基于應用行為的非授權網絡設備的監測方法

基于應用行為的非授權網絡設備的監測方法
【專利摘要】本發明屬于網絡安全【技術領域】，公開了一種基于應用行為的非授權網絡設備的監測方法。通過對接入組織機構內部網絡并產生數據流量的移動終端和移動終端模擬器，依據設定的應用網絡行為特征庫和建立的已授權設備指紋庫的方式進行甄別判斷，通過發現對已授權移動終端及其產生的應用網絡行為的忽略處理和對由非授權移動終端應用網絡行為的發現所產生的預警和按需處理的方式，從而監測接入組織機構內部網絡的未授權便攜路由等網絡擴展共享設備。本發明能有效監測內部網絡中未授權網絡設備的接入，尤其是對非授權便攜路由等網絡擴展共享設備的發現，為組織機構網絡正常、安全運行提供了必要的安全保證。
【專利說明】基于應用行為的非授權網絡設備的監測方法

【技術領域】
[0001] 本發明涉及網絡安全【技術領域】，特別是涉及一種基于應用行為的非授權網絡設備 的監測方法。

【背景技術】
[0002] 隨著網絡技術的突飛猛進和深度應用，各類網絡設備被廣泛應用于政府、企業等 組織機構，在得到網絡設備所帶來的各種工作便利時，也面臨著隨技術發展而不斷演進的 多類網絡威脅。時至今日，BY0D(自帶辦公設備）的興起、性能日益強大的智能平板電腦和 手機等一系列網絡設備的廣泛應用，特別是便攜路由等網絡擴展共享設備的迅速普及，此 類設備可方便利用USB(通用串行總線）等接口接入已授權的聯網計算機并即時創建可由 其他設備聯入的無線網絡接入點。利用其創建的AP (無線網絡接入點）可令使用者的移動 終端規避昂貴的2G、3G、4G流量費用，因此已成為多數機構內部工作人員移動終端的首選 網絡接入設備。網絡擴展共享設備因其發射功率低、區域覆蓋面小、易于管理設置和利用原 授權設備訪問網絡等特點，使用者可獲得便捷、隱蔽、廉價上網解決方案。與此同時，因為組 織機構內部對未授權網絡擴展共享設備檢測技術的不成熟所造成的監管盲點也對組織機 構內部的網絡安全帶來了新的隱患。
[0003] 縱觀企業內部網絡保護相關技術，多采用IDS (入侵檢測設備）、防火墻、網絡行為 管理等安全防護手段，對未授權設備的發現技術多為MAC(媒體介入控制層）地址綁定、特 征碼比對或基于特定協議的發現等技術。這些手段和技術在一定程度上可以發現聯入內部 網絡的未授權設備。但對于非授權便攜路由等網絡擴展共享設備的發現，因原有手段和技 術的限制，存在檢測效率低下，準確度不高等缺陷。所以，對于未授權網絡設備的有效發現， 尤其是對非授權便攜路由等網絡擴展共享設備的發現，一方面是組織機構正常、安全運行 的必要安全保證，另一方面也是為了與其他網絡安全設備或手段做到聯動配合，充分發揮 防御作用，成為消除網絡安全隱患的堅實基礎。


【發明內容】

[0004] 本發明所要解決的技術問題是提供一種基于應用行為的非授權網絡擴展共享設 備的監測方法，克服現有技術所存在的對于非授權便攜路由等網絡擴展共享設備的監測效 率低下，發現準確度不高的缺陷。
[0005] 為解決上述技術問題，本發明的思路在于：非授權網絡共享擴展設備將組織機構 授權網絡作為接入點，通過USB等接口聯入已授權的聯網計算機，利用授權計算機通過組 織機構內部網絡訪問互聯網的特性，將組織機構內部網絡轉化為可供其他移動終端聯入 的AP。基于此，通過對組織機構聯入互聯網的終端節點的流量利用既定移動終端應用行為 的策略庫進行比對，利用創建的指紋庫進行區分來發現其中未授權移動終端的應用網絡行 為，進而發現非授權網絡共享擴展設備。
[0006] 基于上述技術構思，本發明提出了一種基于應用行為的非授權網絡擴展共享設備 的監測方法，包括以下步驟：
[0007] 1)建立移動終端各類應用網絡行為的特征庫；
[0008] 2)對組織機構網絡建立已授權網絡設備指紋庫；
[0009] 3)掃描組織機構網絡最終出口數據；
[0010] 4)與所述移動終端各類應用網絡行為的特征庫進行比對，判斷是否存在移動終端 應用網絡行為；
[0011] 5)若在網絡最終出口數據中發現網絡行為是移動終端應用網絡行為，則將該網 絡行為的移動終端與所述已授權網絡設備指紋庫進行比對，判斷該移動終端是否為授權設 備；
[0012] 6)若該移動終端為授權設備，則忽略檢測信息；
[0013] 7)若該移動終端為非授權設備，則發出預警或按設定方案處理。
[0014] 進一步的，移動終端設備應用網絡行為包括但不限于以下一項或幾項：瀏覽網頁 的行為、使用即時通信工具的行為、接發郵件的行為、SNS(社會性網絡服務）社交應用的行 為、撰寫微博、博客的行為、在線游戲的行為、下載行為、觀看在線音視頻行為、使用在線金 融工具的行為。
[0015] 進一步的，所述組織機構網絡是指組織機構內部的且與因特網互聯互通的局域 網。
[0016] 進一步的，所述授權網絡設備涵蓋此組織機構全部的并且按照其制定網絡安全規 則予以授權的已聯網或待聯網設備；
[0017] 進一步的，建立已授權網絡設備指紋庫特征涵蓋以下一項或者幾項：授權網絡設 備指定的應用網絡行為，設備制造商，設備MAC，設備操作系統，設備特定標識碼，設備硬件 ID號。
[0018] 進一步的，所述組織機構網絡中，除允許安裝移動終端模擬器的已授權計算機設 備之外，其余已授權的計算機設備禁止安裝各類移動終端模擬器，安裝移動終端模擬器的 計算機設備需加入特定標識碼然后提交給已授權設備指紋庫，并將該模擬器視為授權設 備。
[0019] 接入移動終端是已授權網絡設備，忽略檢測信息應根據具體組織機構的網絡安全 規則進行制定，不應僅局限于字面意思理解。
[0020] 接入移動終端是非授權設備，發出預警或按設定方案處理應根據具體組織機構的 網絡安全規則進行制定，不應僅局限于字面意思理解。
[0021] 進一步的，所述網絡擴展共享設備包括但不限于：便攜路由，具有創建無線網絡接 入點的手機，具有創建無線網絡接入點的平板電腦，具有創建無線網絡接入點的網卡。
[0022] 本發明能有效監測內部網絡中未授權網絡設備的接入，尤其是對非授權便攜路由 等網絡擴展共享設備的發現，為組織機構網絡正常、安全運行的提供了必要的安全保證。

【專利附圖】

【附圖說明】
[0023] 下面結合附圖和【具體實施方式】對本發明的技術方案作進一步具體說明。
[0024] 圖1為本發明的【具體實施方式】的流程圖。

【具體實施方式】
[0025] 本發明具體實施可由多種方式實現，結合圖1所示，本領域一般技術人員可根據 以下步驟完成對方法的部署和實施。
[0026] 1)建立移動終端設備各類應用網絡行為的特征庫，該特征庫包括但不限于一項 或多項移動終端應用網絡行為：瀏覽網頁的行為、使用即時通信工具的行為、接發郵件的行 為、SNS社交應用的行為、撰寫微博、博客的行為、在線游戲的行為、下載行為、觀看在線音視 頻行為、使用在線金融工具的行為。
[0027] 2)建立已授權網絡設備指紋庫。已授權網絡設備指紋庫的特征涵蓋授權網絡設備 指定的應用網絡行為，設備制造商，設備MAC，設備操作系統，設備特定標識碼，設備硬件ID 號。已授權網絡設備指紋庫的特征還可以加入原有網絡安全管理系統、手段所能提供的已 授權網絡設備信息。
[0028] 組織機構網絡中，除允許安裝移動終端模擬器的已授權計算機設備之外，其余已 授權的計算機設備禁止安裝各類移動終端模擬器，安裝移動終端模擬器的計算機設備需加 入特定標識碼然后提交給已授權設備指紋庫，并將該模擬器視為授權設備。
[0029] 網絡擴展共享設備包括：便攜路由，具有創建無線網絡接入點的手機，具有創建無 線網絡接入點的平板電腦，具有創建無線網絡接入點的網卡。
[0030] 3)對網絡最終出口數據流量進行掃描監控，并與移動終端設備各類應用網絡行為 的特征庫存在的應用網絡行為進行比對；
[0031] 4)如果組織機構網絡出口流量中若出現移動終端的應用網絡行為，則存在移動終 端或模擬器聯入，進入步驟5);否則返回步驟3);
[0032] 5)根據已授權設備指紋庫首先使用特定標識碼判斷聯入組織機構內部網絡的是 否為模擬器，若是，則返回步驟3);若否，則聯入的是移動終端，并判斷其是否為授權設備，
[0033] 6)如果聯入的移動終端系授權設備，則根據指紋庫進行忽略；然后返回步驟3);
[0034] 7)如果聯入的移動終端經指紋庫比對確認為非授權的，根據其產生的應用行為即 可發現非授權的網絡擴展設備；然后返回步驟3)。
[0035] 最后所應說明的是，以上【具體實施方式】僅用以說明本發明的技術方案而非限制， 盡管參照較佳實施例對本發明進行了詳細說明，本領域的普通技術人員應當理解，可以對 本發明的技術方案進行修改或者等同替換，而不脫離本發明技術方案的精神和范圍，其均 應涵蓋在本發明的權利要求范圍當中。
【權利要求】
1. 一種基于應用行為的非授權網絡設備的監測方法，其特征在于，包括以下步驟： 1) 建立移動終端各類應用網絡行為的特征庫； 2) 對組織機構網絡建立已授權網絡設備指紋庫； 3) 掃描組織機構網絡最終出口數據； 4) 與所述移動終端各類應用網絡行為的特征庫進行比對，判斷是否存在移動終端應用 網絡行為； 5) 若在網絡最終出口數據中發現網絡行為是移動終端應用網絡行為，則將該網絡行為 的移動終端與所述已授權網絡設備指紋庫進行比對，判斷該移動終端是否為授權設備； 6) 若該移動終端為授權設備，則忽略檢測信息； 7) 若該移動終端為非授權設備，則發出預警或按設定方案處理。
2. 根據權利要求1所述的基于應用行為的非授權網絡設備的監測方法，其特征在于： 所述移動終端設備各類應用網絡行為包括但不限于以下一項或幾項：移動終端設備應用網 絡行為包括但不限于：瀏覽網頁的行為、使用即時通信工具的行為、接發郵件的行為、SNS 社交應用的行為、撰寫微博、博客的行為、在線游戲的行為、下載行為、觀看在線音視頻行 為、使用在線金融工具的行為。
3. 根據權利要求1所述的基于應用行為的非授權網絡設備的監測方法，其特征在于： 所述組織機構網絡為組織機構內部的且與因特網互聯互通的局域網。
4. 根據權利要求1所述的基于應用行為的非授權網絡設備的監測方法，其特征在于： 所述的授權網絡設備涵蓋此組織機構全部的并且按照其制定網絡安全規則予以授權的已 聯網或待聯網設備。
5. 根據權利要求1所述的基于應用行為的非授權網絡設備的監測方法，其特征在于： 所述已授權網絡設備指紋庫的特征涵蓋以下一項或者幾項：授權網絡設備指定的應用網絡 行為，設備制造商，設備MAC，設備操作系統，設備特定標識碼，設備硬件ID號。
6. 根據權利要求1所述的基于應用行為的非授權網絡設備的監測方法，其特征在于： 所述組織機構網絡中，除允許安裝移動終端模擬器的已授權計算機設備之外，其余已授權 的計算機設備禁止安裝各類移動終端模擬器，安裝移動終端模擬器的計算機設備需加入特 定標識碼然后提交給已授權設備指紋庫，并將該模擬器視為授權設備。
7. 根據權利要求1所述的基于應用行為的非授權網絡設備的監測方法，其特征在于： 所述網絡擴展共享設備包括但不限于：便攜路由，具有創建無線網絡接入點的手機，具有創 建無線網絡接入點的平板電腦，或具有創建無線網絡接入點的網卡。
【文檔編號】H04L29/06GK104065539SQ201410325105
【公開日】2014年9月24日 申請日期:2014年7月9日 優先權日:2014年7月9日
【發明者】溫杰, 高谞, 舒文靜, 李牧 申請人:武漢安問科技發展有限責任公司