[发明专利]基于ALG协议实现TCP协议栈信息泄露的安防设备检测方法

说明书

本发明公开了一种基于ALG协议实现TCP协议栈信息泄露的安防设备检测方法，包括以下步骤：S1、客户端将含有ALG协议栈的检测报文发送至服务器；S2、服务器响应所述检测报文，其中，所述服务器响应所述检测报文的响应包中包含所检测软件的基本信息以及安防设备的协议栈信息；S3、客户端接收所述响应包。其通过构造含有防护设备协议栈的检测报文，让防护设备返回相应的协议栈信息，从而识别透明部署的防护设备，达到真正的对网络设备识别的目的。

技术领域

本发明涉及信息技术、信息安全技术领域，尤其涉及一种基于ALG协议实现TCP协议栈信息泄露的安防设备检测方法。

背景技术

网络空间作为继陆、海、空、天之后的“第五疆域”，已成为当前世界各国争夺的战略焦点。我国已经成为网络世界大国，智慧城市、数字中国、互联网+等技术浪潮正在改造传统的生产和生活模式。网络安全和信息化是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题。网络空间设备的描述和识别成为治理网络空间的基本条件之一。

网络指纹是描述网络空间设备的身份的重要识别元素，其在网络空间终端设备识别中扮演了重要角色，同一类终端设备的网络指纹应当具有一定相似性，而不同类型的终端设备的网络指纹应当具有一定的差异性，网络指纹的优劣决定了最终的识别效果，因此，对网络指纹的选取应当严格、规范。

网络指纹包含两个层次：实体指纹(机器：包括硬件、软件和服务)和抽象指纹(人：包括使用和操作)，因此，可用来作为主机网络指纹的对象无外乎4类：硬件(时钟、MAC地址、硬盘序列号等)、软件(操作系统类型、浏览器类型及版本等)、服务(主机名称、端口、系统服务、访问控制信息等)和使用(击键特性、流量、上网行为习惯)。能够作为网络指纹的网络特征应具有以下属性：唯一性、稳定性、可区分性、可测性。将此网络指纹模型运用到网络空间终端设备上则有：

唯一性：对于某一网络空间终端设备个体而言，相同的探测得到的结果唯一；

稳定性：对于某一网络空间终端设备个体而言，探测结果与探测发生的时间、地理位置、IP地址和网络拓扑结构无关；

可区分性：对于网络空间中不同的终端设备而言，相同的探测得到的探测结果是不同的；

可测性：网络空间终端设备的网络特征值可根据标准进行度量，并且特征值可被机器或人工分辨。

对于终端设备而言，探测请求应当与正常请求近似，不宜使用畸形请求，以保证探测过程不影响终端设备的稳定运行。同时，由于对探测请求要求更加严格，因此对于获得的网络指纹应当进行更全面的分析，充分挖掘网络通信流量中能够反映终端设备信息的内容，以便在探测请求较少的情况下获得较好的识别效果。

准确识别网络空间的设备是做好网络空间治理的基本功能。当前针对网络指纹识别的主要方法：Banner识别法，也称为服务标注识别方法。服务标志(Banner)信息识别是一种简单且有效的识别方法，通过Banner信息能够轻易获得探测目标的Web服务器软件类型，甚至精确的版本信息和操作系统信息。服务器会响应客户端发出的请求，在响应包中会向用户反馈的自身软件名称及版本等标志性基本信息。对运行着网络服务的服务器进行对应连接，默认情况下将会得到远程主机返回的Banner信息。但是，基于Banner信息的服务识别方法存在着一定的缺陷，例如：

1)篡改Banner

Banner识别方法并不能做到百分之百准确，原因是服务器返回的Banner信息能够被人为的修改、伪装处理。通常的做法可以分为两种：一是修改服务器软件的源代码或相关二进制文件；二是使用商业软件或服务器插件，目的是抹除相关Banner信息，从而达到不能识别或者识别错误目的。

2)不响应无效请求Banner信息的报文