一种事件触发式的mtd防护系统及方法
【技术领域】
[0001] 本发明设及国家重要基础设备隐藏防护领域,尤其设及一种事件触发式的MTD防 护系统及方法。
【背景技术】
[0002] 在当前环境下,信息技术系统是建立在相对静态的配置中运行。例如,地址、名 称、软件找、网络和各种配置参数在较长的时间段内保持相对静态。该种静态的方法使意 图对系统进行恶意漏洞利用(exploit)的攻击者可W有充足的时间捜索、探测和识别目标 系统的版本和配置等信息,其中最具代表性的就是操作系统指纹探测和识别的perating SystemFinge;rp;rintingDetection),即通过对网络上的主机进行主动的(active)或被动 的(passive)探测数据包的特性(fea化re)差异信息收集来确定所使用的操作系统,通常 被攻击者作为攻击前信息采集中最重要的一步。
[000引MTD(MovingTargetDefense)思想是基于控制跨多个系统维度的变化,增加系统 的不确定性和复杂性,从而减少攻击者的攻击表面(attacksuWace)和增加攻击成本而提 出的一个新概念。自2011年MTD被提出来后,已逐渐发展成系统防护领域的研究热点,并 被美国白宫确定为未来发展的四大网络空间安全防护战略技术之一。
[0004] 作为一种重要的安全防范系统,近年来,MTD思想不仅在软件系统防范漏洞扫描和 服务及版本防泄漏方面获得了应用,而且也逐渐在对抗远程操作系统指纹探测和识别上获 得了大规模的推广。
[0005] MTD思想在防范安全防范操作系统指纹识别系统方面的研究,在2011年主要集中 在IP地址配置在一定周期内的随机化,使指纹探测方无法对目标主机的IP变换的时间窗 口内完成信息采集和探测。在2013年的研究开始在远程操作系统指纹识别领域的MTD上, 对TCP协议找特性值进行周期性修改和防护。但是,由于周期性的MTD防护本身存在的安 全缺陷W及安全隐患目前,如果探测方利用每个周期内只探测一个特性的方法,利用多个 周期汇总每个特性的探测结果,就可W使MTD防护系统的安全机制和性能大大降低。另外 考虑到指纹探测方如果采用分布式探测和信息采集的话,使MTD面对的攻击表面更加难W 防范,使对抗指纹探测的情况更加复杂,周期性MTD防护的缺陷也更加凸显。
【发明内容】
[0006] 本发明所要解决的技术问题是针对现有技术的不足,提供一种事件触发式的MTD 防护系统及方法。
[0007] 本发明解决上述技术问题的技术方案如下:一种事件触发式的MTD防护系统,包 括指纹探测包判定系统、指纹探测事件判定系统和特性值MTD修改系统;
[000引所述指纹探测包判定系统,其用于收到来自客户端发来的请求数据包时,进行对 数据包是属于正常业务数据包还是属于探测系统特性的指纹探测包等类型的判别,如果判 定为正常系统业务连接请求数据包,则不做任何处理直接响应而不触发防护机制;如果判 定为旨在获取当前系统特性及对应特性值的探测包,则立刻触发防护机制,确保系统特性 信息的不外泄;
[0009]所述指纹探测事件判定系统,其用于收集、存储和判断指纹探测的事件,在判定收 到了探测数据包时,首先在指纹探测事件集中比对,是否已在当前事件集中,如果已存在则 按当前事件的处理方法对应执行;如果未存在,则将探测包想要探测特性的值进行随机化 修改,然后将该种类型的探测行为定义一条新增事件记录并存储;
[0010] 所述特性值MTD修改系统,其用于在判定为指纹探测行为后,利用MTD思想,对被 探测部分特性的值在一定范围内执行随机化或布尔变换,然后将更改后的特性值封装成响 应数据包返回给指纹探测方。
[0011] 本发明的有益效果是:本发明的有益效果是:本发明采用事件触发式MD对抗 操作系统指纹识别机制,通过对操作系统主动指纹识别方法和探测包的分析,制定探测事 件集,设计一种事件触发式的MTD(隐藏操作系统特征的防护思想。从而实现被防护目标 (Target)每次收到指纹探测方(Fingerprinter)的探测数据包时,自动更改该探测项对应 特性,使探测方收集到的指纹特征是错误的信息,从而使被欺骗或混淆为其他设备类型,最 终使一些重要基础设备得到一个有效的抗远程指纹识别的防护机制。
[0012]本发明解决上述技术问题的另一技术方案如下;一种事件触发式的MTD防护方 法,包括如下步骤:
[0013]利用指纹探测包判定系统收到来自客户端发来的请求数据包时,进行对数据包是 属于正常业务数据包还是属于探测系统特性的指纹探测包等类型的判别,如果判定为正常 系统业务连接请求数据包,则不做任何处理直接响应而不触发防护机制;如果判定为旨在 获取当前系统特性及对应特性值的探测包,则立刻触发防护机制,确保系统特性信息的不 外泄;
[0014]利用指纹探测事件判定系统收集、存储和判断指纹探测的事件,在判定收到了探 测数据包时,首先在指纹探测事件集中比对,是否已在当前事件集中,如果已存在则按当前 事件的处理方法对应执行;如果未存在,则将探测包想要探测特性的值进行随机化修改,然 后将该种类型的探测行为定义一条新增事件记录并存储;
[0015]利用特性值MTD修改系统在判定为指纹探测行为后,利用MTD思想,对被探测部分 特性的值在一定范围内执行随机化或布尔变换,然后将更改后的特性值封装成响应数据包 返回给指纹探测方。
【附图说明】
[0016] 图1为本发明一种事件触发式的MTD防护系统示意图;
[0017] 图2为本发明所述指纹探测包判定系统示意图;
[0018]图3为本发明所述指纹探测事件判定系统示意图;
[0019] 图4为本发明所述特性值MTD修改系统系统示意图;
[0020] 图5为本发明所述一种事件触发式的MTD防护方法流程图;
[0021] 图6为本发明所述指纹探测包判定系统程序流程图;
[0022] 图7为本发明所述指纹探测事件判定程序流程图;
[0023] 图8为本发明所述特性值MTD修改程序流程图。
【具体实施方式】
[0024] W下结合附图对本发明的原理和特征进行描述,所举实例只用于解释本发明,并 非用于限定本发明的范围。
[0025] 发明设及一种事件触发式对抗远程操作系统指纹识别(Remote化erating SystemFinge;rp;rinting)的MTD(MovingTargetDefense)防护系统。通过对操作系统主 动指纹识别方法和探测包的分析,制定探测事件集,设计一种事件触发式的MTD隐藏操作 系统特征的防护思想。实现被防护目标(Target)每次收到指纹探测方(Finge巧rinter) 的探测数据包时,自动更改该探测项对应特性,使探测方收集到的指纹特征是错误的信息, 从而使被欺骗或混淆为其他设备类型,最终使一些重要基础设备得到一个有效的抗远程指 纹识别的防护机制。
[0026] 如图1所示,一种事件触发式的MID防护系统,包括指纹探测主机 (finge巧rinter)、被探测目标主机(target)和指纹探测MTD防护系统,其中指纹探测MTD 防护系统部署在被探测目标主机上,包括指纹探测包判定系统、指纹探测事件判定系统和 特性值MTD修改系统。
[0027] 所述指纹探测包判定系统,其用于收到来自客户端发来的请求数据包时,进行对 数据包是属于正常业务数据包还是属于探测系统特性的指纹探