本發(fā)明屬于計算機網(wǎng)絡安全領域，具體涉及一種基于可編程交換機的操作系統(tǒng)指紋識別方法。

背景技術：

1、隨著互聯(lián)網(wǎng)的飛速發(fā)展和智能設備的廣泛普及，網(wǎng)絡流量爆發(fā)式增長，數(shù)據(jù)傳輸量激增。在這種情況下，盡可能地提高對網(wǎng)絡數(shù)據(jù)包的處理能力成為了一個熱門的研究問題。與此同時，出于網(wǎng)絡安全的考慮，網(wǎng)絡管理員清楚自己所管理的網(wǎng)絡的所有設備的操作系統(tǒng)信息是一件必要之事。這可以幫助網(wǎng)絡管理員及時了解網(wǎng)絡中可能的安全威脅和可能的解決方法。因此通過某種方式來獲得遠程主機正運行的操作系統(tǒng)信息十分重要。操作系統(tǒng)指紋識別技術正是通過特征對遠程主機上運行的操作系統(tǒng)類型和版本進行識別的技術。

2、截止目前，操作系統(tǒng)指紋識別技術可以被分為兩類：主動探測和被動識別。主動探測通過發(fā)送精心構造的數(shù)據(jù)包，然后收到有特別回應的數(shù)據(jù)包來判斷發(fā)送回應數(shù)據(jù)包的主機上運行的操作系統(tǒng)類別和版本。被動識別通過分析網(wǎng)絡流量來推測該網(wǎng)絡中各個主機上運行的操作系統(tǒng)類別和版本。相較于主動識別，被動識別不會給網(wǎng)絡帶來額外的負擔。因此往往使用被動識別的方法對整個網(wǎng)絡的主機進行操作系統(tǒng)識別。p0f是一個著名的被動操作系統(tǒng)指紋識別工具，p0f.fp為p0f使用的操作系統(tǒng)指紋識別數(shù)據(jù)庫。

3、隨著網(wǎng)絡可編程性的發(fā)展，可編程數(shù)據(jù)平面被提出，可編程數(shù)據(jù)平面具有獨立的數(shù)據(jù)包處理能力，可以自定義數(shù)據(jù)包的處理邏輯，無需與任何網(wǎng)絡協(xié)議綁定，且具有較高的靈活性，可以隨時重構數(shù)據(jù)包處理模式。可編程交換機是可編程數(shù)據(jù)平面的一個下屬概念。有別于傳統(tǒng)軟件定義網(wǎng)絡(software-defined?networking，sdn)的交換機，可編程交換機可以通過編程來自定義解析和處理數(shù)據(jù)包的流程?？删幊探粨Q機的核心功能可以抽象成匹配——動作管道，通過不斷地將數(shù)據(jù)與下發(fā)在可編程交換機中的表進行匹配，如果匹配成功，那么可編程交換機會做出相應的動作操作。

4、在傳統(tǒng)sdn中，往往使用被動識別的方法進行操作系統(tǒng)指紋識別。傳統(tǒng)sdn通過部署在控制平面的軟件來進行操作系統(tǒng)指紋識別，比起處理普通數(shù)據(jù)包，多出了數(shù)據(jù)平面與控制平面通信時間和軟件分析時間?；诖?，本發(fā)明提出了一種基于可編程交換機的操作系統(tǒng)識別方法，依據(jù)p0f.fp文件的tcp請求模塊和編程協(xié)議無關的報文處理器(programming?protocol-independent?packet?processors，p4)編程語言，在可編程交換機上實現(xiàn)了對tcp?syn包的操作系統(tǒng)識別功能，能夠直接在數(shù)據(jù)平面進行操作系統(tǒng)指紋識別，使得能以線速率進行操作系統(tǒng)指紋識別并且處理數(shù)據(jù)包，提高了進行被動識別時處理數(shù)據(jù)包的速度，提高了進行操作系統(tǒng)指紋識別時的網(wǎng)絡處理能力。

技術實現(xiàn)思路

1、本發(fā)明提出了一種基于可編程交換機的操作系統(tǒng)指紋識別方法。該方法在沒有顯著降低操作系統(tǒng)指紋識別準確度的同時，提高了操作系統(tǒng)指紋識別的速度。

2、本發(fā)明所采用的技術方案為：該操作系統(tǒng)指紋識別方法包括七個步驟：控制平面解析操作系統(tǒng)指紋識別庫、控制平面下發(fā)表項、數(shù)據(jù)平面數(shù)據(jù)包解析、操作系統(tǒng)指紋識別、更新校驗和、重組數(shù)據(jù)包以及輸出數(shù)據(jù)包。

3、1.控制平面解析操作系統(tǒng)指紋識別庫?？刂破矫孀詣訉0f.fp文件中tcp請求模塊的每一個簽名都轉換為數(shù)據(jù)平面定義的p0f_match表項，p0f_match為在數(shù)據(jù)平面設置的操作系統(tǒng)指紋識別表，tcp請求模塊中的數(shù)據(jù)可分為標簽和簽名兩部分，標簽對應一類操作系統(tǒng)，簽名為網(wǎng)絡數(shù)據(jù)包中的特征，對比tcp請求模塊的簽名部分，p0f_match的簽名部分多出了一個“窗口大小與最大報文段長度比值”鍵。

4、2.控制平面下發(fā)表項。將生成的p0f_match表項下發(fā)到數(shù)據(jù)平面上。

5、3.數(shù)據(jù)平面數(shù)據(jù)包解析。數(shù)據(jù)平面對數(shù)據(jù)包進行解析，收集操作系統(tǒng)指紋識別表中的鍵信息，鍵信息也可稱為p0f元數(shù)據(jù)。

6、4.操作系統(tǒng)指紋識別。繼續(xù)收集鍵信息，將收集的鍵信息與交換機內部存儲的操作系統(tǒng)指紋識別表的表項進行匹配，獲取對該數(shù)據(jù)包的處理動作，處理動作包括4種，具體包括：

7、動作1：僅輸出識別結果；

8、動作2：輸出識別結果之后丟棄數(shù)據(jù)包；

9、動作3：輸出識別結果之后將數(shù)據(jù)包重定向到特定目的地；

10、動作4：輸出識別結果之后丟棄來自該ip包括該數(shù)據(jù)包的所有數(shù)據(jù)包。

11、5.更新校驗和。由于處理動作至多會修改目的mac地址和目的ip地址，所以得到處理動作之后，可編程交換機還需要修改幀校驗序列和網(wǎng)絡層協(xié)議的校驗和。

12、6.重組數(shù)據(jù)包。將數(shù)據(jù)包中原本的目的mac地址、目的ip地址和校驗和改為在4中確定的目的mac地址、目的ip地址和在5中最終決定的校驗和。

13、7.輸出數(shù)據(jù)包。根據(jù)決定的對該數(shù)據(jù)包的處理動作決定是否轉發(fā)該數(shù)據(jù)包，從哪個端口輸出該數(shù)據(jù)包，具體情況如下：

14、(1)如果處理動作為動作1，則將數(shù)據(jù)包從對應端口輸出；

15、(2)如果處理動作為動作2，則將數(shù)據(jù)包運往丟棄端口進行丟棄；

16、(3)如果處理動作為動作3，則將數(shù)據(jù)包重定向到對應端口；

17、(4)如果處理動作為動作4，則將數(shù)據(jù)包輸出至丟棄端口進行丟棄，且以后如果有來自于該ip的數(shù)據(jù)包，也會全部丟棄。

18、有益效果

19、本發(fā)明提出的一種基于可編程交換機的操作系統(tǒng)指紋識別方法，利用p0f.fp的tcp請求模塊對tcp?syn數(shù)據(jù)包進行操作系統(tǒng)指紋識別，控制平面解析p0f.fp的tcp請求模塊并將其下發(fā)到數(shù)據(jù)平面。在數(shù)據(jù)平面上，對于每個數(shù)據(jù)包，數(shù)據(jù)平面先解析數(shù)據(jù)包收集操作系統(tǒng)指紋識別鍵信息，將收集的鍵信息與交換機內部存儲的操作系統(tǒng)指紋識別表的表項進行匹配，獲取對該數(shù)據(jù)包的處理動作，之后更新數(shù)據(jù)包并重組數(shù)據(jù)包，最后根據(jù)決定的對該數(shù)據(jù)包的處理動作，將數(shù)據(jù)包輸出。該方法可以在沒有明顯降低準確度的同時，提高操作系統(tǒng)指紋識別速度。

技術特征：

1.一種基于可編程交換機的操作系統(tǒng)指紋識別方法，其特征在于，所述的一種基于可編程交換機的操作系統(tǒng)指紋識別方法包括以下7個步驟依次執(zhí)行：

2.根據(jù)權利要求1中所述的基于可編程交換機的操作系統(tǒng)指紋識別方法，其特征在于，步驟1的標簽轉化設置定義了兩個類，p0frulesig類和p0fruleconverter類，其中p0frulesig類，集合所有用于轉化的函數(shù)和轉化后的屬性，將每一個原始的簽名轉化為一個p0frulesig類“簽名”，p0fruleconverter類，定義了四個成員變量：標簽列表、簽名列表、簽名到標簽映射列表、應用到操作系統(tǒng)映射，將整個p0f.fp文件tcp請求模塊轉化為適合控制平面轉發(fā)的形式。

3.根據(jù)權利要求1中所述的基于可編程交換機的操作系統(tǒng)指紋識別方法，其特征在于，對于步驟3中的數(shù)據(jù)包解析具體可分為4個步驟：

4.根據(jù)權利要求1中所述的基于可編程交換機的操作系統(tǒng)指紋識別方法，其特征在于，對于步驟4的繼續(xù)收集操作系統(tǒng)指紋識別表鍵信息，包含以下2個步驟：

技術總結
本發(fā)明公開了一種基于可編程交換機的操作系統(tǒng)指紋識別方法，屬于計算機網(wǎng)絡安全領域。其中所述方法包括：首先，將操作系統(tǒng)指紋識別工具p0f所用的p0f.fp文件作為操作系統(tǒng)指紋識別庫，控制平面對其TCP請求模塊進行解析，進而控制平面下發(fā)操作系統(tǒng)指紋識別表項到可編程交換機上，可編程交換機存儲下發(fā)的表項。然后，當網(wǎng)絡中的數(shù)據(jù)包進入可編程交換機時，可編程交換機解析數(shù)據(jù)包，利用控制平面下發(fā)的操作系統(tǒng)指紋識別表進行操作系統(tǒng)指紋識別。然后更新數(shù)據(jù)包的校驗和并重組數(shù)據(jù)包，最后輸出數(shù)據(jù)包。完成對TCP?SYN數(shù)據(jù)包的操作系統(tǒng)指紋識別。本發(fā)明通過在數(shù)據(jù)平面直接實現(xiàn)操作系統(tǒng)指紋識別功能，在網(wǎng)絡中以線速率實時進行較為準確的操作系統(tǒng)指紋識別。

技術研發(fā)人員：湯澹,陳可可,王嘉慧,秦拯,陶然,劉璐
受保護的技術使用者：湖南大學
技術研發(fā)日：
技術公布日：2024/12/26