CN116232934A - 一种基于网络协议分析鉴别远程操作系统版本的方法 - Google Patents
一种基于网络协议分析鉴别远程操作系统版本的方法 Download PDFInfo
- Publication number
- CN116232934A CN116232934A CN202310254663.5A CN202310254663A CN116232934A CN 116232934 A CN116232934 A CN 116232934A CN 202310254663 A CN202310254663 A CN 202310254663A CN 116232934 A CN116232934 A CN 116232934A
- Authority
- CN
- China
- Prior art keywords
- operating system
- fingerprint
- characteristic
- client
- network protocol
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 20
- 238000001914 filtration Methods 0.000 claims description 6
- 238000004891 communication Methods 0.000 claims description 4
- 230000002085 persistent effect Effects 0.000 claims description 3
- 230000004044 response Effects 0.000 claims description 3
- 230000001502 supplementing effect Effects 0.000 claims description 3
- 230000000694 effects Effects 0.000 abstract description 3
- 230000007246 mechanism Effects 0.000 abstract description 3
- 239000013589 supplement Substances 0.000 abstract description 3
- 230000005540 biological transmission Effects 0.000 abstract 1
- 238000005206 flow analysis Methods 0.000 abstract 1
- 230000006872 improvement Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/02—Capturing of monitoring data
- H04L43/028—Capturing of monitoring data by filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/02—Capturing of monitoring data
- H04L43/022—Capturing of monitoring data by sampling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/02—Capturing of monitoring data
- H04L43/026—Capturing of monitoring data using flow identification
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/18—Protocol analysers
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Communication Control (AREA)
- Computer And Data Communications (AREA)
- Collating Specific Patterns (AREA)
Abstract
本发明公开一种基于网络协议分析鉴别远程操作系统版本的方法。本发明通过网络协议的流量分析解决多平台多端设备下,raylink客户端对操作系统鉴别的增强,在无法通过User‑Agent传输的情况下,进行通用化的鉴别,分析来源的操作系统版本。本发明具有以下技术效果:1、无需各平台客户端自行鉴别操作系统,只需服务端统一分析流量鉴别系统;2、避免客户端无法鉴别操作系统,或通过User‑Agent伪造操作系统来源;3、根据底层协议栈的指纹鉴别,是基于不同操作系统底层程序差异导致的,具有更高的可靠性和准确性;4、反补充机制可以不断的扩展指纹特征库,可以不断的进行学习拓宽。
Description
技术领域
本发明涉及远程控制技术领域,尤其涉及一种基于网络协议分析鉴别远程操作系统版本的方法。
背景技术
目前在raylink远控的多端应用中,鉴别所在操作系统信息版本号等均由各客户端自行鉴别,并且通过http协议里规定的请求头User-Agent传递到后台进行记录;此过程,需要多端重复自行处理,且不一定能获取操作系统版本号,导致User-Agent的缺省,无法鉴别客户端来源的相关操作系统信息。
因此,现有技术存在缺陷,需要改进。
发明内容
本发明要解决的技术问题是:提供一种基于网络协议分析鉴别远程操作系统版本的方法,在无法通过User-Agent传输的情况下,进行通用化的鉴别,分析来源的操作系统版本(如win,mac,ios,unix等)。
本发明的技术方案如下:提供一种基于网络协议分析鉴别远程操作系统版本的方法,包括以下步骤。
S1:使用raylink客户端在常见多平台上进行通信,采集到相应的常见操作系统的流量。
S2:对采集到的流量,在wireshark上使用Berkeley包过滤器进行过滤,过滤获取tcp/ip协议族的流量信息,从中提取协议栈指纹,获得各特征指纹,用于后续的指纹识别匹配。
S3:以每一种特征指纹为一组,得出不同os之间的差异,归类为一种特征规则。
S4:存储所得特征规则到相应的存储介质。
S5:在raylink客户端与后端服务器建立通信连接后,获取底层的网络协议流量,进行解码分析,获取步骤S2对应特征指纹的值。
S6:采用规则匹配的方式,校对所得特征指纹和存储的特征指纹,最终鉴别raylink客户端来源的操作系统信息。
S7:对步骤S6中无法识别的操作系统,记录其特征指纹,并提供展示和跟踪,达到可补充操作系统特征指纹的要求;进入步骤S3中。
在步骤S7中,在进入步骤S3之前,人工核对即将进入步骤S3中的特征指纹。
所述特征指纹包括:TTL、DF位识别、ACK序号、ICMP地址屏蔽请求、对FIN包的响应、初始化序列号、最大分段尺寸、Http指纹中的至少两种。
所述存储介质为数据库或永久存储设备。所述存储介质优选Mysql数据库。
采用上述方案,本发明提供一种基于网络协议分析鉴别远程操作系统版本的方法,具有以下技术效果:1、无需各平台客户端自行鉴别操作系统,只需服务端统一分析流量鉴别系统;2、避免客户端无法鉴别操作系统,或通过User-Agent伪造操作系统来源;3、根据底层协议栈的指纹鉴别,是基于不同操作系统底层程序差异导致的,具有更高的可靠性和准确性;4、反补充机制可以不断的扩展指纹特征库,可以不断的进行学习拓宽。
附图说明
图1为本发明的方法流程图。
具体实施方式
以下结合附图和具体实施例,对本发明进行详细说明。
请参阅图1,本发明提供提供一种基于网络协议分析鉴别远程操作系统版本的方法,包括以下步骤。
S1:使用raylink客户端在常见多平台上进行通信,采集到相应的常见操作系统的流量。
S2:对采集到的流量,在wireshark上使用Berkeley包过滤器进行过滤,过滤获取tcp/ip协议族的流量信息,从中提取协议栈指纹,获得各特征指纹,用于后续的指纹识别匹配。
S3:以每一种特征指纹为一组,得出不同os之间的差异,归类为一种特征规则。
S4:存储所得特征规则到相应的存储介质。
S5:在raylink客户端与后端服务器建立通信连接后,获取底层的网络协议流量,进行解码分析,获取步骤S2对应特征指纹的值。
S6:采用规则匹配的方式,校对所得特征指纹和存储的特征指纹,最终鉴别raylink客户端来源的操作系统信息。
S7:对步骤S6中无法识别的操作系统,记录其特征指纹,并提供展示和跟踪,达到可补充操作系统特征指纹的要求;进入步骤S3中。
在步骤S7中,在进入步骤S3之前,人工核对即将进入步骤S3中的特征指纹。
在本实施例中,所述特征指纹包括:TTL、DF位识别、ACK序号、ICMP地址屏蔽请求、对FIN包的响应、初始化序列号、最大分段尺寸、Http指纹中的至少两种。
以TTL值为例,可总结出下述规则。
在本实施例中,所述存储介质为数据库或永久存储设备。所述存储介质优选Mysql数据库。
综上所述,本发明提供一种基于网络协议分析鉴别远程操作系统版本的方法,具有以下技术效果:1、无需各平台客户端自行鉴别操作系统,只需服务端统一分析流量鉴别系统;2、避免客户端无法鉴别操作系统,或通过User-Agent伪造操作系统来源;3、根据底层协议栈的指纹鉴别,是基于不同操作系统底层程序差异导致的,具有更高的可靠性和准确性;4、反补充机制可以不断的扩展指纹特征库,可以不断的进行学习拓宽。
以上仅为本发明的较佳实施例而已,并不用于限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (5)
1.一种基于网络协议分析鉴别远程操作系统版本的方法,其特征在于,包括以下步骤:
S1:使用raylink客户端在常见多平台上进行通信,采集到相应的常见操作系统的流量;
S2:对采集到的流量,在wireshark上使用Berkeley包过滤器进行过滤,过滤获取tcp/ip协议族的流量信息,从中提取协议栈指纹,获得各特征指纹,用于后续的指纹识别匹配;
S3:以每一种特征指纹为一组,得出不同os之间的差异,归类为一种特征规则;
S4:存储所得特征规则到相应的存储介质;
S5:在raylink客户端与后端服务器建立通信连接后,获取底层的网络协议流量,进行解码分析,获取步骤S2对应特征指纹的值;
S6:采用规则匹配的方式,校对所得特征指纹和存储的特征指纹,最终鉴别raylink客户端来源的操作系统信息。
2.根据权利要求1所述的一种基于网络协议分析鉴别远程操作系统版本的方法,其特征在于,还包括:S7:对步骤S6中无法识别的操作系统,记录其特征指纹,并提供展示和跟踪,达到可补充操作系统特征指纹的要求;进入步骤S3中。
3.根据权利要求2所述的一种基于网络协议分析鉴别远程操作系统版本的方法,其特征在于,在步骤S7中,在进入步骤S3之前,人工核对即将进入步骤S3中的特征指纹。
4.根据权利要求1所述的一种基于网络协议分析鉴别远程操作系统版本的方法,其特征在于,所述特征指纹包括:TTL、DF位识别、ACK序号、ICMP地址屏蔽请求、对FIN包的响应、初始化序列号、最大分段尺寸、Http指纹中的至少两种。
5.根据权利要求1所述的一种基于网络协议分析鉴别远程操作系统版本的方法,其特征在于,所述存储介质为数据库或永久存储设备。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310254663.5A CN116232934B (zh) | 2023-03-06 | 2023-03-06 | 一种基于网络协议分析鉴别远程操作系统版本的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310254663.5A CN116232934B (zh) | 2023-03-06 | 2023-03-06 | 一种基于网络协议分析鉴别远程操作系统版本的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN116232934A true CN116232934A (zh) | 2023-06-06 |
| CN116232934B CN116232934B (zh) | 2024-06-18 |
Family
ID=86575037
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310254663.5A Active CN116232934B (zh) | 2023-03-06 | 2023-03-06 | 一种基于网络协议分析鉴别远程操作系统版本的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116232934B (zh) |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070028244A1 (en) * | 2003-10-08 | 2007-02-01 | Landis John A | Computer system para-virtualization using a hypervisor that is implemented in a partition of the host system |
| US20090182836A1 (en) * | 2008-01-16 | 2009-07-16 | Aviles Joaquin J | System and method for populating a cache using behavioral adaptive policies |
| WO2016101638A1 (zh) * | 2014-12-23 | 2016-06-30 | 国家电网公司 | 一种电力系统云仿真平台的运营管理方法 |
| US20200050479A1 (en) * | 2018-08-09 | 2020-02-13 | Spacebook Technology Co. Limited | Blockchain network and task scheduling method therefor |
| US20210200844A1 (en) * | 2019-12-31 | 2021-07-01 | Wipro Limited | Method and system for alleviating authenticity of sensors in biometric authentication |
| US20210266343A1 (en) * | 2020-02-25 | 2021-08-26 | Arbor Networks, Inc. | Avoidance of over-mitigation during automated ddos filtering |
| CN113689372A (zh) * | 2021-08-26 | 2021-11-23 | 北京字节跳动网络技术有限公司 | 图像处理方法、设备、存储介质及程序产品 |
| US20210385230A1 (en) * | 2020-06-05 | 2021-12-09 | Mcafee, Llc | Agentless Security Services |
| CN113923212A (zh) * | 2020-06-22 | 2022-01-11 | 大唐移动通信设备有限公司 | 一种网络数据包处理方法和装置 |
-
2023
- 2023-03-06 CN CN202310254663.5A patent/CN116232934B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070028244A1 (en) * | 2003-10-08 | 2007-02-01 | Landis John A | Computer system para-virtualization using a hypervisor that is implemented in a partition of the host system |
| US20090182836A1 (en) * | 2008-01-16 | 2009-07-16 | Aviles Joaquin J | System and method for populating a cache using behavioral adaptive policies |
| WO2016101638A1 (zh) * | 2014-12-23 | 2016-06-30 | 国家电网公司 | 一种电力系统云仿真平台的运营管理方法 |
| US20200050479A1 (en) * | 2018-08-09 | 2020-02-13 | Spacebook Technology Co. Limited | Blockchain network and task scheduling method therefor |
| US20210200844A1 (en) * | 2019-12-31 | 2021-07-01 | Wipro Limited | Method and system for alleviating authenticity of sensors in biometric authentication |
| US20210266343A1 (en) * | 2020-02-25 | 2021-08-26 | Arbor Networks, Inc. | Avoidance of over-mitigation during automated ddos filtering |
| US20210385230A1 (en) * | 2020-06-05 | 2021-12-09 | Mcafee, Llc | Agentless Security Services |
| CN113923212A (zh) * | 2020-06-22 | 2022-01-11 | 大唐移动通信设备有限公司 | 一种网络数据包处理方法和装置 |
| CN113689372A (zh) * | 2021-08-26 | 2021-11-23 | 北京字节跳动网络技术有限公司 | 图像处理方法、设备、存储介质及程序产品 |
Non-Patent Citations (1)
| Title |
|---|
| 徐春雷;余;: "基于云技术的区域调控技术支撑系统", 江苏电机工程, no. 03, 28 May 2015 (2015-05-28) * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN116232934B (zh) | 2024-06-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110380989B (zh) | 网络流量指纹特征二阶段多分类的物联网设备识别方法 | |
| US8806189B2 (en) | Apparatus for analyzing traffic | |
| CN105490841B (zh) | 一种终端日志抓取方法、装置及系统 | |
| CN111385297B (zh) | 无线设备指纹识别方法、系统、设备及可读存储介质 | |
| US9197523B2 (en) | Systems and methods for extracting media from network traffic having unknown protocols | |
| CN110868409A (zh) | 一种基于tcp/ip协议栈指纹的操作系统被动识别方法及系统 | |
| CN111107423A (zh) | 一种视频业务播放卡顿的识别方法和装置 | |
| US11297508B1 (en) | Specific communication emitter identification method based on an instantaneous envelope equipotential constellation trace figure | |
| CN108234345A (zh) | 一种终端网络应用的流量特征识别方法、装置和系统 | |
| CN112734556A (zh) | 基于互联网的多功能交互终端 | |
| CN113572757A (zh) | 服务器访问风险监测方法及装置 | |
| CN116232934B (zh) | 一种基于网络协议分析鉴别远程操作系统版本的方法 | |
| CN111356014B (zh) | 一种基于自动化学习的Youtube视频识别匹配方法 | |
| CN113395367B (zh) | Https业务识别方法、装置、存储介质及电子设备 | |
| KR20200061699A (ko) | 멀티레이어로 구성된 os 핑거프린트 룰에 기반한 운영체제 식별 방법 및 그 장치 | |
| CN113077018A (zh) | 一种目标对象识别方法、装置、存储介质及电子装置 | |
| CN112820404A (zh) | 应用于大数据智慧医疗的信息处理方法及智慧医疗服务器 | |
| CN117370286A (zh) | 一种基于云平台的数据存储方法、系统及设备 | |
| CN111860134A (zh) | 简历录入方法、装置、设备和存储介质 | |
| CN112532645A (zh) | 一种物联网设备运行数据监测方法、系统及电子设备 | |
| CN116386086A (zh) | 人员定位方法、装置、电子设备及存储介质 | |
| CN116346434A (zh) | 电力系统网络攻击行为监测准确度提升方法及系统 | |
| CN111131325A (zh) | 一种数据协议异常识别系统及方法 | |
| CN114707133A (zh) | 一种基于SaaS的智慧门店身份认证方法及系统 | |
| CN113221863B (zh) | 基于电磁空间周期统计的加密协议识别方法、系统及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |