物联网(IoT)、新操作系统和移动性的高速发展正在引发接入网络终端数量不断增多,终端类型也愈加复杂。2020年,已有超过300亿台终端接入网络;终端类型除了一些传统设备,如PC、BYOD等智能终端和打印机、摄像头等哑终端,还大量的工业控制、医疗电子等IoT终端。终端数量和终端类型的不断增长,导致在终端运维和终端安全上也产生了诸多的挑战。
网络管理系统只能查看接入终端的 IP 和 MAC,并不知道终端具体是什么设 备,无法对网络终端做更精细的管理。
园区内大量哑终端MAC认证接入网络,需要手工收集、录入哑终端的MAC地址,让网络管理人员的工作既繁琐又容易出错。
办公场景,一个工作人员使用同一个账号登录PC或者手机接入网络,无法根据用户接入网络使用的终端类型授权不同的权限。
园区内物联终端越来越多,摄像头、打印机、门禁等哑终端更容易被攻击和仿冒。据Gartner调查,近20%的企业或相关机构在过去三年内遭受了至少一次基于物联网的攻击。
图一:接入网络终端增长趋势图
问题1、2、3的产生,本质上都是因为不支持终端信息的自动识别。在支持终端信息自动识别后,网络管理系统就可以基于终端的MAC/IP信息补充终端的类型、型号等详细信息;认证服务器可以基于上线终端信息设置免认证策略,自动收集、录入终端的MAC信息;认证服务器也可以基于不同的终端类型设置不同的授权策略。
问题4的产生,主要是因为哑终端使用MAC认证等弱认证方法接入网络,容易被仿冒;哑终端的系统和软件版本老旧、漏洞多,缺乏定时查杀病毒习惯与机制,容易被非法用户攻击。因此,我们需要能够实时检测哑终端的异常,并且对异常哑终端能够控制其网络访问权限,防止威胁网络安全。
怎样做到终端的智能管理
基于前面的问题分析,我们提出了包括终端识别和终端异常检测的终端感知技术,用于解决终端智能运维和终端安全的诸多问题,从而实现终端的智能管理。
什么是终端识别?
终端识别是一种通过多种手段综合分析而自动识别到终端目标属性的技术,可以识别的终端属性包括:终端类型、厂商、型号、操作系统等。终端识别方法包括被动指纹识别和主动探测识别两种类别。其中,被动指纹识别通过采集终端的MAC OUI、DHCP Option、HTTP UserAgent、mDNS、LLDP等指纹信息,并与指纹库匹配识别出终端属性信息;主动探测识别通过SNMP查询、NMAP OS扫描以及可动态扩展的探测脚本扫描终端,基于终端探测响应信息和指纹库匹配识别出终端属性信息。
华为终端识别系统内置业界最全的指纹库,在办公场景支持识别的终端款型最多,终端识别准确率达到95%以上。
什么是终端异常检测?
终端异常检测是一种通过多种手段综合分析得到终端较原先正常状态是否发生异常的技术。终端异常检测方法包括终端类型异常检测、终端指纹异常检测、终端流行为异常检测。其中,终端类型异常检测和终端指纹异常检测依赖于终端识别技术,如果终端的类型或者指纹信息发生变化,则认为终端可能存在异常;终端流行为异常检测,通过检测终端流量行为特征识别终端是否存在异常。
终端智能管理还有哪些技术难题
终端指纹库是终端识别技术的核心资产和重要基础,当前网络环境中存在着终端种类繁多、更新快、各行业终端差异大、敏感行业终端网络数据样本难获取等众多挑战。因此,如何收集各类终端的指纹信息,并且提取生成终端指纹库是终端识别的一个技术难点。
基于终端类别和终端指纹的异常检测方法,对于仿冒终端构造报文以及终端被木马攻击等场景无法准确识别异常。基于终端流量行为特征可以识别如上场景的终端异常行为,但是如何获取终端的流量行为模型并且实时识别终端流量行为是否异常是一个技术难点。
华为在终端智能管理做了哪些技术创新
创新一,将AI自然语言文本处理算法引入网络协议领域,挖掘网络字段中的实体和关系,构建终端感知领域的语言模型,并用于终端指纹规则的自动化提取,解决网络中未知终端的识别。通过自动化的终端指纹规则提取方案,解决了终端数量多、指纹库更新不及时、敏感行业终端规则无法提取而导致的客户网络终端识别率低问题,基于AI挖掘算法的终端指纹规则提取准确率达95%以上。
图二:终端指纹规则自动提取示例图
创新二,基于终端流量行为特征数据使用AI算法训练生成终端流量行为模型,并且基于终端流量行为模型使用AI推理算法实时检测终端流量行为特征是否异常。终端流量行为特征包括上下行流量统计、报文长度、连接个数、目的连接统计(IP、端口、协议)等。华为基于流行为的终端异常检测系统支持的终端流量行为模型包括预置流量行为模型和在线训练流量行为模型,异常检测准确率达到90%以上。常见的终端(如摄像头、打印机、IP话机)通过线下训练生成流量行为模型,并且预置在支持检测的网络设备中;其他的未知终端,通过在线采集终端的流量行为特征,使用AI算法在线训练生成流量行为模型。
图三:终端上下行流量行为特征示意图
综上,华为终端智能管理方案基于包括终端识别和终端异常检测的终端感知技术,解决了终端精细化管理、终端即插即用、终端差异化策略以及终端安全等客户痛点问题。终端智能管理通过部署iMaster NCE-Campus、园区交换机、AirEngine AP、AirEngine AC构建的智能园区网络实现,可应用在企业、政府、教育、金融、制造等行业。
原文标题:网络还可以识别终端类型和异常?
文章出处:【微信公众号:华为数据通信】欢迎添加关注!文章转载请注明出处。
审核编辑:汤梓红
全部0条评论
快来发表一下你的评论吧 !