一种基于操作系统指纹跳变的移动目标防护方法

一种基于操作系统指纹跳变的移动目标防护方法
【专利摘要】一种基于操作系统指纹跳变的移动目标防护方法，该方法针对攻击者使用的扫描工具进行防范，利用这些扫描工具的操作系统特征库进行有针对性的指纹跳变，实现对攻击扫描行为的识别和指纹特征伪装，使得攻击者无法正取获取要攻击操作系统的具体信息，进而无法进行下一步攻击行为，从而实现网络防护。本发明从提高操作系统本身的复杂性出发，针对攻击者扫描技术进行有针对性的跳变，通过在出口网络上部署该技术手段可使得外部攻击者无法获取网络内部的信息系统的具体信息，这样用户原有的信息系统无须改变，避免了改造成本，同时攻击者无法正确获取网络内部的操作系统信息，也就无法正确采用合适的攻击方法，进而提高了信息系统的防护能力。
【专利说明】一种基于操作系统指纹跳变的移动目标防护方法

【技术领域】
[0001]本发明属于网络安全领域，具体涉及一种基于操作系统指纹跳变的移动目标防护方法。

【背景技术】
[0002]当前以防火墙、入侵检测等技术为核心的网络防护体系在防范网络攻击上越来越受限，攻防双方处于严重的不对称状态:攻击者有充足的时间研究要攻击的信息系统并发现漏洞实现攻击，而防护者即使找到了漏洞的99%并进行了防护，如果攻击者采用的漏洞不在发现漏洞范围内，攻击也不能有效避免，因此这种静态的防护思想与动态的攻击行为相比具有天生的弱势，为此，学界提出了移动目标防御(moving target defense, MTD)技术，该技术不追求完全安全的信息系统，而是通过不断变换信息系统资源(网络、操作系统、应用系统)来提高攻击者的研究时间和攻击难度，进而减少攻击的发生。
[0003]目前通过对国内外文期刊、会议文献进行检索，已有的操作系统MTD实现主要是基于虚拟机轮换。该技术方案是基于虚拟机轮换的操作系统防护，主要利用虚拟技术将要保护的应用系统安装在不同的操作系统上，采用“一主多备”的运行方式，即某个时刻只有一个虚拟机处于服务状态，其他虚拟机处于离线状态，所有离线虚拟机利用快照技术快速回退到初始状态，消除虚拟机被攻击者攻陷后带来的问题。由于该方案采用不同的操作系统轮转，因此即使某时刻虚拟机被攻破，但是在下一个轮换发生后这种攻击行为将不在有效，从而提高了信息系统的复杂程度，使得攻击者的分析时间大大增加，攻击门槛大大提闻。
[0004]该技术的主要缺点:
虽然该技术能够提高信息系统的抗攻击能力，但是存在以下几个方面的问题:
1、该方案需要应用系统能够运行在不同操作系统的虚拟机上，也就是说使用该技术需要对现有的信息系统进行改造，使其既能运行在不同操作系统上，也要迁移到虚拟机上，这就使得该方案改造成本高、实施复杂。
[0005]2、该方案并没有解决操作系统本身安全性问题，由于操作系统都存在漏洞因此攻击行为攻破系统的概率是非常高的，一旦虚拟机轮转时间较长，攻击者仍然有足够时间完成攻击破坏，因此该方案防护能力有限。


【发明内容】

[0006]本发明的目的在于提供一种基于操作系统指纹跳变的移动目标防护方法，其针对攻击者扫描技术进行有针对性的跳变，通过在出口网络上部署该技术手段可使得外部攻击者无法获取网络内部的信息系统的具体信息，这样用户原有的信息系统无须改变，避免了改造成本，同时攻击者无法正确获取网络内部的操作系统信息，也就无法正确采用合适的攻击方法，进而提高了信息系统的防护能力。
[0007]本发明的技术解决方案是: 一种基于操作系统指纹跳变的移动目标防护方法，其特殊之处在于:该方法针对攻击者常用的扫描工具进行防范，利用这些扫描工具的操作系统特征库进行有针对性的指纹跳变，实现对攻击扫描行为的识别和指纹特征伪装，使得攻击者无法正取获取要攻击操作系统的具体信息，进而无法进行下一步攻击行为，实现网络防护。
[0008]上述基于操作系统指纹跳变的移动目标防护方法，其特殊之处在于:该方法采用内外网隔离方式，对网络内部的终端进行保护，包括依次连接的网络接口、数据包截获模块、行为分析模块、操作系统特征跳变模块以及回应数据包篡改模块，与行为分析模块连接的扫描工具特征库，与操作系统特征跳变模块连接的操作系统特征库，以及对行为分析模块和操作系统特征跳变模块进行信息记录的扫描信息记录表。
[0009]上述基于操作系统指纹跳变的移动目标防护方法，其特殊之处在于，该方法具体包括以下步骤:
1)数据包截获模块Ml截取外网或内网网络接口上进入的数据包，将数据包发送给行为分析模块M2进行识别；
2)行为分析模块M2将数据包的特征与扫描工具特征库Dl内的特征进行比对，判别是那种扫描工具，并将扫描者IP地址和端口、被扫描者的IP地址和端口、扫描工具及扫描时间的信息记录到扫描信息记录表D3中；
3)数据包截获模块Ml截获内网或外网网络接口上回应的数据包，将数据包发送行为分析模块M2 ；
4)行为分析模块M2将数据包的特征与扫描信息记录表D3中的扫描信息进行比对，如果发现该数据包是被扫描者的回应数据包，就调用操作系统特征跳变模块M3进行跳变；
5)操作系统特征跳变模块M3根据用户设定的规则，从操作系统特征库D2中选出要跳变的特征，调用回应数据包篡改模块M4对截获的回应数据包进行篡改；
6)回应数据包篡改模块M4根据操作系统特征跳变模块M3发送归来的跳变规则对回应数据包进行修改，并发送出去；
扫描用户就会得到虚假的扫描结果，如果操作系统特征跳变模块M3中的规则随时间进行变化，即可实现指纹跳变。
[0010]上述基于操作系统指纹跳变的移动目标防护方法，其特殊之处在于:该方法应用于网络防护设备或网络安全软件。
[0011]上述基于操作系统指纹跳变的移动目标防护方法，其特殊之处在于:该方法能将一个操作系统伪装成多个操作系统。
[0012]上述攻击者常用的扫描工具是指Nmap、xprobe及Xscan等攻击的操作系统扫描工具。
[0013]本发明的优点在于:本发明从提高操作系统本身的复杂性出发，针对攻击者扫描技术进行有针对性的跳变，通过在出口网络上部署该技术手段可使得外部攻击者无法获取网络内部的信息系统的具体信息，这样用户原有的信息系统无须改变，避免了改造成本，同时攻击者无法正确获取网络内部的操作系统信息，也就无法正确采用合适的攻击方法，进而提高了信息系统的防护能力。

【专利附图】

【附图说明】
[0014]图1为本发明各功能模块功能组成框图；
其中实线代表功能调用关系，虚线代表数据读写关系。

【具体实施方式】
[0015]参见图1，一种基于操作系统指纹跳变的移动目标防护方法，该方法针对攻击者常用的扫描工具进行防范，利用这些扫描工具的操作系统特征库进行有针对性的指纹跳变，实现对攻击扫描行为的识别和指纹特征伪装，使得攻击者无法正取获取要攻击操作系统的具体信息，进而无法进行下一步攻击行为，实现网络防护。
[0016]该方法采用内外网隔离方式，对网络内部的终端进行保护，包括依次连接的网络接口、数据包截获模块、行为分析模块、操作系统特征跳变模块以及回应数据包篡改模块，与行为分析模块连接的扫描工具特征库，与操作系统特征跳变模块连接的操作系统特征库，以及对行为分析模块和操作系统特征跳变模块进行信息记录的扫描信息记录表。
[0017]该方法具体包括以下步骤:
1)数据包截获模块Ml截取外网或内网网络接口上进入的数据包，将数据包发送给行为分析模块M2进行识别；
2)行为分析模块M2将数据包的特征与扫描工具特征库Dl内的特征进行比对，判别是那种扫描工具，并将扫描者IP地址和端口、被扫描者的IP地址和端口、扫描工具及扫描时间的信息记录到扫描信息记录表D3中；
3)数据包截获模块Ml截获内网或外网网络接口上回应的数据包，将数据包发送行为分析模块M2 ；
4)行为分析模块M2将数据包的特征与扫描信息记录表D3中的扫描信息进行比对，如果发现该数据包是被扫描者的回应数据包，就调用操作系统特征跳变模块M3进行跳变；
5)操作系统特征跳变模块M3根据用户设定的规则，从操作系统特征库D2中选出要跳变的特征，调用回应数据包篡改模块M4对截获的回应数据包进行篡改；
6)回应数据包篡改模块M4根据操作系统特征跳变模块M3发送归来的跳变规则对回应数据包进行修改，并发送出去；
扫描用户就会得到虚假的扫描结果，如果操作系统特征跳变模块M3中的规则随时间进行变化，即可实现指纹跳变。
[0018]该方法可应用于网络防护设备，或应用于编写成软件安装到受保护的操作系统上。
[0019]该方法能将一个操作系统伪装成多个操作系统，并可随时间变化。
[0020]其中攻击者常用的扫描工具是指Nmap、xprobe及Xscan等操作系统扫描工具。
[0021]本发明从提高操作系统本身的复杂性出发，针对攻击者扫描技术进行有针对性的跳变，通过在出口网络上部署该技术手段可使得外部攻击者无法获取网络内部的信息系统的具体信息，这样用户原有的信息系统无须改变，避免了改造成本，同时攻击者无法正确获取网络内部的操作系统信息，也就无法正确采用合适的攻击方法，进而提高了信息系统的防护能力。
【权利要求】
1.一种基于操作系统指纹跳变的移动目标防护方法，其特征在于:该方法针对攻击者常用的扫描工具进行防范，利用这些扫描工具的操作系统特征库进行有针对性的指纹跳变，实现对攻击扫描行为的识别和指纹特征伪装，使得攻击者无法正取获取要攻击操作系统的具体信息，进而无法进行下一步攻击行为，实现网络防护。
2.根据权利要求1所述基于操作系统指纹跳变的移动目标防护方法，其特征在于:该方法采用内外网隔离方式，对网络内部的终端进行保护，包括依次连接的网络接口、数据包截获模块、行为分析模块、操作系统特征跳变模块以及回应数据包篡改模块，与行为分析模块连接的扫描工具特征库，与操作系统特征跳变模块连接的操作系统特征库，以及对行为分析模块和操作系统特征跳变模块进行信息记录的扫描信息记录表。
3.根据权利要求1或2所述基于操作系统指纹跳变的移动目标防护方法，其特征在于，该方法具体包括以下步骤: 1)数据包截获模块(Ml)截取外网或内网网络接口上进入的数据包，将数据包发送给行为分析模块(M2)进行识别； 2)行为分析模块(M2)将数据包的特征与扫描工具特征库(Dl)内的特征进行比对，判别是那种扫描工具，并将扫描者IP地址和端口、被扫描者的IP地址和端口、扫描工具及扫描时间的信息记录到扫描信息记录表(D3)中； 3)数据包截获模块(Ml)截获内网或外网网络接口上回应的数据包，将数据包发送行为分析模块(M2)； 4)行为分析模块(M2)将数据包的特征与扫描信息记录表(D3)中的扫描信息进行比对，如果发现该数据包是被扫描者的回应数据包，就调用操作系统特征跳变模块(M3)进行跳变； 5)操作系统特征跳变模块(M3)根据用户设定的规则，从操作系统特征库(D2)中选出要跳变的特征，调用回应数据包篡改模块(M4)对截获的回应数据包进行篡改； 6)回应数据包篡改模块(M4)根据操作系统特征跳变模块(M3)发送归来的跳变规则对回应数据包进行修改，并发送出去； 扫描用户就会得到虚假的扫描结果，如果操作系统特征跳变模块(M3)中的规则随时间进行变化，即可实现指纹跳变。
4.根据权利要求3所述基于操作系统指纹跳变的移动目标防护方法，其特征在于:该方法应用于网络防护设备或网络安全软件。
5.根据权利要求4所述基于操作系统指纹跳变的移动目标防护方法，其特征在于:该方法能将一个操作系统伪装成多个操作系统，并会随时间进行变化。
6.根据权利要求5所述基于操作系统指纹跳变的移动目标防护方法，其特征在于:所述攻击者常用的扫描工具是指Nmap、xprobe及Xscan操作系统扫描工具。
【文档编号】H04L29/06GK104519068SQ201410823806
【公开日】2015年4月15日 申请日期:2014年12月26日 优先权日:2014年12月26日
【发明者】赵卫伟 申请人:赵卫伟