[发明专利]一种通过网络数据获取设备操作系统信息的方法

说明书

本发明公开了一种通过网络数据获取设备操作系统信息的方法，通过被动监听网络中产生的数据包，提取数据包内的特征数据，与特征数据库中预置的相应特征数据进行对比，从而推断出向网络发送数据包的主机操作系统信息；所述数据包包括IP数据包、TCP SYN数据包及DHCP数据包中的一种或多种；数据监听模块从网络中提取需要关注的主机所发出的IP数据包、TCP SYN数据包或/和DHCP数据包，将IP数据包、TCP SYN数据包或/和DHCP数据包内的特征数据提取出来，送入数据分析模块；通过对现有网络协议数据的创新使用，提供一种准确、高效、适用范围广泛的方法，该方法能够推断出当前网络中各个主机设备的操作系统信息。

技术领域

本发明涉及信息安全、数据挖掘等技术领域，具体的说，是一种通过网络数据获取设备操作系统信息的方法。

背景技术

随着移动通信技术的快速发展，人们的生活与工作越来越离不开各种可快速接入3G/4G/WiFi等网络的移动终端设备。但是，这些设备在便捷人们的同时也埋下了许多信息安全隐患。移动设备快速接入/退出网络的特性对网络的安全管理产生了严重冲击。出于安全考虑，网络管理者需要根据不同的网络接入设备类型，定义不同的网络访问策略。如何高效、准确地识别设备相关的各种信息成为亟待解决的问题。

所谓识别设备相关的各种信息，其中最为重要地是识别设备的操作系统类型及相关信息(如版本号等)。就好象每一个人都会拥有一个独特的指纹一样，每一种操作系统也会具备自己独特的特性。而这些独特的特性，会在终端设备同外界通讯的行为中体现出来。

理论上，所有终端设备的通信层都是按照网络协议的规范进行设计，其所有的通讯特征应该是与操作系统无关。然而由于定义、阅读和理解这些网络规范的不同角度，或者是程序开发人员对于具体的异常、特别的场景的处理实现方式的不同，各个操作系统在网络协议实现上的行为确实有些不一样。通过观察到并分析处理这些独特特征，能够识别出操作系统信息。实现这一识别过程的方法目前有主动式与被动式。

主动式识别：主动式意为，需要主动向被鉴定的设备发送一定数量的特别组合的数据包，根据对方的反应来确定对方的操作系统类型和版本号等。这一技术常常被应用到网络安全领域，当黑客或安全专家需要对远程系统进行渗透时，常常以该识别动作作为开场白。主动识别的方法由于向网络中主动发送了数据，从而对整个网络产生了影响，使得被识别方可能侦测到这些主动识别动作的存在从而进行防范甚至是误导(伪造数据包等)，在某些应用环境下并不适用。

被动式识别：被动式的技术体系坚持在不发送任何数据的情况下就达到识别设备指纹的目的。这样的实现机制可以在对网络不产生任何影响的情况下，收集更加详尽的信息，以便提供给网络管理与安全管理之用。被动式指纹鉴别技术由于不发送任何探测尝试，通过被动侦听数据包的方式实现，应用环境适应性更高。

发明内容

本发明的目的在于提供一种通过网络数据获取设备操作系统信息的方法，通过对现有网络协议数据的创新使用，提供一种准确、高效、适用范围广泛的方法，该方法能够推断出当前网络中各个主机设备的操作系统信息。

本发明通过下述技术方案实现：一种通过网络数据获取设备操作系统信息的方法，通过被动监听网络中产生的数据包，并提取数据包内的特征数据，与特征数据库中预置的相应特征数据进行对比，从而推断出向网络发送数据包的主机操作系统信息。

进一步的为更好的实现本发明，特别设置成下述方式：所述数据包包括IP数据包、TCP SYN数据包及DHCP数据包中的一种或多种。

进一步的为更好的实现本发明，特别设置成下述方式：该通过网络数据获取设备操作系统信息的方法的具体步骤包括：

1)数据监听模块从网络中提取需要关注的主机所发出的IP数据包、TCP SYN数据包或/和DHCP数据包，然后将IP数据包、TCP SYN数据包或/和DHCP数据包内的特征数据提取出来，并送入数据分析模块；