[发明专利]基于动态操作系统指纹及协议指纹的内网防护方法及系统

说明书

本发明提供了一种基于动态操作系统指纹及协议指纹的内网防护方法及系统，所述方法包括以下步骤：步骤1，实时监测是否接收到新流量数据，若是则新流量数据中的目的MAC地址是否在所述当前MAC地址表中，若是则将新流量数据作为内网流量数据，转步骤2；步骤2，确定内网流量数据中的指定字段是否满足预先设置的白名单策略，若是则将内网流量数据作为合法流量数据，转步骤3；步骤3，用新操作系统指纹替换合法流量数据的操作系统指纹字段中的原操作系统指纹；并用新应用指纹替换所述合法流量数据的应用指纹字段中的原应用指纹；步骤4，基于所述新操作系统指纹和所述新应用指纹组成新合法流量数据，将所述新合法流量数据发送至对应的内网接收主机。

技术领域

本发明涉及内网防护技术领域，具体的说，涉及了一种基于动态操作系统指纹及协议指纹的内网防护方法及系统。

背景技术

内网中的设备往往通过交换机进行互联，依靠交换机的硬件转发特性完成数据流的交换，目前交换机往往通过配置ACL（Access Control Lists）的方式对流量进行访问控制，此种方法在一定程度上能实现特定的控制。

配置ACL（Access Control Lists）的方式对流量进行访问控制时，往往通过四元组信息、五元组信息或者七元组信息进行控制；其中，四元组通常是指源IP地址、目的IP地址、源端口、目的端口，五元组通常是指源IP地址、源端口、目的IP地址、目的端口和协议号，七元组通常是指信息源IP地址、目的IP地址、协议号、源端口、目的端口、服务类型以及接口索引。例如：192.168.1.1 10000 TCP 121.14.88.76 80 就构成了一个五元组，其表示一个IP地址为192.168.1.1的终端通过端口10000利用TCP协议，和IP地址为121.14.88.76端口为80的终端进行连接。

然而，无论是四元组信息、五元组信息还是七元组信息，均无法对数据包的协议属性、应用属性进行检查，这就造成了对于未知的流量往往无法进行有限检查，从而无法对内网安全做到有效防护。

为了解决以上存在的问题，人们一直在寻求一种理想的技术解决方案。

发明内容

本发明的目的是针对现有技术的不足，从而提供一种基于动态操作系统指纹及协议指纹的内网防护方法及系统。

为了实现上述目的，本发明所采用的技术方案是：

本发明第一方面提供一种基于动态操作系统指纹及协议指纹的内网防护方法，所述方法包括以下步骤：

步骤0，与内网主机相连的交换端口被配置为彼此之间相互隔离；

流量分类器在第一次接收到某个内网主机发送的数据报文时，提取该数据报文中的MAC地址，并更新当前MAC地址表；所述当前MAC地址表包括经过身份认证的内网主机的MAC地址；

步骤1，流量分类器实时监测是否接收到新流量数据，若是则提取出所述新流量数据中的源MAC地址和目的MAC地址；

判断提取出的源MAC地址和目的MAC地址是否均在所述当前MAC地址表中，若是则将所述新流量数据作为内网流量数据，转步骤2；否则对所述新流量数据丢弃处理；

步骤2，确定所述内网流量数据中的指定字段是否满足预先设置的白名单策略，若是则将所述内网流量数据作为合法流量数据，转步骤3，否则将所述内网流量数据作为非法流量数据进行丢弃处理；

其中，所述指定字段包括内网发送主机的操作系统指纹字段和应用指纹字段，所述操作系统指纹字段被填充为IP协议中TTL值和TCP协议中的Window Size值，所述应用指纹字段被填充为自定义传输协议报文的TCPheader的option字段，所述白名单策略预先指定内网主机的MAC地址、内网主机的操作系统指纹和内网主机的应用指纹之间的映射关系；