基于动态操作系统指纹及协议指纹的内网防护方法及系统技术方案

本发明专利技术提供了一种基于动态操作系统指纹及协议指纹的内网防护方法及系统，所述方法包括以下步骤：步骤1，实时监测是否接收到新流量数据，若是则新流量数据中的目的MAC地址是否在所述当前MAC地址表中，若是则将新流量数据作为内网流量数据，转步骤2；步骤2，确定内网流量数据中的指定字段是否满足预先设置的白名单策略，若是则将内网流量数据作为合法流量数据，转步骤3；步骤3，用新操作系统指纹替换合法流量数据的操作系统指纹字段中的原操作系统指纹；并用新应用指纹替换所述合法流量数据的应用指纹字段中的原应用指纹；步骤4，基于所述新操作系统指纹和所述新应用指纹组成新合法流量数据，将所述新合法流量数据发送至对应的内网接收主机。内网接收主机。内网接收主机。

【技术实现步骤摘要】
基于动态操作系统指纹及协议指纹的内网防护方法及系统


[0001]本专利技术涉及内网防护
，具体的说，涉及了一种基于动态操作系统指纹及协议指纹的内网防护方法及系统。

技术介绍

[0002]内网中的设备往往通过交换机进行互联，依靠交换机的硬件转发特性完成数据流的交换，目前交换机往往通过配置ACL（Access Control Lists）的方式对流量进行访问控制，此种方法在一定程度上能实现特定的控制。
[0003]配置ACL（Access Control Lists）的方式对流量进行访问控制时，往往通过四元组信息、五元组信息或者七元组信息进行控制；其中，四元组通常是指源IP地址、目的IP地址、源端口、目的端口，五元组通常是指源IP地址、源端口、目的IP地址、目的端口和协议号，七元组通常是指信息源IP地址、目的IP地址、协议号、源端口、目的端口、服务类型以及接口索引。例如：192.168.1.1 10000 TCP 121.14.88.76 80 就构成了一个五元组，其表示一个IP地址为192.168.1.1的终端通过端口10000利用本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于动态操作系统指纹及协议指纹的内网防护方法，其特征在于，包括以下步骤：步骤0，与内网主机相连的交换端口被配置为彼此之间相互隔离；流量分类器在第一次接收到某个内网主机发送的数据报文时，提取该数据报文中的MAC地址，并更新当前MAC地址表；所述当前MAC地址表包括经过身份认证的内网主机的MAC地址；步骤1，流量分类器实时监测是否接收到新流量数据，若是则提取出所述新流量数据中的源MAC地址和目的MAC地址；判断提取出的源MAC地址和目的MAC地址是否均在所述当前MAC地址表中，若是则将所述新流量数据作为内网流量数据，转步骤2；否则对所述新流量数据丢弃处理；步骤2，确定所述内网流量数据中的指定字段是否满足预先设置的白名单策略，若是则将所述内网流量数据作为合法流量数据，转步骤3，否则将所述内网流量数据作为非法流量数据进行丢弃处理；其中，所述指定字段包括内网发送主机的操作系统指纹字段和应用指纹字段，所述操作系统指纹字段被填充为IP协议中TTL值和TCP协议中的Window Size值，所述应用指纹字段被填充为自定义传输协议报文的TCPheader的option字段，所述白名单策略预先指定内网主机的MAC地址、内网主机的操作系统指纹和内网主机的应用指纹之间的映射关系；步骤3，从操作系统指纹池中随机选取一种操作系统指纹，作为新操作系统指纹，并用所述新操作系统指纹替换所述合法流量数据中的原操作系统指纹；按照预先配置的指纹策略生成新应用指纹，并用所述新应用指纹替换所述合法流量数据中的原应用指纹；步骤4，基于所述新操作系统指纹和所述新应用指纹组成新合法流量数据，将所述新合法流量数据发送至对应的内网接收主机。2.根据权利要求1所述的基于动态操作系统指纹及协议指纹的内网防护方法，其特征在于，对应的内网接收主机接收到所述新合法流量数据后，还执行：解析出所述新合法流量数据中的新应用指纹，进行应用协议指纹校验：按照预先接收到的指纹策略进行变换，以判断所述新应用指纹是否为正常应用指纹，若所述新应用指纹非正常应用指纹，则判定所述新合法流量数据未通过应用协议指纹校验，对所述新合法流量数据进行丢弃处理。3.根据权利要求2所述的基于动态操作系统指纹及协议指纹的内网防护方法，其特征在于，所述步骤3中，按照预先配置的指纹策略生成新应用指纹时，采用基于随机范围的应用指纹生成策略，且所述基于随机范围的应用指纹生成策略为：Y1=rand（option，option+a1）其中，Y1表示所述新合法流量数据的应用指纹字段中的新应用指纹，且该新应用指纹基于随机范围的应用指纹生成策略获得，option表示所述合法流量数据的应用指纹字段中的原应用指纹，a1表示第一协议变换系数。4.根据权利要求3所述的基于动态操作系统指纹及协议指纹的内网防护方法，其特征在于，对应的内网接收主机预先接收到随机值min和随机值max；在对应的内网接收主机接收到所述新合法流量数据，进行应用协议指纹校验时：从所
述新合法流量数据中解析出所述新应用指纹Y1，并判断所述新应用指纹Y1是否在预先接收到的随机值min和随机值max之间，若是则判定所述新应用指纹为正常应用指纹，否则判定所述新应用指纹非正常应用指纹。5.根据权利要求2所述的基于动态操作系统指纹及协议指纹的内网防护方法，其特征在于，所述步骤3中，按照预先配置的指纹策略生成新应用指纹时，采用基于固定函数的应用指纹变换策略，且所述基于固定函数的应用指纹变换策略为：Y2=a2*option+len其中，Y2表示所述新合法流量数据的应用指纹字段中的新应用指纹，且该新应用指纹基于固定函数的应用指纹变换策略生成，option表示所述合法流量数据的应用指纹字段中的原应用指纹，len为新合法流量数据的报文长度，a2表示第二协议变换系数。6.根据权利要求5所述的基于动态操作系统指纹及协议指纹的内网防护方法，其特征在于，对应的内网接收主机预先接收到的加密指纹策略，并根据预先存储的加密密钥key对所述加密指纹策略解密，得到基于固定函数的应用指纹变换策略；在对应的内网接收主机接收到所述新合法流量数据，进行应用协议指纹校验时：从所述新合法流量数据中解析出新应用指纹Y2’
，从解密出的基于固定函数的应用指纹变换策略中解析出新合法流量数据的报文长度len以及第二协议变换系数a2；用所述新应用指纹Y2减去新合法流量数据的报文长度len，再除以所述第二协议变换系数a2，得到新应用指纹Y2’’
；比对新应用指纹Y2’’
与预先获得的原应用指纹是否一致，若一致，则判定新应用指纹Y2’
为正常应用指纹，否则判定新应用指纹Y2’
非正常应用指纹。7.一种基于动态操作系统...

【专利技术属性】
技术研发人员：吕青松，冯志峰，张宜岗，张建军，郭义伟，
申请(专利权)人：珠海高凌信息科技股份有限公司，
类型：发明
国别省市：