CN111935167A - 用于工控的违规外联检测方法、装置、设备及存储介质 - Google Patents
用于工控的违规外联检测方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN111935167A CN111935167A CN202010837228.1A CN202010837228A CN111935167A CN 111935167 A CN111935167 A CN 111935167A CN 202010837228 A CN202010837228 A CN 202010837228A CN 111935167 A CN111935167 A CN 111935167A
- Authority
- CN
- China
- Prior art keywords
- compliance
- information
- baseline
- library
- base line
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/21—Design, administration or maintenance of databases
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/23—Updating
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/24—Querying
- G06F16/245—Query processing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Databases & Information Systems (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- Data Mining & Analysis (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Computational Linguistics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开一种用于工控的违规外联检测方法、装置、设备及存储介质。违规外联检测方法,包括:获取已接收的数据报文的操作信息,操作信息至少包括IP地址信息、域名信息、应用层协议信息和应用类型信息中的任一种;将操作信息与用于违规外联检测的合规基线库进行匹配,所述合规基线库至少包括IP地址合规基线、域名合规基线、协议合规基线以及应用合规基线中的任一种;当所述操作信息包括的任一种或多种信息与所述合规基线库中的对应合规基线不匹配时,确定发生违规外联操作。本发明无需占用终端设备资源以及任何网络带宽资源,部署更加简单,且合规基线库的配置更具个性化,可操作性强,保证了违规检测的范围更全面、可控性更高。
Description
技术领域
本发明涉及网络安全领域,尤其涉及一种用于工控的违规外联检测方法、装置、设备及存储介质。
背景技术
随着我国政府上网工程的不断开展,计算机及网络泄密案件正逐年增加,信息安全现状非常严峻。为了提高内网的安全性,禁止内部网络与互联网连接,采取物理隔离或逻辑隔离的方式进行控制,从而减小来自互联网的安全威胁。但是,常常会有缺乏安全意识的员工在不断开与内部网络连接的情况下,将终端接入互联网,产生非法外联。信息安全等级保护2.0对边界防护提出了明确的要求,即应能够对应能够对非授权设备私自联到内部网络的行为进行检查或限制,应能够对内部用户非授权联到外部网络的行为进行检查或限制。在工控领域,由于行业自身的封闭性、特殊性,边界安全防护显得尤为重要,一旦出现非法外联行为,可能就会对工业生产造成巨大经济损失。
目前,在工控领域,传统的非法外联检测系统一般采用C/S架构或者双机探测。其中,在C/S架构下即给每台工控机安装主机卫士客户端,占用客户端资源,且此方式部署实施非常困难,同时需要考虑兼容性等一系列问题。双机探测方式采用内网机周期性发送探测包,通过在外网机上是否能收到被检测终端的响应报文来判断外联,该方式受防火墙等安全产品限制较大,同时扫描周期太大容易漏报,太小又会占用较大的网络带宽。更严重的是,工控行业的机器一般比较老旧,网络设备比较脆弱,增加一个检测的设备到网络中,需要占用现有的网络资源。所以很多工控场景明确要求,不允许检测设备占用网络资源,不允许检测设备与被检测的工控终端有报文交互。
发明内容
本发明提供一种用于工控的违规外联检测方法、装置、设备及存储介质,用以解决上述技术问题,在不占用资源的前提下,检测违规外联行为。
本发明提供的一种违规外联检测方法,适用于工控领域,包括:
获取已接收的数据报文的操作信息,所述操作信息至少包括IP地址信息、域名信息、应用层协议信息和应用类型信息中的任一种;
将所述操作信息与用于违规外联检测的合规基线库进行匹配,所述合规基线库至少包括IP地址合规基线、域名合规基线、协议合规基线以及应用合规基线中的任一种;
当所述操作信息包括的任一种或多种信息与所述合规基线库中的对应合规基线不匹配时,确定发生违规外联操作。
本发明还提供一种用于违规外联检测的合规基线库的生成方法,包括:
确定预先配置的合规基线库对应的时间范围;
在所述时间范围内,每当接收到一条数据报文时,获取所述数据报文的操作信息,所述操作信息至少包括IP地址信息、域名信息、应用层协议信息和应用类型信息中的任一种;
根据所述操作信息生成一条或多条合规基线;
使用所述时间范围内生成的所有合规基线,构建或更新合规基线库。
本发明还提供一种违规外联检测装置,包括:
获取模块,用于获取已接收的数据报文的操作信息,所述操作信息至少包括IP地址信息、域名信息、应用层协议信息和应用类型信息中的任一种;
匹配模块,用于将所述操作信息与预先获取的合规基线库进行匹配,所述合规基线库至少包括IP地址合规基线、域名合规基线、协议合规基线以及应用合规基线中的任一种;
检测模块,用于在所述操作信息包括的任一种或多种信息与所述合规基线库中的对应合规基线不匹配时,确定发生违规外联操作。
本发明还提供一种用于违规外联检测的合规基线库的生成装置,包括:
确定模块,用于确定预先配置的合规基线库对应的时间范围;
获取模块,用于在所述时间范围内,每当接收到一条数据报文时,获取所述数据报文的操作信息,所述操作信息至少包括IP地址信息、域名信息、应用层协议信息和应用类型信息中的任一种;
生成模块,用于根据所述操作信息生成一条或多条合规基线;
合规基线库构建更新模块,用于使用所述时间范围内生成的所有合规基线,构建或更新合规基线库。
本发明还提供一种违规外联检测设备,包括:处理器、存储器以及存储在所述存储器上并可在所述处理器上运行的计算机程序;
其中,所述处理器运行所述计算机程序时实现上述的违规外联检测方法。
本发明还提供一种用于违规外联检测的合规基线库的生成设备,包括:处理器、存储器以及存储在所述存储器上并可在所述处理器上运行的计算机程序;
其中,所述处理器运行所述计算机程序时实现上述用于违规外联检测的合规基线库的生成。
本发明还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序可被执行上述的违规外联检测方法,或用于违规外联检测的合规基线库的生成方法。
本发明摒弃了工控行业中传统非法外联行为的检查模式,以预先构建的合规基线库为基础,进行流量分析从而实现违规外联检测。与工控行业中传统非法外联行为的检测模式相比,本发明进行的流量分析无需在终端设备或应用系统中部署任何程序,即无需占用终端设备资源以及任何网络带宽资源。且本发明的检测方案的部署更加简单,无需改变现有专用网的网络结构,不会对整体网络的现有环境造成任何影响。这样,对于用户而言,整个违规检测操作可以达到用户无感知的效果。另外,预先构建的合规基线库可以由用户自主配置,因此,合规基线库的配置更具个性化,可操作性强。在违规检测过程中,合规基线库还可以进行更新,从而保证违规检测的范围更全面、可控性更高。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种违规外联检测方法的流程图;
图2为本发明实施例提供的一种用于违规外联检测的合规基线库的生成方法的流程图;
图3(a)为本发明实施例提供的一种违规外联检测方法的详细流程图;
图3(b)为图3(a)所示方法中构建合规基线库的详细流程图;
图4为本发明实施例提供的一种违规外联检测装置的结构示意图;
图5为本发明实施例提供的一种用于违规外联检测的合规基线库的生成装置的结构示意图;
图6为本发明实施例提供的一种可执行违规外联检测方法或用于违规外联检测的合规基线库的生成方法的装置的结构示意图;
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为使本发明的技术方案更加清楚,以下结合附图对本发明的实施例进行详细说明。
图1为本发明实施例提供的一种违规外联检测方法的流程图。如图1所示,本实施例的方法包括如下步骤:
步骤S11,获取已接收的数据报文的操作信息,操作信息至少包括IP地址信息、域名信息、应用层协议信息和应用类型信息中的任一种;
其中,获取数据报文的操作信息的方式可以包括多种。例如,可以对数据报文进行流量解析,从而得到数据报文的五元组信息。其中,本实施例中数据报文的IP地址信息包括,数据报文的五元组信息中的源IP地址和/或目的IP地址。而根据数据报文的五元组信息中源端口和目的端口可确定出数据报文的应用协议信息。又如,根据数据报文对应的访问域名即可确定数据报文的域名信息。又如,可以通过数据报文中的关联字信息确定出数据报文的应用协议信息。由此描述可知,步骤S11,对接收的数据报文进行解析,获得的数据报文的操作信息表示出了当前流量操作的各种信息,从而确定出用户行为。即用户针对哪些IP地址进行了操作,对哪些域名进行了访问,用户的操作涉及了哪些应用协议,或者使用了哪些应用等。
步骤S12,将操作信息与用于违规外联检测的合规基线库进行匹配,合规基线库至少包括IP地址合规基线、域名合规基线、协议合规基线以及应用合规基线中的任一种;
其中,IP地址合规基线指示,合规操作中所涉及的所有IP地址的集合。
域名合规基线指示,合规操作中所涉及的所有访问域名的集合。
协议合规基线指示,合规操作中所涉及的所有应用层协议的集合。
应用合规基线指示,合规操作中所涉及的应用类型的集合。
具体地,将操作信息与合规基线库进行匹配的过程如下:
操作信息中包括IP地址信息时,从合规基线库中的IP地址合规基线中查询该IP地址信息,若查询到该IP地址信息,则可以确定操作信息中的IP地址信息与合规基线库中的IP地址合规基线相匹配;
操作信息中包括域名信息时,从合规基线库中的域名合规基线中查询该域名信息,若查询到该域名信息,则可以确定操作信息中的域名信息与合规基线库中的域名合规基线相匹配;
操作信息中包括应用层协议信息时,从合规基线库中的协议合规基线中查询该应用层协议信息,若查询到该应用层协议信息,则可以确定操作信息中的应用层协议信息与合规基线库中的协议基线相匹配;
操作信息中包括应用类型信息时,从合规基线库中的应用合规基线中查询该应用类型信息,若查询到应用类型信息,确定操作信息中的应用类型信息与合规基线库中的应用合规基线相匹配。
步骤S13,若操作信息中至少一种信息与合规基线库中的对应合规基线不匹配时,确定发生违规外联操作。
其中,用于违规外联检测的合规基线库中包含了一种或多种合规基线,利用这些合规基线的集合定义了合规操作的范围。即,不在合规基线库所指示的范围内进行的操作,均认为是违规外联操作。本实施例中,合规基线库可以是根据内网管理的需求预先构建的,也可以是实时获取到的。实时获取的途径可以有多种,例如,通过第三方平台可以实时获取到的合规基线库可以是根据工控行业内通用的合规操作的构建的。其中,IP地址合规基线包括合规操作涉及的所有IP地址(包括某个操作的源IP地址和/或目的IP地址)。域名合规基线包括合规操作涉及的所有访问域名。协议合规基线包括合规操作涉及的所有应用层协议。应用合规基线包括合规操作涉及的所有应用。由此可见,本实施例利用合规基线库区分合规操作和违规操作,无论预先构建还是实时获取合规基线库时,该合规基线库只会占用少量的存储空间资源,与工控行业的传统的外联检测方案相比,大大降低了外联检测对存储资源的占用,并完全省去了外联检测对网络资源的占用,从而降低了外联检测对现有网络的影响。
上述步骤S13中,若操作信息包括的任一种或多种信息与合规基线库中的对应合规基线不匹配,表明接收到的数据报文对应的当前操作不属于合规操作的范围,从而可确定发生了违规外联操作。可见,本实施例利用数据报文的操作信息与合规基线库的匹配结果,即可确定当前操作是否属于违规外联操作,这种方案无需在客户端或系统侧安装任何程序,即不占用客户端资源,部署实施非常简单。且无需考虑不同客户端之间的系统兼容问题等。客户端与服务器侧无需进行报文检测,因而完全不占用任何网络资源。
其中,本实施例中,步骤S103中确定违规外联操作时,可以根据操作信息与合规基线库的不同匹配程度确定违规外联操作的检测要求。即操作信息包含的信息中,与合规基线库的不匹配的数量越少,表示违规外联操作的检测要求越高,与合规基线库的不匹配的数量越多,表示违规外联操作的检测要求越低。例如,当操作信息包括的任一种信息与合规基线库中的对应合规基线不匹配,确定发生违规外联操作时,表示当前的违规操作可能违反了部分合规基线的限定。此时违规外联操作的检测要求最高。例如,数据报文的操作信息所涉及的IP地址与IP地址合规基线不匹配,此时,即使操作信息所涉及的应用层协议或访问域名与合规基线库中对应的合规基线相匹配,依然会认为当前数据报文对应的用户操作属于违规外联操作。对应的,当操作信息包括的所有信息与合规基线库中的对应合规基线不匹配,确定发生违规外联操作时,表示当前的违规操作完全违反了所有合规基线的限定。此时违规外联操作的检测要求最低。即,仅当操作信息所涉及的IP地址、域名、应用层协议信息和应用类型与对应的合规基线均不匹配时,才会将数据报文对应的用户操作确定为违规外联操作。
也就是说,本实施例可以由用户设定匹配策略,从而控制违规检测操作的效果,满足用户的实际需求。例如,要求保证违规检测的可靠性时,设定匹配策略为:操作信息包括的任一种信息与合规基线库中的对应合规基线不匹配,即确定发生了违规外联操作。又如,要求保证违规检测的灵活性时,设定匹配策略为:在第一时间段内,操作信息包括的任一种信息与合规基线库中的对应合规基线不匹配,即确定发生了违规外联操作。在第二时间段内,操作信息包括的多种信息与合规基线库中的对应合规基线不匹配时,确定发生了违规外联操作。还要说明的是,匹配策略还可以根据用户需求进行更新。例如,用户初始设定第一匹配策略为操作信息包括的IP地址与合规基线库中的IP地址合规基线不匹配,且操作信息包括的域名信息与合规基线库中的域名合规基线不匹配时,确定发生了违规外联操作。在实际应用中,用户发现该违规外联操作的检测结果不准确,则可以将匹配策略进行更新,更新后的匹配策略称为第二匹配策略,第二匹配策略为操作信息包括的IP地址与合规基线库中的IP地址合规基线不匹配,或者操作信息包括的域名信息与合规基线库中的域名合规基线不匹配时,均确定发生了违规外联操作。此时,可以提高违规外联操作的检测准确度,满足了用户需求。可见,本实施例以预先构建的合规基线库为基础,且使用合规基线库进行检测的方式可以由用户自主配置。因此,以合规基线库为基础进行的违规检测操作更灵活,可操作性强,可控性更高。
图2为本发明实施例提供的一种用于违规外联检测的合规基线库的生成方法的流程图。如图2所示,本实施例的方法包括如下步骤:
步骤S21:确定预先配置的合规基线库对应的时间范围;
其中,合规基线库对应的时间范围可以包括合规基线库的生成时间范围和更新时间范围。其中,合规基线库的生成时间范围表明,初次构建合规基线库的时间段。合规基线库的更新时间范围表明,已构建的合规基线库进行合规基线更新的时间段。合规基线库的更新时间范围可以包括一个或多个时间段。由此可见,本实施例,可以对合规基线库进行更新,即合规基线库所限定的合规操作的范围是可变的,这种方式更新的合规基线库的更具个性化,可操作性强,且划定的合规操作理想全面。
本实施例中,合规基线库对应的时间范围可以是由用户配置的,也可以默认配置的。其中,合规基线库对应的时间范围也可以由用户自主修改。例如,根据用户操作,更新合规基线库对应的生成时间范围和/或更新时间范围。具体地,更新时间范围包括有多个时间段时,可以修改合规基线库对应的所有更新时间范围,或者修改部分更新时间范围。这样,通过在修改后的合规基线库的更新时间范围内进行合规基线更新操作,更贴近用户需求,保证了用户对合规基线库的可控性,从而提高了违规检测的可控性。
步骤S22:在时间范围内,每当接收到一条数据报文时,获取数据报文的操作信息,操作信息至少包括IP地址信息、域名信息、应用层协议信息和应用类型信息中的任一种;
其中,获取数据报文的操作信息的方式可参见上述实施例的相应内容,在此不再赘述。
步骤S23:根据操作信息生成一条或多条合规基线;
其中,当操作信息中包括IP地址信息时,可以由IP地址信息生成一条IP地址合规基线;
当操作信息中包括域名信息时,可以由域名信息生成一条域名合规基线;
当操作信息中包括应用层协议信息时,可以由应用层协议信息生成一条协议合规基线;
当操作信息中包括应用类型信息时,可以由应用类型信息生成一条应用合规基线。
在实际应用中,合规基线库可能只包括IP地址合规基线、域名合规基线、协议合规基线和应用合规基线中的一种或几种合规基线。此时,可以根据合规基线库的基线配置信息生成合规基线。例如,合规基线库的基线配置信息中指示合规基线库仅包括IP地址合规基线,此时即使操作信息中包括域名信息,也不会生成域名合规基线。又如,合规基线库的基线配置信息中指示合规基线库包括IP地址合规基线和协议合规基线时,此时操作信息中包括域名信息和/或应用类型信息,不会生成域名合规基线和/或应用合规基线。其中,合规基线库的基线配置信息可以由用户配置或默认配置。且用户可以根据需求,自主修改基线配置信息。例如,合规基线库的初始基线配置信息中指示合规基线库仅包括IP地址合规基线,用户可以根据需求修改基线配置信息,指示合规基线库包括IP地址合规基线和域名合规基线,或指示合规基线库包括协议合规基线和域名合规基线。可见,本实施例中,构建的合规基线库可以由用户自主配置,因此,其构建的合规基线库更具个性化,可操作性强。
步骤S24:使用时间范围内生成的所有合规基线,构建或更新合规基线库。
如前文所述,合规基线库对应的时间范围可能包括有多个时间段,此时,这多个时间段时生成的所有合规基线,构成了最后的合规基线库。可见,本实施例在违规检测过程中,可以对合规基线库进行更新,不仅更新合规基线库中的合规基线,还可以更新合规基线库的更新时刻,在保证了违规检测的范围更全面的基础上,还提高了用户对合规基线库(即合规操作的范围)可控性。
另外,在上述方法的基础上,还可以根据用户需求,手动删除合规基线库中的某一条或多条合规基线。例如,用户之前定义的某个操作属于合规操作,从而根据该操作生成了一条合规基线。但在后续使用过程中,用户认定该操作属于违规操作,此时,即可删除该条合规基线。可见,本实施例对合规基线库进行更新时,可以保证用户对合规基线库(即合规操作的范围)可控性,从而提高了违规检测的可靠性和可控性。
图3(a)为本发明实施例提供的一种违规外联检测方法的整体流程图。其中图3(a)所示,该方法包括如下步骤:
步骤S31:构建用于外联检测的合规基线库。
本实施例中,构建合规基线库的过程如图3(b)所示,包括如下步骤:
步骤S311:获取用户配置的合规基线对应的生成时间段信息;
本实施例中,合规基线对应的生成时间段信息是用户配置的,即可以由内网管理员配置合规操作的时间段,即在合规基线对应的生成时间段信息内所有的操作均属于合规操作。
步骤S312:接收数据报文;
步骤S313:判断当前时刻是否处于合规基线生成时间段,如果是,进入步骤S314,否则进入步骤S315;
步骤S314:确定接收到的数据报文对应的域名信息,并对该数据报文进行流量解析,获取数据报文的五元组信息等,根据流量解析得到的五元组以及域名信息,生成合规基线并将该合规基线存储至合规基线库中,返回步骤S312;
本实施例中,合规基线库主要针对于HTTP/HTTPS等WEB类的业务构建的。因此,对数据报文进行流量解析之前,可确定数据报文的当前WEB访问域名,该访问域名即为该数据报文对应的域名信息。
其中,数据报文的五元组信息包括源IP地址,源端口,目的IP地址,目的端口和传输层协议。其中,五元组中的源IP地址和目的IP地址相当于前述实施例中的IP地址信息。通过源端口和目的端口可以确定前述实施例中的应用层协议信息。
合规基线库可以包括IP地址合规基线、域名合规基线和协议合规基线。其中,由所接收到的每一条数据报文的源IP地址和目的IP地址生成一条IP地址合规基线,并存储至合规基线库中。由所接收到的每一条数据报文的域名信息生成一条域名合规基线,并存储至合规基线库中。由所接收到的每一条数据报文的应用层协议生成一条协议合规基线,并存储至合规基线库中。
另外,还可以根据数据报文对应的应用类型生成应用合规基线,并存储至合规基线库中。这样,当应用层协议无法全面地限定出所有的合规操作时,即可通过应用类型补充合规操作。例如,某个应用层协议A不在合规基线库限定的范围内,但使用该应用层协议A的某类即时通讯工具B属于合规操作的对象,即用户使用即时通讯工具B的操作属于合规操作。此时,可以由即时通讯工具B生成一条应用合规基线。这样,当接收的数据报文为即时通讯工具B的操作,则认为该数据报文属于合规操作的内容。
步骤S315:合规基线库构建完成,结束本流程。
步骤S32:接收数据报文,获取数据报文的操作信息,所述操作信息包括IP地址信息、域名信息和/或应用层协议信息。
其中,可以在接收数据报文时,确定域名信息。通过对接收的数据报文进行流量解析,获取数据报文的五元组信息,根据五元组信息确定IP地址信息(包括源IP地址和目的IP地址)和应用层协议信息。
步骤S33:从合规基线库中的IP地址合规基线中查询数据报文的源IP地址与目的IP地址,判断是否查询成功,如果是,进入步骤S34,否则确定发生违规外联操作,进行外联报警,返回步骤S32。
本实施例,从合规基线库中的IP地址合规基线中查询到了源IP地址以及目的IP地址时,才会判断查询成功。
步骤S34:从合规基线库中的协议合规基线中查询数据报文的应用层协议,判断是否查询成功,如果是,进入步骤S35,否则确定发生违规外联操作,进行外联报警,返回步骤S32。
步骤S35:从合规基线库中的域名合规基线中查询数据报文对应的域名信息,判断是否查询成功,如果是,确定当前数据报文属于规定的合规基线范围,不属于外联行为,直接返回步骤S32,否则确定发生违规外联操作,进行外联报警后返回步骤S32。
在上述方法执行的过程中,已构建的合规基线库还可以进行更新。即用户还可以配置合规基线对应的更新时间段信息,当进入更新时间段时,每当接收到新的数据报文时,即可根据接收到的数据报文对应的域名信息、IP地址信息、协议合规基线以及应用类型,生成新的合规基线并将该合规基线存储至合规基线库中,用于更新合规基线库。其中,合规基线对应的更新时间段信息可以是某一个时间段,或多个时间段可。另外,根据用户需求,用户还可以手动删除合规基线库的某一条或多条合规基线,以更新合规基线库,从而限定新的合规操作的范围。上述针对IP地址合规、协议合规及域名合规的判定顺序可以不固定,既可以先判定IP地址是否合规,再判定其他的是否合规,也可以先判定协议是否合规,再判定其他的是否合规,还可以先判定域名是否合规,再判定其他的是否合规,本发明对此不做限定。
从上述方法的描述可以看出,本实施例在合规基线库构建完成的基础之上,每当检测到新的流量进入时,可以利用合规基线库中的各种合规基线对当前的流量操作进行相应的判定,对不符合基线规则的流量操作定义为违规外联事件,并触发外联告警,生成外联事件。在实际应用中,可根据实际场景选择应用的合规基线库类型,同时使用或者只使用其中的一个或几个(即构建的合规基线库中可以包括IP地址合规基线、域名合规基线、协议合规基线以及应用合规基线中的任一种或多种)。
图4为本发明实施例提供的一种违规外联检测装置的结构示意图。如图4所示的装置,可以对应于部署在内网或专用网中的旁路镜像服务器或者服务器中的用于违规外联检测的专用模块,该旁路镜像服务器或专用模块通过设置相应程序具有执行上述图1或图3所示的实施例的方法流程功能,该装置包括:获取模块100、匹配模块200和检测模块300,其中,获取模块100,用于获取已接收的数据报文的操作信息,操作信息至少包括IP地址信息、域名信息、应用层协议信息和应用类型信息中的任一种;匹配模块200,用于将操作信息与预先获取的合规基线库进行匹配,合规基线库至少包括IP地址合规基线、域名合规基线、协议合规基线以及应用合规基线中的任一种;检测模块300,用于当操作信息包括的任一种或多种信息与合规基线库中的对应合规基线不匹配时,确定发生违规外联行为。
需要说明的,上述图4所示仅为一种违规外联检测装置的结构示意图。在实践中,还有一种违规外联检测装置的匹配模块200,可划分为第一子模块、第二子模块、第三子模块和第四子模块。第一子模块,用于在操作信息中包括IP地址信息时,从合规基线库中的IP地址合规基线中查询该IP地址信息,若查询到该IP地址信息,确定操作信息中的IP地址信息与合规基线库中的IP地址合规基线相匹配;第二子模块,用于在操作信息中包括域名信息时,从合规基线库中的域名合规基线中查询该域名信息,若查询到该域名信息,确定操作信息中的域名信息与合规基线库中的域名合规基线相匹配;第三子模块,用于在操作信息中包括应用层协议信息时,从合规基线库中的协议合规基线中查询该应用层协议信息,若查询到该应用层协议信息,确定操作信息中的应用层协议信息与合规基线库中的协议基线相匹配;第四子模块,用于在操作信息中包括应用类型信息时,从合规基线库中的应用合规基线中查询该应用类型信息,若查询到该应用类型信息,确定操作信息中的应用类型信息与合规基线库中的应用合规基线相匹配。
可见,本实施例利用合规基线库限定了合规操作的范围。这样,当收到到新的数据报文时,将数据报文的操作信息与合规基线库进行匹配,根据匹配结果即可确定收到的数据报文对应的操作是否属于预先定义的合规基线范围,从而确定是否发生了外联行为。此方案无需改变网络结构,可以将检测装置部署在内网或专用网中的旁路镜像服务器中,部署简单,不影响现有网络环境。且检测过程不占用网络带宽,达到用户无感知的效果。
图5为本发明实施例提供的一种用于违规外联检测的合规基线库的生成装置的结构示意图。如图5所示的装置,可以对应于部署在内网或专用网中的旁路镜像服务器或者构建合规基线库的模块,该旁路镜像服务器通过设置相应程序具有执行上述图2所示的实施例的方法流程功能,该装置包括:确定模块400、获取模块500、生成模块600和合规基线库构建更新模块700,其中,确定模块400,用于确定预先配置的合规基线库对应的时间范围;获取模块500,用于在上述时间范围内,每当接收到一条数据报文时,获取数据报文的操作信息,所述操作信息至少包括IP地址信息、域名信息、应用层协议信息和应用类型信息中的任一种;生成模块600,用于根据所述操作信息生成一条或多条合规基线;合规基线库构建更新模块,用于使用时间范围内生成的所有合规基线,构建或更新合规基线库。其中,合规基线库对应的时间范围至少包括合规基线库对应的生成时间范围和更新时间范围。
需要说明的,上述图5所示仅为一种用于违规外联检测的合规基线库的生成装置的结构示意图。在实践中,还有一种用于违规外联检测的合规基线库的生成装置的生成模块600,可划分为第一子模块、第二子模块、第三子模块和第四子模块。第一子模块,用于在操作信息中包括IP地址信息时,由IP地址信息生成一条IP地址合规基线;第二子模块,用于在操作信息中包括域名信息时,由域名信息生成一条域名合规基线;第三子模块,用于在操作信息中包括应用层协议信息时,由应用层协议信息生成一条协议合规基线;第四子模块,用于在操作信息中包括应用类型信息时,由应用类型信息生成一条应用合规基线。
上述描述可以看出,本实施例预先构建了符合用户要求的合规基线库,定义出了合规操作对应的合规基线范围,从而可用于检测违规外联操作。其中,可以根据预先配置的合规基线库对应的时间范围,包括生成时间范围和更新时间范围,生成并更新合规基线库。此方案中为合规基线库配置的时间范围可以由用户自主配置,从而更人性化,且可操作性强。且通过对合规基线库的更新,补充和/或删除一条或多条合规基线,从而提高检测范围的全面性和可控性。
本发明实施例中的装置模块可用于执行上述违规外联检测方法实施例的步骤,其工作原理及达到的效果类似,不再赘述。
图6为本发明实施例提供的违规外联检测设备的结构示意图,如图6所示,该设备600包括:处理器6001、存储器6002以及存储在存储器6002上并可在处理器6001上运行的计算机程序。
其中,处理器6001运行计算机程序时实现上述任一实施例提供的违规外联检测方法,或者用于违规外联检测的合规基线库的生成方法。
本发明实施例还提供一种计算机可读存储介质,该可读存储介质如:ROM/RAM、磁碟、光盘等,计算机可读存储介质存储有计算机程序,所述计算机程序可被终端设备、计算机或服务器等硬件设备执行上述的违规外联检测方法,或者用于违规外联检测的合规基线库的生成方法的步骤。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (14)
1.一种违规外联检测方法,适用于工控领域,其特征在于,包括:
获取已接收的数据报文的操作信息,所述操作信息至少包括IP地址信息、域名信息、应用层协议信息和应用类型信息中的任一种;
将所述操作信息与用于违规外联检测的合规基线库进行匹配,所述合规基线库至少包括IP地址合规基线、域名合规基线、协议合规基线以及应用合规基线中的任一种;
当所述操作信息包括的任一种或多种信息与所述合规基线库中的对应合规基线不匹配时,确定发生违规外联操作。
2.根据权利要求1所述的方法,其特征在于,所述方法,还包括:
确定预先配置的合规基线库对应的时间范围操作信息;
在所述时间范围内,每当接收到一条数据报文时,获取所述数据报文的操作信息;
根据所述操作信息生成一条或多条合规基线;
使用所述时间范围内生成的所有合规基线,构建或更新合规基线库。
3.根据权利要求2所述的方法,其特征在于,所述根据所述操作信息生成一条或多条合规基线,包括:
当所述操作信息中包括IP地址信息时,由所述IP地址信息生成IP地址合规基线;
当所述操作信息中包括域名信息时,由所述域名信息生成域名合规基线;
当所述操作信息中包括应用层协议信息时,由所述应用层协议信息生成协议合规基线;
当所述操作信息中包括应用类型信息时,由所述应用类型信息生成应用合规基线。
4.根据权利要求1所述的方法,其特征在于,所述将所述操作信息与用于违规外联检测的合规基线库进行匹配,包括:
所述操作信息中包括IP地址信息时,从所述合规基线库中的IP地址合规基线中查询所述IP地址信息,若查询到所述IP地址信息,确定所述操作信息中的IP地址信息与所述合规基线库中的IP地址合规基线相匹配;
所述操作信息中包括域名信息时,从所述合规基线库中的域名合规基线中查询所述域名信息,若查询到所述域名信息,确定所述操作信息中的域名信息与所述合规基线库中的域名合规基线相匹配;
所述操作信息中包括应用层协议信息时,从所述合规基线库中的协议合规基线中查询所述应用层协议信息,若查询到所述应用层协议信息,确定所述操作信息中的应用层协议信息与所述合规基线库中的协议基线相匹配;
所述操作信息中包括应用类型信息时,从所述合规基线库中的应用合规基线中查询所述应用类型信息,若查询到所述应用类型信息,确定所述操作信息中的应用类型信息与所述合规基线库中的应用合规基线相匹配。
5.一种用于违规外联检测的合规基线库的生成方法,其特征在于,包括:
确定预先配置的合规基线库对应的时间范围;
在所述时间范围内,每当接收到一条数据报文时,获取所述数据报文的操作信息,所述操作信息至少包括IP地址信息、域名信息、应用层协议信息和应用类型信息中的任一种;
根据所述操作信息生成一条或多条合规基线;
使用所述时间范围内生成的所有合规基线,构建或更新合规基线库。
6.根据权利要求5所述的方法,其特征在于,
当所述操作信息中包括IP地址信息时,由所述IP地址信息生成一条IP地址合规基线;
当所述操作信息中包括域名信息时,由所述域名信息生成一条域名合规基线;
当所述操作信息中包括应用层协议信息时,由所述应用层协议信息生成一条协议合规基线;
当所述操作信息中包括应用类型信息时,由所述应用类型信息生成一条应用合规基线。
7.根据权利要求6所述的方法,其特征在于,所述方法还包括:
根据用户操作,更新所述合规基线库对应的时间范围。
8.一种违规外联检测装置,适用于工控领域,其特征在于,包括:
获取模块,用于获取已接收的数据报文的操作信息,所述操作信息至少包括IP地址信息、域名信息、应用层协议信息和应用类型信息中的任一种;
匹配模块,用于将所述操作信息与预先获取的合规基线库进行匹配,所述合规基线库至少包括IP地址合规基线、域名合规基线、协议合规基线以及应用合规基线中的任一种;以及
检测模块,用于在所述操作信息包括的任一种或多种信息与所述合规基线库中的对应合规基线不匹配时,确定发生违规外联操作。
9.根据权利要求8所述的装置,其特征在于,所述匹配模块包括:
第一子模块,用于在所述操作信息中包括IP地址信息时,从所述合规基线库中的IP地址合规基线中查询所述IP地址信息,若查询到所述IP地址信息,确定所述操作信息中的IP地址信息与所述合规基线库中的IP地址合规基线相匹配;
第二子模块,用于在所述操作信息中包括域名信息时,从所述合规基线库中的域名合规基线中查询所述域名信息,若查询到所述域名信息,确定所述操作信息中的域名信息与所述合规基线库中的域名合规基线相匹配;
第三子模块,用于在所述操作信息中包括应用层协议信息时,从所述合规基线库中的协议合规基线中查询所述应用层协议信息,若查询到所述应用层协议信息,确定所述操作信息中的应用层协议信息与所述合规基线库中的协议基线相匹配;
第四子模块,用于在所述操作信息中包括应用类型信息时,从所述合规基线库中的应用合规基线中查询所述应用类型信息,若查询到所述应用类型信息,确定所述操作信息中的应用类型信息与所述合规基线库中的应用合规基线相匹配。
10.一种用于违规外联检测的合规基线库的生成装置,其特征在于,包括:
确定模块,用于确定预先配置的合规基线库对应的时间范围;
获取模块,用于在所述时间范围内,每当接收到一条数据报文时,获取所述数据报文的操作信息,所述操作信息至少包括IP地址信息、域名信息、应用层协议信息和应用类型信息中的任一种;
生成模块,用于根据所述操作信息生成一条或多条合规基线;以及
合规基线库构建更新模块,用于使用所述时间范围内生成的所有合规基线,构建或更新合规基线库。
11.根据权利要求10所述的装置,其特征在于,所述生成模块,包括:
第一子模块,用于在所述操作信息中包括IP地址信息时,由所述IP地址信息生成一条IP地址合规基线;
第二子模块,用于在所述操作信息中包括域名信息时,由所述域名信息生成一条域名合规基线;
第三子模块,用于在所述操作信息中包括应用层协议信息时,由所述应用层协议信息生成一条协议合规基线;以及
第四子模块,用于在所述操作信息中包括应用类型信息时,由所述应用类型信息生成一条应用合规基线。
12.一种违规外联检测设备,其特征在于,包括:
处理器、存储器以及存储在所述存储器上并可在所述处理器上运行的计算机程序;
其中,所述处理器运行所述计算机程序时实现如权利要求1至4中任一项权利要求所述的违规外联检测方法。
13.一种用于违规外联检测的合规基线库的生成设备,其特征在于,包括:
处理器、存储器以及存储在所述存储器上并可在所述处理器上运行的计算机程序;
其中,所述处理器运行所述计算机程序时实现如权利要求5至7中任一项权利要求所述的用于违规外联检测的合规基线库的生成方法。
14.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序可被执行如权利要求1至7中任一项权利要求所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010837228.1A CN111935167A (zh) | 2020-08-20 | 2020-08-20 | 用于工控的违规外联检测方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010837228.1A CN111935167A (zh) | 2020-08-20 | 2020-08-20 | 用于工控的违规外联检测方法、装置、设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111935167A true CN111935167A (zh) | 2020-11-13 |
Family
ID=73305388
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010837228.1A Pending CN111935167A (zh) | 2020-08-20 | 2020-08-20 | 用于工控的违规外联检测方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111935167A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112818307A (zh) * | 2021-02-25 | 2021-05-18 | 深信服科技股份有限公司 | 用户操作处理方法、系统、设备及计算机可读存储介质 |
| CN114244571A (zh) * | 2021-11-22 | 2022-03-25 | 广东电网有限责任公司 | 基于数据流分析的非法外联监测方法、装置、计算机设备 |
| CN114257404A (zh) * | 2021-11-16 | 2022-03-29 | 广东电网有限责任公司 | 异常外联统计告警方法、装置、计算机设备和存储介质 |
| CN114448678A (zh) * | 2021-12-31 | 2022-05-06 | 南方电网数字电网研究院有限公司 | 非法外联监控系统和方法 |
| CN118449781A (zh) * | 2024-07-04 | 2024-08-06 | 南京风启科技有限公司 | 基于非典型行为分析的跨境异常数据流动识别方法及装置 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100176962A1 (en) * | 2009-01-15 | 2010-07-15 | HCS KABLOLAMA SISTEMLERI SAN. ve TIC.A.S. | Cabling system and method for monitoring and managing physically connected devices over a data network |
| CN103441864A (zh) * | 2013-08-12 | 2013-12-11 | 江苏华大天益电力科技有限公司 | 一种终端设备违规外联的监测方法 |
| CN108076041A (zh) * | 2017-10-23 | 2018-05-25 | 中国银联股份有限公司 | 一种dns流量检测方法以及dns流量检测系统 |
| CN109768971A (zh) * | 2018-12-27 | 2019-05-17 | 江苏博智软件科技股份有限公司 | 一种基于网络流量实时检测工控主机状态的方法 |
| CN110120948A (zh) * | 2019-05-06 | 2019-08-13 | 四川英得赛克科技有限公司 | 基于无线和有线数据流相似性分析的非法外联监测方法 |
| CN110290154A (zh) * | 2019-07-23 | 2019-09-27 | 北京威努特技术有限公司 | 一种非法外联检测设备、方法与存储介质 |
| CN110365793A (zh) * | 2019-07-30 | 2019-10-22 | 北京华赛在线科技有限公司 | 违规外联监测方法、装置、系统及存储介质 |
-
2020
- 2020-08-20 CN CN202010837228.1A patent/CN111935167A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100176962A1 (en) * | 2009-01-15 | 2010-07-15 | HCS KABLOLAMA SISTEMLERI SAN. ve TIC.A.S. | Cabling system and method for monitoring and managing physically connected devices over a data network |
| CN103441864A (zh) * | 2013-08-12 | 2013-12-11 | 江苏华大天益电力科技有限公司 | 一种终端设备违规外联的监测方法 |
| CN108076041A (zh) * | 2017-10-23 | 2018-05-25 | 中国银联股份有限公司 | 一种dns流量检测方法以及dns流量检测系统 |
| CN109768971A (zh) * | 2018-12-27 | 2019-05-17 | 江苏博智软件科技股份有限公司 | 一种基于网络流量实时检测工控主机状态的方法 |
| CN110120948A (zh) * | 2019-05-06 | 2019-08-13 | 四川英得赛克科技有限公司 | 基于无线和有线数据流相似性分析的非法外联监测方法 |
| CN110290154A (zh) * | 2019-07-23 | 2019-09-27 | 北京威努特技术有限公司 | 一种非法外联检测设备、方法与存储介质 |
| CN110365793A (zh) * | 2019-07-30 | 2019-10-22 | 北京华赛在线科技有限公司 | 违规外联监测方法、装置、系统及存储介质 |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112818307A (zh) * | 2021-02-25 | 2021-05-18 | 深信服科技股份有限公司 | 用户操作处理方法、系统、设备及计算机可读存储介质 |
| CN112818307B (zh) * | 2021-02-25 | 2024-05-28 | 深信服科技股份有限公司 | 用户操作处理方法、系统、设备及计算机可读存储介质 |
| CN114257404A (zh) * | 2021-11-16 | 2022-03-29 | 广东电网有限责任公司 | 异常外联统计告警方法、装置、计算机设备和存储介质 |
| CN114257404B (zh) * | 2021-11-16 | 2024-04-30 | 广东电网有限责任公司 | 异常外联统计告警方法、装置、计算机设备和存储介质 |
| CN114244571A (zh) * | 2021-11-22 | 2022-03-25 | 广东电网有限责任公司 | 基于数据流分析的非法外联监测方法、装置、计算机设备 |
| CN114244571B (zh) * | 2021-11-22 | 2023-09-05 | 广东电网有限责任公司 | 基于数据流分析的非法外联监测方法、装置、计算机设备 |
| CN114448678A (zh) * | 2021-12-31 | 2022-05-06 | 南方电网数字电网研究院有限公司 | 非法外联监控系统和方法 |
| CN118449781A (zh) * | 2024-07-04 | 2024-08-06 | 南京风启科技有限公司 | 基于非典型行为分析的跨境异常数据流动识别方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111935167A (zh) | 用于工控的违规外联检测方法、装置、设备及存储介质 | |
| CN111835794B (zh) | 防火墙策略控制方法、装置、电子设备及存储介质 | |
| CN112019575B (zh) | 数据包处理方法、装置、计算机设备以及存储介质 | |
| EP2987090B1 (en) | Distributed event correlation system | |
| CN103607385B (zh) | 基于浏览器进行安全检测的方法和装置 | |
| EP3557844A1 (en) | Rule-based network-threat detection | |
| US11777965B2 (en) | Pattern match-based detection in IoT security | |
| US9338187B1 (en) | Modeling user working time using authentication events within an enterprise network | |
| CN113645253B (zh) | 一种攻击信息获取方法、装置、设备及存储介质 | |
| CN113424157A (zh) | IoT设备行为的多维周期性检测 | |
| Ezzati-Jivan et al. | A stateful approach to generate synthetic events from kernel traces | |
| CN116015983B (zh) | 一种基于数字孪生体的网络安全漏洞分析方法及系统 | |
| CN114615066A (zh) | 目标路径确定方法以及装置 | |
| CN113312519A (zh) | 一种基于时间图算法的企业网数据异常检测方法、系统计算机设备及存储介质 | |
| CN112398857A (zh) | 防火墙测试方法、装置、计算机设备和存储介质 | |
| Husák et al. | System for continuous collection of contextual information for network security management and incident handling | |
| WO2017176676A1 (en) | Graph-based fusing of heterogeneous alerts | |
| CN114826790B (zh) | 一种区块链监测方法、装置、设备及存储介质 | |
| US12088628B2 (en) | Cross-plane monitoring intent and policy instantiation for network analytics and assurance | |
| US7971244B1 (en) | Method of determining network penetration | |
| US11528286B2 (en) | Network vulnerability detection | |
| CN112543186B (zh) | 一种网络行为检测方法、装置、存储介质及电子设备 | |
| CN114070624A (zh) | 一种报文监测的方法、装置、电子设备及介质 | |
| CN114244555A (zh) | 一种安全策略的调整方法 | |
| Lange et al. | Event Prioritization and Correlation based on Pattern Mining Techniques |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20201113 |
|
| RJ01 | Rejection of invention patent application after publication |