物聯(lián)網(wǎng)(IoT)、新操作系統(tǒng)和移動(dòng)性的高速發(fā)展正在引發(fā)接入網(wǎng)絡(luò)終端數(shù)量不斷增多，終端類(lèi)型也愈加復(fù)雜。2020年，已有超過(guò)300億臺(tái)終端接入網(wǎng)絡(luò);終端類(lèi)型除了一些傳統(tǒng)設(shè)備，如PC、BYOD等智能終端和打印機(jī)、攝像頭等啞終端，還大量的工業(yè)控制、醫(yī)療電子等IoT終端。終端數(shù)量和終端類(lèi)型的不斷增長(zhǎng)，導(dǎo)致在終端運(yùn)維和終端安全上也產(chǎn)生了諸多的挑戰(zhàn)。

網(wǎng)絡(luò)管理系統(tǒng)只能查看接入終端的 IP 和 MAC，并不知道終端具體是什么設(shè) 備，無(wú)法對(duì)網(wǎng)絡(luò)終端做更精細(xì)的管理。

園區(qū)內(nèi)大量啞終端MAC認(rèn)證接入網(wǎng)絡(luò)，需要手工收集、錄入啞終端的MAC地址，讓網(wǎng)絡(luò)管理人員的工作既繁瑣又容易出錯(cuò)。

辦公場(chǎng)景，一個(gè)工作人員使用同一個(gè)賬號(hào)登錄PC或者手機(jī)接入網(wǎng)絡(luò)，無(wú)法根據(jù)用戶接入網(wǎng)絡(luò)使用的終端類(lèi)型授權(quán)不同的權(quán)限。

園區(qū)內(nèi)物聯(lián)終端越來(lái)越多，攝像頭、打印機(jī)、門(mén)禁等啞終端更容易被攻擊和仿冒。據(jù)Gartner調(diào)查，近20%的企業(yè)或相關(guān)機(jī)構(gòu)在過(guò)去三年內(nèi)遭受了至少一次基于物聯(lián)網(wǎng)的攻擊。

圖一：接入網(wǎng)絡(luò)終端增長(zhǎng)趨勢(shì)圖

問(wèn)題1、2、3的產(chǎn)生，本質(zhì)上都是因?yàn)椴恢С纸K端信息的自動(dòng)識(shí)別。在支持終端信息自動(dòng)識(shí)別后，網(wǎng)絡(luò)管理系統(tǒng)就可以基于終端的MAC/IP信息補(bǔ)充終端的類(lèi)型、型號(hào)等詳細(xì)信息;認(rèn)證服務(wù)器可以基于上線終端信息設(shè)置免認(rèn)證策略，自動(dòng)收集、錄入終端的MAC信息;認(rèn)證服務(wù)器也可以基于不同的終端類(lèi)型設(shè)置不同的授權(quán)策略。

問(wèn)題4的產(chǎn)生，主要是因?yàn)閱〗K端使用MAC認(rèn)證等弱認(rèn)證方法接入網(wǎng)絡(luò)，容易被仿冒;啞終端的系統(tǒng)和軟件版本老舊、漏洞多，缺乏定時(shí)查殺病毒習(xí)慣與機(jī)制，容易被非法用戶攻擊。因此，我們需要能夠?qū)崟r(shí)檢測(cè)啞終端的異常，并且對(duì)異常啞終端能夠控制其網(wǎng)絡(luò)訪問(wèn)權(quán)限，防止威脅網(wǎng)絡(luò)安全。

怎樣做到終端的智能管理

基于前面的問(wèn)題分析，我們提出了包括終端識(shí)別和終端異常檢測(cè)的終端感知技術(shù)，用于解決終端智能運(yùn)維和終端安全的諸多問(wèn)題，從而實(shí)現(xiàn)終端的智能管理。

什么是終端識(shí)別?

終端識(shí)別是一種通過(guò)多種手段綜合分析而自動(dòng)識(shí)別到終端目標(biāo)屬性的技術(shù)，可以識(shí)別的終端屬性包括：終端類(lèi)型、廠商、型號(hào)、操作系統(tǒng)等。終端識(shí)別方法包括被動(dòng)指紋識(shí)別和主動(dòng)探測(cè)識(shí)別兩種類(lèi)別。其中，被動(dòng)指紋識(shí)別通過(guò)采集終端的MAC OUI、DHCP Option、HTTP UserAgent、mDNS、LLDP等指紋信息，并與指紋庫(kù)匹配識(shí)別出終端屬性信息;主動(dòng)探測(cè)識(shí)別通過(guò)SNMP查詢、NMAP OS掃描以及可動(dòng)態(tài)擴(kuò)展的探測(cè)腳本掃描終端，基于終端探測(cè)響應(yīng)信息和指紋庫(kù)匹配識(shí)別出終端屬性信息。

華為終端識(shí)別系統(tǒng)內(nèi)置業(yè)界最全的指紋庫(kù)，在辦公場(chǎng)景支持識(shí)別的終端款型最多，終端識(shí)別準(zhǔn)確率達(dá)到95%以上。

什么是終端異常檢測(cè)?

終端異常檢測(cè)是一種通過(guò)多種手段綜合分析得到終端較原先正常狀態(tài)是否發(fā)生異常的技術(shù)。終端異常檢測(cè)方法包括終端類(lèi)型異常檢測(cè)、終端指紋異常檢測(cè)、終端流行為異常檢測(cè)。其中，終端類(lèi)型異常檢測(cè)和終端指紋異常檢測(cè)依賴于終端識(shí)別技術(shù)，如果終端的類(lèi)型或者指紋信息發(fā)生變化，則認(rèn)為終端可能存在異常;終端流行為異常檢測(cè)，通過(guò)檢測(cè)終端流量行為特征識(shí)別終端是否存在異常。

終端智能管理還有哪些技術(shù)難題

終端指紋庫(kù)是終端識(shí)別技術(shù)的核心資產(chǎn)和重要基礎(chǔ)，當(dāng)前網(wǎng)絡(luò)環(huán)境中存在著終端種類(lèi)繁多、更新快、各行業(yè)終端差異大、敏感行業(yè)終端網(wǎng)絡(luò)數(shù)據(jù)樣本難獲取等眾多挑戰(zhàn)。因此，如何收集各類(lèi)終端的指紋信息，并且提取生成終端指紋庫(kù)是終端識(shí)別的一個(gè)技術(shù)難點(diǎn)。

基于終端類(lèi)別和終端指紋的異常檢測(cè)方法，對(duì)于仿冒終端構(gòu)造報(bào)文以及終端被木馬攻擊等場(chǎng)景無(wú)法準(zhǔn)確識(shí)別異常?；诮K端流量行為特征可以識(shí)別如上場(chǎng)景的終端異常行為，但是如何獲取終端的流量行為模型并且實(shí)時(shí)識(shí)別終端流量行為是否異常是一個(gè)技術(shù)難點(diǎn)。

華為在終端智能管理做了哪些技術(shù)創(chuàng)新

創(chuàng)新一，將AI自然語(yǔ)言文本處理算法引入網(wǎng)絡(luò)協(xié)議領(lǐng)域，挖掘網(wǎng)絡(luò)字段中的實(shí)體和關(guān)系，構(gòu)建終端感知領(lǐng)域的語(yǔ)言模型，并用于終端指紋規(guī)則的自動(dòng)化提取，解決網(wǎng)絡(luò)中未知終端的識(shí)別。通過(guò)自動(dòng)化的終端指紋規(guī)則提取方案，解決了終端數(shù)量多、指紋庫(kù)更新不及時(shí)、敏感行業(yè)終端規(guī)則無(wú)法提取而導(dǎo)致的客戶網(wǎng)絡(luò)終端識(shí)別率低問(wèn)題，基于AI挖掘算法的終端指紋規(guī)則提取準(zhǔn)確率達(dá)95%以上。

圖二：終端指紋規(guī)則自動(dòng)提取示例圖

創(chuàng)新二，基于終端流量行為特征數(shù)據(jù)使用AI算法訓(xùn)練生成終端流量行為模型，并且基于終端流量行為模型使用AI推理算法實(shí)時(shí)檢測(cè)終端流量行為特征是否異常。終端流量行為特征包括上下行流量統(tǒng)計(jì)、報(bào)文長(zhǎng)度、連接個(gè)數(shù)、目的連接統(tǒng)計(jì)(IP、端口、協(xié)議)等。華為基于流行為的終端異常檢測(cè)系統(tǒng)支持的終端流量行為模型包括預(yù)置流量行為模型和在線訓(xùn)練流量行為模型，異常檢測(cè)準(zhǔn)確率達(dá)到90%以上。常見(jiàn)的終端(如攝像頭、打印機(jī)、IP話機(jī))通過(guò)線下訓(xùn)練生成流量行為模型，并且預(yù)置在支持檢測(cè)的網(wǎng)絡(luò)設(shè)備中;其他的未知終端，通過(guò)在線采集終端的流量行為特征，使用AI算法在線訓(xùn)練生成流量行為模型。

圖三：終端上下行流量行為特征示意圖

綜上，華為終端智能管理方案基于包括終端識(shí)別和終端異常檢測(cè)的終端感知技術(shù)，解決了終端精細(xì)化管理、終端即插即用、終端差異化策略以及終端安全等客戶痛點(diǎn)問(wèn)題。終端智能管理通過(guò)部署iMaster NCE-Campus、園區(qū)交換機(jī)、AirEngine AP、AirEngine AC構(gòu)建的智能園區(qū)網(wǎng)絡(luò)實(shí)現(xiàn)，可應(yīng)用在企業(yè)、政府、教育、金融、制造等行業(yè)。

原文標(biāo)題：網(wǎng)絡(luò)還可以識(shí)別終端類(lèi)型和異常?

文章出處：【微信公眾號(hào)：華為數(shù)據(jù)通信】歡迎添加關(guān)注!文章轉(zhuǎn)載請(qǐng)注明出處。

審核編輯：湯梓紅