CN105554009A - 一种通过网络数据获取设备操作***信息的方法 - Google Patents
一种通过网络数据获取设备操作***信息的方法 Download PDFInfo
- Publication number
- CN105554009A CN105554009A CN201511003623.5A CN201511003623A CN105554009A CN 105554009 A CN105554009 A CN 105554009A CN 201511003623 A CN201511003623 A CN 201511003623A CN 105554009 A CN105554009 A CN 105554009A
- Authority
- CN
- China
- Prior art keywords
- packet
- system information
- data
- network
- dhcp
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
Landscapes
- Engineering & Computer Science (AREA)
- Technology Law (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种通过网络数据获取设备操作***信息的方法,通过被动监听网络中产生的数据包,提取数据包内的特征数据,与特征数据库中预置的相应特征数据进行对比,从而推断出向网络发送数据包的主机操作***信息;所述数据包包括IP数据包、TCP?SYN数据包及DHCP数据包中的一种或多种;数据监听模块从网络中提取需要关注的主机所发出的IP数据包、TCP?SYN数据包或/和DHCP数据包,将IP数据包、TCP?SYN数据包或/和DHCP数据包内的特征数据提取出来,送入数据分析模块;通过对现有网络协议数据的创新使用,提供一种准确、高效、适用范围广泛的方法,该方法能够推断出当前网络中各个主机设备的操作***信息。
Description
技术领域
本发明涉及信息安全、数据挖掘等技术领域,具体的说,是一种通过网络数据获取设备操作***信息的方法。
背景技术
随着移动通信技术的快速发展,人们的生活与工作越来越离不开各种可快速接入3G/4G/WiFi等网络的移动终端设备。但是,这些设备在便捷人们的同时也埋下了许多信息安全隐患。移动设备快速接入/退出网络的特性对网络的安全管理产生了严重冲击。出于安全考虑,网络管理者需要根据不同的网络接入设备类型,定义不同的网络访问策略。如何高效、准确地识别设备相关的各种信息成为亟待解决的问题。
所谓识别设备相关的各种信息,其中最为重要地是识别设备的操作***类型及相关信息(如版本号等)。就好象每一个人都会拥有一个独特的指纹一样,每一种操作***也会具备自己独特的特性。而这些独特的特性,会在终端设备同外界通讯的行为中体现出来。
理论上,所有终端设备的通信层都是按照网络协议的规范进行设计,其所有的通讯特征应该是与操作***无关。然而由于定义、阅读和理解这些网络规范的不同角度,或者是程序开发人员对于具体的异常、特别的场景的处理实现方式的不同,各个操作***在网络协议实现上的行为确实有些不一样。通过观察到并分析处理这些独特特征,能够识别出操作***信息。实现这一识别过程的方法目前有主动式与被动式。
主动式识别:主动式意为,需要主动向被鉴定的设备发送一定数量的特别组合的数据包,根据对方的反应来确定对方的操作***类型和版本号等。这一技术常常被应用到网络安全领域,当黑客或安全专家需要对远程***进行渗透时,常常以该识别动作作为开场白。主动识别的方法由于向网络中主动发送了数据,从而对整个网络产生了影响,使得被识别方可能侦测到这些主动识别动作的存在从而进行防范甚至是误导(伪造数据包等),在某些应用环境下并不适用。
被动式识别:被动式的技术体系坚持在不发送任何数据的情况下就达到识别设备指纹的目的。这样的实现机制可以在对网络不产生任何影响的情况下,收集更加详尽的信息,以便提供给网络管理与安全管理之用。被动式指纹鉴别技术由于不发送任何探测尝试,通过被动侦听数据包的方式实现,应用环境适应性更高。
发明内容
本发明的目的在于提供一种通过网络数据获取设备操作***信息的方法,通过对现有网络协议数据的创新使用,提供一种准确、高效、适用范围广泛的方法,该方法能够推断出当前网络中各个主机设备的操作***信息。
本发明通过下述技术方案实现:一种通过网络数据获取设备操作***信息的方法,通过被动监听网络中产生的数据包,并提取数据包内的特征数据,与特征数据库中预置的相应特征数据进行对比,从而推断出向网络发送数据包的主机操作***信息。
进一步的为更好的实现本发明,特别设置成下述方式:所述数据包包括IP数据包、TCPSYN数据包及DHCP数据包中的一种或多种。
进一步的为更好的实现本发明,特别设置成下述方式:该通过网络数据获取设备操作***信息的方法的具体步骤包括:
1)数据监听模块从网络中提取需要关注的主机所发出的IP数据包、TCPSYN数据包或/和DHCP数据包,然后将IP数据包、TCPSYN数据包或/和DHCP数据包内的特征数据提取出来,并送入数据分析模块;
2)经步骤1)后,在数据分析模块内,从IP数据包、TCPSYN数据包或/和DHCP数据包内所提取的特征数据与特征数据库预置的相应特征数据进行单一或综合对比,根据相应特征由快到慢由粗到细地推断出向网络发送IP数据包、TCPSYN数据包或/和DHCP数据包的主机的操作***信息。
进一步的为更好的实现本发明,特别设置成下述方式:所述步骤2)包括以下单一使用或综合使用的具体步骤:
2-1)从IP数据包内获取默认TTL特征值,通过判断获取的默认TTL特征值与预置的相应特征数据进行对比,从而判断发送该IP数据包的主机的操作***信息;
2-2)从TCPSYN数据包内获取起始TCP窗口值,通过判断获取的起始TCP窗口值与预置的相应特征数据进行对比,从而进一步的判断发送该TCPSYN数据包的主机的操作***信息;
2-3)从DHCP数据包获取DHCP参数排列组合信息,并通过所获取的DHCP参数排列组合信息与预置的相应特征数据进行对比,从而判断发送该DHCP数据包的主机的操作***信息。
进一步的为更好的实现本发明,特别设置成下述方式:所述DHCP参数排列组合信息具体为DHCPOption55。
进一步的为更好的实现本发明,特别设置成下述方式:所述预置的相应特征数据包括IP数据包的默认TTL特征值及该默认TTL特征值所对应的操作***信息。
进一步的为更好的实现本发明,特别设置成下述方式:所述预置的相应特征数据还包括TCPSYN数据包的起始TCP窗口值及该起始TCP窗口值所对应的操作***信息。
进一步的为更好的实现本发明,特别设置成下述方式:所述预置的相应特征数据还包括DHCP数据包的DHCPOption55及该DHCPOption55所对应的操作***信息。
本发明与现有技术相比,具有以下优点及有益效果:
(1)本发明为一种不需要向网络发送任何数据,只是通过监听网络中传输的各种信息,综合分析,从而推断出网络中某些主机设备正在运行的操作***类型及相关数据的方法。
本发明通过对现有网络协议数据的创新使用,提供一种准确、高效、适用范围广泛的方法,该方法能够推断出当前网络中各个主机设备的操作***信息。
具体实施方式
本发明涉及计算机网络技术、信息安全技术以及数据挖掘技术等多方面内容,是计算机技术在上述领域的一种综合应用。在本发明的实现过程中,会涉及到多个软件功能模块的应用。申请人认为,如在仔细阅读申请文件、准确理解本发明的实现原理和发明目的以后,在结合现有公知技术的情况下,本领域技术人员完全可以运用其掌握的软件编程技能实现本发明。
下面结合实施例对本发明作进一步地详细说明,但本发明的实施方式不限于此。
IP:网络之间互连的协议(IP)是InternetProtocol的外语缩写,是为计算机网络相互连接进行通信而设计的协议。在因特网中,它是能使连接到网上的所有计算机网络实现相互通信的一套规则,规定了计算机在因特网上进行通信时应当遵守的规则。任何厂家生产的计算机***,只要遵守IP协议就可以与因特网互连互通。
TCPSYN:SYN(synchronous)是TCP/IP建立连接时使用的握手信号。在客户机和服务器之间建立正常的TCP网络连接时,客户机首先发出一个SYN消息,服务器使用SYN+ACK应答表示接收到了这个消息,最后客户机再以ACK消息响应。这样在客户机和服务器之间才能建立起可靠的TCP连接,数据才可以在客户机和服务器之间传递。
DHCP:DHCP(DynamicHostConfigurationProtocol,动态主机配置协议)是一个局域网的网络协议,使用UDP协议工作,主要有两个用途:给内部网络或网络服务供应商自动分配IP地址,给用户或者内部网络管理员作为对所有计算机作中央管理的手段,在RFC2131中有详细的描述。
TTL:TTL是TimeToLive的缩写,该字段指定IP包被路由器丢弃之前允许通过的最大网段数量。
Option:DHCP报文中的可选变长选项字段,包含报文的类型、有效租期、DNS服务器的IP地址、WINS服务器的IP地址等配置信息。
实施例1:
本发明提出了一种通过网络数据获取设备操作***信息的方法,通过被动监听网络中产生的数据包,并提取数据包内的特征数据,与特征数据库中预置的相应特征数据进行对比,从而推断出向网络发送数据包的主机操作***信息。
实施例2:
本实施例是在上述实施例的基础上进一步优化,进一步的为更好的实现本发明,特别设置成下述方式:所述数据包包括IP数据包、TCPSYN数据包及DHCP数据包中的一种或多种。
实施例3:
本实施例是在上述实施例的基础上进一步优化,进一步的为更好的实现本发明,特别设置成下述方式:该通过网络数据获取设备操作***信息的方法的具体步骤包括:
1)数据监听模块从网络中提取需要关注的主机所发出的IP数据包、TCPSYN数据包或/和DHCP数据包,然后将IP数据包、TCPSYN数据包或/和DHCP数据包内的特征数据提取出来,并送入数据分析模块;
2)经步骤1)后,在数据分析模块内,从IP数据包、TCPSYN数据包或/和DHCP数据包内所提取的特征数据与特征数据库预置的相应特征数据进行单一或综合对比,根据相应特征由快到慢由粗到细地推断出向网络发送IP数据包、TCPSYN数据包或/和DHCP数据包的主机的操作***信息。
实施例4:
本实施例是在上述实施例的基础上进一步优化,进一步的为更好的实现本发明,特别设置成下述方式:所述步骤2)包括以下单一使用或综合使用的具体步骤:
2-1)从IP数据包内获取默认TTL特征值,通过判断获取的默认TTL特征值与预置的相应特征数据进行对比,从而判断发送该IP数据包的主机的操作***信息;
2-2)从TCPSYN数据包内获取起始TCP窗口值,通过判断获取的起始TCP窗口值与预置的相应特征数据进行对比,从而进一步的判断发送该TCPSYN数据包的主机的操作***信息;
2-3)从DHCP数据包获取DHCP参数排列组合信息,并通过所获取的DHCP参数排列组合信息与预置的相应特征数据进行对比,从而判断发送该DHCP数据包的主机的操作***信息。
实施例5:
本实施例是在上述实施例的基础上进一步优化,进一步的为更好的实现本发明,特别设置成下述方式:所述DHCP参数排列组合信息具体为DHCPOption55。
实施例6:
本实施例是在上述任一实施例的基础上进一步优化,进一步的为更好的实现本发明,特别设置成下述方式:所述预置的相应特征数据包括IP数据包的默认TTL特征值及该默认TTL特征值所对应的操作***信息。
实施例7:
本实施例是在上述任一实施例的基础上进一步优化,进一步的为更好的实现本发明,特别设置成下述方式:所述预置的相应特征数据还包括TCPSYN数据包的起始TCP窗口值及该起始TCP窗口值所对应的操作***信息。
实施例8:
本实施例是在上述任一实施例的基础上进一步优化,进一步的为更好的实现本发明,特别设置成下述方式:所述预置的相应特征数据还包括DHCP数据包的DHCPOption55及该DHCPOption55所对应的操作***信息。
实施例9:
本实施例是在上述任一实施例的基础上进一步优化,一种通过网络数据获取设备操作***信息的方法,通过被动监听网络中产生的IP数据包、TCPSYN数据包及DHCP数据包,并提取IP数据包、TCPSYN数据包及DHCP数据包内的特征数据,与特征数据库中预置的相应特征数据进行对比,从而推断出向网络发送IP数据包、TCPSYN数据包及DHCP数据包的主机的操作***信息。
该通过网络数据获取设备操作***信息的方法的具体步骤包括:
1)数据监听模块从网络中提取需要关注的主机所发出的IP数据包、TCPSYN数据包以及DHCP数据包,然后将IP数据包、TCPSYN数据包以及DHCP数据包内的特征数据提取出来,并送入数据分析模块;
2)经步骤1)后,在数据分析模块内,从IP数据包、TCPSYN数据包以及DHCP数据包内所提取的特征数据与特征数据库预置的相应特征数据进行单一或综合对比,根据相应特征由快到慢由粗到细地推断出向网络发送IP数据包、TCPSYN数据包及DHCP数据包的主机的操作***信息。
运用到默认TTL值特征分析、起始TCP窗口尺寸(起始TCP窗口值)特征分析、DHCP特征字段(DHCP参数排列组合信息,特别是DHCPOption55)分析3个部分。
第一种、默认TTL值特征分析:
TTL是IP包头中定义的一个字段。这一字段用来控制数据包不会被在网络上过度传输,每当数据包经过一个路由设备,TTL值就会减小1。当此值为0时,路由器就会丢弃这个数据包,以避免环路、错误的路由带来对网络的损害。并没有协议来规范起始TTL值取值,所以不同的操作***有自己的设计,因此对于TTL起始值(默认TTL特征值)可以发现明显的操作***差异。
| 操作*** | 默认TTL值 |
| Linux Kernel 2.0 | 64 |
| Linux Kernel 2.2+ | 255 |
| Windows XP/2000/2003/Vista | 128 |
| Windows 95 | 32 |
| Windows 95A/B | 128 |
表1
表1为特征数据库中IP数据包的默认TTL特征值及该默认TTL特征值所对应的操作***信息(部分操作***)。
假若捕获到一个IP数据包的TTL=125,那么通常意义上,这意味着这台主机的起始TTL是128,位置在3跳路由之外。
TTL的取值作为一种估算,其不失为一种快捷而且通用的手段,为操作***识别作第一步的数据准备。
第二种、起始TCP窗口尺寸特征分析:
TCP/IP协议是目前主流的网络通信协议,几乎可以说是网络的基础协议。由于不断推陈出新的标准以及很多开发设计人员对这些标准的理解不同,各个操作***、各个时期的版本对于同样的通讯规范的实现和把握有相当多的不同之处。其中最明显的差异来自于TCP三向握手过程中的TCPSYN数据包起始TCP窗口尺寸。
| 操作*** | 起始TCP窗口值 |
| AIX 4.3 | 45046 |
| FreeBSD 5.1 | 65535 |
| Windows Vista | 8192 |
| Windows 2003 | 65535 |
| Windows XP | 65520 |
表2
表2为特征数据库中TCPSYN数据包的起始TCP窗口值及该起始TCP窗口值所对应的操作***信息(部分操作***)。
可以发现,通过筛选不同的起始窗口值,可以区分出不同的操作***或者操作***版本,如果再与默认TTL值的筛选结果叠加则能进一步增加推断准确性。
第三种、DHCP特征字段分析:
DHCP协议本身是各个网络终端设备都能够支持的必备协议之一,用来申请获得动态IP地址,DHCP本身包含的操作***信息非常丰富。DHCP报文会包含名为Option的选项,该选项在DHCP报文中为可变长的字段,Option选项中包含了部分租约信息、报文类型等。
不同的操作***在发送DHCP请求的时候的Option数量、顺序和组合都可能完全不同,因此区分DHCP的参数排列组合可以进行操作***识别,这里我们特别关注DHCPOption55,它会根据不同的操作***而不同,该Option的参数排列可以可靠的区分数百种终端设备类型及操作***类型。
表3
表3为特征数据库中DHCP数据包的DHCPOption55及该DHCPOption55所对应的操作***信息(部分操作***)。
通过被动采集网络中的相关数据包,提取其中的特征字段,与特征数据库中的数据进行比对,经过3种方式中的1种或多种方法过滤拣选,即可确定目标主机的操作***相关信息。
数据监听模块:该模块从网络中提取需要关注的主机所发出的数据包,具体关心的内容包括IP数据包(待提取的默认TTL值包含在这里)、TCPSYN数据包(其内包含待提取的起始TCP窗口尺寸)以及DHCP数据包(包含Option55字段,即包含DHCPOption55);之后将这些数据包中的关键字段提取出来,送达下一模块进行分析。
数据分析模块:该模块从上一模块获取数据,并进行分析,具体分析方法如下:
IP数据包:包含TTL的IP数据包在3种数据包中最容易获取,可以最快速地对目标主机的操作***进行判断,但由于TTL值会随着路由转发次数而递减,所以可能会引起误判,所以为进一步获取更精确的信息,进一步的结合下面的方法;
TCPSYN数据包:TCPSYN数据包的获取可能需要稍微等待一段时间,因为虽然TCP连接在网络中非常常见,但是TCPSYN数据包只有在一个TCP连接开始发起的初始阶段会出现。由于TCPSYN数据包中所包含的TCP窗口尺寸是固定的,所以一旦获取就能确定目标主机是否运行在相当一部分主流操作***之上;
DHCP数据包:DHCP数据包只有在主机向网络申请IP地址时才会发送,一旦IP地址确定,主机一段时间内将不会发送该数据包,所以这种数据包应该在3种数据包中最难以获取。但是一旦获取到,该数据包中Option55字段所包含的信息(DHCPOption55)将可以更为精确地确定目标主机的操作***信息;
于是,单一使用或综合这3种数据的特性,本模块根据相应特征由快到慢由粗到细地推断出目标主机操作***信息。
特征数据库:本模块用于储存每种操作***对应的TTL值、起始TCP窗口尺寸和DHCPOption序列(Option55字段),用于数据分析模块分析比较。特征数据库可以根据使用过程中的经验再进一步调整以提高效率。
以上所述,仅是本发明的较佳实施例,并非对本发明做任何形式上的限制,凡是依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化,均落入本发明的保护范围之内。
Claims (8)
1.一种通过网络数据获取设备操作***信息的方法,其特征在于:通过被动监听网络中产生的数据包,并提取数据包内的特征数据,与特征数据库中预置的相应特征数据进行对比,从而推断出向网络发送数据包的主机操作***信息。
2.根据权利要求1所述的一种通过网络数据获取设备操作***信息的方法,其特征在于:所述数据包包括IP数据包、TCPSYN数据包及DHCP数据包中的一种或多种。
3.根据权利要求2所述的一种通过网络数据获取设备操作***信息的方法,其特征在于:该通过网络数据获取设备操作***信息的方法的具体步骤包括:
1)数据监听模块从网络中提取需要关注的主机所发出的IP数据包、TCPSYN数据包或/和DHCP数据包,然后将IP数据包、TCPSYN数据包或/和DHCP数据包内的特征数据提取出来,并送入数据分析模块;
2)经步骤1)后,在数据分析模块内,从IP数据包、TCPSYN数据包或/和DHCP数据包内所提取的特征数据与特征数据库预置的相应特征数据进行单一或综合对比,根据相应特征由快到慢由粗到细地推断出向网络发送IP数据包、TCPSYN数据包或/和DHCP数据包的主机的操作***信息。
4.根据权利要求3所述的一种通过网络数据获取设备操作***信息的方法,其特征在于:所述步骤2)包括以下单一使用或综合使用的具体步骤:
2-1)从IP数据包内获取默认TTL特征值,通过判断获取的默认TTL特征值与预置的相应特征数据进行对比,从而判断发送该IP数据包的主机的操作***信息;
2-2)从TCPSYN数据包内获取起始TCP窗口值,通过判断获取的起始TCP窗口值与预置的相应特征数据进行对比,从而进一步的判断发送该TCPSYN数据包的主机的操作***信息;
2-3)从DHCP数据包获取DHCP参数排列组合信息,并通过所获取的DHCP参数排列组合信息与预置的相应特征数据进行对比,从而判断发送该DHCP数据包的主机的操作***信息。
5.根据权利要求4所述的一种通过网络数据获取设备操作***信息的方法,其特征在于:所述DHCP参数排列组合信息具体为DHCPOption55。
6.根据权利要求1-5任一项所述的一种通过网络数据获取设备操作***信息的方法,其特征在于:所述预置的相应特征数据包括IP数据包的默认TTL特征值及该默认TTL特征值所对应的操作***信息。
7.根据权利要求6所述的一种通过网络数据获取设备操作***信息的方法,其特征在于:所述预置的相应特征数据还包括TCPSYN数据包的起始TCP窗口值及该起始TCP窗口值所对应的操作***信息。
8.根据权利要求7所述的一种通过网络数据获取设备操作***信息的方法,其特征在于:所述预置的相应特征数据还包括DHCP数据包的DHCPOption55及该DHCPOption55所对应的操作***信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201511003623.5A CN105554009B (zh) | 2015-12-28 | 2015-12-28 | 一种通过网络数据获取设备操作***信息的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201511003623.5A CN105554009B (zh) | 2015-12-28 | 2015-12-28 | 一种通过网络数据获取设备操作***信息的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105554009A true CN105554009A (zh) | 2016-05-04 |
| CN105554009B CN105554009B (zh) | 2018-10-30 |
Family
ID=55832943
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201511003623.5A Active CN105554009B (zh) | 2015-12-28 | 2015-12-28 | 一种通过网络数据获取设备操作***信息的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105554009B (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105959321A (zh) * | 2016-07-13 | 2016-09-21 | 中国人民解放军理工大学 | 网络远程主机操作***被动识别方法及装置 |
| CN106789934A (zh) * | 2016-11-29 | 2017-05-31 | 北京神州绿盟信息安全科技股份有限公司 | 一种网络设备识别方法及*** |
| CN107770202A (zh) * | 2017-12-11 | 2018-03-06 | 郑州云海信息技术有限公司 | 一种从应用层提取tcp指纹的方法 |
| CN107995226A (zh) * | 2017-12-27 | 2018-05-04 | 山东华软金盾软件股份有限公司 | 一种基于被动流量的设备指纹识别方法 |
| CN109327391A (zh) * | 2018-08-07 | 2019-02-12 | 阿里巴巴集团控股有限公司 | 目标设备确定方法、装置、电子设备及存储介质 |
| CN110213124A (zh) * | 2019-05-06 | 2019-09-06 | 清华大学 | 基于tcp多会话的被动操作***识别方法及装置 |
| CN110336896A (zh) * | 2019-07-17 | 2019-10-15 | 山东中网云安智能科技有限公司 | 一种局域网设备类型识别方法 |
| CN110753134A (zh) * | 2019-09-30 | 2020-02-04 | 互联网域名***北京市工程研究中心有限公司 | 多策略的dhcp客户端分类方法和*** |
| CN112738102A (zh) * | 2020-12-29 | 2021-04-30 | 北京天融信网络安全技术有限公司 | 资产识别方法、装置、设备和存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070106622A1 (en) * | 2005-11-10 | 2007-05-10 | International Business Machines Corporation | System, method and program to manage software licenses |
| US20070294699A1 (en) * | 2006-06-16 | 2007-12-20 | Microsoft Corporation | Conditionally reserving resources in an operating system |
| US20120255019A1 (en) * | 2011-03-29 | 2012-10-04 | Kindsight, Inc. | Method and system for operating system identification in a network based security monitoring solution |
| CN103544089A (zh) * | 2013-10-13 | 2014-01-29 | 西安电子科技大学 | 基于Xen的操作***识别方法 |
| CN103746826A (zh) * | 2013-10-29 | 2014-04-23 | 湖南蚁坊软件有限公司 | 一种网络中主机的操作***的自动发现与识别的方法 |
| CN104410540A (zh) * | 2014-11-14 | 2015-03-11 | 中国联合网络通信集团有限公司 | 一种获取移动终端操作***信息的方法及装置 |
-
2015
- 2015-12-28 CN CN201511003623.5A patent/CN105554009B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070106622A1 (en) * | 2005-11-10 | 2007-05-10 | International Business Machines Corporation | System, method and program to manage software licenses |
| US20070294699A1 (en) * | 2006-06-16 | 2007-12-20 | Microsoft Corporation | Conditionally reserving resources in an operating system |
| US20120255019A1 (en) * | 2011-03-29 | 2012-10-04 | Kindsight, Inc. | Method and system for operating system identification in a network based security monitoring solution |
| CN103544089A (zh) * | 2013-10-13 | 2014-01-29 | 西安电子科技大学 | 基于Xen的操作***识别方法 |
| CN103746826A (zh) * | 2013-10-29 | 2014-04-23 | 湖南蚁坊软件有限公司 | 一种网络中主机的操作***的自动发现与识别的方法 |
| CN104410540A (zh) * | 2014-11-14 | 2015-03-11 | 中国联合网络通信集团有限公司 | 一种获取移动终端操作***信息的方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| 陈哲,王清贤,谢余强: ""目标主机操作***识别技术"", 《第九届CERNET学术年会》 * |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105959321A (zh) * | 2016-07-13 | 2016-09-21 | 中国人民解放军理工大学 | 网络远程主机操作***被动识别方法及装置 |
| CN106789934A (zh) * | 2016-11-29 | 2017-05-31 | 北京神州绿盟信息安全科技股份有限公司 | 一种网络设备识别方法及*** |
| CN107770202A (zh) * | 2017-12-11 | 2018-03-06 | 郑州云海信息技术有限公司 | 一种从应用层提取tcp指纹的方法 |
| CN107995226A (zh) * | 2017-12-27 | 2018-05-04 | 山东华软金盾软件股份有限公司 | 一种基于被动流量的设备指纹识别方法 |
| CN109327391A (zh) * | 2018-08-07 | 2019-02-12 | 阿里巴巴集团控股有限公司 | 目标设备确定方法、装置、电子设备及存储介质 |
| CN110213124A (zh) * | 2019-05-06 | 2019-09-06 | 清华大学 | 基于tcp多会话的被动操作***识别方法及装置 |
| CN110336896A (zh) * | 2019-07-17 | 2019-10-15 | 山东中网云安智能科技有限公司 | 一种局域网设备类型识别方法 |
| CN110336896B (zh) * | 2019-07-17 | 2022-04-01 | 山东中网云安智能科技有限公司 | 一种局域网设备类型识别方法 |
| CN110753134A (zh) * | 2019-09-30 | 2020-02-04 | 互联网域名***北京市工程研究中心有限公司 | 多策略的dhcp客户端分类方法和*** |
| CN112738102A (zh) * | 2020-12-29 | 2021-04-30 | 北京天融信网络安全技术有限公司 | 资产识别方法、装置、设备和存储介质 |
| CN112738102B (zh) * | 2020-12-29 | 2023-01-10 | 北京天融信网络安全技术有限公司 | 资产识别方法、装置、设备和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105554009B (zh) | 2018-10-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105554009A (zh) | 一种通过网络数据获取设备操作***信息的方法 | |
| US8042182B2 (en) | Method and system for network intrusion detection, related network and computer program product | |
| US8347383B2 (en) | Network monitoring apparatus, network monitoring method, and network monitoring program | |
| Dainotti et al. | Estimating internet address space usage through passive measurements | |
| US7856656B1 (en) | Method and system for detecting masquerading wireless devices in local area computer networks | |
| KR101047997B1 (ko) | 네트워크 패킷을 이용한 공유 단말 구분 시스템 및 처리 방법 | |
| US8990573B2 (en) | System and method for using variable security tag location in network communications | |
| CN103220161B (zh) | 一种服务器状态的探测方法和装置 | |
| US20060161816A1 (en) | System and method for managing events | |
| EP2012485A1 (en) | Management method, apparatus and system of session connection | |
| US20210092610A1 (en) | Method for detecting access point characteristics using machine learning | |
| KR101518472B1 (ko) | 인터넷 접속 요청을 하는 클라이언트 단말의 인터넷 접속 요청 트래픽으로부터 동일한 공인 ip를 이용하는 사설 네트워크상의 복수개의 클라이언트 단말 중에서 추가 비지정 도메인 네임을 구비한 웹서버에 의해 선별된 디바이스의 대수를 검출하는 방법 및 공인 ip 공유 상태의 디바이스의 선별적인 검출 시스템 | |
| Osanaiye et al. | TCP/IP header classification for detecting spoofed DDoS attack in Cloud environment | |
| CN103944788A (zh) | 基于网络通信行为的未知木马检测方法 | |
| CN111917706A (zh) | 一种识别nat设备及确定nat后终端数的方法 | |
| Guezzaz et al. | A new hybrid network sniffer model based on Pcap language and sockets (Pcapsocks) | |
| CN112398801A (zh) | 数据处理方法及设备 | |
| KR101087291B1 (ko) | 인터넷을 사용하는 모든 단말을 구분하는 방법 및 시스템 | |
| KR101518470B1 (ko) | 인터넷 접속 요청을 하는 클라이언트 단말의 인터넷 접속 요청 트래픽으로부터 동일한 공인 ip를 이용하는 사설 네트워크상의 복수개의 클라이언트 단말 중에서 웹서버에 의해 선별된 디바이스의 대수를 검출하는 방법 및 공인 ip 공유 상태의 디바이스의 선별적인 검출 시스템 | |
| KR200382792Y1 (ko) | 외부에서 네트워크내의 클라이언트 컴퓨터의 로컬 아이피를검출 및 구분하는 시스템 | |
| US20090213752A1 (en) | Detecting Double Attachment Between a Wired Network and At Least One Wireless Network | |
| CN107241461B (zh) | Mac地址获取方法、网关设备、网络认证设备及网络*** | |
| KR101603692B1 (ko) | 공유 단말 식별 방법 및 그 시스템 | |
| KR101603694B1 (ko) | 공유 단말 식별 방법 및 그 시스템 | |
| JP4484190B2 (ja) | ルーター探索システム、ルーター探索方法、及びルーター探索プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |