CN111541648B - 网络连接检测方法、装置、电子设备和存储介质 - Google Patents

网络连接检测方法、装置、电子设备和存储介质 Download PDF

Info

Publication number
CN111541648B
CN111541648B CN202010218535.1A CN202010218535A CN111541648B CN 111541648 B CN111541648 B CN 111541648B CN 202010218535 A CN202010218535 A CN 202010218535A CN 111541648 B CN111541648 B CN 111541648B
Authority
CN
China
Prior art keywords
network connection
preset
intranet
extranet
acquiring
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010218535.1A
Other languages
English (en)
Other versions
CN111541648A (zh
Inventor
许祥
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou Dt Dream Technology Co Ltd
Original Assignee
Hangzhou Dt Dream Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou Dt Dream Technology Co Ltd filed Critical Hangzhou Dt Dream Technology Co Ltd
Priority to CN202010218535.1A priority Critical patent/CN111541648B/zh
Publication of CN111541648A publication Critical patent/CN111541648A/zh
Application granted granted Critical
Publication of CN111541648B publication Critical patent/CN111541648B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请提出一种网络连接检测方法、装置、电子设备和存储介质,其中,方法包括:将运行日志信息中的每一个进程与预设进程白名单表进行匹配,获取与预设进程白名单表匹配的进程,检测与预设进程白名单表匹配的进程是否存在内网网络连接,获取存在内网网络连接的进程,检测存在内网网络连接的进程是否存在外网网络连接,若存在外网网络连接的进程,则检测存在外网网络连接的进程对应的内网网络连接时间与外网网络连接时间是否重叠,若存在内网网络连接时间与外网网络连接时间重叠的进程且为主动连接,若存在主动连接的进程,则获取目标进程信息发送告警提示,由此,提高检测利用端口转发构建隧道的危险行为的准确性。

Description

网络连接检测方法、装置、电子设备和存储介质
技术领域
本申请涉及网络安全技术领域,尤其涉及一种网络连接检测方法、装置、电子设备和存储介质。
背景技术
通常,在网络攻击行为中,当攻击者获取一定权限后,在横向移动过程中,对于内网的业务系统,往往会通过在获取权限的主机上通过端口转发相关技术构建一个隧道,使得攻击者本地的黑客工具可以通过外网直接访问到内网的其他服务,从而进行横向移动。
相关技术中,通过流量监控等方式对网络攻击行为进行检测,存在检测能力和覆盖范围有限的技术问题。
发明内容
本申请旨在至少在一定程度上解决上述相关技术中的技术问题之一。
为此,本申请的第一个目的在于提出一种网络连接检测方法,解决了现有技术中针对网络连接行为检测的检测能力和覆盖范围有限,导致检测效率比较低和准确性比较差的技术问题,通过目标设备的运行日志信息来识别同一个进程是否同时维护了到外网的网络连接和到内网的网络连接,并且都是主动去建立到内网的连接和到外网的连接,来实时检测利用端口转发构建隧道的危险行为,提高检测的准确性。
本申请的第二个目的在于提出一种网络连接检测装置。
本申请的第二个目的在于提出一种计算机设备。
本申请的第四个目的在于提出一种非临时性计算机可读存储介质。
为达上述目的,本申请第一方面实施例提出了一种网络连接检测方法,包括:从预设数据库中获取目标设备的运行日志信息,将所述运行日志信息中的每一个进程与预设进程白名单表进行匹配;获取与预设进程白名单表匹配的进程,检测所述与预设进程白名单表匹配的进程是否存在内网网络连接;获取存在内网网络连接的进程,检测所述存在内网网络连接的进程是否存在外网网络连接;若存在外网网络连接的进程,则检测所述存在外网网络连接的进程对应的内网网络连接时间与外网网络连接时间是否重叠;若存在所述内网网络连接时间与所述外网网络连接时间重叠的进程,则检测所述内网网络连接时间与所述外网网络连接时间重叠的进程是否为主动连接;若存在主动连接的进程,则获取目标进程信息发送告警提示。
另外,本申请实施例的网络连接检测方法,还具有如下附加的技术特征:
可选地,在所述从预设数据库中获取目标设备的运行日志信息之前,包括:通过日志采集装置获取所述目标设备的运行日志信息;将所述目标设备的运行日志信息存储在所述预设数据库。
可选地,所述将所述运行日志信息中的每一个进程与预设进程白名单表进行匹配,包括:获取所述每一个进程的进程文件信息;对所述进程文件信息进行哈希处理,生成每一个进程对应的哈希值;判断所述每一个进程对应的哈希值是否存在所述预设进程白名单表中。
可选地,所述获取与预设进程白名单表匹配的进程,检测所述与预设进程白名单表匹配的进程是否存在内网网络连接,包括:获取与预设进程白名单表匹配的第一进程,以及所述第一进程对应的子进程;检测所述第一进程是否为预设内网网段类型;和/或,检测所述第一进程对应的子进程是否为所述预设内网网段类型。
可选地,所述获取存在内网网络连接的进程,检测所述存在内网网络连接的进程是否存在外网网络连接,包括:
获取存在内网网络连接的第二进程、所述第二进程对应的父进程和所述第二进程对应的子进程;检测所述第二进程是否为预设外网网段类型;和/或,检测所述第二进程对应的父进程是否为所述预设外网网段类型;和/或,检测所述第二进程对应的子进程是否为所述预设外网网段类型。
可选地,在所述进行告警提示之前,还包括:获取主动连接的目标进程;检测所述目标进程的进程文件名称、进程文件哈希值、进程文件路径是否为浏览器进程或网页服务器进程;和/或,检测所述目标进程的网络连接协议是否均为预设协议。
为达上述目的,本申请第二方面实施例提出了一种网络连接检测装置,包括:匹配模块,用于从预设数据库中获取目标设备的运行日志信息,将所述运行日志信息中的每一个进程与预设进程白名单表进行匹配;第一检测模块,用于获取与预设进程白名单表匹配的进程,检测所述与预设进程白名单表匹配的进程是否存在内网网络连接;第二检测模块,用于获取存在内网网络连接的进程,检测所述存在内网网络连接的进程是否存在外网网络连接;第三检测模块,用于若存在外网网络连接的进程,则检测所述存在外网网络连接的进程对应的内网网络连接时间与外网网络连接时间是否重叠;第四检测模块,用于若存在所述内网网络连接时间与所述外网网络连接时间重叠的进程,则检测所述内网网络连接时间与所述外网网络连接时间重叠的进程是否为主动连接;告警模块,用于若存在主动连接的进程,则获取目标进程信息发送告警提示。
另外,本申请实施例的网络连接检测装置,还具有如下附加的技术特征:
可选地,所述的装置,还包括:采集模块,用于通过日志采集装置获取所述目标设备的运行日志信息;存储模块,用于将所述目标设备的运行日志信息存储在所述预设数据库。
可选地,所述匹配模块,具体用于:从预设数据库中获取目标设备的运行日志信息,获取所述每一个进程的进程文件信息;对所述进程文件信息进行哈希处理,生成每一个进程对应的哈希值;判断所述每一个进程对应的哈希值是否存在所述预设进程白名单表中。
可选地,所述第一检测模块,具体用于:获取与预设进程白名单表匹配的第一进程,以及所述第一进程对应的子进程;检测所述第一进程是否为预设内网网段类型;和/或,检测所述第一进程对应的子进程是否为所述预设内网网段类型。
可选地,所述第二检测模块,具体用于:获取存在内网网络连接的第二进程、所述第二进程对应的父进程和所述第二进程对应的子进程;检测所述第二进程是否为预设外网网段类型;和/或,检测所述第二进程对应的父进程是否为所述预设外网网段类型;和/或,检测所述第二进程对应的子进程是否为所述预设外网网段类型。
可选地,所述的装置,还包括:获取模块,用于获取主动连接的目标进程;第五检测模块,用于检测所述目标进程的进程文件名称、进程文件哈希值、进程文件路径是否为浏览器进程或网页服务器进程;和/或,第六检测模块,用于检测所述目标进程的网络连接协议是否均为预设协议。
为达上述目的,本申请第三方面实施例提出了一种计算机设备,包括:处理器和存储器;其中,所述处理器通过读取所述存储器中存储的可执行程序代码来运行与所述可执行程序代码对应的程序,以用于实现如第一方面实施例所述的网络连接检测方法。
为达上述目的,本申请第四方面实施例提出了一种非临时性计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如第一方面实施例所述的网络连接检测方法。
为达上述目的,本申请第五方面实施例提出了一种计算机程序产品,当所述计算机程序产品中的指令由处理器执行时,实现如第一方面实施例所述的网络连接检测方法。
本申请实施例提供的技术方案可以包含如下的有益效果:
从预设数据库中获取目标设备的运行日志信息,将运行日志信息中的每一个进程与预设进程白名单表进行匹配,获取与预设进程白名单表匹配的进程,检测与预设进程白名单表匹配的进程是否存在内网网络连接,获取存在内网网络连接的进程,检测存在内网网络连接的进程是否存在外网网络连接,若存在外网网络连接的进程,则检测存在外网网络连接的进程对应的内网网络连接时间与外网网络连接时间是否重叠,若存在内网网络连接时间与外网网络连接时间重叠的进程,则检测内网网络连接时间与外网网络连接时间重叠的进程是否为主动连接,若存在主动连接的进程,则获取目标进程信息发送告警提示,由此,通过目标设备的运行日志信息来识别同一个进程是否同时维护了到外网的网络连接和到内网的网络连接,并且都是主动去建立到内网的连接和到外网的连接,来实时检测利用端口转发构建隧道的危险行为,提高检测的准确性。
本申请附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本申请的实践了解到。
附图说明
本申请上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解,其中:
图1是根据本申请一个实施例的网络连接检测方法的流程图;
图2是根据本申请另一个实施例的网络连接检测方法的流程图;
图3是根据本申请一个实施例的网络连接检测方法的示例图;
图4是根据本申请一个实施例的网络连接检测装置的结构示意图;
图5是根据本申请另一个实施例的网络连接检测装置的结构示意图;
图6是根据本申请又一个实施例的网络连接检测装置的结构示意图。
具体实施方式
下面详细描述本申请的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,旨在用于解释本申请,而不能理解为对本申请的限制。
下面参考附图描述本申请实施例的网络连接检测方法、装置、电子设备和存储介质。
针对背景技术中提到的,现有技术中单纯从网络流量层面来发现网络攻击行为存在的检测能力和覆盖范围有限,导致检测效率比较低和准确性比较差的技术问题,本申请提出了一种网络连接检测的方法,通过目标设备的运行日志信息来识别同一个进程是否同时维护了到外网的网络连接和到内网的网络连接,并且都是主动去建立到内网的连接和到外网的连接,来实时检测利用端口转发构建隧道的危险行为,提高检测的准确性。
具体而言,图1是根据本申请一个实施例的网络连接检测方法的流程图,如图1所示,该方法包括:
步骤101,从预设数据库中获取目标设备的运行日志信息,将运行日志信息中的每一个进程与预设进程白名单表进行匹配。
其中,不同的目标设备比如电脑主机上的运行日志信息不同,可以在各个目标设备上安装日志采集装置等方式获取各个目标设备的运行日志信息并存储在预设数据库中比如消息系统KAFKA等,可以根据实际应用需要进行选择相关数据库进行存储,来提高后续分析效率。
其中,运行日志信息包括目标设备上所有进程启停信息,以及网络连接信息,包括进程标识、进程名称、进程路径、进程网络连接状态(是否为主动连接)、进程连接网络地址、进程连接端口、进程连接开始时间、进程连接结束时间(未结束则单独标识)、父进程标识、父进程名称、父进程路径、父进程网络连接状态(是否为主动连接)、父进程连接网络地址、父进程连接端口、父进程连接开始时间、父进程连接结束时间(未结束则单独标识)和上报时间等中的一种或者多种。
因此,在进行网络连接检测时,从预设数据库中获取目标设备的运行日志信息,其中,目标设备可以根据检测需要选择的设备作为目标设备来进行检测,从而通过查映射表等方式在预设数据库中获取与目标设备标识对应的运行日志信息。
进一步地,将所有进程分别一一与预设进程白名单表进行匹配,确定是否允许该进行运行,可以理解的是,预设进程白名单表是预先设置的可以在该目标设备上运行的进程,不需要进行下一步检测,如果不在该预设进程白名单表中标识不允许在该目标设备上运行,需要进行下一步检测。
可以理解的是,将运行日志信息中的每一个进程与预设进程白名单表进行匹配的方式有很多种,举例说明如下:
第一种示例,获取每一个进程的进程文件信息,对进程文件信息进行哈希处理,生成每一个进程对应的哈希值,判断每一个进程对应的哈希值是否存在预设进程白名单表中。
第二种示例,获取每一个进程的进程文件信息,通过信息摘要算法对进程文件信息进行处理,生成每一个进程对应的进程值,判断每一个进程对应的进程值是否存在预设进程白名单表中。
步骤102,获取与预设进程白名单表匹配的进程,检测与预设进程白名单表匹配的进程是否存在内网网络连接。
具体地,只有所有进程中可能是一个或者多个进程与预设进程白名单表进行匹配才进行下一步检测,即执行步骤102的操作,因此,获取与预设进程白名单表匹配的进程,并检测与预设进程白名单表匹配的进程是否存在内网网络连接。
其中,检测与预设进程白名单表匹配的进程是否存在内网网络连接的方式有很多种,举例说明如下:
第一种示例,获取与预设进程白名单表匹配的第一进程,以及第一进程对应的子进程,检测第一进程是否为预设内网网段类型,以及检测第一进程对应的子进程是否为预设内网网段类型。
第二种示例,获取与预设进程白名单表匹配的第一进程,检测第一进程是否为预设内网网段类型。
步骤103,获取存在内网网络连接的进程,检测存在内网网络连接的进程是否存在外网网络连接。
具体地,只有与预设进程白名单表匹配的进程中可能是一个或者多个进程存在内网网络连接才进行下一步检测,即执行步骤103的操作,因此,获取存在内网网络连接的进程,并检测存在内网网络连接的进程是否存在外网网络连接。
其中,检测存在内网网络连接的进程是否存在外网网络连接的方式有很多种,举例说明如下:
第一种示例,获取存在内网网络连接的第二进程、第二进程对应的父进程和第二进程对应的子进程,检测第二进程是否为预设外网网段类型、检测第二进程对应的父进程是否为预设外网网段类型,以及检测第二进程对应的子进程是否为预设外网网段类型。
第二种示例,获取存在内网网络连接的第二进程,检测第二进程是否为预设外网网段类型。
步骤104,若存在外网网络连接的进程,则检测存在外网网络连接的进程对应的内网网络连接时间与外网网络连接时间是否重叠。
具体地,只有存在内网网络连接的进程中可能是一个或者多个进程存在外网网络连接才进行下一步检测,即执行步骤104的操作,因此,获取存在外网网络连接的进程,并检测存在外网网络连接的进程对应的内网网络连接时间与外网网络连接时间是否重叠。
其中,可以从运行日志信息中直接获取该进程对应的内网网络连接时间和外网网络连接时间,并进行判断是否存在时间重叠即可。
步骤105,若存在内网网络连接时间与外网网络连接时间重叠的进程,则检测内网网络连接时间与外网网络连接时间重叠的进程是否为主动连接。
步骤106,若存在主动连接的进程,则获取目标进程信息发送告警提示。
具体地,只有存在外网网络连接的进程中可能是一个或者多个进程存在存在内网网络连接时间与外网网络连接时间重叠即连接内网的同时也连接了外网才进行下一步检测,即执行步骤105的操作,因此,对存在内网网络连接时间与外网网络连接时间重叠的进程,对该进程检测内网网络连接时间与外网网络连接时间重叠是否为主动连接,若存在主动连接的进程,则获取目标进程信息发送告警提示。
其中,目标进程信息包括:进程标识、进程名称、网络连接等信息中的一种或者多种,可以根据需要进行设置告警提示。
综上,本申请实施例的网络连接检测方法,通过从预设数据库中获取目标设备的运行日志信息,将运行日志信息中的每一个进程与预设进程白名单表进行匹配,获取与预设进程白名单表匹配的进程,检测与预设进程白名单表匹配的进程是否存在内网网络连接,获取存在内网网络连接的进程,检测存在内网网络连接的进程是否存在外网网络连接,若存在外网网络连接的进程,则检测存在外网网络连接的进程对应的内网网络连接时间与外网网络连接时间是否重叠,若存在内网网络连接时间与外网网络连接时间重叠的进程,则检测内网网络连接时间与外网网络连接时间重叠的进程是否为主动连接,若存在主动连接的进程,则获取目标进程信息发送告警提示,由此,通过目标设备的运行日志信息来识别同一个进程是否同时维护了到外网的网络连接和到内网的网络连接,并且都是主动去建立到内网的连接和到外网的连接,来实时检测利用端口转发构建隧道的危险行为,提高检测的准确性。
图2是根据本申请另一个实施例的网络连接检测方法的流程图,如图2所示,该方法包括:
步骤201,通过日志采集装置获取目标设备的运行日志信息,将目标设备的运行日志信息存储在预设数据库。
具体地,在目标设备上安装日志采集装置,实时获取所有进程启停与网络连接信息,进程标识、进程名称、进程路径、进程网络连接状态(是否为主动连接)、进程连接网络地址、进程连接端口、进程连接开始时间、进程连接结束时间(未结束则单独标识)、父进程标识、父进程名称、父进程路径、父进程网络连接状态(是否为主动连接)、父进程连接网络地址、父进程连接端口、父进程连接开始时间、父进程连接结束时间(未结束则单独标识)和上报时间等中的一种或者多种,进一步地,实时上报目标设备的运行日志信息到预设数据库,比如KAFKA等消息通道。
步骤202,从预设数据库中获取目标设备的运行日志信息,获取每一个进程的进程文件信息,对进程文件信息进行哈希处理,生成每一个进程对应的哈希值,判断每一个进程对应的哈希值是否存在预设进程白名单表中。
具体地,检测进程文件信息的哈希值是否在预设进程白名单表中,如果在结束流程,不在则进入下一步检测。
步骤203,获取与预设进程白名单表匹配的进程,获取与预设进程白名单表匹配的第一进程,以及第一进程对应的子进程,检测第一进程是否为预设内网网段类型和检测第一进程对应的子进程是否为预设内网网段类型。
其中,第一进程至少是一个,即可以是一个或者多个。
具体地,检测每个进程或其子进程是否存在内网网络连接,其中,用户可以继续自定义预设内网网段类型,默认除了127.0.0.1外,还包括如下A、B、C三类,A类:10.0.0.0/810.0.0.0-10.255.255.255;B类:172.16.0.0/12 172.16.0.0-172.31.255.255;C类:192.168.0.0/16 192.168.0.0~192.168.255.255。
因此,存在进程或其子进程连接了内网网段则接入下一步检测,否则结束检测。
步骤204,获取存在内网网络连接的进程,获取存在内网网络连接的第二进程和第二进程对应的父进程,检测第二进程是否为预设外网网段类型和检测第二进程对应的父进程是否为预设外网网段类型。
其中,第二进程至少是一个,即可以是一个或者多个。
具体地,检测该进程或其父进程或子进程是否存在外网网络连接(同样,用户也可以自定义预设外网网段类型,以适配特殊的网络环境),如果也存在则进入下一步检测,否则结束检测。
步骤205,若存在外网网络连接的进程,则检测存在外网网络连接的进程对应的内网网络连接时间与外网网络连接时间是否重叠。
步骤206,若存在内网网络连接时间与外网网络连接时间重叠的进程,则检测内网网络连接时间与外网网络连接时间重叠的进程是否为主动连接。
需要说明的是步骤205-步骤206与步骤104-步骤105相同,具体描述参见步骤104-步骤105的描述,此处不再详述。
步骤207,获取主动连接的目标进程,检测目标进程的进程文件名称、进程文件哈希值、进程文件路径是否为浏览器进程或网页服务器进程,以及检测目标进程的网络连接协议是否均为预设协议。
步骤208,若存在未匹配的目标进程,则获取目标进程信息发送告警提示。
具体地,为了避免特殊情况下的误报,可以选配进行额外的放行策略,进一步通过步骤207进行匹配检测。
具体地,检测进程文件名称、进程文件哈希值、或者进程文件路径是否为浏览器进程或者网页服务器进程(比如nginx,tomcat等),如果匹配则结束流程,未匹配则进入下一步检测,检测进程网络连接内网和公网的协议是否均为预设协议比如HTTP协议(用户可以修改指定其他协议),如果启用该检测则匹配后结束流程,未匹配则进入下一步流程,进一步提高检测的准确性。
需要说明的是,用户可以自定义其他放行流程,匹配则结束,不匹配则继续进入下一个流程。
具体地,若存在未匹配的目标进程,则获取目标进程信息比如进程标识、进程名称、网络连接等信息发送告警提示。
需要说明的是,用户收到告警后如果发现是已知行为或误报等则可以点击忽略,忽略后该进程文件哈希值可以被加入预设进程白名单表中,不再上报。
为了本领域人员更加清楚上述过程,下面结合图3以具体例子进行详细说明,比如图3所示,在内网主机上进行实时日志采集上报存储在实时消息通道比如KAFKA等,运行日志信息包括,代理工具进程与内网连接情况,比如主动连接内网服务还是被动连接内网服务,代理工具进程与外网连接情况,比如主动连接外网服务还是被动连接外网服务,主机进程或其子进程同一时间段内维持着内网和外网的连接情况,外网用户是否通过端口转发访问内网服务到公网主机上,实时分析平台可以基于运行日志信息进行上述实施例描述的网络连接检测的方式进行检测,从而根据告警信息进行相关处理,从而提高网络攻击行为检测的准确性。
综上,本申请实施例的网络连接检测方法,通过从预设数据库中获取目标设备的运行日志信息,将运行日志信息中的每一个进程与预设进程白名单表进行匹配,获取与预设进程白名单表匹配的进程,检测与预设进程白名单表匹配的进程是否存在内网网络连接,获取存在内网网络连接的进程,检测存在内网网络连接的进程是否存在外网网络连接,若存在外网网络连接的进程,则检测存在外网网络连接的进程对应的内网网络连接时间与外网网络连接时间是否重叠,若存在内网网络连接时间与外网网络连接时间重叠的进程,则检测内网网络连接时间与外网网络连接时间重叠的进程是否为主动连接,若存在主动连接的进程,则获取目标进程信息发送告警提示,由此,通过目标设备的运行日志信息来识别同一个进程是否同时维护了到外网的网络连接和到内网的网络连接,并且都是主动去建立到内网的连接和到外网的连接,来实时检测利用端口转发构建隧道的危险行为,提高检测的准确性,此外,为了避免特殊情况下的误报,可以选配进行额外的放行策略,进一步提高检测的准确性。
为了实现上述实施例,本申请还提出了一种网络连接检测装置。图4是根据本申请一个实施例的网络连接检测装置的结构示意图,如图4所示,该网络连接检测装置包括:匹配模块301、第一检测模块302、第二检测模块303、第三检测模块304、第四检测模块305和告警模块306,其中,
匹配模块301,用于从预设数据库中获取目标设备的运行日志信息,将所述运行日志信息中的每一个进程与预设进程白名单表进行匹配。
第一检测模块302,用于获取与预设进程白名单表匹配的进程,检测所述与预设进程白名单表匹配的进程是否存在内网网络连接。
第二检测模块303,用于获取存在内网网络连接的进程,检测所述存在内网网络连接的进程是否存在外网网络连接。
第三检测模块304,用于若存在外网网络连接的进程,则检测所述存在外网网络连接的进程对应的内网网络连接时间与外网网络连接时间是否重叠。
第四检测模块305,用于若存在所述内网网络连接时间与所述外网网络连接时间重叠的进程,则检测所述内网网络连接时间与所述外网网络连接时间重叠的进程是否为主动连接。
告警模块306,用于若存在主动连接的进程,则获取目标进程信息发送告警提示。
在本申请的一个实施例中,如图5所示,在图4的基础上,还包括:采集模块307和存储模块308。
其中,采集模块307,用于通过日志采集装置获取所述目标设备的运行日志信息。
存储模块308,用于将所述目标设备的运行日志信息存储在所述预设数据库。
在本申请的一个实施例中,匹配模块301,具体用于:从预设数据库中获取目标设备的运行日志信息,获取所述每一个进程的进程文件信息;对所述进程文件信息进行哈希处理,生成每一个进程对应的哈希值;判断所述每一个进程对应的哈希值是否存在所述预设进程白名单表中。
在本申请的一个实施例中,第一检测模块302,具体用于:获取与预设进程白名单表匹配的第一进程,以及所述第一进程对应的子进程;检测所述第一进程是否为预设内网网段类型;和/或,检测所述第一进程对应的子进程是否为所述预设内网网段类型。
在本申请的一个实施例中,第二检测模块303,具体用于:获取存在内网网络连接的第二进程、所述第二进程对应的父进程和所述第二进程对应的子进程;检测所述第二进程是否为预设外网网段类型;和/或,检测所述第二进程对应的父进程是否为所述预设外网网段类型;和/或,检测所述第二进程对应的子进程是否为所述预设外网网段类型。
在本申请的一个实施例中,如图6所示,在图4的基础上,还包括:获取模块309、第五检测模块310和第六检测模块311。
获取模块309,用于获取主动连接的目标进程。
第五检测模块310,用于检测所述目标进程的进程文件名称、进程文件哈希值、进程文件路径是否为浏览器进程或网页服务器进程。和/或,
第六检测模块311,用于检测所述目标进程的网络连接协议是否均为预设协议。
需要说明的是,前述对网络连接检测方法实施例的解释说明也适用于该实施例的网络连接检测装置,此处不再赘述。
综上,本申请实施例的网络连接检测装置,从预设数据库中获取目标设备的运行日志信息,将运行日志信息中的每一个进程与预设进程白名单表进行匹配,获取与预设进程白名单表匹配的进程,检测与预设进程白名单表匹配的进程是否存在内网网络连接,获取存在内网网络连接的进程,检测存在内网网络连接的进程是否存在外网网络连接,若存在外网网络连接的进程,则检测存在外网网络连接的进程对应的内网网络连接时间与外网网络连接时间是否重叠,若存在内网网络连接时间与外网网络连接时间重叠的进程,则检测内网网络连接时间与外网网络连接时间重叠的进程是否为主动连接,若存在主动连接的进程,则获取目标进程信息发送告警提示,由此,通过目标设备的运行日志信息来识别同一个进程是否同时维护了到外网的网络连接和到内网的网络连接,并且都是主动去建立到内网的连接和到外网的连接,来实时检测利用端口转发构建隧道的危险行为,提高检测的准确性。
为了实现上述实施例,本申请还提出一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行计算机程序时,实现如前述实施例所描述的网络连接检测方法。
为了实现上述实施例,本申请还提出一种非临时性计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如前述方法实施例所描述的网络连接检测方法。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本申请的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本申请的描述中,“多个”的含义是至少两个,例如两个,三个等,除非另有明确具体的限定。
流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现定制逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本申请的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本申请的实施例所属技术领域的技术人员所理解。
在流程图中表示或在此以其他方式描述的逻辑和/或步骤,例如,可以被认为是用于实现逻辑功能的可执行指令的定序列表,可以具体实现在任何计算机可读介质中,以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用,或结合这些指令执行系统、装置或设备而使用。就本说明书而言,"计算机可读介质"可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。计算机可读介质的更具体的示例(非穷尽性列表)包括以下:具有一个或多个布线的电连接部(电子装置),便携式计算机盘盒(磁装置),随机存取存储器(RAM),只读存储器(ROM),可擦除可编辑只读存储器(EPROM或闪速存储器),光纤装置,以及便携式光盘只读存储器(CDROM)。另外,计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质,因为可以例如通过对纸或其他介质进行光学扫描,接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序,然后将其存储在计算机存储器中。
应当理解,本申请的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。如,如果用硬件来实现和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
此外,在本申请各个实施例中的各功能单元可以集成在一个处理模块中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。
上述提到的存储介质可以是只读存储器,磁盘或光盘等。尽管上面已经示出和描述了本申请的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本申请的限制,本领域的普通技术人员在本申请的范围内可以对上述实施例进行变化、修改、替换和变型。

Claims (12)

1.一种网络连接检测方法,其特征在于,包括:
从预设数据库中获取目标设备的运行日志信息,将所述运行日志信息中的每一个进程与预设进程白名单表进行匹配;
获取与预设进程白名单表匹配的进程,检测所述与预设进程白名单表匹配的进程是否存在内网网络连接,其中,获取与预设进程白名单表匹配的第一进程以及所述第一进程对应的子进程,检测所述第一进程是否为预设内网网段类型,和/或,检测所述第一进程对应的子进程是否为所述预设内网网段类型;
获取存在内网网络连接的进程,检测所述存在内网网络连接的进程是否存在外网网络连接;
若存在外网网络连接的进程,则检测所述存在外网网络连接的进程对应的内网网络连接时间与外网网络连接时间是否重叠;
若存在所述内网网络连接时间与所述外网网络连接时间重叠的进程,则检测所述内网网络连接时间与所述外网网络连接时间重叠的进程是否为主动连接;
若存在主动连接的进程,则获取目标进程信息发送告警提示。
2.如权利要求1所述的方法,其特征在于,在所述从预设数据库中获取目标设备的运行日志信息之前,包括:
通过日志采集装置获取所述目标设备的运行日志信息;
将所述目标设备的运行日志信息存储在所述预设数据库。
3.如权利要求1所述的方法,其特征在于,所述将所述运行日志信息中的每一个进程与预设进程白名单表进行匹配,包括:
获取所述每一个进程的进程文件信息;
对所述进程文件信息进行哈希处理,生成每一个进程对应的哈希值;
判断所述每一个进程对应的哈希值是否存在所述预设进程白名单表中。
4.如权利要求1所述的方法,其特征在于,所述获取存在内网网络连接的进程,检测所述存在内网网络连接的进程是否存在外网网络连接,包括:
获取存在内网网络连接的第二进程、所述第二进程对应的父进程和所述第二进程对应的子进程;
检测所述第二进程是否为预设外网网段类型;和/或,
检测所述第二进程对应的父进程是否为所述预设外网网段类型;和/或,
检测所述第二进程对应的子进程是否为所述预设外网网段类型。
5.如权利要求1所述的方法,其特征在于,在进行告警提示之前,还包括:
获取主动连接的目标进程;
检测所述目标进程的进程文件名称、进程文件哈希值、进程文件路径是否为浏览器进程或网页服务器进程;和/或,
检测所述目标进程的网络连接协议是否均为预设协议。
6.一种网络连接检测装置,其特征在于,包括:
匹配模块,用于从预设数据库中获取目标设备的运行日志信息,将所述运行日志信息中的每一个进程与预设进程白名单表进行匹配;
第一检测模块,用于获取与预设进程白名单表匹配的进程,检测所述与预设进程白名单表匹配的进程是否存在内网网络连接,其中,获取与预设进程白名单表匹配的第一进程以及所述第一进程对应的子进程,检测所述第一进程是否为预设内网网段类型,和/或,检测所述第一进程对应的子进程是否为所述预设内网网段类型;
第二检测模块,用于获取存在内网网络连接的进程,检测所述存在内网网络连接的进程是否存在外网网络连接;
第三检测模块,用于若存在外网网络连接的进程,则检测所述存在外网网络连接的进程对应的内网网络连接时间与外网网络连接时间是否重叠;
第四检测模块,用于若存在所述内网网络连接时间与所述外网网络连接时间重叠的进程,则检测所述内网网络连接时间与所述外网网络连接时间重叠的进程是否为主动连接;
告警模块,用于若存在主动连接的进程,则获取目标进程信息发送告警提示。
7.如权利要求6所述的装置,其特征在于,还包括:
采集模块,用于通过日志采集装置获取所述目标设备的运行日志信息;
存储模块,用于将所述目标设备的运行日志信息存储在所述预设数据库。
8.如权利要求6所述的装置,其特征在于,所述匹配模块,具体用于:
从预设数据库中获取目标设备的运行日志信息,获取所述每一个进程的进程文件信息;
对所述进程文件信息进行哈希处理,生成每一个进程对应的哈希值;
判断所述每一个进程对应的哈希值是否存在所述预设进程白名单表中。
9.如权利要求6所述的装置,其特征在于,所述第二检测模块,具体用于:
获取存在内网网络连接的第二进程、所述第二进程对应的父进程和所述第二进程对应的子进程;
检测所述第二进程是否为预设外网网段类型;和/或,
检测所述第二进程对应的父进程是否为所述预设外网网段类型;和/或,
检测所述第二进程对应的子进程是否为所述预设外网网段类型。
10.如权利要求6所述的装置,其特征在于,还包括:
获取模块,用于获取主动连接的目标进程;
第五检测模块,用于检测所述目标进程的进程文件名称、进程文件哈希值、进程文件路径是否为浏览器进程或网页服务器进程;和/或,
第六检测模块,用于检测所述目标进程的网络连接协议是否均为预设协议。
11.一种计算机设备,其特征在于,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时,实现如权利要求1-5任一所述的网络连接检测方法。
12.一种非临时性计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1-5任一所述的网络连接检测方法。
CN202010218535.1A 2020-03-25 2020-03-25 网络连接检测方法、装置、电子设备和存储介质 Active CN111541648B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010218535.1A CN111541648B (zh) 2020-03-25 2020-03-25 网络连接检测方法、装置、电子设备和存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010218535.1A CN111541648B (zh) 2020-03-25 2020-03-25 网络连接检测方法、装置、电子设备和存储介质

Publications (2)

Publication Number Publication Date
CN111541648A CN111541648A (zh) 2020-08-14
CN111541648B true CN111541648B (zh) 2022-09-20

Family

ID=71976736

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010218535.1A Active CN111541648B (zh) 2020-03-25 2020-03-25 网络连接检测方法、装置、电子设备和存储介质

Country Status (1)

Country Link
CN (1) CN111541648B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113254305B (zh) * 2021-05-08 2022-08-02 山东英信计算机技术有限公司 一种显示测试机离线状态的方法、系统、设备和存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106453215A (zh) * 2015-08-13 2017-02-22 阿里巴巴集团控股有限公司 一种网络攻击的防御方法、装置及系统
CN106793156A (zh) * 2016-11-24 2017-05-31 宇龙计算机通信科技(深圳)有限公司 多系统终端及网络连接方法和装置
CN109766694A (zh) * 2018-12-29 2019-05-17 北京威努特技术有限公司 一种工控主机的程序协议白名单联动方法及装置

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100612452B1 (ko) * 2004-11-08 2006-08-16 삼성전자주식회사 악성 코드 탐지 장치 및 그 방법
CN104427523A (zh) * 2013-09-09 2015-03-18 中兴通讯股份有限公司 一种网络连接方法及装置
KR102475020B1 (ko) * 2015-05-05 2022-12-07 아이피얼라이브 아베 실시간 통신의 미디어 경로 설정
US10778775B2 (en) * 2016-10-25 2020-09-15 Cisco Technology, Inc. Control of network connected devices

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106453215A (zh) * 2015-08-13 2017-02-22 阿里巴巴集团控股有限公司 一种网络攻击的防御方法、装置及系统
CN106793156A (zh) * 2016-11-24 2017-05-31 宇龙计算机通信科技(深圳)有限公司 多系统终端及网络连接方法和装置
CN109766694A (zh) * 2018-12-29 2019-05-17 北京威努特技术有限公司 一种工控主机的程序协议白名单联动方法及装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
基于内核机制的非法连接监控研究与设计;钱廷发等;《计算机工程与设计》;20100328;第31卷(第6期);第1161-1165页 *

Also Published As

Publication number Publication date
CN111541648A (zh) 2020-08-14

Similar Documents

Publication Publication Date Title
US10356113B2 (en) Apparatus and method for detecting abnormal behavior
CN110602135B (zh) 网络攻击处理方法、装置以及电子设备
CN110336742B (zh) 信息发送方法、装置、计算机设备和存储介质
CN111541647B (zh) 安全检测方法、装置、存储介质及计算机设备
CN111541648B (zh) 网络连接检测方法、装置、电子设备和存储介质
CN112182579B (zh) 进程名单生成方法及装置、异常进程检测方法及装置
CN109743339B (zh) 电力厂站的网络安全监测方法和装置、计算机设备
US11330013B2 (en) Method and device for monitoring data communications
CN113556335A (zh) 车载总线安全测试方法和系统
US9991975B2 (en) Method and device for triggering specified operation
CN104461847A (zh) 数据处理程序检测方法及装置
CN108304402A (zh) 外链可用性监控方法和监控装置
CN109951368B (zh) 控制器局域网的防扫描方法、装置、设备及存储介质
KR20130128120A (ko) 가축 전염병 감시 방법
CN111752819A (zh) 一种异常监控方法、装置、系统、设备和存储介质
CN113938844B (zh) 网络连接监控方法、系统、计算机设备和存储介质
CN114422186A (zh) 一种攻击检测方法、装置、电子设备及存储介质
CN110098983B (zh) 一种异常流量的检测方法及装置
CN110750418B (zh) 一种信息处理方法、电子设备和信息处理系统
CN113127856A (zh) 网络安全运维管理方法、装置、计算设备及存储介质
CN114143088B (zh) 网络故障诊断方法、装置、设备及计算机可读存储介质
CN117238114B (zh) 基于物联网的建筑环境数据处理方法、系统及装置
CN111506446B (zh) 接口故障检测方法及服务器
CN115879115B (zh) 一种Web应用安全漏洞的检测方法及系统
CN113515507B (zh) 应用于大坝渗水检测的方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant