CN108055273A - 一种内网服务器发现方法、系统及网络安全审计系统 - Google Patents
一种内网服务器发现方法、系统及网络安全审计系统 Download PDFInfo
- Publication number
- CN108055273A CN108055273A CN201711404186.7A CN201711404186A CN108055273A CN 108055273 A CN108055273 A CN 108055273A CN 201711404186 A CN201711404186 A CN 201711404186A CN 108055273 A CN108055273 A CN 108055273A
- Authority
- CN
- China
- Prior art keywords
- server
- pending
- information
- statistics
- session information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
- H04L63/302—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information gathering intelligence information for situation awareness or reconnaissance
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/06—Generation of reports
- H04L43/065—Generation of reports related to network devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/02—Capturing of monitoring data
- H04L43/026—Capturing of monitoring data using flow identification
Abstract
本申请公开了一种内网服务器发现方法、系统及网络安全审计系统,其中,所述内网服务器发现方法在接收到会话信息时,根据会话信息的三元组信息查询预设数据库,并在所述预设数据库中未保存有与所述会话信息的三元组信息关联的服务器时,在所述预设数据库中新建待处理服务器与所述会话信息的三元组信息的关联关系,在后续的预设时间阈值内,更新所述待处理服务器的统计数据,当所述待处理服务器满足服务器甄别条件时,将所述待处理服务器的状态更改为待识别,从而实现发现内网中新服务器的目的。并且在识别出新服务器后,再对新服务器所承载的服务类型进行识别,来达到对内网监控方位内的服务器以及服务器承载的服务类型进行准确甄别的目的。
Description
技术领域
本申请涉及网络安全技术领域,更具体地说,涉及一种内网服务器发现方法、系统及网络安全审计系统。
背景技术
随着计算机和网络技术的不断发展,各类机构的信息化应用越来越广泛,有效提高了工作效率。但这些机构的应用系统(服务器)承载着关键业务信息及用户隐私,渐渐成为业务体系中最具有战略性的资产,如何合理、合法、安全的使用这些数据资产给数据管理者带来了严峻挑战。
为了保护这些数据资产,已经出现了一些网络安全审计系统,即针对业务环境下的网络操作行为进行细粒度审计的合规性管理审计产品,这些网络安全审计系统通过对业务人员访问业务系统的行为进行解析、分析、记录、汇报,以帮助用户事前规划预防、事中实时监视、违规行为响应、事后合规报告、事故追踪溯源,加强内外部网络行为监管、促进数据库、服务器、网络设备等核心资产的正常运营。
现有技术中的网络安全审计系统在实际部署时,需要客户事先提供客户网络环境中的服务器资产信息(即服务器IP、服务类型和端口),这样网络安全审计系统的维护人员才能根据服务器资产信息进行审计策略的配置和下发,进而依据审计策略对服务器的操作进行审计和监控。这种服务器资产信息人工同步的方法,难以及时发现内部网络中服务器的私搭、新增、重新搭建、IP地址变更和服务端口变更等情况。
发明内容
为解决上述技术问题,本发明提供了一种内网服务器发现方法、系统及网络安全审计系统,以实现自动发现内网服务器的目的,解决现有技术中的服务器资产信息人工同步的方法难以及时发现内网中新增或变更服务器等情况的问题。
为实现上述技术目的,本发明实施例提供了如下技术方案:
一种内网服务器发现方法,包括:
S101:获取会话信息,并根据所述会话信息的三元组信息,判断所述预设数据库中是否保存有与所述会话信息的三元组信息关联的服务器,如果否,则进入步骤S102,如果是,进入步骤S103,所述预设数据库中存储有三元组信息与服务器的关联关系,并且所述服务器的状态标记包括可能、待识别和已识别;
S102:在当所述会话信息的IP信息为非外网IP时,在所述预设数据库中新建待处理服务器与所述会话信息的三元组信息的关联关系,将所述待处理服务器的状态标记为可能,并进入步骤S104;
S103:判断所述待处理服务器的状态是否为已识别,如果否,则进入步骤S105,如果是,则返回步骤S101;
S104:更新所述待处理服务器的统计数据,所述统计数据包括连接会话数、不同源IP数和不同源端口数,并判断在预设时间阈值内,所述待处理服务器的统计数据是否满足服务器甄别条件,如果是,则将所述待处理服务器的状态设置为待识别,并进入步骤S106,如果否,则返回步骤S101;
S105:判断所述待处理服务器的状态是否为待识别,如果否,则进入步骤S104,如果是,则进入步骤S106;
S106:识别所述待处理服务器所提供的服务类型,将识别的服务器所提供的服务类型与所述待处理服务器绑定,将所述待处理服务器的状态设置为已识别。
可选的,所述会话信息的三元组信息为会话信息的第三次握手的目的IP、目的端口号和传输层协议。
可选的,所述更新所述待处理服务器的统计数据,并判断在预设时间阈值内,所述待处理服务器的统计数据是否满足服务器甄别条件包括:
将所述待处理服务器的统计数据中的连接会话数+1;
当所述会话信息三元组信息中的源IP与所述待处理服务器已组织的所有源IP均不相同时,所述待处理服务器的统计数据中的源IP数+1;
当所述会话信息三元组信息中的源端口与所述待处理服务器已组织的所有源端口均不相同时,所述待处理服务器的统计数据中的源端口数+1;
判断所述待处理服务器的统计数据的统计时间间隔是否大于所述预设时间阈值,如果是,则将所述待处理服务器的统计数据归零,如果否,则在当所述待处理服务器的统计数据中的连接会话数大于第一预设值,且源IP数大于第二预设值;
或
当所述待处理服务器的统计数据中的连接会话数大于第一预设值,且源端口数大于第三预设值时,判定所述待处理服务器的统计数据满足服务器甄别条件。
可选的,所述识别所述待处理服务器所提供的服务类型包括:
以所述会话信息的三元组信息的端口号查询端口协议映射表,以确定与所述会话信息的三元组信息的端口号对应的协议类型作为预协议类型,当所述端口协议映射表中不存在与所述会话信息的三元组信息的端口号对应的协议类型时,所述预协议类型为空;当所述端口协议映射表中存储有端口号与协议类型的对应关系时,则将所述端口协议映射表中与端口号对应的协议类型作为预协议类型;
对所述会话信息的会话交互数据进行与预协议类型对应的指纹特征规则的匹配,当所述会话信息与任一与预协议类型对应的指纹特征规则匹配时,则将所述待处理服务器所提供的服务类型确定为预协议类型,当所述会话信息与所有与预协议类型对应的指纹特征规则均不匹配时,则对所述会话信息进行与其他协议类型对应的指纹特征规则的匹配,当所述会话信息与任一与其他协议类型对应的指纹特征规则匹配时,则将所述待处理服务器所提供的服务类型确定为匹配的指纹特征规则对应的协议类型。
可选的,步骤S106之后还包括:
根据已识别的待处理服务器和所述待处理服务器所提供的服务类型,生成上报信息。
一种内网服务器发现系统,包括:服务器识别模块、服务器新建模块、第一判断模块、统计模块、第二判断模块和服务识别模块;其中,
所述服务器识别模块,用于获取会话信息,并根据所述会话信息的三元组信息,判断所述预设数据库中是否保存有与所述会话信息的三元组信息关联的服务器,如果否,则进入所述服务器新建模块,如果是,进入所述第一判断模块,所述预设数据库中存储有三元组信息与服务器的关联关系,并且所述服务器的状态标记包括可能、待识别和已识别;
所述服务器新建模块,用于在当所述会话信息的IP信息为非外网IP时,在所述预设数据库中新建待处理服务器与所述会话信息的三元组信息的关联关系,将所述待处理服务器的状态标记为可能,并进入所述统计模块;
所述第一判断模块,用于判断所述待处理服务器的状态是否为已识别,如果否,则进入所述第二判断模块,如果是,则返回所述服务器识别模块;
所述统计模块,用于更新所述待处理服务器的统计数据,所述统计数据包括连接会话数、不同源IP数和不同源端口数,并判断在预设时间阈值内,所述待处理服务器的统计数据是否满足服务器甄别条件,如果是,则将所述待处理服务器的状态设置为待识别,并进入所述服务识别模块,如果否,则返回所述服务器识别模块;
所述第二判断模块,用于判断所述待处理服务器的状态是否为待识别,如果否,则进入所述统计模块,如果是,则进入所述服务识别模块;
所述服务识别模块,用于识别所述待处理服务器所提供的服务类型,将识别的服务器所提供的服务类型与所述待处理服务器绑定,将所述待处理服务器的状态设置为已识别。
可选的,所述会话信息的三元组信息为会话信息的第三次握手的目的IP、目的端口号和传输层协议。
可选的,所述统计模块更新所述待处理服务器的统计数据,并判断在预设时间阈值内,所述待处理服务器的统计数据是否满足服务器甄别条件具体用于,将所述待处理服务器的统计数据中的连接会话数+1;
当所述会话信息三元组信息中的源IP与所述待处理服务器已组织的所有源IP均不相同时,所述待处理服务器的统计数据中的源IP数+1;
当所述会话信息三元组信息中的源端口与所述待处理服务器已组织的所有源端口均不相同时,所述待处理服务器的统计数据中的源端口数+1;
判断所述待处理服务器的统计数据的统计时间间隔是否大于所述预设时间阈值,如果是,则将所述待处理服务器的统计数据归零,如果否,则当所述待处理服务器的统计数据中的连接会话数大于第一预设值,且源IP数大于第二预设值;
或
当所述待处理服务器的统计数据中的连接会话数大于第一预设值,且源端口数大于第三预设值时,判定所述待处理服务器的统计数据满足服务器甄别条件。
可选的,所述服务识别模块包括:
预协议查询单元,用于以所述会话信息的三元组信息的端口号查询端口协议映射表,以确定与所述会话信息的三元组信息的端口号对应的协议类型作为预协议类型,当所述端口协议映射表中不存在与所述会话信息的三元组信息的端口号对应的协议类型时,所述预协议类型为空;当所述端口协议映射表中存储有端口号与协议类型的对应关系时,则将所述端口协议映射表中与端口号对应的协议类型作为预协议类型;
特征匹配单元,用于对所述会话信息的会话交互数据进行与预协议类型对应的指纹特征规则的匹配,当所述会话信息与任一与预协议类型对应的指纹特征规则匹配时,则将所述待处理服务器所提供的服务类型确定为预协议类型,当所述会话信息与所有与预协议类型对应的指纹特征规则均不匹配时,则对所述会话信息进行与其他协议类型对应的指纹特征规则的匹配,当所述会话信息与任一与其他协议类型对应的指纹特征规则匹配时,则将所述待处理服务器所提供的服务类型确定为匹配的指纹特征规则对应的协议类型。
可选的,还包括:
上报模块,用于根据已识别的待处理服务器和所述待处理服务器所提供的服务类型,生成上报信息。
一种网络安全审计系统,包括存储器和处理器;
所述存储器用于存储程序代码,所述处理器用于调用所述程序代码,所述程序代码用于执行上述任一项所述的内网服务器发现方法中的具体步骤。
从上述技术方案可以看出,本发明实施例提供了一种内网服务器发现方法、系统及网络安全审计系统,其中,所述内网服务器发现方法在接收到会话信息时,根据会话信息的三元组信息查询预设数据库,并在所述预设数据库中未保存有与所述会话信息的三元组信息关联的服务器时,此会话信息的三元组信息就存在着关联着一个新服务器的可能,因此在所述预设数据库中新建待处理服务器与所述会话信息的三元组信息的关联关系,在后续的预设时间阈值内,更新所述待处理服务器的统计数据,并判断所述待处理服务器的统计数据是否满足服务器甄别条件,当所述待处理服务器满足服务器甄别条件时,将所述待处理服务器的状态更改为待识别,从而实现发现内网中新服务器的目的。
另外,在识别出待处理服务器后,还对所述待处理服务器所提供的服务类型进行了识别,来达到对内网监控方位内的服务器以及服务器承载的服务类型进行准确甄别的目的。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请的一个实施例提供的一种内网服务器发现方法的流程示意图;
图2为本申请的一个具体实施例提供的一种内网服务器发现方法的流程示意图;
图3为本申请的一个实施例提供的一种会话信息的请求包前9个字节的内容;
图4为本申请的一个实施例提供的一种会话信息的响应包前9个字节的内容。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本申请实施例提供了一种内网服务器发现方法,如图1所示,包括:
S101:获取会话信息,并根据所述会话信息的三元组信息,判断所述预设数据库中是否保存有与所述会话信息的三元组信息关联的服务器,如果否,则进入步骤S102,如果是,进入步骤S103,所述预设数据库中存储有三元组信息与服务器的关联关系,并且所述服务器的状态标记包括可能、待识别和已识别;
一般情况下,在TCP协议中,TCP会话的建立需要客户端和服务器之间进行三次握手协商,在步骤S101中,所述会话信息的三元组信息特指会话信息的第三次握手的目的IP、目的端口号和传输层协议,当三元组信息相同时,则认为客户端访问的是同一个服务器。在本申请的一个实施例中,所述会话信息的获取过程包括:
抓取网卡流量;
对网卡流量进行ether、IP解析(包括IP分片重组);
对网卡流量进行TCP协议解析。
本申请对所述会话信息的具体获取过程并不做限定,具体视实际情况而定。
所述预设数据库可以是用hash表组织的服务器节点集合,在该hash表中包含着3种状态的服务器:已识别(已经确认是服务器并且已经确认服务器所提供的服务类型);待识别(已经确认是服务器,但未确认服务器承载的服务类型);可能(新发现的三元组信息,未确认是否为服务器)。
S102:在当所述会话信息的IP信息为非外网IP时,在所述预设数据库中新建待处理服务器与所述会话信息的三元组信息的关联关系,将所述待处理服务器的状态标记为可能,并进入步骤S104;
由于本申请实施例提供的内网服务器发现方法主要用于识别内网中的服务器,因此,在所述内网服务器发现方法中不对外网IP进行识别和处理。具体地,根据IP地址分类和网段划分标准,不属于内网IP段(A类:10.0.0.0-10.255.255.255;B类172.16.0.0-172.31.255.255;C类192.168.0.0-192.168.255.255)范围的IP信息为外网IP信息。
S103:判断所述待处理服务器的状态是否为已识别,如果否,则进入步骤S105,如果是,则返回步骤S101;
S104:更新所述待处理服务器的统计数据,所述统计数据包括连接会话数、不同源IP数和不同源端口数,并判断在预设时间阈值内,所述待处理服务器的统计数据是否满足服务器甄别条件,如果是,则将所述待处理服务器的状态设置为待识别,并进入步骤S106,如果否,则返回步骤S101;
在本申请的一个具体实施例中,参考图2,所述更新所述待处理服务器的统计数据,并判断在预设时间阈值内,所述待处理服务器的统计数据是否满足服务器甄别条件包括:
S1041:将所述待处理服务器的统计数据中的连接会话数+1;
S1042:当所述会话信息三元组信息中的源IP与所述待处理服务器已组织的所有源IP均不相同时,所述待处理服务器的统计数据中的源IP数+1,并将所述会话信息三元组信息中的源IP作为新源IP节点加入所述待处理服务器的已组织源IP缓存中;
S1043:当所述会话信息三元组信息中的源端口与所述待处理服务器已组织的所有源端口均不相同时,所述待处理服务器的统计数据中的源端口数+1,并将所述会话信息三元组信息中的源端口作为新源端口节点加入所述待处理服务器的已组织源端口缓存中;
S1044:判断所述待处理服务器的统计数据的统计时间间隔是否大于所述预设时间阈值,如果是,则将所述待处理服务器的统计数据归零,如果否,则在当所述待处理服务器的统计数据中的连接会话数大于第一预设值,且源IP数大于第二预设值;
或
当所述待处理服务器的统计数据中的连接会话数大于第一预设值,且源端口数大于第三预设值时,判定所述待处理服务器的统计数据满足服务器甄别条件。
待处理服务器的统计数据的连接会话数用于统计预设时间阈值内连接待处理服务器的会话数;统计数据中的源IP数用于统计在预设时间阈值内有多少客户端去连接该待处理服务器;当客户端通过代理IP访问待处理服务器时,源IP会相同,此时通过源端口数来辅助判断在预设时间阈值内有多少客户端去连接待处理服务器。
也就是说,每次新来一条待处理服务器的会话信息时,连接会话数计数加1,而不同源IP数与不同源端口数,只有与该类服务器已组织的所有源ip/所有源端口都不一致时,源ip数/源端口计数才会加1;
例如:待处理服务器(三元组ip:192.168.182.120,port:80,传输层协议类型TCP)
当有新TCP连接(IP:192.168.182.110,port:2005->ip:192.168.182.120,port:80)时,此时:连接会话数为1,不同源IP数为1,不同源端口数为1;
当有新TCP连接(IP:192.168.182.111,port:2018->ip:192.168.182.120,port:80)时,此时:连接会话数为2,不同源IP数为2,不同源端口数为2;
当有新TCP连接(IP:192.168.182.110,port:2008->ip:192.168.182.120,port:80)时,此时:连接会话数为3,不同源IP数为2,不同源端口数为3;
此时,该服务器统计数据中已组织的源IP为:192.168.182.110,192.168.182.111;源端口为:2005,2018,2008。
另外,在本实施例中,把源端口加入统计范畴,是为了兼顾某些网络架构使用同一个代理IP访问服务器的场景(此时访问服务器可见的源IP只有一个,只有源端口在变化)。
需要说明的是,在所述服务器甄别条件中,所述预设时间阈值、第一预设值、第二预设值和第三预设值根据内网实际情况设置,本申请对此并不做限定;
另外,在步骤S1044中,当所述待处理服务器的统计数据的统计时间间隔大于所述预设时间阈值时,则认为所述待处理服务器还未满足服务器甄别条件,此时返回步骤S101进行后续会话信息的处理;
同样的,在所述待处理服务器的统计数据的统计时间间隔小于或等于所述预设时间阈值时,当所述待处理服务器的统计数据不满足“所述待处理服务器的统计数据中的连接会话数大于第一预设值,且源IP数大于第二预设值;或所述待处理服务器的统计数据中的连接会话数大于第一预设值,且源端口数大于第三预设值”的条件时,同样认为所述待处理服务器还未满足服务器甄别条件,此时返回步骤S101进行后续会话信息的处理。
S105:判断所述待处理服务器的状态是否为待识别,如果否,则进入步骤S104,如果是,则进入步骤S106;
在步骤S105中,当所述待处理服务器的状态为待识别时,证明与所述会话信息的三元组信息关联的服务器的已被确认为服务器,但并未确定其提供的服务类型。
S106:识别所述待处理服务器所提供的服务类型,将识别的服务器所提供的服务类型与所述待处理服务器绑定,将所述待处理服务器的状态设置为已识别。
在上述实施例的基础上,在本申请的一个具体实施例中,所述识别所述待处理服务器所提供的服务类型包括:
S1061:以所述会话信息的三元组信息的端口号查询端口协议映射表,以确定与所述会话信息的三元组信息的端口号对应的协议类型作为预协议类型,当所述端口协议映射表中不存在与所述会话信息的三元组信息的端口号对应的协议类型时,所述预协议类型为空;当所述端口协议映射表中存储有端口号与协议类型的对应关系时,则将所述端口协议映射表中与端口号对应的协议类型作为预协议类型;
S1062:对所述会话信息的会话交互数据进行与预协议类型对应的指纹特征规则的匹配,当所述会话信息与任一与预协议类型对应的指纹特征规则匹配时,则将所述待处理服务器所提供的服务类型确定为预协议类型,当所述会话信息与所有与预协议类型对应的指纹特征规则均不匹配时,则对所述会话信息进行与其他协议类型对应的指纹特征规则的匹配,当所述会话信息与任一与其他协议类型对应的指纹特征规则匹配时,则将所述待处理服务器所提供的服务类型确定为匹配的指纹特征规则对应的协议类型。
在本实施例中,进行步骤S1061的目的是在进行步骤S1062时,以预协议类型首先进行指纹特征规则的匹配,缩短步骤S1062所需进行的轮询过程,提高所述内网服务器发现方法的执行效率。
所述端口协议映射表中的存储的端口号与协议类型的对应关系可以是端口号80对应HTTP协议,端口号23对应TELNET协议等。
在步骤S1062中,优先匹配预协议类型对应的指纹特征规则,只要匹配上指纹特征规则中的任意一条规则,则认为匹配成功,并说明该待识别服务器所提供的服务类型即为预协议类型,而当预协议类型为空或在预协议类型对应的指纹特征规则中没有匹配成功时,需要依次轮询其他协议类型对应的指纹特征规则;当所有协议类型的指纹特征规则都没有与所述会话信息匹配成功时,则返回步骤S101,等待下一个会话信息。
在具体实施过程中,端口协议映射表中存储的端口号与协议类型的对应关系可以以配置文件的方式体现,例如可以是:
即当端口号为80时,认为预协议类型为http,接着再使用http对应的指纹特征规则,对该会话信息进行最终确认。
同样的,指纹特征规则也可以以配置文件的方式进行加载,该配置文件每条指纹特征规则对应识别一种服务/协议类型,每条指纹特征规则根据各个协议的特征、数据交互特征进行的总结、分析、归纳,而这个指纹特征规则配置文件就相当于根据传输层内容识别各个协议的指纹特征库。比如通过分析http协议标准与数据流可知,http协议类型符合具有如下指纹特征:a.请求包数据都是由OPTIONS、GET、HEAD、POST、PUT、DELETE、CONNECT、TRACE、MKCOL、PROPFIND、PROPATCH、COPY、MOVE、LOCK、UNLOCK其中一个开头,同时紧跟着空格(空格十六进制为0x20,规则中表示为%20),同时这个特征出现在TCP有效载荷的前9个字节,并且这个特征会在三次握手后的前3个TCP包中出现;b.响应包数据都是由HTTP/1.1或HTTP/1.0开头,同时紧跟着空格(0x20),同时这个特征出现在前9个字节,并且这个特征会在三次握手后的前3个TCP包中出现,因而http的指纹特征规则配置如下:
[HTTP_RULE_01]
protocol=HTTP
layer4_proto=TCP
finger_direc=request
finger_depth=3
finger_match=[0|0|9]=OPTIONS%20,GET%20,HEAD%20,POST%20,PUT%20,DELETE%20,TRACE%20,CONNECT%20,MKCOL%20,PROPFIND%20,PROPATCH%20,COPY%20,MOVE%20,LOCK%20,UNLOCK%20
verify_direc=response
verify_depth=3
verify_match=[0|0|9]=HTTP/1.1%20,HTTP/1.0%20
verify_plugin=
配置项说明如下:
protocol-本条规则所确定的协议类型;
layer4_proto-传输层协议类型;
finger_direc-指明finger_match匹配的流方向,request时c->s,response时s->c;
finger_depth-会话的指纹特征检测深度,即在传输层有效载荷的前finger_depth个包中进行检测;
finger_match-具体的指纹特征,其中多个指纹特征通过逗号分割;
verify_direc-指明verify_match校验匹配的流方向,request时c->s,response时s->c;
verify_match-校验的指纹特征;
当finger_match、finger_plugin、verify_match、verify_plugin配置有内容时,则需都满足,才说明命中了规则;当配置项未配置有内容时,则无需进行检测,默认成立。
在上述实施例的基础上,在本申请的一个优选实施例中,步骤S106之后还包括:
S107:根据已识别的待处理服务器和所述待处理服务器所提供的服务类型,生成上报信息。
所述上报信息可以供网络管理者进行阅读,以便用新的服务器进行审计策略的自动配置配置、更新,并可作为一条告警事件。
综上所述,本申请实施例提供的内网服务器发现方法具有如下有益效果:
(1)、动态持续对流量按服务器进行分类检测,从而可以动态发现新增的服务器。同时,服务器新搭、IP/端口更改等情况,也可以实时检测出来,具有实时性。
(2)、进行指纹特征规则匹配时,不会对访问该服务器的所有会话信息进行检测,只会对访问服务器的其中几条会话信息进行检测,可避免对全流量检测的性能消耗。
(3)、通过对预设时间阈值内的会话连接数、不同源IP数、不同源端口数进行统计、分析,从而可以识别出正确的服务器,而过滤掉非服务器交互的TCP连接,可正确、全方位识别出内部网络中所有真实的服务器。
(4)、采用端口映射与指纹特征识别技术相结合方式,提高了服务器协议类型的识别精度。
(5)、采用所述内网服务器方向方法部署审计等类型的产品时,可以不需要人工干预,就可以自动识别出服务器与协议类型,从而可达到自审计效果。
(6)、指纹特征规则的可扩展性强,支持新协议的识别或原有协议特征变动时,只需要在端口配置文件或指纹特征规则配置文件中添加、改动规则就可平滑支持。
为了更清楚的说明本申请实施例提供的内网服务器发现方法,本申请的一个具体实施例提供了两个具体实施例进行进一步说明:
本实施例为内网服务器发现方法的其中一种场景,本实施例以如下配置为例演示说明:预设时间阈值为10分钟、第一预设值为3、第二预设值为3、第三预设值为3。这3项配置可在实际应用中根据使用场景进行调整,本实施例只为了方便演示,因而各预设值设置得比较小。操作如下:
S101:网络流量中新抓取了
(IP:192.168.182.2/port:1196->IP:192.168.182.120/port:80)TCP会话连接请求,此时先以三元组信息(serverip:192.168.182.120,port:80,transproto:tcp)在服务器HASH查找,此时预设数据库为空,所以查找失败,接着进入步骤S102;
S102:三元组信息(serverip:192.168.182.120,port:80,transproto:tcp)作为一个新服务器节点加入到预设数据库中,状态为“可能”,接着进入步骤S104;
S104:更新三元组(serverip:192.168.182.120,port:80,transproto:tcp)的连接会话数为1、不同源端口数为1、不同源ip数为1。更新三元组节点状态后,接着在判断该三元组是否满足服务器统计条件(最近10分钟内,是否满足(连接会话数>3)&&(不同源ip数>3或不同源端口数>3)),可知当前不满足,返回S101。
接着S101中5分钟内又陆续抓取3条新的会话信息:
(IP:192.168.182.3,port:2250->IP:192.168.182.120,port:80),
(IP:192.168.182.4,port:2332->IP:192.168.182.120,port:80),
(IP:192.168.182.5,port:4321->IP:192.168.182.120,port:80),
此时三元组(serverIP:192.168.182.120,port:80,transproto:TCP)的统计信息更新为:连接会话数为4、不同源端口数为4、不同源IP数为4,此时该三元组满足服务器甄别条件,把服务器三元组状态由“可能”转变为“待识别”,接着进入S1061;
步骤1061:以port80在端口协议映射中查找对应的协议类型,由于端口协议映射配置文件中具有如下配置项:
S1062:对服务器三元组(serverip:192.168.182.120,port:80,transproto:tcp)的会话信息进行指纹特征匹配。由于此服务器的预协议类型为http,所以优先以HTTP的规则进行指纹特征匹配,而HTTP的一个指纹规则:
[HTTP_RULE_01]
protocol=HTTP
layer4_proto=TCP
finger_direc=request
finger_depth=3
finger_match=[0|0|9]=OPTIONS%20,GET%20,HEAD%20,POST%20,PUT%20,DELETE%20,TRACE%20,CONNECT%20,MKCOL%20,PROPFIND%20,PROPATCH%20,COPY%20,MOVE%20,LOCK%20,UNLOCK%20
finger_plugin=http_tcp_plugin
verify_direc=response
verify_depth=3
verify_match=[0|0|9]=HTTP/1.1%20,HTTP/1.0%20
,而会话信息
(IP:192.168.182.5,port:2332->IP:192.168.182.120,port:80)的请求包(request方向)前9个字节的内容参考图3;
响应包(response方向)前9个字节的内容参考图4;
所以此时http协议的指纹特征规则匹配成功(finger_match:命中GET%20,verify_match:命中HTTP/1.1%20)。
到此,针对待处理服务器的协议类型识别工作结束,已成功识别新服务器(服务器IP为192.168.182.120、服务器端口为80、服务类型为http),接着把新识别的服务器(服务器IP为192.168.182.120、端口为80、服务类型为http)状态置为”已识别”,并根据已识别的待处理服务器和所述待处理服务器所提供的服务类型,生成上报信息;
至此,本实施例通过所述内网服务器发现方法甄别出服务器(地址:192.168.182.120,端口:80),又通过服务器服务类型识别技术(端口协议映射、指纹特征识别)识别出承载的协议类型为http。
实施例二:
本实施例在实施例一识别出服务器(IP为192.168.182.120、端口为80、服务类型为http)基础上,又抓取一条新的会话信息作为会话信息:
(IP:192.168.10.35,port:3345->IP:192.168.182.120,port:80),操作如下:
S101:以三元组信息(serverip:192.168.182.120,port:80,transproto:tcp)作为key,在预设数据库中查找,此时查找成功,进入S103;
S103:而此服务器状态为”已识别”,说明该会话信息对应的服务器已经被识别,无需重复识别,此时直接退出;
由此,可知该方法不会对所有会话信息进行识别,只会对未识别的服务器、新增、变更的服务器进行识别。
下面对本申请实施例提供的内网服务器发现系统进行描述,下文描述的内网服务器发现系统与上文描述的内网服务器发现方法可相互对应参照。
相应的,本申请实施例还提供了一种内网服务器发现系统,包括:服务器识别模块、服务器新建模块、第一判断模块、统计模块、第二判断模块和服务识别模块;其中,
所述服务器识别模块,用于获取会话信息,并根据所述会话信息的三元组信息,判断所述预设数据库中是否保存有与所述会话信息的三元组信息关联的服务器,如果否,则进入所述服务器新建模块,如果是,进入所述第一判断模块,所述预设数据库中存储有三元组信息与服务器的关联关系,并且所述服务器的状态标记包括可能、待识别和已识别;
所述服务器新建模块,用于在当所述会话信息的IP信息为非外网IP时,在所述预设数据库中新建待处理服务器与所述会话信息的三元组信息的关联关系,将所述待处理服务器的状态标记为可能,并进入所述统计模块;
所述第一判断模块,用于判断所述待处理服务器的状态是否为已识别,如果否,则进入所述第二判断模块,如果是,则返回所述服务器识别模块;
所述统计模块,用于更新所述待处理服务器的统计数据,所述统计数据包括连接会话数、不同源IP数和不同源端口数,并判断在预设时间阈值内,所述待处理服务器的统计数据是否满足服务器甄别条件,如果是,则将所述待处理服务器的状态设置为待识别,并进入所述服务识别模块,如果否,则返回所述服务器识别模块;
所述第二判断模块,用于判断所述待处理服务器的状态是否为待识别,如果否,则进入所述统计模块,如果是,则进入所述服务识别模块;
所述服务识别模块,用于识别所述待处理服务器所提供的服务类型,将识别的服务器所提供的服务类型与所述待处理服务器绑定,将所述待处理服务器的状态设置为已识别。
可选的,所述会话信息的三元组信息为会话信息的第三次握手的目的IP、目的端口号和传输层协议。
可选的,所述统计模块更新所述待处理服务器的统计数据,并判断在预设时间阈值内,所述待处理服务器的统计数据是否满足服务器甄别条件具体用于,将所述待处理服务器的统计数据中的连接会话数+1;
当所述会话信息三元组信息中的源IP与所述待处理服务器已组织的所有源IP均不相同时,所述待处理服务器的统计数据中的源IP数+1;
当所述会话信息三元组信息中的源端口与所述待处理服务器已组织的所有源端口均不相同时,所述待处理服务器的统计数据中的源端口数+1;
判断所述待处理服务器的统计数据的统计时间间隔是否大于所述预设时间阈值,如果是,则将所述待处理服务器的统计数据归零,如果否,则当所述待处理服务器的统计数据中的连接会话数大于第一预设值,且源IP数大于第二预设值;
或
当所述待处理服务器的统计数据中的连接会话数大于第一预设值,且源端口数大于第三预设值,判定所述待处理服务器的统计数据满足服务器甄别条件。
可选的,所述服务识别模块包括:
预协议查询单元,用于以所述会话信息的三元组信息的端口号查询端口协议映射表,以确定与所述会话信息的三元组信息的端口号对应的协议类型作为预协议类型,当所述端口协议映射表中不存在与所述会话信息的三元组信息的端口号对应的协议类型时,所述预协议类型为空;当所述端口协议映射表中存储有端口号与协议类型的对应关系时,则将所述端口协议映射表中与端口号对应的协议类型作为预协议类型;
特征匹配单元,用于对所述会话信息的会话交互数据进行与预协议类型对应的指纹特征规则的匹配,当所述会话信息与任一与预协议类型对应的指纹特征规则匹配时,则将所述待处理服务器所提供的服务类型确定为预协议类型,当所述会话信息与所有与预协议类型对应的指纹特征规则均不匹配时,则对所述会话信息进行与其他协议类型对应的指纹特征规则的匹配,当所述会话信息与任一与其他协议类型对应的指纹特征规则匹配时,则将所述待处理服务器所提供的服务类型确定为匹配的指纹特征规则对应的协议类型。
可选的,还包括:
上报模块,用于根据已识别的待处理服务器和所述待处理服务器所提供的服务类型,生成上报信息。
相应的,本申请实施例还提供了一种网络安全审计系统,包括存储器和处理器;
所述存储器用于存储程序代码,所述处理器用于调用所述程序代码,所述程序代码用于执行上述任一实施例所述的内网服务器发现方法中的具体步骤。
综上所述,本申请实施例提供了一种内网服务器发现方法、系统及网络安全审计系统,其中,所述内网服务器发现方法在接收到会话信息时,根据会话信息的三元组信息查询预设数据库,并在所述预设数据库中未保存有与所述会话信息的三元组信息关联的服务器时,此会话信息的三元组信息就存在着关联着一个新服务器的可能,因此在所述预设数据库中新建待处理服务器与所述会话信息的三元组信息的关联关系,在后续的预设时间阈值内,更新所述待处理服务器的统计数据,并判断所述待处理服务器的统计数据是否满足服务器甄别条件,当所述待处理服务器满足服务器甄别条件时,将所述待处理服务器的状态更改为待识别,从而实现发现内网中新服务器的目的。
另外,在识别出待处理服务器后,还对所述待处理服务器所提供的服务类型进行了识别,来达到对内网监控方位内的服务器以及服务器承载的服务类型进行准确甄别的目的。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (11)
1.一种内网服务器发现方法,其特征在于,包括:
S101:获取会话信息,并根据所述会话信息的三元组信息,判断所述预设数据库中是否保存有与所述会话信息的三元组信息关联的服务器,如果否,则进入步骤S102,如果是,进入步骤S103,所述预设数据库中存储有三元组信息与服务器的关联关系,并且所述服务器的状态标记包括可能、待识别和已识别;
S102:在当所述会话信息的IP信息为非外网IP时,在所述预设数据库中新建待处理服务器与所述会话信息的三元组信息的关联关系,将所述待处理服务器的状态标记为可能,并进入步骤S104;
S103:判断所述待处理服务器的状态是否为已识别,如果否,则进入步骤S105,如果是,则返回步骤S101;
S104:更新所述待处理服务器的统计数据,所述统计数据包括连接会话数、不同源IP数和不同源端口数,并判断在预设时间阈值内,所述待处理服务器的统计数据是否满足服务器甄别条件,如果是,则将所述待处理服务器的状态设置为待识别,并进入步骤S106,如果否,则返回步骤S101;
S105:判断所述待处理服务器的状态是否为待识别,如果否,则进入步骤S104,如果是,则进入步骤S106;
S106:识别所述待处理服务器所提供的服务类型,将识别的服务器所提供的服务类型与所述待处理服务器绑定,将所述待处理服务器的状态设置为已识别。
2.根据权利要求1所述的方法,其特征在于,所述会话信息的三元组信息为会话信息的第三次握手的目的IP、目的端口号和传输层协议。
3.根据权利要求2所述的方法,其特征在于,所述更新所述待处理服务器的统计数据,并判断在预设时间阈值内,所述待处理服务器的统计数据是否满足服务器甄别条件包括:
将所述待处理服务器的统计数据中的连接会话数+1;
当所述会话信息三元组信息中的源IP与所述待处理服务器已组织的所有源IP均不相同时,所述待处理服务器的统计数据中的源IP数+1;
当所述会话信息三元组信息中的源端口与所述待处理服务器已组织的所有源端口均不相同时,所述待处理服务器的统计数据中的源端口数+1;
判断所述待处理服务器的统计数据的统计时间间隔是否大于所述预设时间阈值,如果是,则将所述待处理服务器的统计数据归零,如果否,则在当所述待处理服务器的统计数据中的连接会话数大于第一预设值,且源IP数大于第二预设值;
或
当所述待处理服务器的统计数据中的连接会话数大于第一预设值,且源端口数大于第三预设值时,判定所述待处理服务器的统计数据满足服务器甄别条件。
4.根据权利要求1所述的方法,其特征在于,所述识别所述待处理服务器所提供的服务类型包括:
以所述会话信息的三元组信息的端口号查询端口协议映射表,以确定与所述会话信息的三元组信息的端口号对应的协议类型作为预协议类型,当所述端口协议映射表中不存在与所述会话信息的三元组信息的端口号对应的协议类型时,所述预协议类型为空;当所述端口协议映射表中存储有端口号与协议类型的对应关系时,则将所述端口协议映射表中与端口号对应的协议类型作为预协议类型;
对所述会话信息的会话交互数据进行与预协议类型对应的指纹特征规则的匹配,当所述会话信息与任一与预协议类型对应的指纹特征规则匹配时,则将所述待处理服务器所提供的服务类型确定为预协议类型,当所述会话信息与所有与预协议类型对应的指纹特征规则均不匹配时,则对所述会话信息进行与其他协议类型对应的指纹特征规则的匹配,当所述会话信息与任一与其他协议类型对应的指纹特征规则匹配时,则将所述待处理服务器所提供的服务类型确定为匹配的指纹特征规则对应的协议类型。
5.根据权利要求1所述的方法,其特征在于,步骤S106之后还包括:
根据已识别的待处理服务器和所述待处理服务器所提供的服务类型,生成上报信息。
6.一种内网服务器发现系统,其特征在于,包括:服务器识别模块、服务器新建模块、第一判断模块、统计模块、第二判断模块和服务识别模块;其中,
所述服务器识别模块,用于获取会话信息,并根据所述会话信息的三元组信息,判断所述预设数据库中是否保存有与所述会话信息的三元组信息关联的服务器,如果否,则进入所述服务器新建模块,如果是,进入所述第一判断模块,所述预设数据库中存储有三元组信息与服务器的关联关系,并且所述服务器的状态标记包括可能、待识别和已识别;
所述服务器新建模块,用于在当所述会话信息的IP信息为非外网IP时,在所述预设数据库中新建待处理服务器与所述会话信息的三元组信息的关联关系,将所述待处理服务器的状态标记为可能,并进入所述统计模块;
所述第一判断模块,用于判断所述待处理服务器的状态是否为已识别,如果否,则进入所述第二判断模块,如果是,则返回所述服务器识别模块;
所述统计模块,用于更新所述待处理服务器的统计数据,所述统计数据包括连接会话数、不同源IP数和不同源端口数,并判断在预设时间阈值内,所述待处理服务器的统计数据是否满足服务器甄别条件,如果是,则将所述待处理服务器的状态设置为待识别,并进入所述服务识别模块,如果否,则返回所述服务器识别模块;
所述第二判断模块,用于判断所述待处理服务器的状态是否为待识别,如果否,则进入所述统计模块,如果是,则进入所述服务识别模块;
所述服务识别模块,用于识别所述待处理服务器所提供的服务类型,将识别的服务器所提供的服务类型与所述待处理服务器绑定,将所述待处理服务器的状态设置为已识别。
7.根据权利要求6所述的系统,其特征在于,所述会话信息的三元组信息为会话信息的第三次握手的目的IP、目的端口号和传输层协议。
8.根据权利要求7所述的系统,其特征在于,所述统计模块更新所述待处理服务器的统计数据,并判断在预设时间阈值内,所述待处理服务器的统计数据是否满足服务器甄别条件具体用于,将所述待处理服务器的统计数据中的连接会话数+1;
当所述会话信息三元组信息中的源IP与所述待处理服务器已组织的所有源IP均不相同时,所述待处理服务器的统计数据中的源IP数+1;
当所述会话信息三元组信息中的源端口与所述待处理服务器已组织的所有源端口均不相同时,所述待处理服务器的统计数据中的源端口数+1;
判断所述待处理服务器的统计数据的统计时间间隔是否大于所述预设时间阈值,如果是,则将所述待处理服务器的统计数据归零,如果否,则当所述待处理服务器的统计数据中的连接会话数大于第一预设值,且源IP数大于第二预设值;
或
当所述待处理服务器的统计数据中的连接会话数大于第一预设值,且源端口数大于第三预设值时,判定所述待处理服务器的统计数据满足服务器甄别条件。
9.根据权利要求6所述的系统,其特征在于,所述服务识别模块包括:
预协议查询单元,用于以所述会话信息的三元组信息的端口号查询端口协议映射表,以确定与所述会话信息的三元组信息的端口号对应的协议类型作为预协议类型,当所述端口协议映射表中不存在与所述会话信息的三元组信息的端口号对应的协议类型时,所述预协议类型为空;当所述端口协议映射表中存储有端口号与协议类型的对应关系时,则将所述端口协议映射表中与端口号对应的协议类型作为预协议类型;
特征匹配单元,用于对所述会话信息的会话交互数据进行与预协议类型对应的指纹特征规则的匹配,当所述会话信息与任一与预协议类型对应的指纹特征规则匹配时,则将所述待处理服务器所提供的服务类型确定为预协议类型,当所述会话信息与所有与预协议类型对应的指纹特征规则均不匹配时,则对所述会话信息进行与其他协议类型对应的指纹特征规则的匹配,当所述会话信息与任一与其他协议类型对应的指纹特征规则匹配时,则将所述待处理服务器所提供的服务类型确定为匹配的指纹特征规则对应的协议类型。
10.根据权利要求6所述的系统,其特征在于,还包括:
上报模块,用于根据已识别的待处理服务器和所述待处理服务器所提供的服务类型,生成上报信息。
11.一种网络安全审计系统,其特征在于,包括存储器和处理器;
所述存储器用于存储程序代码,所述处理器用于调用所述程序代码,所述程序代码用于执行权利要求1-5任一项所述的内网服务器发现方法中的具体步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711404186.7A CN108055273B (zh) | 2017-12-22 | 2017-12-22 | 一种内网服务器发现方法、系统及网络安全审计系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711404186.7A CN108055273B (zh) | 2017-12-22 | 2017-12-22 | 一种内网服务器发现方法、系统及网络安全审计系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108055273A true CN108055273A (zh) | 2018-05-18 |
| CN108055273B CN108055273B (zh) | 2020-08-28 |
Family
ID=62130285
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711404186.7A Active CN108055273B (zh) | 2017-12-22 | 2017-12-22 | 一种内网服务器发现方法、系统及网络安全审计系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108055273B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109922081A (zh) * | 2019-04-02 | 2019-06-21 | 全知科技(杭州)有限责任公司 | 一种tcp流长连接数据分析方法 |
| CN112291310A (zh) * | 2020-10-14 | 2021-01-29 | 杭州迪普科技股份有限公司 | 一种统计连接数的方法及装置 |
| CN113420007A (zh) * | 2021-03-31 | 2021-09-21 | 阿里巴巴新加坡控股有限公司 | 数据库访问的审计处理方法、装置及电子设备 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130173826A1 (en) * | 2011-12-30 | 2013-07-04 | Electronics And Telecommunications Research Institute | Method of providing timing information using mmt signaling layer signaling for synchronizing mmt packet streams in mmt hybrid delivery service and method of synchronizing mmt packet streams in mmt hybrid delivery service |
| CN103905265A (zh) * | 2012-12-27 | 2014-07-02 | 中国移动通信集团公司 | 一种网络中新增设备的检测方法和装置 |
| CN103905409A (zh) * | 2012-12-30 | 2014-07-02 | 青岛海尔软件有限公司 | 基于广域网设备的自动注册及发现方法 |
| CN104754512A (zh) * | 2015-03-13 | 2015-07-01 | 广东欧珀移动通信有限公司 | 一种终端查找方法及查找终端 |
| EP2923460A2 (en) * | 2012-11-23 | 2015-09-30 | Calgary Scientific Inc. | Methods and systems for peer-to-peer discovery and connection from a collaborative application session |
| US20160004675A1 (en) * | 2010-05-20 | 2016-01-07 | Samesurf, Inc. | System and method for sharable browsing experience |
| CN106952096A (zh) * | 2017-03-03 | 2017-07-14 | 中国工商银行股份有限公司 | 客户端设备的安全认证系统、方法及客户端可信识别装置 |
-
2017
- 2017-12-22 CN CN201711404186.7A patent/CN108055273B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160004675A1 (en) * | 2010-05-20 | 2016-01-07 | Samesurf, Inc. | System and method for sharable browsing experience |
| US20130173826A1 (en) * | 2011-12-30 | 2013-07-04 | Electronics And Telecommunications Research Institute | Method of providing timing information using mmt signaling layer signaling for synchronizing mmt packet streams in mmt hybrid delivery service and method of synchronizing mmt packet streams in mmt hybrid delivery service |
| EP2923460A2 (en) * | 2012-11-23 | 2015-09-30 | Calgary Scientific Inc. | Methods and systems for peer-to-peer discovery and connection from a collaborative application session |
| CN103905265A (zh) * | 2012-12-27 | 2014-07-02 | 中国移动通信集团公司 | 一种网络中新增设备的检测方法和装置 |
| CN103905409A (zh) * | 2012-12-30 | 2014-07-02 | 青岛海尔软件有限公司 | 基于广域网设备的自动注册及发现方法 |
| CN104754512A (zh) * | 2015-03-13 | 2015-07-01 | 广东欧珀移动通信有限公司 | 一种终端查找方法及查找终端 |
| CN106952096A (zh) * | 2017-03-03 | 2017-07-14 | 中国工商银行股份有限公司 | 客户端设备的安全认证系统、方法及客户端可信识别装置 |
Non-Patent Citations (2)
| Title |
|---|
| G. TANGANELLI等: "A distributed architecture for discovery and access in the internet of things", 《2013 IEEE CONFERENCE ON COMPUTER COMMUNICATIONS WORKSHOPS (INFOCOM WKSHPS)》 * |
| 冀博等: "网络设备自动发现技术的研究与实现", 《西安邮电学院学报》 * |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109922081A (zh) * | 2019-04-02 | 2019-06-21 | 全知科技(杭州)有限责任公司 | 一种tcp流长连接数据分析方法 |
| CN109922081B (zh) * | 2019-04-02 | 2021-06-25 | 全知科技(杭州)有限责任公司 | 一种tcp流长连接数据分析方法 |
| CN112291310A (zh) * | 2020-10-14 | 2021-01-29 | 杭州迪普科技股份有限公司 | 一种统计连接数的方法及装置 |
| CN112291310B (zh) * | 2020-10-14 | 2022-04-26 | 杭州迪普科技股份有限公司 | 一种统计连接数的方法及装置 |
| CN113420007A (zh) * | 2021-03-31 | 2021-09-21 | 阿里巴巴新加坡控股有限公司 | 数据库访问的审计处理方法、装置及电子设备 |
| CN113420007B (zh) * | 2021-03-31 | 2023-09-26 | 阿里巴巴新加坡控股有限公司 | 数据库访问的审计处理方法、装置及电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108055273B (zh) | 2020-08-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10666621B2 (en) | Methods and systems for API proxy based adaptive security | |
| US6415321B1 (en) | Domain mapping method and system | |
| US6279113B1 (en) | Dynamic signature inspection-based network intrusion detection | |
| US7895649B1 (en) | Dynamic rule generation for an enterprise intrusion detection system | |
| US8949169B2 (en) | Methods and apparatus for analyzing system events | |
| CN104115463B (zh) | 用于处理网络元数据的流式传输方法和系统 | |
| US8042182B2 (en) | Method and system for network intrusion detection, related network and computer program product | |
| US7483972B2 (en) | Network security monitoring system | |
| US7293238B1 (en) | Graphical user interface for an enterprise intrusion detection system | |
| DE602004008055T2 (de) | Intelligente integrierte netzwerksicherheitseinrichtung | |
| CN110855576B (zh) | 应用识别方法及装置 | |
| CN109688105B (zh) | 一种威胁报警信息生成方法及系统 | |
| US7934257B1 (en) | On-box active reconnaissance | |
| US20090238088A1 (en) | Network traffic analyzing device, network traffic analyzing method and network traffic analyzing system | |
| CN110401624A (zh) | 源网荷系统交互报文异常的检测方法及系统 | |
| CN111600863B (zh) | 网络入侵检测方法、装置、系统和存储介质 | |
| CN109951459A (zh) | 一种基于局域网的arp欺骗攻击检测方法 | |
| CN108055273A (zh) | 一种内网服务器发现方法、系统及网络安全审计系统 | |
| US20070289014A1 (en) | Network security device and method for processing packet data using the same | |
| CN104092588B (zh) | 一种基于SNMP与NetFlow结合的网络异常流量检测方法 | |
| EP1274011B1 (en) | A method and system for routing and logging a request | |
| CN112383573B (zh) | 一种基于多个攻击阶段的安全入侵回放设备 | |
| Thi et al. | Federated learning-based cyber threat hunting for apt attack detection in SDN-enabled networks | |
| KR20020049462A (ko) | 인터넷상 트래픽의 상위 계층 프로토콜들을 구분하는 방법및 장치 | |
| CN113765849B (zh) | 一种异常网络流量检测方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |