CN109450690A - 快速锁定组网内失陷主机的方法和装置 - Google Patents
快速锁定组网内失陷主机的方法和装置 Download PDFInfo
- Publication number
- CN109450690A CN109450690A CN201811387465.1A CN201811387465A CN109450690A CN 109450690 A CN109450690 A CN 109450690A CN 201811387465 A CN201811387465 A CN 201811387465A CN 109450690 A CN109450690 A CN 109450690A
- Authority
- CN
- China
- Prior art keywords
- networking
- host
- related information
- destination
- source
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0677—Localisation of faults
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/069—Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/12—Avoiding congestion; Recovering from congestion
- H04L47/125—Avoiding congestion; Recovering from congestion by balancing the load, e.g. traffic engineering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了快速锁定组网内失陷主机的方法和装置,包括:获取组网内设备数据包;从组网内设备数据包括中提取关联数据,关联数据包括日志关联信息、负载均衡流量关联信息和组网内主机对外服务流量关联信息;在预设阈值时间内,将组网内主机对外服务流量关联信息中的源IP和目的IP分别与负载均衡流量关联信息中的网络地址转换NAT后源IP和NAT后目的IP进行匹配;如果匹配成功,则将负载均衡流量关联信息中的NAT后源IP和NAT后目的IP分别与日志关联信息中的源IP和目的IP进行匹配;如果匹配成功,则根据日志关联信息中的目的IP快速精准定位失陷主机。
Description
技术领域
本发明涉及网络安全技术领域,尤其是涉及快速锁定组网内失陷主机的方法和装置。
背景技术
目前,针对安全告警、安全事件溯源需要通过一级一级进行排查,即通过主机自身的日志数据同基线数据进行对比分析,确定主机失陷的可能性,并不能确定失陷主机,只能进行大概预估。
发明内容
有鉴于此,本发明的目的在于提供快速锁定组网内失陷主机的方法和装置,通过将组网内设备数据包进行关联分析,快速精准定位失陷主机。
第一方面,本发明实施例提供了快速锁定组网内失陷主机的方法,所述方法包括:
获取组网内设备数据包;
从所述组网内设备数据包括中提取关联数据,所述关联数据包括日志关联信息、负载均衡流量关联信息和组网内主机对外服务流量关联信息,
在预设阈值时间内,将所述组网内主机对外服务流量关联信息中的源IP和目的IP分别与所述负载均衡流量关联信息中的网络地址转换NAT后源IP和NAT后目的IP进行匹配;
如果匹配成功,则将所述负载均衡流量关联信息中的NAT后源IP和NAT后目的IP分别与所述日志关联信息中的源IP和目的IP进行匹配;
如果匹配成功,则根据所述日志关联信息中的目的IP确定失陷主机。
进一步的,所述组网内主机对外服务流量关联信息中的源IP为用户流量携带源IP,所述组网内主机对外服务流量关联信息中的目的IP为用户流量携带目的IP,所述将所述组网内主机对外服务流量关联信息中的源IP和目的IP分别与所述负载均衡流量关联信息中的源IP和目的IP进行匹配,包括:
将所述用户流量携带源IP和所述用户流量携带目的IP分别与所述网络地址转换NAT后源IP和所述NAT后目的IP进行匹配。
进一步的,所述NAT后源IP是通过所述负载均衡流量关联信息中的源IP转换的负载均衡IP;所述NAT后目的IP是通过所述负载均衡流量关联信息中的统一资源定位符URL转换的主机IP。
进一步的,所述获取组网内设备数据包,包括:
通过配置组网内主机的地址和端口,得到组网内主机日志信息;
通过配置所述组网内负载均衡设备的地址和端口,得到所述组网内负载均衡设备的流量信息;
通过配置所述组网内对外提供服务的主机的地址和端口,得到所述组网内对外提供服务的主机的流量信息。
进一步的,所述日志关联信息还包括URL、主机端口、第一开始时间和第一结束时间,所述负载均衡流量关联信息还包括所述URL、来源IP、负载均衡设备端口、第二开始时间和第二结束时间,所述组网内主机对外服务流量关联信息包括访问目的域名、所述组网内对外提供服务的主机端口、第三开始时间和第三结束时间。
第二方面,本发明实施例提供了快速锁定组网内失陷主机的装置,所述装置包括:
获取单元,用于获取组网内设备数据包;
提取单元,用于从所述组网内设备数据包括中提取关联数据,所述关联数据包括日志关联信息、负载均衡流量关联信息和组网内主机对外服务流量关联信息,
第一匹配单元,用于将所述组网内主机对外服务流量关联信息中的源IP和目的IP分别与所述负载均衡流量关联信息中的网络地址转换NAT后源IP和NAT后目的IP进行匹配;
第二匹配单元,用于在匹配成功的情况下,将所述负载均衡流量关联信息中的NAT后源IP和NAT后目的IP分别与所述日志关联信息中的源IP和目的IP进行匹配;
确定单元,用于在匹配成功的情况下,根据所述日志关联信息中的目的IP确定失陷主机。
进一步的,所述组网内主机对外服务流量关联信息中的源IP为用户流量携带源IP,所述组网内主机对外服务流量关联信息中的目的IP为用户流量携带目的IP,所述第一匹配单元包括:
将所述用户流量携带源IP和所述用户流量携带目的IP分别与所述网络地址转换NAT后源IP和所述NAT后目的IP进行匹配。
进一步的,所述NAT后源IP是通过所述负载均衡流量关联信息中的源IP转换的负载均衡IP;所述NAT后目的IP是通过所述负载均衡流量关联信息中的统一资源定位符URL转换的主机IP。
进一步的,所述获取单元包括:
通过配置组网内主机的地址和端口,得到组网内主机日志信息;
通过配置所述组网内负载均衡设备的地址和端口,得到所述组网内负载均衡设备的流量信息;
通过配置所述组网内对外提供服务的主机的地址和端口,得到所述组网内对外提供服务的主机的流量信息。
进一步的,所述日志关联信息还包括URL、主机端口、第一开始时间和第一结束时间,所述负载均衡流量关联信息还包括所述URL、来源IP、负载均衡设备端口、第二开始时间和第二结束时间,所述组网内主机对外服务流量关联信息包括访问目的域名、所述组网内对外提供服务的主机端口、第三开始时间和第三结束时间。
本发明实施例提供了快速锁定组网内失陷主机的方法和装置,包括:获取组网内设备数据包;从组网内设备数据包括中提取关联数据,关联数据包括日志关联信息、负载均衡流量关联信息和组网内主机对外服务流量关联信息;在预设阈值时间内,将组网内主机对外服务流量关联信息中的源IP和目的IP分别与负载均衡流量关联信息中的网络地址转换NAT后源IP和NAT后目的IP进行匹配;如果匹配成功,则将负载均衡流量关联信息中的NAT后源IP和NAT后目的IP分别与日志关联信息中的源IP和目的IP进行匹配;如果匹配成功,则根据日志关联信息中的目的IP快速精准定位失陷主机。
本发明的其他特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
为使本发明的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例一提供的快速锁定组网内失陷主机的方法流程图;
图2为本发明实施例一提供的快速锁定组网内失陷主机的方法中步骤S101的流程图;
图3为本发明实施例一提供的快速锁定组网内失陷主机的匹配信息示意图;
图4为本发明实施例二提供的快速锁定组网内失陷主机的装置示意图。
图标:
10-获取单元;20-提取单元;30-第一匹配单元;40-第二匹配单元;50-确定单元。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合附图对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为便于对本实施例进行理解,下面对本发明实施例进行详细介绍。
实施例一:
图1为本发明实施例一提供的快速锁定组网内失陷主机的方法流程图。
参照图1,该方法包括以下步骤:
步骤S101,获取组网内设备数据包;
步骤S102,从组网内设备数据包括中提取关联数据,关联数据包括日志关联信息、负载均衡流量关联信息和组网内主机对外服务流量关联信息;
步骤S103,在预设阈值时间内,将组网内主机对外服务流量关联信息中的源IP和目的IP分别与负载均衡流量关联信息中的NAT(Network Address Translation,网络地址转换)后源IP和NAT后目的IP进行匹配;
这里,预设时间是预先设置的,可以取(告警时间-t,告警时间+t分钟)时间区间的关联信息进行分析。
步骤S104,如果匹配成功,则将负载均衡流量关联信息中的NAT后源IP和NAT后目的IP分别与日志关联信息中的源IP和目的IP进行匹配;
步骤S105,如果匹配成功,则根据日志关联信息中的目的IP确定失陷主机。
本实施例中,通过接入组网内设备数据包,将组网内设备数据包发送给大数据平台,大数据平台从组网内设备数据包中提取关联数据,将关联信息进行对比分析,确定失陷主机,并利用失陷主机进行安全溯源。
进一步的,组网内主机对外服务流量关联信息中的源IP为用户流量携带源IP,组网内主机对外服务流量关联信息中的目的IP为用户流量携带目的IP,步骤S103包括以下步骤:
步骤S201,将用户流量携带源IP和用户流量携带目的IP分别与网络地址转换NAT后源IP和NAT后目的IP进行匹配。
具体地,参照图3,将用户流量携带源IP和用户流量携带目的IP与NAT后源IP和NAT后目的IP进行匹配,匹配成功后,再将NAT后源IP和NAT后目的IP与源IP和目的IP进行匹配,从而确定失陷主机。
进一步的,NAT后源IP是通过负载均衡流量关联信息中的源IP转换的负载均衡IP;NAT后目的IP是通过负载均衡流量关联信息中的统一资源定位符URL转换的主机IP。
进一步的,参照图2,步骤S101包括以下步骤:
步骤S301,通过配置组网内主机的地址和端口,得到组网内主机日志信息;
步骤S302,通过配置组网内负载均衡设备的地址和端口,得到组网内负载均衡设备的流量信息;
步骤S303,通过配置组网内对外提供服务的主机的地址和端口,得到组网内对外提供服务的主机的流量信息。
这里,通过在采集设备上配置组网内主机的地址和端口,可以获取组网内主机日志信息;在采集设备上通过配置组网内负载均衡设备地址和端口,DPI(Deep PacketInspection)采集组网内负载均衡设备的流量信息。其中;在采集设备上通过配置组网内对外提供服务的主机的地址和端口,DPI采集经由组网内对外提供服务的主机的流量信息。其中,DPI是一种基于数据包的深度检测技术,针对不同的网络应用层载荷进行深度检测,通过对报文的有效载荷检测,并决定其合法性。另外,上述端口也可以设置在数据分析平台上。
进一步的,日志关联信息还包括URL(Uniform Resource Locator,统一资源定位符)、主机端口、第一开始时间和第一结束时间,负载均衡流量关联信息还包括URL、来源IP、负载均衡设备端口、第二开始时间和第二结束时间,组网内主机对外服务流量关联信息包括访问目的域名、组网内对外提供服务的主机端口、第三开始时间和第三结束时间。
具体地,在日志关联信息中,URL(包括域名),源IP为负载均衡IP,记为FZIP,目的IP为组网内私有IP,即为主机IP,记为SYIP。由于外网对组网内主机服务进行访问时,需要经过负载均衡,因此,源IP为负载均衡IP;由于外网对组网内主机服务进行访问时,需要经过负载均衡,故目的IP为主机IP。
在负载均衡流量关联信息中,URL为用户访问网站,记为DIP;源IP为用户端源IP,记为SIP;NAT后源IP将用户端源IP转换为负载均衡IP,记为FZIP;NAT后目的IP将域名转换为主机IP,记为SYIP。
在组网内主机对外服务流量关联信息中,访问目的域名是指公网IP,记为DIP;源IP为用户端源IP,即为用户流量携带源IP记为SIP,目的IP为用户流量携带目的IP,即为公网IP。
本发明实施例提供了快速锁定组网内失陷主机的方法,包括:获取组网内设备数据包;从组网内设备数据包括中提取关联数据,关联数据包括日志关联信息、负载均衡流量关联信息和组网内主机对外服务流量关联信息;在预设阈值时间内,将组网内主机对外服务流量关联信息中的源IP和目的IP分别与负载均衡流量关联信息中的网络地址转换NAT后源IP和NAT后目的IP进行匹配;如果匹配成功,则将负载均衡流量关联信息中的NAT后源IP和NAT后目的IP分别与日志关联信息中的源IP和目的IP进行匹配;如果匹配成功,则根据日志关联信息中的目的IP快速精准定位失陷主机。
实施例二:
图4为本发明实施例二提供的快速锁定组网内失陷主机的装置。
参照图4,该装置包括:获取单元10、提取单元20、第一匹配单元30、第二匹配单元40和确定单元50。
获取单元10,用于获取组网内设备数据包;
提取单元20,用于从组网内设备数据包括中提取关联数据,关联数据包括日志关联信息、负载均衡流量关联信息和组网内主机对外服务流量关联信息;
第一匹配单元30,用于将组网内主机对外服务流量关联信息中的源IP和目的IP分别与负载均衡流量关联信息中的网络地址转换NAT后源IP和NAT后目的IP进行匹配;
第二匹配单元40,用于在匹配成功的情况下,将负载均衡流量关联信息中的NAT后源IP和NAT后目的IP分别与日志关联信息中的源IP和目的IP进行匹配;
确定单元50,用于在匹配成功的情况下,根据日志关联信息中的目的IP确定失陷主机。
进一步的,组网内主机对外服务流量关联信息中的源IP为用户流量携带源IP,组网内主机对外服务流量关联信息中的目的IP为用户流量携带目的IP,第一匹配单元30包括:
将用户流量携带源IP和用户流量携带目的IP分别与网络地址转换NAT后源IP和NAT后目的IP进行匹配。
进一步的,NAT后源IP是通过负载均衡流量关联信息中的源IP转换的负载均衡IP;NAT后目的IP是通过负载均衡流量关联信息中的统一资源定位符URL转换的主机IP。
进一步的,获取单元10包括:
通过配置组网内主机的地址和端口,得到组网内主机日志信息;
通过配置组网内负载均衡设备的地址和端口,得到组网内负载均衡设备的流量信息;
通过配置组网内对外提供服务的主机的地址和端口,得到组网内对外提供服务的主机的流量信息。
进一步的,日志关联信息还包括URL、主机端口、第一开始时间和第一结束时间,负载均衡流量关联信息还包括URL、来源IP、负载均衡设备端口、第二开始时间和第二结束时间,组网内主机对外服务流量关联信息包括访问目的域名、组网内对外提供服务的主机端口、第三开始时间和第三结束时间。
本发明实施例提供了快速锁定组网内失陷主机的装置,包括:获取组网内设备数据包;从组网内设备数据包括中提取关联数据,关联数据包括日志关联信息、负载均衡流量关联信息和组网内主机对外服务流量关联信息;在预设阈值时间内,将组网内主机对外服务流量关联信息中的源IP和目的IP分别与负载均衡流量关联信息中的网络地址转换NAT后源IP和NAT后目的IP进行匹配;如果匹配成功,则将负载均衡流量关联信息中的NAT后源IP和NAT后目的IP分别与日志关联信息中的源IP和目的IP进行匹配;如果匹配成功,则根据日志关联信息中的目的IP快速精准定位失陷主机。
本发明实施例还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行计算机程序时实现上述实施例提供的快速锁定组网内失陷主机的方法的步骤。
本发明实施例还提供一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器运行时执行上述实施例的快速锁定组网内失陷主机的方法的步骤。
本发明实施例所提供的计算机程序产品,包括存储了程序代码的计算机可读存储介质,所述程序代码包括的指令可用于执行前面方法实施例中所述的方法,具体实现可参见方法实施例,在此不再赘述。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统和装置的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
另外,在本发明实施例的描述中,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
在本发明的描述中,需要说明的是,术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”、“第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
最后应说明的是:以上所述实施例,仅为本发明的具体实施方式,用以说明本发明的技术方案,而非对其限制,本发明的保护范围并不局限于此,尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
Claims (10)
1.一种快速锁定组网内失陷主机的方法,其特征在于,所述方法包括:
获取组网内设备数据包;
从所述组网内设备数据包括中提取关联数据,所述关联数据包括日志关联信息、负载均衡流量关联信息和组网内主机对外服务流量关联信息;
在预设阈值时间内,将所述组网内主机对外服务流量关联信息中的源IP和目的IP分别与所述负载均衡流量关联信息中的网络地址转换NAT后源IP和NAT后目的IP进行匹配;
如果匹配成功,则将所述负载均衡流量关联信息中的NAT后源IP和NAT后目的IP分别与所述日志关联信息中的源IP和目的IP进行匹配;
如果匹配成功,则根据所述日志关联信息中的目的IP确定失陷主机。
2.根据权利要求1所述的快速锁定组网内失陷主机的方法,其特征在于,所述组网内主机对外服务流量关联信息中的源IP为用户流量携带源IP,所述组网内主机对外服务流量关联信息中的目的IP为用户流量携带目的IP,所述将所述组网内主机对外服务流量关联信息中的源IP和目的IP分别与所述负载均衡流量关联信息中的源IP和目的IP进行匹配,包括:
将所述用户流量携带源IP和所述用户流量携带目的IP分别与所述网络地址转换NAT后源IP和所述NAT后目的IP进行匹配。
3.根据权利要求2所述的快速锁定组网内失陷主机的方法,其特征在于,所述NAT后源IP是通过所述负载均衡流量关联信息中的源IP转换的负载均衡IP;所述NAT后目的IP是通过所述负载均衡流量关联信息中的统一资源定位符URL转换的主机IP。
4.根据权利要求1所述的快速锁定组网内失陷主机的方法,其特征在于,所述获取组网内设备数据包,包括:
通过配置组网内主机的地址和端口,得到组网内主机日志信息;
通过配置所述组网内负载均衡设备的地址和端口,得到所述组网内负载均衡设备的流量信息;
通过配置所述组网内对外提供服务的主机的地址和端口,得到所述组网内对外提供服务的主机的流量信息。
5.根据权利要求1所述的快速锁定组网内失陷主机的方法,其特征在于,所述日志关联信息还包括URL、主机端口、第一开始时间和第一结束时间,所述负载均衡流量关联信息还包括所述URL、来源IP、负载均衡设备端口、第二开始时间和第二结束时间,所述组网内主机对外服务流量关联信息包括访问目的域名、所述组网内对外提供服务的主机端口、第三开始时间和第三结束时间。
6.一种快速锁定组网内失陷主机的装置,其特征在于,所述装置包括:
获取单元,用于获取组网内设备数据包;
提取单元,用于从所述组网内设备数据包括中提取关联数据,所述关联数据包括日志关联信息、负载均衡流量关联信息和组网内主机对外服务流量关联信息;
第一匹配单元,用于将所述组网内主机对外服务流量关联信息中的源IP和目的IP分别与所述负载均衡流量关联信息中的网络地址转换NAT后源IP和NAT后目的IP进行匹配;
第二匹配单元,用于在匹配成功的情况下,将所述负载均衡流量关联信息中的NAT后源IP和NAT后目的IP分别与所述日志关联信息中的源IP和目的IP进行匹配;
确定单元,用于在匹配成功的情况下,根据所述日志关联信息中的目的IP确定失陷主机。
7.根据权利要求6所述的快速锁定组网内失陷主机的装置,其特征在于,所述组网内主机对外服务流量关联信息中的源IP为用户流量携带源IP,所述组网内主机对外服务流量关联信息中的目的IP为用户流量携带目的IP,所述第一匹配单元包括:
将所述用户流量携带源IP和所述用户流量携带目的IP分别与所述网络地址转换NAT后源IP和所述NAT后目的IP进行匹配。
8.根据权利要求7所述的快速锁定组网内失陷主机的装置,其特征在于,所述NAT后源IP是通过所述负载均衡流量关联信息中的源IP转换的负载均衡IP;所述NAT后目的IP是通过所述负载均衡流量关联信息中的统一资源定位符URL转换的主机IP。
9.根据权利要求6所述的快速锁定组网内失陷主机的装置,其特征在于,所述获取单元包括:
通过配置组网内主机的地址和端口,得到组网内主机日志信息;
通过配置所述组网内负载均衡设备的地址和端口,得到所述组网内负载均衡设备的流量信息;
通过配置所述组网内对外提供服务的主机的地址和端口,得到所述组网内对外提供服务的主机的流量信息。
10.根据权利要求6所述的快速锁定组网内失陷主机的装置,其特征在于,所述日志关联信息还包括URL、主机端口、第一开始时间和第一结束时间,所述负载均衡流量关联信息还包括所述URL、来源IP、负载均衡设备端口、第二开始时间和第二结束时间,所述组网内主机对外服务流量关联信息包括访问目的域名、所述组网内对外提供服务的主机端口、第三开始时间和第三结束时间。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811387465.1A CN109450690B (zh) | 2018-11-20 | 2018-11-20 | 快速锁定组网内失陷主机的方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811387465.1A CN109450690B (zh) | 2018-11-20 | 2018-11-20 | 快速锁定组网内失陷主机的方法和装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109450690A true CN109450690A (zh) | 2019-03-08 |
CN109450690B CN109450690B (zh) | 2022-01-25 |
Family
ID=65553633
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811387465.1A Active CN109450690B (zh) | 2018-11-20 | 2018-11-20 | 快速锁定组网内失陷主机的方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109450690B (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111654556A (zh) * | 2020-05-09 | 2020-09-11 | 苏州云杉世纪网络科技有限公司 | Snat设备翻译前后的流量对应关系匹配方法及装置 |
CN113542311A (zh) * | 2021-09-17 | 2021-10-22 | 成都数默科技有限公司 | 一种实时检测失陷主机并回溯的方法 |
CN114095217A (zh) * | 2021-11-06 | 2022-02-25 | 北京天融信网络安全技术有限公司 | 一种失陷主机快照取证溯源方法和系统 |
WO2023060942A1 (zh) * | 2021-10-15 | 2023-04-20 | 华为技术有限公司 | 确定失陷主机的方法及装置 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070147233A1 (en) * | 2005-12-23 | 2007-06-28 | Tolga Asveren | Graceful failover mechanism for SSCOP service access point for SS7 links |
CN105915532A (zh) * | 2016-05-23 | 2016-08-31 | 北京网康科技有限公司 | 一种失陷主机的识别方法及装置 |
CN107395461A (zh) * | 2017-08-29 | 2017-11-24 | 深信服科技股份有限公司 | 一种基于访问关系的安全状态表示方法及系统 |
CN108156079A (zh) * | 2017-12-29 | 2018-06-12 | 深信服网络科技(深圳)有限公司 | 一种基于云服务平台的数据包转发系统及方法 |
CN108763031A (zh) * | 2018-04-08 | 2018-11-06 | 北京奇安信科技有限公司 | 一种基于日志的威胁情报检测方法及装置 |
-
2018
- 2018-11-20 CN CN201811387465.1A patent/CN109450690B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070147233A1 (en) * | 2005-12-23 | 2007-06-28 | Tolga Asveren | Graceful failover mechanism for SSCOP service access point for SS7 links |
CN105915532A (zh) * | 2016-05-23 | 2016-08-31 | 北京网康科技有限公司 | 一种失陷主机的识别方法及装置 |
CN107395461A (zh) * | 2017-08-29 | 2017-11-24 | 深信服科技股份有限公司 | 一种基于访问关系的安全状态表示方法及系统 |
CN108156079A (zh) * | 2017-12-29 | 2018-06-12 | 深信服网络科技(深圳)有限公司 | 一种基于云服务平台的数据包转发系统及方法 |
CN108763031A (zh) * | 2018-04-08 | 2018-11-06 | 北京奇安信科技有限公司 | 一种基于日志的威胁情报检测方法及装置 |
Non-Patent Citations (1)
Title |
---|
网康科技有限公司: "基于网康云和下一代防火墙的失陷主机检测解决方案(V1.1)", 《HTTPS://WENKU.BAIDU.COM/VIEW/AD03D8C0F78A6529657D53C1.HTML》 * |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111654556A (zh) * | 2020-05-09 | 2020-09-11 | 苏州云杉世纪网络科技有限公司 | Snat设备翻译前后的流量对应关系匹配方法及装置 |
CN111654556B (zh) * | 2020-05-09 | 2022-04-29 | 苏州云杉世纪网络科技有限公司 | Snat设备翻译前后的流量对应关系匹配方法及装置 |
CN113542311A (zh) * | 2021-09-17 | 2021-10-22 | 成都数默科技有限公司 | 一种实时检测失陷主机并回溯的方法 |
CN113542311B (zh) * | 2021-09-17 | 2021-11-26 | 成都数默科技有限公司 | 一种实时检测失陷主机并回溯的方法 |
WO2023060942A1 (zh) * | 2021-10-15 | 2023-04-20 | 华为技术有限公司 | 确定失陷主机的方法及装置 |
CN114095217A (zh) * | 2021-11-06 | 2022-02-25 | 北京天融信网络安全技术有限公司 | 一种失陷主机快照取证溯源方法和系统 |
Also Published As
Publication number | Publication date |
---|---|
CN109450690B (zh) | 2022-01-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109450690A (zh) | 快速锁定组网内失陷主机的方法和装置 | |
CN104967630B (zh) | 网页访问请求的处理方法及装置 | |
CN102710770A (zh) | 一种上网设备识别方法及其实现系统 | |
EP2797291A1 (en) | Traffic analysis for http user agent based device category mapping | |
CN109587105A (zh) | 基于策略的网络服务指纹识别 | |
CN104009885B (zh) | 一种云环境下基于隐蔽通道的虚拟机同驻检测方法 | |
FI2976869T3 (fi) | Asiakaslaitteen uudelleenohjaaminen ensimmäisestä yhdyskäytävästä toiseen yhdyskäytävään verkon solmufunktioon pääsemiseksi | |
CN111404759A (zh) | 服务检测方法、规则配置方法、相关设备及介质 | |
CN108108288A (zh) | 一种日志数据解析方法、装置及设备 | |
CN110719194B (zh) | 一种网络数据的分析方法及装置 | |
CN110392039A (zh) | 基于日志和流量采集的网络系统事件溯源方法及系统 | |
US10841242B2 (en) | Systems and methods to scale a network monitoring fabric | |
CN108923974A (zh) | 一种物联网资产指纹识别方法及系统 | |
CN108040354A (zh) | 一种连接蓝牙设备的方法、系统、电子设备及服务器 | |
CN107483510A (zh) | 一种提高Web应用层攻击检测准确率的方法及装置 | |
CN107528817A (zh) | 域名劫持的探测方法和装置 | |
CN107979506A (zh) | 流量获取和云端展示系统、方法、装置及设备 | |
CN106133780A (zh) | 终端用户性能分析 | |
CN105429996B (zh) | 一种智能发现和定位地址转换设备的方法 | |
CN107577944A (zh) | 基于代码语法分析器的网站恶意代码检测方法及装置 | |
CN109510738A (zh) | 一种通信链路的测试方法及设备 | |
CN107360062B (zh) | Dpi设备识别结果的验证方法、系统及dpi设备 | |
CN105515882B (zh) | 网站安全检测方法及装置 | |
CN105207829B (zh) | 一种入侵检测数据处理方法、装置,及系统 | |
CN104518871B (zh) | 一种自助认证移动存储设备的网络平台及方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |