【安全课堂】代理检测之离散时间算法
  

深信服安全产品研发 4656

{{ttag.title}}
作者简介:
余训峰 某公司安全产品部研发人员
专注“终端识别”和“防共享上网”领域的研究与改进,4年以上检测识别技术研究经验,其独创的检测识别机制使得检测识别技术应用效果有明显提高。





代理检测之离散时间算法

什么是代理检测

代理检测就是 终端与终端之间通过代理或私接wifi共享的情况下, 通过代理检测可以识别出具体的终端个数。

当前随着移动互联网的高速发展,智能手机、平板电脑愈来愈普及,但运营商手机上网资费居高不下且价格昂贵,用户更喜欢使用wifi上网,360wifi和tplink等便携式随身路由器的兴起更是让用户铤而走险在企业或高校网络中私接wifi上网。

这些私接行为,不仅导致了用户工作效率下降,还会导致内网暴露引起安全问题客户收益受损。通过代理检测可以识别出具体的终端个数。可以帮助网络管理员发现私接用户,及时了解代理的终端具体数量,并做出下一步操作。


什么是离散时间

离散时间是代理检测中的一种检测方式,用来检测PC与PC间的代理。
通过办公网络的实验数据表明,基本不存在两个系统时间完全一致的PC,即表明PC与PC之间的系统时间是不完全一致的,而是有一定的时间差,比如秒级别或者分钟级别的时间差。而离散时间就是建立在前面的基础上, 通过离散的方式统计每个被检测的PC系统时间和AC的系统时间的差值,达到检测PC终端的个数。


离散时间怎样实现代理检测的

图片1.png
图1 检测网络拓扑简化图

如图1所示,PCA和PCB都部署在NAT设备之后,出口部署AC代理检测设备。每隔一段时间内PCA和PCB都会将时间差上报给AC代理检测设备,AC代理检测设备会维护该获取到的时间差。

图片2.png

图2 聚类示意图
某一个时间段内,
PCA上报的时间差为10、10、11、12、9……,
PCB上报的时间为-20、-20、-20、-21、-22、-23……,

我们可以发现,每个客户端PC上报的时间差都落在一个很小的误差范围内。所以,AC代理检测设备在收到这些时间差之后,根据聚类算法,把最相近的时间差聚集在一起,而把彼此距离较远的时间差认为是不同的分类,即对应不同的终端用户。

根据上面的例子,可以看出:
10、10、11、12、9……对应一个终端,            
-20、-20、-20、-21、-22、-23……对应一个终端。

可以想象,经过一段时间之后,我们将获取到图2类似的聚类示意图,PCA的时间差被聚类在一定的半径范围内,PCB的时间差被聚类在另一个半径范围内。

图片4.png
图3 时间离散示意图

           此外,对流经AC代理检测设备的时间自动更新数据包进行了离散化处理,即保证在开启的检测数范围内,对客户端PC的时间进行均匀离散化,从而保证内网用户在同一时刻的时间完全彼此不同并均匀离散。所以,AC代理检测设备运行的时间越长,检测效果会越好。

        一个离散化的例子如图3所示。假定客户允许的最大终端数为4,那么对第一个时间更新+24秒,即比标准时间快24秒,对第二次时间更新-24秒,即比标准时间慢24秒,对第三次时间更新比标准时间+12秒,对第四次时间更新-12秒,通过这样的离散化处理,让每个终端用户的时间尽可能的彼此存在差值,而通过这样的离散化处理之后,将使得后面的聚类更加容易,也可以使得更多的代理被检测到。

打赏鼓励作者,期待更多好文!

打赏
暂无人打赏

Sangfor_闪电回_朱丽 发表于 2016-3-23 11:21
  
有了这个技术,防共享功能更加强大了,大赞~~~
Beijixiong 发表于 2016-4-10 15:54
  
通过实践证明,放共享功能还是有一定的局限,真心无法判断!
小少 发表于 2016-4-14 11:28
  
被误判的机子还是存在的。
citygun 发表于 2016-4-22 07:02
  
还是希望某公司早日突破技术瓶颈,真正做到简单明了的禁用随身wifi。
北回归线 发表于 2016-4-22 11:21
  
现在有应用吗
我是大富翁 发表于 2019-5-4 22:52
  
一般的问题都能在这里解决。
00008 发表于 2019-5-7 10:24
  
好东西,收藏了
发表新帖
热门标签
全部标签>
每日一问
技术盲盒
技术笔记
每周精选
干货满满
技术咨询
信服课堂视频
秒懂零信任
自助服务平台操作指引
新版本体验
标准化排查
产品连连看
安装部署配置
功能体验
GIF动图学习
玩转零信任
2023技术争霸赛专题
技术晨报
安全攻防
每日一记
深信服技术支持平台
天逸直播
华北区交付直播
社区帮助指南
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
上网策略
测试报告
日志审计
问题分析处理
流量管理
运维工具
云计算知识
用户认证
原创分享
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
答题榜单公布
纪元平台
通用技术
卧龙计划
华北区拉练
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV

本版达人

新手68983...

本周分享达人

零和一网络

本周提问达人