CN107302527B - 一种设备异常检测方法及装置 - Google Patents

一种设备异常检测方法及装置 Download PDF

Info

Publication number
CN107302527B
CN107302527B CN201710431772.4A CN201710431772A CN107302527B CN 107302527 B CN107302527 B CN 107302527B CN 201710431772 A CN201710431772 A CN 201710431772A CN 107302527 B CN107302527 B CN 107302527B
Authority
CN
China
Prior art keywords
detected
information
equipment
address
target
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201710431772.4A
Other languages
English (en)
Other versions
CN107302527A (zh
Inventor
王跃东
张聪
张巨世
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Qianxin Technology Group Co Ltd
Original Assignee
Qianxin Technology Group Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Qianxin Technology Group Co Ltd filed Critical Qianxin Technology Group Co Ltd
Priority to CN201710431772.4A priority Critical patent/CN107302527B/zh
Publication of CN107302527A publication Critical patent/CN107302527A/zh
Application granted granted Critical
Publication of CN107302527B publication Critical patent/CN107302527B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明实施例提供一种设备异常检测方法及装置。所述方法包括:获取待检测网络流量对应的待检测源端点设备对应的IP地址、MAC地址和设备指纹信息,待检测目的端点设备对应的IP地址、MAC地址和设备指纹信息;将待检测信息与预先建立的基准库中的目标基准信息进行匹配,获得匹配结果;根据匹配结果判断待检测网络流量对应的待检测端点设备是否异常。所述装置用于执行所述方法。本发明实施例通过获取待检测网络流量的待检测信息,将待检测信息与预先建立的基准库中的目标基准信息进行匹配来对待检测端点设备进行异常判断,实现了对流量重定向异常的判断,从而提高了判断的准确性。

Description

一种设备异常检测方法及装置
技术领域
本发明实施例涉及网络安全技术领域,尤其涉及一种设备异常检测方法及装置。
背景技术
随着互联网技术的飞速发展,网络中接入的设备数量及种类也越来越多,例如:手机、PC机、平板电脑、笔记本电脑、打印机、IP电话、门禁等等。这些设备的出现给人们的生活带来了极大的便利,也使得工作效率也更加高效。但是,一些不法人员的操作也会给网络的安全造成一定的威胁。
对于物联网环境下的工业控制系统,对其检测通常是利用特征匹配引起对网络内的流量进行分析,主要是指工业控制的特定协议,如modbus、zigbee等,也包括对各种传统终端行为流量的分析。目前,传统的TCP/IP特征包匹配的方法是经过解析监控到的网络流量,从网络流量中获取源IP地址、源MAC地址和目的IP地址、目的MAC地址,如果源IP地址、源MAC地址和目的IP地址、目的MAC地址均正确,则说明该网络流量正常。但是,现实中可能会存在盗用设备IP地址和MAC地址的情况,这种异常也称为流量重定向,此时,传统的TCP/IP特征报匹配异常检测方法便发现不了这种异常,从而导致了异常检测的准确性较低的问题。
发明内容
针对现有技术存在的问题,本发明实施例提供一种设备异常检测方法及装置。
第一方面,本发明实施例提供一种设备异常检测方法,包括:
获取待检测网络流量对应的待检测信息,所述待检测信息包括:待检测源端点设备对应的IP地址、MAC地址和设备指纹信息,待检测目的端点设备对应的所述IP地址、所述MAC地址和所述设备指纹信息,所述设备指纹信息包括硬件信息、操作系统信息和应用服务信息;
将所述待检测信息与预先建立的基准库中的目标基准信息进行匹配,获得匹配结果;
根据所述匹配结果判断所述待检测网络流量对应的待检测端点设备是否异常,所述待检测端点设备包括所述待检测源端点设备和/或所述待检测目的端点设备。
第二方面,本发明实施例提供一种设备异常检测装置,包括:
获取模块,用于获取待检测网络流量对应的待检测信息,所述待检测信息包括:待检测源端点设备对应的IP地址、MAC地址和设备指纹信息,待检测目的端点设备对应的所述IP地址、所述MAC地址和所述设备指纹信息;
匹配模块,用于将所述待检测信息与预先建立的基准库中的目标基准信息进行匹配,获得匹配结果;
判断模块,用于根据所述匹配结果判断所述待检测网络流量对应的待检测端点设备是否异常,所述待检测端点设备包括所述待检测源端点设备和/或所述待检测目的端点设备。
第三方面,本发明实施例提供一种电子设备,包括:处理器、存储器和总线,其中,
所述处理器和所述存储器通过所述总线完成相互间的通信;
所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行上述方法步骤。
第四方面,本发明实施例提供一种非暂态计算机可读存储介质,包括:
所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行上述方法步骤。
本发明实施例提供的一种设备异常检测方法及装置,通过获取待检测网络流量的待检测信息,将待检测信息与预先建立的基准库中的目标基准信息进行匹配来对待检测端点设备进行异常判断,实现了对流量重定向异常的判断,从而提高了判断的准确性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种设备异常检测方法流程示意图;
图2为本发明实施例提供的一种设备异常检测装置结构示意图;
图3为本发明另一实施例提供的一种设备异常检测装置结构示意图;
图4为本发明实施例提供的一种电子设备实体结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明实施例提供的一种设备异常检测方法流程示意图,如图1所示,所述方法,包括:
步骤101:获取待检测网络流量对应的待检测信息,所述待检测信息包括:待检测源端点设备对应的IP地址、MAC地址和设备指纹信息,待检测目的端点设备对应的所述IP地址、所述MAC地址和所述设备指纹信息;
具体地,设备异常检测装置获取待检测端口中的待检测网络流量对应的待检测信息,可以为在端点设备与网关之间的交换机上开启端口镜像,将通过该交换机的待检测网络流量镜像要一个空闲端口上,设备异常检测装置可以通过该空闲端口来获取待检测信息。其中待检测信息中包括待检测源端点设备对应的IP地址、MAC地址和设备指纹信息,待检测目的端点设备对应的所述IP地址、所述MAC地址和所述设备指纹信息,以上信息构成了一条待检测信息。应当说明的是,当有网络流量流过交换机时,交换机上经过端口镜像后的空闲端口上能够获取到该网络流量对应的待检测源端点设备的IP地址、MAC地址,待检测目的端点设备的IP地址、MAC地址,此时,设备异常检测装置发起对该网络流量的指纹扫描,从而获得到待检测源端点设备的设备指纹信息和目的端点设备的设备指纹信息。设备指纹信息是指可以用于唯一标识出该设备的设备特征或者独特的设备标识,设备指纹信息中包括一些固有的、较难篡改的、唯一的设备标识。比如设备的硬件ID,像手机在生产过程中都会被赋予一个唯一的IME编号,用于唯一标识该台设备。
步骤102:将所述待检测信息与预先建立的基准库中的目标基准信息进行匹配,获得匹配结果;
具体地,设备异常检测装置将待检测信息与基准库中的目标基准信息进行匹配,并获得匹配结果,其中,基准库是预先建立的,且基准库中包括多条基准信息,设备异常检测装置根据待检测信息从基准库中选择一条基准信息作为目标基准信息来进行匹配。应当说明的是,基准库中的每条基准信息包括源端点设备对应的IP地址、MAC地址和设备指纹信息,目的端点设备对应的IP地址、MAC地址和设备指纹信息。且源端点设备对应的IP地址和目的端点设备对应的IP地址构成IP地址对,源端点设备对应的MAC地址和目的端点设备对应的MAC地址构成MAC地址对,源端点设备对应的设备指纹信息和目的端点设备对应的设备指纹信息构成设备指纹信息对。
步骤103:根据所述匹配结果判断所述待检测网络流量对应的待检测端点设备是否异常,所述待检测端点设备包括所述待检测源端点设备和/或所述待检测目的端点设备。
具体地,经过匹配后可以得到匹配结果,根据匹配结果可以判断出待检测端点设备是否异常,其中,待检测端点设备包括待检测源端点设备和/或待检测目的端点设备,如果待检测源端点设备匹配失败,则说明待检测源端点设备异常,如果待检测目的端点设备匹配失败,则说明待检测目的端点设备异常。
本发明实施例通过获取待检测网络流量的待检测信息,将待检测信息与预先建立的基准库中的目标基准信息进行匹配来对待检测端点设备进行异常判断,实现了对流量重定向异常的判断,从而提高了判断的准确性。
在上述实施例的基础上,所述方法,还包括:
预设时间段内,获取通过待检测端口的、且在预先建立的监控对象列表中的所有网络流量信息,每一条所述网络流量信息包括所述端点设备对应的所述IP地址、所述MAC地址和所述设备指纹信息,将所述网络流量信息存入所述基准库中。
具体地,在进行设备异常检测之前需要预先建立一张监控对象列表,监控对象列表中包括要监控的源端点设备的IP地址和目的端点设备的IP地址,建立监控对象列表的目的是筛选出特定的需要监控的对象,例如,某个公司所有的电脑终端要访问某个服务器时,都需要经过一个交换机,如果不想要对领导的电脑终端进行监控时,则不需要将领导的电脑终端对应的IP地址放入监控对象列表中。由于通过待检测端口的是所有网络流量信息,包括需要被监控的,也包括不需要被监控的,因此,需要在一个预设时间段内,获取通过待检测端口的、且在该监控对象列表中的所有网络流量信息,并将获取到的网络流量信息存入基准库中,其中网络流量信息包括源端点设备对应的IP地址、MAC地址和设备指纹信息,以及目的端点设备对应的IP地址、MAC地址和设备指纹信息,源端点设备的以上信息和目的端点设备的以上信息构成了一条基准信息。应当说明的是,端点设备包括源端点设备和目的端点设备,预设时间可以根据实际情况设定,本发明实施例对此不作具体限定。
本发明实施例通过建立基准库,将待检测信息与基准库中的基准信息进行匹配,从而判断出端点设备是否发生异常,通过IP地址、MAC地址以及设备指纹信息的同时匹配,提高了异常检测的准确性,避免了由于流量重定向而无法检测出异常的情况发生。
在上述实施例的基础上,所述将所述待检测信息与预先建立的基准库中的目标基准信息进行匹配,包括:
根据所述待检测信息,利用预设规则从所述基准库中获得所述目标基准信息;所述目标基准信息包括目标源端点设备对应的所述IP地址、所述MAC地址和所述设备指纹信息,目标目的端点设备对应的所述IP地址、所述MAC地址和所述设备指纹信息;
将所述待检测源端点设备对应的所述IP地址、所述MAC地址和所述设备指纹信息与所述目标基准信息包括目标源端点设备对应的所述IP地址、所述MAC地址和所述设备指纹信息进行匹配;
将所述检测目的端点设备对应的所述IP地址、所述MAC地址、所述设备指纹信息与所述目标目的端点设备对应的所述IP地址、所述MAC地址、所述设备指纹信息进行匹配。
具体地,基准库中包括多条基准信息,当获取到待检测信息后,首先需要确定基准库中的哪条基准信息是目标基准信息,因此,本发明实施例根据待检测信息,利用预设规则从基准库中获取目标基准信息,其中,目标基准信息包括目标源端点设备对应的IP地址、MAC地址和设备指纹信息,以及目标目的端点设备对应的IP地址、MAC地址和设备指纹信息,应当说明的是,预设规则可以是将IP地址、MAC地址和设备指纹信息进行优先级排序,即如果待检测信息中待检测源端点设备对应的IP地址为A,待检测目的端点设备对应的IP地址为B,基准库中,有一条基准信息对应的源端点设备对应的IP地址也为A,且目的端点设备对应的IP地址也为B,此时将该条基准信息作为目标基准信息,如果IP地址不匹配,则判断MAC地址,如果MAC地址不匹配,则判断设备指纹信息。另外,预设规则还可以是将基准库中与待检测信息中匹配的最多的基准信息作为目标基准信息。
从基准库中选择出目标基准信息后,将待检测信息与目标基准信息进行匹配,具体为,将待检测源端点设备中的IP地址与目标源端点设备中的IP地址进行匹配,将待检测源端点设备中的MAC地址与目标源端点设备中的MAC地址进行匹配,将待检测源端点设备中的设备指纹信息与目标源端点设备中的设备指纹信息进行匹配。
从基准库中选择出目标基准信息后,将待检测信息与目标基准信息进行匹配,具体为,将待检测目的端点设备中的IP地址与目标目的端点设备中的IP地址进行匹配,将待检测目的端点设备中的MAC地址与目标目的端点设备中的MAC地址进行匹配,将待检测目的端点设备中的设备指纹信息与目标目的端点设备中的设备指纹信息进行匹配。
本发明实施例通过根据待检测信息从基准库中获得目标基准信息,然后分别将待检测源端点设备中的各个信息与目标源端点设备中的各个信息进行匹配,将待检测目的端点设备中的各个信息与目标目的端点设备中的各个信息进行匹配,从而可以判断出待检测源端点设备和待检测目的端点设备是否异常。
在上述实施例的基础上,所述根据所述待检测信息,利用预设规则从所述基准库中获得所述目标基准信息,包括:
若所述待检测信息中的IP地址对与基准信息中的IP地址对匹配成功,则将所述基准信息作为所述目标基准信息,否则进行MAC地址对匹配;
若所述待检测信息中的所述MAC地址对与基准信息中的所述MAC地址对匹配成功,则将所述基准信息作为所述目标基准信息,否则进行设备指纹信息对匹配;
若所述待检测信息中的所述设备指纹信息对与基准信息中的所述设备指纹信息对匹配成功,则将所述基准信息作为所述目标基准信息。
具体地,当根据待检测信息从基准库中选择目标基准信息时,将IP地址、MAC地址和设备指纹信息进行优先级排序,其中,可以为IP地址的优先级最高,MAC地址的优先级次之,设备指纹信息的优先级最低,应当理解的是,优先级排序还可以是其他情况,本发明实施例对此不作具体限定,优先级排序的目的是先根据优先级最高的信息进行选择目标基准信息,即如果待检测信息中待检测源端点设备对应的IP地址为A1,待检测目的端点设备对应的IP地址为B1,基准库中,有一条基准信息对应的源端点设备对应的IP地址也为A1,目的端点设备对应的IP地址也为B1,此时待检测信息中的IP地址对与该基准信息中的IP地址对相同,将该条基准信息作为目标基准信息,如果IP地址对不匹配,则判断MAC地址对,如果MAC地址对不匹配,则判断设备指纹信息对。应当说明的是,MAC地址对和设备指纹信息对的判断方法与IP地址对原理相同,本发明实施例对此不作赘述。例如,表1为基准库,基准库中有两条基准信息,如果待检测信息中待检测源端点设备对应的IP地址为C1、MAC地址为A2、设备指纹信息为A3;待检测目的端点设备对应的IP地址为B1、MAC地址为B2、设备指纹信息为B3,因此待检测信息中的IP地址对为C1-B1,MAC地址对为A2-B2,设备指纹信息对为A3-B3,此时,如果根据上述优先级的进行选择目标基准信息,则应该选择序号为2的基准信息作为目标基准信息。
表1
Figure BDA0001317501380000081
应当说明的是,预设规则还可以是将基准库中与待检测信息中匹配的最多的基准信息作为目标基准信息,如果根据该预设规则,则应该选择序号为1的基准信息作为目标基准信息,这是因为序号为1的基准信息对应的IP地址对为A1-B1,MAC地址对为A2-B2,设备指纹信息对为A3-B3,因此可知序号为1的基准信息与待检测信息中MAC地址对和设备指纹信息对都相同,而序号为2的基准信息中只有IP地址对与待检测信息相同,因此应该选择序号为1的基准信息作为目标基准信息。应当说明的是,还可以将上述两种预设规则相结合来获取目标基准信息,即先选择出匹配的最多的基准信息,如果有多条基准信息都满足,则再使用上述优先级的确定方法,本发明实施例对此不作具体限定。
本发明实施例通过IP地址对、MAC地址对和设备指纹信息对的先后顺序,将待检测信息与基准信息进行匹配,从而从基准库中选择目标基准信息,通过目标基准信息来判断待检测信息中的端点设备是否异常,实现了对流量重定向异常的判断,从而提高了判断的准确性。
在上述实施例的基础上,所述根据所述匹配结果判断所述待检测网络流量对应的所述待检测端点设备是否异常,包括:
若判断获知所述待检测源端点设备对应的所述IP地址、所述MAC地址、所述设备指纹信息,与所述目标源端点设备对应的所述IP地址、所述MAC地址、所述设备指纹信息完全匹配,则所述待检测源端点设备正常,否则,所述待检测源端点设备异常;
若判断获知所述待检测目的端点设备对应的所述IP地址、所述MAC地址、所述设备指纹信息,与所述设备指纹信息与所述目标源端点设备对应的所述IP地址、所述MAC地址、所述设备指纹信息完全匹配,则所述待检测源端点设备正常,否则,所述待检测目的端点设备异常。
具体地,在基准库中的基准信息比较完善的基础上,将待检测源端点设备对应的IP地址与目标源端点设备对应的IP地址进行匹配,将待检测源端点设备对应的MAC地址与目标源端点设备对应的MAC地址进行匹配,将待检测源端点设备对应的设备指纹信息与目标源端点设备对应的设备指纹信息进行匹配,如果以上完全匹配成功,则说明待检测源端点设备正常,否则该待检测源端点设备异常。
同样的,将待检测目的端点设备对应的IP地址与目标目的端点设备对应的IP地址进行匹配,将待检测目的端点设备对应的MAC地址与目标目的端点设备对应的MAC地址进行匹配,将待检测目的端点设备对应的设备指纹信息与目标目的端点设备对应的设备指纹信息进行匹配,如果以上完全匹配成功,则说明待检测目的端点设备正常,否则,该待检测目的端点设备异常。
应当说明的是,本发明实施例还根据待检测信息与目标基准信息的匹配情况进行异常分析,表2为异常分析结果:
表2
Figure BDA0001317501380000091
Figure BDA0001317501380000101
应当说明的是“×”表示匹配失败,“√”表示匹配成功。
本发明实施例通过分别对待检测源端点设备对应的各个信息与目标源端点设备对应的各个信息进行匹配,判断待检测源端点设备是否异常,分别对待检测目的端点设备对应的各个信息与目标目的端点设备对应的各个信息进行匹配,判断待检测目的端点设备是否异常,从而保证了网络流量的安全性。
在上述实施例的基础上,所述方法还包括:
若所述待检测源端点设备对应的所述IP地址和所述待检测目的端点设备对应的所述IP地址构成的所述IP地址对在所述监控对象列表中、且在所述基准库中没有所述IP地址对对应的所述基准信息,则将所述待检测信息存入所述基准库中。
具体地,在进行端点设备异常检测之前,需要对通过交换机进行通信的端点设备进行规划,即需要确定哪些端点设备是需要被监测的,将需要被监测的端点设备对应的IP地址记录下来,存入到监控对象列表中,其中监控对象列表中的内容也是源端点设备的IP地址和目的端点设备的IP地址成对出现的。当获取到的待检测信息中的待检测源端点设备对应的所述IP地址和待检测目的端点设备对应的IP地址构成的IP地址对在监控对象列表中,由此获知该待检测流量是需要进行异常检测的,但是,如果根据该IP地址对在基准库中找不到对应的目标基准信息,即在基准库中的基准信息对应的IP地址对,MAC地址对以及设备指纹信息对都与待检测信息中的不同,则需要将待检测信息存入到基准库中,用来建立该待检测网络流量的基准信息。
本发明实施例通过将检测源端点设备对应的IP地址对在所述监控对象列表中、且在基准库中没有IP地址对对应的基准信息,则将待检测信息存入所述基准库中,对基准库进行进一步完善,从而提高了对端点设备异常检测的准确性。
在上述各实施例的基础上,所述设备指纹信息包括:硬件信息、操作系统信息和应用服务信息中的任意一项或其组合。
具体地,设备指纹信息包括硬件信息、操作系统信息和应用服务信息中的一种或者上述三种信息的任意组合,因为每一台端点设备的设备指纹信息都不相同,所以通过指纹信息便可以识别待检测端点设备。其中,硬件信息可以包括MAC地址厂商信息,应当说明的是,硬件信息还可以包括其他信息,本发明实施例对比不作具体限定。操作系统信息为端点设备的操作系统类型,例如:Windows7、Windows XP、Windows 8、Windows10和Red HatLinux等,对于每种不同的操作系统,或者同一种操作系统的不同版本来说,它的TCP/IP协议栈及其实现方式都有很大的不同,因此TCP/IP协议栈作为操作系统信息。对于不同的设备,都会运行着不同的服务,及分配给该应用服务的端口是处于开放状态的,通过获取这些开放的端口,然后把这些处于开放状态的端口值组合成一个端口列表,这个端口列表就是应用服务信息。
本发明实施例通过获取待检测网络流量的待检测信息,将待检测信息与预先建立的基准库中的目标基准信息进行匹配来对待检测端点设备进行异常判断,实现了对流量重定向异常的判断,从而提高了判断的准确性。
图2为本发明实施例提供的一种设备异常检测装置结构示意图,如图2所示,所述装置,包括:获取模块201、匹配模块202和判断模块203,其中:
获取模块201用于获取待检测网络流量对应的待检测信息,所述待检测信息包括:待检测源端点设备对应的IP地址、MAC地址和设备指纹信息,待检测目的端点设备对应的所述IP地址、所述MAC地址和所述设备指纹信息;匹配模块202用于将所述待检测信息与预先建立的基准库中的目标基准信息进行匹配,获得匹配结果;判断模块203用于根据所述匹配结果判断所述待检测网络流量对应的待检测端点设备是否异常,所述待检测端点设备包括所述待检测源端点设备和/或所述待检测目的端点设备。
具体地,获取模块201获取待检测端口中的待检测网络流量对应的待检测信息,可以为在端点设备与网关之间的交换机上开启端口镜像,将通过该交换机的待检测网络流量镜像要一个空闲端口上,获取模块201可以通过该空闲端口来获取待检测信息。其中待检测信息中包括待检测源端点设备对应的IP地址、MAC地址和设备指纹信息,待检测目的端点设备对应的所述IP地址、所述MAC地址和所述设备指纹信息,以上信息构成了一条待检测信息。应当说明的是设备指纹信息包括硬件信息、操作系统信息和应用服务信息。匹配模块202将待检测信息与基准库中的目标基准信息进行匹配,并获得匹配结果,其中,基准库是预先建立的,且基准库中包括多条基准信息,设备异常检测装置根据待检测信息从基准库中选择一条基准信息作为目标基准信息来进行匹配。应当说明的是,基准库中的每条基准信息包括源端点设备对应的IP地址、MAC地址和设备指纹信息,目的端点设备对应的IP地址、MAC地址和设备指纹信息。且源端点设备对应的IP地址和目的端点设备对应的IP地址构成IP地址对,源端点设备对应的MAC地址和目的端点设备对应的MAC地址构成MAC地址对,源端点设备对应的设备指纹信息和目的端点设备对应的设备指纹信息构成设备指纹信息对。经过匹配后可以得到匹配结果,判断模块203根据匹配结果可以判断出待检测端点设备是否异常,其中,如果待检测源端点设备匹配失败,则说明待检测源端点设备异常,如果待检测目的端点设备匹配失败,则说明待检测目的端点设备异常。
本发明提供的装置的实施例具体可以用于执行上述各方法实施例的处理流程,其功能在此不再赘述,可以参照上述方法实施例的详细描述。
本发明实施例通过获取待检测网络流量的待检测信息,将待检测信息与预先建立的基准库中的目标基准信息进行匹配来对待检测端点设备进行异常判断,实现了对流量重定向异常的判断,从而提高了判断的准确性。
在上述实施例的基础上,图3为本发明另一实施例提供的一种设备异常检测装置结构示意图,如图3所示,所述装置包括:基准库建立模块301、获取模块302、匹配模块303和判断模块304,其中:
基准库建立模块301用于预设时间段内,获取通过待检测端口的、且在预先建立的监控对象列表中的所有网络流量信息,每一条所述网络流量信息包括所述端点设备对应的所述IP地址、所述MAC地址和所述设备指纹信息,将所述网络流量信息存入所述基准库中。
具体地,获取模块302、匹配模块303和判断模块304与上述实施例中的获取模块201、匹配模块202和判断模块203一致,此处不再赘述。在进行设备异常检测之前需要预先建立一张监控对象列表,监控对象列表中包括要监控的源端点设备的IP地址和目的端点设备的IP地址,建立监控对象列表的目的是筛选出特定的需要监控的对象,由于通过待检测端口的是所有网络流量信息,包括需要被监控的,也包括不需要被监控的,因此,基准库建立模块301需要在一个预设时间段内,获取通过待检测端口的、且在该监控对象列表中的所有网络流量信息,并将获取到的网络流量信息存入基准库中,其中网络流量信息包括源端点设备对应的IP地址、MAC地址和设备指纹信息,以及目的端点设备对应的IP地址、MAC地址和设备指纹信息,源端点设备的以上信息和目的端点设备的以上信息构成了一条基准信息。应当说明的是,当有网络流量流过交换机时,交换机上经过端口镜像后的空闲端口上能够获取到该网络流量对应的待检测源端点设备的IP地址、MAC地址,待检测目的端点设备的IP地址、MAC地址,此时,设备异常检测装置发起对该网络流量的指纹扫描,从而获得到待检测源端点设备的设备指纹信息和目的端点设备的设备指纹信息。端点设备包括源端点设备和目的端点设备,预设时间可以根据实际情况设定,本发明实施例对此不作具体限定。
本发明提供的系统的实施例具体可以用于执行上述各方法实施例的处理流程,其功能在此不再赘述,可以参照上述方法实施例的详细描述。
本发明实施例通过建立基准库,将待检测信息与基准库中的基准信息进行匹配,从而判断出端点设备是否发生异常,通过IP地址、MAC地址以及设备指纹信息的同时匹配,提高了异常检测的准确性,避免了由于流量重定向而无法检测出异常的情况发生。
图4为本发明实施例提供的一种电子设备实体结构示意图,如图4所示,所述电子设备,包括:处理器(processor)401、存储器(memory)402和总线403;其中,
所述处理器401和存储器402通过所述总线403完成相互间的通信;
所述处理器401用于调用所述存储器402中的程序指令,以执行上述各方法实施例所提供的方法,例如包括:获取待检测网络流量对应的待检测信息,所述待检测信息包括:待检测源端点设备对应的IP地址、MAC地址和设备指纹信息,待检测目的端点设备对应的所述IP地址、所述MAC地址和所述设备指纹信息;将所述待检测信息与预先建立的基准库中的目标基准信息进行匹配,获得匹配结果;根据所述匹配结果判断所述待检测网络流量对应的待检测端点设备是否异常,所述待检测端点设备包括所述待检测源端点设备和/或所述待检测目的端点设备。
本实施例公开一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法实施例所提供的方法,例如包括:获取待检测网络流量对应的待检测信息,所述待检测信息包括:待检测源端点设备对应的IP地址、MAC地址和设备指纹信息,待检测目的端点设备对应的所述IP地址、所述MAC地址和所述设备指纹信息;将所述待检测信息与预先建立的基准库中的目标基准信息进行匹配,获得匹配结果;根据所述匹配结果判断所述待检测网络流量对应的待检测端点设备是否异常,所述待检测端点设备包括所述待检测源端点设备和/或所述待检测目的端点设备。
本实施例提供一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行上述各方法实施例所提供的方法,例如包括:获取待检测网络流量对应的待检测信息,所述待检测信息包括:待检测源端点设备对应的IP地址、MAC地址和设备指纹信息,待检测目的端点设备对应的所述IP地址、所述MAC地址和所述设备指纹信息;将所述待检测信息与预先建立的基准库中的目标基准信息进行匹配,获得匹配结果;根据所述匹配结果判断所述待检测网络流量对应的待检测端点设备是否异常,所述待检测端点设备包括所述待检测源端点设备和/或所述待检测目的端点设备。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所描述的装置等实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (7)

1.一种设备异常检测方法,其特征在于,包括:
获取预设时间段内通过待检测端口的、且在预先建立的监控对象列表中的所有网络流量信息,将所述网络流量信息存入预先建立的基准库中,所述监控对象列表中包括要监控的源端点设备的IP地址和目的端点设备的IP地址,每一条所述网络流量信息包括:源端点设备对应的IP地址、MAC地址和设备指纹信息,目的端点设备对应的IP地址、MAC地址和设备指纹信息;
获取待检测网络流量对应的待检测信息,所述待检测信息包括:待检测源端点设备对应的IP地址、MAC地址和设备指纹信息,待检测目的端点设备对应的所述IP地址、所述MAC地址和所述设备指纹信息;
将所述待检测信息与预先建立的基准库中的目标基准信息进行匹配,获得匹配结果;
根据所述匹配结果判断所述待检测网络流量对应的待检测端点设备是否异常,所述待检测端点设备包括所述待检测源端点设备和/或所述待检测目的端点设备;
所述将所述待检测信息与预先建立的基准库中的目标基准信息进行匹配,包括:
根据所述待检测信息,利用预设规则从所述基准库中获得所述目标基准信息;所述目标基准信息包括目标源端点设备对应的所述IP地址、所述MAC地址和所述设备指纹信息,目标目的端点设备对应的所述IP地址、所述MAC地址和所述设备指纹信息;
将所述待检测源端点设备对应的所述IP地址、所述MAC地址和所述设备指纹信息与所述目标基准信息包括目标源端点设备对应的所述IP地址、所述MAC地址和所述设备指纹信息进行匹配;
将所述待检测目的端点设备对应的所述IP地址、所述MAC地址、所述设备指纹信息与所述目标目的端点设备对应的所述IP地址、所述MAC地址、所述设备指纹信息进行匹配;
所述根据所述待检测信息,利用预设规则从所述基准库中获得所述目标基准信息,包括:
若所述待检测信息中的IP地址对与基准信息中的IP地址对匹配成功,则将所述基准信息作为所述目标基准信息,否则进行MAC地址对匹配;
若所述待检测信息中的所述MAC地址对与基准信息中的所述MAC地址对匹配成功,则将所述基准信息作为所述目标基准信息,否则进行设备指纹信息对匹配;
若所述待检测信息中的所述设备指纹信息对与基准信息中的所述设备指纹信息对匹配成功,则将所述基准信息作为所述目标基准信息。
2.根据权利要求1所述的方法,其特征在于,所述根据所述匹配结果判断所述待检测网络流量对应的所述待检测端点设备是否异常,包括:
若判断获知所述待检测源端点设备对应的所述IP地址、所述MAC地址、所述设备指纹信息,与所述目标源端点设备对应的所述IP地址、所述MAC地址、所述设备指纹信息完全匹配,则所述待检测源端点设备正常,否则,所述待检测源端点设备异常;
若判断获知所述待检测目的端点设备对应的所述IP地址、所述MAC地址、所述设备指纹信息,与所述设备指纹信息与所述目标源端点设备对应的所述IP地址、所述MAC地址、所述设备指纹信息完全匹配,则所述待检测源端点设备正常,否则,所述待检测目的端点设备异常。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
若所述待检测源端点设备对应的所述IP地址和所述待检测目的端点设备对应的所述IP地址构成的所述IP地址对在所述监控对象列表中、且在所述基准库中没有所述IP地址对对应的所述基准信息,则将所述待检测信息存入所述基准库中。
4.根据权利要求1-3任一项所述的方法,其特征在于,所述设备指纹信息包括:硬件信息、操作系统信息和应用服务信息中的任意一项或其组合。
5.一种设备异常检测装置,其特征在于,包括:
基准库建立模块,用于获取预设时间段内通过待检测端口的、且在预先建立的监控对象列表中的所有网络流量信息,将所述网络流量信息存入预先建立的基准库中,所述监控对象列表中包括要监控的源端点设备的IP地址和目的端点设备的IP地址,每一条所述网络流量信息包括:源端点设备对应的IP地址、MAC地址和设备指纹信息,目的端点设备对应的IP地址、MAC地址和设备指纹信息;
获取模块,用于获取待检测网络流量对应的待检测信息,所述待检测信息包括:待检测源端点设备对应的IP地址、MAC地址和设备指纹信息,待检测目的端点设备对应的所述IP地址、所述MAC地址和所述设备指纹信息;
匹配模块,用于将所述待检测信息与预先建立的基准库中的目标基准信息进行匹配,获得匹配结果;
判断模块,用于根据所述匹配结果判断所述待检测网络流量对应的待检测端点设备是否异常,所述待检测端点设备包括所述待检测源端点设备和/或所述待检测目的端点设备;
所述匹配模块具体用于:
根据所述待检测信息,利用预设规则从所述基准库中获得所述目标基准信息;所述目标基准信息包括目标源端点设备对应的所述IP地址、所述MAC地址和所述设备指纹信息,目标目的端点设备对应的所述IP地址、所述MAC地址和所述设备指纹信息;
将所述待检测源端点设备对应的所述IP地址、所述MAC地址和所述设备指纹信息与所述目标基准信息包括目标源端点设备对应的所述IP地址、所述MAC地址和所述设备指纹信息进行匹配;
将所述待检测目的端点设备对应的所述IP地址、所述MAC地址、所述设备指纹信息与所述目标目的端点设备对应的所述IP地址、所述MAC地址、所述设备指纹信息进行匹配;
所述根据所述待检测信息,利用预设规则从所述基准库中获得所述目标基准信息,包括:
若所述待检测信息中的IP地址对与基准信息中的IP地址对匹配成功,则将所述基准信息作为所述目标基准信息,否则进行MAC地址对匹配;
若所述待检测信息中的所述MAC地址对与基准信息中的所述MAC地址对匹配成功,则将所述基准信息作为所述目标基准信息,否则进行设备指纹信息对匹配;
若所述待检测信息中的所述设备指纹信息对与基准信息中的所述设备指纹信息对匹配成功,则将所述基准信息作为所述目标基准信息。
6.一种电子设备,其特征在于,包括:处理器、存储器和总线,其中,
所述处理器和所述存储器通过所述总线完成相互间的通信;
所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行如权利要求1-4任一项所述的方法。
7.一种非暂态计算机可读存储介质,其特征在于,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行如权利要求1-4任一项所述的方法。
CN201710431772.4A 2017-06-09 2017-06-09 一种设备异常检测方法及装置 Active CN107302527B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710431772.4A CN107302527B (zh) 2017-06-09 2017-06-09 一种设备异常检测方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710431772.4A CN107302527B (zh) 2017-06-09 2017-06-09 一种设备异常检测方法及装置

Publications (2)

Publication Number Publication Date
CN107302527A CN107302527A (zh) 2017-10-27
CN107302527B true CN107302527B (zh) 2020-09-25

Family

ID=60134727

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710431772.4A Active CN107302527B (zh) 2017-06-09 2017-06-09 一种设备异常检测方法及装置

Country Status (1)

Country Link
CN (1) CN107302527B (zh)

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108521398A (zh) * 2018-02-24 2018-09-11 浙江远望通信技术有限公司 一种基于设备特征识别、白名单和约束集流控的视频监控安全接入方法
CN108494737A (zh) * 2018-02-24 2018-09-04 浙江远望通信技术有限公司 一种基于设备特征识别的视频监控安全接入方法
CN108521399A (zh) * 2018-02-24 2018-09-11 浙江远望通信技术有限公司 一种基于设备特征识别和白名单的视频监控安全接入方法
CN109040137B (zh) * 2018-10-10 2021-04-09 杭州安恒信息技术股份有限公司 用于检测中间人攻击的方法、装置以及电子设备
CN110858813A (zh) * 2018-12-07 2020-03-03 哈尔滨安天科技集团股份有限公司 一种网络摄像头安全检测方法及装置
CN110738396B (zh) * 2019-09-18 2024-06-14 创新先进技术有限公司 一种针对设备的特征提取方法、装置及设备
CN110912900B (zh) * 2019-11-27 2021-08-31 郑龙海 一种基于物联网的边界智能安防监控方法、装置及设备
CN112468500A (zh) * 2020-11-28 2021-03-09 武汉零感网御网络科技有限公司 一种基于多维度数据动态变化场景的风险处理方法及系统
CN112953928A (zh) * 2020-12-30 2021-06-11 山东鲁能软件技术有限公司 一种视频监控前端设备的网络安全防护系统和方法
CN113037757A (zh) * 2021-03-11 2021-06-25 拉卡拉支付股份有限公司 异常数据判断方法、装置、电子设备、介质及程序产品
CN113379030A (zh) * 2021-05-19 2021-09-10 北京创安恒宇科技有限公司 一种基于多维安全控制措施模型识别的比对方法
CN114124658A (zh) * 2021-11-23 2022-03-01 北京天融信网络安全技术有限公司 工控网络异常检测方法、装置、电子设备及存储介质

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101431449B (zh) * 2008-11-04 2011-05-04 中国科学院计算技术研究所 一种网络流量清洗系统
CN102752158B (zh) * 2011-04-20 2016-08-17 山东智慧生活数据系统有限公司 业务流量监控方法及装置
US20120310830A1 (en) * 2011-06-03 2012-12-06 Uc Group Limited Systems and methods for managing chargeback requests
US9225732B2 (en) * 2011-11-29 2015-12-29 Georgia Tech Research Corporation Systems and methods for fingerprinting physical devices and device types based on network traffic
CN102739802B (zh) * 2012-07-06 2015-07-22 广东电网公司汕头供电局 面向业务应用的it集中运维分析系统
AU2015101273A4 (en) * 2014-09-15 2015-10-29 Harshawardhan Hanmant Sabale A computer implemented system and method for transferring multimedia content
CN104573547B (zh) * 2014-10-21 2018-06-19 江苏通付盾信息安全技术有限公司 一种信息交互的安全防范系统及其操作实现方法
CN104967996A (zh) * 2015-07-08 2015-10-07 国家电网公司 一种卫星通信网络的入网准入鉴权方法和系统
CN105657453A (zh) * 2015-12-29 2016-06-08 华为技术有限公司 一种利用数字指纹技术保护视频的方法及装置
CN105471912B (zh) * 2015-12-31 2019-01-22 深信服科技股份有限公司 监控网络的安全防御方法和系统
CN106302397B (zh) * 2016-07-29 2019-04-30 北京北信源软件股份有限公司 一种基于设备指纹的设备识别系统
CN106789935B (zh) * 2016-11-29 2021-03-09 上海辰锐信息科技公司 一种终端异常检测方法

Also Published As

Publication number Publication date
CN107302527A (zh) 2017-10-27

Similar Documents

Publication Publication Date Title
CN107302527B (zh) 一种设备异常检测方法及装置
US11848950B2 (en) Method for protecting IoT devices from intrusions by performing statistical analysis
CN109802953B (zh) 一种工控资产的识别方法及装置
CN107292154B (zh) 一种终端特征识别方法及系统
CN110417778B (zh) 访问请求的处理方法和装置
KR102167602B1 (ko) 신뢰된 단말기 검증 방법 및 장치
WO2019144549A1 (zh) 漏洞测试方法、装置、计算机设备和存储介质
US9954898B2 (en) Data flow forwarding method and device
CN110545219A (zh) 工业资产的被动识别方法、装置和电子设备
CN112422554B (zh) 一种检测异常流量外连的方法、装置、设备及存储介质
CN106656998B (zh) 服务器通信方法及装置
CN114499974B (zh) 设备探测方法、装置、计算机设备和存储介质
CN105959294B (zh) 一种恶意域名鉴别方法及装置
CN110971391B (zh) 报文转发方法及网络设备
CN111953810B (zh) 识别代理互联网协议地址的方法、装置及存储介质
CN110048905B (zh) 物联网设备通信模式识别方法及装置
CN111079140B (zh) 用于防作弊的方法、设备和系统
CN113765850A (zh) 物联网异常检测方法、装置、计算设备及计算机存储介质
CN113935438B (zh) 基于设备角色的物联网设备异常检测方法、系统及装置
CN111079144B (zh) 一种病毒传播行为检测方法及装置
CN114615015A (zh) 服务系统修复优先级的确定方法、装置、设备及介质
US11533327B2 (en) Method and device for intrusion detection in a computer network
CN109391626B (zh) 一种判定网络攻击结果未遂的方法和相关装置
JP2019009680A (ja) 検知装置および検知方法
CN107948138B (zh) 路由连接的检测方法、装置、可读存储介质及电子设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information
CB02 Change of applicant information

Address after: 100088 Building 3 332, 102, 28 Xinjiekouwai Street, Xicheng District, Beijing

Applicant after: Qianxin Technology Group Co.,Ltd.

Address before: 100015 Jiuxianqiao Chaoyang District Beijing Road No. 10, building 15, floor 17, layer 1701-26, 3

Applicant before: Beijing Qi'anxin Technology Co.,Ltd.

GR01 Patent grant
GR01 Patent grant