[發明專利]一種基于TCP/IP協議棧指紋的操作系統被動識別方法及系統在審
| 申請號: | 201911086474.1 | 申請日: | 2019-11-08 |
| 公開(公告)號: | CN110868409A | 公開(公告)日: | 2020-03-06 |
| 發明(設計)人: | 石俊崢;熊剛;范鑫磊;茍高鵬;李鎮;宋嘉瑩;劉夢嚴 | 申請(專利權)人: | 中國科學院信息工程研究所 |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06;H04L12/24 |
| 代理公司: | 北京君尚知識產權代理有限公司 11200 | 代理人: | 陳艷 |
| 地址: | 100093 *** | 國省代碼: | 北京;11 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 基于 tcp ip 協議 指紋 操作系統 被動 識別 方法 系統 | ||
1.一種基于TCP/IP協議棧指紋的操作系統被動識別方法,包括以下步驟:
(1)采集待測加密流量數據,通過主被動的方法對數據集中的全部樣本完成屬性標注;
(2)將元組<IP source,IP destination,Port source,Port destination>作為一次網絡會話的唯一標識,并提取每次會話中TCP SYN報文的IP層,TCP層頭部參數,TLS ClientHello報文的TLS層頭部參數,以及整個會話關于包長和包到達時間相鄰差的統計信息,得到特征集;
(3)將上述特征集中的特征數據輸入訓練完成的操作系統被動識別模型中,得到待測流量客戶端的操作系統信息;
其中,
所述操作系統被動識別模型通過下述訓練方法得到:
(a)采集不同操作系統類型和版本的加密流量數據作為樣本數據集,通過主被動的方法對樣本數據集中的全部樣本完成屬性標注;
(b)對完成標注的流量數據提取流量特征:將元組<IP source,IP destination,Portsource,Port destination>作為一次網絡會話的唯一標識,提取每次會話中TCP SYN報文的IP層,TCP層頭部參數以及TLS Client Hello報文的TLS層頭部參數,得到一次會話的頭部字段特征集,并基于整個會話中的包長和包到達時間序列,構建馬爾可夫狀態轉移概率矩陣,得到一次會話的統計類特征集;
(c)將特征集數據作為輸入訓練LightGBM模型。
2.如權利要求1所述一種基于TCP/IP協議棧指紋的操作系統被動識別方法,其特征在于,采集加密流量數據的操作系統類型包括Windows,MacOS,Linux,Android和iOS。
3.如權利要求2所述一種基于TCP/IP協議棧指紋的操作系統被動識別方法,其特征在于,采集21種操作系統版本類型。
4.如權利要求1所述一種基于TCP/IP協議棧指紋的操作系統被動識別方法,其特征在于,步驟(3)中特征集數據在輸入識別模型前還包括預處理:完成缺失數據的填充、數據歸一化以及文本特征轉化為離散數值特征。
5.如權利要求1所述一種基于TCP/IP協議棧指紋的操作系統被動識別方法,其特征在于,步驟(c)在訓練模型時還包括通過K折交叉驗證對模型調參優化。
6.如權利要求1所述一種基于TCP/IP協議棧指紋的操作系統被動識別方法,其特征在于,步驟(3)所述操作系統信息包括操作系統類型和版本。
7.一種基于TCP/IP協議棧指紋的操作系統被動識別系統,包括:
數據采集模塊:采集待測加密流量數據,通過主被動的方法對數據集中的全部樣本完成屬性標注;
特征數據提取模塊:將元組<IP source,IP destination,Port source,Portdestination>作為一次網絡會話的唯一標識,并提取每次會話中TCP SYN報文的IP層,TCP層頭部參數,TLS Client Hello報文的TLS層頭部參數,以及整個會話關于包長和包到達時間相鄰差的統計信息,得到特征集;
識別模塊:將提取的特征集數據輸入訓練完成的操作系統被動識別模型中,得到待測流量客戶端的操作系統信息。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于中國科學院信息工程研究所,未經中國科學院信息工程研究所許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201911086474.1/1.html,轉載請聲明來源鉆瓜專利網。
