專利名稱:一種計算機網(wǎng)絡遠程服務識別系統(tǒng)及其識別方法
技術(shù)領(lǐng)域:
本發(fā)明主要涉及對計算機網(wǎng)絡遠程主機的服務識別方法����,屬于網(wǎng)絡技術(shù)領(lǐng)域���。
技術(shù)背景計算互聯(lián)網(wǎng)上的運行在計算機網(wǎng)絡上的服務類型逐漸增多,同時服務中攜帶的大量 漏洞��,準確掌握目標主機所運行網(wǎng)絡協(xié)議��、服務及版本信息�����,為網(wǎng)絡管理和網(wǎng)絡安全設 置提供可靠的信息來源�����,是對網(wǎng)絡服務特征識別提出的基本要求�。由于網(wǎng)絡的大規(guī)模性,為提高效率��,需要通過遠程的方式對網(wǎng)絡中的主機服務進行 識別。具體方式為對遠程的主機進行端口會話�����,從會話的報文中獲得網(wǎng)絡服務(協(xié)議)^ f曰息����。傳統(tǒng)的識別方法(如Nmap、 S叩erScan)利用固定端口或個別關(guān)鍵字識別網(wǎng)絡協(xié)議��; 使用Banner信息識別服務進程及版本信息�����。這些方法雖然可以有效地用于網(wǎng)絡管理和安 全防范����,但存在一些不足�����。首先由于固定端口的限制�����,使得許多使用高端端口的協(xié)議無 法識別,對某一大類協(xié)議而言�,個別關(guān)鍵字往往不能區(qū)分出其中的具體協(xié)議(例如P2P 中的若干種協(xié)議),此外Banner信息的人為可修改���,增加了服務識別的不可靠性����。發(fā)明內(nèi)容本發(fā)明給出了一種計算機網(wǎng)絡服務遠程識別的方法�,能夠克服以上的問題,準確地 對服務進行遠程識別���,提高識別可靠性����。為此����,本發(fā)明采用以下技術(shù)方案 一種計算機網(wǎng)絡服務遠程識別方法,其特征在于 步驟如下(1) 首先通過探測器獲取遠程服務的數(shù)據(jù)報文��;(2) 得到數(shù)據(jù)報文之后��,由識別器運行服務協(xié)議識別算法��,從關(guān)鍵字序列中提取關(guān)鍵 字進行匹配計算,給出識別出的協(xié)議��;(3) 探測器再根據(jù)識別出的協(xié)議�����,從指紋庫中取出探測指紋用的請求報文�����,發(fā)送到遠 程服務��,從遠程服務收集到數(shù)據(jù)后�,再交給識別器;(4) 識別器運行服務進程識別算法�,根據(jù)指紋庫中的記錄��,計算識別的結(jié)果����;(5) 最后由探測器獲得Banner信息,交給識別器���,給出最終識別結(jié)果���。 本發(fā)明的原理在整個識別過程中�,首先由探測器從運行有服務的遠程主機獲取數(shù)據(jù)報4文�����,識別器結(jié)合端口信息和關(guān)鍵字序列�,識別出服務所運行的協(xié)議;在已知協(xié)^t的基礎上����, 利用服務進程的指紋,結(jié)合Banner信息���,對網(wǎng)絡服務所用到的進程(包含版本信息)進行 綜合處理�,給出識別結(jié)果���。本發(fā)明與現(xiàn)有技術(shù)相比的優(yōu)點在于-(1)本發(fā)明在傳統(tǒng)的端口識別方式之上����,使用協(xié)議關(guān)鍵字按照流程進行順序匹配 處理�����,以匹配度的結(jié)果計算協(xié)議的可能性;引入進程指紋的方法���,對已經(jīng)編譯發(fā)行的軟 件版本建立"指紋庫"���,使用探測器向制定的主機發(fā)送請求報文,獲取其響應指紋�����,匹 配得最終的結(jié)果���,增強了識別結(jié)果的可靠性�����。(2) 本發(fā)明以服務進程指紋為主要依據(jù)�����,結(jié)合Banner信息,對服務進程行識別����?����??服了以往單純依靠Banner信息識別���,識別結(jié)果受人為影響不準確的缺點,提高了識別的可 靠性����。(3) 本發(fā)明已經(jīng)實現(xiàn)網(wǎng)絡服務特征識別系統(tǒng)及其工作流程的測試,能提供用于網(wǎng)絡安 全管理的基本數(shù)據(jù)�����,包括通信主機使用的協(xié)議名���、識別精度�����、目標主機運行服務名稱����、運行 服務版本號�、服務識別準確度等數(shù)據(jù)�。避免了人為因素造成的網(wǎng)絡服務識別的不準確��,增強 了系統(tǒng)的可靠性���。
圖1為本發(fā)明方法的識別機制原理圖�����;圖2為本發(fā)明方法的識別流程圖�;圖3為本發(fā)明的SMTP協(xié)議分析圖�;圖4為本發(fā)明的SMTP協(xié)議關(guān)鍵字序列表圖;圖5為本發(fā)明的協(xié)議識別流程圖圖6為本發(fā)明的HTTP指紋條目圖����;圖7為本發(fā)明的服務進程識別流程圖。
具體實施方式
以下是實現(xiàn)本發(fā)明的最佳實施例的詳細說明����。這個說明沒有局限意義,但它用來說明本 發(fā)明的一般的原則�。附加的權(quán)利要求很好地定義了本發(fā)明的保護范圍。本發(fā)明所涉及的識別方法�����,可以劃分為4個步驟(1)方法的整體實現(xiàn)機制(2)分析 提取關(guān)鍵字序列���;(3)構(gòu)造服務協(xié)議識別算法����;(4)建立進程指紋庫��,包括與指紋相對應 的請求報文����;(5)構(gòu)造服務進程識別算法。以下分別對這四方面內(nèi)容進行說明�����; 1��、方法的實現(xiàn)機制如圖1所示����,該機制包含探測器、識別器���、進程指紋庫和關(guān)鍵字序列表等四部分內(nèi) 容����。其中探測器用于獲取遠程主機的數(shù)據(jù),進程指紋庫和關(guān)鍵字序列表則記錄服務進程 和協(xié)議的特征信息���。識別器則是實現(xiàn)機制中的核心部分����,負責服務的協(xié)議識別算法和服 務進程識別算法的執(zhí)行��。整個方法的實現(xiàn)機制如圖2所示首先通過探測器收集目標主機與其他主機的通信 數(shù)據(jù)����,而后將數(shù)據(jù)交付識別器,由識別器調(diào)用服務協(xié)議識別算法�,從關(guān)鍵字序列中提取 關(guān)鍵字進行匹配計算,給出識別出的協(xié)議���;而后探測器再根據(jù)識別出的協(xié)議�����,從指紋庫 中取出探測指紋用的請求報文�,發(fā)送到遠程服務,收集到數(shù)據(jù)后�,交給識別器,由識別 器運行服務進程識別算法�,根據(jù)指紋庫中的記錄���,計算識別的結(jié)果����;最后由探測器獲得Banner信息��,交給識別器�����,給出最終識別結(jié)果����。2、 提取關(guān)鍵字序列關(guān)鍵字定義為計算機網(wǎng)絡通信協(xié)議中固定出現(xiàn)且有別于其它協(xié)議的字段����,在協(xié)議執(zhí)行 過程中關(guān)鍵字出現(xiàn)的順序組成了該協(xié)議的關(guān)鍵字序列;每一個協(xié)議的關(guān)鍵字序列結(jié)構(gòu)包括編號��、關(guān)鍵字所屬協(xié)議、關(guān)鍵字內(nèi)容�����、關(guān)鍵字序號和關(guān)鍵字的重要程度�����,其中關(guān)鍵字序號表示 該關(guān)鍵字出現(xiàn)在哪一個關(guān)鍵字之后�,用于當協(xié)議執(zhí)行出現(xiàn)分支時,記錄下一個可能出現(xiàn)的關(guān)鍵字��;關(guān)鍵字的重要程度則表示關(guān)鍵字所代表的該協(xié)議的權(quán)重信息�����。根據(jù)RFC文檔和官方文檔�����,以及實驗的驗證總結(jié)的����,對應協(xié)議完成正常的交互必然 出現(xiàn)在報文中的命令字,將這些關(guān)鍵字按照在協(xié)議中出現(xiàn)的順序���,填入關(guān)鍵字序列表中����。以SMTP協(xié)議為例,圖3所示SMTP協(xié)議工作流程��。S表示客戶端與服務器建立連接�����,SMTP 服務器會返回以220開頭的報文�,之后客戶端(A)發(fā)送以命令字EHLO或HELLO開頭的 報文�����,這兩種命令字的區(qū)別是發(fā)送EHLO之后�,客戶端還需發(fā)送用戶名密碼,進行登錄 (C-M-〉D)��。而發(fā)送HELLO之后就可以直接發(fā)送郵件(B-〉D)���,就可以使用MAIL命令發(fā)送 寄件人地址(E) ����, RCPT命令發(fā)送收件人地址,其后發(fā)送DATA命令開始傳輸郵件的數(shù)據(jù)(F)�, 發(fā)送完畢后發(fā)送QUIT退出(G-〉H)。這一標準通信過程中�,提取220、 EHLO�、 HELLO、 MAIL�、 RCPT、 DATA���、 QUIT�����,作為其 特征狀態(tài)���。填寫關(guān)鍵字序列表如圖4所示,其中字段"工D"表示記錄號��;字段"協(xié)議名" 表示蓋關(guān)鍵字代表的協(xié)議名�����,字段"關(guān)鍵字"為各個關(guān)鍵字出現(xiàn)的順序����,例如(2|4��, 5) 表示該關(guān)鍵字出現(xiàn)在序列的第2位或第4位之后����,排在第5位�����,字段"重要程度"則記錄 該關(guān)鍵字在協(xié)議中權(quán)重信息���,用以計算識別的準確度。3���、 服務協(xié)議識別算法圖4所示為整個算法的流程�����。在識別協(xié)議之前�,所有關(guān)鍵字序列表中的協(xié)議放入一個集合中��,識別器將從探測器獲得的若干報文進行處理�����,首先識別端口,若端口為固定 端口�,則直接輸出識別的結(jié)果。否則根據(jù)輸入的報文順序����,與關(guān)鍵字表中各個協(xié)議的關(guān) 鍵字進行匹配,若某個協(xié)議的關(guān)鍵字不能與當前報文內(nèi)容匹配���,則直接將該協(xié)議從集合 中去除�����,否則繼續(xù)匹配下一條報文�����。直到所有報文匹配結(jié)束����。按照關(guān)鍵字表中的"重要 程度"字段����,即記錄該關(guān)鍵字在協(xié)議中權(quán)重信息字段����,計算各協(xié)議的累加值����,選擇其中 具有最大值的協(xié)議輸出,作為識別出的協(xié)議�。4、 進程指紋庫運行服務的進程在接收到某些特定的報文之后�����,做出某些不同的相應�����,返回特定的 報文內(nèi)容���。這些特定的內(nèi)容即指紋。進程的指紋庫中條目格式如圖6所示�。其中字段 "ID"為記錄號,字段"進程名"和"版本"填寫各自服務進程的名稱和版本號����,字段 "探測報文"和字段"指紋"分別記錄用以獲得服務進程特征數(shù)據(jù)的請求報文和獲取 到的數(shù)據(jù)中的指紋信息���。以Http服務進程為例,在向80端口發(fā)送請求報文"GET/JUNK/1.0"之后��,Apache 1.3服務器返回帶有"0K"字符的應答報文����,Microsoft-IIS 5. 0返回"Bad Request" 的信息,Netscape-Enterprise 4.1則返回一個帶"Bad Request" Hup報文頭�����。根據(jù) 這些內(nèi)容����,將相應的內(nèi)容填入指紋庫的條目中,如圖5所示�。5、 服務進程識別算法圖7所示為服務進程的識別算法��。首先根據(jù)服務協(xié)議識別的結(jié)果����,挑選出運行該協(xié) 議的服務進程,組成集合。從條目中取出"探測報文"字段內(nèi)容�,由探測器發(fā)送;而后 探測器獲得的返回報文�,將集合中的進程"指紋"字段與返回報文進行匹配,成功的保 留在集合中����,失敗則從集合中除去。而后利用探測器獲取進程的Banner,將Banner與 集合中剩余進程的"進程名"字段相匹配����,輸出匹配成功的結(jié)果,包括進程名�����、版本號 和匹配程度等�。以上所述僅是本發(fā)明的實施方式,應當指出��,對于本技術(shù)領(lǐng)域的學者來說����,在不脫 離本發(fā)明的前提下��,還可以作若干改進和潤飾,這些改進和潤飾也應視為本發(fā)明的保護 范圍���。
權(quán)利要求
1���、一種計算機網(wǎng)絡服務遠程識別方法,其特征在于步驟如下(1)首先通過探測器獲取遠程服務的數(shù)據(jù)報文�;(2)得到數(shù)據(jù)報文之后,由識別器運行服務協(xié)議識別算法�,從關(guān)鍵字序列中提取關(guān)鍵字進行匹配計算,給出識別出的協(xié)議�;(3)探測器再根據(jù)識別出的協(xié)議,從指紋庫中取出探測指紋用的請求報文�,發(fā)送到遠程服務,從遠程服務收集到數(shù)據(jù)后���,再交給識別器�����;(4)識別器運行服務進程識別算法���,根據(jù)指紋庫中的記錄,計算識別的結(jié)果��;(5)最后由探測器獲得Banner信息,交給識別器�����,給出最終識別結(jié)果��。
2�����、 根據(jù)權(quán)利1所述的計算機網(wǎng)絡服務遠程識別方法��,其特征在于所述的關(guān)鍵字定義 為計算機網(wǎng)絡通信協(xié)議中固定出現(xiàn)且有別于其它協(xié)議的字段��,在協(xié)議執(zhí)行過程中關(guān)鍵字出 現(xiàn)的順序組成了該協(xié)議的關(guān)鍵字序列��;每一個協(xié)議的關(guān)鍵字序列結(jié)構(gòu)包括編號��、關(guān)鍵字所屬 協(xié)議�、關(guān)鍵字內(nèi)容、關(guān)鍵字序號和關(guān)鍵字的重要程度��,其中關(guān)鍵字序號表示該關(guān)鍵字出現(xiàn)在 哪一個關(guān)鍵字之后���,用于當協(xié)議執(zhí)行出現(xiàn)分支時����,記錄下一個可能出現(xiàn)的關(guān)鍵字��;關(guān)鍵字的 重要程度則表示關(guān)鍵字所代表的該協(xié)議的權(quán)重信息��。
3����、 根據(jù)權(quán)利1所述的計算機網(wǎng)絡服務遠程識別方法,其特征在于所述的服務協(xié)議識 別算法的流程如下在識別協(xié)議之前�,所有關(guān)鍵字序列表中的協(xié)議放入一個集合中,識別器 將從探測器獲得的若干報文進行處理���,首先識別端口��,若端口為固定端口�����,則直接輸出識別 的結(jié)果����,否則根據(jù)輸入的報文順序���,與關(guān)鍵字表中各協(xié)議的關(guān)鍵字進行匹配����,若某個協(xié)議的 關(guān)鍵字不能與當前報文內(nèi)容匹配,則直接將該協(xié)議從集合中去除��,否則繼續(xù)匹配下一條報文��, 直到所有報文匹配結(jié)束�����;按照關(guān)鍵字序列中的重要程度值����,即表示關(guān)鍵字所代表的該協(xié)議的 權(quán)重信息,計算各協(xié)議的累加值����,選擇其中具有最大值的協(xié)議作為輸出結(jié)果,給出識別出的 協(xié)議����。
4、 根據(jù)權(quán)利1所述的計算機網(wǎng)絡服務遠程識別方法�����,其特征在于所述的服務進程的 識別算法如下首先根據(jù)服務協(xié)議識別的結(jié)果,挑選出運行該協(xié)議的服務進程����,組成集合��, 從條目中取出"探測報文"字段內(nèi)容����,由探測器發(fā)送;而后探測器獲得返回報文�����,將集合中 的進程的"指紋"字段與返回報文進行匹配���,成功的保留在集合中���,否則從集合中除去;利 用探測器獲取進程的Banner,將Banner與集合中剩余進程的"進程名"字段相匹配�����,輸出 匹配成功的結(jié)果,包括進程名��、版本號和匹配程度�����。5�、根據(jù)權(quán)利1所述的計算機網(wǎng)絡服務遠程識別方法,其特征在于所述的進程指紋 庫結(jié)構(gòu)為字段"ID"為記錄號�;字段"進程名"和"版本"填寫各自服務進程的名稱 和版本號;字段"探測報文"和字段"指紋"分別記錄用以獲得服務進程特征數(shù)據(jù)的請 求報文和獲取到的數(shù)據(jù)中的指紋信息��。
全文摘要
一種計算機網(wǎng)絡服務遠程識別方法���,步驟為(1)首先通過探測器獲取遠程服務的數(shù)據(jù)報文����;(2)得到數(shù)據(jù)報文之后���,由識別器運行服務協(xié)議識別算法�,從關(guān)鍵字序列中提取關(guān)鍵字進行匹配計算�,給出識別出的協(xié)議;(3)探測器再根據(jù)識別出的協(xié)議,從指紋庫中取出探測指紋用的請求報文����,發(fā)送到遠程服務,從遠程服務收集到數(shù)據(jù)后���,再交給識別器���;(4)識別器運行服務進程識別算法,根據(jù)指紋庫中的記錄��,計算識別的結(jié)果��;(5)最后由探測器獲得Banner信息��,交給識別器���,給出最終識別結(jié)果。本發(fā)明避免了人為因素造成的網(wǎng)絡服務識別的不準確�����,增強了系統(tǒng)的可靠性�。
文檔編號H04L12/24GK101262481SQ20081010082
公開日2008年9月10日 申請日期2008年2月22日 優(yōu)先權(quán)日2008年2月22日
發(fā)明者威 吳, 張淑軍, 健 焦 申請人:北京航空航天大學