基于决策树的被动操作系统识别技术研究.doc

基于决策树的被动操作系统识别技术研究 易运晖1，刘海峰2，朱振显3 （西安电子科技大学通信工程学院 西安710071）1 （西安电子科技大学通信工程学院 西安710071）2710071）3A Research of Passive OS recognition based on decision tree YI Yun-hui 1　LIU Hai-feng2　ZHU Zhen-xian3 (School of Telecommunication Engineering, XIDIAN University, Xian 710071, China)1 (School of Telecommunication Engineering, XIDIAN University, Xian 710071, China)2 (School of Telecommunication Engineering, XIDIAN University, Xian 710071, China)3 3 Abstract As the problem of network treat is getting worse, it makes great sense to study the method of operation system recognition, which is a key part of network security evaluation. Current operation system recognition based on TCP/IP stack fingerprint database can not recognize unknown fingerprints. A passive operating system identification method based on decision tree was proposed, and compared with other classification algorithms. Experiment shows that this classification algorithm owns a better effectiveness and gives the explanation about the result. Keywords　OS recognition，TCP/IP stack，Fingerprinting，Decision tree，Effectiveness 1 引言 随着网络的爆炸式增长，信息的收集和分析至关重要，识别远程操作系统的类型有非常重要的意义，一方面电脑生厂商可以有效地统计分析他们在市场所占的份额[1]，另一方面在网络信息安全系统中，识别远程操作系统类型则是其中不可或缺的一个重要组成部分，保障网络安全最大的挑战之一就是及时发现漏洞，而绝大部分安全漏洞和隐患都是与操作系统息息相关的[2]，操作系统识别技术正是网络安全评估的关键技术之一，具有很高的研究和应用价值，近年来操作系统识别技术成为了人们研究的热点。 1998年Gordon Lyon[3]发布了于TCP/IP协议栈的操作系统识别工具Nmap该工具通过向目标主机发送大量的基于不同协议的数据包，利用目标主机的回应信息去识别远程的操作系统，该工具最大的不足就是非常容易被入侵检测设备发现，同时指纹库需要手动升级。Greenwald等[4]人提出了减少发送网络探针数目的技术，有效地降低了被入侵检测设备发现的概率。Arkin等[5]人提出基于ICMP协议栈指纹特征的主动探测远程操作系统，通过主动发送UDP和ICMP请求报文到目标主机来触发ICMP消息，根据ICMP消息中网络特征值进行基于签名数据库的模糊匹配以及合理的推测通过模糊矩阵统计分析来探测操作系统，从而确定远程操作系统的类型，该方法使用ICMP取代TCP协议有效地解决了当不同的操作系统使用相同的协议栈带来的识别问题。Medeiros等[6]人提出利用TCP协议头部的初始序号来识别操作系统，利用了不同操作系统对建立连接时的初始序号生成和增长模式的不同，该方法需要观测大量的数据包（100K），不具有实用性，且错误率较高。Shamsi等[7]人提出基于统计理论的单包操作系统识别模型，在指纹库中加入了RTO(自动请求重传)选项，重传机制使数据包从最初未收到确认响应的那个错误包开始重发，为了能分辨可能收到的重复包，TCP使用唯一的ISN（初始序号）和ACK值来确定应该接收的包，不同操作系统自动请求重传的时间间隔不同，该模型充分考虑了网络的排队时延、丢包率、人为修改协议栈的因素，而且由于使用了单包技术能有效地降低扫描所需要的流量