CN110034977B - 一种设备安全性监测方法及安全性监测设备 - Google Patents
一种设备安全性监测方法及安全性监测设备 Download PDFInfo
- Publication number
- CN110034977B CN110034977B CN201910313119.7A CN201910313119A CN110034977B CN 110034977 B CN110034977 B CN 110034977B CN 201910313119 A CN201910313119 A CN 201910313119A CN 110034977 B CN110034977 B CN 110034977B
- Authority
- CN
- China
- Prior art keywords
- monitored
- network connection
- devices
- relationship
- service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/12—Discovery or management of network topologies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Environmental & Geological Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供了一种设备安全性监测方法及安全性监测设备,可以获得多个待监测设备间的网络连接信息;根据所述网络连接信息对所述多个待监测设备进行聚类,获得至少一个设备簇;根据所述设备簇和所述网络连接信息确定所述多个待监测设备间的业务关系;依据所述设备簇和所述业务关系对所述多个待监测设备进行安全性监测。由于本发明对设备进行了聚类并确定了设备间的业务关系,因此本发明可以根据聚类结果和业务关系对设备进行安全性监测,可以有效提高设备的安全性。
Description
技术领域
本发明涉及设备安全领域,特别涉及一种设备安全性监测方法及安全性监测设备。
背景技术
随着科技的发展,数据中心等网络中的各种设备也存在很多安全风险和威胁,例如非法登录、违规操作、漏洞攻击等。这些安全风险和威胁给设备的安全运维带来极大挑战。
现有技术通过多种不同的手段来保护设备,例如:通过漏洞扫描软件来静态扫描操作系统和应用软件的已知缺陷,再如:通过防火墙来解决跨边界非法访问的问题。
但是,由于网络中的各种设备中存在的安全风险和威胁多种多样,因此现有技术需要通过多种不同的手段在不同的维度来保护设备。现有技术对网络中设备安全性的提高十分有限。
发明内容
有鉴于此,本发明提供一种设备安全性监测方法及安全性监测设备,以提高设备的安全性。
为了实现上述发明目的,本发明提供以下技术方案:
一种设备安全性监测方法,包括:
获得多个待监测设备间的网络连接信息;
根据所述网络连接信息对所述多个待监测设备进行聚类,获得至少一个设备簇;
根据所述设备簇和所述网络连接信息确定所述多个待监测设备间的业务关系;
依据所述设备簇和所述业务关系对所述多个待监测设备进行安全性监测。
可选的,所述网络连接信息包括:发起网络连接的源地址、接受网络连接的目的地址、网络协议、网络连接的开始时间、网络连接的结束时间、网络连接后传输的数据量中的至少一个。
可选的,所述获得多个待监测设备间的网络连接信息,包括:
通过网关设备获得多个待监测设备间的网络连接信息,其中,所述网关设备与所述待监测设备不同;
或者,从所述多个待监测设备中获得所述多个待监测设备间的网络连接信息。
可选的,所述根据所述网络连接信息对所述多个待监测设备进行聚类,获得至少一个设备簇,包括:
根据所述网络连接信息构建每一个所述待监测设备的特征向量;
根据所述特征向量,对所述多个待监测设备进行聚类,获得至少一个设备簇。
可选的,所述网络连接信息包括:网络连接的开始时间和网络连接的结束时间,所述根据所述设备簇和所述网络连接信息确定所述多个待监测设备间的业务关系,包括:
将同一设备簇中各待监测设备间的业务关系确定为组合关系;
和/或,根据两个待监测设备间的网络连接信息中的网络连接的开始时间和网络连接的结束时间确定所述两个待监测设备的网络连接时长,在所述网络连接时长超过预设时长时,将所述两个待监测设备的业务关系确定为依赖关系。
可选的,所述依据所述设备簇和所述业务关系对所述多个待监测设备进行安全性监测,包括:
将所述设备簇和所述业务关系作为安全基线;
根据所述安全基线对所述多个待监测设备进行安全性监测。
一种安全性监测设备,包括:信息获得单元、聚类单元、关系确定单元和监测单元,
所述信息获得单元,用于获得多个待监测设备间的网络连接信息;
所述聚类单元,用于根据所述网络连接信息对所述多个待监测设备进行聚类,获得至少一个设备簇;
所述关系确定单元,用于根据所述设备簇和所述网络连接信息确定所述多个待监测设备间的业务关系;
所述监测单元,用于依据所述设备簇和所述业务关系对所述多个待监测设备进行安全性监测。
可选的,所述聚类单元包括:特征向量构建子单元和设备簇获得子单元,
所述特征向量构建子单元,用于根据所述网络连接信息构建每一个所述待监测设备的特征向量;
所述设备簇获得子单元,用于根据所述特征向量,对所述多个待监测设备进行聚类,获得至少一个设备簇。
可选的,所述网络连接信息包括:网络连接的开始时间和网络连接的结束时间,所述关系确定单元包括:依赖关系确定子单元和/或组合关系确定子单元,
所述依赖关系确定子单元,用于根据两个待监测设备间的网络连接信息中的网络连接的开始时间和网络连接的结束时间确定所述两个待监测设备的网络连接时长,在所述网络连接时长超过预设时长时,将所述两个待监测设备的业务关系确定为依赖关系;
所述组合关系确定子单元,用于将同一设备簇中各待监测设备间的业务关系确定为组合关系。
可选的,所述监测单元包括:基线获得子单元和监测子单元,
所述基线获得子单元,用于将所述设备簇和所述业务关系作为安全基线;
所述监测子单元,用于根据所述安全基线对所述多个待监测设备进行安全性监测。
本发明实施例提供的一种设备安全性监测方法及安全性监测设备,可以获得多个待监测设备间的网络连接信息;根据所述网络连接信息对所述多个待监测设备进行聚类,获得至少一个设备簇;根据所述设备簇和所述网络连接信息确定所述多个待监测设备间的业务关系;依据所述设备簇和所述业务关系对所述多个待监测设备进行安全性监测。由于本发明对设备进行了聚类并确定了设备间的业务关系,因此本发明可以根据聚类结果和业务关系对设备进行安全性监测,可以有效提高设备的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍。
图1为本发明实施例提供的一种设备安全性监测方法的流程图;
图2为本发明实施例提供的一种设备簇示意图;
图3为本发明实施例提供的一种待监测设备间的业务关系示意图;
图4为本发明实施例提供的一种设备安全性监测设备的结构示意图。
具体实施方式
本发明公开了一种设备安全性监测方法及安全性监测设备,本领域技术人员可以借鉴本文内容,适当改进工艺参数实现。特别需要指出的是,所有类似的替换和改动对本领域技术人员来说是显而易见的,它们都被视为包括在本发明。本发明的方法及应用已经通过较佳实施例进行了描述,相关人员明显能在不脱离本发明内容、精神和范围内对本文所述的方法和应用进行改动或适当变更与组合,来实现和应用本发明技术。
如图1所示,本发明实施例提供的一种设备安全性监测方法,可以包括:
S100、获得多个待监测设备间的网络连接信息;
其中,本发明实施例提供的待监测设备可以为各种可以进行网络连接的电子设备,如服务器、终端设备等。可选的,本发明实施例提供的待监测设备可以为数据中心的主机设备。数据中心是一整套复杂的设施,它不仅仅包括主机设备(例如计算机)和其它与之配套的设备(例如通信设备和存储设备),还包含环境控制设备、安全性监测设备等。本发明实施例中的主机设备可以为安装有数据中心业务功能软件的计算机。
本发明实施例提供的一种设备安全性监测方法可以应用于安全性监测设备。
其中,所述网络连接信息可以包括:发起网络连接的源地址、接受网络连接的目的地址、网络协议、网络连接的开始时间、网络连接的结束时间、网络连接后传输的数据量中的至少一个。
其中,源地址和目的地址均可以包括:IP地址和端口号,或者,源地址和目的地址均可以包括:域名和端口号。例如:目的地址为:http://www.abc.com:81,其中,http://www.abc.com为域名,81为端口号。再如:http://123.123.123.123:81,其中,http://123.123.123.123为IP地址,81为域名。本领域技术人员可以理解的是,由于电子设备可以通过默认端口(如80端口)向外提供部分服务,因此源地址和目的地址也可以均为IP地址或域名,无需包括端口号。
可以理解的是,对某待监测设备而言,当该待监测设备的网络地址作为接受网络连接的目的地址时,本发明可以根据该接受网络连接的目的地址(如IP地址和端口号)确定该待监测设备向外提供的服务。当该待监测设备的网络地址作为发起网络连接的源地址时,本发明可以根据本次网络连接的目的地址(如域名和端口号)确定该待监测设备所访问的服务。
当然,在本发明其他实施例中,当该待监测设备的网络地址作为接受网络连接的目的地址时,还可以根据该接受网络连接的目的地址(如IP地址和端口号)和网络协议确定该待监测设备向外提供的服务。在本发明其他实施例中,当该待监测设备的网络地址作为发起网络连接的源地址时,本发明可以根据本次网络连接的目的地址(如域名和端口号)和网络协议确定该待监测设备所访问的服务。
当然,在本发明其他实施例中,当该待监测设备的网络地址作为接受网络连接的目的地址时,还可以根据该接受网络连接的目的地址中的端口号和网络协议确定该待监测设备向外提供的服务。在本发明其他实施例中,当该待监测设备的网络地址作为发起网络连接的源地址时,本发明可以根据本次网络连接的目的地址中的端口号和网络协议确定该待监测设备所访问的服务。
其中,网络协议可以包括:TCP(Transmission Control Protocol传输控制协议)、UDP(User Datagram Protocol,用户数据报协议)和HTTP(Hyper Text TransferProtocol,超文本传输协议)等。其中,本发明实施例中的网络协议可以为传输层的网络协议和/或应用层的网络协议。
例如:Oracle数据库使用1521端口和TCP协议进行服务,因此当某待监测设备的IP地址和1521端口作为目的地址通过TCP协议与另一待监测设备建立了网络连接时,可知该某待监测设备向外提供了数据库服务,该某待监测设备可能为Oracle数据库服务器,相应的,所述另一待监测设备需要数据库服务,所述另一待监测设备上可能运行了使用Oracle数据库的应用程序,该另一待监测设备可能为Oracle客户端设备。
步骤S100可以具体包括:
通过网关设备获得多个待监测设备间的网络连接信息,其中,所述网关设备与所述待监测设备不同;
或者,从所述多个待监测设备中获得所述多个待监测设备间的网络连接信息。
其中,网络连接信息据均需要经过网关设备(交换机、路由器等)进行转发,因此在网关设备上可以采集到所有的待监测设备间的网络连接信息。此方式优点在于采集点少(仅网关设备);缺点在于由于网络的组网方式千变万化,网络协议复杂(如虚拟专用网(VNP,Virtual Private Network)、虚拟局域网(VLAN,Virtual Local Area Network)、虚拟扩展局域网(VXLAN,Virtual eXtensible Local Area Network)等),因此如果想达到无遗漏采集的预期目标,需要对网络拓扑和网络协议有深度理解。网络拓扑一旦变化,则需要对采集点进行较大调整。
对于从所述多个待监测设备中获得所述多个待监测设备间的网络连接信息的方式,可以在待监测设备上安装软件(例如:Agent),通过该软件来采集本待监测设备与其他待监测设备间的网络连接信息。此方式的优点是能获得更加完备、真实的数据,且不受网络结构、待监测设备增删变化的影响,实施难度相对容易,可维护性强。另外,待监测设备上安装的软件除了能采集到网络连接信息外,还能够对待监测设备的特定服务配置文件进行分析,从而得到更加精准的服务信息(例如某待监测设备提供Oracle数据库服务,但其对外服务端口不是标准的1521,而被改为1621,此时通过解析待监测设备上数据库配置文件,可以精准的确认本待监测设备提供Oracle数据库服务,而在网关设备上进行采集无法做到这一点)。
S200、根据所述网络连接信息对所述多个待监测设备进行聚类,获得至少一个设备簇;
其中,步骤S200可以具体包括:
根据所述网络连接信息构建每一个所述待监测设备的特征向量;
根据所述特征向量,对所述多个待监测设备进行聚类,获得至少一个设备簇。
具体的,待监测设备的特征向量可以包括待监测设备的所需服务特征与待监测设备的提供服务特征。
具体的,对第一待监测设备而言,第一待监测设备的所需服务特征可以包括第一待监测设备的网络地址作为源地址时的网络连接的目的地址及网络连接的网络协议;第一待监测设备的提供服务特征可以包括第一待监测设备的网络地址作为目的地址时的网络连接的目的地址及网络连接的网络协议。在本发明其他实施例中,第一待监测设备的所需服务特征可以包括第一待监测设备的网络地址作为源地址时的网络连接的目的地址中的端口号及网络连接的网络协议;第一待监测设备的提供服务特征可以包括第一待监测设备的网络地址作为目的地址时的网络连接的目的地址的端口号及网络连接的网络协议。
在实际应用中,本发明可以根据全部或部分种类的网络连接信息构建各待监测设备的特征向量。可选的,本发明可以根据发起网络连接的源地址、接受网络连接的目的地址、网络协议这三种网络连接信息构建各待监测设备的特征向量。具体的,发起网络连接的源地址可以为一个端口的地址,接受网络连接的目的地址可以为一个端口的地址。一般情况下,端口都有定义,因此本发明可以根据端口的地址和网络协议确定网络连接所涉及服务。
本发明在构建特征向量后,可以对特征向量的距离进行度量,将特征向量相近(利用余弦定理等)的待监测设备进行自动分类,从而得到至少一个设备簇。由于待监测设备的特征向量可以包括待监测设备的所需服务特征与待监测设备的提供服务特征,因此本发明根据待监测设备的特征向量对待监测设备聚类后得到的设备簇中各待监测设备的所需服务的相似度较高,且设备簇中各待监测设备向外提供的服务的相似度也较高。例如:某设备簇中各待监测设备均向外提供数据库服务,则该设备簇中的各待监测设备可能为一个向外提供数据库服务的集群。
具体的,本发明实施例得到的各设备簇可以具有不同的用途,例如:提供数据库服务的各待监测设备组成的设备簇、提供中间件服务的各待监测设备组成的设备簇、提供App应用服务的各待监测设备组成的设备簇等。图2为本发明实施例提供的一种设备簇示意图,图2中包括四个设备簇,分别为:提供数据库服务的各待监测设备组成的设备簇001、提供中间件服务的各待监测设备组成的设备簇002、提供App X应用服务的各待监测设备组成的设备簇003和提供AppY应用服务的各待监测设备组成的设备簇004。
S300、根据所述设备簇和所述网络连接信息确定所述多个待监测设备间的业务关系;
其中,在所述网络连接信息包括:网络连接的开始时间和网络连接的结束时间时,步骤S300可以包括:
将同一设备簇中各待监测设备间的业务关系确定为组合关系;
和/或,根据两个待监测设备间的网络连接信息中的网络连接的开始时间和网络连接的结束时间确定所述两个待监测设备的网络连接时长,在所述网络连接时长超过预设时长时,将所述两个待监测设备的业务关系确定为依赖关系。
在实际应用中,在所述网络连接时长超过预设时长时,本发明还可以确定所述两个待监测设备间的网络连接信息中的网络协议和接受网络连接的目的地址中的端口是否为预设信息组中的端口和网络协议,如果是,则可以将所述两个待监测设备的业务关系确定为依赖关系。
其中,预设信息组可以有多个,每个预设信息组均包括一个端口和一个网络协议。本发明可以根据常被其他服务依赖的服务(如数据库服务)来设置预设信息组,如:根据数据库服务设置预设信息组包括:TCP协议和1521端口。这样,当某待监测设备长时间连接提供数据库服务的另一待监测设备时,可知这两个待监测设备之间的业务关系为依赖关系。
当然,在本发明其他实施例中,本发明还可以根据端口号和协议确定具有依赖关系的待监测设备上运行的服务。
在实际应用中,本发明在确定各待监测设备的业务关系后,可以将确定的业务关系输出,用户可以对输出的业务关系进行修改。本发明可以对用户修改后的业务关系进行保存并基于用户修改后的业务关系和设备簇对所述多个待监测设备进行安全性监测。
可以理解的是,待监测设备间的业务关系并不仅限于依赖关系和组合关系两种,其他业务关系(如竞争关系、镜像关系等)也适用于本发明。
当两个待监测设备需要长时间进行连接时,则其中一个待监测设备上运行的服务可能需要依靠另一待监测设备上运行的服务才能运行(例如中间件服务依赖于数据库服务,App应用服务依赖于中间件服务),这种情况下可以确定这两个待监测设备之间的业务关系为依赖关系。如图3所示,待监测设备A长时间与待监测设备B连接,待监测设备B长时间与待监测设备C连接,则待监测设备A与待监测设备B的业务关系为依赖关系,具体的,待监测设备A依赖于待监测设备B。相应的,待监测设备B与待监测设备C的业务关系为依赖关系,具体的,待监测设备B依赖于待监测设备C。
具有组合关系的各待监测设备可以同时向外提供相同的服务,其中任何一台待监测设备发生故障,都不会对外部产生影响,常见的组合关系有集群(Cluster)。当然,具有组合关系的各待监测设备也可以请求相同的服务。
在本发明其他实施例中,本发明可以将同一设备簇中形成预设网络拓扑结构的各待监测设备间的业务关系确定为组合关系。其中,预设网络拓扑结构可以为:总线型拓扑结构和/或星型拓扑结构。如图3所示,图3中的设备簇001中的6个待监测设备之间的网络拓扑结构即为星型拓扑结构。
图3为本发明实施例提供的一种待监测设备间的业务关系示意图,
S400、依据所述设备簇和所述业务关系对所述多个待监测设备进行安全性监测。
其中,步骤S400可以具体包括:
将所述设备簇和所述业务关系作为安全基线;
根据所述安全基线对所述多个待监测设备进行安全性监测。
其中,基线是一种在测量、计算或定位中的参照。安全基线是进行安全性监测的参照,例如:在第一天根据本发明提供的一种设备安全性监测方法确定了安全基线,该安全基线中:A和B两个待监测设备之间为依赖关系。在第二天继续执行本发明提供的一种设备安全性监测方法,根据该方法在第二天确定的A和B两个待监测设备之间为组合关系,则说明A和B之间的业务关系发生了变化,可能存在风险。
由于具有组合关系的多个待监测设备向外提供的服务常相同,或者所请求的服务常相同,因此当原本具有组合关系的多个待监测设备中的部分待监测设备向外提供了与所述多个待监测设备中其他待监测设备不同的服务时,本发明在根据网络连接信息进行聚类后,这部分待监测设备就会从所述多个待监测设备中去除。由于具有组合关系的待监测设备发生了变化,因此本发明可以确定可能发生了风险。这种风险可能为:部分待监测设备提供的服务发生了变化,这种变化可以为:提供了额外的服务,变更了提供的服务,不再提供服务等。当然,本发明还可以根据端口和网络协议确定可能存在风险的待监测设备提供的服务,如果其提供的服务为未知服务,则可以进行告警处理。
需要说明的是,在实际应用中,可以在某个安全环境下(该安全环境下各待监测设备均正常运行)执行本发明的步骤S100至步骤S300并确定安全基线。然后在之后的时间内可以多次执行步骤S100至步骤S300并与安全基线进行比较,根据比较结果确定待监测设备是否存在风险。
在实际应用中,本发明还可以直接根据多个待监测设备间的网络连接信息确定安全基线,例如:采集安全环境下多个待监测设备间的网络连接信息;将采集的网络连接信息作为学习样本进行机器学习,获得安全基线。
例如:通过对大量的网络连接信息进行机器学习发现,在工作日的08:00-17:00,待监测设备B会与待监测设备C建立网络连接,则通过机器学习可以确定待监测设备B与待监测设备C的通信是在工作时间,可以将待监测设备B与待监测设备C在工作时间通信确定为安全基线。如果在后续时刻发现待监测设备B与待监测设备C的网络连接违反了该安全基线,则可以确定可能出现风险。
可选的,本发明实施例在确定可能出现风险后,还可以进行告警处理和/或风险清除处理。该风险清除处理可以为:关闭可能存在风险的待监测设备等。
本发明实施例提供的一种设备安全性监测方法,可以获得多个待监测设备间的网络连接信息;根据所述网络连接信息对所述多个待监测设备进行聚类,获得至少一个设备簇;根据所述设备簇和所述网络连接信息确定所述多个待监测设备间的业务关系;依据所述设备簇和所述业务关系对所述多个待监测设备进行安全性监测。由于本发明对设备进行了聚类并确定了设备间的业务关系,因此本发明可以根据聚类结果和业务关系对设备进行安全性监测,可以有效提高设备的安全性。
与上述方法实施例相对应,本发明还提供了一种安全性监测设备。
如图4所示,本发明实施例提供的一种安全性监测设备,可以包括:信息获得单元100、聚类单元200、关系确定单元300和监测单元400,
所述信息获得单元100,用于获得多个待监测设备间的网络连接信息;
可选的,所述网络连接信息可以包括:发起网络连接的源地址、接受网络连接的目的地址、网络协议、网络连接的开始时间、网络连接的结束时间、网络连接后传输的数据量中的至少一个。
具体的,所述信息获得单元100可以具体设置为:
通过网关设备获得多个待监测设备间的网络连接信息,其中,所述网关设备与所述待监测设备不同;
或者,从所述多个待监测设备中获得所述多个待监测设备间的网络连接信息。
所述聚类单元200,用于根据所述网络连接信息对所述多个待监测设备进行聚类,获得至少一个设备簇;
其中,所述聚类单元200可以包括:特征向量构建子单元和设备簇获得子单元,
所述特征向量构建子单元,用于根据所述网络连接信息构建每一个所述待监测设备的特征向量;
所述设备簇获得子单元,用于根据所述特征向量,对所述多个待监测设备进行聚类,获得至少一个设备簇。
所述关系确定单元300,用于根据所述设备簇和所述网络连接信息确定所述多个待监测设备间的业务关系;
可选的,所述网络连接信息包括:网络连接的开始时间和网络连接的结束时间,所述关系确定单元300可以具体包括:依赖关系确定子单元和/或组合关系确定子单元,
所述依赖关系确定子单元,用于根据两个待监测设备间的网络连接信息中的网络连接的开始时间和网络连接的结束时间确定所述两个待监测设备的网络连接时长,在所述网络连接时长超过预设时长时,将所述两个待监测设备的业务关系确定为依赖关系;
所述组合关系确定子单元,用于将同一设备簇中各待监测设备间的业务关系确定为组合关系。
所述监测单元400,用于依据所述设备簇和所述业务关系对所述多个待监测设备进行安全性监测。
其中,所述监测单元400可以包括:基线获得子单元和监测子单元,
所述基线获得子单元,用于将所述设备簇和所述业务关系作为安全基线;
所述监测子单元,用于根据所述安全基线对所述多个待监测设备进行安全性监测。
本发明实施例提供的一种设备安全性监测装置,可以获得多个待监测设备间的网络连接信息;根据所述网络连接信息对所述多个待监测设备进行聚类,获得至少一个设备簇;根据所述设备簇和所述网络连接信息确定所述多个待监测设备间的业务关系;依据所述设备簇和所述业务关系对所述多个待监测设备进行安全性监测。由于本发明对设备进行了聚类并确定了设备间的业务关系,因此本发明可以根据聚类结果和业务关系对设备进行安全性监测,可以有效提高设备的安全性。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
Claims (6)
1.一种设备安全性监测方法,其特征在于,包括:
通过在待监测设备上安装软件从多个待监测设备中获得所述待监测设备间的网络连接信息,所述网络连接信息至少包括发起网络连接的源地址、接受网络连接的目的地址、网络协议、网络连接的开始时间和网络连接的结束时间;
根据所述网络连接信息中的发起网络连接的源地址、接受网络连接的目的地址和网络协议构建每个所述待监测设备的特征向量,所述待监测设备的特征向量包括待监测设备的所需服务特征以及待监测设备的提供服务特征;
对所述特征向量进行度量,将所述特征向量相近的待监测设备进行自动分类,获得至少一个设备簇;
根据所述设备簇、所述网络连接的开始时间和所述网络连接的结束时间确定所述多个待监测设备间的业务关系;
将所述设备簇和所述业务关系作为安全基线;
根据所述安全基线对所述多个待监测设备进行安全性监测。
2.根据权利要求1所述的方法,其特征在于,所述网络连接信息还包括:网络连接后传输的数据量。
3.根据权利要求1所述的方法,其特征在于,所述通过在待监测设备上安装软件从多个待监测设备中获得所述待监测设备间的网络连接信息,可替换为:
通过网关设备获得多个待监测设备间的网络连接信息,其中,所述网关设备与所述待监测设备不同。
4.根据权利要求1所述的方法,其特征在于,所述根据所述设备簇、所述网络连接的开始时间和所述网络连接的结束时间确定所述多个待监测设备间的业务关系,包括:
将同一设备簇中各待监测设备间的业务关系确定为组合关系;
和/或,根据两个待监测设备间的网络连接信息中的网络连接的开始时间和网络连接的结束时间确定所述两个待监测设备的网络连接时长,在所述网络连接时长超过预设时长时,将所述两个待监测设备的业务关系确定为依赖关系。
5.一种安全性监测设备,其特征在于,包括:信息获得单元、聚类单元、关系确定单元和监测单元,
所述信息获得单元,用于通过在待监测设备上安装软件从多个待监测设备中获得所述待监测设备间的网络连接信息,所述网络连接信息至少包括发起网络连接的源地址、接受网络连接的目的地址、网络协议、网络连接的开始时间和网络连接的结束时间;
所述聚类单元,用于根据所述网络连接信息中的发起网络连接的源地址、接受网络连接的目的地址和网络协议构建每个所述待监测设备的特征向量,所述待监测设备的特征向量包括待监测设备的所需服务特征以及待监测设备的提供服务特征;对所述特征向量进行度量,将所述特征向量相近的待监测设备进行自动分类,获得至少一个设备簇;
所述关系确定单元,用于根据所述设备簇、所述网络连接的开始时间和所述网络连接的结束时间确定所述多个待监测设备间的业务关系;
基线获得子单元,用于将所述设备簇和所述业务关系作为安全基线;
监测子单元,用于根据所述安全基线对所述多个待监测设备进行安全性监测。
6.根据权利要求5所述的安全性监测设备,其特征在于,所述网络连接信息包括:网络连接的开始时间和网络连接的结束时间,所述关系确定单元包括:依赖关系确定子单元和/或组合关系确定子单元,
所述依赖关系确定子单元,用于根据两个待监测设备间的网络连接信息中的网络连接的开始时间和网络连接的结束时间确定所述两个待监测设备的网络连接时长,在所述网络连接时长超过预设时长时,将所述两个待监测设备的业务关系确定为依赖关系;
所述组合关系确定子单元,用于将同一设备簇中各待监测设备间的业务关系确定为组合关系。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910313119.7A CN110034977B (zh) | 2019-04-18 | 2019-04-18 | 一种设备安全性监测方法及安全性监测设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910313119.7A CN110034977B (zh) | 2019-04-18 | 2019-04-18 | 一种设备安全性监测方法及安全性监测设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110034977A CN110034977A (zh) | 2019-07-19 |
| CN110034977B true CN110034977B (zh) | 2021-11-09 |
Family
ID=67238930
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910313119.7A Active CN110034977B (zh) | 2019-04-18 | 2019-04-18 | 一种设备安全性监测方法及安全性监测设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110034977B (zh) |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103532776A (zh) * | 2013-09-30 | 2014-01-22 | 广东电网公司电力调度控制中心 | 业务流量检测方法及系统 |
| CN104471501A (zh) * | 2012-06-12 | 2015-03-25 | 西门子公司 | 用于设备状态监测中故障诊断的归纳的模式识别 |
| CN106254153A (zh) * | 2016-09-19 | 2016-12-21 | 腾讯科技(深圳)有限公司 | 一种网络异常监控方法和装置 |
| CN106416136A (zh) * | 2014-03-31 | 2017-02-15 | 英国电讯有限公司 | 网络监测器 |
| CN106850333A (zh) * | 2016-12-23 | 2017-06-13 | 中国科学院信息工程研究所 | 一种基于反馈聚类的网络设备识别方法及系统 |
| EP3200399A1 (en) * | 2016-01-29 | 2017-08-02 | Avaya Inc. | Automated mirroring and remote switch port analyzer (rspan)/encapsulated remote switch port analyzer (erspan) functions using fabric attach (fa) signaling |
| CN108063753A (zh) * | 2017-11-10 | 2018-05-22 | 全球能源互联网研究院有限公司 | 一种信息安全监测方法及系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107181724B (zh) * | 2016-03-11 | 2021-02-12 | 华为技术有限公司 | 一种协同流的识别方法、系统以及使用该方法的服务器 |
-
2019
- 2019-04-18 CN CN201910313119.7A patent/CN110034977B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104471501A (zh) * | 2012-06-12 | 2015-03-25 | 西门子公司 | 用于设备状态监测中故障诊断的归纳的模式识别 |
| CN103532776A (zh) * | 2013-09-30 | 2014-01-22 | 广东电网公司电力调度控制中心 | 业务流量检测方法及系统 |
| CN106416136A (zh) * | 2014-03-31 | 2017-02-15 | 英国电讯有限公司 | 网络监测器 |
| EP3200399A1 (en) * | 2016-01-29 | 2017-08-02 | Avaya Inc. | Automated mirroring and remote switch port analyzer (rspan)/encapsulated remote switch port analyzer (erspan) functions using fabric attach (fa) signaling |
| CN106254153A (zh) * | 2016-09-19 | 2016-12-21 | 腾讯科技(深圳)有限公司 | 一种网络异常监控方法和装置 |
| CN106850333A (zh) * | 2016-12-23 | 2017-06-13 | 中国科学院信息工程研究所 | 一种基于反馈聚类的网络设备识别方法及系统 |
| CN108063753A (zh) * | 2017-11-10 | 2018-05-22 | 全球能源互联网研究院有限公司 | 一种信息安全监测方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110034977A (zh) | 2019-07-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20240031397A1 (en) | Selecting actions responsive to computing environment incidents based on severity rating | |
| CN113302609B (zh) | 用人工智能检测存在未认证的api请求时的不当活动 | |
| JP5237034B2 (ja) | イベント情報取得外のit装置を対象とする根本原因解析方法、装置、プログラム。 | |
| US11310201B2 (en) | Network security system with enhanced traffic analysis based on feedback loop | |
| RU2495486C1 (ru) | Способ анализа и выявления вредоносных промежуточных узлов в сети | |
| US11949657B2 (en) | Autonomous alerting based on defined categorizations for network space and network boundary changes | |
| CN100399750C (zh) | 便于在网络上识别计算机的系统与方法 | |
| US11696110B2 (en) | Distributed, crowdsourced internet of things (IoT) discovery and identification using Block Chain | |
| US11647037B2 (en) | Penetration tests of systems under test | |
| US11689576B2 (en) | Cloud native discovery and protection | |
| CN104169937A (zh) | 机会系统扫描 | |
| US20220217148A1 (en) | Techniques for protecting cloud native environments based on cloud resource access | |
| CN105247832A (zh) | 将安全上下文集成到网络路由决策中的方法和装置 | |
| JP5980968B2 (ja) | 情報処理装置、情報処理方法及びプログラム | |
| CN116451215A (zh) | 关联分析方法及相关设备 | |
| CN110311927B (zh) | 数据处理方法及其装置、电子设备和介质 | |
| von Sperling et al. | Tracking intruders in IoT networks by means of DNS traffic analysis | |
| CN105681478A (zh) | 通过对网络资源调度提高网络爬虫抓取效率的方法和装置 | |
| WO2007069337A1 (ja) | 不正通信プログラムの規制システム及びそのプログラム | |
| US11394687B2 (en) | Fully qualified domain name (FQDN) determination | |
| US11159548B2 (en) | Analysis method, analysis device, and analysis program | |
| US20230254281A1 (en) | Local network device connection control | |
| CN110034977B (zh) | 一种设备安全性监测方法及安全性监测设备 | |
| CN113709136B (zh) | 一种访问请求验证方法和装置 | |
| KR20150026187A (ko) | 드로퍼 판별을 위한 시스템 및 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |