基于深度学习的网络空间操作系统识别技术研究

针对网络空间中流量数据的数字资产探测问题,本文提出了一种基于卷积神经网络的操作系统指纹快速识别方法。首先对网络空间资产探测原理进行了概述,通过对基于SVM的操作系统识别和基于决策树的操作系统识别方法进行对比,设计和构建了以ReLU函数作为激活函数的二层卷积模型且增加了BN层、池化层、全连接层,使用流量探测分析工具p0f将其指纹库操作系统指纹数据作为训练集,对收集到的流量数据作为测试集进行指纹识别测试,并将SVM方法和决策树方法与本文构建模型进行对照组实验。实验结果表明,本文提出的操作系统识别模型具有较高的收敛速度,且平均判别准确率相比于SVM算法和C4.5决策树算法提高了13和6个百分点,证明模型在操作系统识别方面具有良好的性能。

一种基于TCP/IP协议栈的操作系统识别技术

远程主机的操作系统识别是获取系统基本特征的重要方法,也是网络攻击与攻击防范的前奏。文中重点阐述了各种扫描方式以及它们在指纹识别中所起的作用,讨论了通过使用TCP/IP协议栈的指纹特征来识别远程主机的操作系统的方法并给出了一个设计实例。文中描述了系统设计的具体结构、工作流程,以及其模块的功能划分等。

基于决策树的被动操作系统识别技术研究

操作系统识别是网络安全评估的关键技术之一,在网络安全威胁和风险日益加剧的形势下,其研究具有非常重要的意义。针对当前基于TCP/IP协议栈指纹库的操作系统识别技术难以辨识未知指纹所对应的操作系统的问题,提出了基于C4.5决策树模型的被动操作系统识别方法,并将它与其他分类算法进行了比较。通过实验测试验证了分类方法的有效性,并对其结果进行了分析。

解析基于支持向量机的操作系统识别方法

在计算机网络应用过程中,网络安全问题的重要性不容忽视,加强对操作系统识别的研究具有重要意义。本研究以Nmap数据库的操作运行为基础,对基于向量机的操作系统识别方法进行具体分析。

基于HTTP User-Agent标记的被动操作系统识别指纹库自动生成方法

目前公开可用的被动操作系统识别工具主要有p0f和Ettercap等,这些工具通过指纹库来识别操作系统。但是它们的指纹库是通过人工标记的方法生成,已经长期没有更新,缺乏新版本操作系统的指纹。人工去搜集操作系统标签流量数据来标记指纹的方法不仅效率低下而且难以维护,因此目前亟需一种自动化的指纹标记方法。针对该问题提出一种基于HTTP User-Agent来标记指纹的自动化生成指纹库方法。由于User-Agent容易被修改,具有不可信问题,需要通过统计单个指纹对应的User-Agent,选择出现次数较多的结果作为指纹的标记,从而避免该问题。通过来自真实网络环境的约2.2亿HTTP流量生成涵盖主流操作系统各个版本的指纹库,并用新的指纹库和p0f在相同的数据集上进行对比验证。实验结果表明,新的指纹库在识别正确率上优于p0f,证明了该方法的有效性。

网络设备操作系统识别技术综述

针对网络设备操作系统识别问题，对现有识别技术进行了综述，主要讨论了基于协议栈特征的操作系统识别方法。依据是否向目标设备发送探测数据包，将识别方法分为主动探测识别方法和被动检测识别方法两大类：对于主动探测识别方法，详细讨论了基于TCP／IP响应分析的方法和基于1CMP主动探测的方法，并比较了二者的适用性；对于被动检测识别方法，深入分析了基于TCP握手的方法、基于DHCP选项的方法以及基于TCP初始序号分析的方法，并给出了其使用场景。最后，结合各种方法的特点及实际网络环境进行了总结。

基于TCP协议可选项的远程操作系统识别

保障网络安全最大的挑战之一就是是否能够及时发现漏洞,而绝大部分安全漏洞和隐患都与操作系统息息相关,因此操作系统的精确识别是保障网络安全的关键技术之一。论文主要基于TCP/IP协议族中的TCP可选项,着重阐述和分析了一种识别远程主机操作系统信息的实现技术。

基于支持向量机的操作系统识别方法

为解决当前基于指纹库的操作系统识别方法难以识别未知指纹所对应操作系统的问题,该文引入有效的机器学习方法,依据操作系统探测结果,基于支持向量机对操作系统进行识别;同时还提出了Nmap指纹库的向量化方法用于构造SVM训练和识别过程的输入数据。通过将Nmap指纹的数据项进行向量化,使得操作系统识别可以通过使用支持向量机方法对指纹数据进行处理来实现。实验证明该文方法可以较为准确地对操作系统的探测结果进行识别,并具有较强的未知指纹识别能力。

基于网络欺骗的操作系统抗识别模型

针对传统主机操作系统抗识别技术整体防御能力不足的问题,提出一种基于网络欺骗的操作系统抗识别模型（NDAF）。首先,介绍模型的基本工作原理,由网络内的欺骗服务器制定欺骗指纹模板,各主机根据欺骗模板动态改变自己的协议栈指纹特征,实现对攻击者操作系统识别过程的欺骗;其次,给出一种信任管理机制,依据威胁大小不同,有选择地对外部主机开展欺骗。实验测试表明,NDAF会给其网络通信带来一定的影响,但所产生的额外开销相对稳定,约为11%-15%,与典型的操作系统抗识别工具OSfuscate和IPmorph相比,NDAF操作系统抗识别能力较强。所提模型通过网络的一体化、欺骗性防御,能够有效提高目标网络防御水平。

被动式TCP/IP指纹识别操作系统

不同操作系统对TCP/IP协议族中的可选项设置不同,组合这些可选项可以表征OS类型,这些与操作系统识别有关的项被称为操作系统TCP/IP协议栈指纹。本文通过VC++6.0 Winsock网络编程简单实现操作系统类型的被动式识别,即在不主动向目标主机发送数据包的前提下探测其OS类型。

基于操作系统指纹识别的服务器虚拟化安全策略

虚拟计算技术的引入,打破了以往真实计算中软件与硬件之间紧密的耦合关系,在提高效率以及节能减耗等方面解决了许多问题,随着服务器虚拟化在应用中的普及,已而成为近年来研究的热点问题。但是同时服务器虚拟化在安全性方面也产生了问题。由于虚拟机之间的通信过程无法通过传统的流量监测方法进行实时监测,而网络攻击主要是利用操作系统的漏洞来进行的,因此在此提出一种基于操作系统指纹识别技术的安全策略来检测各虚拟机的操作系统。利用切片技术的智能安装补丁,达到提高安全性,抵御攻击的目的。

基于奇异值分解和DAG_SVMS的操作系统类型识别

为提高未知指纹对应操作系统的识别速率和准确率,文中提出了基于奇异值分解和使用有向无环图分类的操作系统类型识别新方法。首先对操作系统原始指纹生成的矩阵进行奇异值分解提取奇异值特征;然后使用有向无环图生成多类分类器对未知指纹的奇异值特征进行分类;最后在Nmap指纹库上验证了该方法。结果表明,该方法有效地降低了向量维数、对未知指纹具有较高的识别率。

基于MQTT-SM4掩码辅助加密算法的配电物联网安全通信

随着“坚强智能电网”“泛在电力物联网”等战略的部署和发展建设,大量的电力采集设备、机器人、监控摄像头应用在配网作业场景中。针对配网终端数量多和配网作业环境复杂多样化的特点,如何设计合适的通信架构对于保证配网数据的安全稳定传输尤为重要。首先,对当前流行的物联网平台通信协议MQTT、CoAP和HTTP,本文从多个方面进行对比分析,并设计了一种新颖的配电物联网通信架构;针对安全性要求,我们进一步基于国密SM4提出了MQTT-SM4掩码辅助加密算法对配电物联网信息进行加密传输,通过会话密钥协商获取所需的掩码密钥和消息密钥,并协同计算出轮密钥用于加密。通过对MQTT-SM4掩码辅助加密算法进行加密测试和安全分析,结果表明,本文设计方案能够有效提高配电物联网通信安全性和稳定性。

网络资产探测关键技术研究

网络资产探测是指探测具有网络连接的硬件和软件,可以为企业、学校等网络资产全生命周期管理打下坚实的基础。结合资产标识、漏洞管理能够有效追溯每个资产的状态并及时弥补漏洞,避免造成经济损失。从网络资产探测相关技术角度出发,将相关技术分类为扫描识别技术、性能优化技术、隐蔽扫描技术和机器学习技术,先阐述当前技术面临的挑战,然后分析并总结各类技术的原理及其优缺点,最后对未来研究方向进行展望。