CN104917757A - 一种事件触发式的mtd防护***及方法 - Google Patents
一种事件触发式的mtd防护***及方法 Download PDFInfo
- Publication number
- CN104917757A CN104917757A CN201510233838.XA CN201510233838A CN104917757A CN 104917757 A CN104917757 A CN 104917757A CN 201510233838 A CN201510233838 A CN 201510233838A CN 104917757 A CN104917757 A CN 104917757A
- Authority
- CN
- China
- Prior art keywords
- detection
- packet
- event
- mtd
- current
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/32—User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Lock And Its Accessories (AREA)
- Collating Specific Patterns (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种事件触发式的MTD防护***及方法。本发明通过对操作***主动指纹识别方法和探测包的分析,制定探测事件集,设计一种事件触发式的MTD隐藏操作***特征的防护思想。实现被防护目标(Target)每次收到指纹探测方(Fingerprinter)的探测数据包时,自动更改该探测项对应特性,使探测方收集到的指纹特征是错误的信息,从而使被欺骗或混淆为其他设备类型,最终使一些重要基础设备得到一个有效的抗远程指纹识别的防护机制。
Description
技术领域
本发明涉及国家重要基础设备隐藏防护领域,尤其涉及一种事件触发式的MTD防护***及方法。
背景技术
在当前环境下,信息技术***是建立在相对静态的配置中运行。例如,地址、名称、软件栈、网络和各种配置参数在较长的时间段内保持相对静态。这种静态的方法使意图对***进行恶意漏洞利用(exploit)的攻击者可以有充足的时间搜索、探测和识别目标***的版本和配置等信息,其中最具代表性的就是操作***指纹探测和识别(Operating System FingerprintingDetection),即通过对网络上的主机进行主动的(active)或被动的(passive)探测数据包的特性(feature)差异信息收集来确定所使用的操作***,通常被攻击者作为攻击前信息采集中最重要的一步。
MTD(Moving Target Defense)思想是基于控制跨多个***维度的变化,增加***的不确定性和复杂性,从而减少攻击者的攻击表面(attacksurface)和增加攻击成本而提出的一个新概念。自2011年MTD被提出来后,已逐渐发展成***防护领域的研究热点,并被美国白宫确定为未来发展的四大网络空间安全防护战略技术之一。
作为一种重要的安全防范***,近年来,MTD思想不仅在软件***防范漏洞扫描和服务及版本防泄漏方面获得了应用,而且也逐渐在对抗远程操作***指纹探测和识别上获得了大规模的推广。
MTD思想在防范安全防范操作***指纹识别***方面的研究,在2011年主要集中在IP地址配置在一定周期内的随机化,使指纹探测方无法对目标主机的IP变换的时间窗口内完成信息采集和探测。在2013年的研究开始在远程操作***指纹识别领域的MTD上,对TCP协议栈特性值进行周期性修改和防护。但是,由于周期性的MTD防护本身存在的安全缺陷以及安全隐患目前,如果探测方利用每个周期内只探测一个特性的方法,利用多个周期汇总每个特性的探测结果,就可以使MTD防护***的安全机制和性能大大降低。另外考虑到指纹探测方如果采用分布式探测和信息采集的话,使MTD面对的攻击表面更加难以防范,使对抗指纹探测的情况更加复杂,周期性MTD防护的缺陷也更加凸显。
发明内容
本发明所要解决的技术问题是针对现有技术的不足,提供一种事件触发式的MTD防护***及方法。
本发明解决上述技术问题的技术方案如下:一种事件触发式的MTD防护***,包括指纹探测包判定***、指纹探测事件判定***和特性值MTD修改***;
所述指纹探测包判定***,其用于收到来自客户端发来的请求数据包时,进行对数据包是属于正常业务数据包还是属于探测***特性的指纹探测包等类型的判别,如果判定为正常***业务连接请求数据包,则不做任何处理直接响应而不触发防护机制;如果判定为旨在获取当前***特性及对应特性值的探测包,则立刻触发防护机制,确保***特性信息的不外泄;
所述指纹探测事件判定***,其用于收集、存储和判断指纹探测的事件,在判定收到了探测数据包时,首先在指纹探测事件集中比对,是否已在当前事件集中,如果已存在则按当前事件的处理方法对应执行;如果未存在,则将探测包想要探测特性的值进行随机化修改,然后将这种类型的探测行为定义一条新增事件记录并存储;
所述特性值MTD修改***,其用于在判定为指纹探测行为后,利用MTD思想,对被探测部分特性的值在一定范围内执行随机化或布尔变换,然后将更改后的特性值封装成响应数据包返回给指纹探测方。
本发明的有益效果是:本发明的有益效果是:本发明采用事件触发式MTD对抗操作***指纹识别机制,通过对操作***主动指纹识别方法和探测包的分析,制定探测事件集,设计一种事件触发式的MTD(隐藏操作***特征的防护思想。从而实现被防护目标(Target)每次收到指纹探测方(Fingerprinter)的探测数据包时,自动更改该探测项对应特性,使探测方收集到的指纹特征是错误的信息,从而使被欺骗或混淆为其他设备类型,最终使一些重要基础设备得到一个有效的抗远程指纹识别的防护机制。
本发明解决上述技术问题的另一技术方案如下:一种事件触发式的MTD防护方法,包括如下步骤:
利用指纹探测包判定***收到来自客户端发来的请求数据包时,进行对数据包是属于正常业务数据包还是属于探测***特性的指纹探测包等类型的判别,如果判定为正常***业务连接请求数据包,则不做任何处理直接响应而不触发防护机制;如果判定为旨在获取当前***特性及对应特性值的探测包,则立刻触发防护机制,确保***特性信息的不外泄;
利用指纹探测事件判定***收集、存储和判断指纹探测的事件,在判定收到了探测数据包时,首先在指纹探测事件集中比对,是否已在当前事件集中,如果已存在则按当前事件的处理方法对应执行;如果未存在,则将探测包想要探测特性的值进行随机化修改,然后将这种类型的探测行为定义一条新增事件记录并存储;
利用特性值MTD修改***在判定为指纹探测行为后,利用MTD思想,对被探测部分特性的值在一定范围内执行随机化或布尔变换,然后将更改后的特性值封装成响应数据包返回给指纹探测方。
附图说明
图1为本发明一种事件触发式的MTD防护***示意图;
图2为本发明所述指纹探测包判定***示意图;
图3为本发明所述指纹探测事件判定***示意图;
图4为本发明所述特性值MTD修改******示意图;
图5为本发明所述一种事件触发式的MTD防护方法流程图;
图6为本发明所述指纹探测包判定***程序流程图;
图7为本发明所述指纹探测事件判定程序流程图;
图8为本发明所述特性值MTD修改程序流程图。
具体实施方式
以下结合附图对本发明的原理和特征进行描述,所举实例只用于解释本发明,并非用于限定本发明的范围。
发明涉及一种事件触发式对抗远程操作***指纹识别(RemoteOperating System Fingerprinting)的MTD(Moving Target Defense)防护***。通过对操作***主动指纹识别方法和探测包的分析,制定探测事件集,设计一种事件触发式的MTD隐藏操作***特征的防护思想。实现被防护目标(Target)每次收到指纹探测方(Fingerprinter)的探测数据包时,自动更改该探测项对应特性,使探测方收集到的指纹特征是错误的信息,从而使被欺骗或混淆为其他设备类型,最终使一些重要基础设备得到一个有效的抗远程指纹识别的防护机制。
如图1所示,一种事件触发式的MTD防护***,包括指纹探测主机(fingerprinter)、被探测目标主机(target)和指纹探测MTD防护***,其中指纹探测MTD防护***部署在被探测目标主机上,包括指纹探测包判定***、指纹探测事件判定***和特性值MTD修改***。
所述指纹探测包判定***,其用于收到来自客户端发来的请求数据包时,进行对数据包是属于正常业务数据包还是属于探测***特性的指纹探测包等类型的判别。如果判定为正常***业务连接请求数据包,则不做任何处理直接响应而不触发防护机制;如果判定为旨在获取当前***特性及对应特性值的探测包,则立刻触发防护机制,确保***特性信息的不外泄;
所述指纹探测事件判定***,其用于收集、存储和判断指纹探测的事件,在判定收到了探测数据包时,首先在指纹探测事件集中比对,是否已在当前事件集中,如果已存在则按当前事件的处理方法对应执行;如果未存在,则将探测包想要探测特性的值进行随机化修改,然后将这种类型的探测行为定义一条新增事件记录并存储;
所述特性值MTD修改***,其用于在判定为指纹探测行为后,利用MTD思想,对被探测部分特性的值在一定范围内执行随机化或布尔变换,然后将更改后的特性值封装成响应数据包返回给指纹探测方。
在特性值MTD修改***在对特性值为布尔型时,不仅可以采用当前的非运算来更改特性值,还可以采用非、异或等运算的随机化,使探测方更能对布尔型特性值指纹识别被防护的操作***。所述探测事件集如表1。
表1
本发明核心在于当前数据包是否属于探测包及属于哪种类型的探测。
如图2所示,所述指纹探测包判定***包括数据包解析模块、数据包类型判别模块、数据包目标端口判别模块、数据包内容判别模块和数据包特征判别模块;所述数据包解析模块是用于解析收到的请求数据包,拆开包的封装来查看数据包的包头、目的地址、目的端口、数据包类型、数据包内容等,为后续判别的模块提供源数据;所述数据包类型判别模块、数据包目标端口判别模块和数据包内容判别模块之间相互配合完成数据包是正常业务包还是指纹探测数据包的判定,从而决定是否触发指纹探测事件集和MTD修改***;所述数据包特征判别模块是结合数据包类型判别模块、数据包目标端口判别模块和数据包内容判别模块以及数据包特征判别模块等提供的源数据,判断当前指纹探测是属于哪种探测类型。
如图3所示,所述指纹探测事件判定***包括探测类型判别模块、探测事件数据库和探测事件分类模块;所述探测类型判别模块,对探测数据包按协议类型进行分类,类型标签(tag)主要分为ICMP、IP、TCP和UDP四种,然后探测数据包传递给指纹探测事件判定***进行后续操作。所述探测事件数据库,事先存储好的IP、TCP、UDP和ICMP不同协议探测的事件特征集;所述探测事件分类模块,用于将探测类型判别模块判断的数据与探测事件数据库相匹配,如果与其中一项匹配成功,则执行该事件对应的MTD修改***的执行步骤,如果不能与其中一项匹配成功,则将当前探测类型按事件数据库的格式新增一条事件规则,最后将本次探测类型所要探测的特性传递给下一步的特征值的MTD修改***。
如图4所示,所述特性值MTD修改***包括对应特性的值更改模块;所述特征值的MTD修改***,是将当前探测包所要探测的特性值进行欺骗性修改,如果是一个数值,则在指定范围内执行随机化;如果是一个布尔值,则将当前的布尔值进行非运算。最后将修改后的结果按响应数据包格式封装,返回给指纹探测方。
如图5所示,一种事件触发式的MTD防护方法,包括如下步骤:
利用指纹探测包判定***收到来自客户端发来的请求数据包时,进行对数据包是属于正常业务数据包还是属于探测***特性的指纹探测包等类型的判别,如果判定为正常***业务连接请求数据包,则不做任何处理直接响应而不触发防护机制;如果判定为旨在获取当前***特性及对应特性值的探测包,则立刻触发防护机制,确保***特性信息的不外泄;
利用指纹探测事件判定***收集、存储和判断指纹探测的事件,在判定收到了探测数据包时,首先在指纹探测事件集中比对,是否已在当前事件集中,如果已存在则按当前事件的处理方法对应执行;如果未存在,则将探测包想要探测特性的值进行随机化修改,然后将这种类型的探测行为定义一条新增事件记录并存储;
利用特性值MTD修改***在判定为指纹探测行为后,利用MTD思想,对被探测部分特性的值在一定范围内执行随机化或布尔变换,然后将更改后的特性值封装成响应数据包返回给指纹探测方。
如图6所示,所述数据包解析模块、数据包类型判别模块、数据包目标端口判别模块和数据包内容判别模块之间相互配合完成数据包是正常业务数据包还是恶意探测包的判定过程如下:
步骤1.1:数据包解析模块模块对数据包进行解封装;
步骤1.2:数据包类型判别模块对当前数据包是属于ICMP、TCP、UDP、IP中哪种协议类型数据包进行判别。如果是ICMP协议,直接将当前数据包定义为探测包,执行步骤1.5并将当前探测包类型标签(tag)定义为ICMP;如果是IP协议,执行步骤1.4的数据包内容判别模块;如果是TCP或UDP协议,则执行步骤1.3数据包目标端口判别模块;
步骤1.3:数据包目标端口判别模块对数据包中目标端口是否开放进行判别,如果是开放,执行步骤1.4数据包内容判别模块;如果是关闭的,则将当前数据包定义为探测包,执行步骤1.5,并根据协议类型将当前探测包类型标签(tag)定义为TCP或UDP;
步骤1.4:数据包内容判别模块对数据包中的数据部分进行判别,如果数据为空,则将当前数据包定义为探测包,执行步骤1.5;如果数据包不为空,则认为当前数据包为正常的业务数据包并正常返回响应数据包;
步骤1.5:探测类型判别模块对探测数据包按协议类型进行分类,类型标签(tag)主要分为ICMP、IP、TCP和UDP四种,然后探测数据包传递给指纹探测事件判定***进行后续操作。
如图7所示,所述探测事件数据库,是已经事先存储好的IP、TCP、UDP和ICMP等不同协议探测的事件特征集。所述探测事件分类模块,用于将探测类型判别模块判断的数据与探测事件数据库相匹配,如果与其中一项匹配成功,则执行该事件对应的MTD修改***的执行步骤,如果不能与其中一项匹配成功,则将当前探测类型按事件数据库的格式新增一条事件规则,最后将本次探测类型所要探测的特性传递给下一步的特征值的MTD修改***;
所述一种指纹探测事件判定***,其特征在于,所述探测事件分类模块与探测事件数据库对当前探测数据包属于哪种探测事件进行判定的过程如下:
步骤2.1:根据探测数据包的探测类型tag与探测事件数据库进行匹配,如果是已知的探测事件,则执行步骤2.2,如果是未知的探测事件,则将当前探测类型按事件数据库的格式新增一条事件规则,最后将本次探测类型所要探测的特性传递给下一步的特征值的MTD修改***;
步骤2.2:根据步骤2.1中的探测类型tag与探测事件数据库匹配判定当前探测事件是当前数据库中包含已知的探测事件,执行一步switch匹配,根据不同类型的tag执行相对应的MTD特性修改步骤;例如TCP探测事件,则执行将当前TCP中产生特性值的初始序列号(ISN,initial sequencenumber)等执行MTD特性修改。
如图8所示,所述特征值的MTD修改***,是将当前探测包所要探测的特性值进行欺骗性修改,如果是一个数值,则在指定范围内执行随机化;如果是一个布尔值,则将当前的布尔值进行非运算。最后将修改后的结果按响应数据包格式封装,返回给指纹探测方。
所述一种特性值的MTD修改***,其特征在于,所述各种探测事件对应想探测的特性值,实现迷惑性修改的过程为:
步骤3.1:探测事件对应探测的特性值是否为布尔型进行判别;
步骤3.2:如果是布尔型,则执行一步非运算,将当前的特性值变成相反的,从而实现对探测结果的欺骗,如果不是布尔型,在执行步骤3.3;
步骤3.3:由步骤3.2判定当前探测的特征值不是布尔型,而是一个数值,则执行随机化算法,将当前的特性值在一个不影响***正常的范围内,进行随机化变换,使探测结果每次都不具有规律,实现对探测结果的混淆;
步骤3.4:将修改后的特性值进行封装成数据包返回给探测方。
所述一种事件触发式的MTD防护***,其特征在于,所述探测数据包可能同时包含一种协议下几个特性值的探测,而本发明的要旨即是通过将每个特性值的探测定义为一个事件,使每个探测事件的判定和MTD欺骗修改与其他事件独立开,从而使以Nmap为代表的综合多种探测事件结果来检测当前操作***正确指纹的可能性大大降低。
如图1所示,利用本发明所述事件触发式的MTD防护***,可实现被防护主机能够欺骗和混淆攻击方的操作***指纹探测和识别。根据被防护主机与其他主机建立连接的通信过程,将所有的防护过程总体上分为三个场景:
即场景1(正常业务数据通信Client相关协议的请求TCP连接Target,在经过MTD防护***检测确认当前数据包不是探测包,按正常响应包返回给Client);
场景2(指纹探测方Fingerprinter发送TCP协议中数据为空的SYN探测包给目标主机Target,在经过MTD防护***检测确认当前数据包是探测包,触发指纹识别MTD***,将相应探测的特性值进行修改后,封装返回给Fingerprinter);
场景3(指纹探测方Fingerprinter发送UDP协议中探测包,其中目标端口为Target主机上关闭的端口,在经过MTD防护***检测确认当前数据包是探测包,触发指纹识别MTD***,将相应探测事件探测的端口进行修改为开放状态,封装UDP相应包返回给Fingerprinter)。
场景1,正常Client请求与目标主机建立通信而未触发MTD防护机制,具体步骤如下:
1)Client首先向目标主机Target发送TCP SYN包;
2)Target通过事件触发式的MTD防护***中的数据包解析模块对数据包进行解封装;
3)数据包类型判别模块识别当前数据包为TCP协议类型;
4)数据包内容判别模块识别当前TCP数据包内容不为空,非探测包,从而不必触发探测事件检测和防护机制;
5)最后将TCP SYN包按正常业务返回包类型返回ACK+SYN包。
场景2,Target对抗Fingerprinter的TCP SYN探测包,具体步骤如下:
1)Fingprinter向目标主机Target发送TCP SYN探测包,其中数据部分data为空;
2)Target通过事件触发式的MTD防护***中的数据包解析模块对数据包进行解封装;
3)数据包类型判别模块识别当前数据包为TCP协议类型;
4)数据包目标端口判定模块识别当前数据包的目标端口是开放的;
5)数据包内容判别模块识别当前TCP数据包内容为空,进而判定是探测包,触发了探测事件检测和防护机制;
6)数据包特征判别模块将当前探测包的类型tag定义为TCP SYN探测,并将参数传递给指纹探测事件判定***;
7)指纹探测事件判定***根据探测包的tag中的TCP SYN探测,与探测事件数据库中匹配得知当前探测事件是当前已知的探测事件;
8)指纹探测事件判定***经过switch匹配,将当前TCP SYN探测事件对应探测的特性值包括ISN(initial sequence number,32bit)、ACK number(32bit)、urgent pointer(16bit)、window size(16bit)、flags中SYN(1bit)、checksum(16bit),参数传递给特性值的MTD修改***;
9)特性值的MTD修改***对ISN、ACK number、urgent pointer、windowsize、flags中SYN(1bit)、checksum每个特性进行是否为布尔值进行判别,判别只有flags中SYN(1bit)为布尔值,其他的特性都是数值;
10)特性值的MTD修改***对当前的flags中的SYN值进行非运算,对其他特性的值执行随机化计算;
11)特性值的MTD修改***对修改后的特性值进行封装成ACK+SYN返回给Fingerprinter。
场景3,Target对抗Fingerprinter的UDP对关闭目标端口的探测包,具体包括以下操作:
1)Fingprinter向目标主机Target发送UDP探测包,其中目标端口是Target关闭端口;
2)Target通过事件触发式的MTD防护***中的数据包解析模块对数据包进行解封装;
3)数据包类型判别模块识别当前数据包为UDP协议类型;
4)数据包目标端口判定模块识别当前数据包的目标端口是关闭的,将当前数据包定义为探测包;
5)数据包特征判别模块将当前探测包的类型tag定义为UDP探测,并将参数传递给指纹探测事件判定***;
6)指纹探测事件判定***经过switch匹配,将当前TCP SYN探测事件对应探测的特性值包括了IPID(identification,16bit)和length(16bit),参数传递给特性值的MTD修改***;
7)特性值的MTD修改***对IP ID和length这两个特性进行是否为布尔值进行判别,特性都是数值;
8)特性值的MTD修改***对当前特性的值执行随机化计算;
9)特性值的MTD修改***对修改后的特性值进行封装成UDP响应包返回给Fingerprinter。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (9)
1.一种事件触发式的MTD防护***,其特征在于,包括指纹探测包判定***、指纹探测事件判定***和特性值MTD修改***;
所述指纹探测包判定***,其用于收到来自客户端发来的请求数据包时,进行对数据包是属于正常业务数据包还是属于探测***特性的指纹探测包等类型的判别,如果判定为正常***业务连接请求数据包,则不做任何处理直接响应而不触发防护机制;如果判定为旨在获取当前***特性及对应特性值的探测包,则立刻触发防护机制,确保***特性信息的不外泄;
所述指纹探测事件判定***,其用于收集、存储和判断指纹探测的事件,在判定收到了探测数据包时,首先在指纹探测事件集中比对,是否已在当前事件集中,如果已存在则按当前事件的处理方法对应执行;如果未存在,则将探测包想要探测特性的值进行随机化修改,然后将这种类型的探测行为定义一条新增事件记录并存储;
所述特性值MTD修改***,其用于在判定为指纹探测行为后,利用MTD思想,对被探测部分特性的值在一定范围内执行随机化或布尔变换,然后将更改后的特性值封装成响应数据包返回给指纹探测方。
2.根据权利要求1所述一种事件触发式的MTD防护***,其特征在于,所述指纹探测包判定***包括数据包解析模块、数据包类型判别模块、数据包目标端口判别模块、数据包内容判别模块和数据包特征判别模块;
所述数据包解析模块是用于解析收到的请求数据包,拆开包的封装来查看数据包的包头、目的地址、目的端口、数据包类型、数据包内容等,为后续判别的模块提供源数据;
所述数据包类型判别模块、数据包目标端口判别模块和数据包内容判别模块之间相互配合完成数据包是正常业务包还是指纹探测数据包的判定,从而决定是否触发指纹探测事件集和MTD修改***;
所述数据包特征判别模块是结合数据包类型判别模块、数据包目标端口判别模块和数据包内容判别模块以及数据包特征判别模块等提供的源数据,判断当前指纹探测是属于哪种探测类型。
3.根据权利要求1所述一种事件触发式的MTD防护***,其特征在于,所述指纹探测事件判定***包括探测类型判别模块、探测事件数据库和探测事件分类模块;
所述探测类型判别模块,用于对探测数据包按协议类型进行分类,将探测数据包传递给指纹探测事件判定***;
所述探测事件数据库,事先存储好的IP、TCP、UDP和ICMP不同协议探测的事件特征集;
所述探测事件分类模块,用于将探测类型判别模块判断的数据与探测事件数据库相匹配,如果与其中一项匹配成功,则执行该事件对应的MTD修改***的执行步骤,如果不能与其中一项匹配成功,则将当前探测类型按事件数据库的格式新增一条事件规则,最后将本次探测类型所要探测的特性传递给下一步的特征值的MTD修改***。
4.根据权利要求1所述一种事件触发式的MTD防护***,其特征在于,所述特性值MTD修改***包括对应特性的值更改模块;所述特征值的MTD修改***,是将当前探测包所要探测的特性值进行欺骗性修改,如果是一个数值,则在指定范围内执行随机化;如果是一个布尔值,则将当前的布尔值进行非运算。最后将修改后的结果按响应数据包格式封装,返回给指纹探测方。
5.一种事件触发式的MTD防护方法,其特征在于,包括如下步骤:
利用指纹探测包判定***收到来自客户端发来的请求数据包时,进行对数据包是属于正常业务数据包还是属于探测***特性的指纹探测包等类型的判别,如果判定为正常***业务连接请求数据包,则不做任何处理直接响应而不触发防护机制;如果判定为旨在获取当前***特性及对应特性值的探测包,则立刻触发防护机制,确保***特性信息的不外泄;
利用指纹探测事件判定***收集、存储和判断指纹探测的事件,在判定收到了探测数据包时,首先在指纹探测事件集中比对,是否已在当前事件集中,如果已存在则按当前事件的处理方法对应执行;如果未存在,则将探测包想要探测特性的值进行随机化修改,然后将这种类型的探测行为定义一条新增事件记录并存储;
利用特性值MTD修改***在判定为指纹探测行为后,利用MTD思想,对被探测部分特性的值在一定范围内执行随机化或布尔变换,然后将更改后的特性值封装成响应数据包返回给指纹探测方。
6.根据权利要求5所述一种事件触发式的MTD防护方法,其特征在于,判定数据包是正常业务数据包还是恶意探测包的判定过程如下:
步骤1.1:数据包解析模块模块对数据包进行解封装;
步骤1.2:数据包类型判别模块对当前数据包的协议类型进行判别,如果是ICMP协议,直接将当前数据包定义为探测包,执行步骤1.5并将当前探测包类型标签定义为ICMP;如果是IP协议,执行步骤1.4的数据包内容判别模块;如果是TCP或UDP协议,则执行步骤1.3数据包目标端口判别模块;
步骤1.3:数据包目标端口判别模块对数据包中目标端口是否开放进行判别,如果是开放,执行步骤1.4数据包内容判别模块;如果是关闭的,则将当前数据包定义为探测包,执行步骤1.5,并根据协议类型将当前探测包类型标签定义为TCP或UDP;
步骤1.4:数据包内容判别模块对数据包中的数据部分进行判别,如果数据为空,则将当前数据包定义为探测包,执行步骤1.5;如果数据包不为空,则认为当前数据包为正常的业务数据包并正常返回响应数据包;
步骤1.5:探测类型判别模块对探测数据包按协议类型进行分类,类型标签主要分为ICMP、IP、TCP和UDP四种,然后探测数据包传递给指纹探测事件判定***进行后续操作。
7.根据权利要求5所述一种事件触发式的MTD防护方法,其特征在于,判定当前探测数据包属于哪种探测事件的过程如下:
步骤2.1:根据探测数据包的探测类型tag与探测事件数据库进行匹配,如果是已知的探测事件,则执行步骤2.2,如果是未知的探测事件,则将当前探测类型按事件数据库的格式新增一条事件规则,最后将本次探测类型所要探测的特性传递给下一步的特征值的MTD修改***;
步骤2.2:根据步骤2.1中的探测类型tag与探测事件数据库匹配判定当前探测事件是当前数据库中包含已知的探测事件,执行一步switch匹配,根据不同类型的tag执行相对应的MTD特性修改步骤。
8.根据权利要求5所述一种事件触发式的MTD防护方法,其特征在于,所述各种探测事件对应想探测的特性值,实现迷惑性的过程为:
步骤3.1:探测事件对应探测的特性值是否为布尔型进行判别;
步骤3.2:如果是布尔型,则执行一步非运算,将当前的特性值变成相反的,从而实现对探测结果的欺骗,如果不是布尔型,再执行步骤3.3;
步骤3.3:由步骤3.2判定当前探测的特征值不是布尔型,而是一个数值,则执行随机化算法,将当前的特性值在一个不影响***正常的范围内,进行随机化变换,使探测结果每次都不具有规律,实现对探测结果的混淆;
步骤3.4:将修改后的特性值进行封装成数据包返回给探测方。
9.根据权利要求5所述一种事件触发式的MTD防护方法,其特征在于,所述探测数据包同时包含一种协议下几个特性值的探测,通过将每个特性值的探测定义为一个事件,使每个探测事件的判定和MTD欺骗修改与其他事件独立开。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510233838.XA CN104917757A (zh) | 2015-05-08 | 2015-05-08 | 一种事件触发式的mtd防护***及方法 |
| CN201510515982.2A CN105227540B (zh) | 2015-05-08 | 2015-08-20 | 一种事件触发式的mtd防护***及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510233838.XA CN104917757A (zh) | 2015-05-08 | 2015-05-08 | 一种事件触发式的mtd防护***及方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104917757A true CN104917757A (zh) | 2015-09-16 |
Family
ID=54086463
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510233838.XA Pending CN104917757A (zh) | 2015-05-08 | 2015-05-08 | 一种事件触发式的mtd防护***及方法 |
| CN201510515982.2A Expired - Fee Related CN105227540B (zh) | 2015-05-08 | 2015-08-20 | 一种事件触发式的mtd防护***及方法 |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510515982.2A Expired - Fee Related CN105227540B (zh) | 2015-05-08 | 2015-08-20 | 一种事件触发式的mtd防护***及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (2) | CN104917757A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110113333A (zh) * | 2019-04-30 | 2019-08-09 | 中国人民解放军战略支援部队信息工程大学 | 一种tcp/ip协议指纹动态化处理方法及装置 |
| CN110431374A (zh) * | 2017-01-18 | 2019-11-08 | 瑞尼斯豪公司 | 机床装置 |
| CN113765728A (zh) * | 2020-06-04 | 2021-12-07 | 深信服科技股份有限公司 | 网络探测方法、装置、设备及存储介质 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112702363A (zh) * | 2021-03-24 | 2021-04-23 | 远江盛邦(北京)网络安全科技股份有限公司 | 基于欺骗的节点隐藏方法、***及设备 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2494098B (en) * | 2011-04-11 | 2014-03-26 | Bluecava Inc | Thick client and thin client integration |
| CN103312689B (zh) * | 2013-04-08 | 2017-05-24 | 西安电子科技大学 | 一种计算机的网络隐身方法及基于该方法的网络隐身*** |
| CN104519068A (zh) * | 2014-12-26 | 2015-04-15 | 赵卫伟 | 一种基于操作***指纹跳变的移动目标防护方法 |
-
2015
- 2015-05-08 CN CN201510233838.XA patent/CN104917757A/zh active Pending
- 2015-08-20 CN CN201510515982.2A patent/CN105227540B/zh not_active Expired - Fee Related
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110431374A (zh) * | 2017-01-18 | 2019-11-08 | 瑞尼斯豪公司 | 机床装置 |
| US11209258B2 (en) | 2017-01-18 | 2021-12-28 | Renishaw Plc | Machine tool apparatus |
| US11674789B2 (en) | 2017-01-18 | 2023-06-13 | Renishaw Plc | Machine tool apparatus |
| CN110113333A (zh) * | 2019-04-30 | 2019-08-09 | 中国人民解放军战略支援部队信息工程大学 | 一种tcp/ip协议指纹动态化处理方法及装置 |
| CN113765728A (zh) * | 2020-06-04 | 2021-12-07 | 深信服科技股份有限公司 | 网络探测方法、装置、设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105227540B (zh) | 2018-05-08 |
| CN105227540A (zh) | 2016-01-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109063745B (zh) | 一种基于决策树的网络设备类型识别方法及*** | |
| CN107135093B (zh) | 一种基于有限自动机的物联网入侵检测方法及检测*** | |
| US8839430B2 (en) | Intrusion detection in communication networks | |
| US20230092522A1 (en) | Data packet processing method, apparatus, and electronic device, computer-readable storage medium, and computer program product | |
| CN103034807B (zh) | 恶意程序检测方法和装置 | |
| US20230224232A1 (en) | System and method for extracting identifiers from traffic of an unknown protocol | |
| CN110401624A (zh) | 源网荷***交互报文异常的检测方法及*** | |
| CN105429963A (zh) | 基于Modbus/Tcp的入侵检测分析方法 | |
| CN106953855B (zh) | 一种对iec61850数字变电站goose报文的入侵检测的方法 | |
| CN103428186A (zh) | 一种检测钓鱼网站的方法及装置 | |
| CN105074717A (zh) | 在网络环境中的恶意脚本语言代码的检测 | |
| CN110661680A (zh) | 一种基于正则表达式进行数据流白名单检测的方法及*** | |
| CN104917757A (zh) | 一种事件触发式的mtd防护***及方法 | |
| CN113079150B (zh) | 一种电力终端设备入侵检测方法 | |
| Lima et al. | BP-IDS: Using business process specification to leverage intrusion detection in critical infrastructures | |
| KR101488271B1 (ko) | Ids 오탐 검출 장치 및 방법 | |
| CN112367315A (zh) | 一种内生安全waf蜜罐部署方法 | |
| CN116827655A (zh) | 流量检测加速方法和***、电子设备及存储介质 | |
| CN110381008B (zh) | 一种基于大数据的网络安全动态防御***及方法 | |
| CN101547127A (zh) | 一种内、外网络报文的识别方法 | |
| CN115883169A (zh) | 基于蜜罐***的工控网络攻击报文响应方法及响应*** | |
| CN106936834B (zh) | 一种对iec61850数字变电站smv报文的入侵检测的方法 | |
| CN112769847A (zh) | 物联网设备的安全防护方法、装置、设备及存储介质 | |
| CN116506216B (zh) | 一种轻量化恶意流量检测存证方法、装置、设备及介质 | |
| Desnitsky | Approach to machine learning based attack detection in wireless sensor networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20150916 |