CN109688159A - 网络隔离违规识别方法、服务器及计算机可读存储介质 - Google Patents

Abstract

本发明公开了一种网络隔离违规识别方法，包括：获取多个网段之间的隔离策略；根据获取的隔离策略扫描所述多个网段之间存在的隔离漏洞；提取每个所述隔离漏洞的形成因子，计算每个所述形成因子对所述隔离漏洞的影响度，并根据计算得到影响度的大小筛选出多个目标形成因子；及根据所述多个目标形成因子建立并训练一网络隔离违规识模型。本发明还提供一种服务器及计算机可读存储介质。本发明提供的网络隔离违规识别方法、服务器及计算机可读存储介质可以扫描所述多个网段之间存在的隔离漏洞并进行机器学习，实现智能化排除风险隐患。

Description

网络隔离违规识别方法、服务器及计算机可读存储介质

技术领域

本发明涉及互联网领域，尤其涉及网络隔离违规识别方法、服务器及计算机可读存储介质。

背景技术

现有网络隔离违规识别主要依赖检测人员进行主动发现与判断，一般是先通过访谈了解网络隔离总体设计方案并查看网络拓扑图了解网络架构及管控方式，再提取关键防火墙策略进行抽查，让网络管理人员解释说明，从而来发现存在的隔离漏洞。该种方式检查面窄，检查效率低下，由于依靠检查人员主观进行判断，往往只能看到漏洞表面现象，难以深入、全面发现问题，且费时费力。

发明内容

有鉴于此，本发明提出一种网络隔离违规识别、服务器及计算机可读存储介质，可实现自动化扫描并识别隔离漏洞，具有高可靠性、节省人力成本。

首先，为实现上述目的，本发明提出一种服务器，所述服务器包括存储器、处理器，所述存储器上存储有可在所述处理器上运行的网络隔离违规识别系统，所述网络隔离违规识别系统被所述处理器执行时实现如下步骤：

获取多个网段之间的隔离策略，所述隔离策略包括访问限制规则及访问跳转规则；

根据获取的隔离策略扫描所述多个网段之间存在的隔离漏洞；

提取每个所述隔离漏洞的形成因子，计算每个所述形成因子对所述隔离漏洞的影响度，并根据计算得到的影响度大小筛选出多个目标形成因子；及

根据所述多个目标形成因子建立并训练一网络隔离违规识模型，所述网络隔离违规识模型用于扫描并识别所述多个网段之间存在的隔离漏洞。

可选地，所述网络隔离违规识别系统被所述处理器执行时，还实现如下步骤：

对识别出的每一所述隔离漏洞依据预定的评分模型进行打分，以根据评分大小对每一所述隔离漏洞进行评级与警示；

其中，所述评分模型由多个评分因子进行训练得到，所述评分因子包括漏洞影响范围、漏洞破坏性、漏洞复杂性及漏洞获取权限。

可选地，所述提取每个所述隔离漏洞的形成因子，计算每个所述形成因子对所述隔离漏洞的影响度，并根据计算得到影响度的大小筛选出多个目标形成因子的步骤包括：

提取每个所述隔离漏洞的形成因子，并计算每个所述形成因子对隔离漏洞的影响权重；

根据所述影响权重计算得到每个所述形成因子对应的影响度大小；及

根据所述影响度大小，剔除掉影响度较小的形成因子，保留下来的形成因子即为所述目标形成因子；

其中，所述影响度较小的形成因子为影响度小于预设值的形成因子。

可选地，所述根据获取的隔离策略扫描所述多个网段之间存在的隔离漏洞的步骤包括：

根据获取的隔离策略扫描所述多个网段之间的防火墙、可远程登录的服务器端口、可传输文件的服务器端口及可访问跳板机的服务器端口，以扫描出所述多个网段之间存在的隔离漏洞。

此外，为实现上述目的，本发明还提供一种网络隔离违规识别方法，应用于服务器，所述方法包括：

获取多个网段之间的隔离策略，所述隔离策略包括访问限制规则及访问跳转规则；

根据获取的隔离策略扫描所述多个网段之间存在的隔离漏洞；

提取每个所述隔离漏洞的形成因子，计算每个所述形成因子对所述隔离漏洞的影响度，并根据计算得到影响度的大小筛选出多个目标形成因子；及

根据所述多个目标形成因子建立并训练一网络隔离违规识模型，所述网络隔离违规识模型用于扫描并识别所述多个网段之间存在的隔离漏洞。

可选地，所述多个网段包括开发网段、测试网段、办公网段及生产网段，不同的网段之间对应设置不同的隔离策略。

可选地，所所述网络隔离违规识别方法还包括：

对识别出的每一所述隔离漏洞依据预定的评分模型进行打分，以根据评分大小对每一所述隔离漏洞进行评级与警示；

其中，所述评分模型由多个评分因子进行训练得到，所述评分因子包括漏洞影响范围、漏洞破坏性、漏洞复杂性及漏洞获取权限。

可选地，所述提取每个所述隔离漏洞的形成因子，计算每个所述形成因子对所述隔离漏洞的影响度，并根据计算得到影响度的大小筛选出多个目标形成因子的步骤包括：

提取每个所述隔离漏洞的形成因子，并计算每个所述形成因子对所述隔离漏洞的影响权重；

根据所述影响权重计算得到每个所述形成因子对应的影响度大小；及

根据所述影响度大小，剔除掉影响度较小的形成因子，保留下来的形成因子即为所述目标形成因子；

其中，所述影响度较小的形成因子为影响度小于预设值的形成因子。

可选地，所述根据获取的隔离策略扫描所述多个网段之间存在的隔离漏洞的步骤包括：

根据获取的隔离策略扫描所述多个网段之间的防火墙、可远程登录的服务器端口、可传输文件的服务器端口及可访问跳板机的服务器端口，以扫描出所述多个网段之间存在的隔离漏洞。

进一步地，为实现上述目的，本发明还提供一种计算机可读存储介质，所述计算机可读存储介质存储有网络隔离违规识别系统，所述网络隔离违规识别系统可被至少一个处理器执行，以使所述至少一个处理器执行如上述网络隔离违规识别方法的步骤。

相较于现有技术，本发明所提出的网络隔离违规识别方法、服务器及计算机可读存储介质，首先，获取多个网段之间的隔离策略，所述隔离策略包括访问限制规则及访问跳转规则；其次，根据获取的隔离策略扫描所述多个网段之间存在的隔离漏洞；再者，提取每个所述隔离漏洞的形成因子，计算每个所述形成因子对所述隔离漏洞的影响度，并根据计算得到影响度的大小筛选出多个目标形成因子；最后，根据所述多个目标形成因子建立并训练一网络隔离违规识模型，所述网络隔离违规识模型用于扫描并识别所述多个网段之间存在的隔离漏洞。这样，可以实现对查找的隔离漏洞进行机器学习，通过机器学习识别类似策略，实现全面自动检视管控缺陷，最大限度地封堵漏洞，排除风险隐患，且具有高可靠性、节省大量的人力物力。

附图说明

图1是本发明服务器一可选的硬件架构的示意图；

图2是本发明网络隔离违规识别系统第一实施例的程序模块示意图；

图3是本发明网络隔离违规识别系统第二实施例的程序模块示意图；

图4为本发明网络隔离违规识别方法第一实施例的实施流程示意图；

图5为本发明网络隔离违规识别方法第二实施例的实施流程示意图。

附图标记：

本发明目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

需要说明的是，在本发明中涉及“第一”、“第二”等的描述仅用于描述目的，而不能理解为指示或暗示其相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。另外，各个实施例之间的技术方案可以相互结合，但是必须是以本领域普通技术人员能够实现为基础，当技术方案的结合出现相互矛盾或无法实现时应当认为这种技术方案的结合不存在，也不在本发明要求的保护范围之内。

参阅图1所示，是本发明应用服务器2一可选的硬件架构的示意图。

本实施例中，所述应用服务器2可包括，但不仅限于，可通过系统总线相互通信连接存储器11、处理器12、网络接口13。需要指出的是，图2仅示出了具有组件11-13的应用服务器2，但是应理解的是，并不要求实施所有示出的组件，可以替代的实施更多或者更少的组件。

其中，所述应用服务器2可以是机架式服务器、刀片式服务器、塔式服务器或机柜式服务器等计算设备，该应用服务器2可以是独立的服务器，也可以是多个服务器所组成的服务器集群。

所述存储器11至少包括一种类型的可读存储介质，所述可读存储介质包括闪存、硬盘、多媒体卡、卡型存储器(例如，SD或DX存储器等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘等。在一些实施例中，所述存储器11可以是所述应用服务器2的内部存储单元，例如该应用服务器2的硬盘或内存。在另一些实施例中，所述存储器11也可以是所述应用服务器2的外部存储设备，例如该应用服务器2上配备的插接式硬盘，智能存储卡(Smart Media Card,SMC)，安全数字(Secure Digital,SD)卡，闪存卡(FlashCard)等。当然，所述存储器11还可以既包括所述应用服务器2的内部存储单元也包括其外部存储设备。本实施例中，所述存储器11通常用于存储安装于所述应用服务器2的操作系统和各类应用软件，例如网络隔离违规识别系统100的程序代码等。此外，所述存储器11还可以用于暂时地存储已经输出或者将要输出的各类数据。

所述处理器12在一些实施例中可以是中央处理器(Central Processing Unit，CPU)、控制器、微控制器、微处理器、或其他数据处理芯片。该处理器12通常用于控制所述应用服务器2的总体操作。本实施例中，所述处理器12用于运行所述存储器11中存储的程序代码或者处理数据，例如运行所述的网络隔离违规识别系统100等。

所述网络接口13可包括无线网络接口或有线网络接口，该网络接口13通常用于在所述应用服务器2与其他电子设备之间建立通信连接。

至此，己经详细介绍了本发明相关设备的硬件结构和功能。下面，将基于上述介绍提出本发明的各个实施例。

首先，本发明提出一种网络隔离违规识别系统100。

参阅图2所示，是本发明网络隔离违规识别系统100第一实施例的程序模块图。

本实施例中，所述网络隔离违规识别系统100包括一系列的存储于存储器11上的计算机程序指令，当该计算机程序指令被处理器12执行时，可以实现本发明各实施例的网络隔离违规识别操作。在一些实施例中，基于该计算机程序指令各部分所实现的特定的操作，网络隔离违规识别系统100可以被划分为一个或多个模块。例如，在图2中，网络隔离违规识别系统100可以被分割成获取模块101、扫描模块102、筛选模块103及建立模块104。其中：

所述获取模块101用于获取多个网段之间的隔离策略，所述隔离策略包括访问限制规则及访问跳转规则。

在一实施例中，所述多个网段可以包括开发网段、测试网段、办公网段及生产网段。所述开发网段可以是指用于开发工作的网段，所述测试网段可以是指用于测试工作的网段，所述生产网段可以是指用于产品生产工作的网段，所述办公网段可以是指其他不属于开发、测试及生产的网段，例如行政、财务等办公网段。所述隔离策略可以是指一方网段内的设备接入访问另一方网段内的设备所遵循的访问限制规则及访问跳转规则，不同的网段之间可设置有不同的隔离策略。

举例而言，所述网络隔离策略包括开发网段与生产网段之间的隔离策略、测试网段与生产网段之间的隔离策略、办公网段与生产网段之间的隔离策略。所述获取模块101可以通过访问ACL(访问控制列表)来获取各网段之间的网络隔离策略。例如：所述隔离策略包括允许从第一服务器到第二服务器端口A1-A5、协议B1-B4的访问。该多个网段包括有多个服务器及跳板机，所述隔离策略还可以包括跳板机与服务器之间防火墙策略信息。所述防火墙策略信息可以是实现通信报文过滤以及访问控制的策略，所述防火墙策略还可以是对不同网段之间的通信协议进行检查分析的策略，进而可以实现对非法通信实时报警。

所述扫描模块102用于根据获取的隔离策略扫描所述多个网段之间存在的隔离漏洞。

在一实施例中，所述扫描模块102可以选择从任意一网段的终端扫描其他段的跳板机及服务器端口，来判断是否符合每一网段之间的隔离策略。

举例而言，当需要检查的是开发网段与生产网段之间的隔离策略、测试网段与生产网段之间的隔离策略及办公网段与生产网段之间的隔离策略时，所述扫描模块102可以从开发网终端、测试网终端、办公网终端分别扫描生产网段的跳板机以及服务器端口，进而来判断是否分别符合开发网段与生产网段之间的隔离策略、测试网段与生产网段之间的隔离策略及办公网段与生产网段之间的隔离策略。在扫描过程中，可以重点扫描与生产网段之间的防火墙策略、可远程登录生产网段的服务器端口、可传输文件的生产网段的服务器端口及可访问生产网段的跳板机的服务器端口。其中，可访问生产网段的跳板机的可确定为第一等级(中危)的网络隔离漏洞。可访问生产网段的服务器(例如应用服务器，网络设备服务器)的可确定为第二等级(高危)的网络隔离漏洞，可访问生产网段的数据库服务器的确定为第三等级(特高危)的网络隔离漏洞。

所述筛选模块103提取每个所述隔离漏洞的形成因子，计算每个所述形成因子对所述隔离漏洞的影响度，并根据计算得到影响度的大小筛选出多个目标形成因子。

在一实施方式中，每个隔离漏洞的产生原因可能包括很多形成因子，在进行机器学习的过程中将所有的形成因子都放入模型进行拟合训练不利于提高运算速度。因此，所述筛选模块103可以从一隔离漏洞提取出的众多影响该隔离漏洞产生的形成因子中筛选出对其影响较大的多个关键形成因子，并将筛选出的关键形成因子称为目标形成因子。所述筛选模块103提取完所有可能影响该隔离漏洞的形成因子后，还需要计算提取的每个形成因子对所述隔离漏洞的影响度，并根据影响度的大小筛选出目标形成因子。

在一实施方式中，所述筛选模块103可以筛选出影响度排名前几的形成因子作为目标形成因子。例如筛选出排名前5的形成因子作为目标形成因子。所述筛选模块103还可以通过剔除掉影响度较小的形成因子，保留下来的形成因子即为所述目标形成因子，其中，所述影响度较小的形成因子为影响度小于预设值的形成因子。

在一实施方式中，所述筛选模块103计算每个形成因子对所述隔离漏洞的影响权重，再根据影响权重计算得到每个形成因子对应的影响度，最后根据影响度的大小来实现筛选出目标形成因子。影响权重可以采用计算WOE(Weight of Evidence，证据权重)来得到。具体的，WOE的计算公式如下：WOE_i＝In(py_i/pn_i)，其中，下标i表示当前的形成因子编号，py_i是指这个组中该形成因子占所有形成因子的比重，pn_i是指这个组中其他形成因子占所有形成因子的比重。影响度的大小可以采用IV(Information Value，信息量)值来表示的。具体的，IV的计算公式如下：IV_i＝(py_i-pn_i)*WOE_i。

所述建立模块104用于根据所述多个目标形成因子建立并训练一网络隔离违规识模型，所述网络隔离违规识模型用于扫描并识别所述多个网段之间存在的隔离漏洞。

在一实施方式中，所述建立模块104可以根据所述多个目标形成因子建立并训练一网络隔离违规识模型，进而可以实现智能化识别网络隔离违规行为。所述建立模块104利用深度学习算法建立网络隔离违规识生成模型的步骤可以是：首先，建立预测模型，所述预测模型可以是线性回归模型、逻辑回归模型、马尔科夫链模型等，以下以预测模型为逻辑回归模型为例进行说明，逻辑回归模型如下：ln(p/1-p)＝β0+β1X1+β2X2+…+βnXn。其中，p代表某件事情发生的概率，1-p代表某件事情不发生的概率，X1，X2，X3，…，Xn为入模变量，β0，β1，β2，…，βn分别是各个入模变量的系数(参数)，在本实施例中，将扫描出的隔离漏洞特征参数(例如特征参数可以包括违规的服务器端口、防火墙漏洞、扫描漏洞过程记录等)作为该逻辑回归模型中的入模变量；其次，将每一隔离漏洞的目标形成因子作为训练学习数据，通过训练学习确定逻辑回归模型中各个入模变量前的参数，即确定β0，β1，β2，…，βn的值，训练学习的过程就是确定各个参数的过程，当各个参数确定完之后即可得到的便是网络隔离违规识模型，通过所述网络隔离违规识模型即可扫描并识别所述多个网段之间存在的隔离漏洞

通过上述程序模块101-104，本发明所提出的网络隔离违规识别系统100，首先，获取多个网段之间的隔离策略，所述隔离策略包括访问限制规则及访问跳转规则；其次，根据获取的隔离策略扫描所述多个网段之间存在的隔离漏洞；再者，提取每个所述隔离漏洞的形成因子，计算每个所述形成因子对所述隔离漏洞的影响度，并根据计算得到影响度的大小筛选出多个目标形成因子；最后，根据所述多个目标形成因子建立并训练一网络隔离违规识模型，所述网络隔离违规识模型用于扫描并识别所述多个网段之间存在的隔离漏洞。这样，可以实现对查找的隔离漏洞进行机器学习，通过机器学习识别类似策略，实现全面自动检视管控缺陷，最大限度地封堵漏洞，排除风险隐患，且具有高可靠性、节省大量的人力物力。

参阅图3所示，是本发明网络隔离违规识别系统100第二实施例的程序模块图。本实施例中，所述网络隔离违规识别系统100包括一系列的存储于存储器11上的计算机程序指令，当该计算机程序指令被处理器12执行时，可以实现本发明各实施例的网络隔离违规识别操作。在一些实施例中，基于该计算机程序指令各部分所实现的特定的操作，网络隔离违规识别系统100可以被划分为一个或多个模块。例如，在图3中，网络隔离违规识别系统100可以被分割成获取模块101、扫描模块102、筛选模块103、建立模块104及评分模块105。所述各程序模块101-104与本发明网络隔离违规识别系统100第一实施例相同，并在此基础上增加评分模块105。其中：

所述获取模块101用于获取多个网段之间的隔离策略，所述隔离策略包括访问限制规则及访问跳转规则。

在一实施例中，所述多个网段可以包括开发网段、测试网段、办公网段及生产网段。所述开发网段可以是指用于开发工作的网段，所述测试网段可以是指用于测试工作的网段，所述生产网段可以是指用于产品生产工作的网段，所述办公网段可以是指其他不属于开发、测试及生产的网段，例如行政、财务等办公网段。所述隔离策略可以是指一方网段内的设备接入访问另一方网段内的设备所遵循的访问限制规则及访问跳转规则，不同的网段之间可设置有不同的隔离策略。

举例而言，所述网络隔离策略包括开发网段与生产网段之间的隔离策略、测试网段与生产网段之间的隔离策略、办公网段与生产网段之间的隔离策略。所述获取模块101可以通过访问ACL(访问控制列表)来获取各网段之间的网络隔离策略。例如：所述隔离策略包括允许从第一服务器到第二服务器端口A1-A5、协议B1-B4的访问。该多个网段包括有多个服务器及跳板机，所述隔离策略还可以包括跳板机与服务器之间防火墙策略信息。所述防火墙策略信息可以是实现通信报文过滤以及访问控制的策略，所述防火墙策略还可以是对不同网段之间的通信协议进行检查分析的策略，进而可以实现对非法通信实时报警。

所述扫描模块102用于根据获取的隔离策略扫描所述多个网段之间存在的隔离漏洞。

在一实施例中，所述扫描模块102可以选择从任意一网段的终端扫描其他段的跳板机及服务器端口，来判断是否符合每一网段之间的隔离策略。

举例而言，当需要检查的是开发网段与生产网段之间的隔离策略、测试网段与生产网段之间的隔离策略及办公网段与生产网段之间的隔离策略时，所述扫描模块102可以从开发网终端、测试网终端、办公网终端分别扫描生产网段的跳板机以及服务器端口，进而来判断是否分别符合开发网段与生产网段之间的隔离策略、测试网段与生产网段之间的隔离策略及办公网段与生产网段之间的隔离策略。在扫描过程中，可以重点扫描与生产网段之间的防火墙策略、可远程登录生产网段的服务器端口、可传输文件的生产网段的服务器端口及可访问生产网段的跳板机的服务器端口。其中，可访问生产网段的跳板机的可确定为第一等级(中危)的网络隔离漏洞。可访问生产网段的服务器(例如应用服务器，网络设备服务器)的可确定为第二等级(高危)的网络隔离漏洞，可访问生产网段的数据库服务器的确定为第三等级(特高危)的网络隔离漏洞。

所述筛选模块103提取每个所述隔离漏洞的形成因子，计算每个所述形成因子对所述隔离漏洞的影响度，并根据计算得到影响度的大小筛选出多个目标形成因子。

在一实施方式中，每个隔离漏洞的产生原因可能包括很多形成因子，在进行机器学习的过程中将所有的形成因子都放入模型进行拟合训练不利于提高运算速度。因此，所述筛选模块103可以从一隔离漏洞提取出的众多影响该隔离漏洞产生的形成因子中筛选出对其影响较大的多个关键形成因子，并将筛选出的关键形成因子称为目标形成因子。所述筛选模块103提取完所有可能影响该隔离漏洞的形成因子后，还需要计算提取的每个形成因子对所述隔离漏洞的影响度，并根据影响度的大小筛选出目标形成因子。

在一实施方式中，所述筛选模块103可以筛选出影响度排名前几的形成因子作为目标形成因子。例如筛选出排名前5的形成因子作为目标形成因子。所述筛选模块103还可以通过剔除掉影响度较小的形成因子，保留下来的形成因子即为所述目标形成因子，其中，所述影响度较小的形成因子为影响度小于预设值的形成因子。

在一实施方式中，所述筛选模块103计算每个形成因子对所述隔离漏洞的影响权重，再根据影响权重计算得到每个形成因子对应的影响度，最后根据影响度的大小来实现筛选出目标形成因子。影响权重可以采用计算WOE(Weight of Evidence，证据权重)来得到。具体的，WOE的计算公式如下：WOE_i＝In(py_i/pn_i)，其中，下标i表示当前的形成因子编号，py_i是指这个组中该形成因子占所有形成因子的比重，pn_i是指这个组中其他形成因子占所有形成因子的比重。影响度的大小可以采用IV(Information Value，信息量)值来表示的。具体的，IV的计算公式如下：IV_i＝(py_i-pn_i)*WOE_i。

所述建立模块104用于根据所述多个目标形成因子建立并训练一网络隔离违规识模型，所述网络隔离违规识模型用于扫描并识别所述多个网段之间存在的隔离漏洞。

在一实施方式中，所述建立模块104可以根据所述多个目标形成因子建立并训练一网络隔离违规识模型，进而可以实现智能化识别网络隔离违规行为。所述建立模块104利用深度学习算法建立网络隔离违规识生成模型的步骤可以是：首先，建立预测模型，所述预测模型可以是线性回归模型、逻辑回归模型、马尔科夫链模型等，以下以预测模型为逻辑回归模型为例进行说明，逻辑回归模型如下：ln(p/1-p)＝β0+β1X1+β2X2+…+βnXn。其中，p代表某件事情发生的概率，1-p代表某件事情不发生的概率，X1，X2，X3，…，Xn为入模变量，β0，β1，β2，…，βn分别是各个入模变量的系数(参数)，在本实施例中，将扫描出的隔离漏洞特征参数(例如特征参数可以包括违规的服务器端口、防火墙漏洞、扫描漏洞过程记录等)作为该逻辑回归模型中的入模变量；其次，将每一隔离漏洞的目标形成因子作为训练学习数据，通过训练学习确定逻辑回归模型中各个入模变量前的参数，即确定β0，β1，β2，…，βn的值，训练学习的过程就是确定各个参数的过程，当各个参数确定完之后即可得到的便是网络隔离违规识模型，通过所述网络隔离违规识模型即可扫描并识别所述多个网段之间存在的隔离漏洞。

所述评分模块105用于对识别出的每一所述隔离漏洞依据预定的评分模型进行打分，以根据评分大小对每一所述隔离漏洞进行评级与警示。

在一实施方式中，所述评分模型由多个评分因子进行训练得到，所述评分因子可以包括漏洞影响范围、漏洞破坏性、漏洞复杂性及漏洞获取权限。所述漏洞影响范围可以包括可利用范围和受影响的范围，所述可利用的范围可以是指利用该漏洞来进行访问后可以利用的资源，所述漏洞影响范围可以是指受到该漏洞影响的输出结果。所述漏洞破坏性可以是指利用漏洞进行访问后可对原系统的攻击程度、潜在的影响等。所述漏洞复杂性可以是包括漏洞产生的原因是否单一，可修复的困难度。所述漏洞获取权限可以是指利用漏洞之前访问者获取的权限，以及利用漏洞之后访问者可以获取的权限差异等级。

举例而言，在一种实施方式中，所述评分结果包括第一阶梯评分结果(例如，90-100分)、第二阶梯评分结果(例如，80-90分)、第三阶梯评分结果(例如，70-80分)、第四阶梯评分结果(例如，60-70分)及第五阶梯评分结果(例如，0-60分)，所述隔离漏洞等级包括第一等级(特高危)、第二等级(高危)、第三等级(危险)、第四等级(一般)及第五等级(低危)。所述第一阶梯评分结果对应第一等级，第二阶梯评分结果对应第二等级，第三阶梯评分结果对应第三等级，第四阶梯评分结果对应第四等级，第五阶梯评分结果对应第五等级。

通过上述程序模块101-105，本发明所提出的网络隔离违规识别系统100，首先，获取多个网段之间的隔离策略，所述隔离策略包括访问限制规则及访问跳转规则；其次，根据获取的隔离策略扫描所述多个网段之间存在的隔离漏洞；再者，提取每个所述隔离漏洞的形成因子，计算每个所述形成因子对所述隔离漏洞的影响度，并根据计算得到影响度的大小筛选出多个目标形成因子；再者，根据所述多个目标形成因子建立并训练一网络隔离违规识模型，所述网络隔离违规识模型用于扫描并识别所述多个网段之间存在的隔离漏洞；最后，对识别出的每一所述隔离漏洞依据预定的评分模型进行打分，以根据评分大小对每一所述隔离漏洞进行评级与警示。这样，可以实现对查找的隔离漏洞进行机器学习，通过机器学习识别类似策略，实现全面自动检视管控缺陷，最大限度地封堵漏洞，排除风险隐患，可对识别出的每一所述隔离漏洞依据预定的评分模型进行打分，直观显示漏洞问题的严重性，且具有高可靠性、节省大量的人力物力。

此外，本发明还提出一种网络隔离违规识别方法。

参阅图4所示，是本发明网络隔离违规识别方法第一实施例的实施流程示意图。在本实施例中，根据不同的需求，图4所示的流程图中的步骤的执行顺序可以改变，某些步骤可以省略。

步骤S400，获取多个网段之间的隔离策略，所述隔离策略包括访问限制规则及访问跳转规则。

在一实施例中，所述多个网段可以包括开发网段、测试网段、办公网段及生产网段。所述开发网段可以是指用于开发工作的网段，所述测试网段可以是指用于测试工作的网段，所述生产网段可以是指用于产品生产工作的网段，所述办公网段可以是指其他不属于开发、测试及生产的网段，例如行政、财务等办公网段。所述隔离策略可以是指一方网段内的设备接入访问另一方网段内的设备所遵循的访问限制规则及访问跳转规则，不同的网段之间可设置有不同的隔离策略。

举例而言，所述网络隔离策略包括开发网段与生产网段之间的隔离策略、测试网段与生产网段之间的隔离策略、办公网段与生产网段之间的隔离策略。可以通过访问ACL(访问控制列表)来获取各网段之间的网络隔离策略。例如：所述隔离策略包括允许从第一服务器到第二服务器端口A1-A5、协议B1-B4的访问。该多个网段包括有多个服务器及跳板机，所述隔离策略还可以包括跳板机与服务器之间防火墙策略信息。所述防火墙策略信息可以是实现通信报文过滤以及访问控制的策略，所述防火墙策略还可以是对不同网段之间的通信协议进行检查分析的策略，进而可以实现对非法通信实时报警。

步骤S402，根据获取的隔离策略扫描所述多个网段之间存在的隔离漏洞。

在一实施例中，可以选择从任意一网段的终端扫描其他段的跳板机及服务器端口，来判断是否符合每一网段之间的隔离策略。

举例而言，当需要检查的是开发网段与生产网段之间的隔离策略、测试网段与生产网段之间的隔离策略及办公网段与生产网段之间的隔离策略时，可以从开发网终端、测试网终端、办公网终端分别扫描生产网段的跳板机以及服务器端口，进而来判断是否分别符合开发网段与生产网段之间的隔离策略、测试网段与生产网段之间的隔离策略及办公网段与生产网段之间的隔离策略。在扫描过程中，可以重点扫描与生产网段之间的防火墙策略、可远程登录生产网段的服务器端口、可传输文件的生产网段的服务器端口及可访问生产网段的跳板机的服务器端口。其中，可访问生产网段的跳板机的可确定为第一等级(中危)的网络隔离漏洞。可访问生产网段的服务器(例如应用服务器，网络设备服务器)的可确定为第二等级(高危)的网络隔离漏洞，可访问生产网段的数据库服务器的确定为第三等级(特高危)的网络隔离漏洞。

步骤S404，提取每个所述隔离漏洞的形成因子，计算每个所述形成因子对所述隔离漏洞的影响度，并根据计算得到影响度的大小筛选出多个目标形成因子。

在一实施方式中，每个隔离漏洞的产生原因可能包括很多形成因子，在进行机器学习的过程中将所有的形成因子都放入模型进行拟合训练不利于提高运算速度。因此，可以从一隔离漏洞提取出的众多影响该隔离漏洞产生的形成因子中筛选出对其影响较大的多个关键形成因子，并将筛选出的关键形成因子称为目标形成因子，提取完所有可能影响该隔离漏洞的形成因子后，还需要计算提取的每个形成因子对所述隔离漏洞的影响度，并根据影响度的大小筛选出目标形成因子。

在一实施方式中，可以筛选出影响度排名前几的形成因子作为目标形成因子。例如筛选出排名前5的形成因子作为目标形成因子。在一实施方式中，还可以通过剔除掉影响度较小的形成因子，保留下来的形成因子即为所述目标形成因子，其中，所述影响度较小的形成因子为影响度小于预设值的形成因子。

在一实施方式中，可以先计算每个形成因子对所述隔离漏洞的影响权重，再根据影响权重计算得到每个形成因子对应的影响度，最后根据影响度的大小来实现筛选出目标形成因子。影响权重可以采用计算WOE(Weight of Evidence，证据权重)来得到。具体的，WOE的计算公式如下：WOE_i＝In(py_i/pn_i)，其中，下标i表示当前的形成因子编号，py_i是指这个组中该形成因子占所有形成因子的比重，pn_i是指这个组中其他形成因子占所有形成因子的比重。影响度的大小可以采用IV(Information Value，信息量)值来表示的。具体的，IV的计算公式如下：IV_i＝(py_i-pn_i)*WOE_i。

步骤S406，根据所述多个目标形成因子建立并训练一网络隔离违规识模型，所述网络隔离违规识模型用于扫描并识别所述多个网段之间存在的隔离漏洞。

在一实施方式中，可以根据所述多个目标形成因子建立并训练一网络隔离违规识模型，进而可以实现智能化识别网络隔离违规行为。利用深度学习算法建立网络隔离违规识生成模型的步骤可以是：首先，建立预测模型，所述预测模型可以是线性回归模型、逻辑回归模型、马尔科夫链模型等，以下以预测模型为逻辑回归模型为例进行说明，逻辑回归模型如下：ln(p/1-p)＝β0+β1X1+β2X2+…+βnXn。其中，p代表某件事情发生的概率，1-p代表某件事情不发生的概率，X1，X2，X3，…，Xn为入模变量，β0，β1，β2，…，βn分别是各个入模变量的系数(参数)，在本实施例中，将扫描出的隔离漏洞特征参数(例如特征参数可以包括违规的服务器端口、防火墙漏洞、扫描漏洞过程记录等)作为该逻辑回归模型中的入模变量；其次，将每一隔离漏洞的目标形成因子作为训练学习数据，通过训练学习确定逻辑回归模型中各个入模变量前的参数，即确定β0，β1，β2，…，βn的值，训练学习的过程就是确定各个参数的过程，当各个参数确定完之后即可得到的便是网络隔离违规识模型，通过所述网络隔离违规识模型即可扫描并识别所述多个网段之间存在的隔离漏洞。

通过上述步骤S400-S406，本发明所提出的网络隔离违规识别方法，首先，获取多个网段之间的隔离策略，所述隔离策略包括访问限制规则及访问跳转规则；其次，根据获取的隔离策略扫描所述多个网段之间存在的隔离漏洞；再者，提取每个所述隔离漏洞的形成因子，计算每个所述形成因子对所述隔离漏洞的影响度，并根据计算得到影响度的大小筛选出多个目标形成因子；最后，根据所述多个目标形成因子建立并训练一网络隔离违规识模型，所述网络隔离违规识模型用于扫描并识别所述多个网段之间存在的隔离漏洞。这样，可以实现对查找的隔离漏洞进行机器学习，通过机器学习识别类似策略，实现全面自动检视管控缺陷，最大限度地封堵漏洞，排除风险隐患，且具有高可靠性、节省大量的人力物力。

参阅图5所示，是本发明网络隔离违规识别方法第二实施例的实施流程示意图。在本实施例中，根据不同的需求，图5所示的流程图中的步骤的执行顺序可以改变，某些步骤可以省略。

步骤S400，获取多个网段之间的隔离策略，所述隔离策略包括访问限制规则及访问跳转规则。

在一实施例中，所述多个网段可以包括开发网段、测试网段、办公网段及生产网段。所述开发网段可以是指用于开发工作的网段，所述测试网段可以是指用于测试工作的网段，所述生产网段可以是指用于产品生产工作的网段，所述办公网段可以是指其他不属于开发、测试及生产的网段，例如行政、财务等办公网段。所述隔离策略可以是指一方网段内的设备接入访问另一方网段内的设备所遵循的访问限制规则及访问跳转规则，不同的网段之间可设置有不同的隔离策略。

举例而言，所述网络隔离策略包括开发网段与生产网段之间的隔离策略、测试网段与生产网段之间的隔离策略、办公网段与生产网段之间的隔离策略。可以通过访问ACL(访问控制列表)来获取各网段之间的网络隔离策略。例如：所述隔离策略包括允许从第一服务器到第二服务器端口A1-A5、协议B1-B4的访问。该多个网段包括有多个服务器及跳板机，所述隔离策略还可以包括跳板机与服务器之间防火墙策略信息。所述防火墙策略信息可以是实现通信报文过滤以及访问控制的策略，所述防火墙策略还可以是对不同网段之间的通信协议进行检查分析的策略，进而可以实现对非法通信实时报警。

步骤S402，根据获取的隔离策略扫描所述多个网段之间存在的隔离漏洞。

在一实施例中，可以选择从任意一网段的终端扫描其他段的跳板机及服务器端口，来判断是否符合每一网段之间的隔离策略。

举例而言，当需要检查的是开发网段与生产网段之间的隔离策略、测试网段与生产网段之间的隔离策略及办公网段与生产网段之间的隔离策略时，可以从开发网终端、测试网终端、办公网终端分别扫描生产网段的跳板机以及服务器端口，进而来判断是否分别符合开发网段与生产网段之间的隔离策略、测试网段与生产网段之间的隔离策略及办公网段与生产网段之间的隔离策略。在扫描过程中，可以重点扫描与生产网段之间的防火墙策略、可远程登录生产网段的服务器端口、可传输文件的生产网段的服务器端口及可访问生产网段的跳板机的服务器端口。其中，可访问生产网段的跳板机的可确定为第一等级(中危)的网络隔离漏洞。可访问生产网段的服务器(例如应用服务器，网络设备服务器)的可确定为第二等级(高危)的网络隔离漏洞，可访问生产网段的数据库服务器的确定为第三等级(特高危)的网络隔离漏洞。

步骤S404，提取每个所述隔离漏洞的形成因子，计算每个所述形成因子对所述隔离漏洞的影响度，并根据计算得到影响度的大小筛选出多个目标形成因子。

在一实施方式中，每个隔离漏洞的产生原因可能包括很多形成因子，在进行机器学习的过程中将所有的形成因子都放入模型进行拟合训练不利于提高运算速度。因此，可以从一隔离漏洞提取出的众多影响该隔离漏洞产生的形成因子中筛选出对其影响较大的多个关键形成因子，并将筛选出的关键形成因子称为目标形成因子，提取完所有可能影响该隔离漏洞的形成因子后，还需要计算提取的每个形成因子对所述隔离漏洞的影响度，并根据影响度的大小筛选出目标形成因子。

在一实施方式中，可以筛选出影响度排名前几的形成因子作为目标形成因子。例如筛选出排名前5的形成因子作为目标形成因子。在一实施方式中，还可以通过剔除掉影响度较小的形成因子，保留下来的形成因子即为所述目标形成因子，其中，所述影响度较小的形成因子为影响度小于预设值的形成因子。

在一实施方式中，可以先计算每个形成因子对所述隔离漏洞的影响权重，再根据影响权重计算得到每个形成因子对应的影响度，最后根据影响度的大小来实现筛选出目标形成因子。影响权重可以采用计算WOE(Weight of Evidence，证据权重)来得到。具体的，WOE的计算公式如下：WOE_i＝In(py_i/pn_i)，其中，下标i表示当前的形成因子编号，py_i是指这个组中该形成因子占所有形成因子的比重，pn_i是指这个组中其他形成因子占所有形成因子的比重。影响度的大小可以采用IV(Information Value，信息量)值来表示的。具体的，IV的计算公式如下：IV_i＝(py_i-pn_i)*WOE_i。

步骤S406，根据所述多个目标形成因子建立并训练一网络隔离违规识模型，所述网络隔离违规识模型用于扫描并识别所述多个网段之间存在的隔离漏洞。

在一实施方式中，可以根据所述多个目标形成因子建立并训练一网络隔离违规识模型，进而可以实现智能化识别网络隔离违规行为。利用深度学习算法建立网络隔离违规识生成模型的步骤可以是：首先，建立预测模型，所述预测模型可以是线性回归模型、逻辑回归模型、马尔科夫链模型等，以下以预测模型为逻辑回归模型为例进行说明，逻辑回归模型如下：ln(p/1-p)＝β0+β1X1+β2X2+…+βnXn。其中，p代表某件事情发生的概率，1-p代表某件事情不发生的概率，X1，X2，X3，…，Xn为入模变量，β0，β1，β2，…，βn分别是各个入模变量的系数(参数)，在本实施例中，将扫描出的隔离漏洞特征参数(例如特征参数可以包括违规的服务器端口、防火墙漏洞、扫描漏洞过程记录等)作为该逻辑回归模型中的入模变量；其次，将每一隔离漏洞的目标形成因子作为训练学习数据，通过训练学习确定逻辑回归模型中各个入模变量前的参数，即确定β0，β1，β2，…，βn的值，训练学习的过程就是确定各个参数的过程，当各个参数确定完之后即可得到的便是网络隔离违规识模型，通过所述网络隔离违规识模型即可扫描并识别所述多个网段之间存在的隔离漏洞。

步骤S408，对识别出的每一所述隔离漏洞依据预定的评分模型进行打分，以根据评分大小对每一所述隔离漏洞进行评级与警示。

在一实施方式中，所述评分模型由多个评分因子进行训练得到，所述评分因子可以包括漏洞影响范围、漏洞破坏性、漏洞复杂性及漏洞获取权限。所述漏洞影响范围可以包括可利用范围和受影响的范围，所述可利用的范围可以是指利用该漏洞来进行访问后可以利用的资源，所述漏洞影响范围可以是指受到该漏洞影响的输出结果。所述漏洞破坏性可以是指利用漏洞进行访问后可对原系统的攻击程度、潜在的影响等。所述漏洞复杂性可以是包括漏洞产生的原因是否单一，可修复的困难度。所述漏洞获取权限可以是指利用漏洞之前访问者获取的权限，以及利用漏洞之后访问者可以获取的权限差异等级。

举例而言，在一种实施方式中，所述评分结果包括第一阶梯评分结果(例如，90-100分)、第二阶梯评分结果(例如，80-90分)、第三阶梯评分结果(例如，70-80分)、第四阶梯评分结果(例如，60-70分)及第五阶梯评分结果(例如，0-60分)，所述隔离漏洞等级包括第一等级(特高危)、第二等级(高危)、第三等级(危险)、第四等级(一般)及第五等级(低危)。所述第一阶梯评分结果对应第一等级，第二阶梯评分结果对应第二等级，第三阶梯评分结果对应第三等级，第四阶梯评分结果对应第四等级，第五阶梯评分结果对应第五等级。

通过上述步骤S400-S408，本发明所提出的网络隔离违规识别方法，首先，获取多个网段之间的隔离策略，所述隔离策略包括访问限制规则及访问跳转规则；其次，根据获取的隔离策略扫描所述多个网段之间存在的隔离漏洞；再者，提取每个所述隔离漏洞的形成因子，计算每个所述形成因子对所述隔离漏洞的影响度，并根据计算得到影响度的大小筛选出多个目标形成因子；再者，根据所述多个目标形成因子建立并训练一网络隔离违规识模型，所述网络隔离违规识模型用于扫描并识别所述多个网段之间存在的隔离漏洞；最后，对识别出的每一所述隔离漏洞依据预定的评分模型进行打分，以根据评分大小对每一所述隔离漏洞进行评级与警示。这样，可以实现对查找的隔离漏洞进行机器学习，通过机器学习识别类似策略，实现全面自动检视管控缺陷，最大限度地封堵漏洞，排除风险隐患，可对识别出的每一所述隔离漏洞依据预定的评分模型进行打分，直观显示漏洞问题的严重性，且具有高可靠性、节省大量的人力物力。

上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，空调器，或者网络设备等)执行本发明各个实施例所述的方法。

以上仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。

Claims (10)

1.一种网络隔离违规识别方法，应用于服务器，其特征在于，所述方法包括：

获取多个网段之间的隔离策略，所述隔离策略包括访问限制规则及访问跳转规则；

根据获取的隔离策略扫描所述多个网段之间存在的隔离漏洞；

提取每个所述隔离漏洞的形成因子，计算每个所述形成因子对所述隔离漏洞的影响度，并根据计算得到影响度的大小筛选出多个目标形成因子；及

根据所述多个目标形成因子建立并训练一网络隔离违规识模型，所述网络隔离违规识模型用于扫描并识别所述多个网段之间存在的隔离漏洞。

2.如权利要求1所述的网络隔离违规识别方法，其特征在于，所述多个网段包括开发网段、测试网段、办公网段及生产网段，不同的网段之间对应设置不同的隔离策略。

3.如权利要求1或2所述的网络隔离违规识别方法，其特征在于，所述网络隔离违规识别方法还包括：

对识别出的每一所述隔离漏洞依据预定的评分模型进行打分，以根据评分大小对每一所述隔离漏洞进行评级与警示；

其中，所述评分模型由多个评分因子进行训练得到，所述评分因子包括漏洞影响范围、漏洞破坏性、漏洞复杂性及漏洞获取权限。

4.如权利要求1或2所述的网络隔离违规识别方法，其特征在于，所述提取每个所述隔离漏洞的形成因子，计算每个所述形成因子对所述隔离漏洞的影响度，并根据计算得到影响度的大小筛选出多个目标形成因子的步骤包括：

提取每个所述隔离漏洞的形成因子，并计算每个所述形成因子对所述隔离漏洞的影响权重；

根据所述影响权重计算得到每个所述形成因子对应的影响度大小；及

根据所述影响度大小，剔除掉影响度较小的形成因子，保留下来的形成因子即为所述目标形成因子；

其中，所述影响度较小的形成因子为影响度小于预设值的形成因子。

5.如权利要求1所述的网络隔离违规识别方法，其特征在于，所述根据获取的隔离策略扫描所述多个网段之间存在的隔离漏洞的步骤包括：

根据获取的隔离策略扫描所述多个网段之间的防火墙、可远程登录的服务器端口、可传输文件的服务器端口及可访问跳板机的服务器端口，以扫描出所述多个网段之间存在的隔离漏洞。

6.一种服务器，其特征在于，所述服务器包括存储器、处理器，所述存储器上存储有可在所述处理器上运行的网络隔离违规识别系统，所述网络隔离违规识别系统被所述处理器执行时实现如下步骤：

获取多个网段之间的隔离策略，所述隔离策略包括访问限制规则及访问跳转规则；

根据获取的隔离策略扫描所述多个网段之间存在的隔离漏洞；

提取每个所述隔离漏洞的形成因子，计算每个所述形成因子对所述隔离漏洞的影响度，并根据计算得到的影响度大小筛选出多个目标形成因子；及

根据所述多个目标形成因子建立并训练一网络隔离违规识模型，所述网络隔离违规识模型用于扫描并识别所述多个网段之间存在的隔离漏洞。

7.如权利要求6所述的服务器，其特征在于，所述网络隔离违规识别系统被所述处理器执行时，还实现如下步骤：

对识别出的每一所述隔离漏洞依据预定的评分模型进行打分，以根据评分大小对每一所述隔离漏洞进行评级与警示；

其中，所述评分模型由多个评分因子进行训练得到，所述评分因子包括漏洞影响范围、漏洞破坏性、漏洞复杂性及漏洞获取权限。

8.如权利要求6所述的服务器，其特征在于，所述提取每个所述隔离漏洞的形成因子，计算每个所述形成因子对所述隔离漏洞的影响度，并根据计算得到影响度的大小筛选出多个目标形成因子的步骤包括：

提取每个所述隔离漏洞的形成因子，并计算每个所述形成因子对隔离漏洞的影响权重；

根据所述影响权重计算得到每个所述形成因子对应的影响度大小；及

根据所述影响度大小，剔除掉影响度较小的形成因子，保留下来的形成因子即为所述目标形成因子；

其中，所述影响度较小的形成因子为影响度小于预设值的形成因子。

9.如权利要求6所述的服务器，其特征在于，所述根据获取的隔离策略扫描所述多个网段之间存在的隔离漏洞的步骤包括：

根据获取的隔离策略扫描所述多个网段之间的防火墙、可远程登录的服务器端口、可传输文件的服务器端口及可访问跳板机的服务器端口，以扫描出所述多个网段之间存在的隔离漏洞。

10.一种计算机可读存储介质，所述计算机可读存储介质存储有网络隔离违规识别系统，所述网络隔离违规识别系统可被至少一个处理器执行，以使所述至少一个处理器执行如权利要求1-5中任一项所述的网络隔离违规识别方法的步骤。