基于决策树和被动监听的操作系统识别方法研究

摘要

随着网络的快速普及，无论是对于国家、企业还是对于个人，网络安全都得到了空前的关注，操作系统识别作为网络安全评估的一部分也得到了越来越多人的研究。当前已有的操作系统识别方法多是主动式的，主要通过发送探测数据包实现，其缺点是极易被入侵检测系统察觉。此外，现有的大多数软件无法对指纹库中没有的指纹进行操作系统识别。因此，一种被动监听的且能够猜测未知指纹的操作系统识别方法具有一定的现实意义，本文就是以此为出发点展开研究。
　　本文的主要内容如下：
　　1．介绍了几种操作系统识别方法的原理，并对它们的特点进行了对比分析。并将TCP/IP协议栈指纹和应用层标识两种方法结合，用于被动监听式的操作系统识别。这两种方法都不会向目标主机发送探测包，所以不会被入侵检测系统察觉。
　　2．为了能够对指纹库中没有的指纹进行系统识别，本文提出了在指纹特征库基础上利用分类算法构造分类模型的方法，通过对几种常用的分类算法进行试验分析，最终选用了C45决策树算法作为本文使用的分类算法。另外还利用了特征选择算法对指纹特征库中的指纹项进行了精简，去除了冗余项，避免了冗余项对现有项产生的干扰。
　　3．利用Visual Studio2008和 WINPCAP开发包，对基于决策树和被动监听式的操作系统识别方法进行了软件实现。本软件主要分为四个模块分别为：预处理模块、基于TCP/IP指纹系统识别模块、基于UA标识系统识别模块和整合结果模块，最后在实验室搭建了测试环境对软件进行了测试且对测试结果进行了分析，测试结果表明，软件系统达到预期目标，具有一定的实用性，并发现识别正确的两种系统指纹不存在于现有的指纹库中，所以可以说明当前方法可以一定程度上识别不存在于当前指纹库中的未知指纹。

目录

封面

声明

中文摘要

英文摘要

插图索引

表格索引

符号对照表

缩略语对照表

目录

第一章 绪论

1.1选题缘由和意义

1.2国内外研究现状

1.3论文结构

第二章 操作系统识别方法

2.1基于TCP/IP协议栈指纹

2.2基于应用层协议标识

2.3基于包重传

2.4其他方法

2.5方法选择

2.6本章小结

第三章 利用分类算法构造分类模型

3.1实验平台介绍

3.2实验数据准备

3.3分类算法

3.4特征选择算法

3.5算法性能比较

3.6本章小结

第四章 软件总体实现

4.1软件总体设计

4.2堆文件

4.3核心模块的设计与实现

4.4软件测试与分析

4.5本章小结

第五章 总结与展望

5.1本文工作总结

5.2工作展望

参考文献

致谢

作者简介