CN110120948B - 基于无线和有线数据流相似性分析的非法外联监测方法 - Google Patents

基于无线和有线数据流相似性分析的非法外联监测方法 Download PDF

Info

Publication number
CN110120948B
CN110120948B CN201910371325.3A CN201910371325A CN110120948B CN 110120948 B CN110120948 B CN 110120948B CN 201910371325 A CN201910371325 A CN 201910371325A CN 110120948 B CN110120948 B CN 110120948B
Authority
CN
China
Prior art keywords
external connection
network communication
data
wireless
suspicious
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910371325.3A
Other languages
English (en)
Other versions
CN110120948A (zh
Inventor
欧晓聪
龚海澎
王庭宇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sichuan Yingdesaike Technology Co ltd
Original Assignee
Sichuan Yingdesaike Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sichuan Yingdesaike Technology Co ltd filed Critical Sichuan Yingdesaike Technology Co ltd
Priority to CN201910371325.3A priority Critical patent/CN110120948B/zh
Publication of CN110120948A publication Critical patent/CN110120948A/zh
Application granted granted Critical
Publication of CN110120948B publication Critical patent/CN110120948B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/22Matching criteria, e.g. proximity measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/23Clustering techniques
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Evolutionary Computation (AREA)
  • Computer Security & Cryptography (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Artificial Intelligence (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Biology (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于无线和有线数据流相似性分析的非法外联监测方法,利用安装有无线通信模块的非法外联监测设备实现监测,包括以下步骤:将所有内网数据镜像到非法外联监测设备;非法外联监测设备接收所有内部网络流量数据;记录其所有网络通信数据;对该网络通信数据进行特征分析,构建其网络通信模型;非法外联监测设备接收所有无线网络流量数据;记录它们之间的所有加密无线网络通信数据;对该加密无线网络通信数据进行特征分析,构建其网络通信模型;将两种网络通信模型进行比对,根据其相似性判定是否为非法外联主机。本发明通过对有线和无线两种网络通信模型进行比较,从而准确、实时地监测非法外联行为。

Description

基于无线和有线数据流相似性分析的非法外联监测方法
技术领域
本发明涉及一种非法外联监测方法,尤其涉及一种基于无线和有线数据流相似性分析的非法外联监测方法。
背景技术
针对工业控制系统的隔离内网,非法外联因其危害巨大,一直都是网络边界完整性防护的重中之重。随着智能手机和4G/5G技术的普及,目前非法外联的主要表现形式是通过智能手机(4G/5G)进行的外联,它比早期的电话拨号还要方便,速度更快,费用更低,最常见方式为连接到内网的终端计算机通过无线WIFI连接智能手机开启的个人热点进行外联,这将会对原有内部网络带来不可预知的安全风险。目前非法外联的监测技术方案主要有以下几种:
1)基于客户端代理的外联监测方案:
通过在终端桌面系统安装客户端代理来监管无线网络的使用,主要是针对终端自身无线网卡、私接无线WIFI以及使用免费无线WIFI的监管;其优点是检测时间短、响应速度快,但其存在如下缺点:无法针对未安装客户端代理的终端桌面系统进行管控;无法针对无线路由设备的私接进行监管,因为此类设备无法安装客户端代理;无法使用技术手段禁止已安装终端卸载该软件系统,从而使其功能失效。
2)基于网络扫描的外联监测方案:
主要是通过ICMP、TCP以及UDP扫描技术,借鉴操作系统指纹识别技术形成本地的协议特征库,以此判断目标机是否是NAT接入设备、智能手机设备、随身WIFI接入设备和免费WIFI接入设备等;其优点是能够比较准确发现部分智能手机以及随身WIFI接入、能比较准确识别经NAT接入的路由设备和无线AP接入,但其存在如下缺点:需要在内网中部署一台扫描主机,给内网带来一个新的风险点;如果外联主机仅作为网络跳板使用,无路由转发以及NAT功能,将无法判定是否外联;该方案需要向内网中发送数据包,将会对原内部网络造成通信干扰。
3)基于数据监听的外联监测方案:
现有基于数据监听的外联监测方案通过旁路监听、分析网络内部的数据包进行检测,适合有公共网络出口的网络(如互联网),其原理是依靠分析数据包包头及传输协议的某些特殊字段来进行判断和区分随身WIFI接入、智能手机接入以及NAT设备接入;其优点是能够比较准确发现部分智能手机以及随身WIFI接入、能够比较准确识别NAT接入设备,但其存在如下缺点:监听数据的覆盖范围决定其检测范围,存在漏报,适合有公共出口链路的网络,不适合作为检查工具使用;因受限于检测技术,存在漏报的可能。
发明内容
本发明的目的就在于为了解决上述问题而提供一种基于无线和有线数据流相似性分析的非法外联监测方法。
本发明通过以下技术方案来实现上述目的:
一种基于无线和有线数据流相似性分析的非法外联监测方法,利用安装有无线通信模块的非法外联监测设备实现监测,包括以下步骤:
步骤1、在待监测内网交换机上设置镜像端口,将所有内网数据镜像到非法外联监测设备;
步骤2、非法外联监测设备接收所有内部网络流量数据;
步骤3、初步判定为可疑外联主机时,记录其所有网络通信数据;这里的初步判定是工作人员根据经验可以确定不是完全合法外联主机的常规判定方法;
步骤4、对可疑外联主机的网络通信数据进行特征分析,构建其网络通信模型;
步骤5、非法外联监测设备接收所有无线网络流量数据;
步骤6、初步判定为可疑外联热点和可疑外联主机时,记录它们之间的所有加密无线网络通信数据;
步骤7、对可疑外联主机与可疑外联热点的加密无线网络通信数据进行特征分析,构建其网络通信模型;
步骤8、将步骤4和步骤7形成的网络通信模型进行比对,根据其相似性判定是否为同一网络操作,如果是,则判定为非法外联,否则判定为没有外联通信。
说明:上述步骤2-4和步骤5-7的顺序可以互换,也就是说可以将步骤5-7变化为步骤2-4,将步骤2-4变化为步骤5-7。
上述非法外联监测设备是网络通信领域的常规设备。
作为优选,所述步骤4和步骤7中构建网络通信模型包括以下步骤:
步骤(1)、数据预处理:对记录的所有网络通信数据进行筛选过滤,并将数据流转换成包含时间特征向量和空间特征向量的特征向量;
步骤(2)、聚类处理:利用无监督学习中的聚类算法,分别根据时间特征向量和空间特征向量在空间中的分布,自动将行为相似的数据流划分到对应簇中,得到对应的网络通信模型;
所述步骤8的方法是:对两种网络通信模型进行交叉检测,即将时间特征向量表现出相似性的簇与空间特征向量表现出相似性的簇进行重叠匹配,当两种类型的簇均持续表现出相似性时,判定其对应的网络通信为外联通信,对应的外联主机为非法外联主机。
作为优选,所述步骤(1)中,对记录的所有网络通信数据进行筛选过滤的方法是:过滤掉管理帧、控制帧,只保留数据帧数据流;将数据流转换成特征向量的方法是:先将数据流按源IP、目的IP、应用类型进行分组得到三元组数据,再分别按持续时间的均值、持续时间的方差、持续时间偏长的数据流所占比例、前后两条数据流间隔时间的均值、前后两条数据流间隔时间的方差这五个时间特征提取时间特征向量,同时分别按包个数的均值、包个数的方差、平均每个包字节数的均值、平均每个包字节数的方差、小包流所占比例这五个空间特征提取空间特征向量。
作为优选,所述步骤(2)中,所述聚类算法为FCM聚类算法。
本发明的有益效果在于:
本发明通过将内部网络流量数据和无线网络流量数据分别处理并建立对应的网络通信模型,并对两种网络通信模型进行比较,判断内网通信数据是否由互联网主机控制或驱动新接入内网的主机产生,从而准确、实时地监测非法外联行为;更具体的优点为:
1、实现单机模式下的非法外联监测,降低了部署成本;
2、对原有内部网络不进行任何结构的修改,降低了工程施工难度;
3、没有产生内部网络的网络通信节点,不会对原有内部网络带来新的安全风险;
4、采用无线模式能够准确发现内网环境智能手机以及随身WIFI接入;
5、对无线信息流和有线信息流的特征比对分析,能够识别内网通信数据是否由互联网主机控制或驱动新接入内网的主机产生的,从而准确、实时地监测非法外联行为,解决了现有技术漏报的问题。
具体实施方式
下面结合实施例对本发明作进一步说明:
实施例:
一种基于无线和有线数据流相似性分析的非法外联监测方法,利用安装有无线通信模块的非法外联监测设备实现监测,包括以下步骤:
步骤1、在待监测内网交换机上设置镜像端口,将所有内网数据镜像到非法外联监测设备;
步骤2、非法外联监测设备接收所有内部网络流量数据;
步骤3、初步判定为可疑外联主机时,记录其所有网络通信数据;
步骤4、对可疑外联主机的网络通信数据进行特征分析,采用如下方法构建其网络通信模型:
步骤(1)、数据预处理:对记录的所有网络通信数据进行筛选过滤,并将数据流转换成包含时间特征向量和空间特征向量的特征向量;
步骤(2)、聚类处理:利用无监督学习中的FCM聚类算法,分别根据时间特征向量和空间特征向量在空间中的分布,自动将行为相似的数据流划分到对应簇中,得到对应的网络通信模型;
步骤5、非法外联监测设备接收所有无线网络流量数据;
步骤6、初步判定为可疑外联热点和可疑外联主机时,记录它们之间的所有加密无线网络通信数据;
步骤7、对可疑外联主机与可疑外联热点的加密无线网络通信数据进行特征分析,采用如下方法构建其网络通信模型:
步骤(1)、数据预处理:对记录的所有加密无线网络通信数据进行筛选过滤,并将数据流转换成包含时间特征向量和空间特征向量的特征向量;
步骤(2)、聚类处理:利用无监督学习中的FCM聚类算法,分别根据时间特征向量和空间特征向量在空间中的分布,自动将行为相似的数据流划分到对应簇中,得到对应的网络通信模型;
步骤8、将步骤4和步骤7形成的网络通信模型进行比对,根据其相似性判定是否为同一网络操作,如果是,则判定为非法外联,否则判定为没有外联通信;具体方法是:对步骤4和步骤7形成的两种网络通信模型进行交叉检测,即将时间特征向量表现出相似性的簇与空间特征向量表现出相似性的簇进行重叠匹配,当两种类型的簇均持续表现出相似性时,判定其对应的网络通信为外联通信,对应的外联主机为非法外联主机。
上述步骤(1)中,对记录的所有网络通信数据进行筛选过滤的方法是:过滤掉管理帧、控制帧,只保留数据帧数据流;将数据流转换成特征向量的方法是:先将数据流按源IP、目的IP、应用类型进行分组得到三元组数据,再分别按持续时间的均值、持续时间的方差、持续时间偏长的数据流所占比例、前后两条数据流间隔时间的均值、前后两条数据流间隔时间的方差这五个时间特征提取时间特征向量,同时分别按包个数的均值、包个数的方差、平均每个包字节数的均值、平均每个包字节数的方差、小包流所占比例这五个空间特征提取空间特征向量。
上述步骤(2)中,FCM聚类算法是一种以隶属度来确定每个数据点属于某个聚类程度的算法,该聚类算法是传统硬聚类算法的一种改进。算法流程是:
①标准化数据矩阵;
②建立模糊相似矩阵,初始化隶属矩阵;
③算法开始迭代,直到目标函数收敛到极小值;
④根据迭代结果,由最后的隶属矩阵确定数据所属的类,显示最后的聚类结果。
经过FCM聚类后,时间特征向量与空间特征向量分别被分为多个簇,每个簇内的样本可看作具有一定的相似性,即同一个簇内,每个样本所表征的三元组在时间或空间上的通信行为具有相似性。
上述实施例只是本发明的较佳实施例,并不是对本发明技术方案的限制,只要是不经过创造性劳动即可在上述实施例的基础上实现的技术方案,均应视为落入本发明专利的权利保护范围内。

Claims (4)

1.一种基于无线和有线数据流相似性分析的非法外联监测方法,利用安装有无线通信模块的非法外联监测设备实现监测,其特征在于:包括以下步骤:
步骤1、在待监测内网交换机上设置镜像端口,将所有内网数据镜像到非法外联监测设备;
步骤2、非法外联监测设备接收所有内部网络流量数据;
步骤3、初步判定为可疑外联主机时,记录其所有网络通信数据;
步骤4、对可疑外联主机的网络通信数据进行特征分析,构建其网络通信模型;
步骤5、非法外联监测设备接收所有无线网络流量数据;
步骤6、初步判定为可疑外联热点和可疑外联主机时,记录它们之间的所有加密无线网络通信数据;
步骤7、对可疑外联主机与可疑外联热点的加密无线网络通信数据进行特征分析,构建其网络通信模型;
步骤8、将步骤4和步骤7形成的网络通信模型进行比对,根据其相似性判定是否为同一网络操作,如果是,则判定为非法外联,否则判定为没有外联通信。
2.根据权利要求1所述的基于无线和有线数据流相似性分析的非法外联监测方法,其特征在于:所述步骤4和步骤7中构建网络通信模型包括以下步骤:
步骤(1)、数据预处理:对记录的所有网络通信数据进行筛选过滤,并将数据流转换成包含时间特征向量和空间特征向量的特征向量;
步骤(2)、聚类处理:利用无监督学习中的聚类算法,分别根据时间特征向量和空间特征向量在空间中的分布,自动将行为相似的数据流划分到对应簇中,得到对应的网络通信模型;
所述步骤8的方法是:对两种网络通信模型进行交叉检测,即将时间特征向量表现出相似性的簇与空间特征向量表现出相似性的簇进行重叠匹配,当两种类型的簇均持续表现出相似性时,判定其对应的网络通信为外联通信,对应的外联主机为非法外联主机。
3.根据权利要求2所述的基于无线和有线数据流相似性分析的非法外联监测方法,其特征在于:所述步骤(1)中,对记录的所有网络通信数据进行筛选过滤的方法是:过滤掉管理帧、控制帧,只保留数据帧数据流;将数据流转换成特征向量的方法是:先将数据流按源IP、目的IP、应用类型进行分组得到三元组数据,再分别按持续时间的均值、持续时间的方差、持续时间偏长的数据流所占比例、前后两条数据流间隔时间的均值、前后两条数据流间隔时间的方差这五个时间特征提取时间特征向量,同时分别按包个数的均值、包个数的方差、平均每个包字节数的均值、平均每个包字节数的方差、小包流所占比例这五个空间特征提取空间特征向量。
4.根据权利要求3所述的基于无线和有线数据流相似性分析的非法外联监测方法,其特征在于:所述步骤(2)中,所述聚类算法为FCM聚类算法。
CN201910371325.3A 2019-05-06 2019-05-06 基于无线和有线数据流相似性分析的非法外联监测方法 Active CN110120948B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910371325.3A CN110120948B (zh) 2019-05-06 2019-05-06 基于无线和有线数据流相似性分析的非法外联监测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910371325.3A CN110120948B (zh) 2019-05-06 2019-05-06 基于无线和有线数据流相似性分析的非法外联监测方法

Publications (2)

Publication Number Publication Date
CN110120948A CN110120948A (zh) 2019-08-13
CN110120948B true CN110120948B (zh) 2020-12-15

Family

ID=67521719

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910371325.3A Active CN110120948B (zh) 2019-05-06 2019-05-06 基于无线和有线数据流相似性分析的非法外联监测方法

Country Status (1)

Country Link
CN (1) CN110120948B (zh)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111314178B (zh) * 2020-02-25 2021-06-25 国网湖南省电力有限公司 一种电力监控系统设备违规外联检测方法、系统及介质
CN111970233B (zh) * 2020-06-30 2023-09-01 浙江远望信息股份有限公司 一种网络违规外联场景的分析识别方法
CN111866216B (zh) * 2020-08-03 2022-10-28 深圳市联软科技股份有限公司 基于无线网络接入点的nat设备检测方法及系统
CN111935167A (zh) * 2020-08-20 2020-11-13 北京华赛在线科技有限公司 用于工控的违规外联检测方法、装置、设备及存储介质
CN112383417B (zh) * 2020-11-02 2022-08-23 杭州安恒信息安全技术有限公司 一种终端安全外联检测方法、系统、设备及可读存储介质
CN112491894A (zh) * 2020-11-30 2021-03-12 北京航空航天大学 一种基于时空特征学习的物联网网络攻击流量监测系统
CN112822683B (zh) * 2020-12-31 2023-04-07 四川英得赛克科技有限公司 一种利用移动网络进行非法外联的检测方法
CN114244571B (zh) * 2021-11-22 2023-09-05 广东电网有限责任公司 基于数据流分析的非法外联监测方法、装置、计算机设备
CN114866318A (zh) * 2022-05-05 2022-08-05 金祺创(北京)技术有限公司 一种基于用户关键业务网络安全流程的威胁情报关联分析方法和系统

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101102246A (zh) * 2006-07-03 2008-01-09 冲电气工业株式会社 不正当接入点连接阻止方法、接入点装置和无线lan系统
US8266693B1 (en) * 2008-03-25 2012-09-11 Mcafee, Inc. System, method, and computer program product for identifying unwanted data communicated via a session initiation protocol

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2010011182A2 (en) * 2008-07-25 2010-01-28 Resolvo Systems Pte Ltd Method and system for tracing a source of leaked information
CN103391216B (zh) * 2013-07-15 2016-08-10 中国科学院信息工程研究所 一种违规外联报警及阻断方法
CN105429996B (zh) * 2015-12-15 2019-05-31 浙江远望信息股份有限公司 一种智能发现和定位地址转换设备的方法
CN108718298B (zh) * 2018-04-28 2021-05-25 北京奇安信科技有限公司 一种恶意外连流量检测方法及装置
CN109413097A (zh) * 2018-11-30 2019-03-01 深信服科技股份有限公司 一种非法外联检测方法、装置、设备及存储介质
CN109597843A (zh) * 2018-12-19 2019-04-09 北京锐安科技有限公司 大数据环境的数据管理方法、装置、存储介质及电子设备
CN109587175A (zh) * 2019-01-11 2019-04-05 杭州迪普科技股份有限公司 一种非法外联处理方法及系统

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101102246A (zh) * 2006-07-03 2008-01-09 冲电气工业株式会社 不正当接入点连接阻止方法、接入点装置和无线lan系统
US8266693B1 (en) * 2008-03-25 2012-09-11 Mcafee, Inc. System, method, and computer program product for identifying unwanted data communicated via a session initiation protocol

Also Published As

Publication number Publication date
CN110120948A (zh) 2019-08-13

Similar Documents

Publication Publication Date Title
CN110120948B (zh) 基于无线和有线数据流相似性分析的非法外联监测方法
CN110011999B (zh) 基于深度学习的IPv6网络DDoS攻击检测系统及方法
CN111935170B (zh) 一种网络异常流量检测方法、装置及设备
CN107135093B (zh) 一种基于有限自动机的物联网入侵检测方法及检测系统
CN107438052B (zh) 一种面向未知工业通信协议规约的异常行为检测方法
CN101656634B (zh) 基于IPv6网络环境的入侵检测方法
US8631464B2 (en) Method of detecting anomalous behaviour in a computer network
CN107493265A (zh) 一种面向工业控制系统的网络安全监控方法
CN107623754B (zh) 基于真伪MAC识别的WiFi采集系统及其方法
US7463593B2 (en) Network host isolation tool
CN106452955B (zh) 一种异常网络连接的检测方法及系统
Brahmi et al. Towards a multiagent-based distributed intrusion detection system using data mining approaches
CN108712425A (zh) 一种面向工业控制系统网络安全威胁事件的分析监管方法
CN109587156A (zh) 异常网络访问连接识别与阻断方法、系统、介质和设备
CN105743880A (zh) 一种数据分析系统
CN110266680B (zh) 一种基于双重相似性度量的工业通信异常检测方法
CN113794276A (zh) 一种基于人工智能的配电网终端安全行为监测系统及方法
CN108471413B (zh) 边缘网络安全准入防御系统及其方法
CN111970233B (zh) 一种网络违规外联场景的分析识别方法
CN118432852A (zh) 基于深度学习的网络安全保护方法及系统
CN112583820B (zh) 一种基于攻击拓扑的电力攻击测试系统
Thorat et al. SDN-based machine learning powered alarm manager for mitigating the traffic spikes at the IoT gateways
CN107608752B (zh) 基于虚拟机自省的威胁情报响应与处置方法及系统
CN112822683B (zh) 一种利用移动网络进行非法外联的检测方法
CN116939589A (zh) 一种基于校园无线网的学生上网监控系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information

Address after: Room 1101, 11 / F, unit 2, building 1, No. 777, north section of Yizhou Avenue, Chengdu hi tech Zone, China (Sichuan) pilot Free Trade Zone, Chengdu 610041

Applicant after: SICHUAN YINGDESAIKE TECHNOLOGY Co.,Ltd.

Address before: 610000 No. 3, 1 building, 366 lakeside road, Tianfu New District, Chengdu, Sichuan, 1

Applicant before: SICHUAN YINGDESAIKE TECHNOLOGY Co.,Ltd.

CB02 Change of applicant information
GR01 Patent grant
GR01 Patent grant