The embodiment of the invention provides a system fingerprint identification method, device, electronic device and storage medium, the method includes: obtaining the traffic data between the client and the server; extracting the TCP / IP data packet from the traffic data, and extracting the characteristic data from the TCP / IP data packet; determining the client according to the characteristic data and the system identification model obtained through pre training The operating system information of the. The embodiment of the invention avoids the dependence on the fingerprint database and improves the recognition rate of the operating system information.
【技术实现步骤摘要】
一种系统指纹识别方法、装置、电子设备及存储介质
本专利技术涉及通信
,尤其涉及一种系统指纹识别方法、装置、电子设备及存储介质。
技术介绍
操作系统是网络资产的基本信息之一,历年来,操作系统漏洞频出,不同的操作系统类型以及版本,存在的漏洞不同。由于操作系统类型和版本等敏感信息能够帮助判断网络资产漏洞情况,因此识别操作系统型号以及版本信息是计算机安全领域主要关注的问题之一。目前主要通过操作系统指纹识别技术来识别操作系统型号以及版本。操作系统指纹识别技术主要是通过分析客户端和远程主机通信的单个TCP/IP包的一些特征进行判断。TCP协议中一些参数值依赖于特定的操作系统实现,因此现有方法主要通过分析TCP/IP包头部的一些参数,如:初始包大小,初始生存时间值(timetolive,TTL),窗口尺寸和最大分割尺寸等。其中,指纹识别技术主要分为两类:主动识别式和被动识别式。其中被动识别式是指不主动向远程主机发送数据包,而仅仅通过现有的流量的数据包并进行分析的过程,这种方式不需要和远程主机进行交互。但是被动式的指纹识别方法由于无法主动和远程主机交互,导致获取信息有限,进而导致识别精度比主动式指纹识别方法更低。同时,现有被动式指纹识别方法需要将嗅探到的TCP/IP包的头部特征和已标记的特征数据库进行精确匹配,因此指纹数据库需要不断更新,否则无法对新的操作系统进行识别。综上所述,现有技术中被动式的指纹识别方式存在过度依赖现有指纹数据库的问题。
技术实现思路
本专利技术实施例提 ...
【技术保护点】
1.一种系统指纹识别方法,其特征在于,包括:/n获取客户端与服务器之间的流量数据;/n从所述流量数据中提取TCP/IP数据包,并从所述TCP/IP数据包中提取特征数据;/n根据所述特征数据和预先训练得到的系统识别模型,确定所述客户端的操作系统信息。/n
【技术特征摘要】
1.一种系统指纹识别方法,其特征在于,包括:
获取客户端与服务器之间的流量数据;
从所述流量数据中提取TCP/IP数据包,并从所述TCP/IP数据包中提取特征数据;
根据所述特征数据和预先训练得到的系统识别模型,确定所述客户端的操作系统信息。
2.根据权利要求1所述的方法,其特征在于,所述特征数据包括SYN、ACK和FIN参数数据。
3.根据权利要求1所述的方法,其特征在于,所述根据所述特征数据和预先训练得到的系统识别模型,确定所述客户端的操作系统信息之前,所述方法还包括:
检测预设指纹数据库中是否存在与所述特征数据相匹配的相应特征数据;
当所述预设指纹数据库中不存在所述相应特征数据,或者所述预设指纹数据库中存在所述相应特征数据,且所述特征数据与所述相应特征数据之间的匹配度低于预设阈值时,进入所述根据所述特征数据和预先训练得到的系统识别模型,确定所述客户端的操作系统信息的步骤。
4.根据权利要求1所述的方法,其特征在于,所述根据所述特征数据和预先训练的系统识别模型,确定所述客户端的操作系统信息之前,所述方法还包括:
将所述TCP/IP数据包的包头转换为p0f格式。
5.根据权利要求1所述的方法,其特征在于,所述根据所述特征数据和预先训练得到的系统识别模型,确定所述客户端的操作系统信息之前,所述方法还包括:
训练所述系统识别模型;其中,
所述训练所述系统识别模型,包括:
获取多个已知操作系统信息的目标客户端产生的训练数据;其中,所述训练数据包括从TCP/IP数据包中提取的特征数据;
根据预先建立的所述训练数据与操作系统信息之间的对应关系,通过决策树算法,对所述训...
【专利技术属性】
技术研发人员:包森成,方国强,李一平,姚磊,
申请(专利权)人:中国移动通信集团浙江有限公司,中国移动通信集团有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。