终端防仿冒是一种终端检测和管控技术,它能够学习终端访问网络的流量特征并形成流量行为模型,借助流量行为模型识别仿冒终端,最终对识别出的仿冒终端自动下发隔离策略。
终端防仿冒的目的
IP话机、IP摄像头和打印机等哑终端一般通过IP地址白名单或者MAC认证等安全性低的方式接入网络,并且通常缺乏定时查杀病毒的机制。因此非法终端容易仿冒终端的IP地址或MAC地址,并借此攻击网络。
为了避免IP话机、IP摄像头和打印机等终端引发此类问题,设备提供了终端防仿冒功能。终端防仿冒功能可以辅助管理员管理网络,实现对终端的信息管理、异常检测和异常管控,从而降低网络受到非法仿冒终端的风险。
对于说明使用终端防仿冒对终端实施信息管理、异常检测和隔离策略的过程,以打印机终端为例,基本交互流程图如下所示:
.png)
终端防仿冒交互流程示意图
1.管理员在交换机上配置终端防仿冒功能。包括手动录入终端信息,全局使能终端异常检测功能,对终端开启异常检测功能和配置终端隔离策略。
2.合法终端通过交换机接入网络,因此交换机接收到合法终端发送的ARP报文。交换机将管理员手动录入的终端信息与合法终端发送的ARP报文相比较。当二者能够匹配、且设备已经全局使能终端异常检测功能时,交换机会生成对应的终端表项。
3.交换机识别合法终端符合终端异常检测的终端类型,因此采集该终端的流量行为特征,通过算法分析推理,最终判断终端的流量行为正常。
4.仿冒终端冒充合法终端MAC地址或IP地址,通过交换机接入网络,企图攻击网络。
5.交换机采集仿冒终端的流量行为特征,通过算法分析推理,判断终端的流量行为异常。交换机对仿冒终端执行终端隔离策略。仿冒终端被隔离,无法访问网络。
.png)
沪公网安备 31010702006392号