CN107276858A - 一种访问关系梳理方法及系统 - Google Patents
一种访问关系梳理方法及系统 Download PDFInfo
- Publication number
- CN107276858A CN107276858A CN201710707477.7A CN201710707477A CN107276858A CN 107276858 A CN107276858 A CN 107276858A CN 201710707477 A CN201710707477 A CN 201710707477A CN 107276858 A CN107276858 A CN 107276858A
- Authority
- CN
- China
- Prior art keywords
- access
- relation
- originator
- visual
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/04—Processing captured monitoring data, e.g. for logfile generation
- H04L43/045—Processing captured monitoring data, e.g. for logfile generation for graphical visualisation of monitoring data
Abstract
本发明实施例公开了一种访问关系梳理方法及系统,用于将访问关系可视化的直观展示。本发明实施例方法包括:采集全部的访问关系;确定每个访问关系中的基础访问信息;确定基础访问信息中的访问源及访问目的;通过线条及箭头,将访问源及访问目的连接起来,形成可视化的访问关系,线条表示访问关系,箭头表示访问方向。本发明实施例还提供了一种访问关系梳理系统,用于将访问关系可视化的直观展示。
Description
技术领域
本发明涉及通信安全技术领域,尤其涉及一种访问关系梳理方法及系统。
背景技术
在一个完整的信息系统里面,日志系统是一个非常重要的功能组成部分。它可以记录下系统所产生的所有行为,并按照某种规范表达出来。我们可以使用日志系统所记录的信息为系统进行排错,优化系统的性能,或者根据这些信息调整系统的行为。在安全领域,日志可以反应出很多的安全攻击行为,比如登录错误,异常访问等。日志还能告诉你很多关于网络中所发生事件的信息,包括性能信息、故障检测和入侵检测。日志会成为在事故发生后查明“发生了什么”的一个很好的“取证”信息来源。日志可以为审计进行审计跟踪。
而现有的日志记录方式在使用过程中存在一些不便之处,如现有的访问日志记录或审计日志只能通过查询的方式进行展示,无法通过可视化的直观方式进行查看及分析;现有的访问日志或审计日志中只是记录访问信息,无有效的机制检测违规访问情况,如某IP对服务器无3389端口的访问权限,而实际却存在访问情况,现有的访问日志无法及时发现并检测策略配置的遗漏情况。
发明内容
本发明实施例提供了一种访问关系梳理方法及系统,用于将访问日志中的访问关系可视化表达,形成可视化的访问关系,并对访问关系中的访问源及访问目的浮动显示访问关系的审计信息,从而益于发现违规访问情况。
本发明实施例一方面提供了一种访问关系梳理方法,包括:
采集全部的访问关系;
确定每个访问关系中的基础访问信息;
确定基础访问信息中的访问源及访问目的;
通过线条及箭头,将访问源及访问目的连接起来,形成可视化的访问关系,线条表示访问关系,箭头表示访问方向。
可选的,基础访问信息包括:
五元组信息、访问时间、访问次数、流量大小及访问应用;
五元组信息包括:
访问源、访问目的、源端口、目的端口及传输层协议;
访问源包括:单个或多个源IP;
访问目的包括:单个或多个目的IP。
可选的,方法还包括:
对访问源及访问目的浮动显示访问关系的审计信息,审计信息包括访问时间集、访问次数、流量大小、访问应用集及目的端口。
可选的,可视化的访问关系,包括:
服务器维度可视化的访问关系、用户维度可视化的访问关系及单节点维度可视化的访问关系。
可选的,服务器维度可视化的访问关系,包括:
确定访问源及访问目的中的服务器,显示与服务器相连接的访问关系的审计信息。
可选的,用户维度可视化的访问关系,包括:
确定访问源及访问目的中的用户,显示与用户相连接的访问关系的审计信息。
可选的,公务维度可视化的访问关系,包括:
确定访问源及访问目的中的单个节点,显示与单个节点相连接的访问关系的审计信息。
本发明实施例另一方面提供了一种访问关系梳理系统,包括:
采集单元,用于采集全部的访问关系;
第一确定单元,用于确定每个访问关系中的基础访问信息;
第二确定单元,用于确定基础访问信息中的访问源及访问目的;
连接单元,用于通过线条及箭头,将访问源及访问目的连接起来,形成可视化的访问关系,线条表示访问关系,箭头表示访问方向。
可选的,可视化的访问关系,包括:
服务器维度可视化的访问关系、用户维度可视化的访问关系及单节点维度可视化的访问关系。
可选的,服务器维度可视化的访问关系,包括:
确定访问源及访问目的中的服务器,显示与服务器相连接的访问关系的审计信息。
可选的,用户维度可视化的访问关系,包括:
确定访问源及访问目的中的用户,显示与用户相连接的访问关系的审计信息。
可选的,单节点维度可视化的访问关系,包括:
确定访问源及访问目的中的单个节点,显示与单个节点相连接的访问关系的审计信息。
从以上技术方案可以看出,本发明实施例具有以下优点:
本发明中,采集全部访问关系,确定每个访问关系中的访问源及访问目的,通过线条及箭头将访问源及访问目的连接起来,形成可视化的访问关系,从而实现访问关系的直观化展示。
附图说明
图1为本发明实施例中一种访问关系梳理方法的一个实施例示意图;
图2为本发明实施例中一种访问关系梳理方法的另一个实施例示意图;
图3为一种多维度的访问关系梳理图;
图4为本发明实施例中一种访问关系梳理方法的另一个实施例示意图;
图5为服务器维度的访问关系梳理图;
图6为本发明实施例中一种访问关系梳理方法的另一个实施例示意图;
图7为用户维度的访问关系梳理图;
图8为本发明实施例中一种访问关系梳理方法的另一个实施例示意图;
图9为单节点的全网通路图;
图10为本发明实施例中一种访问关系梳理系统的一个实施例示意图;
图11为本发明实施例中一种访问关系梳理系统的另一个实施例示意图。
具体实施方式
本发明实施例提供了一种访问关系梳理方法及系统,用于将访问日志中记录的访问关系直观化进行展示。
为了使本技术领域的人员更好地理解本发明方案,下面对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
为便于理解,先对文中的专用术语解释如下:
探针:一种旁路部署方式的流量采集设备,一般用于态势感知产品进行采集分析,能识别流量访问中的五元组信息、应用/协议信息等。
态势感知:态势感知是一种基于环境的、动态、整体地洞悉安全风险的能力,是以安全大数据为基础,从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式,最终是为了决策与行动,是安全能力的落地。现指带感知能力的安全防护设备。文中的所有态势感知平台、态势感知产品,即指带感知能力的安全防护设备。
下面来描述本发明实施例中的一种访问关系的梳理方法,请参阅图1,本发明实施例中一种访问关系的梳理方法的一个实施例,包括:
101、采集全部的访问关系;
为了实现访问关系的可视化直观展示,本实施例需依赖态势感知平台或具有记录全网访问日志的审计设备,为便于说明,文中皆以态势感知平台进行表示。态势感知平台上可以设置探针,即一种流量采集设备,用于对态势感知平台的流量进行采集分析,并识别流量访问中的五元组信息、应用或协议等。
本实施例中,访问关系梳理系统利用态势感知平台记录全网各个区域内的全部访问请求、访问过程及访问结果,通过探针对态势感知平台记录的全部访问关系(即访问请求、访问过程及访问结果)进行采集,并进一步进行识别。
102、确定每个访问关系中的基础访问信息;
探针从态势感知平台上采集到全部的访问关系后,进一步对每个访问关系进行识别,从而确定每个访问关系中的基础访问信息,其中基础访问信息的具体内容在下面的实施例中详细描述。
103、确定基础访问信息中的访问源及访问目的;
探针确定了每个访问关系中的基础访问信息后,进一步确定基础访问信息中的访问源及访问目的,其中访问源为发起访问请求的一方,访问目的为被请求访问的一方,具体的访问源可以为一个网络节点、一个具体的IP地址,或多个网络节点的集合,或多个IP地址的集合。
可以理解的是,本实施例中的访问源及访问目的可以为单个概念或集合概念。
104、通过线条及箭头,将访问源及访问目的连接起来,形成可视化的访问关系,线条表示访问关系,箭头表示访问方向。
探针确定了基础访问信息中的访问源及访问目的后,访问关系梳理系统通过线条及箭头,将访问源及访问目的连接起来,形成可视化的访问关系,其中线条表示访问关系,箭头表示访问方向。
本发明中,通过采集全部访问关系,确定每个访问关系中的访问源及访问目的,再通过线条及箭头将访问源及访问目的连接起来,形成可视化的访问关系,从而实现访问关系的直观化展示。
基于图1所述实施例中的访问源及访问目的,下面对本发明实施例中的一种访问关系梳理方法进行详细的描述,请参阅图2,本发明实施例中的一种访问关系梳理方法的另一个实施例,包括:
201、采集全部的访问关系;
为了实现访问关系的可视化直观展示,本实施例需依赖态势感知平台或具有记录全网访问日志的审计设备,为便于说明,文中皆以态势感知平台进行表示。态势感知平台上可以设置探针,即一种流量采集设备,用于对态势感知平台的流量进行采集分析,并识别流量访问中的五元组信息、应用或协议等。
本实施例中,访问关系梳理系统利用态势感知平台记录全网各个区域内的全部访问请求、访问过程及访问结果,通过探针对态势感知平台记录的全部访问关系(即访问请求、访问过程及访问结果)进行采集,并进一步进行识别。
需要说明的是,对于本实施例中的访问关系,除了采用探针采集外,还可以通过其他设备,如网间流量采集分析一体化设备(TCAD)来进行采集,本实施例中对访问关系的采集设备及采集技术不做具体限制。
202、确定每个访问关系中的基础访问信息;
探针从态势感知平台上采集到全部的访问关系后,进一步对每个访问关系进行识别,从而确定每个访问关系中的基础访问信息,其中基础访问信息包括:五元组信息、访问应用、访问协议、访问时间、访问次数、总流量大小等,其中五元组信息包括:源IP、目的IP、源端口、目的端口及传输层协议。
203、确定基础访问信息中的访问源及访问目的;
探针确定了每个访问关系中的基础访问信息后,进一步确定基础访问信息中的访问源及访问目的,其中访问源为发起访问请求的一方,访问目的为被请求访问的一方,具体的访问源及访问目的可以为一个网络节点、一个具体的IP地址,或多个网络节点的集合,或多个IP地址的集合。
例如:访问源及访问目的可以为某公司的一台PC机、如审计部小张的PC机;一个IP地址,如123.123.12.12;也可以为多台PC机,如某公司审计部的多台PC机组成的集合;或多个IP地址的集合,如公司内网的IP地址集合或公司外网的IP地址集合。
可以理解的是,本实施例中的访问源及访问目的可以为单个概念或集合概念。
204、通过线条及箭头,将访问源及访问目的连接起来,形成可视化的访问关系,线条表示访问关系,箭头表示访问方向。
探针确定了基础访问信息中的访问源及访问目的后,访问关系梳理系统通过线条及箭头,将访问源及访问目的连接起来,形成可视化的访问关系,其中线条表示访问关系,箭头表示访问方向。
205、对访问源及访问目的浮动显示访问关系的审计信息,审计信息包括访问时间集、访问次数、流量大小、访问应用集及目的端口。
将访问源及访问目的通过线条及箭头连接起来,形成可视化的访问关系后,对访问关系的访问源及访问目的浮动显示访问关系的审计信息,其中审计信息包括访问时间集、访问次数、流量大小、访问应用及目的端口。
其中访问时间集包括:访问源及访问目的的历史访问时间及最新访问时间,访问应用为访问源基于哪种访问应用发起到访问目的的访问请求,如QQ应用,淘宝应用、支付宝应用等,目的端口为访问源到访问目的的访问路径中访问目的的接受端口。图3为根据图2所述的方法得出的一种多维度(用户维度、服务器维度、单节点维度)的访问关系梳理图,其中用户组为多个PC机的组合,业务组为多个业务或多个服务器的组合。
由图3的访问关系梳理图,可以及时检测到以下几种类型的潜在问题:
1、无外网访问权限的服务器,访问了外网;
2、网关未对服务器限制,导致暴露在外网,被外网进行访问;
3、存在相互之间可以访问的服务器;
4、服务器器未做有效访问控制,被大量用户访问;
5、影子资产,即管理员不知道的或长久未管控被遗忘的资产。
本发明中,通过探针采集全部访问关系,确定每个访问关系中的访问源及访问目的,通过线条及箭头将访问源及访问目的连接起来,形成可视化的访问关系,从而实现访问关系的直观化展示。
其次,通过对访问源及访问目的浮动显示访问关系的审计信息,益于发现访问关系中的异常访问及违规访问行为,提供了一种检测策略配置遗漏的机制。
基于图3所示的多维度访问关系梳理图,下面以多个业务中的某个业务为中心来描述服务器维度的访问关系梳理图,请参阅图4,本发明实施例中一种访问关系梳理方法的另一个实施例,包括:
401、采集全部的访问关系;
402、确定每个访问关系中的基础访问信息;
403、确定基础访问信息中的访问源及访问目的;
404、通过线条及箭头,将访问源及访问目的连接起来,形成可视化的访问关系,线条表示访问关系,箭头表示访问方向;
需要说明的是,本实施例中的步骤401至404与图2所述实施例中的步骤201至204类似,此处不再赘述。
405、确定访问源及访问目的中的服务器,显示与服务器相连接的访问关系的审计信息。
本实施例中经过步骤401至404形成多维度的访问关系梳理图后,因存在与用户相关联的多个业务,步骤405以ERP业务为中心,来描述服务器维度的访问关系梳理图。
形成多维度的访问关系梳理图后,确定访问源及访问目的中某个业务的服务器,显示与服务器相连接的访问关系的审计信息,即为服务器维度的访问关系梳理图,图5为本实施例中服务器维度的访问关系梳理图,其中以ERP业务或服务器为核心维度(居中),可视化展示其被访问、其发起访问共两个方向的关系图,左侧为与该业务/服务器有访问关系的用户,右侧为与该业务/服务器有访问关系的其他业务/服务器。
通过图5,可以梳理出包括但不限于以下几种类型的潜在问题:
1、与当前服务器业务无关的用户访问,需要限制;
2、当前业务的哪个资产服务器访问最多;
3、当前业务的访问流量排行、访问应用排行;
4、异常访问行为,如远程登陆应用访问当前服务器;
5、违规访问行为,如当前服务器无需上网但存在主动外连情况。
本发明中,通过探针采集全部访问关系,确定每个访问关系中的访问源及访问目的,通过线条及箭头将访问源及访问目的连接起来,形成可视化的访问关系,从而实现访问关系的直观化展示。
其次,通过对访问源及访问目的中的服务器浮动显示访问关系的审计信息,益于发现访问关系中的异常访问及违规访问行为,提供了一种检测策略配置遗漏的机制。
基于图3所示的多维度访问关系梳理图,下面以某个用户组中的多个用户为中心来描述服务器维度的访问关系梳理图,请参阅图6,本发明实施例中一种访问关系梳理方法的另一个实施例,包括:
601、采集全部的访问关系;
602、确定每个访问关系中的基础访问信息;
603、确定基础访问信息中的访问源及访问目的;
604、通过线条及箭头,将访问源及访问目的连接起来,形成可视化的访问关系,线条表示访问关系,箭头表示访问方向;
需要说明的是,本实施例中的步骤601至604与图2所述实施例中的步骤201至204类似,此处不再赘述。
605、确定访问源及访问目的中的用户,显示与用户相连接的访问关系的审计信息。
本实施例中经过步骤601至604形成多维度的访问关系梳理图后,因存在与业务相关联的多个用户组,步骤605以某个用户组为中心,来描述用户维度的访问关系梳理图。
形成多维度的访问关系梳理图后,确定访问源及访问目的中某个用户组的用户,显示与用户相连接的访问关系的审计信息,即为用户维度的访问关系梳理图,图7为本实施例中用户维度的访问关系梳理图,其中左侧展示的一个用户组内的所有用户对业务的访问情况,右侧为被访问到的业务/服务器,中间为访问时使用的应用/协议/端口信息。通过左侧点击指定的用户,可以查看该IP所访问过的所有业务/服务器,以及访问时的协议/应用、时间等。通过右侧点击指定业务/服务器,可以查看其被哪些用户访问过,具体使用的协议/应用等信息。
通过图7,可以梳理出包括但不限于以下几种类型的潜在问题:
1、违规访问行为,如未授权的用户通过RDP、SSH等登陆服务器。
2、异常访问行为,如合法用户在凌晨登陆了核心业务平台后并进行了下载,而该用户正在办理离职手续。
3、服务器开放的且已被访问的协议/端口/应用,IT运维人员需及时根据业务需要进行关闭。
4、可疑访问行为,如多个用户对某个业务存在相同的访问行为,时间规律相同。
5、攻击行为,如一个用户对大量业务/服务器存在指定目的端口的大量访问行为,可判断为扫描行为。
本发明中,通过探针采集全部访问关系,确定每个访问关系中的访问源及访问目的,通过线条及箭头将访问源及访问目的连接起来,形成可视化的访问关系,从而实现访问关系的直观化展示。
其次,通过对访问源及访问目的中的用户浮动显示访问关系的审计信息,益于发现访问关系中的异常访问及违规访问行为,提供了一种检测策略配置遗漏的机制。
基于图3所示的多维度访问关系梳理图,下面以全网架构中的单个节点为中心来描述服务器维度的访问关系梳理图,请参阅图8,本发明实施例中一种访问关系梳理方法的另一个实施例,包括:
801、采集全部的访问关系;
802、确定每个访问关系中的基础访问信息;
803、确定基础访问信息中的访问源及访问目的;
804、通过线条及箭头,将访问源及访问目的连接起来,形成可视化的访问关系,线条表示访问关系,箭头表示访问方向;
需要说明的是,本实施例中的步骤801至804与图2所述实施例中的步骤201至204类似,此处不再赘述。
805、确定访问源及访问目的中的单个节点,显示与单个节点相连接的访问关系的审计信息。
本实施例中经过步骤801至804形成多维度的访问关系梳理图后,因在梳理图中存在全网的多个节点,步骤805以某个节点为中心,来描述用户维度的访问关系梳理图。
形成多维度的访问关系梳理图后,确定访问源及访问目的中某个节点,显示与节点相连接的访问关系的审计信息,即为单节点的访问关系梳理图,图9为本实施例中单节点维度的访问关系梳理图,其可视化的展示了基于单节点的所有访问行为,以及该单节点对端节点的访问行为,类似星状图,围绕单个节点展示其周边的访问情况,可以快速的摸索该节点到其他节点的快速通路。
通过图9,可以梳理出包括但不限于以下几种类型的问题:
1、通过判断一个服务器的访问情况,来进一步判断通路故障,快速识别出哪条路发生故障。
2、通过访问关系梳理,IT人员可以更精确的配置ACL规则来限制内网的访问情况,从而更容易配置出有效的ACL策略。
3、直观地展示是否存在隔离情况,及隔离的程度是否彻底。
本发明中,通过探针采集全部访问关系,确定每个访问关系中的访问源及访问目的,通过线条及箭头将访问源及访问目的连接起来,形成可视化的访问关系,从而实现访问关系的直观化展示。
其次,通过对访问源及访问目的中的单个节点浮动显示访问关系的审计信息,益于发现访问关系中的故障及隔离行为,提供了一种检测策略配置遗漏的机制。
上面描述了本发明中的一种访问关系的梳理方法,下面来描述本发明中的一种访问关系梳理系统,请参阅图10,本发明中的一种访问关系梳理系统的一个实施例,包括:
采集单元1001,用于采集全部的访问关系;
第一确定单元1002,用于确定每个访问关系中的基础访问信息;
第二确定单元1003,用于确定所述基础访问信息中的访问源及访问目的;
连接单元1004,用于通过线条及箭头,将所述访问源及访问目的连接起来,形成可视化的访问关系,所述线条表示访问关系,所述箭头表示访问方向。
需要说明的是,本实施例中各单元的作用与图1所述实施例中访问关系梳理系统的作用类似,此处不再赘述。
本发明中,通过采集单元1001采集全部访问关系,第一确定单元1003确定每个访问关系中的访问源及访问目的,连接单元1004通过线条及箭头将访问源及访问目的连接起来,形成可视化的访问关系,从而实现访问关系的直观化展示。
为方便理解,下面详细描述本发明实施例中的一种访问关系梳理系统,请参阅图11,本发明实施例中一种访问关系梳理系统的另一个实施例,包括:
采集单元1101,用于采集全部的访问关系;
第一确定单元1102,用于确定每个访问关系中的基础访问信息;
第二确定单元1103,用于确定所述基础访问信息中的访问源及访问目的;
连接单元1104,用于通过线条及箭头,将所述访问源及访问目的连接起来,形成可视化的访问关系,所述线条表示访问关系,所述箭头表示访问方向。
除上述单元外,该系统还包括:
显示单元1105,用于对所述访问源及访问目的浮动显示访问关系的审计信息,所述审计信息包括访问时间集、访问次数、流量大小、访问应用集及目的端口。
需要说明的是,本实施例中各单元的作用与图2所述实施例中访问关系梳理系统的作用类似,此处不再赘述。
可以理解的是,根据可视化的访问关系的维度,可以将可视化的访问关系分为:服务器维度可视化的访问关系、用户维度可视化的访问关系及单节点可视化的访问关系,其中对于不同维度的可视化的访问关系,只需分别确定访问源及访问目的中的服务器、用户及单个节点,然后通过显示单元1105分别显示与服务器,用户及单个节点连接的访问关系的审计信息。其中具体的操作步骤可以参照图4、图6及图8所述的实施例中的相关步骤,此处不再赘述。
本发明中,通过采集单元1101采集全部访问关系,第一确定单元1103确定每个访问关系中的访问源及访问目的,连接单元1104通过线条及箭头将访问源及访问目的连接起来,形成可视化的访问关系,从而实现访问关系的直观化展示。
其次,通过显示单元1105对访问源及访问目的浮动显示访问关系的审计信息,益于发现访问关系中的异常访问及违规访问行为,提供了一种检测策略配置遗漏的机制。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上,以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (12)
1.一种访问关系梳理方法,其特征在于,包括:
采集全部的访问关系;
确定每个访问关系中的基础访问信息;
确定所述基础访问信息中的访问源及访问目的;
通过线条及箭头,将所述访问源及访问目的连接起来,形成可视化的访问关系,所述线条表示访问关系,所述箭头表示访问方向。
2.根据权利要求1所述的访问关系梳理方法,其特征在于,所述基础访问信息包括:
五元组信息、访问时间、访问次数、流量大小及访问应用;
所述五元组信息包括:
访问源、访问目的、源端口、目的端口及传输层协议;
所述访问源包括:单个源IP或多个源IP的集合;
所述访问目的包括:单个目的IP或多个目的IP的集合。
3.根据权利要求2所述的访问关系梳理方法,其特征在于,所述方法还包括:
对所述访问源及访问目的浮动显示所述访问关系的审计信息,所述审计信息包括访问时间集、访问次数、流量大小、访问应用集及目的端口。
4.根据权利要求1至3中任一项所述的访问关系梳理方法,其特征在于,所述可视化的访问关系,包括:
服务器维度可视化的访问关系、用户维度可视化的访问关系及单节点维度可视化的访问关系。
5.根据权利要求4所述的访问关系梳理方法,其特征在于,所述服务器维度可视化的访问关系,包括:
确定所述访问源及访问目的中的服务器,显示与所述服务器相连接的访问关系的审计信息。
6.根据权利要求4所述的访问关系梳理方法,其特征在于,所述用户维度可视化的访问关系,包括:
确定所述访问源及访问目的中的用户,显示与所述用户相连接的访问关系的审计信息。
7.根据权利要求4所述的访问关系梳理方法,其特征在于,所述单节点维度可视化的访问关系,包括:
确定所述访问源及访问目的中的单个节点,显示与所述单个节点相连接的访问关系的审计信息。
8.一种访问关系梳理系统,其特征在于,包括:
采集单元,用于采集全部的访问关系;
第一确定单元,用于确定每个访问关系中的基础访问信息;
第二确定单元,用于确定所述基础访问信息中的访问源及访问目的;
连接单元,用于通过线条及箭头,将所述访问源及访问目的连接起来,形成可视化的访问关系,所述线条表示访问关系,所述箭头表示访问方向。
9.根据权利要求8所述的系统,其特征在于,所述可视化的访问关系,包括:
服务器维度可视化的访问关系、用户维度可视化的访问关系及单节点维度可视化的访问关系。
10.根据权利要求9所述的系统,其特征在于,所述服务器维度可视化的访问关系,包括:
确定所述访问源及访问目的中的服务器,显示与所述服务器相连接的访问关系的审计信息。
11.根据权利要求9所述的系统,其特征在于,所述用户维度可视化的访问关系,包括:
确定所述访问源及访问目的中的用户,显示与所述用户相连接的访问关系的审计信息。
12.根据权利要求9所述的系统,其特征在于,所述单节点维度可视化的访问关系,包括:
确定所述访问源及访问目的中的单个节点,显示与所述单个节点相连接的访问关系的审计信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710707477.7A CN107276858A (zh) | 2017-08-17 | 2017-08-17 | 一种访问关系梳理方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710707477.7A CN107276858A (zh) | 2017-08-17 | 2017-08-17 | 一种访问关系梳理方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107276858A true CN107276858A (zh) | 2017-10-20 |
Family
ID=60080445
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710707477.7A Pending CN107276858A (zh) | 2017-08-17 | 2017-08-17 | 一种访问关系梳理方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107276858A (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110062046A (zh) * | 2019-04-24 | 2019-07-26 | 全知科技(杭州)有限责任公司 | 一种数据访问全路径关联审计方法 |
| CN110557269A (zh) * | 2018-05-31 | 2019-12-10 | 阿里巴巴集团控股有限公司 | 业务数据的处理方法和系统、数据处理方法 |
| CN110798427A (zh) * | 2018-08-01 | 2020-02-14 | 深信服科技股份有限公司 | 一种网络安全防御中的异常检测方法、装置及设备 |
| CN111181978A (zh) * | 2019-12-31 | 2020-05-19 | 深信服科技股份有限公司 | 异常网络流量的检测方法、装置、电子设备及存储介质 |
| CN112291370A (zh) * | 2020-12-28 | 2021-01-29 | 金锐同创(北京)科技股份有限公司 | 一种业务访问关系的处理方法及相关设备 |
| CN112543186A (zh) * | 2020-11-23 | 2021-03-23 | 西安四叶草信息技术有限公司 | 一种网络行为检测方法、装置、存储介质及电子设备 |
| CN113703915A (zh) * | 2021-08-17 | 2021-11-26 | 深信服科技股份有限公司 | 访问关系可视化方法、装置、电子设备和存储介质 |
| CN114124575A (zh) * | 2022-01-24 | 2022-03-01 | 深圳市永达电子信息股份有限公司 | 基于态势感知的防火墙acl自动生成方法和存储介质 |
| CN114465922A (zh) * | 2021-12-21 | 2022-05-10 | 中孚安全技术有限公司 | 一种用户访问基线的可视化监控方法、系统及装置 |
| CN114866286A (zh) * | 2022-04-07 | 2022-08-05 | 水利部信息中心 | 一种基于网络流量的梳理影子资产的方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101430710A (zh) * | 2008-11-14 | 2009-05-13 | 中国科学院软件研究所 | 一种数据可视化引擎系统 |
| CN103051609A (zh) * | 2012-12-07 | 2013-04-17 | 东软集团股份有限公司 | 网关设备及由其执行的网络访问控制的可视化交互方法 |
| CN104993952A (zh) * | 2015-06-19 | 2015-10-21 | 成都艾尔普科技有限责任公司 | 网络用户行为审计与责任管理系统 |
| US10372937B2 (en) * | 2014-06-27 | 2019-08-06 | Microsoft Technology Licensing, Llc | Data protection based on user input during device boot-up, user login, and device shut-down states |
-
2017
- 2017-08-17 CN CN201710707477.7A patent/CN107276858A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101430710A (zh) * | 2008-11-14 | 2009-05-13 | 中国科学院软件研究所 | 一种数据可视化引擎系统 |
| CN103051609A (zh) * | 2012-12-07 | 2013-04-17 | 东软集团股份有限公司 | 网关设备及由其执行的网络访问控制的可视化交互方法 |
| US10372937B2 (en) * | 2014-06-27 | 2019-08-06 | Microsoft Technology Licensing, Llc | Data protection based on user input during device boot-up, user login, and device shut-down states |
| CN104993952A (zh) * | 2015-06-19 | 2015-10-21 | 成都艾尔普科技有限责任公司 | 网络用户行为审计与责任管理系统 |
Non-Patent Citations (1)
| Title |
|---|
| 深圳市天汇世纪科技有限公司: "深信服全网安全感知平台方案", 《深圳市天汇世纪科技有限公司官网,WWW.TIMECOO/NEWSITEM/277877535》 * |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110557269A (zh) * | 2018-05-31 | 2019-12-10 | 阿里巴巴集团控股有限公司 | 业务数据的处理方法和系统、数据处理方法 |
| CN110798427A (zh) * | 2018-08-01 | 2020-02-14 | 深信服科技股份有限公司 | 一种网络安全防御中的异常检测方法、装置及设备 |
| CN110062046B (zh) * | 2019-04-24 | 2021-08-13 | 全知科技(杭州)有限责任公司 | 一种数据访问全路径关联审计方法 |
| CN110062046A (zh) * | 2019-04-24 | 2019-07-26 | 全知科技(杭州)有限责任公司 | 一种数据访问全路径关联审计方法 |
| CN111181978A (zh) * | 2019-12-31 | 2020-05-19 | 深信服科技股份有限公司 | 异常网络流量的检测方法、装置、电子设备及存储介质 |
| CN111181978B (zh) * | 2019-12-31 | 2022-09-30 | 深信服科技股份有限公司 | 异常网络流量的检测方法、装置、电子设备及存储介质 |
| CN112543186A (zh) * | 2020-11-23 | 2021-03-23 | 西安四叶草信息技术有限公司 | 一种网络行为检测方法、装置、存储介质及电子设备 |
| CN112543186B (zh) * | 2020-11-23 | 2023-02-14 | 西安四叶草信息技术有限公司 | 一种网络行为检测方法、装置、存储介质及电子设备 |
| CN112291370A (zh) * | 2020-12-28 | 2021-01-29 | 金锐同创(北京)科技股份有限公司 | 一种业务访问关系的处理方法及相关设备 |
| CN113703915A (zh) * | 2021-08-17 | 2021-11-26 | 深信服科技股份有限公司 | 访问关系可视化方法、装置、电子设备和存储介质 |
| CN113703915B (zh) * | 2021-08-17 | 2023-07-14 | 深信服科技股份有限公司 | 访问关系可视化方法、装置、电子设备和存储介质 |
| CN114465922A (zh) * | 2021-12-21 | 2022-05-10 | 中孚安全技术有限公司 | 一种用户访问基线的可视化监控方法、系统及装置 |
| CN114124575A (zh) * | 2022-01-24 | 2022-03-01 | 深圳市永达电子信息股份有限公司 | 基于态势感知的防火墙acl自动生成方法和存储介质 |
| CN114866286A (zh) * | 2022-04-07 | 2022-08-05 | 水利部信息中心 | 一种基于网络流量的梳理影子资产的方法 |
| CN114866286B (zh) * | 2022-04-07 | 2023-10-27 | 水利部信息中心 | 一种基于网络流量的梳理影子资产的方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107276858A (zh) | 一种访问关系梳理方法及系统 | |
| US10791141B2 (en) | Anonymized network data collection and network threat assessment and monitoring systems and methods | |
| Lakkaraju et al. | NVisionIP: netflow visualizations of system state for security situational awareness | |
| JP4373779B2 (ja) | ステイトフル分散型イベント処理及び適応保全 | |
| US11700279B2 (en) | Integrated security and threat prevention and detection platform | |
| US9185124B2 (en) | Cyber defense systems and methods | |
| US9503477B2 (en) | Network policy assignment based on user reputation score | |
| US20070266433A1 (en) | System and Method for Securing Information in a Virtual Computing Environment | |
| US20160127417A1 (en) | Systems, methods, and devices for improved cybersecurity | |
| US20220060507A1 (en) | Privilege assurance of enterprise computer network environments using attack path detection and prediction | |
| CN107231371A (zh) | 电力信息网的安全防护方法、装置和系统 | |
| CN107347047A (zh) | 攻击防护方法和装置 | |
| Mualfah et al. | Network forensics for detecting flooding attack on web server | |
| Kebande et al. | Real-time monitoring as a supplementary security component of vigilantism in modern network environments | |
| US20220060509A1 (en) | Privilege assurance of enterprise computer network environments using lateral movement detection and prevention | |
| EP1946217A2 (en) | Systems and methods for remote rogue protocol enforcement | |
| Miloslavskaya | Security operations centers for information security incident management | |
| CN102857388A (zh) | 云探安全管理审计系统 | |
| KR20140035146A (ko) | 정보보안 장치 및 방법 | |
| CN107332863A (zh) | 一种基于集中管理的主机的安全检测方法及系统 | |
| CN206962850U (zh) | 电力信息网的安全防护系统及电力信息系统 | |
| JP2006295232A (ja) | セキュリティ監視装置、セキュリティ監視方法、及びプログラム | |
| Sharma et al. | Intrusion detection and prevention systems using snort | |
| JP2023540440A (ja) | ローカル監視デバイスを用いた分散ネットワーク監視のためのシステム、方法及び媒体 | |
| Vokorokos et al. | Security of distributed intrusion detection system based on multisensor fusion |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20171020 |