[发明专利]基于TCP多会话的被动操作系统识别方法及装置

说明书

本发明实施例提供一种基于TCP多会话的被动操作系统识别方法及装置，方法包括：获取设备在预设时间段内产生多次TCP会话的流量数据，以及所述流量数据中的TCP数据包；对各TCP数据包中的IP和TCP协议字段进行解析，获取各字段的解析结果，将任一TCP会话对应的解析结果中的预设字段作为该TCP会话的单会话指纹；将相邻两个TCP会话的单会话指纹中同一字段的解析结果进行比较，将所有字段的比较结果作为所有TCP会话的多会话特征；将所有单会话指纹的组合和多会话特征组成多会话指纹，从指纹库中查找出多会话指纹，将查找的多会话指纹对应的操作系统作为识别结果。本发明实施例提高了操作系统识别的准确率和精度。

技术领域

本发明属于网络安全技术领域，尤其涉及一种基于TCP多会话的被动操作系统识别方法及装置。

背景技术

随着互联网的发展，越来越多的设备都连接到了互联网上，而保护这些设备的安全非常重要。操作系统识别是通过远程主机所发送的TCP/IP数据包检测和确定主机的操作系统类型和版本。首先，从消极的角度看攻击者需要检测目标主机的操作系统，是为了利用其漏洞进行攻击。其次，从积极的方面看网络管理员也需要操作系统识别。网络管理员需要尽可能的了解本网络中的信息，包括了解连接到网络中的主机的操作类型和版本。例如，如果运行旧版本操作系统的设备很容易被攻击。通过使用操作系统识别技术，网络管理员可以清楚掌握哪台机器的操作系统需要升级。

操作系统指纹则是指从某一操作系统所发出的网络数据包中提取的可以区分不同操作系统的特征。其原理是不同的操作系统厂商在实现TCP/IP协议栈时出现了细微的差别，这些差别具有独特的特性，故而被称为“指纹”。例如IP(Internet Protocol Address，互联网协议地址)协议的TTL(Time To Live，缓存的生存时间)字段以及TCP(TransmissionControl Protocol，传输控制协议)的窗口字段和选项字段等就是最常见的可以区分不同操作系统的预设字段。

操作系统识别技术分为主动和被动两类。主动操作系统指纹识别需要精心构造不同的数据包并发送出去，根据返回的结果来分析目标的具体操作系统。此方法最大的缺点在于发送的数据包会被防火墙或者入侵检测系统拦截，并且会暴露自身的信息。被动操作系统指纹识别比主动操作系统指纹识别来说比较限制，只能被动的接受流量，从流量中分析出操作系统信息。传统的被动操作系统识别技术主要根据TCP会话建立时发送的数据包中的IP和TCP协议的预设字段来识别不同类型和版本的操作系统，其中的代表性工具就是p0f。此外，操作系统识别本质上是一个分类问题，因此新的方法是采用机器学习分类算法训练出模型来识别出操作系统。

目前被动操作系统技术主要分为两类方法，一是传统基于指纹库匹配的识别方法；二是基于机器学习分类算法训练模型的识别方法。传统的操作系统识别方法所开发的工具均带有操作系统指纹库，识别出通过匹配指纹库给出结果。匹配成功时给出识别结果，匹配不成功时无法给出结果。而基于机器学习分类算法训练模型的识别方法，可以对未知操作系统进行结果预测，预测的结果也只能在已有模型的操作系统范围内。但是这两种方法本质上都是需要提取特征项，包括可以直接作为特征的字段或者间接计算的特征项。特征项的好坏决定了两种方法的给出的识别结果的正确率。现有的特征提取方法根据一个TCP会话的特征项进行匹配或识别，导致对相同类型不同版本的操作系统往往难以区分。

发明内容

为克服上述现有的操作系统识别方法安全性差且相同类型不同版本的操作系统往往难以区分导致的识别精度低的问题或者至少部分地解决上述问题，本发明实施例提供一种基于TCP多会话的被动操作系统识别方法及装置。

根据本发明实施例的第一方面，提供一种基于TCP多会话的被动操作系统识别方法，包括：

获取设备在预设时间段内产生多次TCP会话的流量数据，以及各所述TCP会话产生的流量数据中的TCP数据包；