1.對操作系統(tǒng)的探測分為主動和被動兩種方式，因此，對操作系統(tǒng)進行偽裝時，也是通過主動和被動兩種方式進行。操作系統(tǒng)主動偽裝是網(wǎng)絡主動偽裝的組成部分。主動偽裝函數(shù)f以偽裝操作系統(tǒng)指紋為模板，對輸出數(shù)據(jù)報的網(wǎng)絡特征值進行偽裝。操作系統(tǒng)偽裝過程中需要記錄、更新相應的偽裝參數(shù)，這些參數(shù)一般與具體的偽裝內(nèi)容(指紋)相關。操作系統(tǒng)被動偽裝是網(wǎng)絡被動偽裝的組成部分。檢測函數(shù)g對輸入的數(shù)據(jù)報進行檢測，被動偽裝函數(shù)f以偽裝操作系統(tǒng)指紋為模板對主動探測數(shù)據(jù)報進行被動偽裝。如何通過函數(shù)f進行被動偽裝，即基于偽裝模板構(gòu)造響應數(shù)據(jù)報，需要根據(jù)探測方式的特征先確定探測數(shù)據(jù)報及其內(nèi)容，然后根據(jù)具體的探測數(shù)據(jù)報造相應的響應數(shù)據(jù)報。協(xié)同檢測防御模型中嵌入式入侵檢測系統(tǒng)E-IDS的功能之一是檢測探測掃描數(shù)據(jù)報。

2.對于偽裝網(wǎng)絡服務，由Telnet的登錄過程可知，不同的登錄方式只是體現(xiàn)了登錄過程的差異性。如果把類似的服務狀態(tài)及事件驅(qū)動的狀態(tài)變遷進行歸類，則可以大大簡化基于事件驅(qū)動狀態(tài)變遷來描述的偽裝網(wǎng)絡服務。借鑒有色Petri網(wǎng)，把類似服務狀態(tài)抽象為一個(類)服務狀態(tài)，其中的不同元素(服務狀態(tài))通過為其添加不同的顏色進行區(qū)分；同樣把類似的事件驅(qū)動的服務狀態(tài)變遷抽象為一個(類)服務狀態(tài)變遷，其中的變遷通過為其添加不同的顏色進行區(qū)分，便形成了基于有色事件驅(qū)動狀態(tài)變遷的網(wǎng)絡服務模擬模型。對于網(wǎng)絡服務，抽象后的某一服務狀態(tài)中所包含的具體元素可能會由于新的漏洞的出現(xiàn)而變化，但對于整體網(wǎng)絡服務，由于所運行程序的有限性、確定性和可執(zhí)行性，由抽象后的服務狀態(tài)構(gòu)成的服務狀態(tài)集合則是一個有限集。由此定義并實現(xiàn)了攻擊行為的變遷路徑及基于鄰接矩陣的偽裝網(wǎng)絡服務的量化控制模型。

3.使用一種虛擬接口技術，使模擬的IP地址和真正的主機IP地址具有同樣的行為特性，使anti-sniffle認為模擬的IP地址是真正的主機IP地址。網(wǎng)絡拓撲結(jié)構(gòu)偽裝分為主動偽裝和被動偽裝，主動偽裝指對流出的數(shù)據(jù)包進行偽裝，使攻擊者通過嗅探到的不是真正的網(wǎng)絡拓撲結(jié)構(gòu)；被動偽裝指對攻擊者的主動網(wǎng)絡拓撲結(jié)構(gòu)探測進行響應，從而給攻擊者一個偽裝的網(wǎng)絡拓撲結(jié)構(gòu)。網(wǎng)絡拓撲結(jié)構(gòu)偽裝是基于基于網(wǎng)絡拓撲結(jié)構(gòu)偽裝模板進行。

4.同一個廣播域內(nèi)的主機通過協(xié)同工作，競爭地址池中的IP地址，通過控制競爭狀態(tài)的變化及周期性探測，實現(xiàn)無控制中心基于網(wǎng)絡會話的IP動態(tài)偽裝模型；通過改進DHCP的工作過程，建立一個基于DHCP控制中心的IP動態(tài)偽裝模型。當網(wǎng)絡會話結(jié)束時，釋放IP地址到地址池。因此通過基于網(wǎng)絡會話的IP動態(tài)偽裝，可以很好的防止基于IP地址統(tǒng)計的網(wǎng)絡嗅探攻擊。