基于決策樹(shù)和被動(dòng)監(jiān)聽(tīng)的操作系統(tǒng)識(shí)別方法研究.pdf

1、隨著網(wǎng)絡(luò)的快速普及，無(wú)論是對(duì)于國(guó)家、企業(yè)還是對(duì)于個(gè)人，網(wǎng)絡(luò)安全都得到了空前的關(guān)注，操作系統(tǒng)識(shí)別作為網(wǎng)絡(luò)安全評(píng)估的一部分也得到了越來(lái)越多人的研究。當(dāng)前已有的操作系統(tǒng)識(shí)別方法多是主動(dòng)式的，主要通過(guò)發(fā)送探測(cè)數(shù)據(jù)包實(shí)現(xiàn)，其缺點(diǎn)是極易被入侵檢測(cè)系統(tǒng)察覺(jué)。此外，現(xiàn)有的大多數(shù)軟件無(wú)法對(duì)指紋庫(kù)中沒(méi)有的指紋進(jìn)行操作系統(tǒng)識(shí)別。因此，一種被動(dòng)監(jiān)聽(tīng)的且能夠猜測(cè)未知指紋的操作系統(tǒng)識(shí)別方法具有一定的現(xiàn)實(shí)意義，本文就是以此為出發(fā)點(diǎn)展開(kāi)研究。
　　本文的主要內(nèi)容

2、如下：
　　1．介紹了幾種操作系統(tǒng)識(shí)別方法的原理，并對(duì)它們的特點(diǎn)進(jìn)行了對(duì)比分析。并將TCP/IP協(xié)議棧指紋和應(yīng)用層標(biāo)識(shí)兩種方法結(jié)合，用于被動(dòng)監(jiān)聽(tīng)式的操作系統(tǒng)識(shí)別。這兩種方法都不會(huì)向目標(biāo)主機(jī)發(fā)送探測(cè)包，所以不會(huì)被入侵檢測(cè)系統(tǒng)察覺(jué)。
　　2．為了能夠?qū)χ讣y庫(kù)中沒(méi)有的指紋進(jìn)行系統(tǒng)識(shí)別，本文提出了在指紋特征庫(kù)基礎(chǔ)上利用分類(lèi)算法構(gòu)造分類(lèi)模型的方法，通過(guò)對(duì)幾種常用的分類(lèi)算法進(jìn)行試驗(yàn)分析，最終選用了C45決策樹(shù)算法作為本文使用的分類(lèi)算法。

3、另外還利用了特征選擇算法對(duì)指紋特征庫(kù)中的指紋項(xiàng)進(jìn)行了精簡(jiǎn)，去除了冗余項(xiàng)，避免了冗余項(xiàng)對(duì)現(xiàn)有項(xiàng)產(chǎn)生的干擾。
　　3．利用Visual Studio2008和 WINPCAP開(kāi)發(fā)包，對(duì)基于決策樹(shù)和被動(dòng)監(jiān)聽(tīng)式的操作系統(tǒng)識(shí)別方法進(jìn)行了軟件實(shí)現(xiàn)。本軟件主要分為四個(gè)模塊分別為：預(yù)處理模塊、基于TCP/IP指紋系統(tǒng)識(shí)別模塊、基于UA標(biāo)識(shí)系統(tǒng)識(shí)別模塊和整合結(jié)果模塊，最后在實(shí)驗(yàn)室搭建了測(cè)試環(huán)境對(duì)軟件進(jìn)行了測(cè)試且對(duì)測(cè)試結(jié)果進(jìn)行了分析，測(cè)試結(jié)果表明，軟