陸良偉，岳峙君，袁懿

(邁普通信技術(shù)股份有限公司，四川 成都 610094)

0 引言

2020 年是信息技術(shù)應用創(chuàng)新產(chǎn)業(yè)全面推廣的起點，發(fā)展自主創(chuàng)新的信息技術(shù)應用、創(chuàng)新產(chǎn)業(yè)生態(tài)是網(wǎng)絡經(jīng)濟數(shù)字化轉(zhuǎn)型，提升產(chǎn)業(yè)鏈發(fā)展的關(guān)鍵，也是國家的重要發(fā)展戰(zhàn)略。同時，在政府、銀行等體系中，對于接入網(wǎng)絡中的終端進行規(guī)范管理和接入安全管控有更高的要求，是保障企業(yè)網(wǎng)絡安全的重要手段。

隨著網(wǎng)絡的高速發(fā)展和網(wǎng)絡數(shù)字化的轉(zhuǎn)型,接入網(wǎng)絡中的終端的數(shù)量和終端類型都在飛速增長，數(shù)字化終端的廣泛應用也帶來了一系列的管理問題和安全問題[1]。網(wǎng)絡安全是國家網(wǎng)絡安全的重要組成部分，網(wǎng)絡安全等級保護2.0[2]也體現(xiàn)了國家對于網(wǎng)絡安全的政策性要求。

根據(jù)調(diào)研，目前許多政府機構(gòu)和企業(yè)對于接入網(wǎng)絡中的終端仍采用人工登記管理，由管理員統(tǒng)一進行終端資產(chǎn)維護。隨著大量新型數(shù)字化終端的增加，人工維護成本和維護難度也在同步上升；同時對于接入網(wǎng)絡中的終端類型變化、位置變化等，管理員無法實時感知，從而對終端私接、未經(jīng)授權(quán)接入網(wǎng)絡、入侵攻擊等一系列的安全隱患無法及時干預處理，存在很大的安全隱患。在傳統(tǒng)的終端識別方案中，當終端類型發(fā)生變化時，需要人工介入進行更新升級，無法智能解決終端識別問題，進一步增加了維護成本和管理難度。

本文通過設計與實現(xiàn)智能終端管理解決方案，解決政府和企業(yè)管理網(wǎng)絡中海量終端管理難的問題，在節(jié)省人力成本、提升管理效率的同時，實現(xiàn)終端智能識別、仿冒檢測、接入位置變化感知，保證準入網(wǎng)絡的中的終端安全，對政府和企業(yè)的網(wǎng)絡安全保護具有重要意義。

1 終端管理系統(tǒng)現(xiàn)狀概述

目前多數(shù)的政企單位在網(wǎng)絡安全建設過程中，由于受條件和其他因素的限制，導致現(xiàn)在的終端管理系統(tǒng)比較落后，在當前全球網(wǎng)絡安全形式嚴峻、網(wǎng)絡攻擊層出不窮的現(xiàn)狀下，政企網(wǎng)絡安全面臨著巨大的風險和挑戰(zhàn)。根據(jù)對現(xiàn)有終端管理系統(tǒng)的調(diào)研，發(fā)現(xiàn)多數(shù)終端管理系統(tǒng)普遍存在不足。

現(xiàn)有的終端安全管理系統(tǒng)多是孤立的針對某一個方面的安全防護，安全防護體系彼此孤立，無論從系統(tǒng)層面還是從數(shù)據(jù)層面都無法進行有效整合，從而無法應對目前大數(shù)據(jù)時代新型的網(wǎng)絡安全威脅[3]。

目前部分終端管理系統(tǒng)，其安全防護方面通常與廠商自身的硬件配套，而這些硬件設施通常比較昂貴[4]，對于企業(yè)來說使用成本很高，而且面臨著對現(xiàn)有網(wǎng)絡的組網(wǎng)進行修改的風險，如360 網(wǎng)神終端安全管理系統(tǒng)，其終端安全檢測功能就依賴于它的硬件NAC 設備，而這些設備通常是很昂貴的。

企業(yè)內(nèi)部網(wǎng)絡包含著多種多樣的網(wǎng)絡設備和終端設備，現(xiàn)有的管理通常依賴于安保部門進行終端接入管控，但是在復雜的應用環(huán)境中，這不僅增加了人工管理成本，還無法保證終端私接的情況發(fā)生，一旦發(fā)生入侵，系統(tǒng)無法及時感知，對企業(yè)的網(wǎng)絡安全系統(tǒng)造成極大的安全隱患[5]。

為方便企業(yè)進行終端資產(chǎn)管理，需要終端管理系統(tǒng)具有對終端類型的識別功能，而現(xiàn)有的系統(tǒng)在終端類型識別上并不智能，通常需要用戶介入，進行更正或者自定義一些規(guī)則，如奇安信的終端管理系統(tǒng)在對一般類型的終端(除攝像頭等)進行識別時，存在需要用戶建立匹配特征的情況，才能對終端類型進行識別。也有系統(tǒng)通過其提取終端特征，建立特征庫進行識別[6]，但是在系統(tǒng)無法識別成功時，就需要專業(yè)人員介入，進行終端特征的維護和升級，無法實現(xiàn)終端類型智能識別和升級。

綜上所述，現(xiàn)有的終端管理系統(tǒng)在準入控制，安全防護以及智能識別終端類型等方面還存在這一定的不足。針對這些不足，本文提出了一種智能終端管理解決方案的設計與實現(xiàn)，并通過實踐，有效地解決了企業(yè)在終端管理中面臨的問題。

2 方案架構(gòu)

本方案基于終端管理系統(tǒng)現(xiàn)狀，采用了一種模塊化、可擴展、可升級、支持多協(xié)議的控制器框架，主要包括開放的北向API、控制平面，以及南向接口和協(xié)議插件。其中控制平面包含一系列的功能模塊，可動態(tài)組合提供不通過的服務。南向鏈接多種協(xié)議插件，并且屏蔽了不同協(xié)議之間的差異，方案架構(gòu)如圖1 所示。

圖1 所示的架構(gòu)中，大致可以分為三層結(jié)構(gòu)：業(yè)務服務層、控制平臺層以及物理和虛擬網(wǎng)絡設備層，通過北向接口和南向接口將三者連接。

圖1 智能終端管理方案架構(gòu)示意圖

業(yè)務服務層主要為網(wǎng)絡應用服務，處理網(wǎng)絡事件，從而對網(wǎng)絡進行控制和引導。通過這一層的功能實現(xiàn)，用戶可以根據(jù)實際需求從控制界面對下層模塊進行調(diào)用，通過配置規(guī)則，實現(xiàn)控制與轉(zhuǎn)發(fā)分離，以實現(xiàn)對網(wǎng)絡的管控，大大提高了網(wǎng)絡管理的靈活性。

控制平臺層包括基本的控制器服務功能模塊，主要包含網(wǎng)絡發(fā)現(xiàn)、拓撲管理、配置下發(fā)、統(tǒng)計管理等。通過將網(wǎng)絡中的網(wǎng)絡設備發(fā)現(xiàn)到控制平臺，統(tǒng)一進行拓撲呈現(xiàn)和網(wǎng)絡設備管理，控制平臺層接收業(yè)務服務層的請求，將業(yè)務動作通過配置下發(fā)模塊，將業(yè)務配置下發(fā)到與南向接口關(guān)聯(lián)的網(wǎng)絡設備上，實現(xiàn)對網(wǎng)絡的控制。

物理和虛擬網(wǎng)絡層主要由物理設備和虛擬設備組成，例如交換機、路由器等在網(wǎng)絡短點間建立連接，構(gòu)成用戶的網(wǎng)絡。用戶的各類終端均通過邊緣接入設備連接到這個網(wǎng)絡中，以實現(xiàn)用戶網(wǎng)絡和業(yè)務的構(gòu)建。

3 關(guān)鍵技術(shù)創(chuàng)新設計

3.1 基于自動學習終端特征的終端類型識別技術(shù)設計

3.1.1 終端特征自動學習流程

針對終端在不同工作模式下,其特征信息不一樣,從而導致SDN 控制器無法準確識別終端類型的問題,設計了基于自動學習終端特征的終端類型識別方法,通過設置開放期,在開放期內(nèi)定時收集終端特征并進行特征匹配和自動學習,自動升級終端識別指紋庫,無需人為介入即可完成終端識別指紋庫的升級,保證終端類型的準確識別,終端自動學習模型如圖2 所示。

圖2 終端特征自動學習模型圖

圖2 的終端特征自動學習模型主要包含了控制器和接入設備兩個部分。其中，設備主要通過安全掃描模塊對從設備接入的終端進行安全掃描，采集終端信息；控制器則主要是通過采集任務模塊，當終端準入認證通過后，或者開放期定時采集，向設備下發(fā)掃描任務進行終端信息收集。根據(jù)采集到的終端信息，再提取成終端特征，對終端進行類型識別。

根據(jù)上述自動學習模塊，終端特征自動學習主要流程如圖3 所示。

圖3 所示的終端特征自動學習流程中，通過自動學習終端指紋特征自動升級指紋庫，以實現(xiàn)對終端的智能識別，其主要流程包括如下幾個步驟：

圖3 終端特征自動學習流程圖

(1)采集特征：觸發(fā)控制器進行特征采集有兩種方式：一是終端從邊緣設備接入網(wǎng)絡，通過準入認證模塊認證通過后，控制器會對終端接入的設備下發(fā)采集任務，采集終端的信息；二是通過配置開放學習期，在開放學習期內(nèi)控制器會主動定時去采集所有接入網(wǎng)絡的終端信息。

(2)特征上報：設備采集到終端信息后，會通過南向通道向控制器上報終端信息，供控制器進行特征提取和識別。

(3)類型識別：控制器收到設備采集到的終端信息后，會根據(jù)終端信息提取終端的特征，提取完成后，將提取的特征與指紋庫進行匹配，匹配成功則識別成功，否則匹配失敗。

(4)未識別指紋存儲：針對終端未匹配指紋庫成功的情況，會將當前未匹配成功的終端特征進行存儲，用于后續(xù)進行終端特征學習。

(5)自動學習特征：當終端某一次的掃描特征匹配指紋庫成功，即識別成功后，此時會進入自動學習流程。首先會從指紋學習庫中查詢該終端是否存在待學習的終端特征，如果有，則將這些特征逐一學習成本次成功識別的終端類型(如果有n 條待學習的特征，就會學習為n 條新的終端特征)，并將這些學習過后的終端指紋特征自動升級到指紋庫。當下一次掃描到終端信息，只要終端信息之前學習過，那都可以成功識別出該終端的類型。

3.1.2 終端特征自動學習算法

終端特征的自動學習算法依賴于終端特征信息的收集和提取，系統(tǒng)將提取到的終端特征組與特征庫中的終端指紋進行匹配，根據(jù)匹配結(jié)果最終得到終端的識別結(jié)果。當終端特征與指紋庫匹配失敗，即終端類型識別失敗時，系統(tǒng)就會對該終端的特征進行記錄，并標記該終端為開始自動學習的狀態(tài)，開始為該終端建立自動學習單元。自動學習算法過程如圖4 所示。

圖4 自動學習算法

如圖4 所示，終端A 具有n 種工作模式，在每一種工作模式下，控制器收集到的終端特征都不相同，分別為特征1、特征2、特征n。當特征1 第一次被收集到后，系統(tǒng)對該終端進行指紋庫特征匹配，匹配結(jié)果為失敗，此時系統(tǒng)就會為終端1 建立學習單元M-A，M代表終端的mac 地址唯一標識，表示由終端A 建立的學習單元。

終端A 前n-1 次均匹配特征庫失敗，在學習單元中根據(jù)每次收集到的不同特征，建立起該終端的學習因子M-F1、M-F2 一直到M-Fn-1，直到第n 次收集到的終端特征匹配成功，根據(jù)特征因子M-Fn 識別出了終端類型T（其中F1、F2、Fn 代表終端的不同特征信息）,此時自動學習單元就會將之前的n-1 個學習因子逐一與類型T 進行配對，并將配對后的對應終端特征錄入終端特征指紋庫，自動升級豐富特征庫。

當終端第n+k 次收集到的特征進行指紋庫特征匹配時(k為第n 次之后的任意一次)，仍然匹配失敗，由于之前第n 次的時候該終端已經(jīng)成功識別了類型為T，則直接將類型T 與本次收集到的特征進行配對并加入指紋庫即完成特征自動學習。

3.2 終端安全管控技術(shù)設計

為實現(xiàn)感知系統(tǒng)中的終端類型變化、接入位置變化，使客戶可以第一時間發(fā)現(xiàn)系統(tǒng)中的異常終端，并進行及時處理，對終端進行安全管控設計。當系統(tǒng)中出現(xiàn)終端位置變化、類型變化等，可以通過告警提示或者提前配置的策略對終端進行管控，防止系統(tǒng)出現(xiàn)安全隱患，終端安全管控流程如圖5 所示。

基于圖5 的安全管控流程，當終端接入系統(tǒng)后，其位置信息和類型特征等發(fā)生變化，終端管理系統(tǒng)可以及時感知到終端的信息變化，為用戶進行告警或阻斷終端等，從而達到保護網(wǎng)絡，防止惡意入侵、終端仿冒等安全問題。終端安全管控流程主要步驟如下：

圖5 終端安全管控流程圖

(1)終端接入網(wǎng)絡后，需要進行準入認證，認證通過后會首先將該終端與基線終端信息進行對比，如果發(fā)現(xiàn)接入位置發(fā)生了變化，則會進行相應的告警或者根據(jù)用戶事先配置的策略進行阻斷。

(2)當在步驟(1)中終端未被阻斷時，會繼續(xù)對該認證通過的終端進行識別，對終端類型識別完成后，再進行后續(xù)處理。

(3)如果本次對該終端識別成功，則會與基線終端進行判斷，如果基線終端的類型與本次識別的類型不一致，則認為該終端是仿冒終端，發(fā)生了安全事件，此時就會進行告警通知或者阻斷處理。如果發(fā)現(xiàn)該終端此時還沒有基線，則會將本次識別結(jié)果以及終端認證上線攜帶的位置信息作為基線終端信息。

(4)如果本次對終端識別失敗，此時則會根據(jù)用戶預先設置的閾值進行特征相似度比較，當相似度大于閾值，則認為沒有發(fā)生仿冒，不進行告警或阻斷；如果相似度小于閾值，則認為終端發(fā)生了仿冒，此時會作為安全事件進行告警或阻斷處理。

根據(jù)上述流程，保證終端在接入網(wǎng)絡后，其信息變化能及時被系統(tǒng)感知并通知用戶，便于用戶及時處理網(wǎng)絡中的異常終端信息，避免惡意入侵網(wǎng)絡。通過相似度閾值判斷，也可以避免系統(tǒng)在識別失敗時出現(xiàn)誤報仿冒，影響用戶判斷，從而靈活控制網(wǎng)絡中的終端。

4 應用與實踐結(jié)果分析

4.1 應用場景分析

智能終端管理解決方案的主要應用場景是典型的三層組網(wǎng)或扁平化二層組網(wǎng)結(jié)構(gòu)的大樓或園區(qū)，同時支持通過廣域網(wǎng)連接主園區(qū)的扁平化二層網(wǎng)絡，邊緣網(wǎng)絡設備是交換機或者是交換路由一體機，其應場景如圖6所示。

圖6 智能終端管理解決方案應用場景圖

圖6 是智能終端管理解決方案的主要應用場景，終端通過邊緣接入設備接入到網(wǎng)絡中，由智能終端管理平臺對入網(wǎng)終端進行統(tǒng)一的準入認證管控、資產(chǎn)維護、安全防護和預警等。根據(jù)對終端多特征自動學習，自動升級特征庫，從而智能識別終端類型，進入資產(chǎn)維護和安全管控，對全網(wǎng)終端進行智能管理，保障網(wǎng)絡安全。

4.2 實踐結(jié)果分析

通過在客戶環(huán)境中進行應用與實踐，智能終端管理解決方案有效地解決了客戶面臨的終端管理困難、終端資產(chǎn)難以維護、網(wǎng)絡面臨安全風險等問題，對于海量終端管理和維護、保障網(wǎng)絡安全具有重要意義。

智能終端管理解決方案通過設計自動學習終端特征，有效解決了終端在不同工作模式下特征不同而導致識別不準確或識別錯誤的問題。整個過程無需人為介入，系統(tǒng)便可自動學習終端特征并升級終端指紋庫。對于識別成功的終端，用戶可以在系統(tǒng)中進行資產(chǎn)維護和管理，而不需要人為對網(wǎng)絡中的終端進行統(tǒng)計，大大節(jié)約了人力成本和維護成本。在客戶環(huán)境中進行實踐，加入特征自動學習前后的識別成功率對比如表1 所示。

表1 自動學習前后識別成功率對比表

通過表1 可知，加入終端特征自動學習后，系統(tǒng)對終端類型的識別成功率有了明顯的提升。

根據(jù)終端智能識別功能，設計終端安全管控，有效地解決了終端位置變化、終端仿冒、私接等用戶感知不及時的問題，通過告警和配置策略進行阻斷，使用戶可以快速發(fā)現(xiàn)網(wǎng)絡中的異常終端從而進行相應的管控處理，達到了保障網(wǎng)絡安全的目的。

5 結(jié)論

通過一體化的終端管理平臺，實現(xiàn)對等級保護等合規(guī)要求中的準入控制、資源控制、資產(chǎn)管理、安全審計、終端防護等進行全面覆蓋。通過準入控制，用戶可以實時看到接入網(wǎng)絡中的終端，并對這些終端進行準入控制；通過建立安全策略進行安全管理，系統(tǒng)可以感知到終端接入位置的變化以及類型信息變化；通過智能識別，用戶可以感知接入網(wǎng)絡中的終端類型，通過終端管理系統(tǒng)對網(wǎng)絡中的終端進行高效的管理。