[发明专利]终端指纹技术识别“一卡通”网络终端

摘要

本发明公开一种终端指纹技术识别“一卡通”网络终端。网络终端采用旁路部署组网，不影响既有网络环境及数据流，单点瓶颈不存在，不会增加网络延时；主动扫描技术，弥补了传统防火墙被动式安全设备，无法动态调整策略的缺陷，在危机发生前，主动出击提前调整策略；仿冒检测，解决了传统网络设备仅关注数据包，不关注终端网络行为的缺陷可以主动探测到设备端口、主动探测主机设备是否在线，探测应用程序版本，更加精确的分析识别前端设备类型。解决传统防火墙只识别设备IP、MAC地址等基础容易被仿冒的设备信息。 1

主权项

1.一种终端指纹技术识别“一卡通”网络终端，其特征在于，所述网络终端采用旁路部署组网，不影响既有网络环境及数据流，单点瓶颈不存在，不会增加网络延时；主动扫描技术，弥补了传统防火墙被动式安全设备，无法动态调整策略的缺陷，在危机发生前，主动出击提前调整策略；仿冒检测，解决了传统网络设备仅关注数据包，不关注终端网络行为的缺陷。

2.根据权利要求1所述的一种终端指纹技术识别“一卡通”网络终端，其特征在于，所述网络终端采用数据流量基线技术，通过分析特定设备的流量，进行流量基线模型建立，通过机器学习判断是否为指定类型的设备，从而确定设备指纹，判定设备是否合法合规；终端指纹技术，通过对终端系统、端口信息的学习、分析，建立终端基线，通过机器学习的方式判定终端指纹，对终端进行指纹归类，对非法终端进行阻断处理；阻断技术，主要采用网络层拦截所有流量、传输层拦截TCP连接。

3.根据权利要求2所述的终端指纹技术识别“一卡通”网络终端实现装置，其特征在于，所述终端指纹技术包括主机发现，端口扫描，版本探测，OS探测技术，解析终端网络外在特征，当外在特征发生变化时，判定为不合法。

4.根据权利要求3所述的终端指纹技术识别“一卡通”网络终端实现装置，其特征在于，所述主机发现是指发送四种不同类型的数据包来探测目标主机是否在线，a1)、ICMP echo request，b1)、a TCP SYN packet to port 443，c1)、a TCPACKpacket to port 80，d1)、an ICMP timestamp request。

5.根据权利要求3所述的终端指纹技术识别“一卡通”网络终端实现装置，其特征在于，所述端口扫描是指：a2)、TCP SYN探测到端口关闭；b2)、TCP SYN探测到端口开放。

6.根据权利要求3所述的终端指纹技术识别“一卡通”网络终端实现装置，其特征在于，所述版本探测是指：a3)首先检查open与open|filtered状态的端口是否在排除端口列表内；如果在排除列表，将该端口剔除；b3)、如果是TCP端口，尝试建立TCP连接；尝试等待6秒或更多；在等待时间内，会接收到目标机发送的“WelcomeBanner”信息；终端将接收到的Banner与services‑probes中NULL probe中的签名进行对比；查找对应应用程序的名字与版本信息；c3)、如果通过“Welcome Banner”无法确定应用程序版本，那么终端再尝试发送其他的探测包，即从services‑probes中挑选合适的probe，将probe得到回复包与数据库中的签名进行对比；如果反复探测都无法得出具体应用，那么打印出应用返回报文，让用户自行进一步判定；d3)、如果是UDP端口，那么直接使用services‑probes中探测包进行探测匹配；根据结果对比分析出UDP应用服务类型；e3)、如果探测到应用程序是SSL，那么调用openSSL进一步的侦查运行在SSL之上的具体的应用类型；f3)、如果探测到应用程序是SunRPC，那么调用brute‑force RPC grinder进一步探测具体服务。