設備指紋相關概念
1、操作系統指紋識別技術按照信息的獲取方式可分為主動識別技術和被動識別技術:
主動識別是指主動地有目標地向目標發送數據包;被動識別是指通過網絡監聽等手段,從截獲的數據中提取目標操作系統類型的相關信息。
2、利用SMB協議對操作系統進行識別:
平台識別:
在SMB會話建立的過程中,通過磋商后向目標主機發送SESSION_SETUP_ANDX Request(SMB命令為ox73)數據報,在返回的響應數據報文中的“Native OS”字段包含目標系統平台信息;XP:Native OS為windows5.1,2000為windows5.0,2003,2008,vista,windows7Native OS除了有平台信息之外還包含SP版本信息。
SP版本識別:
在windows2000的SP識別中:通過向遠程主機發送NT_CREATE_ANDX Request(SMB命令為0xA2)數據包請求打開文件(文件名為\LLSRPC),得到NT_CREATE_ANDX Response數據包,如果響應數據包中SMB頭部的Status字段為0,則表明目標系統的SP版本為"SP0-SP4",否則為SP4。
在winxp的SP版本識別中,通過發送NT_CREATE_ANDX Request(SMB命令為0xA2)數據包請求打開文件(文件名為\SRVSVC),得到NT_CREATE_ANDX Response數據包。如果響應數據包中SMB的頭部status字段為0,則標明目標系統的SP版本是SP)
/SP1,否則為SP2/SP3,對於SP2/SP3的情況,進一步通過一系列的READ_ANDX、WRITE_ANDX、NT_CREATE_ANDX(文件名為\BROWSER)等報文的交互分析可以進行區分。
語言類型識別組件:根據不同平台版本信息構造帶有不同命令參數的SMB數據包與目標交互,完成識別。
如果在某個響應報文中,英文操作系統的報文中會含有Windows NT Remote Printers的Unicode字符串,而中文操作系統的響應報文中會含有“\xdc\x8f\x0b\x7a\x53\x62...”等字符串。
3、網絡協議識別
網絡協議識別方法根據其研究對象的不同可划分為:基於傳輸層端口、基於數據分組載荷和基於網絡流行為3種類別。
基於數據分組載荷的分析方法主要通過基於主機端的協議解析和基於網絡端的協議指紋2種方式構建所分析協議的分類特征。
其中協議指紋的分析方法又可划分為人工分析和自動分析2種,人工分析方法依照經驗或先驗知識獲取協議指紋信息,這種分析過程通常耗時、費力。自動化的分析方法應用模式識別、機器學習等理論對網絡數據流中的協議指紋信息進行自動提取,從而最大可能地減少人工成本開銷。
在復雜的網絡環境中如何以最小的樣本標記代價構建准確的協議識別模型,是目前網絡協議識別領域的研究熱點。
4、不同層面的流量分析
Bit-Level的流量分析:
主要關注網絡流量的數量特征,如傳輸速率,吞吐率;
Packet-Level的流量分析:
主要關注包的到達過程、延遲、丟包率等;
Flow-Level的流量分析:
Flow是一個相對寬松的定義,其划分的主要依據是地址和應用協議。例如有文獻給出的定義是一個(源IP、源端口、目的IP、目的端口、應用層協議)組成的五元組。