本发明专利技术涉及一种事件触发式的MTD防护系统及方法。本发明专利技术首先判断请求数据包是否为指纹探测包,如果是进一步判断探测类型,将所述探测包所属探测事件与预先存储的指纹探测事件集进行比较,判断该类探测事件是否已存在,如果已存在则按既定方法对相应特性值进行修改,如果不存在则判断特性值的类型,根据特性值的类型进行相应修改,进而将修改后的特性值封装成响应数据包返回给指纹探测方。本发明专利技术实现了被防护目标每次收到指纹探测方的指纹探测包时,自动更改该探测项对应特性,使探测方收集到的指纹特征是错误的信息,从而使被欺骗或混淆为其他设备类型,使一些重要基础设备得到有效的抗远程指纹识别的防护机制。
【技术实现步骤摘要】
本专利技术涉及国家重要基础设备隐藏防护领域,尤其涉及一种事件触发式的MTD防 护系统及方法。
技术介绍
在当前环境下,信息技术系统是建立在相对静态的配置中运行。例如,地址、名 称、软件栈、网络和各种配置参数在较长的时间段内保持相对静态。这种静态的方法使意 图对系统进行恶意漏洞利用(exploit)的攻击者可以有充足的时间搜索、探测和识别目标 系统的版本和配置等信息,其中最具代表性的就是操作系统指纹探测和识别(Operating System Fingerprinting Detection),即通过对网络上的主机进行主动的(active)或被动 的(passive)指纹探测包的特性(feature)差异信息收集来确定所使用的操作系统,通常 被攻击者作为攻击前信息采集中最重要的一步。 MTD (Moving Target Defense)思想是基于控制跨多个系统维度的变化,增加系统 的不确定性和复杂性,从而减少攻击者的攻击表面(attack surface)和增加攻击成本而提 出的一个新概念。自2011年MTD被提出来后,已逐渐发展成系统防护领域的研究热点,并 被美国白宫确定为未来发展的四大网络空间安全防护战略技术之一。 作为一种重要的安全防范系统,近年来,MTD思想不仅在软件系统防范漏洞扫描和 服务及版本防泄漏方面获得了应用,而且也逐渐在对抗远程操作系统指纹探测和识别上获 得了大规模的推广。 MTD思想在防范安全防范操作系统指纹识别系统方面的研究,在2011年主要集中 在IP地址配置在一定周期内的随机化,使指纹探测方无法对目标主机的IP变换的时间窗 口内完成信息采集和探测。在2013年的研究开始在远程操作系统指纹识别领域的MTD上, 对TCP协议栈特性值进行周期性修改和防护。但是,由于周期性的MTD防护本身存在的安 全缺陷以及安全隐患目前,如果探测方利用每个周期内只探测一个特性的方法,利用多个 周期汇总每个特性的探测结果,就可以使MTD防护系统的安全机制和性能大大降低。另外 考虑到指纹探测方如果采用分布式探测和信息采集的话,使MTD面对的攻击表面更加难以 防范,使对抗指纹探测的情况更加复杂,周期性MTD防护的缺陷也更加凸显。
技术实现思路
本专利技术所要解决的技术问题是针对现有技术的不足,提供一种事件触发式的MTD 防护系统及方法。 本专利技术解决上述技术问题的技术方案如下:一种事件触发式的MTD防护系统,包 括指纹探测包判定系统、指纹探测事件判定系统和特性值MTD修改系统; 所述指纹探测包判定系统,其用于接收并判断客户端发来的请求数据包是否为指 纹探测包,如果是,则进一步判断所述指纹探测包的探测类型并调用指纹探测事件判定系 统,否则直接返回响应数据包; 所述指纹探测事件判定系统,其用于判断所述指纹探测包所属的探测事件在相应 探测类型的指纹探测事件集中是否已存在,如果存在,将所述指纹探测事件探测的特性值 传递给特性值MTD修改系统,否则将该类型的探测事件定义为一条新增的探测事件,记录 并存储在探测事件集中,将所述指纹探测事件探测的特性值传递给特性值MTD修改系统; 所述MTD修改系统,其用于将所述指纹探测包所要探测的特性值进行欺骗性修 改,将修改后的特性值封装成响应数据包返回给指纹探测方。 本专利技术的有益效果是:本专利技术首先判断请求数据包是否为指纹探测包,如果是进 一步判断探测类型,将所述探测包所属探测事件与预先存储的指纹探测事件集进行比较, 判断该类探测事件是否已存在,如果已存在则按既定方法对相应特性值进行修改,如果不 存在则判断特性值的类型,根据特性值的类型进行相应修改,进而将修改后的特性值封装 成响应数据包返回给指纹探测方。本专利技术实现了被防护目标(Target)每次收到指纹探测 方(Fingerprinter)的指纹探测包时,自动更改该探测项对应特性,使探测方收集到的指 纹特征是错误的信息,从而使被欺骗或混淆为其他设备类型,使一些重要基础设备得到有 效的抗远程指纹识别的防护机制。 本专利技术解决上述技术问题的另一技术方案如下:一种事件触发式的MTD防护方 法,包括如下步骤: 步骤1,接收并判断客户端发来的请求数据包是否为指纹探测包,如果是,则进一 步判断所述指纹探测包的探测类型并执行步骤2,否则直接返回响应数据包,结束流程; 步骤2,判断所述指纹探测包所述的探测事件在在相应探测类型的探测事件集中 是否已存在,如果存在,执行步骤3,否则将该类型的探测事件定义为一条新增的探测事件, 记录并存储在探测事件集中,执行步骤3 ; 步骤3,将所述指纹探测包所要探测的特性值进行欺骗性修改,将修改后的特性值 封装成响应数据包返回给指纹探测方。【附图说明】 图1为本专利技术一种事件触发式的MTD防护系统示意图; 图2为本专利技术所述指纹探测包判定系统示意图; 图3为本专利技术所述指纹探测事件判定系统示意图; 图4为本专利技术所述特性值MTD修改系统示意图; 图5为本专利技术所述一种事件触发式的MTD防护方法流程图; 图6为本专利技术所述指纹探测包判定系统程序流程图; 图7为本专利技术所述指纹探测事件判定程序流程图; 图8为本专利技术所述特性值MTD修改程序流程图。【具体实施方式】 以下结合附图对本专利技术的原理和特征进行描述,所举实例只用于解释本专利技术,并 非用于限定本专利技术的范围。 本专利技术涉及一种事件触发式对抗远程操作系统指纹识别(Remote Operating System Fingerprinting)的 MTD(Moving Target Defense)防护系统及方法。通过对 操作系统主动指纹识别方法和探测包的分析,制定探测事件集,设计一种事件触发式 的MTD隐藏操作系统特征的防护思想。实现被防护目标(Target)每次收到指纹探测方 (Fingerprinter)的指纹探测包时,自动更改该探测项对应特性,使探测方收集到的指纹特 征是错误的信息,从而使被欺骗或混淆为其他设备类型,最终使一些重要基础设备得到一 个有效的抗远程指纹识别的防护机制。 如图1所示,一种事件触发式的MTD防护系统,包括指纹探测主机 (fingerprinter)、被探测目标主机(target)和指纹探测MTD防护系统,其中指纹探测MTD 防护系统部署在被探测目标主机上,包括指纹探测包判定系统、指纹探测事件判定系统和 特性值MTD修改系统。 所述指纹探测包判定系统,其用于接收并判断客户端发来的请求数据包是否为指 纹探测包,如果是,则进一步判断所述指纹探测包的探测类型并调用指纹探测事件判定系 统,否则直接返回响应数据包; 所述指纹探测事件判定系统,其用于判断所述指纹探测包所属的探测事件在相应 探测类型的指纹探测事件集中是否已存在,如果存在,将所述指纹探测事件探测的特性值 传递给特性值MTD修改系统,否则将该类型的探测事件定义为一条新增的探测事件,记录 并存储在探测事件集中,将所述指纹探测事件探测的特性值传递给特性值MTD修改系统; 所述MTD修改系统,其用于将所述指纹探测包所要探测的特性值进行欺骗性修 改,将修改后的特性值封装成响应数据包返回给指纹探测方。 如图2所示,所述指纹探测包判定系统包括数据包解析模块、数据包类型判断模 块、数据包目标当前第1页1&nbs本文档来自技高网...
【技术保护点】
一种事件触发式的MTD防护系统,其特征在于,包括指纹探测包判定系统、指纹探测事件判定系统和特性值MTD修改系统;所述指纹探测包判定系统,其用于接收并判断客户端发来的请求数据包是否为指纹探测包,如果是,则进一步判断所述指纹探测包的探测类型并调用指纹探测事件判定系统,否则直接返回响应数据包;所述指纹探测事件判定系统,其用于判断所述指纹探测包所属的探测事件在相应探测类型的指纹探测事件集中是否已存在,如果存在,将所述指纹探测事件探测的特性值传递给特性值MTD修改系统,否则将该类型的探测事件定义为一条新增的探测事件,记录并存储在探测事件集中,将所述指纹探测事件探测的特性值传递给特性值MTD修改系统;所述MTD修改系统,其用于将所述指纹探测包所要探测的特性值进行欺骗性修改,将修改后的特性值封装成响应数据包返回给指纹探测方。
【技术特征摘要】
...
【专利技术属性】
技术研发人员:闫兆腾,黄伟武,芦翔,朱红松,孙利民,
申请(专利权)人:中国科学院信息工程研究所,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。