一種通過網(wǎng)絡(luò)數(shù)據(jù)獲取設(shè)備操作系統(tǒng)信息的方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明設(shè)及信息安全、數(shù)據(jù)挖掘等技術(shù)領(lǐng)域,具體的說,是一種通過網(wǎng)絡(luò)數(shù)據(jù)獲取 設(shè)備操作系統(tǒng)信息的方法。
【背景技術(shù)】
[0002] 隨著移動通信技術(shù)的快速發(fā)展,人們的生活與工作越來越離不開各種可快速接入 3G/4G/WiFi等網(wǎng)絡(luò)的移動終端設(shè)備。但是,運些設(shè)備在便捷人們的同時也埋下了許多信息 安全隱患。移動設(shè)備快速接入/退出網(wǎng)絡(luò)的特性對網(wǎng)絡(luò)的安全管理產(chǎn)生了嚴重沖擊。出于安 全考慮,網(wǎng)絡(luò)管理者需要根據(jù)不同的網(wǎng)絡(luò)接入設(shè)備類型,定義不同的網(wǎng)絡(luò)訪問策略。如何高 效、準確地識別設(shè)備相關(guān)的各種信息成為亟待解決的問題。
[0003] 所謂識別設(shè)備相關(guān)的各種信息,其中最為重要地是識別設(shè)備的操作系統(tǒng)類型及相 關(guān)信息(如版本號等)。就好象每一個人都會擁有一個獨特的指紋一樣,每一種操作系統(tǒng)也 會具備自己獨特的特性。而運些獨特的特性,會在終端設(shè)備同外界通訊的行為中體現(xiàn)出來。
[0004] 理論上,所有終端設(shè)備的通信層都是按照網(wǎng)絡(luò)協(xié)議的規(guī)范進行設(shè)計,其所有的通 訊特征應(yīng)該是與操作系統(tǒng)無關(guān)。然而由于定義、閱讀和理解運些網(wǎng)絡(luò)規(guī)范的不同角度,或者 是程序開發(fā)人員對于具體的異常、特別的場景的處理實現(xiàn)方式的不同,各個操作系統(tǒng)在網(wǎng) 絡(luò)協(xié)議實現(xiàn)上的行為確實有些不一樣。通過觀察到并分析處理運些獨特特征,能夠識別出 操作系統(tǒng)信息。實現(xiàn)運一識別過程的方法目前有主動式與被動式。
[000引主動式識別:主動式意為,需要主動向被鑒定的設(shè)備發(fā)送一定數(shù)量的特別組合的 數(shù)據(jù)包,根據(jù)對方的反應(yīng)來確定對方的操作系統(tǒng)類型和版本號等。運一技術(shù)常常被應(yīng)用到 網(wǎng)絡(luò)安全領(lǐng)域,當(dāng)黑客或安全專家需要對遠程系統(tǒng)進行滲透時,常常W該識別動作作為開 場白。主動識別的方法由于向網(wǎng)絡(luò)中主動發(fā)送了數(shù)據(jù),從而對整個網(wǎng)絡(luò)產(chǎn)生了影響,使得被 識別方可能偵測到運些主動識別動作的存在從而進行防范甚至是誤導(dǎo)(偽造數(shù)據(jù)包等),在 某些應(yīng)用環(huán)境下并不適用。
[0006] 被動式識別:被動式的技術(shù)體系堅持在不發(fā)送任何數(shù)據(jù)的情況下就達到識別設(shè)備 指紋的目的。運樣的實現(xiàn)機制可W在對網(wǎng)絡(luò)不產(chǎn)生任何影響的情況下,收集更加詳盡的信 息,W便提供給網(wǎng)絡(luò)管理與安全管理之用。被動式指紋鑒別技術(shù)由于不發(fā)送任何探測嘗試, 通過被動偵聽數(shù)據(jù)包的方式實現(xiàn),應(yīng)用環(huán)境適應(yīng)性更高。
【發(fā)明內(nèi)容】
[0007] 本發(fā)明的目的在于提供一種通過網(wǎng)絡(luò)數(shù)據(jù)獲取設(shè)備操作系統(tǒng)信息的方法,通過對 現(xiàn)有網(wǎng)絡(luò)協(xié)議數(shù)據(jù)的創(chuàng)新使用,提供一種準確、高效、適用范圍廣泛的方法,該方法能夠推 斷出當(dāng)前網(wǎng)絡(luò)中各個主機設(shè)備的操作系統(tǒng)信息。
[0008] 本發(fā)明通過下述技術(shù)方案實現(xiàn):一種通過網(wǎng)絡(luò)數(shù)據(jù)獲取設(shè)備操作系統(tǒng)信息的方 法,通過被動監(jiān)聽網(wǎng)絡(luò)中產(chǎn)生的數(shù)據(jù)包,并提取數(shù)據(jù)包內(nèi)的特征數(shù)據(jù),與特征數(shù)據(jù)庫中預(yù)置 的相應(yīng)特征數(shù)據(jù)進行對比,從而推斷出向網(wǎng)絡(luò)發(fā)送數(shù)據(jù)包的主機操作系統(tǒng)信息。
[0009] 進一步的為更好的實現(xiàn)本發(fā)明,特別設(shè)置成下述方式:所述數(shù)據(jù)包包括IP數(shù)據(jù)包、 TCP SYN數(shù)據(jù)包及DHCP數(shù)據(jù)包中的一種或多種。
[0010] 進一步的為更好的實現(xiàn)本發(fā)明,特別設(shè)置成下述方式:該通過網(wǎng)絡(luò)數(shù)據(jù)獲取設(shè)備 操作系統(tǒng)信息的方法的具體步驟包括:
[0011] 1)數(shù)據(jù)監(jiān)聽模塊從網(wǎng)絡(luò)中提取需要關(guān)注的主機所發(fā)出的IP數(shù)據(jù)包、TCP SYN數(shù)據(jù) 包或/和D肥P數(shù)據(jù)包,然后將IP數(shù)據(jù)包、TCP SYN數(shù)據(jù)包或/和DHCP數(shù)據(jù)包內(nèi)的特征數(shù)據(jù)提取 出來,并送入數(shù)據(jù)分析模塊;
[0012] 2)經(jīng)步驟1)后,在數(shù)據(jù)分析模塊內(nèi),從IP數(shù)據(jù)包、TCP SYN數(shù)據(jù)包或/和D肥P數(shù)據(jù)包 內(nèi)所提取的特征數(shù)據(jù)與特征數(shù)據(jù)庫預(yù)置的相應(yīng)特征數(shù)據(jù)進行單一或綜合對比,根據(jù)相應(yīng)特 征由快到慢由粗到細地推斷出向網(wǎng)絡(luò)發(fā)送IP數(shù)據(jù)包、TCP SYN數(shù)據(jù)包或/和DHCP數(shù)據(jù)包的主 機的操作系統(tǒng)信息。
[0013] 進一步的為更好的實現(xiàn)本發(fā)明,特別設(shè)置成下述方式:所述步驟2)包括W下單一 使用或綜合使用的具體步驟:
[0014] 2-1)從IP數(shù)據(jù)包內(nèi)獲取默認ITL特征值,通過判斷獲取的默認ITL特征值與預(yù)置的 相應(yīng)特征數(shù)據(jù)進行對比,從而判斷發(fā)送該IP數(shù)據(jù)包的主機的操作系統(tǒng)信息;
[0015] 2-2)從TCP SYN數(shù)據(jù)包內(nèi)獲取起始TCP窗口值,通過判斷獲取的起始TCP窗口值與 預(yù)置的相應(yīng)特征數(shù)據(jù)進行對比,從而進一步的判斷發(fā)送該TCP SYN數(shù)據(jù)包的主機的操作系 統(tǒng)信息;
[0016] 2-3)從D肥P數(shù)據(jù)包獲取D肥P參數(shù)排列組合信息,并通過所獲取的DHCP參數(shù)排列組 合信息與預(yù)置的相應(yīng)特征數(shù)據(jù)進行對比,從而判斷發(fā)送該DHCP數(shù)據(jù)包的主機的操作系統(tǒng)信 息。
[0017] 進一步的為更好的實現(xiàn)本發(fā)明,特別設(shè)置成下述方式:所述DHCP參數(shù)排列組合信 息具體為DHCP Option 55。
[0018] 進一步的為更好的實現(xiàn)本發(fā)明,特別設(shè)置成下述方式:所述預(yù)置的相應(yīng)特征數(shù)據(jù) 包括IP數(shù)據(jù)包的默認TTL特征值及該默認TTL特征值所對應(yīng)的操作系統(tǒng)信息。
[0019] 進一步的為更好的實現(xiàn)本發(fā)明,特別設(shè)置成下述方式:所述預(yù)置的相應(yīng)特征數(shù)據(jù) 還包括TCP SYN數(shù)據(jù)包的起始TCP窗口值及該起始TCP窗口值所對應(yīng)的操作系統(tǒng)信息。
[0020] 進一步的為更好的實現(xiàn)本發(fā)明,特別設(shè)置成下述方式:所述預(yù)置的相應(yīng)特征數(shù)據(jù) 還包括DHCP數(shù)據(jù)包的DHCP Option 55及該DHCP Option 55所對應(yīng)的操作系統(tǒng)信息。
[0021 ]本發(fā)明與現(xiàn)有技術(shù)相比,具有W下優(yōu)點及有益效果:
[0022] (1)本發(fā)明為一種不需要向網(wǎng)絡(luò)發(fā)送任何數(shù)據(jù),只是通過監(jiān)聽網(wǎng)絡(luò)中傳輸?shù)母鞣N 信息,綜合分析,從而推斷出網(wǎng)絡(luò)中某些主機設(shè)備正在運行的操作系統(tǒng)類型及相關(guān)數(shù)據(jù)的 方法。
[0023] 本發(fā)明通過對現(xiàn)有網(wǎng)絡(luò)協(xié)議數(shù)據(jù)的創(chuàng)新使用,提供一種準確、高效、適用范圍廣泛 的方法,該方法能夠推斷出當(dāng)前網(wǎng)絡(luò)中各個主機設(shè)備的操作系統(tǒng)信息。
【具體實施方式】
[0024] 本發(fā)明設(shè)及計算機網(wǎng)絡(luò)技術(shù)、信息安全技術(shù)W及數(shù)據(jù)挖掘技術(shù)等多方面內(nèi)容,是 計算機技術(shù)在上述領(lǐng)域的一種綜合應(yīng)用。在本發(fā)明的實現(xiàn)過程中,會設(shè)及到多個軟件功能 模塊的應(yīng)用。申請人認為,如在仔細閱讀申請文件、準確理解本發(fā)明的實現(xiàn)原理和發(fā)明目的 W后,在結(jié)合現(xiàn)有公知技術(shù)的情況下,本領(lǐng)域技術(shù)人員完全可W運用其掌握的軟件編程技 能實現(xiàn)本發(fā)明。
[0025] 下面結(jié)合實施例對本發(fā)明作進一步地詳細說明,但本發(fā)明的實施方式不限于此。
[0026] IP:網(wǎng)絡(luò)之間互連的協(xié)議(IP)是Internet Protocol的外語縮寫,是為計算機網(wǎng)絡(luò) 相互連接進行通信而設(shè)計的協(xié)議。在因特網(wǎng)中,它是能使連接到網(wǎng)上的所有計算機網(wǎng)絡(luò)實 現(xiàn)相互通信的一套規(guī)則,規(guī)定了計算機在因特網(wǎng)上進行通信時應(yīng)當(dāng)遵守的規(guī)則。任何廠家 生產(chǎn)的計算機系統(tǒng),只要遵守IP協(xié)議就可W與因特網(wǎng)互連互通。
[0027] TCP SYN:SYN(synchronous)是TCP^P建立連接時使用的握手信號。在客戶機和服 務(wù)器之間建立正常的TCP網(wǎng)絡(luò)連接時,客戶機首先發(fā)出一個SYN消息,服務(wù)器使用SYN+ACK應(yīng) 答表示接收到了運個消息,最后客戶機再WACK消息響應(yīng)。運樣在客戶機和服務(wù)器之間才能 建立起可靠的TCP連接,數(shù)據(jù)才可W在客戶機和服務(wù)器之間傳遞。
[0028] 畑CP:DHCP化ynamic Host Configuration Protocol,動態(tài)主機配置協(xié)議)是一個 局域網(wǎng)的網(wǎng)絡(luò)協(xié)議,使用UDP協(xié)議工作,主要有兩個用途:給內(nèi)部網(wǎng)絡(luò)或網(wǎng)絡(luò)服務(wù)供應(yīng)商自 動分配IP地址,給用戶或者內(nèi)部網(wǎng)絡(luò)管理員作為對所有計算機作中央管理的手段,在RFC 2131中有詳細的描述。
[0029] T化:T化是Time To Live的縮寫,該字段指定IP包被路由器丟棄之前允許通過的 最大網(wǎng)段數(shù)量。
[0030] 化tion:D肥巧良文中的可選變長選項字段,包含報文的類型、有效租期、DNS服務(wù)器 的IP地址、WINS服務(wù)器的IP地址等配置信息。
[0031 ] 實施例1:
[0032] 本發(fā)明提出了一種通過網(wǎng)絡(luò)數(shù)據(jù)獲取設(shè)備操作系統(tǒng)信息的方法,通過被動監(jiān)聽網(wǎng) 絡(luò)中產(chǎn)生的數(shù)據(jù)包,并提取數(shù)據(jù)包內(nèi)的特征數(shù)據(jù),與特征數(shù)據(jù)庫中預(yù)置的相應(yīng)特征數(shù)據(jù)進 行對比,從而推斷出向網(wǎng)絡(luò)發(fā)送數(shù)據(jù)包的主機操作系統(tǒng)信息。
[0033] 實施例2:
[0034] 本實施例是在上述實施例的基礎(chǔ)上進一步優(yōu)化,進一步的為更好的實現(xiàn)本發(fā)明, 特別設(shè)置成下述方式:所述數(shù)據(jù)包包括IP數(shù)據(jù)包、TCP SYN數(shù)據(jù)包及D肥P數(shù)據(jù)包中的一種或 多種。
[003引 實施例3:
[0036] 本實施例是在上述實施例的基礎(chǔ)上進一步優(yōu)化,進一步的為更好的實現(xiàn)本發(fā)明, 特別設(shè)置成下述方式:該通過網(wǎng)絡(luò)數(shù)據(jù)獲取設(shè)備操作系統(tǒng)信息的方法的具體步驟包括:
[0037] 1)數(shù)據(jù)監(jiān)聽模塊從網(wǎng)絡(luò)中提取需要關(guān)注的主機所發(fā)出的IP數(shù)據(jù)包、TCP SYN數(shù)據(jù) 包或/和D肥P數(shù)據(jù)包,然后將IP數(shù)據(jù)包、TCP SYN數(shù)據(jù)包或/和DHCP數(shù)據(jù)包內(nèi)的特征數(shù)據(jù)提取 出來,并送入數(shù)據(jù)分析模塊;
[0038] 2)經(jīng)步驟1)后,在數(shù)據(jù)分析模塊內(nèi),從IP數(shù)據(jù)包、TCP SYN數(shù)據(jù)包或/和D肥P數(shù)據(jù)包 內(nèi)所提取的特征數(shù)據(jù)與特征數(shù)據(jù)庫預(yù)置的相應(yīng)特征數(shù)據(jù)進行單一或綜合對比,根據(jù)相應(yīng)特 征由快到慢由粗到細地推斷出向網(wǎng)絡(luò)發(fā)送IP數(shù)據(jù)包、TCP SYN數(shù)據(jù)包或/和DHCP數(shù)據(jù)包的主 機的操作系統(tǒng)信息。
[0039] 實施例4:
[0040]本實施例是在上述實施例的基礎(chǔ)上進一步優(yōu)化,進一步的為更好的實現(xiàn)本發(fā)明, 特別設(shè)置成下述方式:所述步驟2)包括W下單一使用或綜合使用的具體步驟:
[0041 ] 2-1)從IP數(shù)據(jù)包內(nèi)獲取默認ITL特征值,通過判斷獲取的默認ITL特征值與預(yù)置的 相應(yīng)特征數(shù)據(jù)進行對比,從而判斷發(fā)送該IP數(shù)據(jù)包的主機的操作系統(tǒng)信息;
[0042] 2-2)從TCP SYN數(shù)據(jù)包內(nèi)獲取起始TCP窗口值,通過判斷獲取的起始TCP窗口值與 預(yù)置的相應(yīng)特征數(shù)據(jù)進行對比,從而進一步的判斷發(fā)送該TCP SYN數(shù)據(jù)包的主機的操作系 統(tǒng)信息;
[0043] 2-3)從D肥P數(shù)據(jù)包獲取D肥P參數(shù)排列組合信息,并通過所獲取的DHCP參數(shù)排列組 合信息與預(yù)置的相應(yīng)特征數(shù)據(jù)進行對比,從而判斷發(fā)送該DHCP數(shù)據(jù)包的主機的操作系統(tǒng)信 息。
[0044] 實施例5:
[004引本實施例是在上述實施例的基礎(chǔ)上進一步優(yōu)化,進一步的為更好的實現(xiàn)本發(fā)明, 特別設(shè)置成下述方式:所述DHCP參數(shù)排列組合信息具體為DHCP化tion 55。
[0046] 實施例6:
[0047] 本實施例是在上述任一實施例的基礎(chǔ)上進一步優(yōu)化,進一步的為更好的實現(xiàn)本發(fā) 明,特別設(shè)置成下述方式:所述預(yù)置的相應(yīng)特征數(shù)據(jù)包括IP數(shù)據(jù)包的默認TTL特征值及該默 認TTL特征值所對應(yīng)的操作系統(tǒng)信息。
[004引 實施例7:
[0049] 本實施例是在上述任一實施例的基礎(chǔ)上進一步優(yōu)化,