基于动态操作系统指纹及协议指纹的内网防护方法及系统技术方案

本发明专利技术提供了一种基于动态操作系统指纹及协议指纹的内网防护方法及系统，所述方法包括以下步骤：步骤1，实时监测是否接收到新流量数据，若是则新流量数据中的目的MAC地址是否在所述当前MAC地址表中，若是则将新流量数据作为内网流量数据，转步骤2；步骤2，确定内网流量数据中的指定字段是否满足预先设置的白名单策略，若是则将内网流量数据作为合法流量数据，转步骤3；步骤3，用新操作系统指纹替换合法流量数据的操作系统指纹字段中的原操作系统指纹；并用新应用指纹替换所述合法流量数据的应用指纹字段中的原应用指纹；步骤4，基于所述新操作系统指纹和所述新应用指纹组成新合法流量数据，将所述新合法流量数据发送至对应的内网接收主机。内网接收主机。内网接收主机。

【技术实现步骤摘要】
基于动态操作系统指纹及协议指纹的内网防护方法及系统


[0001]本专利技术涉及内网防护
，具体的说，涉及了一种基于动态操作系统指纹及协议指纹的内网防护方法及系统。

技术介绍

[0002]内网中的设备往往通过交换机进行互联，依靠交换机的硬件转发特性完成数据流的交换，目前交换机往往通过配置ACL（Access Control Lists）的方式对流量进行访问控制，此种方法在一定程度上能实现特定的控制。
[0003]配置ACL（Access Control Lists）的方式对流量进行访问控制时，往往通过四元组信息、五元组信息或者七元组信息进行控制；其中，四元组通常是指源IP地址、目的IP地址、源端口、目的端口，五元组通常是指源IP地址、源端口、目的IP地址、目的端口和协议号，七元组通常是指信息源IP地址、目的IP地址、协议号、源端口、目的端口、服务类型以及接口索引。例如：192.168.1.1 10000 TCP 121.14.88.76 80 就构成了一个五元组，其表示一个IP地址为192.168.1.1的终端通过端口10000利用TCP协议，和IP地址为121.14.88.76端口为80的终端进行连接。
[0004]然而，无论是四元组信息、五元组信息还是七元组信息，均无法对数据包的协议属性、应用属性进行检查，这就造成了对于未知的流量往往无法进行有限检查，从而无法对内网安全做到有效防护。
[0005]为了解决以上存在的问题，人们一直在寻求一种理想的技术解决方案。

技术实现思路
/>[0006]本专利技术的目的是针对现有技术的不足，从而提供一种基于动态操作系统指纹及协议指纹的内网防护方法及系统。
[0007]为了实现上述目的，本专利技术所采用的技术方案是：本专利技术第一方面提供一种基于动态操作系统指纹及协议指纹的内网防护方法，所述方法包括以下步骤：步骤0，与内网主机相连的交换端口被配置为彼此之间相互隔离；流量分类器在第一次接收到某个内网主机发送的数据报文时，提取该数据报文中的MAC地址，并更新当前MAC地址表；所述当前MAC地址表包括经过身份认证的内网主机的MAC地址；步骤1，流量分类器实时监测是否接收到新流量数据，若是则提取出所述新流量数据中的源MAC地址和目的MAC地址；判断提取出的源MAC地址和目的MAC地址是否均在所述当前MAC地址表中，若是则将所述新流量数据作为内网流量数据，转步骤2；否则对所述新流量数据丢弃处理；步骤2，确定所述内网流量数据中的指定字段是否满足预先设置的白名单策略，若是则将所述内网流量数据作为合法流量数据，转步骤3，否则将所述内网流量数据作为非法
流量数据进行丢弃处理；其中，所述指定字段包括内网发送主机的操作系统指纹字段和应用指纹字段，所述操作系统指纹字段被填充为IP协议中TTL值和TCP协议中的Window Size值，所述应用指纹字段被填充为自定义传输协议报文的TCPheader的option字段，所述白名单策略预先指定内网主机的MAC地址、内网主机的操作系统指纹和内网主机的应用指纹之间的映射关系；步骤3，从操作系统指纹池中随机选取一种操作系统指纹，作为新操作系统指纹，并用所述新操作系统指纹替换所述合法流量数据中的原操作系统指纹；按照预先配置的指纹策略生成新应用指纹，并用所述新应用指纹替换所述合法流量数据中的原应用指纹；步骤4，基于所述新操作系统指纹和所述新应用指纹组成新合法流量数据，将所述新合法流量数据发送至对应的内网接收主机。
[0008]本专利技术第二方面提供一种基于动态操作系统指纹及协议指纹的内网防护系统，所述系统包括：包括流量分类器、白名单筛选器、指纹变换器和流量转发器，所述流量分类器与N个内网主机相连的N个交换端口彼此之间相互隔离，N个内网主机无法跳跃流量分类器进行通讯；所述流量分类器，用于在第一次接收到某个内网主机发送的数据报文时，提取该数据报文中的MAC地址，并更新当前MAC地址表，所述当前MAC地址表包括经过身份认证的内网主机的MAC地址；还用于实时监测是否接收到新流量数据，若是则提取出所述新流量数据中的源MAC地址和目的MAC地址；还用于判断提取出的源MAC地址和目的MAC地址是否在所述当前MAC地址表中，若是则将所述新流量数据作为内网流量数据，并传输至所述白名单筛选器，否则对所述新流量数据进行丢弃处理；所述白名单筛选器，用于确定接收到的内网流量数据中的指定字段是否满足预先设置的白名单策略，若是则将所述内网流量数据作为合法流量数据，并传输至所述指纹变换器，否则将所述内网流量数据作为非法流量数据进行丢弃处理；其中，所述指定字段包括内网发送主机的操作系统指纹字段和应用指纹字段，所述操作系统指纹字段被填充为IP协议中TTL值和TCP协议中的Window Size值，所述应用指纹字段被填充为自定义传输协议报文的TCPheader的option字段，所述白名单策略预先指定内网主机的MAC地址、内网主机的操作系统指纹和内网主机的应用指纹之间的映射关系；所述指纹变换器，用于从操作系统指纹池中随机选取一种操作系统指纹，作为新操作系统指纹，并用所述新操作系统指纹替换所述合法流量数据的操作系统指纹字段中的原操作系统指纹；还用于按照预先配置的指纹策略生成新应用指纹，并用所述新应用指纹替换所述合法流量数据的应用指纹字段中的原应用指纹；还用于基于所述新操作系统指纹和所述新应用指纹组成新合法流量数据，并转发至所述流量转发器；所述流量转发器，用于将所述新合法流量数据发送至对应的内网接收主机。
[0009]本专利技术的有益效果为：1）本专利技术通过在传统交换机的基础上引入白名单流量检查策略，实现对内网流量的严格控制，杜绝未知流量的横向传播，在一定程度上避免了未知流量造成的内网威胁扩散的问题；2）经过白名单筛选器过滤出的合法流量数据，经所述指纹变换器动态改变操作系
统指纹以及协议指纹，从而避免内网主机之间的横向扫描，让内网主机之间无法探测对方使用的操作系统以及通信流量特征；3）从操作系统指纹池中随机选取一种操作系统指纹，作为新操作系统指纹，通过改变IP协议中的TTL值以及Window Size值可以迷惑外部用户，防止外部用户通过扫描探测的方式发现操作系统的状态，从而保证内网流量数据安全可靠地流转。
附图说明
[0010]图1是本专利技术的基于动态操作系统指纹及协议指纹的内网防护方法的流程图；图2是本专利技术的基于动态操作系统指纹及协议指纹的内网防护系统的结构示意图。
具体实施方式
[0011]下面通过具体实施方式，对本专利技术的技术方案做进一步的详细描述。
[0012]实施例1如附图1所示，一种基于动态操作系统指纹及协议指纹的内网防护方法，所述方法包括以下步骤：步骤0，与内网主机相连的交换端口被配置为彼此之间相互隔离；流量分类器在第一次接收到某个内网主机发送的数据报文时，提取该数据报文中的MAC地址，并更新当前MAC地址表；所述当前MAC地址表包括经过身份认证的内网主机的MAC地址；步骤1，流量分类器实时监测是否接收到新流量数据，若是则提取出所述新流量数本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于动态操作系统指纹及协议指纹的内网防护方法，其特征在于，包括以下步骤：步骤0，与内网主机相连的交换端口被配置为彼此之间相互隔离；流量分类器在第一次接收到某个内网主机发送的数据报文时，提取该数据报文中的MAC地址，并更新当前MAC地址表；所述当前MAC地址表包括经过身份认证的内网主机的MAC地址；步骤1，流量分类器实时监测是否接收到新流量数据，若是则提取出所述新流量数据中的源MAC地址和目的MAC地址；判断提取出的源MAC地址和目的MAC地址是否均在所述当前MAC地址表中，若是则将所述新流量数据作为内网流量数据，转步骤2；否则对所述新流量数据丢弃处理；步骤2，确定所述内网流量数据中的指定字段是否满足预先设置的白名单策略，若是则将所述内网流量数据作为合法流量数据，转步骤3，否则将所述内网流量数据作为非法流量数据进行丢弃处理；其中，所述指定字段包括内网发送主机的操作系统指纹字段和应用指纹字段，所述操作系统指纹字段被填充为IP协议中TTL值和TCP协议中的Window Size值，所述应用指纹字段被填充为自定义传输协议报文的TCPheader的option字段，所述白名单策略预先指定内网主机的MAC地址、内网主机的操作系统指纹和内网主机的应用指纹之间的映射关系；步骤3，从操作系统指纹池中随机选取一种操作系统指纹，作为新操作系统指纹，并用所述新操作系统指纹替换所述合法流量数据中的原操作系统指纹；按照预先配置的指纹策略生成新应用指纹，并用所述新应用指纹替换所述合法流量数据中的原应用指纹；步骤4，基于所述新操作系统指纹和所述新应用指纹组成新合法流量数据，将所述新合法流量数据发送至对应的内网接收主机。2.根据权利要求1所述的基于动态操作系统指纹及协议指纹的内网防护方法，其特征在于，对应的内网接收主机接收到所述新合法流量数据后，还执行：解析出所述新合法流量数据中的新应用指纹，进行应用协议指纹校验：按照预先接收到的指纹策略进行变换，以判断所述新应用指纹是否为正常应用指纹，若所述新应用指纹非正常应用指纹，则判定所述新合法流量数据未通过应用协议指纹校验，对所述新合法流量数据进行丢弃处理。3.根据权利要求2所述的基于动态操作系统指纹及协议指纹的内网防护方法，其特征在于，所述步骤3中，按照预先配置的指纹策略生成新应用指纹时，采用基于随机范围的应用指纹生成策略，且所述基于随机范围的应用指纹生成策略为：Y1=rand（option，option+a1）其中，Y1表示所述新合法流量数据的应用指纹字段中的新应用指纹，且该新应用指纹基于随机范围的应用指纹生成策略获得，option表示所述合法流量数据的应用指纹字段中的原应用指纹，a1表示第一协议变换系数。4.根据权利要求3所述的基于动态操作系统指纹及协议指纹的内网防护方法，其特征在于，对应的内网接收主机预先接收到随机值min和随机值max；在对应的内网接收主机接收到所述新合法流量数据，进行应用协议指纹校验时：从所
述新合法流量数据中解析出所述新应用指纹Y1，并判断所述新应用指纹Y1是否在预先接收到的随机值min和随机值max之间，若是则判定所述新应用指纹为正常应用指纹，否则判定所述新应用指纹非正常应用指纹。5.根据权利要求2所述的基于动态操作系统指纹及协议指纹的内网防护方法，其特征在于，所述步骤3中，按照预先配置的指纹策略生成新应用指纹时，采用基于固定函数的应用指纹变换策略，且所述基于固定函数的应用指纹变换策略为：Y2=a2*option+len其中，Y2表示所述新合法流量数据的应用指纹字段中的新应用指纹，且该新应用指纹基于固定函数的应用指纹变换策略生成，option表示所述合法流量数据的应用指纹字段中的原应用指纹，len为新合法流量数据的报文长度，a2表示第二协议变换系数。6.根据权利要求5所述的基于动态操作系统指纹及协议指纹的内网防护方法，其特征在于，对应的内网接收主机预先接收到的加密指纹策略，并根据预先存储的加密密钥key对所述加密指纹策略解密，得到基于固定函数的应用指纹变换策略；在对应的内网接收主机接收到所述新合法流量数据，进行应用协议指纹校验时：从所述新合法流量数据中解析出新应用指纹Y2’
，从解密出的基于固定函数的应用指纹变换策略中解析出新合法流量数据的报文长度len以及第二协议变换系数a2；用所述新应用指纹Y2减去新合法流量数据的报文长度len，再除以所述第二协议变换系数a2，得到新应用指纹Y2’’
；比对新应用指纹Y2’’
与预先获得的原应用指纹是否一致，若一致，则判定新应用指纹Y2’
为正常应用指纹，否则判定新应用指纹Y2’
非正常应用指纹。7.一种基于动态操作系统...

【专利技术属性】
技术研发人员：吕青松，冯志峰，张宜岗，张建军，郭义伟，
申请(专利权)人：珠海高凌信息科技股份有限公司，
类型：发明
国别省市：