CN104065539A - 基于应用行为的非授权网络设备的监测方法 - Google Patents
基于应用行为的非授权网络设备的监测方法 Download PDFInfo
- Publication number
- CN104065539A CN104065539A CN201410325105.4A CN201410325105A CN104065539A CN 104065539 A CN104065539 A CN 104065539A CN 201410325105 A CN201410325105 A CN 201410325105A CN 104065539 A CN104065539 A CN 104065539A
- Authority
- CN
- China
- Prior art keywords
- network
- behavior
- application
- unauthorized
- mobile terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
本发明属于网络安全技术领域,公开了一种基于应用行为的非授权网络设备的监测方法。通过对接入组织机构内部网络并产生数据流量的移动终端和移动终端模拟器,依据设定的应用网络行为特征库和建立的已授权设备指纹库的方式进行甄别判断,通过发现对已授权移动终端及其产生的应用网络行为的忽略处理和对由非授权移动终端应用网络行为的发现所产生的预警和按需处理的方式,从而监测接入组织机构内部网络的未授权便携路由等网络扩展共享设备。本发明能有效监测内部网络中未授权网络设备的接入,尤其是对非授权便携路由等网络扩展共享设备的发现,为组织机构网络正常、安全运行提供了必要的安全保证。
Description
技术领域
本发明涉及网络安全技术领域,特别是涉及一种基于应用行为的非授权网络设备的监测方法。
背景技术
随着网络技术的突飞猛进和深度应用,各类网络设备被广泛应用于政府、企业等组织机构,在得到网络设备所带来的各种工作便利时,也面临着随技术发展而不断演进的多类网络威胁。时至今日,BYOD(自带办公设备)的兴起、性能日益强大的智能平板电脑和手机等一系列网络设备的广泛应用,特别是便携路由等网络扩展共享设备的迅速普及,此类设备可方便利用USB(通用串行总线)等接口接入已授权的联网计算机并即时创建可由其他设备联入的无线网络接入点。利用其创建的AP(无线网络接入点)可令使用者的移动终端规避昂贵的2G、3G、4G流量费用,因此已成为多数机构内部工作人员移动终端的首选网络接入设备。网络扩展共享设备因其发射功率低、区域覆盖面小、易于管理设置和利用原授权设备访问网络等特点,使用者可获得便捷、隐蔽、廉价上网解决方案。与此同时,因为组织机构内部对未授权网络扩展共享设备检测技术的不成熟所造成的监管盲点也对组织机构内部的网络安全带来了新的隐患。
纵观企业内部网络保护相关技术,多采用IDS(入侵检测设备)、防火墙、网络行为管理等安全防护手段,对未授权设备的发现技术多为MAC(媒体介入控制层)地址绑定、特征码比对或基于特定协议的发现等技术。这些手段和技术在一定程度上可以发现联入内部网络的未授权设备。但对于非授权便携路由等网络扩展共享设备的发现,因原有手段和技术的限制,存在检测效率低下,准确度不高等缺陷。所以,对于未授权网络设备的有效发现,尤其是对非授权便携路由等网络扩展共享设备的发现,一方面是组织机构正常、安全运行的必要安全保证,另一方面也是为了与其他网络安全设备或手段做到联动配合,充分发挥防御作用,成为消除网络安全隐患的坚实基础。
发明内容
本发明所要解决的技术问题是提供一种基于应用行为的非授权网络扩展共享设备的监测方法,克服现有技术所存在的对于非授权便携路由等网络扩展共享设备的监测效率低下,发现准确度不高的缺陷。
为解决上述技术问题,本发明的思路在于:非授权网络共享扩展设备将组织机构授权网络作为接入点,通过USB等接口联入已授权的联网计算机,利用授权计算机通过组织机构内部网络访问互联网的特性,将组织机构内部网络转化为可供其他移动终端联入的AP。基于此,通过对组织机构联入互联网的终端节点的流量利用既定移动终端应用行为的策略库进行比对,利用创建的指纹库进行区分来发现其中未授权移动终端的应用网络行为,进而发现非授权网络共享扩展设备。
基于上述技术构思,本发明提出了一种基于应用行为的非授权网络扩展共享设备的监测方法,包括以下步骤:
1)建立移动终端各类应用网络行为的特征库;
2)对组织机构网络建立已授权网络设备指纹库;
3)扫描组织机构网络最终出口数据;
4)与所述移动终端各类应用网络行为的特征库进行比对,判断是否存在移动终端应用网络行为;
5)若在网络最终出口数据中发现网络行为是移动终端应用网络行为,则将该网络行为的移动终端与所述已授权网络设备指纹库进行比对,判断该移动终端是否为授权设备;
6)若该移动终端为授权设备,则忽略检测信息;
7)若该移动终端为非授权设备,则发出预警或按设定方案处理。
进一步的,移动终端设备应用网络行为包括但不限于以下一项或几项:浏览网页的行为、使用即时通信工具的行为、接发邮件的行为、SNS(社会性网络服务)社交应用的行为、撰写微博、博客的行为、在线游戏的行为、下载行为、观看在线音视频行为、使用在线金融工具的行为。
进一步的,所述组织机构网络是指组织机构内部的且与因特网互联互通的局域网。
进一步的,所述授权网络设备涵盖此组织机构全部的并且按照其制定网络安全规则予以授权的已联网或待联网设备;
进一步的,建立已授权网络设备指纹库特征涵盖以下一项或者几项:授权网络设备指定的应用网络行为,设备制造商,设备MAC,设备操作系统,设备特定标识码,设备硬件ID号。
进一步的,所述组织机构网络中,除允许安装移动终端模拟器的已授权计算机设备之外,其余已授权的计算机设备禁止安装各类移动终端模拟器,安装移动终端模拟器的计算机设备需加入特定标识码然后提交给已授权设备指纹库,并将该模拟器视为授权设备。
接入移动终端是已授权网络设备,忽略检测信息应根据具体组织机构的网络安全规则进行制定,不应仅局限于字面意思理解。
接入移动终端是非授权设备,发出预警或按设定方案处理应根据具体组织机构的网络安全规则进行制定,不应仅局限于字面意思理解。
进一步的,所述网络扩展共享设备包括但不限于:便携路由,具有创建无线网络接入点的手机,具有创建无线网络接入点的平板电脑,具有创建无线网络接入点的网卡。
本发明能有效监测内部网络中未授权网络设备的接入,尤其是对非授权便携路由等网络扩展共享设备的发现,为组织机构网络正常、安全运行的提供了必要的安全保证。
附图说明
下面结合附图和具体实施方式对本发明的技术方案作进一步具体说明。
图1为本发明的具体实施方式的流程图。
具体实施方式
本发明具体实施可由多种方式实现,结合图1所示,本领域一般技术人员可根据以下步骤完成对方法的部署和实施。
1)建立移动终端设备各类应用网络行为的特征库,该特征库包括但不限于一项或多项移动终端应用网络行为:浏览网页的行为、使用即时通信工具的行为、接发邮件的行为、SNS社交应用的行为、撰写微博、博客的行为、在线游戏的行为、下载行为、观看在线音视频行为、使用在线金融工具的行为。
2)建立已授权网络设备指纹库。已授权网络设备指纹库的特征涵盖授权网络设备指定的应用网络行为,设备制造商,设备MAC,设备操作系统,设备特定标识码,设备硬件ID号。已授权网络设备指纹库的特征还可以加入原有网络安全管理系统、手段所能提供的已授权网络设备信息。
组织机构网络中,除允许安装移动终端模拟器的已授权计算机设备之外,其余已授权的计算机设备禁止安装各类移动终端模拟器,安装移动终端模拟器的计算机设备需加入特定标识码然后提交给已授权设备指纹库,并将该模拟器视为授权设备。
网络扩展共享设备包括:便携路由,具有创建无线网络接入点的手机,具有创建无线网络接入点的平板电脑,具有创建无线网络接入点的网卡。
3)对网络最终出口数据流量进行扫描监控,并与移动终端设备各类应用网络行为的特征库存在的应用网络行为进行比对;
4)如果组织机构网络出口流量中若出现移动终端的应用网络行为,则存在移动终端或模拟器联入,进入步骤5);否则返回步骤3);
5)根据已授权设备指纹库首先使用特定标识码判断联入组织机构内部网络的是否为模拟器,若是,则返回步骤3);若否,则联入的是移动终端,并判断其是否为授权设备,
6)如果联入的移动终端系授权设备,则根据指纹库进行忽略;然后返回步骤3);
7)如果联入的移动终端经指纹库比对确认为非授权的,根据其产生的应用行为即可发现非授权的网络扩展设备;然后返回步骤3)。
最后所应说明的是,以上具体实施方式仅用以说明本发明的技术方案而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明技术方案的精神和范围,其均应涵盖在本发明的权利要求范围当中。
Claims (7)
1.一种基于应用行为的非授权网络设备的监测方法,其特征在于,包括以下步骤:
1)建立移动终端各类应用网络行为的特征库;
2)对组织机构网络建立已授权网络设备指纹库;
3)扫描组织机构网络最终出口数据;
4)与所述移动终端各类应用网络行为的特征库进行比对,判断是否存在移动终端应用网络行为;
5)若在网络最终出口数据中发现网络行为是移动终端应用网络行为,则将该网络行为的移动终端与所述已授权网络设备指纹库进行比对,判断该移动终端是否为授权设备;
6)若该移动终端为授权设备,则忽略检测信息;
7)若该移动终端为非授权设备,则发出预警或按设定方案处理。
2.根据权利要求1所述的基于应用行为的非授权网络设备的监测方法,其特征在于:所述移动终端设备各类应用网络行为包括但不限于以下一项或几项:移动终端设备应用网络行为包括但不限于:浏览网页的行为、使用即时通信工具的行为、接发邮件的行为、SNS社交应用的行为、撰写微博、博客的行为、在线游戏的行为、下载行为、观看在线音视频行为、使用在线金融工具的行为。
3.根据权利要求1所述的基于应用行为的非授权网络设备的监测方法,其特征在于:所述组织机构网络为组织机构内部的且与因特网互联互通的局域网。
4.根据权利要求1所述的基于应用行为的非授权网络设备的监测方法,其特征在于:所述的授权网络设备涵盖此组织机构全部的并且按照其制定网络安全规则予以授权的已联网或待联网设备。
5.根据权利要求1所述的基于应用行为的非授权网络设备的监测方法,其特征在于:所述已授权网络设备指纹库的特征涵盖以下一项或者几项:授权网络设备指定的应用网络行为,设备制造商,设备MAC,设备操作系统,设备特定标识码,设备硬件ID号。
6.根据权利要求1所述的基于应用行为的非授权网络设备的监测方法,其特征在于:所述组织机构网络中,除允许安装移动终端模拟器的已授权计算机设备之外,其余已授权的计算机设备禁止安装各类移动终端模拟器,安装移动终端模拟器的计算机设备需加入特定标识码然后提交给已授权设备指纹库,并将该模拟器视为授权设备。
7.根据权利要求1所述的基于应用行为的非授权网络设备的监测方法,其特征在于:所述网络扩展共享设备包括但不限于:便携路由,具有创建无线网络接入点的手机,具有创建无线网络接入点的平板电脑,或具有创建无线网络接入点的网卡。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410325105.4A CN104065539A (zh) | 2014-07-09 | 2014-07-09 | 基于应用行为的非授权网络设备的监测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410325105.4A CN104065539A (zh) | 2014-07-09 | 2014-07-09 | 基于应用行为的非授权网络设备的监测方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN104065539A true CN104065539A (zh) | 2014-09-24 |
Family
ID=51553080
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410325105.4A Pending CN104065539A (zh) | 2014-07-09 | 2014-07-09 | 基于应用行为的非授权网络设备的监测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN104065539A (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105188062A (zh) * | 2015-08-28 | 2015-12-23 | 深圳市信锐网科技术有限公司 | 泄密防护方法和装置 |
CN105554740A (zh) * | 2015-12-31 | 2016-05-04 | 北京神州绿盟信息安全科技股份有限公司 | 一种识别无线热点的方法、装置及设备 |
CN107465702A (zh) * | 2017-09-30 | 2017-12-12 | 北京奇虎科技有限公司 | 基于无线网络入侵的预警方法及装置 |
CN109962826A (zh) * | 2014-11-07 | 2019-07-02 | 阿里巴巴集团控股有限公司 | 一种网络连接方法及装置 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101119206A (zh) * | 2007-09-13 | 2008-02-06 | 北京交通大学 | 基于标识的一体化网络终端统一接入控制方法 |
CN201479143U (zh) * | 2009-09-17 | 2010-05-19 | 北京鼎普科技股份有限公司 | 内网安全管理系统 |
CN102546302A (zh) * | 2012-01-18 | 2012-07-04 | 北京视博数字电视科技有限公司 | 一种克隆终端设备的检测方法及系统 |
CN103179130A (zh) * | 2013-04-06 | 2013-06-26 | 杭州盈高科技有限公司 | 一种信息系统内网安全统一管理平台及管理方法 |
-
2014
- 2014-07-09 CN CN201410325105.4A patent/CN104065539A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101119206A (zh) * | 2007-09-13 | 2008-02-06 | 北京交通大学 | 基于标识的一体化网络终端统一接入控制方法 |
CN201479143U (zh) * | 2009-09-17 | 2010-05-19 | 北京鼎普科技股份有限公司 | 内网安全管理系统 |
CN102546302A (zh) * | 2012-01-18 | 2012-07-04 | 北京视博数字电视科技有限公司 | 一种克隆终端设备的检测方法及系统 |
CN103179130A (zh) * | 2013-04-06 | 2013-06-26 | 杭州盈高科技有限公司 | 一种信息系统内网安全统一管理平台及管理方法 |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109962826A (zh) * | 2014-11-07 | 2019-07-02 | 阿里巴巴集团控股有限公司 | 一种网络连接方法及装置 |
CN105188062A (zh) * | 2015-08-28 | 2015-12-23 | 深圳市信锐网科技术有限公司 | 泄密防护方法和装置 |
CN105188062B (zh) * | 2015-08-28 | 2018-12-14 | 深圳市信锐网科技术有限公司 | 泄密防护方法和装置 |
CN105554740A (zh) * | 2015-12-31 | 2016-05-04 | 北京神州绿盟信息安全科技股份有限公司 | 一种识别无线热点的方法、装置及设备 |
CN107465702A (zh) * | 2017-09-30 | 2017-12-12 | 北京奇虎科技有限公司 | 基于无线网络入侵的预警方法及装置 |
CN107465702B (zh) * | 2017-09-30 | 2020-11-13 | 北京奇虎科技有限公司 | 基于无线网络入侵的预警方法及装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101634295B1 (ko) | IoT 보안을 위한 인증 서비스 제공 시스템 및 방법 | |
CN103051602B (zh) | 用于维护验证信息的便携式安全设备和方法 | |
Raiyn | A survey of cyber attack detection strategies | |
KR101501669B1 (ko) | 비정상 행위를 탐지하기 위한 행위 탐지 시스템 | |
Garitano et al. | A review of SCADA anomaly detection systems | |
EP2733656A1 (en) | System and method for enforcing a security policy on mobile devices using dynamically generated security profiles | |
WO2011077013A1 (en) | Intrusion detection in communication networks | |
WO2016086763A1 (zh) | 无线访问节点检测方法、无线网络检测系统和服务器 | |
US20200213826A1 (en) | Using a blockchain to determine trustworthiness of messages between vehicles over a telecommunications network | |
CN104065539A (zh) | 基于应用行为的非授权网络设备的监测方法 | |
CN103856957A (zh) | 探测无线局域网中仿冒ap的方法和装置 | |
CN105530476A (zh) | 智能安防系统配置方法及装置 | |
CN107566430B (zh) | 一种电力移动终端合规性检查与策略控制系统 | |
Beyer et al. | Pattern-of-life modeling in smart homes | |
Graveto et al. | A network intrusion detection system for building automation and control systems | |
KR101366622B1 (ko) | 비인가 접근 제어를 위한 노드 식별을 위한 플랫폼 인식장치 | |
Satam et al. | Autoinfotainment security development framework (ASDF) for smart cars | |
CN105282141A (zh) | 检测智能终端接入的无线网络的安全性的方法及智能终端 | |
Selvamani et al. | A hybrid framework of intrusion detection system for resource consumption based attacks in wireless ad-hoc networks | |
Andrysiak et al. | Predictive abuse detection for a PLC smart lighting network based on automatically created models of exponential smoothing | |
CN105554578A (zh) | 一种即插即用的设备激活方法及其系统 | |
CN105897768B (zh) | 用户与智能硬件关联方法及装置、解除关联方法及装置 | |
CN102843689A (zh) | 一种无线局域网安全系统及其方法 | |
Morgner | Security and Privacy in the Internet of Things: Technical and Economic Perspectives | |
Chen et al. | A wireless intrusion Alerts Clustering Method for mobile internet |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20140924 |
|
RJ01 | Rejection of invention patent application after publication |