[发明专利]一种基于通信协议的服务软件特征隐藏方法及系统

说明书

本发明公开了一种基于通信协议的服务软件特征隐藏方法及系统，属于网络空间安全技术领域。本发明基于通信协议的特点，对外部网络发送到内部网络的服务软件特征探测的数据包进行伪造，返回给外部网络虚假的信息，以此实现对内部网络受保护主机的服务软件特征隐藏。这样不仅不会泄露有关服务软件特征信息，返回攻击者虚假信息，而且计算量小，运行速度快，具有实现简单、处理速度快、应用灵活等优点。

技术领域

本发明涉及网络空间安全技术领域，具体涉及一种基于通信协议的服务软件特征隐藏方法及系统。

背景技术

随着互联网技术的飞速发展，网络攻击行为层出不穷，如何有效地防止网络信息的泄露对于保护网络信息安全至关重要。攻击者在进行攻击之前，首先要对攻击目标进行信息收集。服务软件信息是远程计算机正在运行的应用程序和服务进程。这对于远程攻击者来说是非常有用的，因为当攻击者确定了服务软件的制造商和版本等信息，在许多情况下足以启动漏洞研究和攻击过程。

服务软件探测的工作原理是通过telnet、ftp等协议与远程计算机建立连接，使易受攻击的主机响应信息，其中可能包含攻击者用以危害系统的信息。

当系统配置是静态的时候，攻击者总是能够在足够的时间内获取有关目标的准确服务软件特征，从而进行有效的攻击。因此，现有技术中亟需一种对服务软件特征进行动态隐藏的方法。

发明内容

有鉴于此，本发明提供一种基于通信协议的服务软件特征隐藏方法及系统，其能有效地降低网络中对服务软件特征的探测准确率从而增加攻击者的成本和代价，实现信息网络安全防护手段从被动防御到主动防御的转变。

本发明的目的是这样实现的：

一种基于通信协议的服务软件特征隐藏方法，包括以下步骤：

（1）配置控制策略，策略内容包括：受保护主机的ip地址名单，服务软件伪装类型；所述服务软件伪装类型包括ftp伪装类型、telnet伪装类型、http伪装类型，各伪装类型均有对应的指纹库；

（2）当攻击者对内部网络的主机进行服务软件探测时，接收攻击者发出的数据包；

（3）判断攻击者发出的数据包的源ip是否在步骤（1）中的ip地址名单内，若不在，则将该数据包发送至内部网络主机；若在，则进行步骤（4）；

（4）判断数据包的源端口号，分别进行如下处理：

1）若该数据包的源端口号为21，即数据包是ftp数据包，则分析tcp数据部分，若数据部分前三个字符为“220”，则根据步骤（1）中的ftp伪装类型以及ftp指纹库对数据部分进行修改，然后转到步骤（5）；

2）若该数据包的源端口号为23，即数据包为telnet数据包，则判断该数据包是否为通信双方第一个telnet数据包，若不是第一个，则转到步骤（5），若是，则根据步骤（1）中的telnet伪装类型以及telnet指纹库对数据部分进行修改，然后转到步骤（5）；

3）若该数据包的源端口号为80，即数据包为http数据包，则根据步骤（1）中的http伪装类型以及http指纹库对http数据包中头部server字段进行修改，然后转到步骤（5）；

4）若该数据包的源端口号为其他，则转到步骤（5）；

（5）将数据包发送至外部网络。

一种基于通信协议的服务软件特征隐藏系统，包括策略动态控制单元、数据交互单元、服务软件隐藏单元；

所述策略动态控制单元根据用户的选择和控制，提供对服务软件特征的隐藏策略，将隐藏策略下发至数据交互单元和服务软件隐藏单元；

所述数据交互单元接收外部网络发往内部网络或者内部网络发往外部网络的数据包；对于从外部网络发往内部网络的数据包，根据从策略动态控制单元接收的隐藏策略，先发送往服务软件隐藏单元，再接收从服务软件隐藏单元返回的数据包，发往内部网络；对于从内部网络发往外部网络的数据包，直接转发；