[发明专利]基于SMB协议的操作系统指纹信息安全检测方法与装置

说明书

本发明提供一种基于SMB协议的操作系统指纹信息安全检测方法与装置，所述方法包括：探测确定协议类型；构造SMBv1的结构并实例化所述SMBv1的结构；解析SMBv2消息中的数据，从中提取验证信息，并构造发送探测主机名和探测主机操作系统的数据包，接收返回的协商数据包，解析SMBv2消息中的数据，从中提取工作组信息、主机名信息和操作系统版本信息。根据本发明的方法，根据不同版本构造合法的探测数据包，实现针对操作系统的指纹探测。

技术领域

本发明涉及网络安全领域，尤其涉及一种基于SMB协议的操作系统指纹信息安全检测方法与装置。

背景技术

网络资产探测是指追踪、掌握网络资产情况的过程，通常包括主机发现、IP地址发现、主机端口探测、操作系统指纹识别、服务识别、网络架构识别等,是实现网络安全管理的重要前提,在网络安全相关工作中具有广泛的应用价值。一方面，从网络资产管理的角度看，网络资产探测能够为统一软硬件版本、更新升级软件和设备等工作提供信息基础。通过网络资产探测可以发现旧版本的软件，根据最新的威胁情报准确地启动响应措施，避免其存在的漏洞带来威胁；还可以发现非法资产，为及时分析、处理提供便利，最大限度地降低安全问题带来的损失。另一方面，攻击者也可以通过资产探测的方式找出防守方的薄弱点进行针对性的攻击。

操作系统指纹识别是资产探测的重要内容之一，通常操作系统指纹探测能够按照一定概率的形式识别出操作版本信息。目前主流的操作系统指纹识别技术有基于TCP/IP协议栈指纹扫描识别技术和基于SMB协议的扫描识别技术。(一)基于TCP/IP协议栈指纹的扫描工具如Nmap，该工具需要在ROOT或者管理员权限下运行，通过修改TCP报文构造原始套接字，对接收到的响应结果进行判断，概率性识别操作系统的指纹。(二)另一种方法是通过SMB协议进行操作系统指纹探测，该方法需要连接远程主机的445端口。Zoomeye、Shodan、Censys、FOFA等是公开的全球知名的资产探测平台，分别从Zoomeye和FOFA平台查询开放445端口的主机数量为11,039,833台和1,481,614台。目前支持SMB探测的工具有Nmap和Meterpreter等，能够通过SMB协议探测远程主机的主机名和详细的操作系统信息，通过分析发现这些工具普通只支持针对SMBv1协议的探测，而在Windows 2012及以后操作系统中默认不支持SMBv1协议，因此现有的基于SMB协议的探测无法获取Windows 2012、Windows2016、Windows 2019和Windows10等高版本操作系统的指纹信息。

现有基于协议栈扫描的操作系统指纹识别技术通常需要在系统的最高权限下运行，在操作系统识别上存在概率性，且无法获取到主机名工作组等信息。现有的基于SMB协议的操作系统指纹探测技术只适用于SMBv1协议，不支持SMBv2协议。

发明内容

为解决上述技术问题，提高资产探测能力，本发明提出了一种基于SMB协议的操作系统指纹信息安全检测方法与装置，能够支持SMBv1、SMBv2协议，实现覆盖从Windows XP到最新Windows 10的指纹识别。

根据本发明的第一方面，提供一种基于SMB协议的操作系统指纹信息安全检测方法，所述方法包括以下步骤：

步骤S101：构造SMBv1的协商数据并发送给远程主机，若协商成功，则确定出远程主机操作系统支持SMBv1协议，进入步骤S104；否则，进入步骤S102；

步骤S102：构造SMBv2的协商数据并发送给远程主机，若协商成功，则确定出所述远程主机操作系统支持SMBv2协议，进入步骤S105；否则，进入步骤S103；

步骤S103：确定出目标服务器开启端口为异常状态，方法结束；

步骤S104：构造探测主机名和探测主机操作系统的数据包，构造SMBv1的结构并实例化所述SMBv1的结构，将构造的所述数据包发送至远程主机的445端口，接收远程主机返回的数据，按照实例化的SMBv1的结构提取数据，方法结束；