本發明提供了一種基于TCP/IP協議棧指紋的操作系統被動識別方法及系統，在不需要對網絡加密流量解密的前提下，利用IP協議、TCP協議以及TLS協議的頭部字段信息和網絡流包長和包傳輸時間序列的統計信息，識別客戶端的操作系統類型以及主要版本信息，進而評估目標網絡中各主機的網絡安全漏洞風險，推斷互聯網中NAT設備的存在數量。本發明借鑒流量分類領域中的已有成果，在特征集中引入網絡流的統計信息特征，增強不同操作系統流量之間的區分性；并首次將LightGBM模型作為完成識別任務的機器學習模型，利用該模型支持類別特征輸入的特性，解決了多維度類別特征one?hot編碼后導致的特征維度爆炸問題。

技術領域

本發明涉及一種基于TCP/IP協議棧指紋的操作系統被動識別方法及系統，屬于計算機軟件技術領域。

背景技術

近些年來，由于各種智能設備使用量的增長和網絡加密技術的發展，網絡監控和管理技術面臨越來越多的問題和挑戰。眾所周知，了解本地網絡中所有主機的操作系統信息，是完成保障網絡安全，優化網絡管理等任務必不可少的一環。一方面，大部分網絡漏洞與特定的操作系統種類和版本有關，因此掌握本地網絡中各主機的操作系統信息有助于及時修補潛在漏洞，免受惡意攻擊；另一方面，網絡地址轉換(NAT)設備在互聯網中的部署規模日益增大，嚴重破壞了IP協議的端到端特性，增加了網絡拓撲的復雜性，而對于操作系統識別方法的研究可用于測量網絡中的NAT規模。

識別網絡中客戶端操作系統信息的方法主要分為兩種：主動和被動。主動識別方法指構造特定的網絡報文發往待測主機，根據待測主機的響應推斷其操作系統相關信息，具有針對性強和準確性高等特點。然而，主動識別行為很容易被入侵檢測系統或網絡防火墻等安全設備檢測并攔截，無法將探測數據包發送到目標主機，導致其僅適用于少量場景。與主動識別方法相比，被動識別方法不需要和目標主機進行交互，僅需監聽網絡中的數據包，通過提取并利用網絡數據包中的協議頭部信息，載荷信息和其他信息來識別目標主機的操作系統。由于被動識別方法不受防火墻等安全設備的影響，其適用范圍更廣，但其局限性是識別準確性相對較差。

根據是否加密，操作系統被動識別方法的研究對象可分為明文流量和加密流量。對于明文流量，操作系統被動識別的主流方法是利用深度包檢測(DPI)技術獲取網絡數據包中應用層的特征字符串，并結合正則匹配技術在已經構建好的字典或數據庫中通過查詢得到客戶端的操作系統信息。例如，利用HTTP協議中的User-Agent字段，DNS協議中操作系統開發商的相關域名以及NTP協議的服務器地址等信息都可以獲取客戶端的操作系統信息。

對于加密流量，操作系統被動識別方法通常利用了操作系統在實現TCP/IP協議棧時的細微差異以及設備性能上的差異。對于不同類型的操作系統，客戶端發往服務端的TCP握手報文和TLS Client Hello報文中都隱含了大量操作系統信息。例如，IP層的TTL初始值、報文長度值，TCP層的WIN初始值、MSS初始值、Options初始序列和TLS層的TLS版本、加密套件序列、擴展類型序列等信息都可以組成識別操作系統信息的指紋。

然而，以上方法均不適用于加密網絡中大規模主機操作系統信息的細粒度識別任務。僅利用TCP握手報文的IP層和TCP層信息，在識別客戶端操作系統主版本任務中的準確率、召回率和精度都非常低，難以滿足要求。因此，從網絡流信息中引入新的指紋特征，比如TLS層的參數信息和網絡流的統計信息，并結合性能更好的機器學習模型，是解決加密網絡中大規模主機操作系統信息細粒度識別問題的關鍵。

發明內容

本發明的目的是將現有技術的已有成果結合起來，并引入新的網絡流特征處理方法，克服當前技術對于動態網絡中加密流量客戶端操作系統信息識別精度和粒度不佳的缺陷。在不需要對網絡加密流量解密的前提下，利用IP協議、TCP協議以及TLS協議的頭部字段信息和網絡流包長和包傳輸時間序列的統計信息，識別客戶端的操作系統類型以及主要版本信息，進而評估目標網絡中各主機的網絡安全漏洞風險，推斷互聯網中NAT設備的存在數量。

本發明的技術方案如下：