本发明专利技术公开了一种通过网络数据获取设备操作系统信息的方法,通过被动监听网络中产生的数据包,提取数据包内的特征数据,与特征数据库中预置的相应特征数据进行对比,从而推断出向网络发送数据包的主机操作系统信息;所述数据包包括IP数据包、TCP SYN数据包及DHCP数据包中的一种或多种;数据监听模块从网络中提取需要关注的主机所发出的IP数据包、TCP SYN数据包或/和DHCP数据包,将IP数据包、TCP SYN数据包或/和DHCP数据包内的特征数据提取出来,送入数据分析模块;通过对现有网络协议数据的创新使用,提供一种准确、高效、适用范围广泛的方法,该方法能够推断出当前网络中各个主机设备的操作系统信息。
【技术实现步骤摘要】
本专利技术涉及信息安全、数据挖掘等
,具体的说,是一种通过网络数据获取设备操作系统信息的方法。
技术介绍
随着移动通信技术的快速发展,人们的生活与工作越来越离不开各种可快速接入3G/4G/WiFi等网络的移动终端设备。但是,这些设备在便捷人们的同时也埋下了许多信息安全隐患。移动设备快速接入/退出网络的特性对网络的安全管理产生了严重冲击。出于安全考虑,网络管理者需要根据不同的网络接入设备类型,定义不同的网络访问策略。如何高效、准确地识别设备相关的各种信息成为亟待解决的问题。所谓识别设备相关的各种信息,其中最为重要地是识别设备的操作系统类型及相关信息(如版本号等)。就好象每一个人都会拥有一个独特的指纹一样,每一种操作系统也会具备自己独特的特性。而这些独特的特性,会在终端设备同外界通讯的行为中体现出来。理论上,所有终端设备的通信层都是按照网络协议的规范进行设计,其所有的通讯特征应该是与操作系统无关。然而由于定义、阅读和理解这些网络规范的不同角度,或者是程序开发人员对于具体的异常、特别的场景的处理实现方式的不同,各个操作系统在网络协议实现上的行为确实有些不一样。通过观察到并分析处理这些独特特征,能够识别出操作系统信息。实现这一识别过程的方法目前有主动式与被动式。主动式识别:主动式意为,需要主动向被鉴定的设备发送一定数量的特别组合的数据包,根据对方的反应来确定对方的操作系统类型和版本号等。这一技术常常被应用到网络安全领域,当黑客或安全专家需要对远程系统进行渗透时,常常以该识别动作作为开场白。主动识别的方法由于向网络中主动发送了数据,从而对整个网络产生了影响,使得被识别方可能侦测到这些主动识别动作的存在从而进行防范甚至是误导(伪造数据包等),在某些应用环境下并不适用。被动式识别:被动式的技术体系坚持在不发送任何数据的情况下就达到识别设备指纹的目的。这样的实现机制可以在对网络不产生任何影响的情况下,收集更加详尽的信息,以便提供给网络管理与安全管理之用。被动式指纹鉴别技术由于不发送任何探测尝试,通过被动侦听数据包的方式实现,应用环境适应性更高。
技术实现思路
本专利技术的目的在于提供一种通过网络数据获取设备操作系统信息的方法,通过对现有网络协议数据的创新使用,提供一种准确、高效、适用范围广泛的方法,该方法能够推断出当前网络中各个主机设备的操作系统信息。本专利技术通过下述技术方案实现:一种通过网络数据获取设备操作系统信息的方法,通过被动监听网络中产生的数据包,并提取数据包内的特征数据,与特征数据库中预置的相应特征数据进行对比,从而推断出向网络发送数据包的主机操作系统信息。进一步的为更好的实现本专利技术,特别设置成下述方式:所述数据包包括IP数据包、TCPSYN数据包及DHCP数据包中的一种或多种。进一步的为更好的实现本专利技术,特别设置成下述方式:该通过网络数据获取设备操作系统信息的方法的具体步骤包括:1)数据监听模块从网络中提取需要关注的主机所发出的IP数据包、TCPSYN数据包或/和DHCP数据包,然后将IP数据包、TCPSYN数据包或/和DHCP数据包内的特征数据提取出来,并送入数据分析模块;2)经步骤1)后,在数据分析模块内,从IP数据包、TCPSYN数据包或/和DHCP数据包内所提取的特征数据与特征数据库预置的相应特征数据进行单一或综合对比,根据相应特征由快到慢由粗到细地推断出向网络发送IP数据包、TCPSYN数据包或/和DHCP数据包的主机的操作系统信息。进一步的为更好的实现本专利技术,特别设置成下述方式:所述步骤2)包括以下单一使用或综合使用的具体步骤:2-1)从IP数据包内获取默认TTL特征值,通过判断获取的默认TTL特征值与预置的相应特征数据进行对比,从而判断发送该IP数据包的主机的操作系统信息;2-2)从TCPSYN数据包内获取起始TCP窗口值,通过判断获取的起始TCP窗口值与预置的相应特征数据进行对比,从而进一步的判断发送该TCPSYN数据包的主机的操作系统信息;2-3)从DHCP数据包获取DHCP参数排列组合信息,并通过所获取的DHCP参数排列组合信息与预置的相应特征数据进行对比,从而判断发送该DHCP数据包的主机的操作系统信息。进一步的为更好的实现本专利技术,特别设置成下述方式:所述DHCP参数排列组合信息具体为DHCPOption55。进一步的为更好的实现本专利技术,特别设置成下述方式:所述预置的相应特征数据包括IP数据包的默认TTL特征值及该默认TTL特征值所对应的操作系统信息。进一步的为更好的实现本专利技术,特别设置成下述方式:所述预置的相应特征数据还包括TCPSYN数据包的起始TCP窗口值及该起始TCP窗口值所对应的操作系统信息。进一步的为更好的实现本专利技术,特别设置成下述方式:所述预置的相应特征数据还包括DHCP数据包的DHCPOption55及该DHCPOption55所对应的操作系统信息。本专利技术与现有技术相比,具有以下优点及有益效果:(1)本专利技术为一种不需要向网络发送任何数据,只是通过监听网络中传输的各种信息,综合分析,从而推断出网络中某些主机设备正在运行的操作系统类型及相关数据的方法。本专利技术通过对现有网络协议数据的创新使用,提供一种准确、高效、适用范围广泛的方法,该方法能够推断出当前网络中各个主机设备的操作系统信息。具体实施方式本专利技术涉及计算机网络技术、信息安全技术以及数据挖掘技术等多方面内容,是计算机技术在上述领域的一种综合应用。在本专利技术的实现过程中,会涉及到多个软件功能模块的应用。申请人认为,如在仔细阅读申请文件、准确理解本专利技术的实现原理和专利技术目的以后,在结合现有公知技术的情况下,本领域技术人员完全可以运用其掌握的软件编程技能实现本专利技术。下面结合实施例对本专利技术作进一步地详细说明,但本专利技术的实施方式不限于此。IP:网络之间互连的协议(IP)是InternetProtocol的外语缩写,是为计算机网络相互连接进行通信而设计的协议。在因特网中,它是能使连接到网上的所有计算机网络实现相互通信的一套规则,规定了计算机在因特网上进行通信时应当遵守的规则。任何厂家生产的计算机系统,只要遵守IP协议就可以与因特网互连互通。TCPSYN:SYN(synchronous)是TCP/IP建立连接时使用的握手信号。在客户机和服务器之间建立正常的TCP网络连接时,客户机首先发出一个SYN消息,服务器使用SYN+ACK应答表示接收到了这个消息,最后客户机再以AC本文档来自技高网...
【技术保护点】
一种通过网络数据获取设备操作系统信息的方法,其特征在于:通过被动监听网络中产生的数据包,并提取数据包内的特征数据,与特征数据库中预置的相应特征数据进行对比,从而推断出向网络发送数据包的主机操作系统信息。
【技术特征摘要】
1.一种通过网络数据获取设备操作系统信息的方法,其特征在于:通过被动监听网络
中产生的数据包,并提取数据包内的特征数据,与特征数据库中预置的相应特征数据进行
对比,从而推断出向网络发送数据包的主机操作系统信息。
2.根据权利要求1所述的一种通过网络数据获取设备操作系统信息的方法,其特征在
于:所述数据包包括IP数据包、TCPSYN数据包及DHCP数据包中的一种或多种。
3.根据权利要求2所述的一种通过网络数据获取设备操作系统信息的方法,其特征在
于:该通过网络数据获取设备操作系统信息的方法的具体步骤包括:
1)数据监听模块从网络中提取需要关注的主机所发出的IP数据包、TCPSYN数据包或/
和DHCP数据包,然后将IP数据包、TCPSYN数据包或/和DHCP数据包内的特征数据提取出来,
并送入数据分析模块;
2)经步骤1)后,在数据分析模块内,从IP数据包、TCPSYN数据包或/和DHCP数据包内所
提取的特征数据与特征数据库预置的相应特征数据进行单一或综合对比,根据相应特征由
快到慢由粗到细地推断出向网络发送IP数据包、TCPSYN数据包或/和DHCP数据包的主机的
操作系统信息。
4.根据权利要求3所述的一种通过网络数据获取设备操作系统信息的方法,其特征在
于:所述步骤2)包括以下单一使用或综合使用的具体步骤:
2-1)从IP数据包内获取默认TTL特征值,通过判断获取...
【专利技术属性】
技术研发人员:周晓军,刘韬,夏欣然,黎露,谢莎,
申请(专利权)人:成都千牛信息技术有限公司,
类型:发明
国别省市:四川;51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。