终端指纹技术识别“一卡通”网络终端制造技术

本发明专利技术公开一种终端指纹技术识别“一卡通”网络终端。网络终端采用旁路部署组网，不影响既有网络环境及数据流，单点瓶颈不存在，不会增加网络延时；主动扫描技术，弥补了传统防火墙被动式安全设备，无法动态调整策略的缺陷，在危机发生前，主动出击提前调整策略；仿冒检测，解决了传统网络设备仅关注数据包，不关注终端网络行为的缺陷可以主动探测到设备端口、主动探测主机设备是否在线，探测应用程序版本，更加精确的分析识别前端设备类型。解决传统防火墙只识别设备IP、MAC地址等基础容易被仿冒的设备信息。 1

Terminal fingerprint technology to identify \one card\ network terminal

The invention discloses a terminal fingerprint technology to identify the \one card\ network terminal. The network terminal uses the bypass deployment network, does not affect both the network environment and the data flow, the single point bottleneck does not exist, will not increase the network delay; the active scanning technology makes up the traditional firewall passive security equipment, can not dynamically adjust the strategy defect, before the crisis occurs, the active attack advance strategy adjustment strategy; imitate. The test solves the problem that the traditional network devices only pay attention to the data packets, and the defects that do not pay attention to the terminal network behavior can detect the device port actively, detect whether the host equipment is online, detect the application version, and more accurately analyze and identify the type of the front-end device. It solves the problem that the traditional firewall only recognizes the equipment information such as IP, MAC address and so on. One

【技术实现步骤摘要】
终端指纹技术识别“一卡通”网络终端
本专利技术涉及网络终端通信领域，具体涉及一种终端指纹技术识别“一卡通”网络终端。
技术介绍
随着“一卡通”技术日益成熟，基本实现了“一卡通”在线管理。在建设的过程中，虽然专网内采用逻辑隔离的方式(VLAN)等技术进行安全域的划分，但物理上仍然是同一张网络，并由于门禁读卡器等前端设备与服务器、办公PC在同一张网络，往往会添加ACL打通两个逻辑隔离的网络，更由于前端设备分布广，不间断运行，无人值守的特性，这些给网络端点接入的管理带来挑战和风险。前端门禁设备、发卡设备、读卡设备通过网线连接网络交换机，与整个管理系统连接，一旦出现黑客非法拔下前端设备网线，连接将计算机接入网络，进行网络攻击、数据窃取等行为，将产生敏感信息泄漏、网络瘫痪、身份卡复制等严重后果。防止端点非法接入设备、私接设备、仿冒设备接入等，建立发现、监控、阻截一体化的立体防御体系，是“一卡通”专网终端准入的阻击点。因此，为了保证系统的安全性，必须能够识别前端设备，并有效管控传输的数据的合法性。目前的“一卡通”网络主要的安全防护设备为传统防火墙、IDS、IPS等被动式安全设备，主要通过判断数据包得IP、端口和协议来识别威胁，无法准确出前端设备类型。现有的网络安全防护设备主要为防火墙，防火墙是通过分辨数据包的IP、端口和协议进行防护。现有的网络安全防护设备主要为防火墙，防火墙是通过分辨数据包的IP、端口和协议进行防护。通过计算机很容易仿冒数据包的IP、端口和协议，欺骗防火墙，实现前端设备仿冒。为了解决以上问题，本专利技术提出了一种终端指纹技术识别“一卡通”网络终端，通过减少通信带宽占用量，进一步提高了数据传输与接收效率。
技术实现思路
本专利技术的目的是提供一种终端指纹技术识别“一卡通”网络终端，为了最大化的提升系统防御的响应及处置速度，“一卡通”终端准入设备使用主动与被动两种探测技术，在前端部署终端安全准入设备，通过识别前端设备传输网络数据特征码、注册协议等信息，实现只有授信设备接入网络，对非授信设备进行实时阻断，并通过平台联动实时告警；其次，识别通过认证的前端设备的网络访问行为，只允许其传输预先确定的应用和数据。这样即使有攻击者通过伪造身份冒名接入网络进行攻击，也会被实时阻断,即可实现前端设备接入“可信”，设备行为“可控”，在前端设备与后端业务系统之间建立起可信、可控的高效访问通道。本专利技术提供了如下方案：一种终端指纹技术识别“一卡通”网络终端，网络终端采用旁路部署组网，不影响既有网络环境及数据流，单点瓶颈不存在，不会增加网络延时；主动扫描技术，弥补了传统防火墙被动式安全设备，无法动态调整策略的缺陷，在危机发生前，主动出击提前调整策略；仿冒检测，解决了传统网络设备仅关注数据包，不关注终端网络行为的缺陷。可选的，网络终端采用数据流量基线技术，通过分析特定设备的流量，进行流量基线模型建立，通过机器学习判断是否为指定类型的设备，从而确定设备指纹，判定设备是否合法合规；终端指纹技术，通过对终端系统、端口信息的学习、分析，建立终端基线，通过机器学习的方式判定终端指纹，对终端进行指纹归类，对非法终端进行阻断处理；阻断技术，主要采用网络层拦截所有流量、传输层拦截TCP连接。可选的，终端指纹技术包括主机发现，端口扫描，版本探测，OS探测技术，解析终端网络外在特征，当外在特征发生变化时，判定为不合法。可选的，主机发现是指发送四种不同类型的数据包来探测目标主机是否在线，a1)、ICMPechorequest，b1)、aTCPSYNpackettoport443，c1)、aTCPACKpackettoport80，d1)、anICMPtimestamprequest。可选的，端口扫描是指：a2)、TCPSYN探测到端口关闭；b2)、TCPSYN探测到端口开放。可选的，版本探测是指：a3)首先检查open与open|filtered状态的端口是否在排除端口列表内；如果在排除列表，将该端口剔除；b3)、如果是TCP端口，尝试建立TCP连接；尝试等待6秒或更多；在等待时间内，会接收到目标机发送的“WelcomeBanner”信息；终端将接收到的Banner与services-probes中NULLprobe中的签名进行对比；查找对应应用程序的名字与版本信息；c3)、如果通过“WelcomeBanner”无法确定应用程序版本，那么终端再尝试发送其他的探测包，即从services-probes中挑选合适的probe，将probe得到回复包与数据库中的签名进行对比；如果反复探测都无法得出具体应用，那么打印出应用返回报文，让用户自行进一步判定；d3)、如果是UDP端口，那么直接使用services-probes中探测包进行探测匹配；根据结果对比分析出UDP应用服务类型；e3)、如果探测到应用程序是SSL，那么调用openSSL进一步的侦查运行在SSL之上的具体的应用类型；f3)、如果探测到应用程序是SunRPC，那么调用brute-forceRPCgrinder进一步探测具体服务。根据本专利技术提供的具体实施例，本专利技术公开了以下技术效果：本专利技术的一种终端指纹技术识别“一卡通”网络终端，旁路部署，不影响既有网络环境及数据流，单点瓶颈不存在，不会增加网络延时。主动扫描，弥补了传统防火墙、IDS、IPS等被动式安全设备，无法动态调整策略的缺陷，可以再在危机发生前，主动出击提前调整策略。仿冒检测，解决了传统网络设备仅关注数据包，不关注终端网络行为的缺陷。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。图1为本专利技术一种终端指纹技术识别“一卡通”网络终端网络部署图；图2为本专利技术一种终端指纹技术识别“一卡通”网络终端指纹技术流程图。具体实施方式下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。本专利技术的目的是提供一种终端指纹技术识别“一卡通”网络终端实现装置及方法，通过减少通信带宽占用量，进一步提高了数据传输与接收效率。为使本专利技术的上述目的、特征和优点能够更加明显易懂，下面结合附图和具体实施方式对本专利技术作进一步详细的说明。一种终端指纹技术识别“一卡通”网络终端，网络终端采用旁路部署组网，不影响既有网络环境及数据流，单点瓶颈不存在，不会增加网络延时；主动扫描技术，弥补了传统防火墙被动式安全设备，无法动态调整策略的缺陷，在危机发生前，主动出击提前调整策略；仿冒检测，解决了传统网络设备仅关注数据包，不关注终端网络行为的缺陷。网络终端采用数据流量基线技术，通过分析特定设备的流量，进行流量基线模型建立，通过机器学习判断是否为指定类型的设备，从而确定设备指纹，判定设备是否合法合规；终端指纹技术，通过对终端系统、端口信息的学习、分析，建立终端基线，通过机器学习的方式判定终端指本文档来自技高网...

【技术保护点】
1.一种终端指纹技术识别“一卡通”网络终端，其特征在于，所述网络终端采用旁路部

【技术特征摘要】
1.一种终端指纹技术识别“一卡通”网络终端，其特征在于，所述网络终端采用旁路部署组网，不影响既有网络环境及数据流，单点瓶颈不存在，不会增加网络延时；主动扫描技术，弥补了传统防火墙被动式安全设备，无法动态调整策略的缺陷，在危机发生前，主动出击提前调整策略；仿冒检测，解决了传统网络设备仅关注数据包，不关注终端网络行为的缺陷。2.根据权利要求1所述的一种终端指纹技术识别“一卡通”网络终端，其特征在于，所述网络终端采用数据流量基线技术，通过分析特定设备的流量，进行流量基线模型建立，通过机器学习判断是否为指定类型的设备，从而确定设备指纹，判定设备是否合法合规；终端指纹技术，通过对终端系统、端口信息的学习、分析，建立终端基线，通过机器学习的方式判定终端指纹，对终端进行指纹归类，对非法终端进行阻断处理；阻断技术，主要采用网络层拦截所有流量、传输层拦截TCP连接。3.根据权利要求2所述的终端指纹技术识别“一卡通”网络终端实现装置，其特征在于，所述终端指纹技术包括主机发现，端口扫描，版本探测，OS探测技术，解析终端网络外在特征，当外在特征发生变化时，判定为不合法。4.根据权利要求3所述的终端指纹技术识别“一卡通”网络终端实现装置，其特征在于，所述主机发现是指发送四种不同类型的数据包来探测目标主机是否在线，a1)、ICMPechorequest，b1)、aTCPSYNpackettoport443，c1)、aTCPACKpackettoport80，d1)、anICMPtimestamp...

【专利技术属性】
技术研发人员：杨子仪，王靛，刘晓冬，刘鹤，任强，张建平，
申请(专利权)人：北京计算机技术及应用研究所，
类型：发明
国别省市：北京,11