CN110113333A - 一种tcp/ip协议指纹动态化处理方法及装置 - Google Patents
一种tcp/ip协议指纹动态化处理方法及装置 Download PDFInfo
- Publication number
- CN110113333A CN110113333A CN201910363293.2A CN201910363293A CN110113333A CN 110113333 A CN110113333 A CN 110113333A CN 201910363293 A CN201910363293 A CN 201910363293A CN 110113333 A CN110113333 A CN 110113333A
- Authority
- CN
- China
- Prior art keywords
- fingerprint
- data packet
- configuration information
- time
- modification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种TCP/IP协议指纹动态化处理方法及装置。该方法包括:获取用户配置信息,用户配置信息包含用于动态修改指纹的指纹配置信息;接收源网络发送的数据包;提取数据包的报文特征,并根据报文特征对数据包进行分类;判断分类后的数据包是否需要进行指纹修改;若需要指纹修改,则根据所述指纹配置信息和所述指纹修改策略对所述数据包进行指纹修改;将指纹修改后的数据包发送至目的网络。该装置包括:信息配置模块、分组报文接收模块、特征提取及分类模块、裁决器、指纹动态变换模块和分组报文发送模块。本发明能够有效抵御多种恶意网络嗅探和操作系统/主机识别手段,加强了系统内主机的安全性和保密性。
Description
技术领域
本发明涉及网络信息安全领域和移动目标防御领域。更具体地,涉及计算机网络主动防御技术和网络协议指纹跳变技术,尤其涉及一种TCP/IP协议指纹动态化处理方法及装置。
背景技术
由于网络本身具有很高的互联性和开放性,很容易遭到恶意攻击,这给互联网资源带来了严重的威胁。特别是在内部网络之中,网络攻击更加难以预防。在攻击发起之前,攻击者往往会先对目标主机进行侦查,试图收集潜在受害者的信息,包括有关操作系统版本、服务依赖以及漏洞信息等。传统网络的配置一般在整个服务生命周期中是保持不变的,这种静态属性给了攻击者很大的优势,因为他们有相对大量的时间和方法来探索目标,直到收集到了足够多的信息来找到目标系统漏洞并发起攻击。
一种常见的网络侦查方法是操作系统指纹识别。操作系统的协议指纹实际上来源于TCP/IP协议栈。因为TCP/IP协议栈技术只是在RFC文档中描述,并没有一个统一的行业标准,各个公司在编写自己的操作系统的TCP/IP协议栈时对其做出了不尽相同的诠释,造成了各个操作系统在TCP/IP协议的实现上有所不同。通过这些细微的差异,可以准确定位操作系统的版本。攻击者一般通过嗅探和分析网络主机之间传输的网络数据包,或者通过向目标主机发送精心设计的数据包并分析响应来实现指纹识别。
为了防御和反击恶意网络侦查,已经设计了许多自适应技术来动态更改系统配置或攻击表面的某些方面,以便为攻击者引入不确定性。针对操作系统指纹识别,一般通过重写目标外出流量数据包头部,使其类似于使用不同操作系统的主机生成的流量,来达到混淆攻击者的目的。但是现有的操作系统指纹修改技术存在两个方面的问题:第一、对数据包的修改会给防御方带来巨大的系统性能开销,影响通信效率。第二、扩展性差,不够灵活,因为改动数据包头部标签需要重写协议栈内核。
发明内容
针对现有的操作系统指纹修改技术存在的系统性能开销大、影响通信效率、扩展性差和不够灵活的问题,本发明提供一种TCP/IP协议指纹动态化处理方法及装置,可以有效抵御多种恶意网络嗅探和操作系统/主机识别手段,加强了系统内主机的安全性和保密性。
第一方面,本发明提供一种TCP/IP协议指纹动态化处理方法,该方法包括:
步骤1、获取用户配置信息,所述用户配置信息包含用于动态修改指纹的指纹配置信息和指纹修改策略;
步骤2、接收源网络发送的数据包;
步骤3、提取所述数据包的报文特征,并根据所述报文特征对所述数据包进行分类;
步骤4、判断分类后的数据包是否需要进行指纹修改;
步骤5、若需要指纹修改,则根据所述指纹配置信息和所述指纹修改策略对所述数据包进行指纹修改;
步骤6、将指纹修改后的数据包发送至目的网络。
进一步地,该方法还包括:当通信连接首次建立时,以<源IP,目的IP>的形式保存当前会话;在当前会话通信结束时,删除当前会话。
进一步地,该方法还包括:设置动态更新指纹修改策略的时间间隔;若上次更新指纹修改策略的时刻距当前时刻的时长达到所述时间间隔,则更新指纹修改策略。
进一步地,该方法还包括:若上次更新指纹修改策略的时刻距当前时刻的时长达到所述时间间隔时,当前会话尚未结束,则延长更新指纹修改策略的等待时长直至当前会话通信结束或者所述等待时长达到预设等待时间阈值。
第二方面,本发明提供一种TCP/IP协议指纹动态化处理装置,该装置包括:
信息配置模块,用于获取用户配置信息,所述用户配置信息包含用于动态修改指纹的指纹配置信息和指纹修改策略;
分组报文接收模块,用于接收源网络发送的数据包;
特征提取及分类模块,用于提取所述数据包的报文特征,并根据所述报文特征对所述数据包进行分类;
裁决器,用于判断分类后的数据包是否需要进行指纹修改;
指纹动态变换模块,用于当需要指纹修改时根据所述指纹配置信息和所述指纹修改策略对所述数据包进行指纹修改;
分组报文发送模块,用于将指纹修改后的数据包发送至目的网络。
进一步地,该装置还包括:会话保持模块,用于当通信连接首次建立时,以<源IP,目的IP>的形式保存当前会话;以及在当前会话通信结束时,删除当前会话。
进一步地,该装置还包括:定时器,用于设置动态更新指纹修改策略的时间间隔;以及在上次更新指纹修改策略的时刻距当前时刻的时长达到所述时间间隔时,提醒所述指纹动态变换模块更新指纹修改策略。
进一步地,所述会话保持模块还用于:
在上次更新指纹修改策略的时刻距当前时刻的时长达到所述时间间隔且当前会话尚未结束时,提醒定时器延长更新指纹修改策略的等待时长直至当前会话通信结束或者所述等待时长达到预设等待时间阈值。
第三方面,本发明提供一种电子设备,该电子设备包括:
存储器和处理器,所述处理器和所述存储器通过总线完成相互间的通信;所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行如下方法:获取用户配置信息,所述用户配置信息包含用于动态修改指纹的指纹配置信息和指纹修改策略;接收源网络发送的数据包;提取所述数据包的报文特征,并根据所述报文特征对所述数据包进行分类;判断分类后的数据包是否需要进行指纹修改;若需要指纹修改,则根据根据所述指纹配置信息和所述指纹修改策略对所述数据包进行指纹修改;将指纹修改后的数据包发送至目的网络。
第四方面,本发明提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如下方法:获取用户配置信息,所述用户配置信息包含用于动态修改指纹的指纹配置信息和指纹修改策略;接收源网络发送的数据包;提取所述数据包的报文特征,并根据所述报文特征对所述数据包进行分类;判断分类后的数据包是否需要进行指纹修改;若需要指纹修改,则根据所述指纹配置信息和所述指纹修改策略对所述数据包进行指纹修改;将指纹修改后的数据包发送至目的网络。
本发明的有益效果:
本发明提供的一种TCP/IP协议指纹动态化处理方法及装置,相较于现有的指纹修改技术,具有以下有益效果:
(1)相较于现有指纹清洗设备需要对所有外出流量进行数据包头部的重写,本发明可以由用户根据情况自行动态配置指纹修改策略,针对特定几种类型的响应报文进行指纹修改,通过动态改变内网中不同操作系统主机外出流量中的数据包头部中的指纹特征信息,伪装或隐藏其携带的操作系统指纹信息,这样既克服了对所有数据包重写带来的系统性能开销大的问题,又可以有效抵御多种恶意网络嗅探和操作系统/主机识别手段,加强了系统内主机的安全性和保密性。
(2)通过会话保持功能保证不对正在通信的主机间流量进行修改,避免了通信中断,不会影响通信效率。
(3)本发明运行于用户空间,对协议指纹进行有策略的匿名、欺骗操作,与硬件、内核和网络环境无关,对内网主机透明,可以通过插件引入新的功能而无需更改核心基础结构代码,因此扩展性较好。
附图说明
图1为本发明实施例提供的一种TCP/IP协议指纹动态化处理方法的流程示意图之一;
图2为本发明实施例提供的一种TCP/IP协议指纹动态化处理方法的流程示意图之二;
图3为本发明实施例提供的一种TCP/IP协议指纹动态化处理装置的结构示意图之一;
图4为本发明实施例提供的一种TCP/IP协议指纹动态化处理装置的结构示意图之二;
图5为本发明实施例提供的一种电子设备的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,本发明实施例提供一种TCP/IP协议指纹动态化处理方法,该方法包括以下步骤:
S101、TCP/IP协议指纹动态化处理装置获取用户配置信息,所述用户配置信息包含用于动态修改指纹的指纹配置信息和指纹修改策略;
具体地,用户配置信息包括用户对每个内网主机采取的、用于动态修改指纹的指纹配置信息和指纹修改策略。其中,指纹配置信息可包括动态指纹模板数量、指纹模板类型、伪装版本以及动态更新指纹修改策略的时间间隔等。所谓的指纹模板可以通过预先采集到的不同操作系统的网络协议指纹信息进行构建,然后将构建好的指纹模板存于指纹库中以供后续进行指纹修改时使用。例如指纹模板<c,F>,c代表系统类型,F代表指纹集合。
其中,操作系统包括:windows、ubuntu、centos等;网络协议包括:TCP、IP、ICMP等;例如window8.1系统IP协议的TTL为128、TCP协议窗口大小为2000;ubuntu系统的TTL为64。通过采集多种操作系统的协议相关信息,可以在进行指纹欺骗时进行参考。
S102、TCP/IP协议指纹动态化处理装置接收源网络发送的数据包;
具体地,源网络为内部网络分组或外部网络分组。
S103、TCP/IP协议指纹动态化处理装置提取所述数据包的报文特征,并根据所述报文特征对所述数据包进行分类;
具体地,本步骤之所以对数据包先进行分类,主要是因为:攻击者一般是通过发送探针并分析主机对探针的响应来识别其操作系统类型,因此针对性地对这些“响应”数据包进行指纹修改可以提高效率。
在对数据包进行分类时,首先是对数据包所采用的协议类型进行判断,然后根据不同的协议类型提取不同的报文特征。其中,数据包的协议类型可在数据包的IP头部进行提取。对于TCP协议,提取的报文特征包括SEQ序号状态、ACK序号状态和flags字段等。对于UDP协议主要针对UN=0的端口不可达消息报文。作为一种可实施方式,可按照表1所示的数据包分类表进行数据包分类。
表1数据包分类表
其中,S表示SEQ序号,在本发明实施例中,主要关注SEQ序号的三种取值情况:S=O、S=A和S=Z;其值Z表示0,A表示与ACK序号相同,O表示为其他值;
A表示ACK序号,在本发明实施例中,主要关注ACK序号的两种取值情况:A=S+和A=Z;其值Z表示0,S+表示SEQ序号+1;
F表示TCP flags字段,在本发明实施例中,主要关注该字段的3种取值情况:F=AS、F=R和F=AR;其中,A表示ACK(即响应),S表示SYN(即建立连接),R表示RST(连接重置),AS表示ACK+SYN,AR表示ACK+RST。
UN:Un used的缩写,表示端口未使用;当有探针视图访问这个端口时,主机会响应一个UN=0的端口不可达消息报文。RIPL:Returned probe IP total length value的缩写,表示响应报文的IP头长度;如果长度正确,记录G。RUD:Integrity of returned UDPdata的缩写,表示UDP报文的完整性;如果完整,记录G。
需要说明的是,上述数据包分类表仅是示例性的给出了5种需要进行指纹修改的数据包类型,在实际应用中,可以根据实际情况增加需要进行修改的数据包类型。
S104、TCP/IP协议指纹动态化处理装置判断分类后的数据包是否需要进行指纹修改;
具体地,如果分类后的数据包命中上述数据包分类表中任何一种数据包类型,则认为数据包需要进行指纹修改,反之则认为数据包不需要进行指纹修改。从步骤S104可以看到,本发明实施例并不会对所有的通信流量进行指纹修改,而是只针对特定几种类型的响应报文进行指纹欺骗,这样可以避免产生较高的系统开销。
S105、若需要指纹修改,TCP/IP协议指纹动态化处理装置则根据所述指纹配置信息和所述指纹修改策略对所述数据包进行指纹修改;
指纹修改策略包括2种:(1)随机修改策略;(2)参照模板修改。
随机修改策略:即对指纹字段的数值在合理范围内进行随机变换,例如TTL值可以取0-128间的任意值,TCP窗口W大小可以取1000-65535间任意值,或在原数值上进行小幅度随机的增减。
参照模板修改:对于数据包IP头部,参照模板修改Flag、DF标签。对于数据包TCP头部,参照模板修改TCP窗口W、TTL、Option排序等。对于ICMP数据包,参照模板修改时延、有效载荷信息、错误标识等。对于FTP、HTTP等多通道的应用层协议,因为其同时建立多条连接,难以计算校验和,因此只对其报文内IP、TCP头部进行动态变换。例如,对于一个windows系统,它的IP DF设置为1,TCP窗口W=2000,TTL=128,Option排序为M546NW8ST11,ICMP错误响应时延为1ms。在需要进行指纹欺骗时,参照ubuntu系统模板对上述分类之后“响应”数据包中的内容进行修改,使其IP DF为0,TCP窗口W=8000,TTL=64,Option排序为M546ST11NW8,ICMP错误响应时延为2ms。其中,IP DF表示IP头部的DF字段。
S106、TCP/IP协议指纹动态化处理装置将指纹修改后的数据包发送至目的网络。
具体地,目的网络为内部网络分组或外部网络分组。
本发明实施例提供的一种TCP/IP协议指纹动态化处理方法,通过对这些协议指纹进行有策略的匿名、欺骗操作,可以抵御多种恶意网络主机识别手段,加强了系统内主机的安全性和保密性。
在上述实施例的基础上,如图2所示,本发明提供又一种TCP/IP协议指纹动态化处理方法,包括以下步骤:
S201、TCP/IP协议指纹动态化处理装置获取用户配置信息,所述用户配置信息包含用于动态修改指纹的指纹配置信息和指纹修改策略;
S202、TCP/IP协议指纹动态化处理装置接收源网络发送的数据包;
S203、当通信连接首次建立时,TCP/IP协议指纹动态化处理装置以<源IP,目的IP>的形式保存当前会话;
本步骤中的通信连接指的是两台内网主机之间的通信。在实际应用中,TCP/IP协议指纹动态化处理装置可部署于网关内部,通过端口隔离的方式使主机间的通信必须经由网关,以便随时对主机之间的流量进行处理。
S204、TCP/IP协议指纹动态化处理装置提取所述数据包的报文特征,并根据所述报文特征对所述数据包进行分类;
S205、TCP/IP协议指纹动态化处理装置判断分类后的数据包是否需要进行指纹修改;
S206、若需要指纹修改,TCP/IP协议指纹动态化处理装置则根据所述指纹配置信息和所述指纹修改策略对所述数据包进行指纹修改,并设置动态更新指纹修改策略的时间间隔;
S207、TCP/IP协议指纹动态化处理装置判断上次更新指纹修改策略的时刻距当前时刻的时长是否达到设置的时间间隔,若是,则进一步判断当前会话是否结束,若当前会话结束,则执行步骤S208;若当前会话尚未结束,则延长更新指纹修改策略的等待时长直至当前会话通信结束或者所述等待时长达到预设等待时间阈值。
本步骤中,延长更新指纹修改策略的等待时长是为了避免当前会话因IP ID、TCP序列号等指纹信息的改动而中断连接。
S208、更新指纹修改策略,并删除当前会话;
S209、TCP/IP协议指纹动态化处理装置将将指纹修改后的数据包发送至目的网络。
如图3所示,本发明实施例提供一种TCP/IP协议指纹动态化处理装置,该装置包括:信息配置模块301、分组报文接收模块302、特征提取及分类模块303、裁决器304、指纹动态变换模块305和分组报文发送模块306。其中:
信息配置模块301用于获取用户配置信息,所述用户配置信息包含用于动态修改指纹的指纹配置信息和指纹修改策略;分组报文接收模块302用于接收源网络发送的数据包;特征提取及分类模块303用于提取所述数据包的报文特征,并根据所述报文特征对所述数据包进行分类;裁决器304用于判断分类后的数据包是否需要进行指纹修改;指纹动态变换模块305用于当需要指纹修改时根据所述指纹配置信息和所述指纹修改策略对所述数据包进行指纹修改;分组报文发送模块306用于将指纹修改后的数据包发送至目的网络。
具体地,用户可以自定义配置该TCP/IP协议指纹动态化处理装置。指令包括:<open,close>(开启装置,关闭装置),setARB(配置提取特殊包类型),setT(设置定时器时间),list(查询指纹修改记录)等。该装置进行TCP/IP协议指纹动态化处理的流程如下:
S301、信息配置模块301获取用户配置信息;
S302、分组报文接收模块302接收源网络发送的数据包;
S303、特征提取及分类模块303提取所述数据包的报文特征,并根据所述报文特征对所述数据包进行分类;
S304、裁决器304判断分类后的数据包是否需要进行指纹修改;
S305、若需要指纹修改,指纹动态变换模块305则根据所述用户配置信息和指纹修改策略对所述数据包进行指纹修改;
S306、分组报文发送模块306将指纹修改后的数据包发送至目的网络。
需要说明的是,本发明实施例提供的TCP/IP协议指纹动态化处理装置是为了实现上述方法的,其功能具体可参考方法实施例,此处不再赘述。
在上述实施例的基础上,如图4所示,本发明提供又一种TCP/IP协议指纹动态化处理装置,与上述实施例不同之处在于,该装置还包括:会话保持模块307和定时器308。其中:
会话保持模块307用于当通信连接首次建立时,以<源IP,目的IP>的形式保存当前会话;在当前会话通信结束时,删除当前会话;以及在上次更新指纹修改策略的时刻距当前时刻的时长达到所述时间间隔且当前会话尚未结束时,提醒定时器308延长更新指纹修改策略的等待时长直至当前会话通信结束或者所述等待时长达到预设等待时间阈值。定时器308用于设置动态更新指纹修改策略的时间间隔;以及在上次更新指纹修改策略的时刻距当前时刻的时长达到所述时间间隔时,提醒所述指纹动态变换模块更新指纹修改策略。
具体地,该装置进行TCP/IP协议指纹动态化处理的流程如下:
S401、信息配置模块301获取用户配置信息;
S402、分组报文接收模块302接收源网络发送的数据包;
S403、当通信连接首次建立时,会话保持模块307以<源IP,目的IP>的形式保存当前会话;
S404、特征提取及分类模块303提取所述数据包的报文特征,并根据所述报文特征对所述数据包进行分类;
S405、裁决器304判断分类后的数据包是否需要进行指纹修改;
S406、若需要指纹修改,指纹动态变换模块305则根据所述用户配置信息和指纹修改策略对所述数据包进行指纹修改;
S407、利用定时器308设置动态更新指纹修改策略的时间间隔;并判断上次更新指纹修改策略的时刻距当前时刻的时长是否达到设置的时间间隔;
S408、若定时器308获知到达动态变换的时间间隔,则通过会话保持模块307进一步判断当前会话是否结束,若当前会话结束,则告知指纹动态变换模块305更新指纹修改策略,然后按照所述指纹修改策略对所述数据包进行指纹修改;会话保持模块307删除当前会话;若会话保持模块307获知当前会话尚未结束,则告知定时器308延长更新指纹修改策略的等待时长直至当前会话通信结束或者所述等待时长达到预设等待时间阈值。
S409、分组报文发送模块306将指纹修改后的数据包发送至目的网络。
需要说明的是,本发明实施例提供的TCP/IP协议指纹动态化处理装置是为了实现上述方法的,其功能具体可参考方法实施例,此处不再赘述。
图5为本发明实施例提供的电子设备的结构框图。如图5所示,该电子设备包括:存储器502和处理器501,所述处理器501和所述存储器502通过总线503完成相互间的通信;所述存储器502存储有可被所述处理器执行的程序指令,所述处理器501调用所述程序指令能够执行如下方法,例如包括:获取用户配置信息,所述用户配置信息包含用于动态修改指纹的指纹配置信息和指纹修改策略;接收源网络发送的数据包;提取所述数据包的报文特征,并根据所述报文特征对所述数据包进行分类;判断分类后的数据包是否需要进行指纹修改;若需要指纹修改,则根据所述指纹配置信息和所述指纹修改策略对所述数据包进行指纹修改;将指纹修改后的数据包发送至目的网络。
本发明实施例还提供一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法实施例所提供的方法,例如包括:获取用户配置信息,所述用户配置信息包含用于动态修改指纹的指纹配置信息和指纹修改策略;接收源网络发送的数据包;提取所述数据包的报文特征,并根据所述报文特征对所述数据包进行分类;判断分类后的数据包是否需要进行指纹修改;若需要指纹修改,则根据所述指纹配置信息和所述指纹修改策略对所述数据包进行指纹修改;将指纹修改后的数据包发送至目的网络。
本发明实施例还提供一种计算机可读存储介质,所述计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行上述各方法实施例所提供的方法,例如包括:获取用户配置信息,所述用户配置信息包含用于动态修改指纹的指纹配置信息和指纹修改策略;接收源网络发送的数据包;提取所述数据包的报文特征,并根据所述报文特征对所述数据包进行分类;判断分类后的数据包是否需要进行指纹修改;若需要指纹修改,则根据所述指纹配置信息和所述指纹修改策略对所述数据包进行指纹修改;将指纹修改后的数据包发送至目的网络。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种TCP/IP协议指纹动态化处理方法,其特征在于,包括:
步骤1、获取用户配置信息,所述用户配置信息包含用于动态修改指纹的指纹配置信息和指纹修改策略;
步骤2、接收源网络发送的数据包;
步骤3、提取所述数据包的报文特征,并根据所述报文特征对所述数据包进行分类;
步骤4、判断分类后的数据包是否需要进行指纹修改;
步骤5、若需要指纹修改,则根据所述指纹配置信息和所述指纹修改策略对所述数据包进行指纹修改;
步骤6、将指纹修改后的数据包发送至目的网络。
2.根据权利要求1所述的方法,其特征在于,还包括:
当通信连接首次建立时,以<源IP,目的IP>的形式保存当前会话;
在当前会话通信结束时,删除当前会话。
3.根据权利要求2所述的方法,其特征在于,还包括:
设置动态更新指纹修改策略的时间间隔;
若上次更新指纹修改策略的时刻距当前时刻的时长达到所述时间间隔,则更新指纹修改策略。
4.根据权利要求3所述的方法,其特征在于,还包括:
若上次更新指纹修改策略的时刻距当前时刻的时长达到所述时间间隔时,当前会话尚未结束,则延长更新指纹修改策略的等待时长直至当前会话通信结束或者所述等待时长达到预设等待时间阈值。
5.一种TCP/IP协议指纹动态化处理装置,其特征在于,包括:
信息配置模块,用于获取用户配置信息,所述用户配置信息包含用于动态修改指纹的指纹配置信息和指纹修改策略;
分组报文接收模块,用于接收源网络发送的数据包;
特征提取及分类模块,用于提取所述数据包的报文特征,并根据所述报文特征对所述数据包进行分类;
裁决器,用于判断分类后的数据包是否需要进行指纹修改;
指纹动态变换模块,用于当需要指纹修改时根据所述指纹配置信息和所述指纹修改策略对所述数据包进行指纹修改;
分组报文发送模块,用于将指纹修改后的数据包发送至目的网络。
6.根据权利要求5所述的装置,其特征在于,还包括:
会话保持模块,用于当通信连接首次建立时,以<源IP,目的IP>的形式保存当前会话;以及在当前会话通信结束时,删除当前会话。
7.根据权利要求6所述的装置,其特征在于,还包括:
定时器,用于设置动态更新指纹修改策略的时间间隔;以及在上次更新指纹修改策略的时刻距当前时刻的时长达到所述时间间隔时,提醒所述指纹动态变换模块更新指纹修改策略。
8.根据权利要求7所述的装置,其特征在于,所述会话保持模块还用于:
在上次更新指纹修改策略的时刻距当前时刻的时长达到所述时间间隔且当前会话尚未结束时,提醒定时器延长更新指纹修改策略的等待时长直至当前会话通信结束或者所述等待时长达到预设等待时间阈值。
9.一种电子设备,其特征在于,包括:
存储器和处理器,所述处理器和所述存储器通过总线完成相互间的通信;所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行如权利要求1至4任一所述的方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至4任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910363293.2A CN110113333A (zh) | 2019-04-30 | 2019-04-30 | 一种tcp/ip协议指纹动态化处理方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910363293.2A CN110113333A (zh) | 2019-04-30 | 2019-04-30 | 一种tcp/ip协议指纹动态化处理方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110113333A true CN110113333A (zh) | 2019-08-09 |
Family
ID=67487990
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910363293.2A Pending CN110113333A (zh) | 2019-04-30 | 2019-04-30 | 一种tcp/ip协议指纹动态化处理方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110113333A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111181926A (zh) * | 2019-12-13 | 2020-05-19 | 中国人民解放军战略支援部队信息工程大学 | 一种基于拟态防御思想的安全设备及其运行方法 |
| CN112035154A (zh) * | 2020-08-13 | 2020-12-04 | 上海帆一尚行科技有限公司 | 一种修复车载终端内核的方法、装置和电子设备 |
| CN113055406A (zh) * | 2021-04-16 | 2021-06-29 | 中国电子科技集团公司第五十四研究所 | 一种基于通信协议的操作系统特征隐藏方法及系统 |
| CN114363041A (zh) * | 2021-12-31 | 2022-04-15 | 河南信大网御科技有限公司 | 基于动态操作系统指纹及协议指纹的内网防护方法及系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102916934A (zh) * | 2011-08-03 | 2013-02-06 | 西安秦码软件科技有限公司 | 基于拓扑与操作系统的网络伪装系统 |
| CN103312689A (zh) * | 2013-04-08 | 2013-09-18 | 西安电子科技大学 | 一种计算机的网络隐身方法及基于该方法的网络隐身系统 |
| CN104917757A (zh) * | 2015-05-08 | 2015-09-16 | 中国科学院信息工程研究所 | 一种事件触发式的mtd防护系统及方法 |
| US20160155128A1 (en) * | 2014-12-02 | 2016-06-02 | Ca, Inc. | Device identification based on deep fingerprint inspection |
| CN109495583A (zh) * | 2018-12-19 | 2019-03-19 | 中国电子科技集团公司第五十四研究所 | 一种基于主机特征混淆的数据安全交互方法 |
-
2019
- 2019-04-30 CN CN201910363293.2A patent/CN110113333A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102916934A (zh) * | 2011-08-03 | 2013-02-06 | 西安秦码软件科技有限公司 | 基于拓扑与操作系统的网络伪装系统 |
| CN103312689A (zh) * | 2013-04-08 | 2013-09-18 | 西安电子科技大学 | 一种计算机的网络隐身方法及基于该方法的网络隐身系统 |
| US20160155128A1 (en) * | 2014-12-02 | 2016-06-02 | Ca, Inc. | Device identification based on deep fingerprint inspection |
| CN104917757A (zh) * | 2015-05-08 | 2015-09-16 | 中国科学院信息工程研究所 | 一种事件触发式的mtd防护系统及方法 |
| CN109495583A (zh) * | 2018-12-19 | 2019-03-19 | 中国电子科技集团公司第五十四研究所 | 一种基于主机特征混淆的数据安全交互方法 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111181926A (zh) * | 2019-12-13 | 2020-05-19 | 中国人民解放军战略支援部队信息工程大学 | 一种基于拟态防御思想的安全设备及其运行方法 |
| CN111181926B (zh) * | 2019-12-13 | 2022-04-05 | 中国人民解放军战略支援部队信息工程大学 | 一种基于拟态防御思想的安全设备及其运行方法 |
| CN112035154A (zh) * | 2020-08-13 | 2020-12-04 | 上海帆一尚行科技有限公司 | 一种修复车载终端内核的方法、装置和电子设备 |
| CN112035154B (zh) * | 2020-08-13 | 2023-12-01 | 上海帆一尚行科技有限公司 | 一种修复车载终端内核的方法、装置和电子设备 |
| CN113055406A (zh) * | 2021-04-16 | 2021-06-29 | 中国电子科技集团公司第五十四研究所 | 一种基于通信协议的操作系统特征隐藏方法及系统 |
| CN114363041A (zh) * | 2021-12-31 | 2022-04-15 | 河南信大网御科技有限公司 | 基于动态操作系统指纹及协议指纹的内网防护方法及系统 |
| CN114363041B (zh) * | 2021-12-31 | 2023-08-11 | 河南信大网御科技有限公司 | 基于动态操作系统指纹及协议指纹的内网防护方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110113333A (zh) | 一种tcp/ip协议指纹动态化处理方法及装置 | |
| CN112073411B (zh) | 一种网络安全推演方法、装置、设备及存储介质 | |
| Smys | DDOS attack detection in telecommunication network using machine learning | |
| CN109587156B (zh) | 异常网络访问连接识别与阻断方法、系统、介质和设备 | |
| US8561188B1 (en) | Command and control channel detection with query string signature | |
| CN103428224B (zh) | 一种智能防御DDoS攻击的方法和装置 | |
| CN109088901A (zh) | 基于sdn构建动态网络的欺骗防御方法和系统 | |
| JP5713445B2 (ja) | 通信監視システム及び方法及び通信監視装置及び仮想ホスト装置及び通信監視プログラム | |
| TW201407405A (zh) | 在一動態電腦網路中過濾通信之防火牆 | |
| Sung et al. | Large-scale IP traceback in high-speed internet: practical techniques and information-theoretic foundation | |
| Vignau et al. | The evolution of IoT Malwares, from 2008 to 2019: Survey, taxonomy, process simulator and perspectives | |
| CN112688900B (zh) | 一种防御arp欺骗和网络扫描的局域网安全防护系统及方法 | |
| CN108234522A (zh) | 防止地址解析协议arp攻击方法、装置、计算机设备和存储介质 | |
| CN110557405B (zh) | 一种高交互ssh蜜罐实现方法 | |
| CN111628993A (zh) | 一种基于主机指纹隐藏的网络欺骗防御方法及装置 | |
| Hussain et al. | A novel deep learning based intrusion detection system: Software defined network | |
| CN113904804B (zh) | 基于行为策略的内网安全防护方法、系统及介质 | |
| CN106534111A (zh) | 一种基于流规则实现云平台防御网络攻击的方法 | |
| Singh | Machine learning in openflow network: comparative analysis of DDoS detection techniques. | |
| CN110058565A (zh) | 一种基于Linux操作系统的工业控制PLC系统指纹模拟方法 | |
| Subramanian et al. | Two layer defending mechanism against ddos attacks. | |
| CN113872973A (zh) | 一种基于iptables的拟态蜜罐的实现方法及装置 | |
| CN109714347A (zh) | 策略命中结果的存储、查询方法与装置、设备及介质 | |
| Valizadeh et al. | On the convergence rates of learning-based signature generation schemes to contain self-propagating malware | |
| Zhou et al. | A stochastic worm model |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20190809 |