[发明专利]一种基于通信协议的服务软件特征隐藏方法及系统

权利要求书

1.一种基于通信协议的服务软件特征隐藏方法，其特征在于，包括以下步骤：

（1）配置控制策略，策略内容包括：受保护主机的ip地址名单，服务软件伪装类型；所述服务软件伪装类型包括ftp伪装类型、telnet伪装类型、http伪装类型，各伪装类型均有对应的指纹库；

（2）当攻击者对内部网络的主机进行服务软件探测时，接收攻击者发出的数据包；

（3）判断攻击者发出的数据包的源ip是否在步骤（1）中的ip地址名单内，若不在，则将该数据包发送至内部网络主机；若在，则进行步骤（4）；

（4）判断数据包的源端口号，分别进行如下处理：

1）若该数据包的源端口号为21，即数据包是ftp数据包，则分析tcp数据部分，若数据部分前三个字符为“220”，则根据步骤（1）中的ftp伪装类型以及ftp指纹库对数据部分进行修改，然后转到步骤（5）；

2）若该数据包的源端口号为23，即数据包为telnet数据包，则判断该数据包是否为通信双方第一个telnet数据包，若不是第一个，则转到步骤（5），若是，则根据步骤（1）中的telnet伪装类型以及telnet指纹库对数据部分进行修改，然后转到步骤（5）；

3）若该数据包的源端口号为80，即数据包为http数据包，则根据步骤（1）中的http伪装类型以及http指纹库对http数据包中头部server字段进行修改，然后转到步骤（5）；

4）若该数据包的源端口号为其他，则转到步骤（5）；

（5）将数据包发送至外部网络。

2.一种基于通信协议的服务软件特征隐藏系统，其特征在于，包括策略动态控制单元、数据交互单元、服务软件隐藏单元；

所述策略动态控制单元根据用户的选择和控制，提供对服务软件特征的隐藏策略，将隐藏策略下发至数据交互单元和服务软件隐藏单元；

所述数据交互单元接收外部网络发往内部网络或者内部网络发往外部网络的数据包；对于从外部网络发往内部网络的数据包，根据从策略动态控制单元接收的隐藏策略，先发送往服务软件隐藏单元，再接收从服务软件隐藏单元返回的数据包，发往内部网络；对于从内部网络发往外部网络的数据包，直接转发；

所述服务软件隐藏单元根据从策略动态控制单元接收的隐藏策略，接收数据交互单元发送的数据包，判断数据包的相应协议类型，分别匹配ftp协议指纹、telnet协议指纹、http协议指纹，修改从内部受保护主机发往外部网络的数据包的相关字段，实现对从外部网络发往内部受保护主机的ftp、telnet、http服务软件特征隐藏。

3.根据权利要求2所述的一种基于通信协议的服务软件特征隐藏系统，其特征在于，所述服务软件隐藏单元用于执行如下步骤：

（1）从策略动态控制单元接收隐藏策略，策略内容包括：受保护主机的ip地址名单，服务软件伪装类型；所述服务软件伪装类型包括ftp伪装类型、telnet伪装类型、http伪装类型，各伪装类型均有对应的指纹库；

（2）当攻击者对内部网络的主机进行服务软件探测时，接收攻击者发出的数据包；

（3）判断攻击者发出的数据包的源ip是否在步骤（1）中的ip地址名单内，若不在，则将该数据包发送至内部网络主机；若在，则进行步骤（4）；

（4）判断数据包的源端口号，分别进行如下处理：

1）若该数据包的源端口号为21，即数据包是ftp数据包，则分析tcp数据部分，若数据部分前三个字符为“220”，则根据步骤（1）中的ftp伪装类型以及ftp指纹库对数据部分进行修改，然后转到步骤（5）；

2）若该数据包的源端口号为23，即数据包为telnet数据包，则判断该数据包是否为通信双方第一个telnet数据包，若不是第一个，则转到步骤（5），若是，则根据步骤（1）中的telnet伪装类型以及telnet指纹库对数据部分进行修改，然后转到步骤（5）；

3）若该数据包的源端口号为80，即数据包为http数据包，则根据步骤（1）中的http伪装类型以及http指纹库对http数据包中头部server字段进行修改，然后转到步骤（5）；

4）若该数据包的源端口号为其他，则转到步骤（5）；

（5）将数据包发送至外部网络。