[发明专利]终端指纹技术识别“一卡通”网络终端

说明书

本发明公开一种终端指纹技术识别“一卡通”网络终端。网络终端采用旁路部署组网，不影响既有网络环境及数据流，单点瓶颈不存在，不会增加网络延时；主动扫描技术，弥补了传统防火墙被动式安全设备，无法动态调整策略的缺陷，在危机发生前，主动出击提前调整策略；仿冒检测，解决了传统网络设备仅关注数据包，不关注终端网络行为的缺陷可以主动探测到设备端口、主动探测主机设备是否在线，探测应用程序版本，更加精确的分析识别前端设备类型。解决传统防火墙只识别设备IP、MAC地址等基础容易被仿冒的设备信息。

技术领域

本发明涉及网络终端通信领域，具体涉及一种终端指纹技术识别“一卡通”网络终端。

背景技术

随着“一卡通”技术日益成熟，基本实现了“一卡通”在线管理。在建设的过程中，虽然专网内采用逻辑隔离的方式(VLAN)等技术进行安全域的划分，但物理上仍然是同一张网络，并由于门禁读卡器等前端设备与服务器、办公PC在同一张网络，往往会添加ACL打通两个逻辑隔离的网络，更由于前端设备分布广，不间断运行，无人值守的特性，这些给网络端点接入的管理带来挑战和风险。前端门禁设备、发卡设备、读卡设备通过网线连接网络交换机，与整个管理系统连接，一旦出现黑客非法拔下前端设备网线，连接将计算机接入网络，进行网络攻击、数据窃取等行为，将产生敏感信息泄漏、网络瘫痪、身份卡复制等严重后果。防止端点非法接入设备、私接设备、仿冒设备接入等，建立发现、监控、阻截一体化的立体防御体系，是“一卡通”专网终端准入的阻击点。因此，为了保证系统的安全性，必须能够识别前端设备，并有效管控传输的数据的合法性。

目前的“一卡通”网络主要的安全防护设备为传统防火墙、IDS、IPS等被动式安全设备，主要通过判断数据包得IP、端口和协议来识别威胁，无法准确出前端设备类型。现有的网络安全防护设备主要为防火墙，防火墙是通过分辨数据包的IP、端口和协议进行防护。现有的网络安全防护设备主要为防火墙，防火墙是通过分辨数据包的IP、端口和协议进行防护。通过计算机很容易仿冒数据包的IP、端口和协议，欺骗防火墙，实现前端设备仿冒。

为了解决以上问题，本发明提出了一种终端指纹技术识别“一卡通”网络终端，通过减少通信带宽占用量，进一步提高了数据传输与接收效率。

发明内容

本发明的目的是提供一种终端指纹技术识别“一卡通”网络终端，为了最大化的提升系统防御的响应及处置速度，“一卡通”终端准入设备使用主动与被动两种探测技术，在前端部署终端安全准入设备，通过识别前端设备传输网络数据特征码、注册协议等信息，实现只有授信设备接入网络，对非授信设备进行实时阻断，并通过平台联动实时告警；其次，识别通过认证的前端设备的网络访问行为，只允许其传输预先确定的应用和数据。这样即使有攻击者通过伪造身份冒名接入网络进行攻击，也会被实时阻断,即可实现前端设备接入“可信”，设备行为“可控”，在前端设备与后端业务系统之间建立起可信、可控的高效访问通道。

本发明提供了如下方案：

一种终端指纹技术识别“一卡通”网络终端，网络终端采用旁路部署组网，不影响既有网络环境及数据流，单点瓶颈不存在，不会增加网络延时；主动扫描技术，弥补了传统防火墙被动式安全设备，无法动态调整策略的缺陷，在危机发生前，主动出击提前调整策略；仿冒检测，解决了传统网络设备仅关注数据包，不关注终端网络行为的缺陷。

可选的，网络终端采用数据流量基线技术，通过分析特定设备的流量，进行流量基线模型建立，通过机器学习判断是否为指定类型的设备，从而确定设备指纹，判定设备是否合法合规；终端指纹技术，通过对终端系统、端口信息的学习、分析，建立终端基线，通过机器学习的方式判定终端指纹，对终端进行指纹归类，对非法终端进行阻断处理；阻断技术，主要采用网络层拦截所有流量、传输层拦截TCP连接。

可选的，终端指纹技术包括主机发现，端口扫描，版本探测，OS探测技术，解析终端网络外在特征，当外在特征发生变化时，判定为不合法。