点击↑蓝字
关注墨云安全
无论从网络安全的攻击或是防护视角,信息的采集和甄别都至关重要,其中主机的系统类型是关键出发点。在以往经验中,根据操作系统类型往往能够大致判断其存在的风险点及风险类型,因此,识别主机操作系统类型对系统网络安全防护具有极其重要的意义。
操作系统识别方法
识别方法概述
目前最广泛的操作系统识别方法是基于规则匹配,例如操作系统识别工具Nmap、P0f、Xprobe2等。Nmap对操作系统的识别主要依靠其维护的操作系统指纹库nmap-os-db,Xprobe2等其他工具同样基于自身构建的指纹库进行操作系统类型的识别。
基于规则的匹配方法主要是通过获取网络中传输和接收的数据包信息来与已创建的规则进行特征匹配,具有识别速度快的优势。但是,由于网络安全设备(防火墙、IDS等)和防护策略等原因,部分场景下收集到的数据包中没有足够的操作系统指纹信息,操作系统类型识别准确率较低,甚至无法识别。指纹数据库冗余度高,对于某一测试的操作系统指纹可能出现两个或者多个匹配项,从而无法确定该指纹属于哪一类操作系统;对于未出现在指纹数据库中的操作系统类型则无法进行匹配识别。
基于深度学习的识别方法
为了克服现有“基于规则匹配方法”的弊端,提升主机操作系统识别的准确率,我们尝试了一种基于深度学习的主机操作系统识别方法。通过主动向操作系统发送探测包,分析从目标主机返回的数据包信息,并提取其响应特征,建模学习得到识别模型,进一步利用模型识别操作系统类型。
:
为正向输出
为逆向输出,
表示元素相加。
为输入向量,
是通过学习得到的参数向量的转置。
为加权之后的输入向量,
为用于操作系统识别的特征向量表示。
总结
往期回顾
新征程 | 墨云科技华中区域武汉分中心正式成立
EASM,让你更快获悉资产风险
自动化测试新视角:以SaaS模式检测内网安全
↓↓点击阅读原文,了解更多墨云信息
原文始发于微信公众号(墨云安全):基于深度学习的主机操作系统识别
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论