文章目录

  • 1.为何防共享?
    • 需求背景
    • 防共享的需求背景
  • 2.防共享识别和控制技术
    • 2.1PC间共享解决方案
      • NAT共享上网场景
        • PC与PC间共享场景(一)
        • PC与PC共享场景(二)
        • PC与PC共享场景(三)
    • 2.2传统防共享技术
      • ID轨迹检测
      • 时钟偏移检测
      • 其他传统的防共享技术
      • 深信服DPI检测技术
        • QQ检测防共享过程
      • 深信服字体检测技术
      • 深信服辅助检测技术
        • URL检测
        • 微信特征ID检测
    • 2.3 移动终端间共享
      • 需求场景
      • 移动终端共享识别工作原理
        • URL检测
        • 应用规则检测
        • UA检测
      • PC和移动终端共享
        • NAT共享上网场景
        • PC与移动终端共享识别工作原理
        • 配置方案
  • 移动终端识别和控制技术
    • 移动终端管理解决方案
      • 移动终端管理
        • 排除信任IP 和用户
        • 不支持识别以下三种场景
          • 1、 手机插电脑上充电
          • 2、PC里装了虚拟机
          • 3、电脑上安装移动终端模拟器
        • 管理非法接入的移动终端
        • 移动终端发现趋势
      • 配置方案
      • 效果显示
      • 注意事项

1.为何防共享?

需求背景

在企业的网络管理、在运营商代建的高校网络中出现了防共享上网的需求, 即防代理、防一拖N的需求。

目前运营商以及企业需要面对共享上网主要带来的2个问题:

1、 在企业中,不少用户共享自己访问互联网的权限给其他用户,绕开了 企业对用户设定的上网权限控制,使得原本没有上网权限的用户可以上网了, 或者使得原本上网权限较低的用户拥有了较高的权限,给网络管理带来了诸多麻烦。

2、 在运营商承建和运维的高校网络中,遇到很多学生使用路由器或者其他软件方式,共享互联网的访问给其他同学或朋友,直接造成运营商的收益收到影响。

防共享的需求背景

(1)私接Wi-Fi容易暴露内网,因此需要禁止共享上网行为,避免共享接入的用户绕开企 业的上网权限控制和上网行为监控。
(2)运营商承建高校的校园网,学生寝室内 无线共享网络,影响运营商宽带开户率及收益

2.防共享识别和控制技术

2.1PC间共享解决方案

NAT共享上网场景

PC与PC间共享场景(一)

多台PC通过前端路由器共享上网

PC与PC共享场景(二)

PC通过代理软件代理其他PC共享上网

PC与PC共享场景(三)

PC通过360wifi共享上网

2.2传统防共享技术

ID轨迹检测

Windows网络协议栈实现时,ID字段的值随着发送IP报文数的增加而增加
Identification的初始值是随机值,一般说来,不同主机的初始值有较大差距

➢ 优点:
较准确地判断出是否为共享上网用户 较准确的判断出在线共享上网主机数 完全被动监听,不发送探测信息
➢ 缺点:
需要一段时间的观察(一般两天以上) 对分时上网和PROXY的检测效果不明显 DHCP情况下效果较差

时钟偏移检测

不同主机物理时钟偏移不同,网络协议栈时钟与物理时钟存在对应关系 • 不同主机发送报文频率与时钟存在统计对应关系 • 通过特定的频谱分析算法,发现不同的网络时钟偏移来确定不同主机

➢ 优点: 非常准确地判断出是否为共享上网用户 能够较准确的判断出共享上网主机数
➢ 缺点: 需要复杂的计算方法进行处理分析 需要一段时间的观察(建议两天以上) DHCP情况下效果较差

其他传统的防共享技术

深信服DPI检测技术

技术原理: 通过分析常用应用软件的数据包,发现一些软件刚启用不久发送的TCP数 据包中带有PC的IP信息,AC设备通过分析这些数据包可以提取出PC端的IP, 根据不同的IP数量得出共享的PC数量,比如QQ登录时候的数据包中会携带电脑网卡的IP地址。

QQ检测防共享过程

深信服字体检测技术

技术原理:
在共享的PC相继访问http网站,播放在线视频(浏览器需要安装flash), AC篡改PC请求,令PC上报系统字体信息到AC,假设pc1 上报的字体为font1, PC2上报的为font2, 那么要检测到PC1和PC2共享需要类似于这样的上报序列 font1,font2,font1交错上报,就可以识别出共享行为。

检测前提:
• 1. 相同flash插件制造商获取的系统字体列表相同
• 2. 不同PC间,相同flash插件制造商获取的系统字体列表不同
• 3. 这些特性与flash插件版本无关

深信服辅助检测技术

URL检测

通过分析常用应用软件的数据包,发现一些软件刚启用不久发送的HTTP 请求中, URL会有一些特征串,在这些特征串中会有一段信息是和PC强关联 的,即同一PC发送的特征串信息是相同的,不同PC间发送的是不同的, AC设 备根据提取到的不同的特征串数量得出共享的PC数量。

微信特征ID检测

通过分析微信客户端在发送消失时,在数据包固定的偏移位置,存在相同的一串二进制数对于同一个微信客户端。AC通过提取这串二进制数,统计提取 数量的个数得出共享移动终端数量。

2.3 移动终端间共享

需求场景

移动终端和移动终端共享场景: 多台移动端通过同一个前端路由器 SNAT共享上网

移动终端共享场景
移动端与移动端的组合,又可以细分成三种不同情况:
(1)不同平台移动端(例如:android平台 和 ios平台)的识别
(2)相同平台不同型号移动端(例如:android平台的 huaweic8812 和 mi4c)的识别 和
(3)相同平台的相同型号移动端(例如:ios平台多个iphone,android平台 多个同型号的mi4c)的识别。

移动终端共享识别工作原理

URL检测

过分析常用应用软件的数据包,发现一些APP刚启用不久发送的HTTP 请求中, URL会有一些特征串,在这些特征串中会有一段信息是和移动端关 联的强关联的,此方法能识别到不同型号移动终端共享行为。

应用规则检测

设备内置规则库,可以从这些应用中分析出不同的移动终端,其中包括 IM社交、在线视频、生活、新闻资讯、地铁、下载客户端、移动浏览器、 PC端手机助手等类型的应用,例如微信、移动QQ、新浪微博、优酷、91助 手等常见于手持终端的app应用。

UA检测

User-Agent含浏览器标识 (操作系统标识; 加密等级标识; 浏览器语言) 渲 染引擎标识 版本信息 我们可以从中取这些信息来识别不同的终端类型。例如 下面从数据包中可以看到一个是windows 7 ,另外一个数据包是windows 10

PC和移动终端共享

NAT共享上网场景

PC和移动终端共享场景一: PC和移动终端通过同一个前端路由器 NAT共享上网
PC和移动端共享场景二: PC通过360wifi的共享网络给移动终端

PC与移动终端共享识别工作原理

PC和移动端也是最常见的共享行为,通过上述识别PC和移动端的方案接 合起来,如果识别到一个IP地址下面有不同的终端类型来识别PC和移动端的共 享行为,这类共享行为数据区别较大,也是最容易识别的行为。

URL检测 过分析常用应用软件的数据包,发现一些软件刚启用不久发送的HTTP请 求中, URL会有一些特征串,在这些特征串中会有一段信息是和移动端关联的强关联的,此方法能识别到不同型号移动终端共享行为。
应用规则检测 设备内置规则库,可以从这些应用中分析出未识别的移动终端。

配置方案

【终端接入管理】-【共享接入管理】启用共享接入检测进行配置:
1、配置选项,可以配置统计所有终端(识别PC与PC,PC与移动端,移动终端 与移动终端之间),或者仅统计电脑终端(可识别PC与PC之间的共享)。冻结 选项可以选择多少台就识别成共享,共享后冻结多长时间等;
2、允许共享行为的用户,可以添加受列表,上网将不会受影响。

##w 移动终端管理需求背景

1.私接Wi-Fi给内网带来巨大隐患 部分办公人员为了一己之便,私接无线Wi-Fi共享设备,让自己的手机、平板电脑也能够访问互联网络。私接了无线Wi-Fi共享设备,相当于将内部网络公开暴露在外,无线网络的开放性为不法分子利用黑客渗透技术入侵到内网中提供便利,一旦被不法分子入 侵,后果不堪设想:破坏网络致使网络瘫痪、盗取或删除资料、种植木马长期隐藏等等 。

2.新兴廉价Wi-Fi工具降低私接Wi-Fi难度和成本市面上推出的360Wi-Fi、小米Wi-Fi和小度Wi-Fi等随身Wi-Fi工具,凭借其价格便宜 而且方便使用的优势,迅速普及到用户手中,同时也催化了网络中私接无线Wi-Fi共享设 备的安全隐患。

3.蹭网卡d的流行使违规违纪行为难以发现和追溯当前火爆的蹭网卡,通过软件破解技术直接破解其他合法设备的无线网卡密码,以其他人的身份接入网络,这种方式以其隐僻、难追溯等特点一度成为内网安全的巨大黑洞

移动终端识别和控制技术

移动终端管理解决方案

移动终端管理

排除信任IP 和用户

不少企业内部已经部署了无线,对于合法的AP接入,管理员默认放行,而对于非法接入的AP或者用户,则需要管控。 如果AP做无线路由器,直接填AP的IP;如果AP做无线网桥,填上AP做 DHCP的网段。加入信任列表的移动终端将不再出现在移动终端列表中

不支持识别以下三种场景
1、 手机插电脑上充电

这种场景下,手机会自动通过电脑发包出来的(手机只要连接到电脑,会有个默认 选项,自动通过电脑的网络发送流量。 可以在手机插入电脑后,再去关闭这个选项,但 是实际上这个时候再去关闭,流量已经发送出来了),从我们防共享检测的原理来讲, 设备会检测到同一个IP的不同终端流量。手机接在电脑上上传本地的图片文件等被识别 为防共享这种也是没有办法解决的,跟手机插在电脑上充电是一样的。我们判别不了, 你是充电还是干啥 ,因为你充电上网的数据和普通移动终端上网的数据是一样的。

2、PC里装了虚拟机

AC会检测到不同操作系统

3、电脑上安装移动终端模拟器

这种场景下,电脑上也会发出移动和PC两种流量的数据包!

管理非法接入的移动终端

把合法IP和用户加入信任列表后,经过这些IP网段上网和使用这些用户名上线的移动终端将不会出现在移动终端发现的列表中。
对新发现的违法移动终端,可选择“拒绝此移动终端”,禁止该移动终端 上网,此时经过该IP的所有访问将会被拒绝;或发送告警邮件”,提醒管理员该IP有非法的移动终端接入。

识别移动终端

移动终端发现趋势

针对最近7天、30天,AC对每天发现的移动终端数量做一个趋势统计,便 于管理员发现管理的有效性。

配置方案

【终端接入管理】-【移动终端管理】可以管控移动终端:
1、发现移动终端邮件告警通知
2、发现移动终端冻结该移动终端上网
3、对受信任的用户添加受信任列表,允许使用移动终端上网。

效果显示

注意事项

•Android和IOS平台支持识别具体终端型号,IOS不区分具体的型号版本(例如 ,iphone6、iphone6plus统一只识别iphone)

•Android系统移动终端,只有在使用UC浏览器,登录微信看好友动态,登录 QQ看好友动态才会带上终端手机型号类型,如酷派,联想,华为。如果共享行 为没有识别到手机的具体型号可能是没触发这类应用。

•同种手机型号的手机也可支持识别,但是由于型号一致可区分的特征不多。一 般不建议用同种手机型号终端做测试。

•软件特征检测不支持webqq 等,只支持客户端;

•QQ软件特征检测方式,程序默认排除了142.16.0.0/16网段的地址,如果电脑 配置这个地址段,用QQ软件特征检测,防共享会不生效,其它方式检测不受影 响。

上网行为安全之终端识别和管理技术相关推荐

  1. 2015年上网行为管理技术发展趋势分析

    纵观上网行为管理的数次技术变迁,从少量应用的整个进程的封堵,到大量应用细分动作的单独控制,从简单基于人的流控到多通道基于应用.文件类型.终端类型.URL类型的流控技术的创新和突破,我们不难发现,上网行 ...

  2. 动态人脸识别系统服务器,动态人脸识别监控管理平台的设计与实现

    摘要: 动态人脸视频监控是计算机视觉领域一个新兴的应用方向和备受关注的前沿课题,它结合了计算机科学,机器视觉,图像处理,模式识别,人工智能等多学科技术知识.国内外的动态人脸识别监控系统都非常注重系统运 ...

  3. python 智能识别 商品_阿里云货架商品识别与管理Python SDK使用示例-阿里云开发者社区...

    概述 货架商品识别与管理(Retail Image Recognition)是基于深度学习.图像检测.图像识别等技术,为新零售品牌商/经销商提供AI商品识别能力的阿里云产品:适用于货架商品识别.陈列识 ...

  4. 终端多窗口管理旗舰------screen

    ###################################################### 终端多窗口管理神器 ------tmux byobu screen terminator谁 ...

  5. openglshader实现虚拟场景_云桌面,实现办公终端的统一管理与运维

    随着无纸化办公和智能化办公的不断推进,在办公过程中传统PC电脑的缺点愈发凸显.传统电脑的性能会随着使用时长增加而降低,系统维护处理时效性较弱,出现问题需要运维人员到现场解决,费时费力.如果出现更换设备 ...

  6. DSM-830源网荷系统控制终端(源网荷智能互动终端)-新型电力负荷控制终端(电力负荷管理终端装置)-互动式需求侧管理终端-专变采集终端的功能。DSM-830交互式需求侧管理终端(需求侧管理互动式终端

    DSM-830源网荷系统控制终端(源网荷智能互动终端)-新型电力负荷控制终端(电力负荷管理终端装置)-互动式需求侧管理终端-专变采集终端的功能.DSM-830交互式需求侧管理终端(需求侧管理互动式终端 ...

  7. 人工智能也存在偏见?探究人工智能偏见的识别和管理

    摘译 | 李朦朦/赛博研究院实习研究员 来源 | NIST 2022年3月16日,美国国家标准与技术研究院(NIST)发布了<迈向识别和管理人工智能偏见的标准>(以下简称<标准> ...

  8. 创业基础-乐训课堂-第四章 创业风险及识别与管理-习题

    第四章   创业风险及识别与管理 ---------------------------建议使用CTRI+F,在页面中搜索            P.S.此答案为本人自写,不保证完全正确,尤其是简答题 ...

  9. 【功能超全】基于OpenCV车牌识别停车场管理系统软件开发【含python源码+PyqtUI界面+功能详解】-车牌识别python 深度学习实战项目

    车牌识别基础功能演示 摘要:车牌识别系统(Vehicle License Plate Recognition,VLPR) 是指能够检测到受监控路面的车辆并自动提取车辆牌照信息(含汉字字符.英文字母.阿 ...

  10. 创业基础-乐训课堂-第四章 创业风险及识别与管理-课堂笔记

    第四章   创业风险及识别与管理 4.1  4.2   创业风险的基本内容 要点: 理解创业风险的含义.构成与分类 树立科学的创业风险意识 创业就是创业过程中损失的不确定性 产生风险的因素: 政策的变 ...

最新文章

  1. 过滤XML数据中的非主流特殊字符
  2. NOIP Mayan游戏
  3. python+OpenCV图像处理(六)图像平滑与滤波
  4. UINavigationController 基本用法
  5. Java反射机制获取当前类名
  6. VTK:交互与Widget——观察者/命令模式
  7. Python+Opencv检测模糊图片
  8. c语言 牛逼代码,装逼技巧:程序员如何用代码证明自己牛逼!
  9. 百度在首页输出console发布招聘信息
  10. NOIP2018赛前停课集训记(10.24~11.08)
  11. 快递市场定价 到底有何影响
  12. 电信行业大数据(大数据平台系列)
  13. git错误:exceeds file size limit of 100.0 MB remote: error: hook declined to update refs/heads/master
  14. 【文献阅读】Commission Fee is not Enough: A Hierarchical Reinforced Framework for Portfolio Management
  15. 2022年10月17日【Jiawei_Z】WPF的容器章节
  16. 伤寒杂病论.辨太阳病脉证并治(中)
  17. 浅析JWT Attack
  18. 如何使用burpsuite对网站进行暴力破解?
  19. HTTP协议协议报文结构请求响应数据报分析
  20. File类(Java)

热门文章

  1. 纹波测试方法(收集整理)
  2. 智能手环APP软件开发
  3. 【shareX】自定义图片上传-基于tu.my最新版API
  4. 【知识图谱】Neo4j 导入数据构建知识图谱的三种方法
  5. Maven下载sources时报错java.lang.RuntimeException: Cannot reconnect
  6. 木子案正判后的故事发展(猜想)
  7. 计算机几大管理器,电脑里的任务管理器的快捷键是按哪几个键?
  8. 实现外网Ping通WSL(网卡桥接方式实现)
  9. 《Loy解说Eureka客户端源码(一)》
  10. html风琴图片展示,基于jquery的手风琴图片展示效果实现方法