本發明公開了一種基于通信協議的操作系統特征隱藏方法及系統，屬于網絡安全技術領域。本發明基于通信協議的特點，對外部網絡和內部網絡交互的數據包進行相應字段的修改或偽造，再發往外部網絡，實現對內部網絡受保護主機的操作系統特征隱藏。采用該方法，能夠有效地降低攻擊者對操作系統進行探測的準確率，避免泄露網絡特征信息。并且，該方法計算量小，運行速度快，具有實現簡單、處理速度快、應用靈活等優點，能夠實現信息網絡安全防護手段從被動防御到主動防御的轉變。

技術領域

本發明涉及網絡安全技術領域，具體涉及一種基于通信協議的操作系統特征隱藏方法及系統。

背景技術

隨著互聯網技術的飛速發展，網絡攻擊行為層出不窮，如何有效地防止網絡信息的泄露對于保護網絡信息安全至關重要。攻擊者在進行攻擊之前，首先要對攻擊目標進行信息收集。獲取目標主機的操作系統類型及其版本信息對于攻擊者來說是至關重要的，因為系統絕大部分的安全漏洞都與操作系統有關。只有確定了操作系統的類型，才可以實施相應的攻擊。

操作系統探測是確定目標主機操作系統，通過主動將數據包發送到遠程主機并分析響應來完成。對操作系統探測的代表性工具有nmap、xprobe2等。Nmap是一種網絡瀏覽工具和安全掃描程序。它旨在允許用戶掃描網絡以確定哪些主機已啟動以及他們提供哪些服務。Xprobe2是一個遠程活動操作系統指紋識別工具。這些網絡探測工具廣泛應用于網絡探測攻擊活動。

當系統配置是靜態的時候，攻擊者總是能夠在足夠的時間內獲取有關目標的準確操作系統特征，從而進行有效的攻擊。為此，需要對操作系統特征進行動態隱藏。

發明內容

本發明的目的是提供一種基于通信協議的操作系統特征隱藏方法及系統，其能夠有效地降低對操作系統特征探測的準確率，從而增加攻擊者的成本和代價，實現信息網絡安全防護手段從被動防御到主動防御的轉變。

本發明的目的是這樣實現的：

一種基于通信協議的操作系統特征隱藏方法，其包括以下步驟：

（1）配置隱藏策略，策略內容包括受保護主機的ip地址以及偽裝操作系統類型；

（2）當攻擊者對內部網絡的主機進行操作系統探測時，接收攻擊者發出的數據包，并對數據包進行識別與記錄，記錄內容如下：

1）若該包是icmp數據包，則記錄其源ip、目的ip、icmp序列號和icmp代碼；

2）若該包是nmap的tcp探測包，則記錄其探針名、源ip、目的ip、tcp源端口號、tcp序列號和tcp確認號；

3）若該包是nmap的icmp探測包，則記錄其探針名、源ip、目的ip、icmp序列號和icmp代碼；

（3）將識別與記錄后的數據包發送至內部網絡的目標主機；

（4）接收內部網絡的目標主機返回的數據包；

（5）檢測目標主機返回的數據包的源ip是否在受保護主機名單中，若不在名單中，則直接進行步驟（7）；若在名單中，則進行步驟（6）；

（6）判斷目標主機返回的數據包的類型，并進行如下處理：

1）若該包是icmp包，則根據當前icmp數據包的類型、策略內容中的偽裝操作系統類型以及步驟（2）中記錄的內容對數據包進行修改，然后進行步驟（7）；

2）若該包是tcp包，則判斷該包是否是對步驟（2）中記錄的數據包的回復，若不是則進行步驟（7）；若是，則根據策略內容中的偽裝操作系統類型和步驟（2）中記錄的內容對數據包進行修改，然后進行步驟（7）；

（7）將數據包發送至外部網絡。

此外，本發明還提供一種基于通信協議的操作系統特征隱藏系統，其包括策略動態控制單元、數據交互單元以及操作系統隱藏單元；

所述策略動態控制單元根據用戶的選擇和控制，提供對操作系統特征的隱藏策略，并將隱藏策略下發至數據交互單元和操作系統隱藏單元；