机化;如果是一个布尔值,则将当前 的布尔值进行非运算。最后将修改后的结果按响应数据包格式封装,返回给指纹探测方。
[0053] 所述一种特性值的MTD修改系统,其特征在于,所述各种探测事件对应想探测的 特性值,实现迷惑性修改的过程为:
[0化4] 步骤3. 1 ;探测事件对应探测的特性值是否为布尔型进行判别;
[005引步骤3.2 ;如果是布尔型,则执行一步非运算,将当前的特性值变成相反的,从而 实现对探测结果的欺骗,如果不是布尔型,在执行步骤3. 3 ;
[0化6] 步骤3. 3 ;由步骤3. 2判定当前探测的特征值不是布尔型,而是一个数值,则执行 随机化算法,将当前的特性值在一个不影响系统正常的范围内,进行随机化变换,使探测结 果每次都不具有规律,实现对探测结果的混淆;
[0057] 步骤3. 4 ;将修改后的特性值进行封装成数据包返回给探测方。
[0化引所述一种事件触发式的MTD防护系统,其特征在于,所述探测数据包可能同时包 含一种协议下几个特性值的探测,而本发明的要旨即是通过将每个特性值的探测定义为一 个事件,使每个探测事件的判定和MTD欺骗修改与其他事件独立开,从而使WNmap为代表 的综合多种探测事件结果来检测当前操作系统正确指纹的可能性大大降低。
[0059] 如图1所示,利用本发明所述事件触发式的MD防护系统,可实现被防护主机能够 欺骗和混淆攻击方的操作系统指纹探测和识别。根据被防护主机与其他主机建立连接的通 信过程,将所有的防护过程总体上分为=个场景:
[0060] 即场景1 (正常业务数据通信Client相关协议的请求TCP连接Target,在经过MTD 防护系统检测确认当前数据包不是探测包,按正常响应包返回给Client);
[0061] 场景2 (指纹探测方Finge巧rinter发送TCP协议中数据为空的SYN探测包给目 标主机Target,在经过MD防护系统检测确认当前数据包是探测包,触发指纹识别MD系 统,将相应探测的特性值进行修改后,封装返回给Finge巧rinter);
[0062] 场景3(指纹探测方Finge巧rinter发送UDP协议中探测包,其中目标端口为 Target主机上关闭的端口,在经过MTD防护系统检测确认当前数据包是探测包,触发指纹 识别MTD系统,将相应探测事件探测的端口进行修改为开放状态,封装UDP相应包返回给 Fingerprinter)。
[0063] 场景1,正常C1ient请求与目标主机建立通信而未触发MD防护机制,具体步骤如 下:
[0064] 1)Client首先向目标主机Target发送TCPSYN包;
[00化]2)Target通过事件触发式的MD防护系统中的数据包解析模块对数据包进行解 封装;
[0066] 3)数据包类型判别模块识别当前数据包为TCP协议类型;
[0067] 4)数据包内容判别模块识别当前TCP数据包内容不为空,非探测包,从而不必触 发探测事件检测和防护机制;
[0068] 5)最后将TCPSYN包按正常业务返回包类型返回ACK+SYN包。
[0069] 场景2,Target对抗Finge;rp;rinte;r的TCPSYN探测包,具体步骤如下;
[0070] 1)Fin甜rinter向目标主机Target发送TCPSYN探测包,其中数据部分data为 空;
[007U 2)Target通过事件触发式的MD防护系统中的数据包解析模块对数据包进行解 封装;
[0072] 3)数据包类型判别模块识别当前数据包为TCP协议类型;
[0073] 4)数据包目标端口判定模块识别当前数据包的目标端口是开放的;
[0074] 5)数据包内容判别模块识别当前TCP数据包内容为空,进而判定是探测包,触发 了探测事件检测和防护机制;
[007引 6)数据包特征判别模块将当前探测包的类型tag定义为TCPSYN探测,并将参数 传递给指纹探测事件判定系统;
[0076] 7)指纹探测事件判定系统根据探测包的tag中的TCPSYN探测,与探测事件数据 库中匹配得知当前探测事件是当前已知的探测事件;
[0077] 8)指纹探测事件判定系统经过switch匹配,将当前TCPSYN探测事件对应探 测的特性值包括ISN(initialsequencenumber, 3化it)、ACKnumber(3化it)、urgent 口0;[]116^1化;[1:)、讯;[]1(1〇讯8126(1613;[1:)、;1^13肖3中5¥^化;[1:)、油601^311111(1化;[1:),参数传递 给特性值的MTD修改系统;
[0078] 9)特性值的MTD修改系统对ISN、ACKnumber、urgentpointer、windowsize、 flags中SYN(lbit)、checksum每个特性进行是否为布尔值进行判别,判别只有flags中 SYN(lbit)为布尔值,其他的特性都是数值;
[0079] 10)特性值的MTD修改系统对当前的flags中的SYN值进行非运算,对其他特性的 值执行随机化计算;
[0080] 11)特性值的MTD修改系统对修改后的特性值进行封装成ACK+SYN返回给 Fi打gerpri打ter。
[0081] 场景3,Target对抗Finge巧rinter的UDP对关闭目标端口的探测包,具体包括W 下操作:
[0082] 1)Fin甜rinter向目标主机Target发送UDP探测包,其中目标端口是Target关闭 端口;
[0083] 2)Target通过事件触发式的MTD防护系统中的数据包解析模块对数据包进行解 封装;
[0084] 3)数据包类型判别模块识别当前数据包为UDP协议类型;
[0085] 4)数据包目标端口判定模块识别当前数据包的目标端口是关闭的,将当前数据包 定义为探测包;
[0086]5)数据包特征判别模块将当前探测包的类型tag定义为UDP探测,并将参数传递 给指纹探测事件判定系统;
[0087] 6)指纹探测事件判定系统经过switch匹配,将当前TCPSYN探测事件对应探测的 特性值包括了IPID(identification,16bit)和lengthQ化it),参数传递给特性值的MTD修改系统;
[008引 7)特性值的MD修改系统对IPID和length该两个特性进行是否为布尔值进行 判别,特性都是数值;
[0089] 8)特性值的MTD修改系统对当前特性的值执行随机化计算;
[0090] 9)特性值的MTD修改系统对修改后的特性值进行封装成UDP响应包返回给 Fi打gerpri打ter。
[0091] W上所述仅为本发明的较佳实施例,并不用W限制本发明,凡在本发明的精神和 原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
【主权项】
1. 一种事件触发式的MTD防护系统,其特征在于,包括指纹探测包判定系统、指纹探测 事件判定系统和特性值MTD修改系统; 所述指纹探测包判定系统,其用于收到来自客户端发来的请求数据包时,进行对数据 包是属于正常业务数据包还是属于探测系统特性的指纹探测包等类型的判别,如果判定为 正常系统业务连接请求数据包,则不做任何处理直接响应而不触发防护机制;如果判定为 旨在获取当前系