CN111917699A - 基于指纹鉴别非法设备仿冒哑终端的检测技术 - Google Patents
基于指纹鉴别非法设备仿冒哑终端的检测技术 Download PDFInfo
- Publication number
- CN111917699A CN111917699A CN202010206683.1A CN202010206683A CN111917699A CN 111917699 A CN111917699 A CN 111917699A CN 202010206683 A CN202010206683 A CN 202010206683A CN 111917699 A CN111917699 A CN 111917699A
- Authority
- CN
- China
- Prior art keywords
- fingerprint
- equipment
- fingerprints
- dumb terminal
- illegal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- General Health & Medical Sciences (AREA)
- Collating Specific Patterns (AREA)
Abstract
本发明是提供一种基于设备指纹鉴别非法设备仿冒哑终端的检测技术。对企业网络中,通过采用TCP指纹特征检测技术,实现一种基于指纹鉴别非法设备仿冒哑终端的检测技术,来监控设备入网后是否被仿冒IP/MAC/PORT的行为。
Description
技术领域
本发明属于信息安全领域,一种基于指纹鉴别非法设备仿冒哑终端的检测技术。
背景技术
随着计算机技术快速发展,信息化水平逐渐提升,以及物联网的出现,网络中设备元素不再是简单化、单一化,而朝着多样化和自动化方向发展。传统意义上的“终端设备”已经发生了变化,它不仅是服务器、办公计算机和笔记本电脑,还包括打印机、指纹仪、扫描器、IP电话以及IP摄像头或被剪裁的云桌面瘦终端设备等“哑设备”。这些形形色色的终端设备给网络安全工作带来了巨大挑战。
这些设备有一定的共同特点,一是采用专有操作系统,交互性差,无法安装安全代理软件进行主机层面防护;二是其在网络中权限比较高,防火墙针对于它的访问权限一般是全放行。针对于这两个特点,如果发生仿冒攻击,则很容易突破网络现有的安全防护体系,存在严重的网络攻击、数据泄露等安全隐患。
在网络中哑终端设备被仿冒利用,已经成为网络安全的一个巨大威胁,通过仿冒哑终端设备的IP、MAC、接入位置等手段,很容易入侵企业内网,进行病毒传播、数据窃取等,对网络安全产生极大的威胁,但是,目前没有很好的技术对哑终端是否被仿冒利用进行检查。
为此,本发明提供了一种基于指纹鉴别非法设备仿冒哑终端的检测技术。
发明内容
本发明的目的是提供一种基于指纹鉴别非法设备仿冒哑终端的检测技术。对企业网络中,通过采用TCP指纹特征检测技术,实现一种指纹鉴别非法设备仿冒哑终端的检测技术,来监控设备入网后是否被仿冒MAC的行为。
本发明创造的原理是:利用TCP指纹特征检测技术,实现对指纹的提取和检测,TCP特征库主要是依赖于不同操作系统对网络协议栈实现的不同,可以通过对TCP数据流的监控,或者向目标终端发送特定TCP探测序列,从发送或者响应TCP数据报文头部特征可以分析得出终端的操作系统信息。而操作系统类型和版本对于终端身份的识别和确认是一个十分重要的元数据。
本发明采用TCP指纹特征检测技术,对入网设备发送TCP探测序列,依据设备对TCP探测序列响应信息,获取设备开放的TCP端口,操作系统等特征,并将此特征信息与设备的IP、MAC等信息进行关联,设备每次入网时,系统都会发送TCP探测序列,获取设备的响应信息,如果设备对TCP探测序列的响应与系统记录不相符,即可判断设备仿冒。
本发明提供的一种基于指纹鉴别非法设备仿冒哑终端的检测技术,主要步骤如下:
S1:当设备接入网络后,系统采用TCP指纹特征扫描技术对设备指纹进行提取;
S2:系统对扫描到的设备指纹进行共性分析;
S3:制定针对哑终端设备的指纹检查策略;
S4:当非法设备仿冒哑终端IP、MAC接入网络中,系统检测到非法设备与哑终端设备TCP端口不相符,产生告警。
下面结合附图并通过具体实施方式进一步说明本发明的技术方案。
图1为基于指纹鉴别非法设备仿冒哑终端的检测技术部署示意图,主要步骤如下,如图1所示,显示了本发明的应用模型,在网络中部署设备指纹检测系统,进行哑终端设备指纹检测。
图2为基于指纹鉴别非法设备仿冒哑终端的检测技术工作原理示意图,如图2所示,该方法流程图,主要包括以下步骤:
S1:当设备接入网络后,系统采用TCP特征扫描技术对设备指纹进行提取;
S2:系统对扫描到的设备指纹进行共性分析;
S3:制定针对哑终端设备的指纹检查策略;
S4:当非法设备仿冒哑终端IP、MAC接入网络中,系统检测到非法设备与哑终端设备TCP端口不相符,产生告警。
附图说明:
图1为基于指纹鉴别非法设备仿冒哑终端的检测技术部署示意图;
图2为基于指纹鉴别非法设备仿冒哑终端的检测技术工作原理示意图。
Claims (4)
1.一种基于指纹鉴别非法设备仿冒哑终端的检测技术,分为以下步骤:
S1:当设备接入网络后,系统采用TCP扫描技术对设备指纹和特征进行提取;
S2:系统对扫描到的设备指纹进行共性分析;
S3:制定针对哑终端设备的指纹检查策略;
S4:当非法设备仿冒哑终端IP、MAC接入网络中,系统检测到非法设备与哑终端设备TCP指纹不相符,产生告警。
2.如权利要求1所述的基于指纹鉴别非法设备仿冒哑终端的检测技术的使用方法,其特征在于,在所属步骤S1之前,需在内网部署设备指纹检测系统。
3.一种基于指纹鉴别非法设备仿冒哑终端的检测系统,包括设备指纹发现模块、设备指纹分析模块、设备指纹计算模块,其特征在于:
设备指纹发现模块,运行在设备指纹检测系统中,对所有接入内网设备的指纹进行提取;
设备指纹分析模块,运行在设备指纹检测系统中,对设备指纹发现模块提取到的指纹进行共性分析,识别终端;
设备指纹计算模块,运行在设备指纹检测系统中,对设备指纹发现模块提取到的指纹实施对比分析,如果发现与上次指纹结果不相符,通知系统发生告警。
4.如权利要求3所述的一种基于指纹鉴别非法设备仿冒哑终端的检测系统,其特征在于,所述的设备指纹计算模块一旦发现指纹不相符,就立刻产生告警信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010206683.1A CN111917699A (zh) | 2020-03-24 | 2020-03-24 | 基于指纹鉴别非法设备仿冒哑终端的检测技术 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010206683.1A CN111917699A (zh) | 2020-03-24 | 2020-03-24 | 基于指纹鉴别非法设备仿冒哑终端的检测技术 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111917699A true CN111917699A (zh) | 2020-11-10 |
Family
ID=73237534
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010206683.1A Withdrawn CN111917699A (zh) | 2020-03-24 | 2020-03-24 | 基于指纹鉴别非法设备仿冒哑终端的检测技术 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111917699A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114205332A (zh) * | 2021-11-12 | 2022-03-18 | 国网山西省电力公司电力科学研究院 | 一种基于tcp重传报文的电力物联网设备识别方法 |
| CN114629725A (zh) * | 2022-04-26 | 2022-06-14 | 中国农业银行股份有限公司 | 一种用户域哑终端管理方法、装置、系统和存储介质 |
| CN115102769A (zh) * | 2022-06-24 | 2022-09-23 | 国家石油天然气管网集团有限公司 | Scada系统接入认证方法、装置、设备和存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106302397A (zh) * | 2016-07-29 | 2017-01-04 | 北京北信源软件股份有限公司 | 一种基于设备指纹的设备识别系统 |
| CN109257378A (zh) * | 2018-11-05 | 2019-01-22 | 杭州安恒信息技术股份有限公司 | 一种快速识别物联网环境非法接入资产的方法与系统 |
| CN109995696A (zh) * | 2017-12-29 | 2019-07-09 | 广州瀚新智能科技有限公司 | 一种识别设备指纹的系统 |
| CN110855605A (zh) * | 2019-09-26 | 2020-02-28 | 山东鲁能软件技术有限公司 | 一种终端设备的安全防护方法,系统,设备及可读存储介质 |
| US20200076799A1 (en) * | 2018-08-28 | 2020-03-05 | International Business Machines Corporation | Device aware network communication management |
-
2020
- 2020-03-24 CN CN202010206683.1A patent/CN111917699A/zh not_active Withdrawn
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106302397A (zh) * | 2016-07-29 | 2017-01-04 | 北京北信源软件股份有限公司 | 一种基于设备指纹的设备识别系统 |
| CN109995696A (zh) * | 2017-12-29 | 2019-07-09 | 广州瀚新智能科技有限公司 | 一种识别设备指纹的系统 |
| US20200076799A1 (en) * | 2018-08-28 | 2020-03-05 | International Business Machines Corporation | Device aware network communication management |
| CN109257378A (zh) * | 2018-11-05 | 2019-01-22 | 杭州安恒信息技术股份有限公司 | 一种快速识别物联网环境非法接入资产的方法与系统 |
| CN110855605A (zh) * | 2019-09-26 | 2020-02-28 | 山东鲁能软件技术有限公司 | 一种终端设备的安全防护方法,系统,设备及可读存储介质 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114205332A (zh) * | 2021-11-12 | 2022-03-18 | 国网山西省电力公司电力科学研究院 | 一种基于tcp重传报文的电力物联网设备识别方法 |
| CN114629725A (zh) * | 2022-04-26 | 2022-06-14 | 中国农业银行股份有限公司 | 一种用户域哑终端管理方法、装置、系统和存储介质 |
| CN115102769A (zh) * | 2022-06-24 | 2022-09-23 | 国家石油天然气管网集团有限公司 | Scada系统接入认证方法、装置、设备和存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112769821B (zh) | 一种基于威胁情报和att&ck的威胁响应方法及装置 | |
| US7752662B2 (en) | Method and apparatus for high-speed detection and blocking of zero day worm attacks | |
| CN111917699A (zh) | 基于指纹鉴别非法设备仿冒哑终端的检测技术 | |
| CN113691566B (zh) | 基于空间测绘和网络流量统计的邮件服务器窃密检测方法 | |
| CA2789243A1 (en) | Systems and methods for the detection of malware | |
| WO2005114541A2 (en) | Systems and methods for minimizing security logs | |
| CN113098878A (zh) | 一种基于支持向量机的工业互联网入侵检测方法及实现系统 | |
| CN113438249B (zh) | 一种基于策略的攻击溯源方法 | |
| CN111556473A (zh) | 一种异常访问行为检测方法及装置 | |
| CN111783092B (zh) | 面向安卓应用程序间通信机制的恶意攻击检测方法及系统 | |
| Fei et al. | The abnormal detection for network traffic of power iot based on device portrait | |
| CN113411297A (zh) | 基于属性访问控制的态势感知防御方法及系统 | |
| CN113965418B (zh) | 一种攻击成功判定方法及装置 | |
| CN117240598B (zh) | 攻击检测方法、装置、终端设备及存储介质 | |
| CN115987531A (zh) | 一种基于动态欺骗式“平行网络”的内网安全防护系统及方法 | |
| CN113660222A (zh) | 基于强制访问控制的态势感知防御方法及系统 | |
| US20050033984A1 (en) | Intrusion Detection | |
| CN112187699B (zh) | 一种文件失窃的感知方法及系统 | |
| US20240137768A1 (en) | Automatic dynamic secure connection system and method thereof | |
| CN110674499A (zh) | 一种识别计算机威胁的方法、装置及存储介质 | |
| CN115834092A (zh) | 一种基于混合式蜜罐的实时入侵防护系统和方法 | |
| Saiyod et al. | Improving intrusion detection on snort rules for botnet detection | |
| KR102671718B1 (ko) | 머신러닝을 통한 새로운 침입을 예측하는 웹로그 신규 위협 탐지 보안 시스템 | |
| KR102679732B1 (ko) | 웹로그 데이터 분석을 통한 신규 위협 탐지용 머신러닝 분석 방법 | |
| CN113239355B (zh) | 一种基于可信计算的大数据安全防护系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WW01 | Invention patent application withdrawn after publication |
Application publication date: 20201110 |
|
| WW01 | Invention patent application withdrawn after publication |