CN108322454A - 一种网络安全检测方法及装置 - Google Patents

一种网络安全检测方法及装置 Download PDF

Info

Publication number
CN108322454A
CN108322454A CN201810044843.XA CN201810044843A CN108322454A CN 108322454 A CN108322454 A CN 108322454A CN 201810044843 A CN201810044843 A CN 201810044843A CN 108322454 A CN108322454 A CN 108322454A
Authority
CN
China
Prior art keywords
vertex
network
network node
digraph
access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201810044843.XA
Other languages
English (en)
Other versions
CN108322454B (zh
Inventor
罗治华
何俊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
HANGZHOU INFOGO TECH CO LTD
Original Assignee
HANGZHOU INFOGO TECH CO LTD
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by HANGZHOU INFOGO TECH CO LTD filed Critical HANGZHOU INFOGO TECH CO LTD
Priority to CN201810044843.XA priority Critical patent/CN108322454B/zh
Publication of CN108322454A publication Critical patent/CN108322454A/zh
Application granted granted Critical
Publication of CN108322454B publication Critical patent/CN108322454B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本申请提供一种网络安全检测方法及装置,可包括网络连通性发现组件获取所述指定防火墙上配置的访问控制策略;依据获取到的访问控制策略,生成针对网络节点单向连通性的有向图;将生成的有向图转换为无向图;所述无向图包括多个顶点和多个连通的两个顶点之间的无向边;确定所述无向图中的对应外网网络节点的顶点与对应内网终端节点的顶点是否通过无向边连通,如果是,则确定存在网络安全风险。使用本申请提供的方法,可以发现网络安全系统中潜在的风险,实现网络安全检测。

Description

一种网络安全检测方法及装置
技术领域
本申请涉及计算机通信领域,尤其涉及一种网络安全检测方法及装置。
背景技术
DMZ(DeMilitarized Zone,非军事化区),也被称为隔离区,是为了解决安装防火墙后,外部网络的访问用户不能访问内部网络服务器而设立的一个非安全系统与安全系统之间的缓冲区。在这个缓冲区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。通过这样一个DMZ区域,更加有效地保护了内部网络。因为这种网络部署,比起一般的防火墙方案,对来自外部的攻击者又多了一道安全关卡。
在目前常见的网络安全体系中,通常会设置多台防火墙构成DMZ区来防御来自外网的安全威胁。
例如,如图1所示,在图1所示的网络安全体系中,设置了防火墙1和防火墙2,防火墙1与外网相连,防火墙2与内网终端和内网服务器相连,防火墙1和防火墙2共同构成DMZ区。
在该网络安全体系中,通常配置有4组访问控制策略:
1、防火墙1允许外网访问DMZ区;
2、防火墙2允许DMZ区访问内网服务器;
3、防火墙2允许内网终端访问内网服务器;
4、防火墙2禁止DMZ区访问内网终端。
根据上述访问控制策略1和访问控制策略4,表面上来自外网的攻击无法传递到内网终端。但是由于规则2的作用,使得来自于外网的黑客可以通过DMZ区访问到内网服务器,而由于规则3的作用,使得内网终端可以访问内网服务器。因此来自外网的攻击可以通过服务器间接传递到内网终端,影响内网安全。
此外,随着网络规模的不断扩大,内网服务器和内网终端的数量、以及防火墙的访问控制策略的数量也急剧的上升,使得网络中可能存在间接连通外网和内网终端的安全漏洞的数量也大幅度增加,大大影响了内网的网络安全。
发明内容
有鉴于此,本申请提供一种网络安全检测方法及装置,用以实现网络安全检测,确定网络风险加固点。
具体地,本申请是通过如下技术方案实现的:
根据本申请的第一方面,提供一种网络安全检测方法,所述方法应用于连接指定防火墙的网络连通性发现组件,包括:
获取所述指定防火墙上配置的访问控制策略;所述访问控制策略记录了多个网络节点,以及任意两个单向连通的网络节点的访问方向;
依据获取到的访问控制策略,生成针对网络节点单向连通性的有向图;所述有向图包括多个顶点,以及多个单向连通的两个顶点之间的有向边;所述多个顶点与所述访问控制策略记录的网络节点一一对应;所述单向连通的两个顶点之间的有向边,指示访问控制策略记录的与这两个顶点对应的两个网络节点之间的访问方向;
将生成的有向图转换为无向图;所述无向图包括多个顶点和多条无向边;所述无向图中的各顶点与所述有向图中的各顶点一一对应,所述无向图中的各无向边与所述有向图中的各有向边一一对应,所述无向边指示该无向边上的两个顶点对应的网络节点连通;
确定所述无向图中的对应外网网络节点的顶点与对应内网终端节点的顶点是否通过无向边连通,如果是,则确定存在网络安全风险。
可选的,在生成针对网络节点连通性的有向图之后,所述方法还包括:
依据所述有向图,统计目标顶点作为单向连通的访问路径终顶点的访问路径的数量;所述目标顶点为所述有向图中的任一顶点;所述单向连通的访问路径为访问发起的源顶点到待访问的终顶点的单向访问路径;
若统计得到的访问路径的数量超过预设阈值,则将该目标顶点对应的网络节点确定为网络安全加固节点。
可选的,所述依据所述有向图统计目标顶点作为单向连通的访问路径终顶点的访问路径的数量,包括:
依据有向图中的各顶点以及各单向连通的两个顶点之间的有向边,生成至少一个拓扑排序集合;所述拓扑排序集合记录了单向连通的访问路径上的顶点;
统计各拓扑排序集合中的终顶点出现的次数;
所述若统计得到的访问路径的数量超过预设阈值,则将该目标顶点对应的网络节点确定为网络安全加固节点,包括:
若统计得到的终顶点的出现次数超过预设终顶点数阈值,则将该终顶点对应的网络节点确定为网络安全加固节点。
可选的,所述确定所述无向图中的对应外网网络节点的顶点与对应内网终端节点的顶点通过无向边连通,包括:
依据所述无向图,确定无向图中的具有最多顶点的目标访问路径,并生成记录该目标访问路径上的顶点的最大顶点集合;
确定该最大顶点集合中是否存在对应外网网络节点的顶点与对应内网终端的网络节点的顶点,如果存在,则确定所述无向图中的对应外网网络节点的顶点与对应内网终端节点的顶点通过无向边连通。
可选的,所述顶点集合中存在对应外网网络节点的顶点与对应内网终端的网络节点的顶点,通过如下方式确定:
针对所述最大顶点集合中的任一顶点,若该顶点对应的网络节点的IP地址在预设的第一IP地址段中,则确定该顶点为对应外网网络节点的顶点;
若该顶点对应的网络节点的IP地址在预设的第二IP地址段中,则确定该顶点为对应内网终端节点的顶点。
可选的,所述依据获取到的访问控制策略,生成针对网络节点连通性的有向图,包括:
创建顶点集合和有向边集合;
将获取到的访问控制策略中记录的网络节点添加至所述顶点集合;
将获取到的访问控制策略中记录的任意两个单向连通的网络节点的访问方向添加至有向边集合;
基于添加了网络节点的顶点集合和添加了访问方向的有向边集合,生成针对网络节点连通性的有向图。
根据本申请的第二方面,提供一种网络安全检测装置,所述装置应用于连接指定防火墙的网络连通性发现组件,包括:
获取单元,用于获取所述指定防火墙上配置的访问控制策略;所述访问控制策略记录了多个网络节点,以及任意两个单向连通的网络节点的访问方向;
生成单元,用于依据获取到的访问控制策略,生成针对网络节点单向连通性的有向图;所述有向图包括多个顶点,以及多个单向连通的两个顶点之间的有向边;所述多个顶点与所述访问控制策略记录的网络节点一一对应;所述单向连通的两个顶点之间的有向边,指示访问控制策略记录的与这两个顶点对应的两个网络节点之间的访问方向;
转换单元,用于将生成的有向图转换为无向图;所述无向图包括多个顶点和多条无向边;所述无向图中的各顶点与所述有向图中的各顶点一一对应,所述无向图中的各无向边与所述有向图中的各有向边一一对应,所述无向边指示该无向边上的两个顶点对应的网络节点连通;
第一确定单元,用于确定所述无向图中的对应外网网络节点的顶点与对应内网终端节点的顶点是否通过无向边连通,如果是,则确定存在网络安全风险。
可选的,所述装置还包括:
统计单元,用于依据所述有向图,统计目标顶点作为单向连通的访问路径终顶点的访问路径的数量;所述目标顶点为所述有向图中的任一顶点;所述单向连通的访问路径为访问发起的源顶点到待访问的终顶点的单向访问路径;
第二确定单元,用于若统计得到的访问路径的数量超过预设阈值,则将该目标顶点对应的网络节点确定为网络安全加固节点。
可选的,所述统计单元,具体用于依据有向图中的各顶点以及各单向连通的两个顶点之间的有向边,生成至少一个拓扑排序集合;所述拓扑排序集合记录了单向连通的访问路径上的顶点;统计各拓扑排序集合中的终顶点出现的次数;
所述第二确定单元,具体用于若统计得到的终顶点的出现次数超过预设终顶点数阈值,则将该终顶点对应的网络节点确定为网络安全加固节点。
可选的,所述第一确定单元,具体用于依据所述无向图,确定无向图中的具有最多顶点的目标访问路径,并生成记录该目标访问路径上的顶点的最大顶点集合;确定该最大顶点集合中是否存在对应外网网络节点的顶点与对应内网终端的网络节点的顶点,如果存在,则确定所述无向图中的对应外网网络节点的顶点与对应内网终端节点的顶点通过无向边连通。
可选的,所述顶点集合中存在对应外网网络节点的顶点与对应内网终端的网络节点的顶点,通过如下方式确定:
针对所述最大顶点集合中的任一顶点,若该顶点对应的网络节点的IP地址在预设的第一IP地址段中,则确定该顶点为对应外网网络节点的顶点;
若该顶点对应的网络节点的IP地址在预设的第二IP地址段中,则确定该顶点为对应内网终端节点的顶点。
可选的,所述生成单元,具体用于创建顶点集合和有向边集合;将获取到的访问控制策略中记录的网络节点添加至所述顶点集合;将获取到的访问控制策略中记录的任意两个单向连通的网络节点的访问方向添加至有向边集合;基于添加了网络节点的顶点集合和添加了访问方向的有向边集合,生成针对网络节点连通性的有向图。
在本申请中新增了与指定防火墙相连的网络连通性发现组件(为了方便叙述,下文简称发现组件),该发现组件可以基于图算法实现对网络安全风险的检测以及识别出网络安全加固节点。
一方面,由于不再考虑外网网络节点、DMZ区、内网服务器以及内网终端的访问方向,而是直接从无向图中判断外网网络节点与内网终端是否连通来判断是否存在网络安全风险,所以可以解决来自外网的攻击通过一些网络节点间接传递到内网终端,影响内网安全的问题。
另一方面,发现组件还可通过有向图,确定出网络安全加固节点,以提醒用户需要进行网络安全加固的网络节点。
附图说明
图1是本申请一示例性实施例示出的一种传统的网络安全系统的示意图;
图2是本申请一示例性实施例示出的一种网络安全检测方法的流程图;
图3是本申请一示例性实施例示出的一种网络安全系统的示例图;
图4是本申请一示例性实施例示出的一种有向图;
图5是本申请一示例性实施例示出的一种无向图;
图6是本申请一示例性实施例示出的一种网络安全检测装置所在设备的硬件结构图;
图7是本申请一示例性实施例示出的一种网络安全检测装置的框图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
本申请旨在提出一种网络安全检测方法,在本申请中新增了与指定防火墙相连的网络连通性发现组件(为了方便叙述,下文简称发现组件),该发现组件可以基于图算法实现对网络安全风险的检测以及识别出网络安全加固节点。
一方面,发现组件可获取指定放火墙上的访问控制策略,然后根据该访问控制策略记录的网络节点,以及具有单向连通性的任意两个网络节点之间的访问方向,生成针对网络节点单向连通性的有向图。然后,再将有向图转换为无向图,通过判断无向图中对应外网网络节点的顶点与对应内网终端节点的顶点是否通过无向边连通,如果连通,发现组件可确定存在网络安全风险。
由于不再考虑外网网络节点、DMZ区、内网服务器以及内网终端的访问方向,而是直接从无向图中判断外网网络节点与内网终端是否连通来判断是否存在网络安全风险,所以可以解决来自外网的攻击通过一些网络节点间接传递到内网终端,影响内网安全的问题。
另一方面,发现组件还可通过有向图,确定出网络安全加固节点,以提醒用户需要进行网络安全加固的网络节点。
在介绍本申请提供的网络安全检测方法之前,首先对一些名词进行解释。
上述网络连通性发现组件,是本申请在传统的网络安全系统中新增的组件,该发现组件可以基于图算法实现对网络安全风险的检测以及识别出网络安全加固节点。该发现组件可以是服务器、服务器集群等。这里对承载发现组件的硬件设备不进行特别地限定。
上述访问控制策略,记载了多个网络节点,以及任意两个单向连通的网络节点的访问方向。该访问控制策略可以配置在防火墙上,用于对内外网的流量进行控制等。该访问控制策略可以包括ACL列表等。
例如,如图1所示,假设防火墙2允许内网终端1访问内网服务器,内网终端1的IP地址分别为ip3,内网服务器的IP地址为ip2。则防火墙2上记录的ACL列表可以为:permit ipip3 ip2。其中,ip3和ip2就是ACL列表记录的网络节点,“ip3 ip2”从左至右的顺序表示ip3到ip2的访问方向,即ip3可以单向访问ip2。
上述针对网络节点单向连通性的有向图,可以表示网络安全系统中的多个网络节点,以及任意单向连通的两个网络节点之间的访问方向。该有向图可以包括多个顶点,以及单向连通的多个顶点之间的有向边。
有向图与上述访问控制策略对应。具体地,有向图中的顶点与访问控制策略记录的网络节点一一对应。有向图中的单向连通的两个顶点之间的有向边,指示访问控制策略记录的与这两个顶点对应的两个网络节点之间的访问方向
仍以防火墙2允许内网终端1访问内网服务器,内网终端1的IP地址分别为ip3,内网服务器的IP地址为ip2。则防火墙2上记录的ACL列表可以为:permit ip ip3 ip2为例,并结合图4进行说明。
图4就是有向图。图4中的圆圈就表示顶点,圆圈之间的带箭头的直线表示有向边。
图4中ip3所在的圆圈表示内网终端1,ip2所在的圆圈表示内网服务器。ip3所在圆圈与ip2所在圆圈之间带箭头的直线表示IP3到ip2的访问方向,即ip3单向访问ip2。
上述无向图,在本例中,与上述有向图对应。该无向图也包括多个顶点以及多条无向边。该无向图中的各顶点与所述有向图中的各顶点一一对应,该无向图中的各无向边与所述有向图中的各有向边一一对应,该无向边指示该无向边上的两个顶点对应的网络节点连通。
例如,如图5所示,图5是图4转换而成的无向图。图5中的圆圈表示顶点,圆圈间的直线表示无向边。图5中的各顶点与图4中的各顶点一一对应,图5中的各无向边与图4中的各有向边一一对应,图5中的无向边上的两个顶点对应的网络节点连通。
仍以防火墙2允许内网终端1访问内网服务器,内网终端1的IP地址分别为ip3,内网服务器的IP地址为ip2。则防火墙2上记录的ACL列表可以为:permit ip ip3 ip2为例,并结合图5进行说明。
图5中ip3所在的圆圈表示内网终端1,与图4中的表示ip3的顶点对应,ip2所在的圆圈表示内网服务器,与图4中表示ip2的顶点对应。ip3所在圆圈与ip2所在圆圈之间的直线表示连接ip3和ip2的无向边,该无向边指示ip3与ip2连通,该无向边与图4中的有向边对应。
接下来,对本申请提供的网络安全检测方法进行详细地说明。
参见图2,图2是本申请一示例性实施例示出的一种网络安全检测方法的流程图;该方法可应用在与指定防火墙相连的网络连通性发现组件(下文简称发现组件),该方法可包括如下所示步骤。
步骤201:发现组件可获取指定防火墙上配置的访问控制策略;所述访问控制策略记录了多个网络节点,以及任意两个单向连通的网络节点的访问方向。
在一种可选的实现方式中,发现组件可向指定防火墙发送用于获取访问控制策略的请求消息,防火墙在接收到该请求消息后,可将本地的访问控制策略发送给发现组件。
在另一种可选的实现方式中,指定防火墙可周期性地上报本地的访问控制策略给发现组件。
这里只是对发现组件获取指定防火墙上配置的访问控制策略的示例性说明,不对其进行具体地限定。
步骤202:发现组件可依据获取到的访问控制策略,生成针对网络节点单向连通性的有向图;所述有向图包括多个顶点,以及多个单向连通的两个顶点之间的有向边;所述多个顶点与所述访问控制策略记录的网络节点一一对应;所述单向连通的两个顶点之间的有向边,指示访问控制策略记录的与这两个顶点对应的两个网络节点之间的访问方向。
具体地,发现组件可创建顶点集合和有向边集合,并将获取到的访问控制策略中记录的网络节点添加至所述顶点集合,将获取到的访问控制策略中记录的任意两个单向连通的网络节点的访问方向添加至有向边集合。然后发现组件可基于添加了网络节点的顶点集合和添加了访问方向的有向边集合,生成针对网络节点连通性的有向图。
步骤203:发现组件可将生成的有向图转换为无向图;所述无向图包括多个顶点和多条无向边;所述无向图中的各顶点与所述有向图中的各顶点一一对应,所述无向图中的各无向边与所述有向图中的各有向边一一对应,所述无向边指示该无向边上的两个顶点对应的网络节点连通。
步骤204:发现组件确定所述无向图中的对应外网网络节点的顶点与对应内网终端节点的顶点是否通过无向边连通,如果是,则确定存在网络安全风险。
具体地,发现组件可依据所述无向图,确定无向图中的具有最多顶点的目标访问路径,并生成记录该目标访问路径上的顶点的最大顶点集合。
针对生成的最大顶点集合中的每一个顶点,若该顶点对应的网络节点的IP地址在预设的第一IP地址段中,发现组件可确定该顶点为对应外网网络节点的顶点;
若该顶点对应的网络节点的IP地址在预设的第二IP地址段中,发现组件可确定该顶点为对应内网终端节点的顶点。
若该最大顶点集合中存在对应外网网络节点的顶点与对应内网终端的网络节点的顶点,发现组件可确定所述无向图中的对应外网网络节点的顶点与对应内网终端节点的顶点通过无向边连通。
其中,上述第一IP地址段为发现组件预配置的地址段,该第一IP地址段表示外网。上述第二IP地址段位发现组件预配置的地址段,该第二IP地址段表示内网终端的地址段。
此外,在本申请实施例中,发现组件还可基于有向图,确定出安全系统中网络安全加固节点。
在本申请实施例中,在生成上述有向图后,发现组件可依据所述有向图,统计目标顶点作为单向连通的访问路径终顶点的访问路径的数量;所述目标顶点为所述有向图中的任一顶点;所述单向连通的访问路径为访问发起的源顶点到待访问的终顶点的单向访问路径;若统计得到的访问路径的数量超过预设阈值,则将该目标顶点对应的网络节点确定为网络安全加固节点。
在一种可选的实现方式中,发现组件可依据有向图中的各顶点以及各单向连通的两个顶点之间的有向边,生成至少一个拓扑排序集合;所述拓扑排序集合记录了单向连通的访问路径上的顶点。发现组件可统计各拓扑排序集合中的终顶点出现的次数。若统计得到的终顶点的出现次数超过预设终顶点数阈值,发现组件可将该终顶点对应的网络节点确定为网络安全加固节点。
其中,上述有向图中的单向连通访问路径,为发起访问的源顶点到待访问的终顶点的单向访问路径。该单向连通的访问路径包括了源顶点到终顶点之间的中间顶点。
以图4为例,假设外网设备的IP地址为ip0,DMZ区的设备的IP地址为ip1,内网服务器的IP地址为ip2。
图4中的单向访问路径可以是:ip0→ip1→ip2;其中,ip0为发起访问的源顶点,ip2为待访问的终顶点,ip1是源顶点和终顶点之间的中间顶点。
上述拓扑集合,记录了单向连通的访问路径上的顶点。
例如,图4所示,以单项访问路径为ip0→ip1→ip2,表示该单项访问路径的拓扑集合可以为:St 1={ip0,ip1,ip2}。
下面以具体的例子对本申请提供的网络安全检测方法进行详细地说明。
参见图3,图3是本申请一示例性实施例示出的一种网络安全系统的示例图。
在图3所示的网络安全系统中,包括防火墙1和防火墙2。防火墙1与外网相连。防火墙2与内网服务器和内网终端相连。防火墙1和防火墙2共同构成了DMZ区。
在DMZ区中,可设置一些开放性服务器,如企业Web服务器、FTP服务器等,这里为了方便叙述,将DMZ区中设置的设备统称为DMZ设备。上文、以及下文所说的访问DMZ区,其实是指访问该DMZ区中的DMZ设备。
此外,防火墙1和防火墙2上还分别设置有ACL访问控制列表。
以外网的一台设备,该设备的IP地址为ip0,以及DMZ区中的一台DMZ设备,该设备的IP地址为ip1,以内网服务器中的内网服务器1,以及4台内网终端,假设内网服务器1的IP地址为ip2。假设4台内网终端分别为终端1、终端2、终端3和终端4,这4台内网终端的IP地址分别为ip3,ip4,ip5和ip6为例对本申请提供的方法进行详细地说明。当然,在实际应用中,外网对应有多台设备,DMZ区也可配置多台DMZ设备,可配置有多台内网服务器和可配置多台内网终端,其方法与下述举例的一台时类似,这里不再赘述。
假设,在本例中,防火墙1上配置的访问原则是:允许外网访问DMZ区。
为了实现该访问原则,防火墙1上设置了ACL1。
ACL1的配置:permit ip ip0 ip1。
该配置表明:IP地址为ip0的网络设备可访问IP地址为ip1的网络设备。并且该访问方向是单向的,即仅由ip0的网络设备访问IP地址为ip1的网络设备。
防火墙2上配置的访问原则是:
1)允许DMZ区访问内网服务器;
2)允许内网终端访问内网服务器。
为了实现该访问原则,防火墙2上配置了ACL2。
ACL2的配置如下:
permit ip ip1 ip2;
permit ip ip3 ip2;
permit ip ip4 ip2;
permit ip ip5 ip2;
permit ip ip6 ip2。
该配置表明:
ip1的网络设备可访问ip2的网络设备;
ip3的网络设备可访问ip2的网络设备;
ip4的网络设备可访问ip2的网络设备;
ip5的网络设备可访问ip2的网络设备;
ip6的网络设备可访问ip2的网络设备。
并且上述访问方向是单向的,即仅由ip1的网络设备访问ip2的网络设备,由ip3的网络设备访问ip2的网络设备,由ip4的网络设备访问ip2的网络设备,由ip5的网络设备访问ip2的网络设备,由ip6的网络设备访问ip2的网络设备。
本申请在网络安全系统中新增了网络连通性发现组件(为了方便叙述,下文简称发现组件),该发现组件可以基于图算法实现对网络安全风险的检测以及识别出网络安全加固节点。
例如,该发现组件可获取指定放火墙上的ACL列表,然后根据该ACL列表记录的网络节点,以及具有单向连通性的任意两个网络节点之间的访问方向,生成针对网络节点单向连通性的有向图。然后,再将有向图转换为无向图,通过无向图判断无向图中的对应外网网络节点的顶点与对应内网终端节点的顶点是否相连,如果相连,发现组件可确定存在网络安全风险。
此外,发现组件还可通过有向图,确定出网络安全加固节点,以提醒用户需要进行网络安全加固的网络节点。
参见图3至图5,首先,先详细介绍下发现组件确定是否存在网络安全风险的实现方式。
步骤1:发现组件获取防火墙1和防火墙2上的ACL列表。
在一种可选的实现方式中,发现组件可以分别向防火墙1和防火墙2发送用于获取ACL列表的请求消息,防火墙1在接收到请求消息后,可将ACL1发送给发现组件。防火墙2在接收到请求消息后,可将ACL2发送给发现组件。
在另一种可选的实现方式中,防火墙1和防火墙2可周期性地向发现组件发送本地的ACL列表。
步骤2:发现组件可依据从防火墙1和防火墙2上获取到的ACL列表,生成针对网络节点单向连通性的有向图。
在实现时,发现组件可创建顶点集合V和有向边集合E。初创建的顶点集合V和有向边集合E为空集。
发现组件可读取ACL1和ACL2中记录的各网络节点。例如,发现组件可读取到的网络节点的IP地址分别为ip0、ip1、ip2、ip3、ip4、ip5和ip6。发现组件可将读取到的网络节点的IP地址添加到上述创建的顶点集合V中,生成的集合V如下所示:
V={ip0,ip1,ip2,ip3,ip4,ip5,ip6}。
发现组件还可读取ACL1和ACL2中记录的任意两个具有单向连通性的网络节点的访问方向。
例如,发现组件可以读取到:ip0可以单向访问ip1,ip0到ip1的访问方向的标识为ip1可单向访问ip2(其访问方向可记为),ip3可单向访问ip2(其访问方向可记为),ip4可单向访问ip2(其访问方向可记为),ip5可单向访问IP2(其访问方向可记为),ip6可单向访问ip2(其访问方向可记为)。
发现组件可将单向连通的任意两个网络节点的访问方向(如)加入到上述有向边集合E中,生成的有向边集合E如下所示:
发现组件可基于该顶点集合V和有向边集合E,生成针对防火墙1和防火墙2上的ACL列表记录的网络节点连通性的有向图G(V、E)。生成的有向图G(V、E)如图4所示。
需要说明的是图4中的圆圈表示顶点,带箭头的直线表示有向边。
步骤3:发现组件将上述生成的有向图转换为无向图。
在实现时,发现组件可将上述有向图转换为无向图。生成无向图如图5所示。
图5是图4转换而成的无向图。图5中的圆圈表示顶点,圆圈间的直线表示无向边。图5中的各顶点与图4中的各顶点一一对应,图5中的各无向边与图4中的各有向边一一对应,图5中的无向边上的两个顶点对应的网络节点连通。
例如,图5中表示ip0的顶点与图4中表示ip0的顶点对应;
图5中表示ip1的顶点与图4中表示ip1的顶点对应;
图5中表示ip2的顶点与图4中表示ip2的顶点对应;
图5中表示ip3的顶点与图4中表示ip3的顶点对应;
图5中表示ip4的顶点与图4中表示ip4的顶点对应;
图5中表示ip5的顶点与图4中表示ip5的顶点对应;
图5中表示ip6的顶点与图4中表示ip6的顶点对应。
图5中连接ip0和ip1的无向边与图4中的有向边对应,指示ip0和ip1连通;
图5中连接ip1和ip2的无向边与图4中的有向边对应,指示ip1和ip2连通;
图5中连接ip2和ip3的无向边与图4中的有向边对应,指示ip2和ip3连通;
图5中连接ip2和ip4的无向边与图4中的有向边对应,指示ip2和ip4连通;
图5中连接ip2和ip5的无向边与图4中的有向边对应,指示ip2和ip5连通;
图5中连接ip2和ip6的无向边与图4中的有向边对应,指示ip2和ip6连通。
步骤4:发现组件可依据无向图确定是否存在网络安全风险。
在实现时,发现组件可计算该无向图的最大团。
在计算时,发现组件可确定该无向图中具有最多顶点的目标访问路径,并生成记录该目标访问路径上的顶点的最大顶点集合Vm
如图5为例,生成的Vm为:
Vm1={ip0,ip1,ip2,ip3};
Vm2={ip0,ip1,ip2,ip4};
Vm3={ip0,ip1,ip2,ip5};
Vm4={ip0,ip1,ip2,ip6}。
在本申请实施例中,发现组件可基于生成的Vm,确定无向图中的对应外网网络节点的顶点与对应内网终端节点的顶点是否相连,从而确定出是否存在网络安全风险。
在实现时,发现组件上预配置了表示外网的第一网段,以及表示内网终端的第二网段。假设ip0属于第一网段,ip3-ip4属于第二网段。
以Vm1为例,发现组件可检查Vm1中记录的每个顶点,判断该顶点是否属于第一网段,若属于,则确定该顶点对应外网网络节点。发现组件还可判断每个顶点是否属于第二网段,若属于,则确定该顶点对应内网终端节点。
例如,发现组件可检查ip0是否属于第一网段,在本例中,发现组件确定ip0属于第一网段,并确定ip0对应外网网络节点。接着,发现组件还可检查ip1和ip2是否属于第一网段,在本例中,ip1和ip2不属于第一网段。发现组件还可检查ip1和ip2是否属于第二网段,在本例中ip1和ip2不属于第二网段。发现组件还可检查ip3是否属于第一网段,在本例中,ip3不属于第一网段。发现组件还可检查ip3是否属于第二网段,在本例中,ip3属于第二网段,发现组件可确定ip3对应内网终端。
对于Vm2-Vm4的检测,如Vm1相同,这里不再赘述。
在本申请实施例中,当发现组件确定上述任一Vm中存在对应外网网络节点的顶点以及对应内网终端节点的顶点,发现组件可确定存在网络安全风险。
通过检测,发现组件确定上述Vm1集合中存在对应外网网络节点的顶点(如ip0)以及对应内网终端节点的顶点(如ip3);确定上述Vm2集合中存在对应外网网络节点的顶点(如ip0)以及对应内网终端节点的顶点(如ip4);确定上述Vm3集合中存在对应外网网络节点的顶点(如ip0)以及对应内网终端节点的顶点(如ip5);确定上述Vm4集合中存在对应外网网络节点的顶点(如ip0)以及对应内网终端节点的顶点(如ip6)。所以发现组件可确定存在网络安全风险。
需要说明的是,当上述任一Vm中存在对应外网网络节点的顶点以及对应内网终端节点的顶点,表明外网网络节点与内网终端节点在逻辑上是连通的。换句话来说,外网网络节点是可以间接访问到内网终端节点的,因此会存在网络安全风险。
此外,本申请还提供发现网络安全加固节点的方法。下面对确定网络安全加固节点的方法进行详细地说明。
在步骤2之后,即在生成针对网络节点单向连通性的有向图之后,发现组件还可依据该有向图,统计有向图中目标顶点(即该有向图中的任一顶点)作为单向连通的访问路径终顶点的访问路径的数量。若统计得到的访问路径的数量超过预设阈值,发现组件可确定该目标顶点对应的网络节点为网络安全加固节点。
具体地,发现组件可依据该有向图(即图2)中的各顶点以及各单向连通的两个顶点之间的有向边,生成记录有单向连通的访问路径上的顶点的拓扑排序集合。
例如,在图2中,单向连通的访问路径可包括:
ip0→ip1→ip2;
ip3→ip2;
ip4→ip2;
ip5→ip2;
ip6→ip2。
发现组件在确定出单向连通的访问路径后,可生成5个拓扑排序集合,这5个拓扑排序集合可如下所示:
St 1={ip0,ip1,ip2};(对应路径ip0→ip1→ip2)
St 2={ip3,ip2};(对应路径ip3→ip2)
St 3={ip4,ip2};(对应路径ip4→ip2)
St 4={ip5,ip2};(对应路径ip5→ip2)
St 5={ip6,ip2}。(对应路径ip6→ip2)
需要说明的是,这5个拓扑排序集合中记录的顶点是有一定顺序性的。比如上述例子中的拓扑排序集合记录的顶点按照从左到右的顺序构成一条单向连通的访问路径。
以St 1={ip0,ip1,ip2}来说,St 1中的发起访问的源顶点为ip0,待访问的终顶点为ip2,ip1为该单向连通的访问路径上的中间顶点。
当然,上述按照从左至右的顺序构成一条单向连通的访问路径只是示例性地说明,当然也可以按照从右至左的顺序构成一条单向连通的访问路径,这里不进行具体地限定。
在本申请实施例中,在生成记录有单向连通的访问路径上的顶点的拓扑排序集合后,发现组件可统计各拓扑排序集合中的终顶点出现的次数。当统计得到的终顶点出现的次数超过预设终顶点数阈值时,则确定该终顶点对应的网络节点为网络安全加固节点。
例如,发现组件可统计St 1中的终顶点ip2出现的次数,由于ip2在St 2至St 5中均为终顶点,均出现过,发现组件可统计到ip2出现5次。然后发现组件可检测ip2出现的5次是否超过预设终顶点数阈值,若超过,则确定ip2对应的网络节点为网络安全加固节点。
其中,上述预设阈值可根据实际情况进行确定,例如在实际应用中可将该终顶点数预设阈值设置为2等。这里只是示例性地说明,不对该预设阈值进行具体地限定。
从上述描述可以看出:
防火墙1上配置的ACL列表是允许外网单向访问DMZ区,防火墙2上配置的ACL列表是允许DMZ区单向访问内网服务器,以及内网终端单向访问内网服务器。这就使得来自外网的攻击可以通过内网服务器传递给内网终端。
为了解决该问题,在本申请中,一方面,本申请将各网络节点及其访问关系转换为有向图,又将该有向图转换为无向图,并基于无向图中对应外网网络节点的顶点与对应内网终端节点的顶点是否连通,来确定外网网络节点与内网终端是否逻辑上相连。本申请在确定外网与内网终端是否相连时,由于不再考虑外网网络节点、DMZ区、内网服务器以及内网终端的访问方向,而是判断外网网络节点与内网终端是否逻辑上相连,所以可以解决来自外网的攻击通过一些网络节点传递到内网终端,影响内网安全的问题。
另一方面,本申请还能基于有向图,通过拓扑排序集合中的终顶点出现的次数,来确定出存在风险的顶点即需要网络安全加固的顶点。
参见图6,本申请还提供一种网络连通性发现组件的硬件架构图,该网络连通性发现组件包括:通信接口601、处理器602、存储器603和总线604;其中,通信接口601、处理器602和存储器603通过总线604完成相互间的通信。
其中,通信接口601,用于与指定防火墙通信。处理器602可以是一个CPU,存储器603可以是非易失性存储器(non-volatile memory),并且存储器603中存储有网络安全检测的逻辑指令,处理器602可以执行存储器603中存储的网络安全检测的逻辑指令,以实现上述的网络安全检测的功能。
至此,完成图6所示的硬件结构描述。
请参考图7,图7是本申请一示例性实施例示出的一种网络安全检测装置的框图。所述网络安全检测装置可应用于网络连通性发现组件,可包括如下所示单元。
获取单元701,用于获取所述指定防火墙上配置的访问控制策略;所述访问控制策略记录了多个网络节点,以及任意两个单向连通的网络节点的访问方向;
生成单元702,用于依据获取到的访问控制策略,生成针对网络节点单向连通性的有向图;所述有向图包括多个顶点,以及多个单向连通的两个顶点之间的有向边;所述多个顶点与所述访问控制策略记录的网络节点一一对应;所述单向连通的两个顶点之间的有向边,指示访问控制策略记录的与这两个顶点对应的两个网络节点之间的访问方向;
转换单元703,用于将生成的有向图转换为无向图;所述无向图包括多个顶点和多条无向边;所述无向图中的各顶点与所述有向图中的各顶点一一对应,所述无向图中的各无向边与所述有向图中的各有向边一一对应,所述无向边指示该无向边上的两个顶点对应的网络节点连通;
第一确定单元704,用于确定所述无向图中的对应外网网络节点的顶点与对应内网终端节点的顶点是否通过无向边连通,如果是,则确定存在网络安全风险。
可选的,所述装置还包括:
统计单元705,用于依据所述有向图,统计目标顶点作为单向连通的访问路径终顶点的访问路径的数量;所述目标顶点为所述有向图中的任一顶点;所述单向连通的访问路径为访问发起的源顶点到待访问的终顶点的单向访问路径;
第二确定单元706,用于若统计得到的访问路径的数量超过预设阈值,则将该目标顶点对应的网络节点确定为网络安全加固节点。
可选的,所述统计单元705,具体用于依据有向图中的各顶点以及各单向连通的两个顶点之间的有向边,生成至少一个拓扑排序集合;所述拓扑排序集合记录了单向连通的访问路径上的顶点;统计各拓扑排序集合中的终顶点出现的次数;
所述第二确定单元706,具体用于若统计得到的终顶点的出现次数超过预设终顶点数阈值,则将该终顶点对应的网络节点确定为网络安全加固节点。
可选的,所述第一确定单元704,具体用于依据所述无向图,确定无向图中的具有最多顶点的目标访问路径,并生成记录该目标访问路径上的顶点的最大顶点集合;若该最大顶点集合中存在对应外网网络节点的顶点与对应内网终端的网络节点的顶点,则确定所述无向图中的对应外网网络节点的顶点与对应内网终端节点的顶点通过无向边连通。
可选的,所述顶点集合中存在对应外网网络节点的顶点与对应内网终端的网络节点的顶点,通过如下方式确定:
针对所述最大顶点集合中的任一顶点,若该顶点对应的网络节点的IP地址在预设的第一IP地址段中,则确定该顶点为对应外网网络节点的顶点;
若该顶点对应的网络节点的IP地址在预设的第二IP地址段中,则确定该顶点为对应内网终端节点的顶点。
可选的,所述生成单元702,具体用于创建顶点集合和有向边集合;将获取到的访问控制策略中记录的网络节点添加至所述顶点集合;将获取到的访问控制策略中记录的任意两个单向连通的网络节点的访问方向添加至有向边集合;基于添加了网络节点的顶点集合和添加了访问方向的有向边集合,生成针对网络节点连通性的有向图。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。

Claims (12)

1.一种网络安全检测方法,其特征在于,所述方法应用于连接指定防火墙的网络连通性发现组件,包括:
获取所述指定防火墙上配置的访问控制策略;所述访问控制策略记录了多个网络节点,以及任意两个单向连通的网络节点的访问方向;
依据获取到的访问控制策略,生成针对网络节点单向连通性的有向图;所述有向图包括多个顶点,以及多个单向连通的两个顶点之间的有向边;所述多个顶点与所述访问控制策略记录的网络节点一一对应;所述单向连通的两个顶点之间的有向边,指示访问控制策略记录的与这两个顶点对应的两个网络节点之间的访问方向;
将生成的有向图转换为无向图;所述无向图包括多个顶点和多条无向边;所述无向图中的各顶点与所述有向图中的各顶点一一对应,所述无向图中的各无向边与所述有向图中的各有向边一一对应,所述无向边指示该无向边上的两个顶点对应的网络节点连通;
确定所述无向图中的对应外网网络节点的顶点与对应内网终端节点的顶点是否通过无向边连通,如果是,则确定存在网络安全风险。
2.根据权利要求1所述的方法,其特征在于,在生成针对网络节点连通性的有向图之后,所述方法还包括:
依据所述有向图,统计目标顶点作为单向连通的访问路径终顶点的访问路径的数量;所述目标顶点为所述有向图中的任一顶点;所述单向连通的访问路径为访问发起的源顶点到待访问的终顶点的单向访问路径;
若统计得到的访问路径的数量超过预设阈值,则将该目标顶点对应的网络节点确定为网络安全加固节点。
3.根据权利要求2所述的方法,其特征在于,所述依据所述有向图统计目标顶点作为单向连通的访问路径终顶点的访问路径的数量,包括:
依据有向图中的各顶点以及各单向连通的两个顶点之间的有向边,生成至少一个拓扑排序集合;所述拓扑排序集合记录了单向连通的访问路径上的顶点;
统计各拓扑排序集合中的终顶点出现的次数;
所述若统计得到的访问路径的数量超过预设阈值,则将该目标顶点对应的网络节点确定为网络安全加固节点,包括:
若统计得到的终顶点的出现次数超过预设终顶点数阈值,则将该终顶点对应的网络节点确定为网络安全加固节点。
4.根据权利要求1所述的方法,其特征在于,所述确定所述无向图中的对应外网网络节点的顶点与对应内网终端节点的顶点是否通过无向边连通,包括:
依据所述无向图,确定无向图中的具有最多顶点的目标访问路径,并生成记录该目标访问路径上的顶点的最大顶点集合;
确定该最大顶点集合中是否存在对应外网网络节点的顶点与对应内网终端的网络节点的顶点,如果存在,则确定所述无向图中的对应外网网络节点的顶点与对应内网终端节点的顶点通过无向边连通。
5.根据权利要求1所述的方法,其特征在于,所述顶点集合中存在对应外网网络节点的顶点与对应内网终端的网络节点的顶点,通过如下方式确定:
针对所述最大顶点集合中的任一顶点,若该顶点对应的网络节点的IP地址在预设的第一IP地址段中,则确定该顶点为对应外网网络节点的顶点;
若该顶点对应的网络节点的IP地址在预设的第二IP地址段中,则确定该顶点为对应内网终端节点的顶点。
6.根据权利要求1所述的方法,其特征在于,所述依据获取到的访问控制策略,生成针对网络节点连通性的有向图,包括:
创建顶点集合和有向边集合;
将获取到的访问控制策略中记录的网络节点添加至所述顶点集合;
将获取到的访问控制策略中记录的任意两个单向连通的网络节点的访问方向添加至有向边集合;
基于添加了网络节点的顶点集合和添加了访问方向的有向边集合,生成针对网络节点连通性的有向图。
7.一种网络安全检测装置,其特征在于,所述装置应用于连接指定防火墙的网络连通性发现组件,包括:
获取单元,用于获取所述指定防火墙上配置的访问控制策略;所述访问控制策略记录了多个网络节点,以及任意两个单向连通的网络节点的访问方向;
生成单元,用于依据获取到的访问控制策略,生成针对网络节点单向连通性的有向图;所述有向图包括多个顶点,以及多个单向连通的两个顶点之间的有向边;所述多个顶点与所述访问控制策略记录的网络节点一一对应;所述单向连通的两个顶点之间的有向边,指示访问控制策略记录的与这两个顶点对应的两个网络节点之间的访问方向;
转换单元,用于将生成的有向图转换为无向图;所述无向图包括多个顶点和多条无向边;所述无向图中的各顶点与所述有向图中的各顶点一一对应,所述无向图中的各无向边与所述有向图中的各有向边一一对应,所述无向边指示该无向边上的两个顶点对应的网络节点连通;
第一确定单元,用于确定所述无向图中的对应外网网络节点的顶点与对应内网终端节点的顶点是否通过无向边连通,如果是,则确定存在网络安全风险。
8.根据权利要求7所述的装置,其特征在于,所述装置还包括:
统计单元,用于依据所述有向图,统计目标顶点作为单向连通的访问路径终顶点的访问路径的数量;所述目标顶点为所述有向图中的任一顶点;所述单向连通的访问路径为访问发起的源顶点到待访问的终顶点的单向访问路径;
第二确定单元,用于若统计得到的访问路径的数量超过预设阈值,则将该目标顶点对应的网络节点确定为网络安全加固节点。
9.根据权利要求8所述的装置,其特征在于,所述统计单元,具体用于依据有向图中的各顶点以及各单向连通的两个顶点之间的有向边,生成至少一个拓扑排序集合;所述拓扑排序集合记录了单向连通的访问路径上的顶点;统计各拓扑排序集合中的终顶点出现的次数;
所述第二确定单元,具体用于若统计得到的终顶点的出现次数超过预设终顶点数阈值,则将该终顶点对应的网络节点确定为网络安全加固节点。
10.根据权利要求7所述的装置,其特征在于,所述第一确定单元,具体用于依据所述无向图,确定无向图中的具有最多顶点的目标访问路径,并生成记录该目标访问路径上的顶点的最大顶点集合;确定该最大顶点集合中是否存在对应外网网络节点的顶点与对应内网终端的网络节点的顶点,如果存在,则确定所述无向图中的对应外网网络节点的顶点与对应内网终端节点的顶点通过无向边连通。
11.根据权利要求7所述的装置,其特征在于,所述顶点集合中存在对应外网网络节点的顶点与对应内网终端的网络节点的顶点,通过如下方式确定:
针对所述最大顶点集合中的任一顶点,若该顶点对应的网络节点的IP地址在预设的第一IP地址段中,则确定该顶点为对应外网网络节点的顶点;
若该顶点对应的网络节点的IP地址在预设的第二IP地址段中,则确定该顶点为对应内网终端节点的顶点。
12.根据权利要求7所述的装置,其特征在于,所述生成单元,具体用于创建顶点集合和有向边集合;将获取到的访问控制策略中记录的网络节点添加至所述顶点集合;将获取到的访问控制策略中记录的任意两个单向连通的网络节点的访问方向添加至有向边集合;基于添加了网络节点的顶点集合和添加了访问方向的有向边集合,生成针对网络节点连通性的有向图。
CN201810044843.XA 2018-01-17 2018-01-17 一种网络安全检测方法及装置 Active CN108322454B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810044843.XA CN108322454B (zh) 2018-01-17 2018-01-17 一种网络安全检测方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810044843.XA CN108322454B (zh) 2018-01-17 2018-01-17 一种网络安全检测方法及装置

Publications (2)

Publication Number Publication Date
CN108322454A true CN108322454A (zh) 2018-07-24
CN108322454B CN108322454B (zh) 2020-09-15

Family

ID=62894521

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810044843.XA Active CN108322454B (zh) 2018-01-17 2018-01-17 一种网络安全检测方法及装置

Country Status (1)

Country Link
CN (1) CN108322454B (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111654504A (zh) * 2020-06-10 2020-09-11 北京天融信网络安全技术有限公司 一种dga域名检测方法及装置
CN112910929A (zh) * 2021-03-24 2021-06-04 中国科学院信息工程研究所 基于异质图表示学习的恶意域名检测方法及装置
CN113079124A (zh) * 2020-01-03 2021-07-06 中国移动通信集团广东有限公司 入侵行为检测方法、系统及电子设备

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101013993A (zh) * 2007-02-12 2007-08-08 北京航空航天大学 优化树形拓扑覆盖网络路由的方法
CN101364203A (zh) * 2008-09-19 2009-02-11 南京大学 一种面向隐蔽通道分析的系统分析和划分方法
CN102315992A (zh) * 2011-10-21 2012-01-11 北京海西赛虎信息安全技术有限公司 非法外联检测方法
CN103747003A (zh) * 2014-01-16 2014-04-23 南京邮电大学 对等僵尸网络核心节点检测方法及检测装置
CN105528407A (zh) * 2015-12-04 2016-04-27 杭州师范大学 一种获取l个具有最佳传播影响力用户的方法和装置
CN105721207A (zh) * 2016-01-29 2016-06-29 国家电网公司 电力通信网中通信节点重要度的确定方法和装置

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101013993A (zh) * 2007-02-12 2007-08-08 北京航空航天大学 优化树形拓扑覆盖网络路由的方法
CN101364203A (zh) * 2008-09-19 2009-02-11 南京大学 一种面向隐蔽通道分析的系统分析和划分方法
CN102315992A (zh) * 2011-10-21 2012-01-11 北京海西赛虎信息安全技术有限公司 非法外联检测方法
CN103747003A (zh) * 2014-01-16 2014-04-23 南京邮电大学 对等僵尸网络核心节点检测方法及检测装置
CN105528407A (zh) * 2015-12-04 2016-04-27 杭州师范大学 一种获取l个具有最佳传播影响力用户的方法和装置
CN105721207A (zh) * 2016-01-29 2016-06-29 国家电网公司 电力通信网中通信节点重要度的确定方法和装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
管雨翔: "基于图挖掘的网络钓鱼检测算法", 《微型电脑应用》 *

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113079124A (zh) * 2020-01-03 2021-07-06 中国移动通信集团广东有限公司 入侵行为检测方法、系统及电子设备
CN111654504A (zh) * 2020-06-10 2020-09-11 北京天融信网络安全技术有限公司 一种dga域名检测方法及装置
CN112910929A (zh) * 2021-03-24 2021-06-04 中国科学院信息工程研究所 基于异质图表示学习的恶意域名检测方法及装置
CN112910929B (zh) * 2021-03-24 2022-01-04 中国科学院信息工程研究所 基于异质图表示学习的恶意域名检测方法及装置

Also Published As

Publication number Publication date
CN108322454B (zh) 2020-09-15

Similar Documents

Publication Publication Date Title
CN104967609B (zh) 内网开发服务器访问方法、装置及系统
US8782771B2 (en) Real-time industrial firewall
Li et al. Distributed network intrusion detection system in satellite-terrestrial integrated networks using federated learning
CN105684391A (zh) 基于标签的访问控制规则的自动生成
Benzel et al. Design, Deployment, and Use of the DETER Testbed.
Achleitner et al. Adversarial network forensics in software defined networking
CN107852604A (zh) 用于提供全局虚拟网络(gvn)的系统和方法
CN100413290C (zh) 设置边界网关协议路由选择通知功能的方法
CN106105115A (zh) 网络环境中由服务节点始发的服务链
KR102324361B1 (ko) 집단 지능 기반 악의적 기기 탐지 장치 및 방법
CN105141711A (zh) 一种基于大数据分析的对称nat穿越方法及系统
CN108322454A (zh) 一种网络安全检测方法及装置
CN114915476B (zh) 一种基于网络安全测评过程的攻击推演图生成方法及系统
Durante et al. A model for the analysis of security policies in service function chains
CN109617753A (zh) 一种网络平台管理方法、系统及电子设备和存储介质
Cui et al. A novel fuzzing method for Zigbee based on finite state machine
EP4073992A1 (en) Programmable switching device for network infrastructures
CN109450685A (zh) 一种基于局部链节点离线的共识方法及节点
CN105991624A (zh) 一种服务器的安全管理方法及装置
Hasan et al. A constraint-based intrusion detection system
Li et al. BCTrustFrame: enhancing trust management via blockchain and IPFS in 6G era
KR102314557B1 (ko) 보안 통제 관리 시스템 및 그 방법
Jin et al. Collaborative IDS configuration: A two-layer game-theoretic approach
Imani et al. Guard sets in tor using as relationships
KR101703491B1 (ko) 클라우드 시스템의 보안 서비스 제공방법 및 그 클라우드 시스템

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant