無論從網(wǎng)絡(luò)安全的攻擊或是防護(hù)視角���,信息的采集和甄別都至關(guān)重要,其中主機(jī)的系統(tǒng)類型是關(guān)鍵出發(fā)點�。在以往經(jīng)驗中,根據(jù)操作系統(tǒng)類型往往能夠大致判斷其存在的風(fēng)險點及風(fēng)險類型�,因此,識別主機(jī)操作系統(tǒng)類型對系統(tǒng)網(wǎng)絡(luò)安全防護(hù)具有極其重要的意義�。
操作系統(tǒng)識別方法
識別方法概述
目前最廣泛的操作系統(tǒng)識別方法是基于規(guī)則匹配,例如操作系統(tǒng)識別工具Nmap�����、P0f、Xprobe2等��。Nmap對操作系統(tǒng)的識別主要依靠其維護(hù)的操作系統(tǒng)指紋庫nmap-os-db���,Xprobe2等其他工具同樣基于自身構(gòu)建的指紋庫進(jìn)行操作系統(tǒng)類型的識別�����。
基于規(guī)則的匹配方法主要是通過獲取網(wǎng)絡(luò)中傳輸和接收的數(shù)據(jù)包信息來與已創(chuàng)建的規(guī)則進(jìn)行特征匹配����,具有識別速度快的優(yōu)勢���。但是�,由于網(wǎng)絡(luò)安全設(shè)備(防火墻��、IDS等)和防護(hù)策略等原因���,部分場景下收集到的數(shù)據(jù)包中沒有足夠的操作系統(tǒng)指紋信息����,操作系統(tǒng)類型識別準(zhǔn)確率較低����,甚至無法識別。指紋數(shù)據(jù)庫冗余度高����,對于某一測試的操作系統(tǒng)指紋可能出現(xiàn)兩個或者多個匹配項,從而無法確定該指紋屬于哪一類操作系統(tǒng)���;對于未出現(xiàn)在指紋數(shù)據(jù)庫中的操作系統(tǒng)類型則無法進(jìn)行匹配識別���。
基于深度學(xué)習(xí)的識別方法
為了克服現(xiàn)有“基于規(guī)則匹配方法”的弊端,提升主機(jī)操作系統(tǒng)識別的準(zhǔn)確率��,我們嘗試了一種基于深度學(xué)習(xí)的主機(jī)操作系統(tǒng)識別方法��。通過主動向操作系統(tǒng)發(fā)送探測包��,分析從目標(biāo)主機(jī)返回的數(shù)據(jù)包信息�,并提取其響應(yīng)特征,建模學(xué)習(xí)得到識別模型����,進(jìn)一步利用模型識別操作系統(tǒng)類型。
特征提取
通過主動向目標(biāo)主機(jī)發(fā)送多個“精心構(gòu)造”的數(shù)據(jù)包�����,包括TCP/IP數(shù)據(jù)包,ICMP數(shù)據(jù)包�,UDP數(shù)據(jù)包等,執(zhí)行五種不同的測試�����,目標(biāo)主機(jī)對每個數(shù)據(jù)包做出響應(yīng)�。五種測試包括:序列生成,ICMP回顯�����,TCP顯式擁塞通知���,TCP測試和UDP測試�����。每種測試會得到不同數(shù)量的響應(yīng)行數(shù)據(jù)�����,共計13個響應(yīng)行����。其中,序列生成測試通過發(fā)送TCP數(shù)據(jù)包生成4個響應(yīng)行�����;ICMP回顯測試通過發(fā)送ICMP請求報文到目標(biāo)主機(jī)����,生成1個響應(yīng)行��,TCP顯式擁塞通知測試發(fā)送一個TCPSYN數(shù)據(jù)包��,生成一個響應(yīng)行��;TCP測試會發(fā)送6個具有特定設(shè)置的TCP數(shù)據(jù)包生成6個響應(yīng)行��;UDP測試發(fā)送特殊構(gòu)造的UDP數(shù)據(jù)包到已知關(guān)閉的端口�,根據(jù)返回的響應(yīng)信息,生成一個響應(yīng)行�。分析每個響應(yīng)行的信息并提取其特征,生成該主機(jī)操作系統(tǒng)的形如[13,36]的二維指紋特征向量�。
建模
基于深度學(xué)習(xí)的操作系統(tǒng)本質(zhì)為將二維特征向量經(jīng)過非線性變換映射到操作系統(tǒng)類型空間中。其網(wǎng)絡(luò)結(jié)構(gòu)如下:
Attention層對響應(yīng)行中的特征進(jìn)行權(quán)重的分配,賦予對結(jié)果識別結(jié)果有較大影響的特征更大的權(quán)重:
實驗結(jié)果
從網(wǎng)絡(luò)上隨機(jī)收集操作系統(tǒng)數(shù)據(jù)作為測試數(shù)據(jù)�,基于該測試數(shù)據(jù),我們的模型評估指標(biāo)Acc為0.95���。同時�,我們增加了對比實驗����,在相同的測試數(shù)據(jù)上,對比卷積神經(jīng)網(wǎng)絡(luò)(CNN)����、循環(huán)神經(jīng)網(wǎng)絡(luò)(RNN)、循環(huán)卷積神經(jīng)網(wǎng)絡(luò)(RCNN)����、卷積神經(jīng)網(wǎng)絡(luò)-注意力機(jī)制(AttentionConvNet)的檢測結(jié)果,對比結(jié)果如下:
總結(jié)
網(wǎng)絡(luò)空間發(fā)展日新月異���,復(fù)雜繁多的網(wǎng)絡(luò)安全問題也層出不窮�����。日益增長的網(wǎng)絡(luò)安全需求促使著相關(guān)研究人員將機(jī)器學(xué)習(xí)�����、深度學(xué)習(xí)算法應(yīng)用于更多更廣的網(wǎng)絡(luò)安全領(lǐng)域�。近年來,基于AI的網(wǎng)絡(luò)安全研究成果不斷出現(xiàn)在各類文獻(xiàn)和報道中��,很多研究成果成功落地并取得了良好效果�����。目前����,利用人工智能(AI)技術(shù)解決網(wǎng)絡(luò)安全問題已成為必然的發(fā)展趨勢���,基于AI的網(wǎng)絡(luò)安全技術(shù)是一項創(chuàng)新且富有挑戰(zhàn)性的工作��,我們也將與更多先行者同行���,不斷創(chuàng)造突破性技術(shù),專注人工智能在網(wǎng)絡(luò)攻防安全領(lǐng)域的應(yīng)用研究�����,讓網(wǎng)絡(luò)攻防更智能。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
