[发明专利]一种TCP/IP协议指纹动态化处理方法及装置

说明书

本发明提供一种TCP/IP协议指纹动态化处理方法及装置。该方法包括：获取用户配置信息，用户配置信息包含用于动态修改指纹的指纹配置信息；接收源网络发送的数据包；提取数据包的报文特征，并根据报文特征对数据包进行分类；判断分类后的数据包是否需要进行指纹修改；若需要指纹修改，则根据所述指纹配置信息和所述指纹修改策略对所述数据包进行指纹修改；将指纹修改后的数据包发送至目的网络。该装置包括：信息配置模块、分组报文接收模块、特征提取及分类模块、裁决器、指纹动态变换模块和分组报文发送模块。本发明能够有效抵御多种恶意网络嗅探和操作系统/主机识别手段，加强了系统内主机的安全性和保密性。

技术领域

本发明涉及网络信息安全领域和移动目标防御领域。更具体地，涉及计算机网络主动防御技术和网络协议指纹跳变技术，尤其涉及一种TCP/IP协议指纹动态化处理方法及装置。

背景技术

由于网络本身具有很高的互联性和开放性，很容易遭到恶意攻击，这给互联网资源带来了严重的威胁。特别是在内部网络之中，网络攻击更加难以预防。在攻击发起之前，攻击者往往会先对目标主机进行侦查，试图收集潜在受害者的信息，包括有关操作系统版本、服务依赖以及漏洞信息等。传统网络的配置一般在整个服务生命周期中是保持不变的，这种静态属性给了攻击者很大的优势，因为他们有相对大量的时间和方法来探索目标，直到收集到了足够多的信息来找到目标系统漏洞并发起攻击。

一种常见的网络侦查方法是操作系统指纹识别。操作系统的协议指纹实际上来源于TCP/IP协议栈。因为TCP/IP协议栈技术只是在RFC文档中描述，并没有一个统一的行业标准，各个公司在编写自己的操作系统的TCP/IP协议栈时对其做出了不尽相同的诠释，造成了各个操作系统在TCP/IP协议的实现上有所不同。通过这些细微的差异，可以准确定位操作系统的版本。攻击者一般通过嗅探和分析网络主机之间传输的网络数据包，或者通过向目标主机发送精心设计的数据包并分析响应来实现指纹识别。

为了防御和反击恶意网络侦查，已经设计了许多自适应技术来动态更改系统配置或攻击表面的某些方面，以便为攻击者引入不确定性。针对操作系统指纹识别，一般通过重写目标外出流量数据包头部，使其类似于使用不同操作系统的主机生成的流量，来达到混淆攻击者的目的。但是现有的操作系统指纹修改技术存在两个方面的问题：第一、对数据包的修改会给防御方带来巨大的系统性能开销，影响通信效率。第二、扩展性差，不够灵活，因为改动数据包头部标签需要重写协议栈内核。

发明内容

针对现有的操作系统指纹修改技术存在的系统性能开销大、影响通信效率、扩展性差和不够灵活的问题，本发明提供一种TCP/IP协议指纹动态化处理方法及装置，可以有效抵御多种恶意网络嗅探和操作系统/主机识别手段，加强了系统内主机的安全性和保密性。

第一方面，本发明提供一种TCP/IP协议指纹动态化处理方法，该方法包括：

步骤1、获取用户配置信息，所述用户配置信息包含用于动态修改指纹的指纹配置信息和指纹修改策略；

步骤2、接收源网络发送的数据包；

步骤3、提取所述数据包的报文特征，并根据所述报文特征对所述数据包进行分类；

步骤4、判断分类后的数据包是否需要进行指纹修改；

步骤5、若需要指纹修改，则根据所述指纹配置信息和所述指纹修改策略对所述数据包进行指纹修改；

步骤6、将指纹修改后的数据包发送至目的网络。

进一步地，该方法还包括：当通信连接首次建立时，以<源IP，目的IP>的形式保存当前会话；在当前会话通信结束时，删除当前会话。

进一步地，该方法还包括：设置动态更新指纹修改策略的时间间隔；若上次更新指纹修改策略的时刻距当前时刻的时长达到所述时间间隔，则更新指纹修改策略。