的数据安全交互方法,其特征在于:所述步骤(3)中,通信指令包括:心跳保持、数据获取请求、重传请求、数据获取确认和连接断开。
4.根据权利要求1所述的一种基于主机特征混淆的数据安全交互方法,其特征在于:所述步骤(5)中,协议数据包类型包括:ICMP、TCP、FTP、HTTP、SSH、telnet和IMAP。
5.根据权利要求1所述的一种基于主机特征混淆的数据安全交互方法,其特征在于:所述步骤(6)中,协议数据包PD的属性包括源IP地址、源MAC地址、源端口号、目的IP地址、目的MAC地址和目的端口号。
CN201811552323.6A 2018-12-19 2018-12-19 一种基于主机特征混淆的数据安全交互方法 Active CN109495583B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811552323.6A CN109495583B (zh) 2018-12-19 2018-12-19 一种基于主机特征混淆的数据安全交互方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811552323.6A CN109495583B (zh) 2018-12-19 2018-12-19 一种基于主机特征混淆的数据安全交互方法

Publications (2)

Publication Number Publication Date
CN109495583A CN109495583A (zh) 2019-03-19
CN109495583B true CN109495583B (zh) 2021-02-26

Family

ID=65710863

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811552323.6A Active CN109495583B (zh) 2018-12-19 2018-12-19 一种基于主机特征混淆的数据安全交互方法

Country Status (1)

Country Link
CN (1) CN109495583B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110113333A (zh) * 2019-04-30 2019-08-09 中国人民解放军战略支援部队信息工程大学 一种tcp/ip协议指纹动态化处理方法及装置
CN111628993B (zh) * 2020-05-26 2022-01-21 中国电子科技集团公司第五十四研究所 一种基于主机指纹隐藏的网络欺骗防御方法及装置
CN113055406A (zh) * 2021-04-16 2021-06-29 中国电子科技集团公司第五十四研究所 一种基于通信协议的操作系统特征隐藏方法及系统
CN114338155B (zh) * 2021-12-28 2024-04-30 四川邦辰信息科技有限公司 基于多维度指纹混淆的网络隐私保护方法及系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104994098A (zh) * 2015-06-30 2015-10-21 广东欧珀移动通信有限公司 文件传输方法以及相关装置和传输系统
CN105701379A (zh) * 2014-11-28 2016-06-22 富泰华工业(深圳)有限公司 密码发送装置及方法
CN106470232A (zh) * 2015-08-20 2017-03-01 阿里巴巴集团控股有限公司 一种用户信息获取方法和设备
CN106888194A (zh) * 2015-12-16 2017-06-23 国家电网公司 基于分布式调度的智能电网it资产安全监测系统

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7676068B2 (en) * 2006-09-18 2010-03-09 Miguel Angel Cervantes Biometric authentication

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105701379A (zh) * 2014-11-28 2016-06-22 富泰华工业(深圳)有限公司 密码发送装置及方法
CN104994098A (zh) * 2015-06-30 2015-10-21 广东欧珀移动通信有限公司 文件传输方法以及相关装置和传输系统
CN106470232A (zh) * 2015-08-20 2017-03-01 阿里巴巴集团控股有限公司 一种用户信息获取方法和设备
CN106888194A (zh) * 2015-12-16 2017-06-23 国家电网公司 基于分布式调度的智能电网it资产安全监测系统

Also Published As

Publication number Publication date
CN109495583A (zh) 2019-03-19

Similar Documents

Publication Publication Date Title
CN109495583B (zh) 一种基于主机特征混淆的数据安全交互方法
US10735511B2 (en) Device and related method for dynamic traffic mirroring
US10972478B2 (en) Data processing method and apparatus, terminal, and access point computer
CN104468865B (zh) 域名解析控制、响应方法及相应的装置
US9130826B2 (en) System and related method for network monitoring and control based on applications
US9813447B2 (en) Device and related method for establishing network policy based on applications
CN104052734B (zh) 使用全球设备指纹识别的攻击检测和防止
US9584393B2 (en) Device and related method for dynamic traffic mirroring policy
US9230213B2 (en) Device and related method for scoring applications running on a network
CN106713320A (zh) 终端数据传输的方法和装置
US20140280211A1 (en) Device and related method for application identification
CN104322001A (zh) 使用服务名称识别的传输层安全流量控制
CN102356620A (zh) 网络应用访问
EP2974355B1 (en) A device and a related method for dynamic traffic mirroring and policy, and the determination of applications running on a network
US11750646B2 (en) System and method for decentralized internet traffic filtering policy reporting
CN113518042B (zh) 一种数据处理方法、装置、设备及存储介质
Patni et al. Man-in-the-middle attack in HTTP/2
CN107071075B (zh) 网络地址动态跳变的装置及方法
Wu et al. IoT network traffic analysis: Opportunities and challenges for forensic investigators?
CN104104686B (zh) 一种基于移动互联网的网络数据包解析取证方法
CN112995139B (zh) 一种可信网络、可信网络的构建方法和构建系统
CN112333214B (zh) 一种用于物联网设备管理的安全用户认证方法及系统
CN109962902A (zh) 一种防网络追踪及实现匿名安全访问的方法及系统
CN107508739B (zh) 一种通过vpn隧道传输数据的鉴权方法
US20210203642A1 (en) Privacy-preserving learning of web traffic

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant