设备指纹相关概念
1、操作系统指纹识别技术按照信息的获取方式可分为主动识别技术和被动识别技术:
主动识别是指主动地有目标地向目标发送数据包;被动识别是指通过网络监听等手段,从截获的数据中提取目标操作系统类型的相关信息。
2、利用SMB协议对操作系统进行识别:
平台识别:
在SMB会话建立的过程中,通过磋商后向目标主机发送SESSION_SETUP_ANDX Request(SMB命令为ox73)数据报,在返回的响应数据报文中的“Native OS”字段包含目标系统平台信息;XP:Native OS为windows5.1,2000为windows5.0,2003,2008,vista,windows7Native OS除了有平台信息之外还包含SP版本信息。
SP版本识别:
在windows2000的SP识别中:通过向远程主机发送NT_CREATE_ANDX Request(SMB命令为0xA2)数据包请求打开文件(文件名为LLSRPC),得到NT_CREATE_ANDX Response数据包,如果响应数据包中SMB头部的Status字段为0,则表明目标系统的SP版本为"SP0-SP4",否则为SP4。
在winxp的SP版本识别中,通过发送NT_CREATE_ANDX Request(SMB命令为0xA2)数据包请求打开文件(文件名为SRVSVC),得到NT_CREATE_ANDX Response数据包。如果响应数据包中SMB的头部status字段为0,则标明目标系统的SP版本是SP)
/SP1,否则为SP2/SP3,对于SP2/SP3的情况,进一步通过一系列的READ_ANDX、WRITE_ANDX、NT_CREATE_ANDX(文件名为BROWSER)等报文的交互分析可以进行区分。
语言类型识别组件:根据不同平台版本信息构造带有不同命令参数的SMB数据包与目标交互,完成识别。
如果在某个响应报文中,英文操作系统的报文中会含有Windows NT Remote Printers的Unicode字符串,而中文操作系统的响应报文中会含有“xdcx8fx0bx7ax53x62...”等字符串。
3、网络协议识别
网络协议识别方法根据其研究对象的不同可划分为:基于传输层端口、基于数据分组载荷和基于网络流行为3种类别。
基于数据分组载荷的分析方法主要通过基于主机端的协议解析和基于网络端的协议指纹2种方式构建所分析协议的分类特征。
其中协议指纹的分析方法又可划分为人工分析和自动分析2种,人工分析方法依照经验或先验知识获取协议指纹信息,这种分析过程通常耗时、费力。自动化的分析方法应用模式识别、机器学习等理论对网络数据流中的协议指纹信息进行自动提取,从而最大可能地减少人工成本开销。
在复杂的网络环境中如何以最小的样本标记代价构建准确的协议识别模型,是目前网络协议识别领域的研究热点。
4、不同层面的流量分析
Bit-Level的流量分析:
主要关注网络流量的数量特征,如传输速率,吞吐率;
Packet-Level的流量分析:
主要关注包的到达过程、延迟、丢包率等;
Flow-Level的流量分析:
Flow是一个相对宽松的定义,其划分的主要依据是地址和应用协议。例如有文献给出的定义是一个(源IP、源端口、目的IP、目的端口、应用层协议)组成的五元组。