基于被动监测的主机操作系统识别技术研究

摘要

随着网络安全问题的日趋严重，网络安全的防护得到了越来越多的重视，而主机操作系统识别技术作为网络安全防护最重要的技术之一，其研究具有极其重要的意义。当前的主机操作系统识别技术存在着一些不足。首先，传统的主动操作系统识别技术，往往需要构建数据包去探测待识别的远程主机，随着网络入侵检测系统的普及，这种探测方式很容易被检测到。其次，当前的操作系统识别方式都是基于操作系统指纹库的识别方式，对操作系统指纹库中已有的操作系统指纹进行精确匹配，给出待识别的操作系统类型。而无法对指纹库中不存在的未知操作系统指纹给出识别。并且当前基于分类的未知操作系统识别技术，主要是基于指纹库中完整的指纹项进行分类识别，而未对操作系统指纹进行精简，虽然识别的准确率得到了保障，但当指纹库中指纹样本数量较大时，存在识别效率不高的问题。因此，一种基于被动监听的、高效的、可识别未知操作系统类型的方法具有一定的现实意义。本文就是以此为出发点展开研究。
　　针对主动操作系统识别技术容易被入侵检测系统检测，导致识别准确率下降，以及无法对操作系统指纹库中不存在的未知指纹进行识别的问题。本文提出了以TCP/IP协议的被动操作系统识别方法为基础，将RIPPER算法应用到主机操作系统识别中来，构建操作系统识别的分类模型，对未知操作系统类型给出预测，并且和现有的SVM和决策树的未知操作系统识别方法进行对比，验证RIPPER算法在未知操作系统识别方面有着更好的识别准确率和效率。
　　针对使用指纹库中完整指纹项进行未知指纹识别时识别效率低的问题。本文提出了基于CHI算法的操作系统指纹精简技术，精简原指纹库中指纹项，生成一套识别准确率与完整指纹相近，识别效率提高的精简指纹，用于提高分类识别时的效率。主要是基于SVM对操作系统指纹进行预处理向量化，生成指纹的特征向量，使用CHI特征选择算法对指纹特征进行评分排序，并使用SVM找出具有近似操作系统识别能力并且特征数量尽可能少的最小特征子集。并通过实验表明，该最小特征子集和完整指纹的特征子集相比，准确率降低不多的同时，识别速率要比完整指纹的特征子集高。并对最小特征子集执行逆向量化，从而生成精简指纹，最后通过实验对精简指纹的效率进行了验证。

目录

声明

摘要

第1章绪论

1．1课题研究背景及意义

1．2国内外研究现状

1．3论文研究内容

1．4论文组织结构

第2章操作系统识别方法介绍

2．1引言

2．2操作系统识别方法介绍

2．2．1基于TCP／IP协议的操作系统识别方法

2．2．2基于HTTP协议标识的操作系统识别方法

2．3本章小结

第3章基于RIPPER算法的未知操作系统类型识别研究

3．1引言

3．2．1识别模型设计

3．2．2基于网络流量的操作系统指纹提取方法

3．2．3识别模型实现

3．3实验设计与结果分析

3．3．1实验环境

3．3．2实验数据的准备

3．3．3实验方案

3．3．4实验结果与分析

3．4本章小结

第4章基于CHI算法的操作系统指纹精简研究

4．1引言

4．2．1指纹精简模型设计

4．2．2操作系统指纹特征分析

4．2．3操作系统指纹特征向量化

4．2．4指纹精简模型实现

4．3实验设计与结果分析

4．3．1实验方案

4．3．2实验结果与分析

4．4本章小结

结论

参考文献

攻读硕士学位期间发表的论文和取得的科研成果

致谢