CN111669376B - 一种内网安全风险识别的方法和装置 - Google Patents
一种内网安全风险识别的方法和装置 Download PDFInfo
- Publication number
- CN111669376B CN111669376B CN202010460232.0A CN202010460232A CN111669376B CN 111669376 B CN111669376 B CN 111669376B CN 202010460232 A CN202010460232 A CN 202010460232A CN 111669376 B CN111669376 B CN 111669376B
- Authority
- CN
- China
- Prior art keywords
- intranet
- type
- current
- domain name
- judging whether
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Abstract
本发明提供了一种内网安全风险识别的方法和装置,所述方法包括以下步骤:S1:接收内网流量镜像;S2:识别当前内网流量类型,所述内网流量类型包括IP类型和ARP类型,若是IP类型则进行步骤S21:第一处理,若是ARP类型则进行步骤S22:第二处理;S3:根据内网流量的第一处理结果和第二处理结果进行综合分析,确定当前内网安全风险等级。上述方案通过识别内网流量类型,以内网行为、网卡状态来识别当前内网安全风险等级,在实现上不依赖于特征数据库,有效提升了风险判断的准确性,有利于大规模布署。
Description
技术领域
本发明涉及通讯领域,特别涉及一种内网安全风险识别的方法和装置。
背景技术
现有内网安全风险的识别,通常是基于主机侧的杀毒软件、HIPS(host intrusionprevent system,是主机侧的入侵阻断系统)及网络侧的IDS(intrusion detectionsystem,入侵检测系统)或IPS(intrusion prevent system,入侵阻断系统)来对网络传输进行监视,进而及时发现并阻断可疑的黑客入侵行为。上述方式对内网风险的识别,均是以特征识别为主的技术,在实现时高度依赖特征数据库,误判率较高,且对未知风险的识别存在困难,严重影响对真实风险的有效识别,同时主机侧的识别还需要安装客户端,存在着系统被侵入的安全隐患,难以大规模布署。
发明内容
为此,需要提供一种内网安全风险识别的技术方案,用以解决现有的内网安全等级识别方法高度依赖于特征数据库、误判率高等问题。
为实现上述目的,发明人提供了一种内网安全风险识别的方法,所述方法包括以下步骤:
S1:接收内网流量镜像;
S2:识别当前内网流量类型,所述内网流量类型包括IP类型和ARP类型,若是IP类型则进行步骤S21:第一处理,若是ARP类型则进行步骤S22:第二处理;
S3:根据内网流量的第一处理结果和第二处理结果进行综合分析,确定当前内网安全风险等级。
作为一种可选的实施例,步骤S22包括:判断是否存在ARP扫描行为,步骤S3包括:
S31:将是否存在ARP扫描行为的判断结果作为第一影响因子,以确定当前内网安全等级。
作为一种可选的实施例,步骤S21包括:
S211:判断当前IP类型是ICMP类型、TCP类型还是UDP类型:
若是ICMP类型,则进入步骤S212:判断是否存在ICMP扫描行为,并将是否存在ICMP扫描行为的判断结果作为第二影响因子,以确定当前内网安全等级;
若是UDP类型,则进入步骤S213:对内网流量进行协议分析,识别DNS应用,并提取内网对相关应用站点的访问数据;
若是TCP类型,则进入步骤S214:进行第三处理。
作为一种可选的实施例,步骤S214具体包括:
S2141:对内网流量进行协议分析,判断当前内网流量属于端口扫描、HTTP还是HTTPS协议;
若是端口扫描,则进入步骤S2142:判断是否存在端口扫描行为,并将是否存在端口扫描行为的判断结果作为第三影响因子,以确定当前内网安全等级;
若是HTTP或HTTPS协议,则进入步骤S2143:对TCP流量进行协议HTTP或HTTPS协议解析,并提取内网对相关应用站点的访问数据。
作为一种可选的实施例,步骤S2143中的访问数据包括内网访问网址和域名,步骤S2143之后包括:
对于内网访问网址和域名进行人工智能分析,判断当前内网的访问网址是否为异常网址,以及判断当前内网的域名是否为异常域名,并将内网访问地址和域名的判断结果作为第四影响因子,以确定当前内网安全等级。
作为一种可选的实施例,步骤S213中的访问数据包括内网访问网址和域名,步骤S213之后包括:
对于内网访问网址和域名进行人工智能分析,判断当前内网的访问网址是否为异常网址,以及判断当前内网的域名是否为异常域名,并将内网访问地址和域名的判断结果作为第四影响因子,以确定当前内网安全等级。
作为一种可选的实施例,步骤S3包括:
统计风险主机数量以及主机风险等级,并进行可视化呈现。
作为一种可选的实施例,所述方法包括:
对内网进行主动扫描,获取各主机的IP地址和MAC地址进行关联分析,并根据关联分析结果确定当前主机的风险等级。
作为一种可选的实施例,所述关联分析具体包括:
依次判断当前主机是否存在ARP扫描、ICMP扫描、端口扫描行为,判断当前主机网卡是否处于混杂模式以及判断当前主机是否与DGA网络进行连接,并根据各个判断识别结果确定当前主机的风险等级。
发明人还提供了一种内网安全风险识别的装置,所述装置用于执行如前文所述的方法。
区别于现有技术,本发明提供了一种内网安全风险识别的方法和装置,所述方法包括以下步骤:S1:接收内网流量镜像;S2:识别当前内网流量类型,所述内网流量类型包括IP类型和ARP类型,若是IP类型则进行步骤S21:第一处理,若是ARP类型则进行步骤S22:第二处理;S3:根据内网流量的第一处理结果和第二处理结果进行综合分析,确定当前内网安全风险等级。上述方案通过识别内网流量类型,以内网行为、网卡状态来识别当前内网安全风险等级,在实现上不依赖于特征数据库,有效提升了风险判断的准确性,有利于大规模布署。
附图说明
图1是本发明一实施例涉及的内网安全风险识别的方法的流程图;
图2为本发明另一实施例涉及的内网安全风险识别的方法的流程图;
图3为本发明另一实施例涉及的内网安全风险识别的方法的流程图。
具体实施方式
为详细说明技术方案的技术内容、构造特征、所实现目的及效果,以下结合具体实施例并配合附图详予说明。
如图1所示,本申请提供了一种内网安全风险识别的方法,所述方法包括以下步骤:
S1:接收内网流量镜像。
流量镜像是指将流量数据转移一份至指定端口,从而实现对内网流量的实时监控分析。
S2:识别当前内网流量类型,所述内网流量类型包括IP类型和ARP类型,若是IP类型则进行步骤S21:第一处理,若是ARP类型则进行步骤S22:第二处理。
计算机在连接互联网的过程中,ISP(网络服务商)会给每台计算机自动分配一个IP,IP相当于计算机的地址,可以用来定位,计算机与计算机之间的通讯可以通过IP进行连接。而IP流量又称网站流量,是指某台计算机访问某个网站而产生的统计数据,流量越大,表示访客越多。
ARP(Address Resolution Protocol,地址解析协议),即是根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时将包含目标IP地址的ARP请求广播到局域网络上的所有主机,并接收返回消息,以此确定目标的物理地址;收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间,下次请求时直接查询ARP缓存以节约资源。地址解析协议是建立在网络中各个主机互相信任的基础上的,局域网络上的主机可以自主发送ARP应答消息,其他主机收到应答报文时不会检测该报文的真实性就会将其记入本机ARP缓存;由此攻击者就可以向某一主机发送伪ARP应答报文,使其发送的信息无法到达预期的主机或到达错误的主机,这就构成了一个ARP欺骗。ARP命令可用于查询本机ARP缓存中IP地址和MAC地址的对应关系、添加或删除静态对应关系等。相关协议有RARP、代理ARP。NDP用于在IPv6中代替地址解析协议。
通过对不同类型的内网流量先进行识别区分,有利于后续分门别类的进行分析处理,进而确定当前内网整体的安全风险等级。
S3:根据内网流量的第一处理结果和第二处理结果进行综合分析,确定当前内网安全风险等级。
在某些实施例中,步骤S3包括:统计风险主机数量以及主机风险等级,并进行可视化呈现。所述风险主机是指风险等级超过设定的预设等级的主机,主机的风险等级可以根据其对应的内网流量的第一处理结果和第二处理结果进行综合分析确定,一般的,如果某一主机存在着异常访问行为越多,则该主机对应的风险等级越高。所述可视化呈现是指通过文字、图表、音频、视频等形式在显示屏上对于各主机的风险统计结果进行呈现,从而使得监控人员可以直观的获知当前内网的风险安全情况。
上述方案通过识别内网流量类型,以内网行为、网卡状态来识别当前内网安全风险等级,在实现上不依赖于特征数据库,有效提升了风险判断的准确性,有利于大规模布署。
在某些实施例中,步骤S22包括:判断是否存在ARP扫描行为,步骤S3包括:S31:将是否存在ARP扫描行为的判断结果作为第一影响因子,以确定当前内网安全等级。
ARP协议是根据目标主机的IP地址获取对应的MAC地址。如果目标主机存在,将返回MAC地址。利用这一点,用户可以基于ARP协议对目标主机进行扫描,来判断目标主机是否启用。如果目标主机未启动,则其风险比重比启动的目标主机的风险等级低,通过将是否存在ARP扫描行为的判断结果作为第一影响因子,有利于提高内网安全等级确定的准确性。
在某些实施例中,步骤S21包括:S211:判断当前IP类型是ICMP类型、TCP类型还是UDP类型:若是ICMP类型,则进入步骤S212:判断是否存在ICMP扫描行为,并将是否存在ICMP扫描行为的判断结果作为第二影响因子,以确定当前内网安全等级;若是UDP类型,则进入步骤S213:对内网流量进行协议分析,识别DNS应用,并提取内网对相关应用站点的访问数据;若是TCP类型,则进入步骤S214:进行第三处理。
ICMP(Internet Control Message Protocol,Internet控制报文协议),它是TCP/IP协议簇的一个子协议,用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据,但是对于用户数据的传递起着重要的作用。ICMP使用IP的基本支持,就像它是一个更高级别的协议,但是,ICMP实际上是IP的一个组成部分,必须由每个IP模块实现。
ICMP扫描技术主要是利用ICMP协议最基本的用途:报错。根据网络协议,如果按照协议出现了错误,那么接收端将产生一个ICMP的错误报文。这些错误报文并不是主动发送的,而是由于错误,根据协议自动产生。当IP数据报出现checksum和版本的错误的时候,目标主机将抛弃这个数据报,如果是checksum出现错误,那么路由器就直接丢弃这个数据报了。有些主机比如AIX、HP-UX等,是不会发送ICMP的Unreachable数据报的。
UDP是User Datagram Protocol的简称,中文名是用户数据报协议,是OSI(OpenSystem Interconnection,开放式系统互联)参考模型中一种无连接的传输层协议,提供面向事务的简单不可靠信息传送服务,IETFRFC768是UDP的正式规范。UDP在IP报文的协议号是17。UDP是OSI参考模型中一种无连接的传输层协议,它主要用于不要求分组顺序到达的传输中,分组传输顺序的检查与排序由应用层完成,提供面向事务的简单不可靠信息传送服务。UDP协议基本上是IP协议与上层协议的接口。UDP协议适用端口分别运行在同一台设备上的多个应用程序。
UDP提供了无连接通信,且不对传送数据包进行可靠性保证,适合于一次传输少量数据,UDP传输的可靠性由应用层负责。常用的UDP端口号有:53(DNS)、69(TFTP)、161(SNMP),使用UDP协议包括:TFTP、SNMP、NFS、DNS、BOOTP。UDP报文没有可靠性保证、顺序保证和流量控制字段等,可靠性较差。但是正因为UDP协议的控制选项较少,在数据传输过程中延迟小、数据传输效率高,适合对可靠性要求不高的应用程序,或者可以保障可靠性的应用程序,如DNS、TFTP、SNMP等。
UDP端口扫描是通过普通数据包进行的,也是用于扫描对方端口上是否有程序在运行,就像上面所说的,如果普通个人机器上存在这样的端口,那一般也是系统漏洞。但对于UDP来说,不存在监听这个概念,因为它是无连接不可靠的协议,发送数据包过去以后,通常也不会有任何的对等回应。因此,UDP端口扫描主要是检测是否存在ICMP端口不可达数据包。若该数据包出现,则说明对方这一端口上没有程序在监听,或者说该端口不存在漏洞,否则就说明该端口上有程序在监听,或者说存在漏洞。
域名系统(Domain Name System缩写DNS,Domain Name被译为域名)是因特网的一项核心服务,它作为可以将域名和IP地址相互映射的一个分布式数据库,能够使人更方便的访问互联网,而不用去记住能够被机器直接读取的IP数串。域名系统(Domain NameSystem,DNS)是Internet上解决网上机器命名的一种系统。Internet上当一台主机要访问另外一台主机时,必须首先获知其地址,TCP/IP中的IP地址是由四段以“.”分开的数字组成,记起来总是不如名字那么方便,所以,就采用了域名系统来管理名字和IP的对应关系。
在某些实施例中,步骤S214具体包括:S2141:对内网流量进行协议分析,判断当前内网流量属于端口扫描、HTTP还是HTTPS协议;若是端口扫描,则进入步骤S2142:判断是否存在端口扫描行为,并将是否存在端口扫描行为的判断结果作为第三影响因子,以确定当前内网安全等级;若是HTTP或HTTPS协议,则进入步骤S2143:对TCP流量进行协议HTTP或HTTPS协议解析,并提取内网对相关应用站点的访问数据。
在某些事实里中,步骤S2143中的访问数据包括内网访问网址和域名,步骤S2143之后包括:对于内网访问网址和域名进行人工智能分析,判断当前内网的访问网址是否为异常网址,以及判断当前内网的域名是否为异常域名,并将内网访问地址和域名的判断结果作为第四影响因子,以确定当前内网安全等级。
优选的,S213中的访问数据包括内网访问网址和域名,步骤S213之后包括:对于内网访问网址和域名进行人工智能分析,判断当前内网的访问网址是否为异常网址,以及判断当前内网的域名是否为异常域名,并将内网访问地址和域名的判断结果作为第四影响因子,以确定当前内网安全等级。
具体的,可以将内网访问网址和域名输入到训练好的深度学习模型中,深度学习模型对内网访问网址和域名的各字段进行综合分析,从而判断当前访问地址和域名是否属于异常网址或域名。
端口扫描是指某些别有用心的人发送一组端口扫描消息,试图以此侵入某台计算机,并了解其提供的计算机网络服务类型(这些网络服务均与端口号相关)。端口扫描是计算机解密高手喜欢的一种方式。攻击者可以通过它了解到从哪里可探寻到攻击弱点。实质上,端口扫描包括向每个端口发送消息,一次只发送一个消息。接收到的回应类型表示是否在使用该端口并且可由此探寻弱点。扫描器是一种自动检测远程或本地主机安全性弱点的程序,通过使用扫描器你可以不留痕迹的发现远程服务器的各种TCP端口的分配及提供的服务和它们的软件版本!这就能让我们间接的或直观的了解到远程主机所存在的安全问题。
HTTP(HyperText Transfer Protocol)即超文本传输协议,是一种详细规定了浏览器和万维网服务器之间互相通信的规则,它是万维网交换信息的基础,它允许将HTML(超文本标记语言)文档从Web服务器传送到Web浏览器。HTTP协议目前最新版的版本是1.1,HTTP是一种无状态的协议,无状态是指Web浏览器与Web服务器之间不需要建立持久的连接,这意味着当一个客户端向服务器端发出请求,然后Web服务器返回响应(Response),连接就被关闭了,在服务器端不保留连接的有关信息。也就是说,HTTP请求只能由客户端发起,而服务器不能主动向客户端发送数据。HTTP是一个基于TCP/IP通信协议来传递数据(HTML文件,图片文件,查询结果等)。
HTTPS是在HTTP协议上的进一步改进,全称:HyperTextTransfer Protocol overSecureSocket Layer,是以安全为目标的HTTP通道,在HTTP的基础上通过传输加密和身份认证保证了传输过程的安全性。HTTPS在HTTP的基础下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。HTTPS存在不同于HTTP的默认端口及一个加密/身份验证层(在HTTP与TCP之间)。这个系统提供了身份验证与加密通讯方法。它被广泛用于万维网上安全敏感的通讯,例如交易支付等方面。
在实际应用过程中,可以事先对第一影响因子、第二影响因子、第三影响因子和第四影响因子配置一定的权重值,当分析模块接收到各个影响因子对应的判断结果后,对于各个判断结果综合进行分析(将判读结果乘以对应的权重值占比后,再累加各个权重结果),进而综合分析出当前内网对应的安全风险等级,由于在分析风险安全等级时充分考虑了网络行为、主机网卡状态等因素,因而可以使得分析结果更加准确。
在某些实施例中,所述方法包括:对内网进行主动扫描,获取各主机的IP地址和MAC地址进行关联分析,并根据关联分析结果确定当前主机的风险等级。优选的,所述关联分析具体包括:依次判断当前主机是否存在ARP扫描、ICMP扫描、端口扫描行为,判断当前主机网卡是否处于混杂模式以及判断当前主机是否与DGA网络进行连接,并根据各个判断识别结果确定当前主机的风险等级。
混杂模式(英语:promiscuous mode)是电脑网络中的术语。是指一台机器的网卡能够接收所有经过它的数据流,而不论其目的地址是否是它。
一般计算机网卡都工作在非混杂模式下,此时网卡只接受来自网络端口的目的地址指向自己的数据。当网卡工作在混杂模式下时,网卡将来自接口的所有数据都捕获并交给相应的驱动程序。网卡的混杂模式一般在网络管理员分析网络数据作为网络故障诊断手段时用到,同时这个模式也被网络黑客利用来作为网络数据窃听的入口。在Linux操作系统中设置网卡混杂模式时需要管理员权限。在Windows操作系统和Linux操作系统中都有使用混杂模式的抓包工具,比如著名的开源软件Wireshark。
简言之,系统除了实时对各主机的网络流量进行监控分析之外,还可以对于内网中的各主机进行主动扫描,从而判断各主机的网络访问行为和网卡情况,进而统计分析出当前内网的整体安全等级。
本发明还提供了一种内网安全风险识别的装置,所述装置用于执行如前文任一项所述的方法。
如图2所示,为本发明另一实施例涉及的内网安全风险识别的方法的流程图。
步骤S100:接收内网量镜像;
步骤S110:兴趣流识别;
并行地,步骤S120:主动扫描。具体包括:利用扫描技术,对内部网进行扫描,并把扫描得到的结果,包括IP地址及MAC地址送入S130的分析摸块。
步骤S130:异常网卡识别,具体包括:基于S120的数据来判断主机网卡是否处于混杂模式,如果是,把结果送入S140的综合数据分析步骤。
步骤S140:综合数据分析,具体包括:此步骤对于S110及S120送过来的数据,再做关联分析,比如某个主机,是否存在ARP扫描、ICMP扫描、端口扫描行为?是否在与DGA的僵尸网络进行连接?其网卡状态是否为混杂模式,并根据该主机上述行为出现的类型数量,判断风险等级。
步骤S150:内网安全风险识别,具体包括:基于S140综合分析的结果,对内网安全风险进行统计分析,比如确认风险主机数量及主机排行,风险行为数量及排行,同时准备数据接口,根据实际需要对接外部信息,比如相关风险主机的使用者、用途等内容,也可以当第三方系统需要风险主机信息时提供相应数据,并提可视化的展现。
如图3所示,为本发明另一实施例涉及的内网安全风险识别的方法的流程图。图3是对于步骤S100、S110至S140的进一步展开,具体的,所述方法包括以下步骤:
步骤S200:接收内网流量镜像;
步骤S210:判断流量类型是否是IP还是ARP(Address Resolution Protocol,是根据IP地址获取物理地址的一个网络协议),如果是ARP直接进行步骤S220进行ARP扫描行为识别,并判断是否存在ARP的扫描行为,如果是IP进入步骤S230;
步骤S220:进行ARP扫描行为的识别后,把数据送入S310步骤的综合数据分析模块,用来结合其他模块数据进行下一步多维度的数据分析;
步骤S230:判断IP流量是ICMP(Internet Control Message Protocol,Internet控制报文协议,它是TCP/IP协议簇的一个子协议,用于在IP主机、路由器之间传递控制消息)、TCP还是UDP;
如果是ICMP,直接进入步骤S250进行ICMP的扫描识别,用以判断是否存在ICMP的扫描行为;如果是UDP,则进入S240进行DNS协议分析(Domain Name System缩写DNS,DomainName被译为域名,是因特网的一项核心服务,它作为可以将域名和IP地址相互映射的一个分布式数据库,能够使人更方便的访问互联网,而不用去记住能够被机器直接读取的IP数串)。
步骤S240:对UDP流量进行DNS协议分析,识别DNS应用(UDP数据流有很多应用类型,而DNS只是其中一种,该步骤就是对UDP的流量进行DNS分析,识别是否是DNS应用),然后进入步骤S290;
步骤S250:识别为ICMP扫描后,把数据送入综合数据分析摸块;
步骤S260:判断是端口扫描还是http或https相关应用,如果是端口扫描,则进入步骤270,进行端口识别,如果是http或https相关应用,则进入步骤S280;
步骤S270:识别为端口扫描行为后,把数据送入综合数据分析模块;
步骤S280:对TCP流量进行HTTP及HTTPS协议分析(对S260步骤确认的流量,进行http及https的协议解码,用以解读数据内容),然后进入步骤S290;
步骤S290:对于步骤S240、S280提交过来的数据进行分析,提取内网对站点的访问数据,然后进入步骤S300;
步骤S300:此步骤对于S290送过来的内网访问网址及域名,进行深度学习,以识别DGA(Domain Generation Algorithm,域名生成算法,是一种利用随机字符来生成C&C域名,从而逃避域名黑名单检测的技术手段,这种域名对应的主机通常为僵尸主机)算法产生的域名,如果确认为DGA域名,就提交到S310模块;
步骤S310,此步骤对S220,S250,S270,S240及S300提交过来的数据,进行关联分析,比如某个主机,是否存在ARP扫描、ICMP扫描、端口扫描行为?是否在与DGA的僵尸网络进行连接?并根据该主机上述行为出现的类型数量,判断风险等级。
本发明提供的内网安全风险识别的方法和装置,不依赖特征库,通过网络行为方式、识别内网风险行为,不仅可以识别已知风险,还可以识别未知的安全风险。通过对网络行为安全性的判断,可以精确识别到对内部网络构成的风险。同时布署方式为傍路,对系统无侵入,不影响网络现有结构,布置简单,成本低,可以快速的大规模布署。
需要说明的是,尽管在本文中已经对上述各实施例进行了描述,但并非因此限制本发明的专利保护范围。因此,基于本发明的创新理念,对本文所述实施例进行的变更和修改,或利用本发明说明书及附图内容所作的等效结构或等效流程变换,直接或间接地将以上技术方案运用在其他相关的技术领域,均包括在本发明的专利保护范围之内。
Claims (2)
1.一种内网安全风险识别的方法,其特征在于,所述方法包括以下步骤:
S1:接收内网流量镜像;
S2:识别当前内网流量类型,所述内网流量类型包括IP类型和ARP类型,若是IP类型则进行步骤S21;若是ARP类型则进行步骤S22:判断是否存在ARP扫描行为,将是否存在ARP扫描行为的判断结果作为第一影响因子,以确定当前内网安全等级;
步骤S21包括:
S211:判断当前IP类型是ICMP类型、TCP类型还是UDP类型:
若是ICMP类型,则进入步骤S212:判断是否存在ICMP扫描行为,并将是否存在ICMP扫描行为的判断结果作为第二影响因子,以确定当前内网安全等级;
若是UDP类型,则进入步骤S213:对内网流量进行协议分析,识别DNS应用,并提取内网对相关应用站点的访问数据;步骤S213中的访问数据包括内网访问网址和域名,步骤S213之后包括: 对于内网访问网址和域名进行人工智能分析,判断当前内网的访问网址是否为异常网址,以及判断当前内网的域名是否为异常域名,并将内网访问地址和域名的判断结果作为第四影响因子,以确定当前内网安全等级;
若是TCP类型,则进入步骤S214,步骤S214包括:
S2141:对内网流量进行协议分析,判断当前内网流量属于端口扫描、HTTP还是HTTPS协议;
若是端口扫描,则进入步骤S2142:判断是否存在端口扫描行为,并将是否存在端口扫描行为的判断结果作为第三影响因子,以确定当前内网安全等级;
若是HTTP或 HTTPS协议,则进入步骤S2143:对TCP流量进行协议HTTP或 HTTPS协议解析,并提取内网对相关应用站点的访问数据;
步骤S2143中的访问数据包括内网访问网址和域名,步骤S2143之后包括:
对于内网访问网址和域名进行人工智能分析,判断当前内网的访问网址是否为异常网址,以及判断当前内网的域名是否为异常域名,并将内网访问地址和域名的判断结果作为第四影响因子,以确定当前内网安全等级;
S3:根据内网流量基于步骤S21的执行结果和基于步骤S22的执行结果进行综合分析,确定当前内网安全风险等级;
所述方法还包括:
对内网进行主动扫描,获取各主机的IP地址和MAC地址进行关联分析,并根据关联分析结果确定当前主机的风险等级;
所述关联分析具体包括:
依次判断当前主机是否存在ARP扫描、ICMP扫描、端口扫描行为,判断当前主机网卡是否处于混杂模式以及判断当前主机是否与DGA网络进行连接,并根据各个判断识别结果确定当前主机的风险等级。
2.如权利要求1所述的内网安全风险识别的方法,其特征在于,步骤S3包括:
统计风险主机数量以及主机风险等级,并进行可视化呈现。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010460232.0A CN111669376B (zh) | 2020-05-27 | 2020-05-27 | 一种内网安全风险识别的方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010460232.0A CN111669376B (zh) | 2020-05-27 | 2020-05-27 | 一种内网安全风险识别的方法和装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111669376A CN111669376A (zh) | 2020-09-15 |
CN111669376B true CN111669376B (zh) | 2022-05-03 |
Family
ID=72384858
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010460232.0A Active CN111669376B (zh) | 2020-05-27 | 2020-05-27 | 一种内网安全风险识别的方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111669376B (zh) |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103051617B (zh) * | 2012-12-18 | 2015-09-02 | 北京奇虎科技有限公司 | 识别程序的网络行为的方法、装置及系统 |
CN107666473B (zh) * | 2016-07-29 | 2020-07-17 | 深圳市信锐网科技术有限公司 | 一种攻击检测的方法及控制器 |
CN107995162A (zh) * | 2017-10-27 | 2018-05-04 | 深信服科技股份有限公司 | 网络安全感知系统、方法及可读存储介质 |
CN109995740A (zh) * | 2018-01-02 | 2019-07-09 | 国家电网公司 | 基于深度协议分析的威胁检测方法 |
CN110611683A (zh) * | 2019-09-29 | 2019-12-24 | 国家计算机网络与信息安全管理中心 | 一种攻击源告警的方法和系统 |
-
2020
- 2020-05-27 CN CN202010460232.0A patent/CN111669376B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
CN111669376A (zh) | 2020-09-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8042182B2 (en) | Method and system for network intrusion detection, related network and computer program product | |
Deri et al. | Effective traffic measurement using ntop | |
US10771500B2 (en) | System and method of determining DDOS attacks | |
US7302480B2 (en) | Monitoring the flow of a data stream | |
US8756697B2 (en) | Systems and methods for determining vulnerability to session stealing | |
US8635697B2 (en) | Method and system for operating system identification in a network based security monitoring solution | |
RU2495486C1 (ru) | Способ анализа и выявления вредоносных промежуточных узлов в сети | |
US20100162350A1 (en) | Security system of managing irc and http botnets, and method therefor | |
US20090126014A1 (en) | Methods and systems for analyzing security events | |
Naik et al. | D-FRI-Honeypot: A secure sting operation for hacking the hackers using dynamic fuzzy rule interpolation | |
Lee et al. | Implementation and vulnerability test of stealth port scanning attacks using ZMap of censys engine | |
US11979374B2 (en) | Local network device connection control | |
KR102211503B1 (ko) | 유해 ip 판단 방법 | |
Prieto et al. | Botnet detection based on DNS records and active probing | |
CN111669376B (zh) | 一种内网安全风险识别的方法和装置 | |
KR20170095704A (ko) | 네트워크 프린터의 취약점 점검 방법 및 시스템 | |
Dayıoglu et al. | Use of passive network mapping to enhance signature quality of misuse network intrusion detection systems | |
JP3986871B2 (ja) | アンチプロファイリング装置およびアンチプロファイリングプログラム | |
EP3432544B1 (en) | System and method of determining ddos attacks | |
Najafabadi | Machine Learning Algorithms for the Analysis and Detection of Network Attacks | |
Vlasenko et al. | Methods of counteraction of bypassing two-factor authentication using reverse proxy | |
Hu et al. | Characterizing Privacy Leakage in Encrypted DNS Traffic | |
Kumar et al. | Analysing Cyber Security Vulnerabilities using Click Jacking and HostHeader Injection | |
Alshalah et al. | Artificial Intelligence Model for Network Security Analysis | |
Salomonsson | Exploring NAT host counting using network traffic flows |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |