“国基北盛edu”的账号简介为:“国基北盛(南京)科技发展有限公司是南京第五十五所技术开发有限公司控股的子公司,致力于南京第五十五所教育板块的业务。公司深耕教育,探索和实践产教融合校企合作创新模式。”
越境VPN识别系统:Cross-border VPN Detection System
产品白皮书
为贯彻落实国家网信办、教育部等部委对“翻墙”行为的政策要求,帮助用户及时发现提供“翻墙”服务的租户,我司结合自身多年工作经验和优势,推出了越境VPN识别系统。
越境VPN识别系统是一款对抗“翻墙”行为流量的新一代智能识别引擎,该系统基于旁路流量的全方位检测与响应,可实现实时“翻墙”发现预警、回溯取证和违规画像分析,多场景赋能高校安全合规运营。系统以多维训练模型和深度算法为基础,通过监控互联网出口双向流量,最终实现“翻墙”行为发现预警、取证和回溯的效果。
1.产品背景
建设背景在当今全球化和技术深度融合的时代背景下,各核心领域如工业、金融、能源及教育等行业的数字化进程正在迅猛推进。随着生成式人工智能(Generative AI)技术的广泛应用,全球数据流动呈现出前所未有的活跃与复杂特性,跨境数据交换量也呈指数级增长。然而,这一趋势也加剧了跨国数据安全挑战,迫切需要高效的跨境数据治理解决方案来应对数据泄露、恶意渗透等重大安全问题。
尤其值得关注的是,在未经许可的情况下用于访问境外网站的现象日益突出,成为数据安全管理的重大隐患。此类违规外联活动不仅可能导致敏感数据和信息的泄露,引发法律风险,也可能成为境外不良信息传播、政治渗透以及犯罪活动的通道,如赌博、非法金融交易以及其他违法行为。在极端情况下,可能诱发社会安全事件或导致个人悲剧。
当前针对违规翻墙行为的检测与识别仍面临较大技术瓶颈,由于这类行为特征隐蔽且多样,现有的检测手段往往伴随着较高的误报率。当误报超过50%时,检测的有效性便大大降低,亟待研发更为精准有效的识别方法。因此,我们提出了一种针对违规外联访问境外网站异常数据流动行为特征提取与识别的方法。该方法通过对大量违规外联跨境数据报文进行深度挖掘和模式分析,建立一套系统化的特征筛选和提炼机制,以实现在复杂的跨境数据传输环境中,能迅速准确地捕捉到“翻墙”异常行为的标志特征,有效提升对这类行为检测的准确性与针对性,为揭示和防控跨境数据传输中 的潜在风险提供了强有力的技术支撑。
监管政策1997年12月30日,公安部发布了《计算机信息网络国际联网安全保护管理办法》,第十二条规定,互联单位、接入单位、使用计算机信息网络国际联网的法人和其他组织(包括跨省、 自治区、直辖市联网的单位和所属的分支机构),应当自网络正式联通之日起 30 日内,到所在地的省、自治区、直辖市人民政府公安机关指定的受理机关办理备案手续。
2017年1月17日,工业和信息化部发布了《关于清理规范互联网网络接入服务市场的通 知》,工信部信管函[2017]32 号,该通知指出未经电信主管部门批准,不得自行建立或租用专线等其他信道开展跨境活动。
2.产品综述
产品介绍:为贯彻落实国家对翻墙行为的政策要求,帮助用户及时发现提供“翻墙”服务的租户,我司结合自身多年工作经验和优势,推出了越境VPN识别系统。
越境VPN识别系统是一款对抗翻墙行为流量的新一代智能识别引擎,该系统基于旁路流量的全方位检测与响应,可实现实时翻墙发现预警、回溯取证和违规画像分析,多场景赋能企业安全合规运营。系统以多维训练模型和深度算法为基础,通过监控互联网出口双向流量,最终实现翻墙行为发现预警、取证和回溯的效果。
产品逻辑架构
越境VPN识别系统逻辑架构图如下:
数据捕获分类:通过数据包捕获元数据(如五元组、协议类型、报文交互过程、时间戳等等),对相同时间段内的所有数据包进行分类缓存,分类的数据将用于后续综合特征提取和异常行为分析。
模型键入:构建模型键入值,通过捕获的分类数据进行特征提取(包括但不限于五元组信息、协议类型、时间戳、正/异常流量特征、基线限制规则等等),对提取的不同特征进行特征关联加权匹配,并作为泛化特征值为输入指标。
模型裁决:模型通过基于学习流量而得到的系数进行关联计算,并设定一个违规阀值,当违规概率值超过阈值时,系统将该行为判定为违规外连,从而形成建模行为标准规则。
预缓存违规特征库裁决:系统针对每一个检测单元设置预缓存违规特征库,预缓存特征流量在同一时间窗口具备相似特征的,可提供总线共享实现递归神经网络,预缓存流量匹配到预缓存违规特征库后无需再分析数据包直接判断违规。
产品功能
可视化大屏
VPN监测大屏提供一站式、可视化的VPN使用合规性监控与洞察能力。通过整合核心数据指标与多维度深度分析,大屏实现了对违规VPN访问行为的实时感知、趋势研判与风险定位,助力快速发现潜在威胁,提升安全运营效率,保障企业网络环境安全合规。
核心指标总览建立整体风险态势认知。平台聚焦于四个最关键维度:违规主机数、违规UID数、违规代理服务器数及告警总数,让您一眼掌握当前违规访问的整体概况,为后续深入分析提供决策锚点。
深入多维分析模块,精准定位核心风险源。在整体态势基础上,大屏通过一系列可视化图表对风险进行拆解与溯源:
违规上网行为统计TOP10:直观展示排名前十的最高频违规行为类型,助力分析主要的违规意图。
违规代理服务器访问TOP8:聚焦于被频繁使用的非法代理服务器IP,揭示外部风险热点,为实施封禁策略提供直接依据。
监测统计:通过监测主机数与违规主机数的对比,清晰呈现受监控范围的覆盖率与整体违规比例,量化安全状况。
违规主机IP排行TOP5:直接锁定当前最活跃的违规内网主机IP地址,便于优先进行排查与处置。
访问时长占比:分析违规访问时长的分布情况,有助于判断行为性质(如持续数据泄露、偶发性违规等)。
最终闭环于监测告警,确保风险及时响应。大屏专设“今日告警监测”模块,动态滚动展示最新触发的安全告警事件。它将上述所有分析视角汇聚为可行动的实时信息,确保团队能够第一时间发现并处理正在进行中的高危违规活动,完成从“全局洞察”到“即时处置”的安全管理闭环。
越境VPN识别系统可视化大屏图
首页:
实现对翻墙行为数据进行展示,一共可分为数据概览、违规上网行为统计、违规主机IP TOP5、违规UID用户TOP5、监测趋势、监测状态、实时告警七个板块。
支持统计并展示违规主机数、监测主机数、违规代理服务器数、告警数量、违规UID数、平均告警时长七个方面的统计概况。
支持违规上网行为统计,通过匹配域名特征库分析违规上网的行为,例如云服务、广告服务、内容分发、数据服务、游戏、成人内容等等。通过标题旁的图标可切换查看涉政、涉恐、涉宗教三个重点关注行为的违规情况。
统计展示系统内违规次数排行前5的主机IP,可通过时间筛选功能查看指定时段内的主机IP违规排行;统计展示系统内违规次数排行前5的用户UID,可通过时间筛选功能查看指定时段内的用户UID违规排行。
支持通过曲线图展示监测到的主机数据和违规数据,可以通过切换近7天或近30天两个时间维度来查看对应时段的监测数据。
支持基于地图展示违规代理服务器的地理分布态势,辅助进行区域风险评估。
支持用滚动列表的形式展示平台实时监测到的违规数据,数据包括主机地址、代理地址、端口、用户UID,点击IP可查看当前告警的访问详情。
支持统计隧道/代理协议(如SSR、SS、Trojan、Vless、未知等)的使用次数与占比,支撑技术特征识别、检测规则与策略优化。
支持违规应用统计,基于创建的违规应用目录及每个应用的匹配规则对访问的域名数据做关联匹配。
越境VPN识别系统首页图
告警日志
越境VPN识别系统的核心可以通过多种方式实现针对翻墙行为的精准监测感知。通过数据采集、分析和挖掘、异常检测和预警、用户行为分析、流量分析和深度包检测等技术手段的综合应用,可以有效发现翻墙行为,从而保障网络的安全稳定运行。
根据特征提取进行聚合分析正常上网流量的访问,这种情况不进行告警;可实现对非正常流量,识别判定翻墙行为,从而进行实时告警,提供翻墙IP地址以及对应的代理地址可供回溯处置。
在经过海量翻墙数据样本训练和深度算法,可通过监控互联网出口双向流量,对翻墙行为进行实时告警,包含主机告警列表/用户告警列表、违规代理地址、违规代理服务域名、所属区域、翻墙操作系统信息、翻墙浏览器、翻墙协议及翻墙正确率的信息展示。支持翻墙协议的识别,主要翻墙协议识别包含:vless,vmess,ss,ssr,ipsec,Trojan。告警详情中对本次告警访问的域名是否涉及涉政、涉恐、涉宗教等敏感行为类型以及是否访问了系统关注的违规应用均做了分析统计。
越境VPN识别系统告警日志图
越境VPN识别系统告警详情
数据回溯
支持对翻墙流量进行时间线生成对应的翻墙行为轨迹数据分析回溯内容。还原和存储加密翻墙流量的元数据,能为用户呈现一次翻墙代理的完整过程,帮助用户对翻墙进行回溯和深度分析。翻墙行为轨迹回溯内容包含智能分析、翻墙IP/UID、代理服务地址/端口、违规次数以及翻墙时间和时长。智能分析会对用户的翻墙行为进行分类,同时判断是否存在涉敏行为。
越境VPN识别系统数据回溯图
报告中心
实现对报告的管理,平台内置周报/月报生成机制,在周期末自动生成周报/月报;支持自定义选择时间跨度,手动创建报告;支持自动总结最新一份报告的关键指标数据;支持查看报告详情并导出报告。报告内容包含总体违规概况、违规IP/UID的TOP5排行、翻墙告警趋势图、违规代理服务排行以及访问时间占比等等。
越境VPN识别系统报告中心图
越境VPN识别系统报告详情图
违规用户画像
越境VPN识别系统通过多维度数据形成翻墙用户画像,利用时间、端口、代理服务器等数据形成异常IP评分体系,方便用户直观了解用户翻墙行为链情况。支持对平台内的违规主机按照IP或ID自动进行分类整合,并根据违规主机产生的违规行为自动生成对应的画像;支持自动总结画像的关键指标数据;支持查看详情和导出画像。
越境VPN识别系统违规用户画像图
越境VPN识别系统违规用户画像详情图
代理IP管理
支持代理IP地址集中管理,展示所有翻墙使用的违规代理服务器相关信息,包含违规代理服务器IP、端口、对应的伪装域名、服务器所在区域、使用该代理IP的主机数和对应主机IP。
支持通过代理IP、主机地址对代理服务器信息进行快速搜索。支持直接选择对应代理服务器加入白名单中,允许放行不进行告警。
越境VPN识别系统代理IP管理图
资产库
资产库支持以用户列表为单位进行整合检测到的所有的设备信息,把相同用户ID的设备都整合到一起,从而实现对发现的设备资产进行统一管理。资产库信息支持显示用户ID、主机IP、MAC地址、OS版本号以及终端数量。
越境VPN识别系统资产库用户列表图
系统管理
配置管理支持白名单管理,可添加信任的代理服务器IP地址和域名,对白名单地址放通,不检测白名单可信任地址。
配置管理支持黑名单管理,可添加不信任的域名,访问黑名单内的域名必定触发告警。
配置管理支持IP配置管理,包括网口设置、IP地址设置、子网掩码设置以及路由设置,并支持地址连通性Ping测试。其中除网口ETH0为固定管理口、ETH5固定为售后管理管理口外,剩余四个网口支持自主设置为流量口。
主机IP段配置面向IP地址为非私有地址的用户,支持通过该页面配置对应的公网地址段,配置完成后即可正常进行使用。
域名分类分为分类和标签两个板块,用于对用户的翻墙行为类型进行管理,其中标签板块代表重点关注的行为,如涉政、涉恐、涉宗教等。
配置管理支持上传前端的升级包进行系统压缩包在线升级,升级后可查看当前版本号及本次更新说明,每次升级会生成日志记录,进入日志可查看每次升级记录的更新说明。
系统支持前端开启认证平台对接功能,开启后即可通过认证平台获取违规的用户UID等数据。
系统管理支持服务监控,实时监控CPU使用情况、内存使用情况、服务器信息及磁盘状态。
系统管理支持日志管理,能够展示系统操作日志及登录日记。操作日志可展示系统模块、操作类型、操作人员、操作地址、操作状态、操作日期、消耗时间及操作日志详情。登录日志可展示用户名称、登录地址、使用的浏览器、登录状态、操作信息及登录日期,并可删除和导出日志。
系统支持对违规应用进行配置,可以配置违规应用及其匹配规则。
用户管理支持对系统账号进行增删改查的操作,支持配置用户名、姓名、 密码、单位以及角色等信息,支持停/启用。
越境VPN识别服务监控
越境VPN识别系统IP配置管理
越境VPN识别系统主机IP段配置管理
越境VPN识别系统域名分类管理
越境VPN识别系统认证平台配置管理
越境VPN识别系统升级管理
越境VPN识别系统系统管理日志管理图
支持对用户的新建、删除、编辑、重置密码等操作。
越境VPN识别系统用户管理图
越境VPN识别系统违规应用管理
产品优势
1.多维数据判定,精准度高
通过多维度特征加权、关联计算以及阀值匹配的方式,相比较传统产品误报率高且不准确的问题,本产品的AI判定能力从最大程度增加翻墙告警的准确性。
2.预缓存匹配,高并发、高时效
设置临时翻墙模型库,预缓存特征流量在同一时间窗口具备相似特征的,可提供总线共享实现递归神经网络,预缓存流量匹配到临时翻墙模型库后无需再分析数据包直接判断违规。
3.违规特征库,数据反哺
基于算法和流量分析追踪收集翻墙中转代理节点IP、域名和端口信息,形成本地违规特征库,生成高价值情报数据,以边缘接入侧数据反哺大网监测能力。
4.典型部署越境VPN识别系统部署方式如下:
越境VPN识别系统部署示意图
部署说明:
越境VPN识别系统设备旁挂核心交换机上,交换机将需要检测的流量通过流量镜像到越境VPN识别系统设备进行分析和识别。
越境VPN识别系统设备分析加密流量后,通过模型训练和算法触发分析结果,并发现翻墙代理服务器IP 。
通过多维分析,发现异常翻墙代理服务器IP以及端口方式,进行实时预警以及用户画像分析,及时降低监管合规风险。
5.联系我们公司名称:
国基北盛(南京)科技发展有限公司
地 址:江苏省南京市秦淮区中山东路524号
电 话:18919654100、17505149493、18936863660、15256565177
邮 编:210016
适用版本
本文档适用于越境VPN识别系统2.1.2版本。
免责条款
根据适用法律的许可范围,我司“原样”提供本文档而不承担任何形式的担保,包括(但不限于)任何隐含的适销性、特殊目的适用性或无侵害性。在任何情况下,我司都不会对最终用户或任何第三方因使用本文档造成的任何直接或间接损失或损坏负责,即使我司明确得知这些损失或损坏,这些损坏包括(但不限于)利润损失、业务中断、信誉或数据丢失。