基于TCP/IP协议栈指纹辨识的远程操作系统探测

远程操作系统探测是网络信息系统安全中与攻防密切相关的技术，它与安全漏洞息息相关。该基于TCP／IP协议栈指纹辨识的远程操作系统探测，着重阐述和分析了两种较为新颖的实现技术：基于RTO采样的指纹辨识和基于ICMP响应的指纹辨识。     

TCP报文在操作系统探测系统中的应用

操作系统探测是网络攻防研究的一项重要内容,它既可以为安全检测服务,也可以为网络攻击提供基础。本文首先深入分析现有国内外操作系统探测工具存在的问题,然后在研究TCP报文结构的基础上提出了基于TCP报文分析的操作系统探测方法,并利用该方法实现了基于TCP报文的OS探测系统。系统能够直接对目标主机进行探测,分析操作系统类型 、开放端口服务等。     

基于TCP/IP的操作系统的探测及防御技术研究

基于TCP/IP协议栈指纹的操作系统探测技术在网络安全中日益突显出重要作用。黑客利用它实施攻击而网络管理人员则可以发现网络漏洞,维护网络的安全。该文主要讨论了基于显式拥塞通告(ECN)检测、ICMP响应检测和基于UDP探测包检测的3种较新的,利用TCP/IP协议栈指纹进行操作系统识别的技术,这3种技术利用了TCP/IP协议族在实现上的差异完成操作系统的识别。最后编写对应的snort规则对这3种远程识别技术进行了检测,结果显示利用入侵检测系统检测这种探测包效果良好。     

操作系统探测防御方法研究

操作系统探测是获取主机操作系统信息的主要技术,黑客常常利用获得的信息对计算机系统实施攻击。为有效地阻止黑客对主机操作系统的探测,探索恰当的操作系统探测防御方法具有重要的现实意义。对目前主要的探测技术进行了分析和归纳,针对每种具体的探测技术给出了相应的防御方法。实际应用表明,所给出的防御方法对阻止黑客对主机操作系统的探测有一定的积极意义。     

操作系统远程探测技术综述

分析了各种操作系统远程探测技术,归纳了常见探测工具所采用的技术,讨论了与操作系统探测相关的问题。     

基于分组重传时延的操作系统探测新技术

指出现有操作系统远程探测技术中的不足之处,结合TCP协议原理,介绍了一种新型的基于报文重传时延的探测技术,同时在分析具体实例的基础上,给出了系统探测的特定算法.     

基于深度学习的网络空间操作系统识别技术研究

在网络空间精准、快速、全面地进行网络资产探测是实现数字资产安全有效管理的前提,而识别操作系统是网络资产探测的基础,通过对流量中的操作系统信息的识别可以对已知漏洞进行预防范。本文主要提供了一种基于卷积神经网络的操作系统指纹快速识别方法,设计和构建了以ReLU函数作为激活函数的二层卷积模型且增加了BN层、池化层、全连接层,通过使用流量探测分析工具p0f将其指纹库操作系统指纹数据作为训练集,对收集到的流量数据作为测试集进行指纹识别测试,并将SVM方法和决策树方法与本文构建模型进行对照组实验。实验结果表明,本文操作系统识别模型具有较高的收敛速度和准确率,且平均判别准确率相比于SVM算法和C4.5决策树算法提高了13和6个百分点,证明本文研究的模型在操作系统识别方面具有良好的性能。     

浅析远程主机操作系统探测工具设计

介绍了远程主机操作系统探测工具的设计原则和思路,对常见的远程主机操作系统探测技术作了较为详尽的论述,比较了这些技术的特点和不足,重点分析了探测工具RING设计和实现原理,最后简单地讨论了一下如何防止操作系统探测.     

浅析远程主机操作系统探测工具设计

介绍了远程主机操作系统探测工具的设计原则和思路，对常见的远程主机操作系统探测技术作了较为详尽的论述，比较了这些技术的特点和不足，重点分析了探测工具RING设计和实现原理，最后简单地讨论了一下如何防止操作系统探测。     

基于包重传延时的主机操作系统探测技术的设计与实现

主机操作系统探测对于网络安全有重要的意义，它通过分析不同操作系统TCP／IP协议堆栈对数据包的不同响应来判断其性质．分析了现有的主机操作系统探测工具所面临的问题，并提出一种基于包重传延时的主机操作系统探测的思想及其实现。     

延迟容忍网络中接触探测过程建模研究

延迟容忍网络中的接触探测过程极其耗费能量。为了研究能量消耗对延迟容忍网络中接触探测过程的影响,首先对基于真实的移动轨迹的接触探测过程进行了建模,分别得到了恒定探测间隔下单点接触探测概率和双点接触探测概率的表达式。基于得到的理论模型,分别从单点接触探测过程和双点接触探测过程出发,分析了不同场景下能量消耗对接触探测过程的影响。通过真实移动数据集驱动的仿真实验验证提出的理论模型的正确性。     

大规模IPv6网络拓扑发现探测目标点的构建和选取

探测目标点的数量及分布位置对网络拓扑发现的覆盖率和探测效率有直接的影响,因此成为网络拓扑发现研究领域一直关注的焦点.本文针对目前大规模网络拓扑发现目标点相关研究现状,提出了两种目标点集合构建方法,在对目标点冗余分析的基础上提出了相应的探测目标点选取方法.最后通过对CERNET-2骨干网络的实际测试,说明了本文提出的这些方法可以推广至国家级规模的IPv6网络拓扑发现应用中.     

网络中多节点故障定位的探测路径选择算法

针对现有故障定位技术不能满足多节点故障定位的要求,尤其当网络中存在大量故障节点时,提出了一种基于主动探测的探测路径选择算法。该算法主要包括用于故障检测的贪婪路径选择算法和用于故障定位的禁忌链路搜索算法。在故障检测阶段,使用贪婪路径选择算法迭代地选择具有最小权重的探测路径覆盖网络中的节点。在故障定位阶段,使用禁忌链路搜索算法多次生成候选路径集以选择最合适的探测路径来解决多节点故障定位问题。在随机网络拓扑和真实网络拓扑上的仿真结果表明,与现有的节点故障定位算法相比,探测路径选择算法具有更高的成功定位率和更低的探测成本。     

On optimal monitor placement for localizing node failures via network tomography

We investigate the problem of placing monitors to localize node failures in a communication network from binary states (normal/failed) of end-to-end paths, under the assumption that a path is in normal state if and only if it contains no failed nodes. To uniquely localize failed nodes, the measurement paths must show different symptoms (path states) under different failure events. Our goal is to deploy the minimum set of monitors to satisfy this condition for a given probing mechanism. We consider three families of probing mechanisms, according to whether measurement paths are (i) arbitrarily controllable, (ii) controllable but cycle-free, or (iii) uncontrollable (i.e., determined by the default routing protocol). We first establish theoretical conditions that characterize network-wide failure identifiability through a per-node identifiability measure that can be efficiently evaluated for the above three probing mechanisms. Leveraging these results, we develop a generic monitor placement algorithm, applicable under any probing mechanism, that incrementally selects monitors to optimize the per-node measure. The proposed algorithm is shown to be optimal for probing mechanism (i), and provides upper and lower bounds on the minimum number of monitors required by the other probing mechanisms. In the special case of single-node failures, we develop an improved monitor placement algorithm that is optimal for probing mechanism (ii) and has linear time complexity. Using these algorithms, we study the impact of the probing mechanism on the number of monitors required for uniquely localizing node failures. Our results based on real network topologies show that although more complicated to implement, probing mechanisms that allow monitors to control measurement paths substantially reduce the required number of monitors.     

一种端到端的有效带宽测量方法

有效带宽测量在服务器选择、覆盖网络路由选择和网络流量工程等方面有广泛的应用。通过分析发送频率与单向延时之间的关系,提出了一种基于多项式拟合的有效带宽测量方法PFAB（Polynomial Fitting for Available Bandwidth）。PFAB通过发送探测速率逐渐下降的探测包,并检测OWD的变化,推断探测速率和有效带宽之间的关系。当探测速率大于有效带宽时,OWD持续增长;在探测速率等于有效带宽时,OWD达到最大值,之后开始下降。NS-2仿真实验结果表明该方法能有效减少探测包数量,缩短探测时间,并且对网络造成的干扰小;在探测包瞬时频率变化较大时,可以快速到极值点,减少测量误差。     

拓扑图格独立分量分析和谱聚类支持的纹理探测

提出的纹理探测方法首先采用拓扑图格独立分量分析(TICA)分别对每个观测纹理进行学习,获得分离基．分离基的作用相当于滤波器,并通过最大响应准则得到选择．从不同纹理选择的滤波器构成一个滤波器集;为了计算探测点的纹理特征,测试图像被分解为滤波器通道。最后,探测点被视为谱图的顶点,根据谱聚类(SC)对谱图的切分结果,递归地分离出探测点．实验结果表明,这一方法行之有效。     

基于右手法则的网络割点判定算法

分析了网络割点的分布式判定算法中的主动探测法和被动探测法,提出了基于右手法则的网络边界探测算法以及基于该算法的网络割点判定算法,并给出了算法的正确性证明。分析表明,上述算法涉及的节点较少,能有效降低通信开销,有利于提高网络的稳定性。     

Available bandwidth estimation for the network paths with multiple tight links and bursty traffic

Available bandwidth (ABW) estimation is useful for various applications such as network management, traffic engineering, and rate-based multimedia streaming. Most of the ABW estimation methods are based on the fluid cross-traffic model. Inevitably, their estimation accuracy is limited in the network environments with bursty cross-traffic. In this paper, we apply packet trains (a series of probing packets) and a modified Ping to probe the ABW of a network path. Our proposed probing method can identify several tight links along a path and can infer their individual ABWs. The ABW estimation algorithm developed in this study, GNAPP, is also based on the fluid traffic model, but it can effectively filter out probing noise incurred in networks that carry bursty traffic. The algorithm employs not only the gaps of any two consecutive probing packets but also those of nonadjacent probing packets for ABW estimation. Thus, the number of samples for ABW estimation increases significantly without resorting to sending more probing packets and the estimation efficiency and accuracy are improved. In addition, two-stage filtering and moving averages are used in GNAPP for reducing estimation errors. Numerical results demonstrate that the estimation scheme based on GNAPP can achieve good accuracy even when the traffic is bursty and there are multiple tight links on the path being observed. Thus, it outperforms other well-known ABW estimation tools.     

单点非协作方式网络拓扑探测技术研究

单点非协作方式的网络拓扑探测是获取未知网络信息的一种简单且有效的方式,但在实际工作中仍存在着目标地址选择不完整和探测效率不高等问题,这些问题将影响到未知网络拓扑信息地获得.分析了原有探测方法的不足和缺陷,提出了一个选择目标地址的方法并且改进了Doubletree算法,提高了单点非协作方式网络拓扑探测的准确性,完整性和时效性,为网络拓扑性质研究所需的数据源提供了一种可行的获取方法.