CN111970233B - 一种网络违规外联场景的分析识别方法 - Google Patents

一种网络违规外联场景的分析识别方法 Download PDF

Info

Publication number
CN111970233B
CN111970233B CN202010614568.8A CN202010614568A CN111970233B CN 111970233 B CN111970233 B CN 111970233B CN 202010614568 A CN202010614568 A CN 202010614568A CN 111970233 B CN111970233 B CN 111970233B
Authority
CN
China
Prior art keywords
external connection
network
scene
illegal
analysis
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010614568.8A
Other languages
English (en)
Other versions
CN111970233A (zh
Inventor
傅昱皓
杨玲
颜瑞琮
傅如毅
孟飞飞
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhejiang Yuanwang Information Co ltd
Original Assignee
Zhejiang Yuanwang Information Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhejiang Yuanwang Information Co ltd filed Critical Zhejiang Yuanwang Information Co ltd
Priority to CN202010614568.8A priority Critical patent/CN111970233B/zh
Publication of CN111970233A publication Critical patent/CN111970233A/zh
Application granted granted Critical
Publication of CN111970233B publication Critical patent/CN111970233B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/70Reducing energy consumption in communication networks in wireless communication networks

Abstract

本发明提出了一种网络违规外联场景的分析识别方法,具体步骤如下:监测发现违规外联行为,并提取相关信息,对违规外联数据分类汇总分析,然后分析单个内部网络IP地址是否存在多个设备指纹信息,若存在,判定该外联场景为NAT私有网络内部的设备通过监测发现的路由设备违规外联;若不存在,则分析外联出口IP是否归属移动通信运营商的蜂窝网络地址,若属于,则判定为通过手机建立的蜂窝网络热点违规外联;若不属于,则结合网络资产信息关联分析,判定是否存在匹配的设备信息,若存在,则根据匹配的设备所属类型,判定该外联场景是通过某类型设备与其他网络不合规连接所产生的外联;若不存在,则判定暂无法识别当前网络违规外联场景,分析结束。

Description

一种网络违规外联场景的分析识别方法
【技术领域】
本发明涉及网络边界安全的技术领域,特别是一种网络违规外联场景的分析识别方法。
【背景技术】
根据最新发布的GB/T22239-2019《信息安全技术网络安全等级保护基本要求》,发现识别网络内部设备非授权外联行为是网络边界安全防护的重要内容。目前常见的违规外联发现手段,除了采用在终端上安装应用程序以监测宿主机是否存在违规外联行为外,还可通过网络扫描和网络镜像流量分析等方式监测发现违规外联行为。由于所采用的技术手段不同,对于所发现的外联场景识别也存在差异。前一种技术手段,由于只能监测宿主机是否违规外联,因此但凡存在外联行为,即可确认是宿主机产生的外联行为,进而可以快速定位责任人;而后一种技术手段,外联行为的产生者无法预知,且往往只能获取到有限的外联设备信息,因此为后续的违规行为核查取证和追责带来了困难。为了解决以上问题,有必要提出一种网络违规外联场景的分析识别方法。
【发明内容】
本发明的目的在于克服上述现有技术的不足,提出一种网络违规外联场景的分析识别方法,能够解决现有网络扫描和网络镜像流量分析等技术手段发现违规外联行为时,无法提前预知产生外联的内部设备,且监测发现的外联设备信息获取不足,导致后续核查取证存在困难的技术问题。
为实现上述目的,本发明提出了一种网络违规外联场景的分析识别方法,具体包括如下步骤:
S1、监测发现违规外联行为,并提取违规外联相关信息,进入步骤S2;
S2、对监测发现的所有违规外联数据分类汇总分析,进入步骤S3;
S3、分析单个内部网络IP地址是否存在多个设备指纹信息,若存在,则转至步骤S4;若不存在则转至步骤S5;
S4、判定该外联场景为NAT私有网络内部的设备通过监测发现的路由设备违规外联,违规外联场景分析结束;
S5、分析外联出口IP是否归属移动通信运营商的蜂窝网络地址,若属于,则转至步骤S6;若不属于,则转至步骤S7;
S6、判定该外联场景为网络内部设备通过手机建立的蜂窝网络热点违规外联,违规场景分析结束;
S7、结合网络资产信息关联分析,然后进入步骤S8;
S8、判定是否存在匹配的设备信息,若存在,则转至步骤S9;若不存在,则进入步骤S10;
S9、根据匹配的设备所属类型,判定该外联场景是通过该类型设备与其他网络不合规连接所产生的外联,违规场景分析结束。
S10、暂无法识别当前网络违规外联场景,分析结束。
作为优选,所述步骤S1中采用网络扫描和网络镜像流量分析技术监测发现违规外联行为。
作为优选,所述步骤S1中的违规外联相关信息包括:外联设备IP地址、外联时间、外联出口IP地址、设备指纹。
作为优选,所述步骤S7中的资产信息包括设备IP地址、设备类型。
作为优选,所述步骤S9中的设备所属类型包括网闸设备、防火墙设备、IPS安全设备、VPN设备。
本发明的有益效果:本发明所提供的网络违规外联场景的分析识别方法,基于网络扫描或网络流量镜像技术发现的网络违规外联信息,借助网络资产扫描识别技术获取的网络内部资产信息,通过数据关联分析和分类汇总分析方法,实现不同网络违规外联场景的分析识别,为违规行为的核查取证和追责提供有效支撑。
本发明的特征及优点将通过实施例结合附图进行详细说明。
【附图说明】
图1是本发明一种网络违规外联场景的分析识别方法的流程图。
【具体实施方式】
参阅图1本发明实施例提供一种网络违规外联场景的分析识别方法,具体包括如下步骤:
S1、采用网络扫描和网络镜像流量分析技术手段,监测发现违规外联行为,并提取违规外联相关信息,如:外联设备IP地址、外联时间、外联出口IP地址、设备指纹等信息,进入步骤S2;
S2、对监测发现的所有违规外联数据分类汇总分析,进入步骤S3;
S3、分析单个内部网络IP地址是否存在多个设备指纹信息,若存在,则转至步骤S4;若不存在则转至步骤S5;
S4、判定该外联场景为NAT私有网络内部的设备通过监测发现的路由设备违规外联,违规外联场景分析结束。
S5、分析外联出口IP是否归属移动通信运营商的蜂窝网络地址,若属于,则转至步骤S6;若不属于,则转至步骤S7;
S6、判定该外联场景为网络内部设备通过手机建立的蜂窝网络热点违规外联,违规场景分析结束。
S7、结合网络资产信息关联分析,资产信息包括设备IP地址、设备类型等,然后进入步骤S8;
S8、判定是否存在匹配的设备信息,若存在,则转至步骤S9;若不存在,则进入步骤S10;
S9、根据匹配的设备所属类型,判定该外联场景是通过某类型设备,如:网闸设备、防火墙设备、IPS安全设备、VPN设备等与其他网络不合规连接所产生的外联,违规场景分析结束。
S10、暂无法识别当前网络违规外联场景,分析结束。
本发明一种网络违规外联场景的分析识别方法,基于网络扫描或网络流量镜像技术发现的网络违规外联信息,借助网络资产扫描识别技术获取的网络内部资产信息,通过数据关联分析和分类汇总分析方法,实现不同网络违规外联场景的分析识别,为违规行为的核查取证和追责提供有效支撑。
上述实施例是对本发明的说明,不是对本发明的限定,任何对本发明简单变换后的方案均属于本发明的保护范围。

Claims (3)

1.一种网络违规外联场景的分析识别方法,其特征在于:具体包括如下步骤:
S1、采用网络扫描和网络镜像流量分析技术监测发现违规外联行为,并提取违规外联相关信息,所述违规外联相关信息包括外联设备IP地址、外联时间、外联出口IP地址和设备指纹,进入步骤S2;
S2、对监测发现的所有违规外联数据分类汇总分析,进入步骤S3;
S3、分析单个内部网络IP地址是否存在多个设备指纹信息,若存在,则转至步骤S4;若不存在则转至步骤S5;
S4、判定该外联场景为NAT私有网络内部的设备通过监测发现的路由设备违规外联,违规外联场景分析结束;
S5、分析外联出口IP是否归属移动通信运营商的蜂窝网络地址,若属于,则转至步骤S6;若不属于,则转至步骤S7;
S6、判定该外联场景为网络内部设备通过手机建立的蜂窝网络热点违规外联,违规场景分析结束;
S7、结合网络资产信息关联分析,然后进入步骤S8;
S8、判定是否存在匹配的设备信息,若存在,则转至步骤S9;若不存在,则进入步骤S10;
S9、根据匹配的设备所属类型,判定该外联场景是通过该类型设备与其他网络不合规连接所产生的外联,违规场景分析结束;
S10、暂无法识别当前网络违规外联场景,分析结束。
2.如权利要求1所述的一种网络违规外联场景的分析识别方法,其特征在于:所述步骤S7中的资产信息包括设备IP地址、设备类型。
3.如权利要求1所述的一种网络违规外联场景的分析识别方法,其特征在于:所述步骤S9中的设备所属类型包括网闸设备、防火墙设备、IPS安全设备、VPN设备。
CN202010614568.8A 2020-06-30 2020-06-30 一种网络违规外联场景的分析识别方法 Active CN111970233B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010614568.8A CN111970233B (zh) 2020-06-30 2020-06-30 一种网络违规外联场景的分析识别方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010614568.8A CN111970233B (zh) 2020-06-30 2020-06-30 一种网络违规外联场景的分析识别方法

Publications (2)

Publication Number Publication Date
CN111970233A CN111970233A (zh) 2020-11-20
CN111970233B true CN111970233B (zh) 2023-09-01

Family

ID=73361148

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010614568.8A Active CN111970233B (zh) 2020-06-30 2020-06-30 一种网络违规外联场景的分析识别方法

Country Status (1)

Country Link
CN (1) CN111970233B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112887264B (zh) * 2020-12-30 2024-02-02 浙江远望信息股份有限公司 一种针对nat接入设备的违规外联检测方法
CN112822683B (zh) * 2020-12-31 2023-04-07 四川英得赛克科技有限公司 一种利用移动网络进行非法外联的检测方法
CN114866318A (zh) * 2022-05-05 2022-08-05 金祺创(北京)技术有限公司 一种基于用户关键业务网络安全流程的威胁情报关联分析方法和系统

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101257388A (zh) * 2008-04-08 2008-09-03 华为技术有限公司 非法外联检测方法、装置及系统
CN105227383A (zh) * 2015-11-06 2016-01-06 广东电网有限责任公司电力科学研究院 一种网络拓扑排查的装置
CN106209826A (zh) * 2016-07-08 2016-12-07 瑞达信息安全产业股份有限公司 一种网络安全设备监测的安全事件分析方法
CN109474607A (zh) * 2018-12-06 2019-03-15 连云港杰瑞深软科技有限公司 一种工业控制网络安全保护监测系统
CN110120948A (zh) * 2019-05-06 2019-08-13 四川英得赛克科技有限公司 基于无线和有线数据流相似性分析的非法外联监测方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11057349B2 (en) * 2017-11-03 2021-07-06 Todyl, Inc. Cloud-based multi-function firewall and zero trust private virtual network

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101257388A (zh) * 2008-04-08 2008-09-03 华为技术有限公司 非法外联检测方法、装置及系统
CN105227383A (zh) * 2015-11-06 2016-01-06 广东电网有限责任公司电力科学研究院 一种网络拓扑排查的装置
CN106209826A (zh) * 2016-07-08 2016-12-07 瑞达信息安全产业股份有限公司 一种网络安全设备监测的安全事件分析方法
CN109474607A (zh) * 2018-12-06 2019-03-15 连云港杰瑞深软科技有限公司 一种工业控制网络安全保护监测系统
CN110120948A (zh) * 2019-05-06 2019-08-13 四川英得赛克科技有限公司 基于无线和有线数据流相似性分析的非法外联监测方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
李娜 ; 张晓宁 ; 王帆 ; .非法外联监测系统的研究与实现.电子测试.2016,(第01期),全文. *

Also Published As

Publication number Publication date
CN111970233A (zh) 2020-11-20

Similar Documents

Publication Publication Date Title
CN111970233B (zh) 一种网络违规外联场景的分析识别方法
US10873594B2 (en) Test system and method for identifying security vulnerabilities of a device under test
CN112667717B (zh) 变电站巡检信息处理方法、装置、计算机设备和存储介质
CN111274583A (zh) 一种大数据计算机网络安全防护装置及其控制方法
CN110505235B (zh) 一种绕过云waf的恶意请求的检测系统及方法
CN109495520B (zh) 一体化网络攻击取证溯源方法、系统、设备及存储介质
CN113938308B (zh) 应用集群安全防护系统、方法、电子设备及存储介质
CN106452955B (zh) 一种异常网络连接的检测方法及系统
CN113472772A (zh) 网络攻击的检测方法、装置、电子设备及存储介质
CN104486320A (zh) 基于蜜网技术的内网敏感信息泄露取证系统及方法
CN114339767B (zh) 一种信令检测方法、装置、电子设备及存储介质
CN113965355B (zh) 一种基于soc的非法ip省内网络封堵方法及装置
CN112231679B (zh) 一种终端设备验证方法、装置及存储介质
CN115567258B (zh) 网络安全态势感知方法、系统、电子设备及存储介质
CN112291225A (zh) 一种应用于积分系统的大数据异常流量检测方法和系统
CN112565202A (zh) 一种用于视频网系统的物联网准入网关
CN114900377B (zh) 一种基于诱导数据包的违规外联监测方法及系统
CN104935556A (zh) 一种网络安全处理方法、装置及系统
CN115801441A (zh) 一种列车通信网络的安全防护系统及方法
CN108737441B (zh) 一种智能识别并处理网络数据流的方法
CN110266562B (zh) 网络应用系统身份认证功能的自动检测的方法
KR100977827B1 (ko) 악성 웹 서버 시스템의 접속탐지 장치 및 방법
CN110839045B (zh) 一种电力监控系统异常流量检测方法
CN111783092A (zh) 面向安卓应用程序间通信机制的恶意攻击检测方法及系统
CN113949571B (zh) 一种基于行为特征知识库的软件行为识别方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB03 Change of inventor or designer information
CB03 Change of inventor or designer information

Inventor after: Fu Yuhao

Inventor after: Yang Ling

Inventor after: Yan Ruicong

Inventor after: Fu Ruyi

Inventor after: Meng Feifei

Inventor before: Yang Ling

Inventor before: Yan Ruicong

Inventor before: Fu Ruyi

Inventor before: Meng Feifei

GR01 Patent grant
GR01 Patent grant