基于指纹鉴别非法设备仿冒哑终端的检测技术的制作方法

本发明属于信息安全领域，一种基于指纹鉴别非法设备仿冒哑终端的检测技术。

背景技术：

随着计算机技术快速发展，信息化水平逐渐提升，以及物联网的出现，网络中设备元素不再是简单化、单一化，而朝着多样化和自动化方向发展。传统意义上的“终端设备”已经发生了变化，它不仅是服务器、办公计算机和笔记本电脑，还包括打印机、指纹仪、扫描器、ip电话以及ip摄像头或被剪裁的云桌面瘦终端设备等“哑设备”。这些形形色色的终端设备给网络安全工作带来了巨大挑战。

这些设备有一定的共同特点，一是采用专有操作系统，交互性差，无法安装安全代理软件进行主机层面防护；二是其在网络中权限比较高，防火墙针对于它的访问权限一般是全放行。针对于这两个特点，如果发生仿冒攻击，则很容易突破网络现有的安全防护体系，存在严重的网络攻击、数据泄露等安全隐患。

在网络中哑终端设备被仿冒利用，已经成为网络安全的一个巨大威胁，通过仿冒哑终端设备的ip、mac、接入位置等手段，很容易入侵企业内网，进行病毒传播、数据窃取等，对网络安全产生极大的威胁，但是，目前没有很好的技术对哑终端是否被仿冒利用进行检查。

为此，本发明提供了一种基于指纹鉴别非法设备仿冒哑终端的检测技术。

技术实现要素：

本发明的目的是提供一种基于指纹鉴别非法设备仿冒哑终端的检测技术。对企业网络中，通过采用tcp指纹特征检测技术，实现一种指纹鉴别非法设备仿冒哑终端的检测技术，来监控设备入网后是否被仿冒mac的行为。

本发明创造的原理是：利用tcp指纹特征检测技术，实现对指纹的提取和检测，tcp特征库主要是依赖于不同操作系统对网络协议栈实现的不同，可以通过对tcp数据流的监控，或者向目标终端发送特定tcp探测序列，从发送或者响应tcp数据报文头部特征可以分析得出终端的操作系统信息。而操作系统类型和版本对于终端身份的识别和确认是一个十分重要的元数据。

本发明采用tcp指纹特征检测技术，对入网设备发送tcp探测序列，依据设备对tcp探测序列响应信息，获取设备开放的tcp端口，操作系统等特征，并将此特征信息与设备的ip、mac等信息进行关联，设备每次入网时，系统都会发送tcp探测序列，获取设备的响应信息，如果设备对tcp探测序列的响应与系统记录不相符，即可判断设备仿冒。

本发明提供的一种基于指纹鉴别非法设备仿冒哑终端的检测技术，主要步骤如下：

s1：当设备接入网络后，系统采用tcp指纹特征扫描技术对设备指纹进行提取；

s2：系统对扫描到的设备指纹进行共性分析；

s3：制定针对哑终端设备的指纹检查策略；

s4：当非法设备仿冒哑终端ip、mac接入网络中，系统检测到非法设备与哑终端设备tcp端口不相符，产生告警。

下面结合附图并通过具体实施方式进一步说明本发明的技术方案。

图1为基于指纹鉴别非法设备仿冒哑终端的检测技术部署示意图，主要步骤如下，如图1所示，显示了本发明的应用模型，在网络中部署设备指纹检测系统，进行哑终端设备指纹检测。

图2为基于指纹鉴别非法设备仿冒哑终端的检测技术工作原理示意图，如图2所示，该方法流程图，主要包括以下步骤：

s1：当设备接入网络后，系统采用tcp特征扫描技术对设备指纹进行提取；

s2：系统对扫描到的设备指纹进行共性分析；

s3：制定针对哑终端设备的指纹检查策略；

s4：当非法设备仿冒哑终端ip、mac接入网络中，系统检测到非法设备与哑终端设备tcp端口不相符，产生告警。

附图说明：

图1为基于指纹鉴别非法设备仿冒哑终端的检测技术部署示意图；

图2为基于指纹鉴别非法设备仿冒哑终端的检测技术工作原理示意图。

技术特征：

1.一种基于指纹鉴别非法设备仿冒哑终端的检测技术，分为以下步骤：

s1：当设备接入网络后，系统采用tcp扫描技术对设备指纹和特征进行提取；

s2：系统对扫描到的设备指纹进行共性分析；

s3：制定针对哑终端设备的指纹检查策略；

s4：当非法设备仿冒哑终端ip、mac接入网络中，系统检测到非法设备与哑终端设备tcp指纹不相符，产生告警。

2.如权利要求1所述的基于指纹鉴别非法设备仿冒哑终端的检测技术的使用方法，其特征在于，在所属步骤s1之前，需在内网部署设备指纹检测系统。

3.一种基于指纹鉴别非法设备仿冒哑终端的检测系统，包括设备指纹发现模块、设备指纹分析模块、设备指纹计算模块，其特征在于：

设备指纹发现模块，运行在设备指纹检测系统中，对所有接入内网设备的指纹进行提取；

设备指纹分析模块，运行在设备指纹检测系统中，对设备指纹发现模块提取到的指纹进行共性分析，识别终端；

设备指纹计算模块，运行在设备指纹检测系统中，对设备指纹发现模块提取到的指纹实施对比分析，如果发现与上次指纹结果不相符，通知系统发生告警。

4.如权利要求3所述的一种基于指纹鉴别非法设备仿冒哑终端的检测系统，其特征在于，所述的设备指纹计算模块一旦发现指纹不相符，就立刻产生告警信息。

技术总结
本发明是提供一种基于设备指纹鉴别非法设备仿冒哑终端的检测技术。对企业网络中，通过采用TCP指纹特征检测技术，实现一种基于指纹鉴别非法设备仿冒哑终端的检测技术，来监控设备入网后是否被仿冒IP/MAC/PORT的行为。

技术研发人员：刘正海;李京飞;李强;刘鹏龙;及晨鸣;刘超
受保护的技术使用者：北京融汇画方科技有限公司
技术研发日：2020.03.24
技术公布日：2020.11.10