统特性及对应特性值的探测包,则立刻触发防护机制,确保系统特性信息 的不外泄; 所述指纹探测事件判定系统,其用于收集、存储和判断指纹探测的事件,在判定收到了 探测数据包时,首先在指纹探测事件集中比对,是否已在当前事件集中,如果已存在则按当 前事件的处理方法对应执行;如果未存在,则将探测包想要探测特性的值进行随机化修改, 然后将这种类型的探测行为定义一条新增事件记录并存储; 所述特性值MTD修改系统,其用于在判定为指纹探测行为后,利用MTD思想,对被探测 部分特性的值在一定范围内执行随机化或布尔变换,然后将更改后的特性值封装成响应数 据包返回给指纹探测方。2. 根据权利要求1所述一种事件触发式的MTD防护系统,其特征在于,所述指纹探测包 判定系统包括数据包解析模块、数据包类型判别模块、数据包目标端口判别模块、数据包内 容判别模块和数据包特征判别模块; 所述数据包解析模块是用于解析收到的请求数据包,拆开包的封装来查看数据包的包 头、目的地址、目的端口、数据包类型、数据包内容等,为后续判别的模块提供源数据; 所述数据包类型判别模块、数据包目标端口判别模块和数据包内容判别模块之间相互 配合完成数据包是正常业务包还是指纹探测数据包的判定,从而决定是否触发指纹探测事 件集和MTD修改系统; 所述数据包特征判别模块是结合数据包类型判别模块、数据包目标端口判别模块和数 据包内容判别模块以及数据包特征判别模块等提供的源数据,判断当前指纹探测是属于哪 种探测类型。3. 根据权利要求1所述一种事件触发式的MTD防护系统,其特征在于,所述指纹探测事 件判定系统包括探测类型判别模块、探测事件数据库和探测事件分类模块; 所述探测类型判别模块,用于对探测数据包按协议类型进行分类,将探测数据包传递 给指纹探测事件判定系统; 所述探测事件数据库,事先存储好的IP、TCP、UDP和ICMP不同协议探测的事件特征 集; 所述探测事件分类模块,用于将探测类型判别模块判断的数据与探测事件数据库相匹 配,如果与其中一项匹配成功,则执行该事件对应的MID修改系统的执行步骤,如果不能与 其中一项匹配成功,则将当前探测类型按事件数据库的格式新增一条事件规则,最后将本 次探测类型所要探测的特性传递给下一步的特征值的MTD修改系统。4. 根据权利要求1所述一种事件触发式的MTD防护系统,其特征在于,所述特性值MTD 修改系统包括对应特性的值更改模块;所述特征值的MTD修改系统,是将当前探测包所要 探测的特性值进行欺骗性修改,如果是一个数值,则在指定范围内执行随机化;如果是一个 布尔值,则将当前的布尔值进行非运算。最后将修改后的结果按响应数据包格式封装,返回 给指纹探测方。5. -种事件触发式的MTD防护方法,其特征在于,包括如下步骤: 利用指纹探测包判定系统收到来自客户端发来的请求数据包时,进行对数据包是属 于正常业务数据包还是属于探测系统特性的指纹探测包等类型的判别,如果判定为正常系 统业务连接请求数据包,则不做任何处理直接响应而不触发防护机制;如果判定为旨在获 取当前系统特性及对应特性值的探测包,则立刻触发防护机制,确保系统特性信息的不外 泄; 利用指纹探测事件判定系统收集、存储和判断指纹探测的事件,在判定收到了探测数 据包时,首先在指纹探测事件集中比对,是否已在当前事件集中,如果已存在则按当前事件 的处理方法对应执行;如果未存在,则将探测包想要探测特性的值进行随机化修改,然后将 这种类型的探测行为定义一条新增事件记录并存储; 利用特性值MTD修改系统在判定为指纹探测行为后,利用MTD思想,对被探测部分特性 的值在一定范围内执行随机化或布尔变换,然后将更改后的特性值封装成响应数据包返回 给指纹探测方。6. 根据权利要求5所述一种事件触发式的MTD防护方法,其特征在于,判定数据包是正 常业务数据包还是恶意探测包的判定过程如下: 步骤I. 1 :数据包解析模块模块对数据包进行解封装; 步骤1. 2 :数据包类型判别模块对当前数据包的协议类型进行判别,如果是ICMP协议, 直接将当前数据包定义为探测包,执行步骤1. 5并将当前探测包类型标签定义为ICMP;如 果是IP协议,执行步骤1. 4的数据包内容判别模块;如果是TCP或UDP协议,则执行步骤 1.3数据包目标端口判别模块; 步骤1. 3 :数据包目标端口判别模块对数据包中目标端口是否开放进行判别,如果是 开放,执行步骤1. 4数据包内容判别模块;如果是关闭的,则将当前数据包定义为探测包, 执行步骤1. 5,并根据协议类型将当前探测包类型标签定义为TCP或UDP; 步骤1. 4 :数据包内容判别模块对数据包中的数据部分进行判别,如果数据为空,则将 当前数据包定义为探测包,执行步骤1. 5 ;如果数据包不为空,则认为当前数据包为正常的 业务数据包并正常返回响应数据包; 步骤1. 5 :探测类型判别模块对探测数据包按协议类型进行分类,类型标签主要分为ICMP、IP、TCP和UDP四种,然后探测数据包传递给指纹探测事件判定系统进行后续操作。7. 根据权利要求5所述一种事件触发式的MTD防护方法,其特征在于,判定当前探测数 据包属于哪种探测事件的过程如下: 步骤2. 1 :根据探测数据包的探测类型tag与探测事件数据库进行匹配,如果是已知的 探测事件,则执行步骤2. 2,如果是未知的探测事件,则将当前探测类型按事件数据库的格 式新增一条事件规则,最后将本次探测类型所要探测的特性传递给下一步的特征值的MTD 修改系统; 步骤2. 2 :根据步骤2. 1中的探测类型tag与探测事件数据库匹配判定当前探测事件 是当前数据库中包含已知的探测事件,执行一步switch匹配,根据不同类型的tag执行相 对应的MTD特性修改步骤。8. 根据权利要求5所述一种事件触发式的MTD防护方法,其特征在于,所述各种探测事 件对应想探测的特性值,实现迷惑性的过程为: 步骤3. 1 :探测事件对应探测的特性值是否为布尔型进行判别; 步骤3.2 :如果是布尔型,则执行一步非运算,将当前的特性值变成相反的,从而实现 对探测结果的欺骗,如果不是布尔型,再执行步骤3. 3 ; 步骤3. 3 :由步骤3. 2判定当前探测的特征值不是布尔型,而是一个数值,则执行随机 化算法,将当前的特性值在一个不影响系统正常的范围内,进行随机化变换,使探测结果每 次都不具有规律,实现对探测结果的混淆; 步骤3. 4 :将修改后的特性值进行封装成数据包返回给探测方。9.根据权利要求5所述一种事件触发式的MTD防护方法,其特征在于,所述探测数据包 同时包含一种协议下几个特性值的探测,通过将每个特性值的探测定义为一个事件,使每 个探测事件的判定和MTD欺骗修改与其他事件独立开。
【专利摘要】本发明涉及一种事件触发式的MTD防护系统及方法。本发明通过对操作系统主动指纹识别方法和探测包的分析,制定探测事件集,设计一种事件触发式的MTD隐藏操作系统特征的防护思想。实现被防护目标(Target)每次收到指纹探测方(Fingerprinter)的探测数据包时,自动更改该探测项对应特性,使探测方收集到的指纹特征是错误的信息,从而使被欺骗或混淆为其他设备类型,最终使一些重要基础设备得到一个有效的抗远程指纹识别的防护机制。
【IPC分类】H04L29/06, G06F21/32
【公开号】CN104917757
【申请号】CN201510233838
【发明人】闫兆腾, 黄伟武, 芦翔, 朱红松, 孙利民
【申请人】中国科学院信息工程研究所
【公开日】2015年9月16日
【申请日】2015年5月8日