CN114363041A - 基于动态操作系统指纹及协议指纹的内网防护方法及系统 - Google Patents

基于动态操作系统指纹及协议指纹的内网防护方法及系统 Download PDF

Info

Publication number
CN114363041A
CN114363041A CN202111655489.2A CN202111655489A CN114363041A CN 114363041 A CN114363041 A CN 114363041A CN 202111655489 A CN202111655489 A CN 202111655489A CN 114363041 A CN114363041 A CN 114363041A
Authority
CN
China
Prior art keywords
fingerprint
new
application
intranet
flow data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202111655489.2A
Other languages
English (en)
Other versions
CN114363041B (zh
Inventor
吕青松
冯志峰
张宜岗
张建军
郭义伟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhuhai Comleader Information Technology Co Ltd
Henan Xinda Wangyu Technology Co Ltd
Original Assignee
Zhuhai Comleader Information Technology Co Ltd
Henan Xinda Wangyu Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhuhai Comleader Information Technology Co Ltd, Henan Xinda Wangyu Technology Co Ltd filed Critical Zhuhai Comleader Information Technology Co Ltd
Priority to CN202111655489.2A priority Critical patent/CN114363041B/zh
Publication of CN114363041A publication Critical patent/CN114363041A/zh
Application granted granted Critical
Publication of CN114363041B publication Critical patent/CN114363041B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Small-Scale Networks (AREA)

Abstract

本发明提供了一种基于动态操作系统指纹及协议指纹的内网防护方法及系统,所述方法包括以下步骤:步骤1,实时监测是否接收到新流量数据,若是则新流量数据中的目的MAC地址是否在所述当前MAC地址表中,若是则将新流量数据作为内网流量数据,转步骤2;步骤2,确定内网流量数据中的指定字段是否满足预先设置的白名单策略,若是则将内网流量数据作为合法流量数据,转步骤3;步骤3,用新操作系统指纹替换合法流量数据的操作系统指纹字段中的原操作系统指纹;并用新应用指纹替换所述合法流量数据的应用指纹字段中的原应用指纹;步骤4,基于所述新操作系统指纹和所述新应用指纹组成新合法流量数据,将所述新合法流量数据发送至对应的内网接收主机。

Description

基于动态操作系统指纹及协议指纹的内网防护方法及系统
技术领域
本发明涉及内网防护技术领域,具体的说,涉及了一种基于动态操作系统指纹及协议指纹的内网防护方法及系统。
背景技术
内网中的设备往往通过交换机进行互联,依靠交换机的硬件转发特性完成数据流的交换,目前交换机往往通过配置ACL(Access Control Lists)的方式对流量进行访问控制,此种方法在一定程度上能实现特定的控制。
配置ACL(Access Control Lists)的方式对流量进行访问控制时,往往通过四元组信息、五元组信息或者七元组信息进行控制;其中,四元组通常是指源IP地址、目的IP地址、源端口、目的端口,五元组通常是指源IP地址、源端口、目的IP地址、目的端口和协议号,七元组通常是指信息源IP地址、目的IP地址、协议号、源端口、目的端口、服务类型以及接口索引。例如:192.168.1.1 10000 TCP 121.14.88.76 80 就构成了一个五元组,其表示一个IP地址为192.168.1.1的终端通过端口10000利用TCP协议,和IP地址为121.14.88.76端口为80的终端进行连接。
然而,无论是四元组信息、五元组信息还是七元组信息,均无法对数据包的协议属性、应用属性进行检查,这就造成了对于未知的流量往往无法进行有限检查,从而无法对内网安全做到有效防护。
为了解决以上存在的问题,人们一直在寻求一种理想的技术解决方案。
发明内容
本发明的目的是针对现有技术的不足,从而提供一种基于动态操作系统指纹及协议指纹的内网防护方法及系统。
为了实现上述目的,本发明所采用的技术方案是:
本发明第一方面提供一种基于动态操作系统指纹及协议指纹的内网防护方法,所述方法包括以下步骤:
步骤0,与内网主机相连的交换端口被配置为彼此之间相互隔离;
流量分类器在第一次接收到某个内网主机发送的数据报文时,提取该数据报文中的MAC地址,并更新当前MAC地址表;所述当前MAC地址表包括经过身份认证的内网主机的MAC地址;
步骤1,流量分类器实时监测是否接收到新流量数据,若是则提取出所述新流量数据中的源MAC地址和目的MAC地址;
判断提取出的源MAC地址和目的MAC地址是否均在所述当前MAC地址表中,若是则将所述新流量数据作为内网流量数据,转步骤2;否则对所述新流量数据丢弃处理;
步骤2,确定所述内网流量数据中的指定字段是否满足预先设置的白名单策略,若是则将所述内网流量数据作为合法流量数据,转步骤3,否则将所述内网流量数据作为非法流量数据进行丢弃处理;
其中,所述指定字段包括内网发送主机的操作系统指纹字段和应用指纹字段,所述操作系统指纹字段被填充为IP协议中TTL值和TCP协议中的Window Size值,所述应用指纹字段被填充为自定义传输协议报文的TCPheader的option字段,所述白名单策略预先指定内网主机的MAC地址、内网主机的操作系统指纹和内网主机的应用指纹之间的映射关系;
步骤3,从操作系统指纹池中随机选取一种操作系统指纹,作为新操作系统指纹,并用所述新操作系统指纹替换所述合法流量数据中的原操作系统指纹;
按照预先配置的指纹策略生成新应用指纹,并用所述新应用指纹替换所述合法流量数据中的原应用指纹;
步骤4,基于所述新操作系统指纹和所述新应用指纹组成新合法流量数据,将所述新合法流量数据发送至对应的内网接收主机。
本发明第二方面提供一种基于动态操作系统指纹及协议指纹的内网防护系统,所述系统包括:包括流量分类器、白名单筛选器、指纹变换器和流量转发器,所述流量分类器与N个内网主机相连的N个交换端口彼此之间相互隔离,N个内网主机无法跳跃流量分类器进行通讯;
所述流量分类器,用于在第一次接收到某个内网主机发送的数据报文时,提取该数据报文中的MAC地址,并更新当前MAC地址表,所述当前MAC地址表包括经过身份认证的内网主机的MAC地址;还用于实时监测是否接收到新流量数据,若是则提取出所述新流量数据中的源MAC地址和目的MAC地址;还用于判断提取出的源MAC地址和目的MAC地址是否在所述当前MAC地址表中,若是则将所述新流量数据作为内网流量数据,并传输至所述白名单筛选器,否则对所述新流量数据进行丢弃处理;
所述白名单筛选器,用于确定接收到的内网流量数据中的指定字段是否满足预先设置的白名单策略,若是则将所述内网流量数据作为合法流量数据,并传输至所述指纹变换器,否则将所述内网流量数据作为非法流量数据进行丢弃处理;其中,所述指定字段包括内网发送主机的操作系统指纹字段和应用指纹字段,所述操作系统指纹字段被填充为IP协议中TTL值和TCP协议中的Window Size值,所述应用指纹字段被填充为自定义传输协议报文的TCPheader的option字段,所述白名单策略预先指定内网主机的MAC地址、内网主机的操作系统指纹和内网主机的应用指纹之间的映射关系;
所述指纹变换器,用于从操作系统指纹池中随机选取一种操作系统指纹,作为新操作系统指纹,并用所述新操作系统指纹替换所述合法流量数据的操作系统指纹字段中的原操作系统指纹;还用于按照预先配置的指纹策略生成新应用指纹,并用所述新应用指纹替换所述合法流量数据的应用指纹字段中的原应用指纹;还用于基于所述新操作系统指纹和所述新应用指纹组成新合法流量数据,并转发至所述流量转发器;
所述流量转发器,用于将所述新合法流量数据发送至对应的内网接收主机。
本发明的有益效果为:
1)本发明通过在传统交换机的基础上引入白名单流量检查策略,实现对内网流量的严格控制,杜绝未知流量的横向传播,在一定程度上避免了未知流量造成的内网威胁扩散的问题;
2)经过白名单筛选器过滤出的合法流量数据,经所述指纹变换器动态改变操作系统指纹以及协议指纹,从而避免内网主机之间的横向扫描,让内网主机之间无法探测对方使用的操作系统以及通信流量特征;
3)从操作系统指纹池中随机选取一种操作系统指纹,作为新操作系统指纹,通过改变IP协议中的TTL值以及Window Size值可以迷惑外部用户,防止外部用户通过扫描探测的方式发现操作系统的状态,从而保证内网流量数据安全可靠地流转。
附图说明
图1是本发明的基于动态操作系统指纹及协议指纹的内网防护方法的流程图;
图2是本发明的基于动态操作系统指纹及协议指纹的内网防护系统的结构示意图。
具体实施方式
下面通过具体实施方式,对本发明的技术方案做进一步的详细描述。
实施例1
如附图1所示,一种基于动态操作系统指纹及协议指纹的内网防护方法,所述方法包括以下步骤:
步骤0,与内网主机相连的交换端口被配置为彼此之间相互隔离;
流量分类器在第一次接收到某个内网主机发送的数据报文时,提取该数据报文中的MAC地址,并更新当前MAC地址表;所述当前MAC地址表包括经过身份认证的内网主机的MAC地址;
步骤1,流量分类器实时监测是否接收到新流量数据,若是则提取出所述新流量数据中的源MAC地址和目的MAC地址;
判断提取出的源MAC地址和目的MAC地址是否均在所述当前MAC地址表中,若是则将所述新流量数据作为内网流量数据,转步骤2;否则对所述新流量数据丢弃处理;
步骤2,确定所述内网流量数据中的指定字段是否满足预先设置的白名单策略,若是则将所述内网流量数据作为合法流量数据,转步骤3,否则将所述内网流量数据作为非法流量数据进行丢弃处理;
其中,所述指定字段包括内网发送主机的操作系统指纹字段和应用指纹字段,所述操作系统指纹字段被填充为IP协议中TTL值和TCP协议中的Window Size值,所述应用指纹字段被填充为自定义传输协议报文的TCPheader的option字段,所述白名单策略预先指定内网主机的MAC地址、内网主机的操作系统指纹和内网主机的应用指纹之间的映射关系;
步骤3,从操作系统指纹池中随机选取一种操作系统指纹,作为新操作系统指纹,并用所述新操作系统指纹替换所述合法流量数据中的原操作系统指纹;
按照预先配置的指纹策略生成新应用指纹,并用所述新应用指纹替换所述合法流量数据中的原应用指纹;
步骤4,基于所述新操作系统指纹和所述新应用指纹组成新合法流量数据,将所述新合法流量数据发送至对应的内网接收主机。
需要说明的是,经过身份验证的内网主机之间约定采用指定格式(指定格式包括指定字段和数据)进行通信,指定字段需要满足预先设置的白名单策略,如下表所示:
Figure DEST_PATH_IMAGE001
白名单策略的0-5个字段与传统的ACL规则兼容,6、7字段为操作系统指纹字段与应用指纹字段。根据白名单策略中的字段对数据报文进行的前6位字段以及第7位字段进行合规性检查,如果不满足字段要求(白名单策略),直接丢弃处理。其中,合规性检查指的是报文是否满足白名单策略。例如,白名单策略中包含Linux系统指纹是合法报文,在内网流量中出现了包含Windows系统指纹的流量,则认为此流量是非法的,直接进行丢弃处理。
可以理解,正常情况下,1个内网中使用的操作系统类型或者应用协议类型都是固定不变的,不在白名单策略中的操作系统类型或者协议类型很明显是异常流量;本发明通过引入操作系统指纹与应用指纹,在大范围层面可以快速判定此流量是否合法,提高了流量的过滤效率。在此基础上,为了避免内网主机之间的横向扫描,让内网主机之间无法探测对方使用的操作系统以及通信流量特征;经过过滤的流量,需要动态改变操作系统指纹以及应用指纹。
可以理解,所述操作系统指纹包含在IP协议中TTL和TCP协议中的Window Size中,通过改变IP协议中的TTL值以及Window Size值可以迷惑外部用户,避免外部用通过扫描探测的方式发现操作系统的状态;操作系统指纹的改变往往不会影响正常的通信;
Figure 297573DEST_PATH_IMAGE002
操作系统与IP协议对应的TTL和TCP协议的对应Window Size如上表所示。
对于应用(协议)指纹,这里的应用(协议)指纹不是标准的TCP、UDP、DNS等标准协议,而是特指用户基于TCP/UDP自定义的传输协议;基于TCP/UDP的自定义传输协议,往往将协议号放在payload中进行传输,数据发送双方通过识别自定义协议号来完成自定义通讯。自定义协议报文基于TCP/UDP进行设计,往往由Protocol和Data两部分组成,为了确保Data的安全性,往往采用加密的方式进行设计,而Protocol往往是固定的;本发明中,发送方发出的内网流量数据携带的是自身的应用指纹字段,具体为自定义传输协议报文的TCPheader的option字段(可以自定义),option字段为一串自定义数字;应用指纹变换是针对Protocol的option字段的变换。
需要说明的是,所述操作系统指纹不需要进行校验,所述应用(协议)指纹需要进行校验,因此,所述基于动态操作系统指纹及协议指纹的内网防护方法,还包括:对应的内网接收主机接收到所述新合法流量数据后,还执行:
解析出所述新合法流量数据中的新应用指纹,进行应用协议指纹校验:按照预先接收到的指纹策略进行变换,以判断所述新应用指纹是否为正常应用指纹,若所述新应用指纹非正常应用指纹,则判定所述新合法流量数据未通过应用协议指纹校验,对所述新合法流量数据进行丢弃处理,若所述新应用指纹为正常应用指纹,则进行后续处理。
在一种具体实施方式中,所述步骤3中,按照预先配置的指纹策略生成新应用指纹时,采用基于随机范围的应用指纹生成策略,且所述基于随机范围的应用指纹生成策略为:
Y1=rand(option,option+a1
其中,Y1表示所述新合法流量数据的应用指纹字段中的新应用指纹,且该新应用指纹基于随机范围的应用指纹生成策略获得,option表示所述合法流量数据的应用指纹字段中的原应用指纹,a1表示第一协议变换系数。
进一步的,对应的内网接收主机预先接收到随机值min和随机值max;
在对应的内网接收主机接收到所述新合法流量数据,进行应用协议指纹校验时:从所述新合法流量数据中解析出所述新应用指纹Y1,并判断所述新应用指纹Y1是否在预先接收到的随机值min和随机值max之间,若是则判定所述新应用指纹为正常应用指纹,否则判定所述新应用指纹非正常应用指纹。
在另一种具体实施方式中,所述步骤3中,按照预先配置的指纹策略生成新应用指纹时,采用基于固定函数的应用指纹变换策略,且所述基于固定函数的应用指纹变换策略为:
Y2=a2*option+len
其中,Y2表示所述新合法流量数据的应用指纹字段中的新应用指纹,且该新应用指纹基于固定函数的应用指纹变换策略生成,option表示所述合法流量数据的应用指纹字段中的原应用指纹,len为新合法流量数据的报文长度,a2表示第二协议变换系数。
进一步的,对应的内网接收主机预先接收到的加密指纹策略,并根据预先存储的加密密钥key对所述加密指纹策略解密,得到基于固定函数的应用指纹变换策略;
在对应的内网接收主机接收到所述新合法流量数据,进行应用协议指纹校验时:从所述新合法流量数据中解析出新应用指纹Y2’,从解密出的基于固定函数的应用指纹变换策略中解析出新合法流量数据的报文长度len以及第二协议变换系数a2;用所述新应用指纹Y2减去新合法流量数据的报文长度len,再除以所述第二协议变换系数a2,得到新应用指纹Y2’’;
比对新应用指纹Y2’’与预先获得的原应用指纹是否一致,若一致,则判定新应用指纹Y2’为正常应用指纹,否则判定新应用指纹Y2’非正常应用指纹。
为了进一步提高内网安全可靠性,不同时间段内或者不同内网主机之间所采用的应用指纹变换策略及应用协议指纹校验方式不同。
实施例2
在实施例1的基础上,本实施例给出了一种基于动态操作系统指纹及协议指纹的内网防护系统,如附图2所示;
所述基于动态操作系统指纹及协议指纹的内网防护系统包括:包括流量分类器、白名单筛选器、指纹变换器和流量转发器,所述流量分类器与N个内网主机相连的N个交换端口彼此之间相互隔离,N个内网主机无法跳跃流量分类器进行通讯;
所述流量分类器,用于在第一次接收到某个内网主机发送的数据报文时,提取该数据报文中的MAC地址,并更新当前MAC地址表,所述当前MAC地址表包括经过身份认证的内网主机的MAC地址;还用于实时监测是否接收到新流量数据,若是则提取出所述新流量数据中的源MAC地址和目的MAC地址;还用于判断提取出的源MAC地址和目的MAC地址是否在所述当前MAC地址表中,若是则将所述新流量数据作为内网流量数据,并传输至所述白名单筛选器,否则对所述新流量数据进行丢弃处理;
所述白名单筛选器,用于确定接收到的内网流量数据中的指定字段是否满足预先设置的白名单策略,若是则将所述内网流量数据作为合法流量数据,并传输至所述指纹变换器,否则将所述内网流量数据作为非法流量数据进行丢弃处理;其中,所述指定字段包括内网发送主机的操作系统指纹字段和应用指纹字段,所述操作系统指纹字段被填充为IP协议中TTL值和TCP协议中的Window Size值,所述应用指纹字段被填充为自定义传输协议报文的TCPheader的option字段,所述白名单策略预先指定内网主机的MAC地址、内网主机的操作系统指纹和内网主机的应用指纹之间的映射关系;
所述指纹变换器,用于从操作系统指纹池中随机选取一种操作系统指纹,作为新操作系统指纹,并用所述新操作系统指纹替换所述合法流量数据的操作系统指纹字段中的原操作系统指纹;还用于按照预先配置的指纹策略生成新应用指纹,并用所述新应用指纹替换所述合法流量数据的应用指纹字段中的原应用指纹;还用于基于所述新操作系统指纹和所述新应用指纹组成新合法流量数据,并转发至所述流量转发器;
所述流量转发器,用于将所述新合法流量数据发送至对应的内网接收主机。
具体的,所述原操作系统指纹指的是新流量数据发送方的操作系统指纹,所述原应用指纹指的是新流量数据发送方的应用指纹。
其中,所述操作系统指纹池中的新操作系统指纹为:指纹变换器根据内网主机的属性事先植入到指纹池中的拟态指纹。例如,新操作系统指纹可以为与原操作系统指纹存在映射关系的拟态指纹(一些与原操作系统指纹不同的常用操作系统指纹),或者基于加密算法对一些内网主机常用的操作系统指纹进行处理后得到的拟态指纹。
可以理解,流量分类器集中处理内网所有设备的流量,为了保证内网中所有设备的流量都经过流量分类器的处理,要求与内网主机相连的交换端口彼此之间是相互隔离的,无法跳跃流量分类器进行通讯。流量分类器第一次接收内网主机中的数据报文后,更新MAC地址表。后续的流量根据MAC表进行分类,如果报文的目的MAC地址不在MAC地址表中,则判断此报文为外网报文,直接送往上行口进行处理,上行口一般与路由器、防火墙进行连接;否则为内网流量,内网流量送至白名单筛选器进行处理。
所述基于动态操作系统指纹及协议指纹的内网防护系统还包括与所述白名单筛选器连接的白名单策略生成器,所述白名单策略生成器根据用户自定义规则完成白名单策略的配置;其中,用户自定义规则指的用户自己定义白名单策略,根据内网中应用的使用情况,建立多个白名单策略,填充0-7字段内容。
具体的,所述白名单筛选器确定接收到的内网流量数据中的操作系统指纹字段是否满足预先设置的白名单策略时,采用单独的操作系统检测模块进行处理。操作系统检测模块实时探测内网主机的操作系统属性,当出现未受控制的操作系统后,获取此操作系统发出报文的源MAC地址,并将此MAC地址作为非法MAC地址进行处理,对于数据流量中包含非法MAC地址的报文进行丢弃处理。
进一步的,对应的内网接收主机用于:
在接收到所述新合法流量数据后,解析出所述新合法流量数据中的新应用指纹,进行应用协议指纹校验:按照预先接收到的指纹策略进行逆向变换,以判断所述新应用指纹是否为正常应用指纹,若所述新应用指纹非正常应用指纹,则判定所述新合法流量数据未通过应用协议指纹校验,对所述新合法流量数据进行丢弃处理。
进一步的,所述指纹变换器按照预先配置的指纹策略生成新应用指纹时,
采用基于随机范围的应用指纹生成策略,且所述基于随机范围的应用指纹生成策略为:
Y1=rand(option,option+a1
其中,Y1表示所述新合法流量数据的应用指纹字段中的新应用指纹,且该新应用指纹基于随机范围的应用指纹生成策略获得,option表示所述合法流量数据的应用指纹字段中的原应用指纹,a1表示第一协议变换系数;
和/或,采用基于固定函数的应用指纹变换策略,且所述基于固定函数的应用指纹变换策略为:
Y2=a2*option+len
其中,Y2表示所述新合法流量数据的应用指纹字段中的新应用指纹,且该新应用指纹基于固定函数的应用指纹变换策略生成,option表示所述合法流量数据的应用指纹字段中的原应用指纹,len为新合法流量数据的报文长度,a2表示第二协议变换系数。
需要说明的是,所述指纹变换器选取指纹策略(随机选取或者按照时间段选取),并将选取的指纹策略加密后通过广播的方式在内网进行广播,或者为了使得不同组的内网主机之间采用不同的指纹策略,将指纹策略加密后只发给指定的内网主机,然后根据指纹策略生成指纹;内网中的PC机,收到广播的指纹策略后,先进行解密,然后对应用指纹进行逆向变换,并判断逆向变换出的应用指纹是否为正常应用指纹
在一种具体实施方式中,对应的内网接收主机进行应用协议指纹校验时,具体用于:
对应的内网接收主机判断是否预先接收到随机值min和随机值max,若是,则在进行应用协议指纹校验时,执行:从所述新合法流量数据中解析出所述新应用指纹Y1,并判断所述新应用指纹Y1是否在预先接收到的随机值min和随机值max之间,若是则判定所述新应用指纹为正常应用指纹,否则判定所述新应用指纹非正常应用指纹。
在另一种具体实施方式中,对应的内网接收主机进行应用协议指纹校验时,具体用于:
对应的内网接收主机判断是否预先接收到加密指纹策略,若是,则先根据预先存储的加密密钥key对所述加密指纹策略解密,得到基于固定函数的应用指纹变换策略;在进行应用协议指纹校验时,执行:从所述新合法流量数据中解析出新应用指纹Y2’,从解密出的基于固定函数的应用指纹变换策略中解析出新合法流量数据的报文长度len以及第二协议变换系数a2;用所述新应用指纹Y2减去新合法流量数据的报文长度len,再除以所述第二协议变换系数a2,得到新应用指纹Y2’’;比对新应用指纹Y2’’与预先获得的原应用指纹(合法内网主机之间预先约定)是否一致,若一致,则判定新应用指纹Y2’为正常应用指纹,否则判定新应用指纹Y2’非正常应用指纹。
在一种具体实施方式中,内网主机PC1向内网主机PC2发送一个数据包,该数据包经过流量分类器、白名单筛选器、指纹变换器和流量转发器,被变成新合法流量数据,所述新合法流量数据经查表转发后被转发至内网主机PC2;其中,内网主机PC1的MAC地址对应的操作系统指纹与内网主机PC2的MAC地址对应的操作系统指纹可能不同(也可能相同),内网主机PC1的MAC地址对应的应用指纹与内网主机PC2的MAC地址对应的应用指纹可能不同(也可能相同);内网主机PC1发出的数据包携带原操作系统指纹和原应用指纹,原操作系统指纹和原应用指纹被记录在预先约定的白名单策略中;内网主机PC2接收到的新合法流量数据携带的是新操作系统指纹和新应用指纹,新操作系统指纹与原操作系统指纹不同,新应用指纹也与原应用指纹不同。
需要说明的是,本发明通过在传统交换的基础上引入流量分类器完成内外网流量的分类处理,并借助白名单筛选器实现内网流量的合法检查,然后采用传统的MAC地址表查找规则完成数据转发,对于已知流量进行严格筛选控制,对于未知流量采取丢弃处理的方法,在一定程度上避免了内网威胁的横向扩散问题。
最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制;尽管参照较佳实施例对本发明进行了详细的说明,所属领域的普通技术人员应当理解:依然可以对本发明的具体实施方式进行修改或者对部分技术特征进行等同替换;而不脱离本发明技术方案的精神,其均应涵盖在本发明请求保护的技术方案范围当中。

Claims (10)

1.一种基于动态操作系统指纹及协议指纹的内网防护方法,其特征在于,包括以下步骤:
步骤0,与内网主机相连的交换端口被配置为彼此之间相互隔离;
流量分类器在第一次接收到某个内网主机发送的数据报文时,提取该数据报文中的MAC地址,并更新当前MAC地址表;所述当前MAC地址表包括经过身份认证的内网主机的MAC地址;
步骤1,流量分类器实时监测是否接收到新流量数据,若是则提取出所述新流量数据中的源MAC地址和目的MAC地址;
判断提取出的源MAC地址和目的MAC地址是否均在所述当前MAC地址表中,若是则将所述新流量数据作为内网流量数据,转步骤2;否则对所述新流量数据丢弃处理;
步骤2,确定所述内网流量数据中的指定字段是否满足预先设置的白名单策略,若是则将所述内网流量数据作为合法流量数据,转步骤3,否则将所述内网流量数据作为非法流量数据进行丢弃处理;
其中,所述指定字段包括内网发送主机的操作系统指纹字段和应用指纹字段,所述操作系统指纹字段被填充为IP协议中TTL值和TCP协议中的Window Size值,所述应用指纹字段被填充为自定义传输协议报文的TCPheader的option字段,所述白名单策略预先指定内网主机的MAC地址、内网主机的操作系统指纹和内网主机的应用指纹之间的映射关系;
步骤3,从操作系统指纹池中随机选取一种操作系统指纹,作为新操作系统指纹,并用所述新操作系统指纹替换所述合法流量数据中的原操作系统指纹;
按照预先配置的指纹策略生成新应用指纹,并用所述新应用指纹替换所述合法流量数据中的原应用指纹;
步骤4,基于所述新操作系统指纹和所述新应用指纹组成新合法流量数据,将所述新合法流量数据发送至对应的内网接收主机。
2.根据权利要求1所述的基于动态操作系统指纹及协议指纹的内网防护方法,其特征在于,对应的内网接收主机接收到所述新合法流量数据后,还执行:
解析出所述新合法流量数据中的新应用指纹,进行应用协议指纹校验:按照预先接收到的指纹策略进行变换,以判断所述新应用指纹是否为正常应用指纹,若所述新应用指纹非正常应用指纹,则判定所述新合法流量数据未通过应用协议指纹校验,对所述新合法流量数据进行丢弃处理。
3.根据权利要求2所述的基于动态操作系统指纹及协议指纹的内网防护方法,其特征在于,所述步骤3中,按照预先配置的指纹策略生成新应用指纹时,采用基于随机范围的应用指纹生成策略,且所述基于随机范围的应用指纹生成策略为:
Y1=rand(option,option+a1
其中,Y1表示所述新合法流量数据的应用指纹字段中的新应用指纹,且该新应用指纹基于随机范围的应用指纹生成策略获得,option表示所述合法流量数据的应用指纹字段中的原应用指纹,a1表示第一协议变换系数。
4.根据权利要求3所述的基于动态操作系统指纹及协议指纹的内网防护方法,其特征在于,对应的内网接收主机预先接收到随机值min和随机值max;
在对应的内网接收主机接收到所述新合法流量数据,进行应用协议指纹校验时:从所述新合法流量数据中解析出所述新应用指纹Y1,并判断所述新应用指纹Y1是否在预先接收到的随机值min和随机值max之间,若是则判定所述新应用指纹为正常应用指纹,否则判定所述新应用指纹非正常应用指纹。
5.根据权利要求2所述的基于动态操作系统指纹及协议指纹的内网防护方法,其特征在于,所述步骤3中,按照预先配置的指纹策略生成新应用指纹时,采用基于固定函数的应用指纹变换策略,且所述基于固定函数的应用指纹变换策略为:
Y2=a2*option+len
其中,Y2表示所述新合法流量数据的应用指纹字段中的新应用指纹,且该新应用指纹基于固定函数的应用指纹变换策略生成,option表示所述合法流量数据的应用指纹字段中的原应用指纹,len为新合法流量数据的报文长度,a2表示第二协议变换系数。
6.根据权利要求5所述的基于动态操作系统指纹及协议指纹的内网防护方法,其特征在于,对应的内网接收主机预先接收到的加密指纹策略,并根据预先存储的加密密钥key对所述加密指纹策略解密,得到基于固定函数的应用指纹变换策略;
在对应的内网接收主机接收到所述新合法流量数据,进行应用协议指纹校验时:从所述新合法流量数据中解析出新应用指纹Y2’,从解密出的基于固定函数的应用指纹变换策略中解析出新合法流量数据的报文长度len以及第二协议变换系数a2;用所述新应用指纹Y2减去新合法流量数据的报文长度len,再除以所述第二协议变换系数a2,得到新应用指纹Y2’’;
比对新应用指纹Y2’’与预先获得的原应用指纹是否一致,若一致,则判定新应用指纹Y2’为正常应用指纹,否则判定新应用指纹Y2’非正常应用指纹。
7.一种基于动态操作系统指纹及协议指纹的内网防护系统,其特征在于:包括流量分类器、白名单筛选器、指纹变换器和流量转发器,所述流量分类器与N个内网主机相连的N个交换端口彼此之间相互隔离,N个内网主机无法跳跃流量分类器进行通讯;
所述流量分类器,用于在第一次接收到某个内网主机发送的数据报文时,提取该数据报文中的MAC地址,并更新当前MAC地址表,所述当前MAC地址表包括经过身份认证的内网主机的MAC地址;还用于实时监测是否接收到新流量数据,若是则提取出所述新流量数据中的源MAC地址和目的MAC地址;还用于判断提取出的源MAC地址和目的MAC地址是否在所述当前MAC地址表中,若是则将所述新流量数据作为内网流量数据,并传输至所述白名单筛选器,否则对所述新流量数据进行丢弃处理;
所述白名单筛选器,用于确定接收到的内网流量数据中的指定字段是否满足预先设置的白名单策略,若是则将所述内网流量数据作为合法流量数据,并传输至所述指纹变换器,否则将所述内网流量数据作为非法流量数据进行丢弃处理;其中,所述指定字段包括内网发送主机的操作系统指纹字段和应用指纹字段,所述操作系统指纹字段被填充为IP协议中TTL值和TCP协议中的Window Size值,所述应用指纹字段被填充为自定义传输协议报文的TCPheader的option字段,所述白名单策略预先指定内网主机的MAC地址、内网主机的操作系统指纹和内网主机的应用指纹之间的映射关系;
所述指纹变换器,用于从操作系统指纹池中随机选取一种操作系统指纹,作为新操作系统指纹,并用所述新操作系统指纹替换所述合法流量数据的操作系统指纹字段中的原操作系统指纹;还用于按照预先配置的指纹策略生成新应用指纹,并用所述新应用指纹替换所述合法流量数据的应用指纹字段中的原应用指纹;还用于基于所述新操作系统指纹和所述新应用指纹组成新合法流量数据,并转发至所述流量转发器;
所述流量转发器,用于将所述新合法流量数据发送至对应的内网接收主机。
8.根据权利要求7所述的基于动态操作系统指纹及协议指纹的内网防护系统,其特征在于:对应的内网接收主机用于:
在接收到所述新合法流量数据后,解析出所述新合法流量数据中的新应用指纹,进行应用协议指纹校验:按照预先接收到的指纹策略进行逆向变换,以判断所述新应用指纹是否为正常应用指纹,若所述新应用指纹非正常应用指纹,则判定所述新合法流量数据未通过应用协议指纹校验,对所述新合法流量数据进行丢弃处理。
9.根据权利要求8所述的基于动态操作系统指纹及协议指纹的内网防护系统,其特征在于:所述指纹变换器按照预先配置的指纹策略生成新应用指纹时,
采用基于随机范围的应用指纹生成策略,且所述基于随机范围的应用指纹生成策略为:
Y1=rand(option,option+a1
其中,Y1表示所述新合法流量数据的应用指纹字段中的新应用指纹,且该新应用指纹基于随机范围的应用指纹生成策略获得,option表示所述合法流量数据的应用指纹字段中的原应用指纹,a1表示第一协议变换系数;
和/或,采用基于固定函数的应用指纹变换策略,且所述基于固定函数的应用指纹变换策略为:
Y2=a2*option+len
其中,Y2表示所述新合法流量数据的应用指纹字段中的新应用指纹,且该新应用指纹基于固定函数的应用指纹变换策略生成,option表示所述合法流量数据的应用指纹字段中的原应用指纹,len为新合法流量数据的报文长度,a2表示第二协议变换系数。
10.根据权利要求9所述的基于动态操作系统指纹及协议指纹的内网防护系统,其特征在于:对应的内网接收主机进行应用协议指纹校验时,具体用于:
对应的内网接收主机判断是否预先接收到随机值min和随机值max,若是,则在进行应用协议指纹校验时,执行:从所述新合法流量数据中解析出所述新应用指纹Y1,并判断所述新应用指纹Y1是否在预先接收到的随机值min和随机值max之间,若是则判定所述新应用指纹为正常应用指纹,否则判定所述新应用指纹非正常应用指纹;
对应的内网接收主机判断是否预先接收到加密指纹策略,若是,则先根据预先存储的加密密钥key对所述加密指纹策略解密,得到基于固定函数的应用指纹变换策略;在进行应用协议指纹校验时,执行:从所述新合法流量数据中解析出新应用指纹Y2’,从解密出的基于固定函数的应用指纹变换策略中解析出新合法流量数据的报文长度len以及第二协议变换系数a2;用所述新应用指纹Y2减去新合法流量数据的报文长度len,再除以所述第二协议变换系数a2,得到新应用指纹Y2’’;比对新应用指纹Y2’’与预先获得的原应用指纹是否一致,若一致,则判定新应用指纹Y2’为正常应用指纹,否则判定新应用指纹Y2’非正常应用指纹。
CN202111655489.2A 2021-12-31 2021-12-31 基于动态操作系统指纹及协议指纹的内网防护方法及系统 Active CN114363041B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111655489.2A CN114363041B (zh) 2021-12-31 2021-12-31 基于动态操作系统指纹及协议指纹的内网防护方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111655489.2A CN114363041B (zh) 2021-12-31 2021-12-31 基于动态操作系统指纹及协议指纹的内网防护方法及系统

Publications (2)

Publication Number Publication Date
CN114363041A true CN114363041A (zh) 2022-04-15
CN114363041B CN114363041B (zh) 2023-08-11

Family

ID=81103414

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111655489.2A Active CN114363041B (zh) 2021-12-31 2021-12-31 基于动态操作系统指纹及协议指纹的内网防护方法及系统

Country Status (1)

Country Link
CN (1) CN114363041B (zh)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101415012A (zh) * 2008-11-06 2009-04-22 杭州华三通信技术有限公司 一种防御地址解析协议报文攻击的方法和系统
WO2019137554A1 (zh) * 2018-01-15 2019-07-18 中兴通讯股份有限公司 一种保证环网协议运行安全的方法及装置
CN110113333A (zh) * 2019-04-30 2019-08-09 中国人民解放军战略支援部队信息工程大学 一种tcp/ip协议指纹动态化处理方法及装置
WO2019205836A1 (zh) * 2018-04-28 2019-10-31 中兴通讯股份有限公司 一种数据报文转发的方法及装置
CN112929373A (zh) * 2021-02-07 2021-06-08 河南信大网御科技有限公司 一种内网设备防护方法
CN113079091A (zh) * 2020-01-03 2021-07-06 华为技术有限公司 一种主动随流检测的方法、网络设备以及通信系统
CN113765846A (zh) * 2020-06-01 2021-12-07 极客信安(北京)科技有限公司 一种网络异常行为智能检测与响应方法、装置及电子设备

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101415012A (zh) * 2008-11-06 2009-04-22 杭州华三通信技术有限公司 一种防御地址解析协议报文攻击的方法和系统
WO2019137554A1 (zh) * 2018-01-15 2019-07-18 中兴通讯股份有限公司 一种保证环网协议运行安全的方法及装置
WO2019205836A1 (zh) * 2018-04-28 2019-10-31 中兴通讯股份有限公司 一种数据报文转发的方法及装置
CN110113333A (zh) * 2019-04-30 2019-08-09 中国人民解放军战略支援部队信息工程大学 一种tcp/ip协议指纹动态化处理方法及装置
CN113079091A (zh) * 2020-01-03 2021-07-06 华为技术有限公司 一种主动随流检测的方法、网络设备以及通信系统
CN113765846A (zh) * 2020-06-01 2021-12-07 极客信安(北京)科技有限公司 一种网络异常行为智能检测与响应方法、装置及电子设备
CN112929373A (zh) * 2021-02-07 2021-06-08 河南信大网御科技有限公司 一种内网设备防护方法

Also Published As

Publication number Publication date
CN114363041B (zh) 2023-08-11

Similar Documents

Publication Publication Date Title
US8060927B2 (en) Security state aware firewall
Kent et al. RFC 4301: Security architecture for the Internet protocol
US7386889B2 (en) System and method for intrusion prevention in a communications network
US8904514B2 (en) Implementing a host security service by delegating enforcement to a network device
US7360245B1 (en) Method and system for filtering spoofed packets in a network
US7765309B2 (en) Wireless provisioning device
US9602485B2 (en) Network, network node with privacy preserving source attribution and admission control and device implemented method therfor
EP1484887A2 (en) A multi-layer based method for implementing network firewalls
WO2014165519A1 (en) Identity-based internet protocol networking
WO2005024567A2 (en) Network communication security system, monitoring system and methods
CN101340440A (zh) 一种防御网络攻击的方法及其装置
CN111988289B (zh) Epa工业控制网络安全测试系统及方法
AU2003294304B2 (en) Systems and apparatuses using identification data in network communication
US20170019426A1 (en) Method for attribution security system
Touil et al. Secure and guarantee QoS in a video sequence: a new approach based on TLS protocol to secure data and RTP to ensure real-time exchanges
GB2583112A (en) Efficient protection for an IKEv2 device
CN110868362B (zh) 一种MACsec非受控端口报文的处理方法及装置
WO2011082584A1 (zh) 数据报文分类处理的实现方法、网络及终端
CN111464550B (zh) 一种用于报文处理设备的https透明防护方法
CN109167774B (zh) 一种数据报文及在防火墙上的数据流安全互访方法
CN110602110A (zh) 一种全网端口隔离方法、装置、设备及存储介质
CN114363041B (zh) 基于动态操作系统指纹及协议指纹的内网防护方法及系统
Stephens Security architecture for aeronautical networks
CN118337472A (zh) 一种利用ARP协议绕过windows防火墙的局域网通讯方法
Johnson et al. Detection and Response Policies Using a Hierarchical Scheme

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant