CN112104618A - 一种信息确定方法、信息确定设备和计算机可读存储介质 - Google Patents
一种信息确定方法、信息确定设备和计算机可读存储介质 Download PDFInfo
- Publication number
- CN112104618A CN112104618A CN202010880132.3A CN202010880132A CN112104618A CN 112104618 A CN112104618 A CN 112104618A CN 202010880132 A CN202010880132 A CN 202010880132A CN 112104618 A CN112104618 A CN 112104618A
- Authority
- CN
- China
- Prior art keywords
- terminal
- monitored
- violation
- information
- internet surfing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/147—Network analysis or design for predicting network behaviour
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请实施例公开了一种信息确定方法,所述方法包括:获取待监控终端的异常上网数据;分析所述异常上网数据,确定所述待监控终端的上网行为的违规趋势;基于所述违规趋势,预测所述待监控终端存在的风险事件。本申请的实施例同时还公开了一种信息确定设备和计算机可读存储介质。
Description
技术领域
本申请涉及计算机技术领域中的信息管理领域,尤其涉及一种信息确定方法、信息确定设备和计算机可读存储介质。
背景技术
在监测到终端的存在违规上网行为时,现有的上网行为管理系统会对存在违规上网行为的终端进行网络访问控制并进行相应的网络修复,以使终端能够正常运行;相关技术中上网行为管理系统只是在每次出现违规上网行为时对终端进行相应的处理,因而无法实现提前预警终端存在的违规事件。
发明内容
为解决上述技术问题,本申请实施例期望提供一种信息确定方法、信息确定设备和计算机可读存储介质,能够实现提前预警待监控终端存在的违规事件。
为达到上述目的,本申请的技术方案是这样实现的:
一种信息确定方法,所述方法包括:
获取待监控终端的异常上网数据;
分析所述异常上网数据,确定所述待监控终端的上网行为的违规趋势;
基于所述违规趋势,预测所述待监控终端存在的风险事件。
可选地,所述分析所述异常上网数据,确定所述待监控终端的上网行为的违规趋势,包括:
按照信息维度将所述异常上网数据进行解析归类,形成异常上网信息集;其中,所述信息维度用于表征所述异常上网数据的属性信息;
从所述异常上网信息集中确定所述待监控终端的违规特征信息;
基于所述违规特征信息,确定所述待监控终端的上网行为的违规趋势。
可选地,所述从所述异常上网信息集中确定所述待监控终端的违规特征信息,包括:
基于所述待监控终端的标识地址和网络数据集,从所述异常上网信息集中确定所述待监控终端的违规类型;其中,所述标识地址表征所述待监控终端唯一的网络标识地址;
从所述异常上网信息集中获取预设周期内所述待监控终端的违规行为,基于所述违规行为和所述违规类型,确定所述待监控终端的每一违规类型的违规次数;
基于所述违规次数和所述违规类型,确定所述待监控终端的违规特征信息;其中,所述违规特征信息表征所述违规类型和违规次数的对应关系。
可选地,所述基于所述待监控终端的标识地址和网络数据集,从所述异常上网信息集中确定所述待监控终端的违规类型,包括:
基于所述待监控终端的标识地址确定所述待监控终端合法接入的情况下,从所述异常上网信息集中获取所述待监控终端的网络数据流,将所述网络数据流与所述网络数据集进行比对,确定所述待监控终端的违规类型。
可选地,所述方法还包括:
基于所述待监控终端的标识地址确定所述待监控终端属于非法接入的情况下,对所述待监控终端的标识地址进行上报并标记。
可选地,所述基于所述违规趋势,预测所述待监控终端存在的风险事件,包括:
获取趋势预警指标;
基于所述违规趋势和所述趋势预警指标,预测所述待监控终端存在的风险事件。
可选地,所述基于所述违规趋势,预测所述待监控终端存在的风险事件之后,所述方法还包括:
发送与所述违规趋势对应的提示信息至所述待监控终端,并对所述待监控终端进行网络访问控制。
可选地,所述对所述待监控终端进行网络访问控制,包括:
按照预设管控策略对所述待监控终端进行网络访问控制,并对所述待监控终端进行网络修复;其中,所述预设管控策略包括标识地址过滤策略、访问控制列表策略和局域网隔离策略。
可选地,所述获取待监控终端的异常上网数据,包括:
基于所述待监控终端的标识地址,联动交换机获取所述异常上网数据。
可选地,所述获取待监控终端的异常上网数据,还包括:
基于所述待监控终端的标识地址,接收所述待监控终端通过异常上报插件发送的所述异常上网数据。
一种信息确定设备,处理器、存储器和通信总线;处理器、存储器以及通信总线;其中,所述通信总线用于实现处理器和存储器之间的通信连接;
所述处理器用于执行存储器中的信息确定方法的程序,以实现如前任一所述的信息确定方法。
一种计算机可读存储介质,所述计算机可读存储介质有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现上述的信息确定方法的步骤。
本申请实施例所提供的信息确定方法、信息确定设备和计算机可读存储介质,获取待监控终端的异常上网数据;分析异常上述数据,确定待监控终端的上网行为的违规趋势;基于违规趋势,预测待监控终端存在的风险事件;如此,基于获取的异常上网数据来确定对应的上网行为的违规趋势,并基于该违规趋势,来预测待监控终端存在的风险事件,能够实现提前预警待监控终端存在的违规事件。
附图说明
图1为本申请实施例提供的一种信息确定方法的流程示意图;
图2为本申请实施例提供的另一种信息确定方法的流程示意图;
图3为本申请实施例提供的一种联动交换机来获取待监控终端的异常上网数据的示意图;
图4为本申请实施例提供的一种上网行为管理设备与交换机进行联动的控制流程示意图;
图5为本申请实施例提供的又一种信息确定方法的流程示意图;
图6为本申请实施例提供的一种违规数据挖掘的流程示意图;
图7为本申请实施例提供的一种信息确定设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述。
应理解,说明书通篇中提到的“本申请实施例”或“前述实施例”意味着与实施例有关的特定特征、结构或特性包括在本申请的至少一个实施例中。因此,在整个说明书各处出现的“本申请实施例中”或“在前述实施例中”未必一定指相同的实施例。此外,这些特定的特征、结构或特性可以任意适合的方式结合在一个或多个实施例中应。在本申请的各种实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
在未做特殊说明的情况下,信息确定设备执行本申请实施例中的任一步骤,可以是信息确定设备的处理器执行该步骤。还值得注意的是,本申请实施例并不限定信息确定设备执行下述步骤的先后顺序。另外,不同实施例中对数据进行处理所采用的方式可以是相同的方法或不同的方法。还需说明的是,本申请实施例中的任一步骤是信息确定设备可以独立执行的,即信息确定设备执行下述实施例中的任一步骤时,可以不依赖于其它步骤的执行。
应当理解,此处所描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
本申请实施例提供一种信息确定方法,应用于信息确定设备,如图1所示,该方法包括以下步骤:
步骤101、获取待监控终端的异常上网数据。
在本申请实施例中,信息确定设备可以为上网行为管理设备,也可以是具有上网行为管理系统的设备;其中,上网行为管理设备可以管控待监控终端的一切上网行为,如:即时通信聊天、网站访问、观看视频、玩游戏或外发文件等。在本申请以下实施例中,均以信息确定设备为上网行为管理设备为例进行说明。
需要说明的是,上网行为管理设备还可以帮助互联网用户控制和管理对网络的使用情况,其中包括但不限于以下操作:对网页访问进行过滤、上网隐私保护、网络应用控制和带宽流量管理等。
在本申请实施例中,上网行为管理设备与待监控终端之间可以基于简单网络管理协议(Simple Network Management Protocol,SNMP)来形成对应的系统,其中,SNMP是一种标准应用层协议,可以提供一种简单可靠的用于监控和管理网络设备的方法;且SNMP的基本思想是为不同种类的设备、不同厂家生产的设备、不同型号的设备,定义一个统一的接口和协议,使得管理员可以使用统一的接口和协议对这些网络设备进行管理;通过网络,管理员可以管理位于不同物理空间的设备,从而提高网络管理的效率,简化网络管理员的工作。
其中,待监控终端可以是与上网行为管理设备直接关联的设备,也可以是通过中间转接设备来连接;在一种可行的实现方式中,可以通过交换机来实现待监控终端与上网行为管理设备进行信息交互。
在本申请实施例中,上网数据可以是待监控终端的上网日志、上网流量、设备信息、上网地点信息、当前网络的当前速率、带宽分配和应用分布等;进而,异常上网数据可是待监控终端存在异常上网行为后产生的上述信息;在一种可行的实现方式中,异常上网数据还可以是待监控终端内部的杀毒软件或监测软件监测到的异常网络信息;在另一种可行的实现方式中,异常上网数据可以是待监控终端发生异常上网行为即上班时间玩游戏、看网络视频、长时间进行即时通讯软件聊天等产生的数据;本申请对异常上网数据具体指代不作任何限定。
需要说明的是,上网行为管理设备可以在网页过滤、行为控制、流量管理、防止内网泄密、防范法规风险、互联网访问行为记录和上网安全等多个方面进行管控,可以防止人员进行无关的网络活动,杜绝带宽资源滥用,加快上网速率,提升工作效率;同时还可以记录上网轨迹、管控外发信息、规避泄露和法规风险、防止待监控中毒、防止组织机密外泄、保障内部数据安全、智能数据分析提供可视化报表和详细报表,为网络管理和优化提供决策依据。
需要说明的是,待监控终端的异常上网数据是基于内部的网卡产生的信息,其中,网卡为待监控终端上允许待监控终端在网络上进行通讯的硬件模块,且每一网卡都有其唯一且对应的媒体访问控制(Media Access Control,MAC)地址,在网络上每一待监控终端都必须至少有一个独一无二的MAC地址,其可以使得用户操作待监控终端过程中通过电缆或无线的形式相互连接进行信息交互。
步骤102、分析异常上网数据,确定待监控终端的上网行为的违规趋势。
其中,对异常上网数据进行分析可以是基于网络数据模型对异常上网数据进行分析,还可以是基于预设处理策略对异常上网数据进行分析,本申请对此不作任何限定。
在本申请实施例中,待监控终端的上网行为的违规趋势可以但不限于以下信息:待监控终端的上网行为对应的流量趋势、待监控终端的上网行为对应的风险趋势、待监控终端的上网行为对应的泄密趋势或待监控终端的上网行为对应的效率趋势;进一步地,待监控终端的上网行为的违规趋势更可以是上述多种违规趋势的任意组合。
需要说明的是,违规趋势对应的上网行为可以包括一种上网行为,还可以包括至少两种以上的上网行为,本申请对此不作任何限定。
步骤103、基于违规趋势,预测待监控终端存在的风险事件。
在本申请实施例中,上网行为管理设备可以通过确定的违规趋势,来预测待监控终端在预设时间内存在的风险事件。
在一种可行的实现方式中,上网行为管理设备确定出待监控终端的上网行为的违规趋势为多次非法玩游戏,基于该多次非法玩游戏,可以预测待监控终端会存在因经常玩游戏导致其他运行的应用存在卡顿的风险事件。
在另一种可行的实现方式中,待监控终端的互联网协议(Internet Protocol,IP)地址在某一时间段内发生多次入网认证失败违规现象,可以预测该终端的IP地址被外部控制,即外部控制者企图暴力破解入网认证密码的风险事件。
本申请实施例所提供的信息确定方法,获取待监控终端的异常上网数据;分析异常上网数据,确定待监控终端的上网行为的违规趋势;基于违规趋势,预测待监控终端存在的风险事件;基于获取的异常上网数据来确定对应的上网行为的违规趋势,并基于该违规趋势,来预测待监控终端存在的风险事件,能够实现提前预警待监控终端存在的违规事件,进而灵活地管理待监控终端的上网行为。
基于前述实施例,本申请实施例提供一种信息确定方法,如图2所示,该方法包括以下步骤:
步骤201、信息确定设备获取待监控终端的异常上网数据。
在一种可行的实施方式中,信息确定设备在执行获取待监控终端的异常上网数据时,还可以通过以下步骤201a或步骤201b的方式来实现:
步骤201a、信息确定设备基于待监控终端的标识地址,联动交换机获取异常上网数据。
在本申请实施例中,上网行为管理设备联动交换机可以通过以下两种方式来实现:基于命令行界面(Command Line Interface,CLI)与交换机进行联动和通过SNMP控制方式与交换机进行联动;其中,基于CLI与交换机进行联动是上网行为管理设备的管理员提供配置交换机联动信息,包括安全外壳协议(secure shell,ssh)或远程终端协议(telnet)远程登录账户和密码,上网行为管理设备可以通过配置或者特征识别,在判定交换机厂商型号后,通过ssh或者telnet与交换机建立远程控制连接来实现联动操作;且通过SNMP控制方式与交换机进行联动,是上网行为管理设备的管理员提供交换机支持的SNMP协议版本、认证用户名、认证口令及加密方式等配置信息,然后基于SNMP协议,对交换机发送指定SNMP请求操作,完成对指定的交换机相对应的节点对象进行设置并关联。
如图3所示,给出了一种联动交换机来获取待监控终端的异常上网数据的示意图:用户操作待监控终端进行相关上网行为即实现用户上网,且待监控终端通过交换机和网络节点与网络之间进行连接,管理员配置安全策略至上网行为管理设备,上网行为管理设备通过与交换机联动来监控待监控终端的上网行为,并获取待监控终端的异常上网数据。
需要说明的是,通过CLI控制方式来联动交换具体工作原理是根据命令交互过程中交换机返回的提示符,确定当前的会话状态,如果当前的会话状态为登录状态时,需要提交用户名密码,可以匹配当前的提示符是否包含用户名,或者密码等关键字,如果有匹配到用户名则可以进行下一步操作;如提交用户名,用户提交正确的话,正常情况下交换机会提示输入登录密码,则可以进行下一步的密码提交,后面根据当前连接状态可以依次进行命令的提交,并进行提示符的匹配,判断执行是否成功,进而决定下一步的执行流程,直到流程结束。
如图4所示,给出了一种上网行为管理设备与交换机进行联动的控制流程示意图:上网行为管理设备执行开始命令,并加载全局配置来确定指定的交换机配置是否存在,如果否则直接退出;如果是则建立上网行为管理设备与交换机之间的连接会话即建立连接会话,在连接会话建立成功后上网行为管理设备提交访问控制信息,来判断两者的连接是否成功,如果否则直接退出,如果两者连接成功则执行控制动作,即发送CLI命令或SNMP请求来实现与交换机的联动。
步骤201b、信息确定设备基于待监控终端的标识地址,接收待监控终端通过异常上报插件发送的异常上网数据。
在本申请实施例中,待监控终端可以通过内部的异常上报插件来直接发送的异常上网数据至上网行为管理设备。
步骤202、信息确定设备按照信息维度将异常上网数据进行解析归类,形成异常上网信息集。
其中,信息维度用于表征异常上网数据的属性信息。
在本申请实施例中,信息维度可以是但不限于以下信息:异常上网数据的获取时间、异常上网数据的类型或异常上网数据的具体表现形式等。
在一种可行的实现方式中,信息维度指代异常上网数据的类型时,信息确定设备可以按照待监控终端的网络接入趋势、待监控终端的类型、待监控终端的网络新增趋势、待监控终端的网络分布情况、待监控终端的网络历史记录、待监控终端的违规类型或待监控终端的违规时间等将异常上网数据进行解析归类。
其中,异常上网信息集可以是表格的形式进行展现,还可以是以数组的形式进行展现,更可以是按照文档的形式进行展现,本申请对此不作任何限定。
步骤203、信息确定设备从异常上网信息集中确定待监控终端的违规特征信息。
在一种可行的实现方式中,步骤203还可以通过步骤203a至步骤203c的方式来实现:
步骤203a、信息确定设备基于待监控终端的标识地址和网络数据集,从异常上网信息集中确定待监控终端的违规类型。
其中,标识地址表征待监控终端唯一的网络标识地址。
在本申请实施例中,待监控终端的标识地址是待监控终端唯一的MAC地址;其中,网络数据集内部包括的信息可以是待监控终端内部正在运行的应用程序的上行网络数据流和下行网络数据流内部的信息。
需要说明的是,网络数据集中的信息可以是该上网行为管理设备内部提前设定好的,也可以上网行为管理设备按照预设策略生成的用于检验待监控终端的异常网络数据的违规标准数据集;其中网络数据集可以是待监控终端内部运行的应用在进行异常上网行为产生的所有数据,如:上网日志、上网流量、上网的网速或带宽分配等,其中,该网络数据集中的信息的表现形式可以多种多样,本申请对此不作任何限定。
在一种可行的实现方式中,信息确定设备在执行步骤203a时可以通过执行以下步骤来实现:
步骤a1、信息确定设备基于待监控终端的标识地址确定待监控终端合法接入的情况下,从异常上网信息集中获取待监控终端的网络数据流,将网络数据流与网络数据集进行比对,确定待监控终端的违规类型。
在本申请实施例中,上网行为管理设备通过对待监控终端的标识地址进行确定,并在确定其为合法接入的情况下,对待监控终端中基于异常上网行为产生的网络数据流,与网络数据集进行一一比对,确定出待监控终端的违规类型;如:上班时间玩游戏、看网络视频或长时间进行即时通讯软件聊天等。
在本申请实施例中,网络数据流是待监控终端存在违规上网行为下产生的网络数据,其中,该网络数据流可以包括但不限于以下信息,如:异常上网日志、异常上网流量、异常上网的网速或带宽分配等。
步骤203b、信息确定设备从异常上网信息集中获取预设周期内待监控终端的违规行为,基于违规行为和违规类型,确定待监控终端的每一违规类型的违规次数。
在本申请实施例中,信息确定设备通过待监控终端的违规行为和确定出的违规类型,将待监控终端的违规行为按照每一违规类型进行分类并整理,确定出待监控终端的每一违规类型发生的违规次数。
步骤203c、信息确定设备基于违规次数和违规类型,确定待监控终端的违规特征信息。
其中,违规特征信息表征违规类型和违规次数的对应关系。
在本申请实施例中,违规特征信息中包括但不限于待监控终端的违规类型和每一违规类型对应的违规次数。
步骤204、信息确定设备基于违规特征信息,确定待监控终端的上网行为的违规趋势。
在本申请实施例中,违规特征信息可以是预设时间段内出现的多种违规类型以及每一违规类型的违规次数,还可以是特定条件下出现的多种违规类型以及每一违规类型的违规次数。
需要说明的是,违规特征信息可以表格的形式进行表现,还可以通过图形的形式进行表现,更可以通过文档的形式进行表现;其中,违规特征信息在通过图形的形式进行表现时可以通过高斯分布即正态分布来表现。本申请对此不作任何限定。
在一种可行的实现方式中,上网行为管理设备对违规特征信息进行处理,获取其众数来直接得到待监控终端的上网行为的违规趋势。
需要说明的是,上网行为管理设备通过确定的违规特征信息,得到的违规趋势可以是特定时间段的待监控终端的上网行为的违规趋势,还可以是特定条件下的待监控终端的上网行为的违规趋势,更可以是特定区域内的待监控设备的上网行为的违规趋势,本申请对此不作任何限定。
步骤205、信息确定设备基于违规趋势,预测待监控终端存在的风险事件。
基于前述实施例,在步骤203a通过步骤a1进行细化描述时,本申请实施例还可以包括以下步骤:
步骤206、信息确定设备基于待监控终端的标识地址确定待监控终端属于非法接入的情况下,对待监控终端的标识地址进行上报并标记。
在本申请实施例中,上网行为管理设备通过预设的资产识别策略来识别待监控终端的标识地址是否属于合法接入,在一种可行的实现方式中,上网行为管理设备确定待监控终端的标识地址属于非法接入内网的情况下,对该待监控终端的标识地址进行异常上报并标识;其中,该内网环境可能已被入侵,入侵者可能在利用该待监控设备进行内网信息窃取或在劫持相关待监控终端,需要上网行为管理设备对该待监控终端进行网络访问限制等隔离处理,并进一步从内网中将其标识地址进行摘除。
需要说明的是,本实施例中与其它实施例中相同步骤和相同内容的说明,可以参照其它实施例中的描述,此处不再赘述。
本申请实施例所提供的信息确定方法,基于获取的异常上网数据来确定对应的上网行为的违规趋势,并基于该违规趋势,来预测待监控终端存在的风险事件,能够实现提前预警待监控终端存在的违规事件,进而灵活地管理待监控终端的上网行为。
基于前述实施例,本申请实施例提供一种信息确定方法,如图5所示,该方法包括以下步骤:
步骤301、信息确定设备获取待监控终端的异常上网数据。
步骤302、信息确定设备按照信息维度将异常上网数据进行解析归类,形成异常上网信息集。
其中,信息维度用于表征异常上网数据的属性信息。
步骤303、信息确定设备从异常上网信息集中确定待监控终端的违规特征信息。
步骤304、信息确定设备基于违规特征信息,确定待监控终端的上网行为的违规趋势。
步骤305、信息确定设备获取趋势预警指标。
在本申请实施例中,趋势预警指标可以是上网行为管理设备按照预设策略生成的,还可以是设备管理员直接输入至上网行为管理设备内部的;其中,趋势预警指标可以是一个数值,还可以是一个规格,更可以是一组数据形成的标准。
需要说明的是,趋势预警指标与违规趋势内部存在的违规类型是一一对应的,换而言之,每一违规类型对应的违规趋势,也对应一趋势预警指标。
步骤306、信息确定设备基于违规趋势和趋势预警指标,预测待监控终端存在的风险事件。
在本申请实施例中,上网行为管理设备将违规趋势和趋势预警指标按照预设规则进行比对或分析,来预测待监控终端存在的风险事件。
其中,风险事件可以是待监控终端内部自身存在的硬件部件的风险事件,还可以是待监控终端运行的与网络进行信息交互的应用程序存在的风险事件,更可以操作该待监控终端的用户执行相应的操作而产生的风险事件,本申请对风险事件的具体指代不作任何限定。
需要说明的是,本实施例中与其它实施例中相同步骤和相同内容的说明,可以参照其它实施例中的描述,此处不再赘述。
本申请实施例所提供的信息确定方法,基于获取的异常上网数据来确定对应的上网行为的违规趋势,并基于该违规趋势,来预测待监控终端存在的风险事件,能够实现提前预警待监控终端存在的违规事件,进而灵活地管理待监控终端的上网行为。
基于前述实施例,在本申请其他实施例中,信息确定设备在执行预测待监控终端存在的风险事件之后,即信息确定设备在执行步骤103、步骤205和步骤306之后,还可以执行以下步骤A:
步骤A、信息确定设备发送与违规趋势对应的提示信息至待监控终端,并对待监控终端进行网络访问控制。
在本申请实施例中,与违规趋势对应的提示信息可以是违规预警信息,还可以是提醒修复信息,更可以是指示更改信息,本申请对提示信息的具体指代不作任何限定。
在一种可行的实现方式中,上网行为管理设备在预测到待监控终端存在网络异常的风险事件后,上网行为管理设备发送网络异常提示信息至待监控终端;其中,网络异常提示信息可以是提示网速较慢提示信息,也可以是提示网络情况不稳定的提示信息,还可以是提示网络接入有风险的提示信息。
在另一种可行的实现方式中,上网行为管理设备在预测到待监控终端存在上班期间玩游戏等的违规行为的风险事件后,上网行为管理设备发送违规告警信息至待监控终端,以提示用户关闭相关游戏应用等。
在又一种可行的而实现方式中,上网行为管理设备在预测到待监控终端在特定时间段存在网络断开的风险事件后,上网行为管理设备发送即将关闭网络的提示信息。
在又一种可行的实现方式中,上网行为管理设备在预测待监控终端存在多次输入相关用户密码错误的风险事件后,即可能存在非法破解密码的风险事件后,上网行为管理设备即将关闭相关应用的提示信息。
需要说明的是,上网行为管理设备可以直接发送与违规趋势对应的提示信息至待监控终端,还可以通过交换机联动来发送与违规趋势对应的提示信息至待监控终端。
在一种可行的实现方式中,信息确定设备在执行步骤A中的对待监控终端进行网络访问控制,可以通过以下步骤来实现:
步骤A1、信息确定设备按照预设管控策略对待监控终端进行网络访问控制,并对待监控终端进行网络修复。
其中,预设管控策略包括标识地址过滤策略、访问控制列表策略和局域网隔离策略。
在本申请实施例中,上网行为管理设备检测到待监控终端存在违规的上网行为时,可以通过联动交换机根据预设管控策略中的任一网络访问控制方法来实现对待监控终端的网络访问控制。
需要说明的是,上网行为管理设备通过管理员配置的准入安全策略来生成预设管控策略;其中,准入安全策略可以是通过杀软检测、外联检测、外联控制或外设管控等生成的。
需要说明的是,标识地址过滤策略、访问控制列表(Access Control Lists,ACL)策略和局域网隔离策略一一对应的是端口阻塞隔离、ACL策略和虚拟局域网(VirtualLocal Area Network,VLAN)隔离策略;其中,标识地址过滤策略即对待监控终端执行对应的端口阻塞,ACL策略即对待监控终端执行对应的ACL规则下发,VLAN隔离策略即对待监控终端执行VLAN切换。
在本申请实施例中,上网行为管理设备对待监控终端进行网络修复包括但不限于以下两种方式,其一是上网行为管理设备提示引导操作待监控终端的用户进行网络修复,例如检测到待监控终端没有安全指定的杀毒软件,则上网行为管理设备则提示引导操作待监控终端的用户自行下载安装指定名称和版本的杀毒软件;其二是上网行为管理设备在后台进行远程修复,例如检测到待监控终端没有安装系统补丁,则从补丁库下发对应的补丁到终端进行安装,实现自行修复。
需要说明的是,上网行为管理设备在监控到待监控终端违规行为消失即处于正常的上网行为时,则通过预设策略进行自动解除对应的网络限制访问将待监控终端还原到网络限制访问前的网络状态。
如图6所示,给出了一种违规数据挖掘的流程示意图,用户操作待监控终端出现异常上网行为后,即待监控终端存在上网终端违规的情况下,通过交换机或待监控终端的插件上报违规数据至上网行为管理设备,上网行为管理设备将获取的违规数据进行违规分类产生对应的报表,对该报表进行分析来挖掘风险事件。
基于前述实施例,本申请的实施例还提供一种信息确定设备7,该信息确定设备7可以应用于图1~2、图5对应的实施例提供的一种信息确定方法中,参照图7所示,该信息确定设备7可以包括:处理器71、存储器72和通信总线73,其中:
通信总线73用于实现处理器71和存储器72之间的通信连接。
处理器71用于执行存储器72中存储的信息确定方法的程序,以实现以下步骤:
获取待监控终端的异常上网数据;
分析异常上网数据,确定待监控终端的上网行为的违规趋势;
基于违规趋势,预测待监控终端存在的风险事件。
在本申请的其他实施例中,处理器71用于执行存储器72中存储的分析异常上网数据,确定待监控终端的上网行为的违规趋势,还可以实现以下步骤:
按照信息维度将异常上网数据进行解析归类,形成异常上网信息集;其中,信息维度用于表征异常上网数据的属性信息;
从异常上网信息集中确定待监控终端的违规特征信息;
基于违规特征信息,确定待监控终端的上网行为的违规趋势。
在本申请的其他实施例中,处理器71用于执行存储器72中存储的从异常上网信息集中确定待监控终端的违规特征信息,还可以实现以下步骤:
基于待监控终端的标识地址和网络数据集,从异常上网信息集中确定出待监控终端的违规类型;其中,标识地址表征待监控终端唯一的网络标识地址;
从异常上网信息集中获取预设周期内待监控终端的违规行为,基于违规行为和违规类型,确定待监控终端的每一违规类型的违规次数;
基于违规次数和违规类型,确定待监控终端的违规特征信息;其中,违规特征信息表征违规类型和违规次数的对应关系。
在本申请的其他实施例中,处理器71用于执行存储器72中存储的基于待监控终端的标识地址和网络数据集,从异常上网信息集中确定待监控终端的违规类型,还可以实现以下步骤:
基于待监控终端的标识地址确定待监控终端合法接入的情况下,从异常上网信息集中获取待监控终端的网络数据流,将网络数据流与网络数据集进行比对,确定待监控终端的违规类型。
在本申请的其他实施例中,处理器71用于执行存储器72中存储的信息确定方法时,还可以实现以下步骤:
基于待监控终端的标识地址确定待监控终端属于非法接入的情况下,对待监控终端的标识地址进行上报并标记。
在本申请的其他实施例中,处理器71用于执行存储器72中存储的基于违规趋势,预测待监控终端存在的风险事件,还可以实现以下步骤:
获取趋势预警指标;
基于违规趋势和趋势预警指标,预测待监控终端存在的风险事件。
在本申请的其他实施例中,处理器71用于执行存储器72中存储的基于违规趋势,预测待监控终端存在的风险事件之后,还可以实现以下步骤:
发送与违规趋势对应的提示信息至待监控终端,并对待监控终端进行网络访问控制。
在本申请的其他实施例中,处理器71用于执行存储器72中存储的对待监控终端进行网络访问控制,还可以实现以下步骤:
按照预设管控策略对待监控终端进行网络访问控制,并对待监控终端进行网络修复;其中,预设管控策略包括标识地址过滤策略、访问控制列表策略和局域网隔离策略。
在本申请的其他实施例中,处理器71用于执行存储器72中存储的获取待监控终端的异常上网数据,还可以实现以下步骤:
基于待监控终端的标识地址,联动交换机获取异常上网数据。
在本申请的其他实施例中,处理器71用于执行存储器72中存储的获取待监控终端的异常上网数据,还可以实现以下步骤:
基于待监控终端的标识地址,接收待监控终端通过异常上报插件发送的异常上网数据。
本申请实施例所提供的信息确定设备,基于获取的异常上网数据来确定对应的上网行为的违规趋势,并基于该违规趋势,来预测待监控终端存在的风险事件,能够实现提前预警待监控终端存在的违规事件,进而灵活地管理待监控终端的上网行为。
基于前述实施例,本申请的实施例提供一种计算机可读存储介质,计算机可读存储介质存储有一个或者多个程序,该一个或者多个程序可被一个或者多个处理器执行,以实现如图1~2、图5对应的实施例提供的信息确定方法的步骤。
需要说明的是,上述计算机可读存储介质可以是只读存储器(Read Only Memory,ROM)、可编程只读存储器(Programmable Read-Only Memory,PROM)、可擦除可编程只读存储器(Erasable Programmable Read-Only Memory,EPROM)、电可擦除可编程只读存储器(Electrically Erasable Programmable Read-Only Memory,EEPROM)、磁性随机存取存储器(Ferromagnetic Random Access Memory,FRAM)、快闪存储器(Flash Memory)、磁表面存储器、光盘、或只读光盘(Compact Disc Read-Only Memory,CD-ROM)等存储器;也可以是包括上述存储器之一或任意组合的各种信息确定设备,如移动电话、计算机、平板设备、个人数字助理等。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本申请各个实施例所描述的方法。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上仅为本申请的优选实施例,并非因此限制本申请的专利范围,凡是利用本申请说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本申请的专利保护范围内。
Claims (12)
1.一种信息确定方法,其特征在于,所述方法包括:
获取待监控终端的异常上网数据;
分析所述异常上网数据,确定所述待监控终端的上网行为的违规趋势;
基于所述违规趋势,预测所述待监控终端存在的风险事件。
2.根据权利要求1所述的方法,其特征在于,所述分析所述异常上网数据,确定所述待监控终端的上网行为的违规趋势,包括:
按照信息维度将所述异常上网数据进行解析归类,形成异常上网信息集;其中,所述信息维度用于表征所述异常上网数据的属性信息;
从所述异常上网信息集中确定所述待监控终端的违规特征信息;
基于所述违规特征信息,确定所述待监控终端的上网行为的违规趋势。
3.根据权利要求2所述的方法,其特征在于,所述从所述异常上网信息集中确定所述待监控终端的违规特征信息,包括:
基于所述待监控终端的标识地址和网络数据集,从所述异常上网信息集中确定所述待监控终端的违规类型;其中,所述标识地址表征所述待监控终端唯一的网络标识地址;
从所述异常上网信息集中获取预设周期内所述待监控终端的违规行为,基于所述违规行为和所述违规类型,确定所述待监控终端的每一违规类型的违规次数;
基于所述违规次数和所述违规类型,确定所述待监控终端的违规特征信息;其中,所述违规特征信息表征所述违规类型和违规次数的对应关系。
4.根据权利要求3所述的方法,其特征在于,所述基于所述待监控终端的标识地址和网络数据集,从所述异常上网信息集中确定所述待监控终端的违规类型,包括:
基于所述待监控终端的标识地址确定所述待监控终端合法接入的情况下,从所述异常上网信息集中获取所述待监控终端的网络数据流,将所述网络数据流与所述网络数据集进行比对,确定所述待监控终端的违规类型。
5.根据权利要求3或4所述的方法,其特征在于,所述方法还包括:
基于所述待监控终端的标识地址确定所述待监控终端属于非法接入的情况下,对所述待监控终端的标识地址进行上报并标记。
6.根据权利要求1所述的方法,其特征在于,所述基于所述违规趋势,预测所述待监控终端存在的风险事件,包括:
获取趋势预警指标;
基于所述违规趋势和所述趋势预警指标,预测所述待监控终端存在的风险事件。
7.根据权利要求1或6所述的方法,其特征在于,所述基于所述违规趋势,预测所述待监控终端存在的风险事件之后,所述方法还包括:
发送与所述违规趋势对应的提示信息至所述待监控终端,并对所述待监控终端进行网络访问控制。
8.根据权利要求7所述的方法,其特征在于,所述对所述待监控终端进行网络访问控制,包括:
按照预设管控策略对所述待监控终端进行网络访问控制,并对所述待监控终端进行网络修复;其中,所述预设管控策略包括标识地址过滤策略、访问控制列表策略和局域网隔离策略。
9.根据权利要求1所述的方法,其特征在于,所述获取待监控终端的异常上网数据,包括:
基于所述待监控终端的标识地址,联动交换机获取所述异常上网数据。
10.根据权利要求1所述的方法,其特征在于,所述获取待监控终端的异常上网数据,还包括:
基于所述待监控终端的标识地址,接收所述待监控终端通过异常上报插件发送的所述异常上网数据。
11.一种信息确定设备,其特征在于,所述信息确定设备包括:处理器、存储器和通信总线;
所述通信总线用于实现所述处理器和所述存储器之间的通信连接;
所述处理器用于执行所述存储器中的程序,以实现如权利要求1至10中任一所述的信息确定方法。
12.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现如权利要求1至10中任一项所述的信息确定方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010880132.3A CN112104618A (zh) | 2020-08-27 | 2020-08-27 | 一种信息确定方法、信息确定设备和计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010880132.3A CN112104618A (zh) | 2020-08-27 | 2020-08-27 | 一种信息确定方法、信息确定设备和计算机可读存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112104618A true CN112104618A (zh) | 2020-12-18 |
Family
ID=73758081
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010880132.3A Pending CN112104618A (zh) | 2020-08-27 | 2020-08-27 | 一种信息确定方法、信息确定设备和计算机可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112104618A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112437077A (zh) * | 2020-11-19 | 2021-03-02 | 迈普通信技术股份有限公司 | 第三方arp攻击、异常处理方法、vrrp网络及系统 |
| CN114244570A (zh) * | 2021-11-18 | 2022-03-25 | 广东电网有限责任公司 | 终端非法外联监测方法、装置、计算机设备和存储介质 |
| CN116471237A (zh) * | 2023-06-16 | 2023-07-21 | 四川轻化工大学 | 一种基于QoS技术的网络沉迷控制方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107483500A (zh) * | 2017-09-25 | 2017-12-15 | 咪咕文化科技有限公司 | 一种基于用户行为的风险识别方法、装置及存储介质 |
| CN109241461A (zh) * | 2018-08-10 | 2019-01-18 | 新华三信息安全技术有限公司 | 一种用户画像构建方法及装置 |
| CN109922055A (zh) * | 2019-02-26 | 2019-06-21 | 深圳市信锐网科技术有限公司 | 一种风险终端的检测方法、系统及相关组件 |
| CN110061854A (zh) * | 2018-01-18 | 2019-07-26 | 华东明 | 一种无边界网络智能运维管理方法与系统 |
| CN110059984A (zh) * | 2019-04-30 | 2019-07-26 | 深信服科技股份有限公司 | 安全风险识别方法、装置、设备及存储介质 |
| WO2020073688A1 (zh) * | 2018-10-08 | 2020-04-16 | 平安科技(深圳)有限公司 | 预测网络设备异常的方法、装置、设备及存储介质 |
-
2020
- 2020-08-27 CN CN202010880132.3A patent/CN112104618A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107483500A (zh) * | 2017-09-25 | 2017-12-15 | 咪咕文化科技有限公司 | 一种基于用户行为的风险识别方法、装置及存储介质 |
| CN110061854A (zh) * | 2018-01-18 | 2019-07-26 | 华东明 | 一种无边界网络智能运维管理方法与系统 |
| CN109241461A (zh) * | 2018-08-10 | 2019-01-18 | 新华三信息安全技术有限公司 | 一种用户画像构建方法及装置 |
| WO2020073688A1 (zh) * | 2018-10-08 | 2020-04-16 | 平安科技(深圳)有限公司 | 预测网络设备异常的方法、装置、设备及存储介质 |
| CN109922055A (zh) * | 2019-02-26 | 2019-06-21 | 深圳市信锐网科技术有限公司 | 一种风险终端的检测方法、系统及相关组件 |
| CN110059984A (zh) * | 2019-04-30 | 2019-07-26 | 深信服科技股份有限公司 | 安全风险识别方法、装置、设备及存储介质 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112437077A (zh) * | 2020-11-19 | 2021-03-02 | 迈普通信技术股份有限公司 | 第三方arp攻击、异常处理方法、vrrp网络及系统 |
| CN114244570A (zh) * | 2021-11-18 | 2022-03-25 | 广东电网有限责任公司 | 终端非法外联监测方法、装置、计算机设备和存储介质 |
| CN114244570B (zh) * | 2021-11-18 | 2023-12-22 | 广东电网有限责任公司 | 终端非法外联监测方法、装置、计算机设备和存储介质 |
| CN116471237A (zh) * | 2023-06-16 | 2023-07-21 | 四川轻化工大学 | 一种基于QoS技术的网络沉迷控制方法 |
| CN116471237B (zh) * | 2023-06-16 | 2023-10-13 | 四川轻化工大学 | 一种基于QoS技术的网络沉迷控制方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20220239687A1 (en) | Security Vulnerability Defense Method and Device | |
| CN112104618A (zh) | 一种信息确定方法、信息确定设备和计算机可读存储介质 | |
| CN107809433B (zh) | 资产管理方法及装置 | |
| CN111274583A (zh) | 一种大数据计算机网络安全防护装置及其控制方法 | |
| US9928359B1 (en) | System and methods for providing security to an endpoint device | |
| CN117081868B (zh) | 一种基于安全策略的网络安全运营方法 | |
| CN113660224A (zh) | 基于网络漏洞扫描的态势感知防御方法、装置及系统 | |
| KR102433928B1 (ko) | 자율 운항 선박의 사이버 보안 관리 시스템 | |
| US10637864B2 (en) | Creation of fictitious identities to obfuscate hacking of internal networks | |
| CN112163198B (zh) | 一种主机登录安全检测方法、系统、装置及存储介质 | |
| CN113614718A (zh) | 异常用户会话检测器 | |
| KR101823421B1 (ko) | 화이트리스트 기반의 네트워크 보안 장치 및 방법 | |
| CN112653655A (zh) | 汽车安全通信控制方法、装置、计算机设备及存储介质 | |
| CN108229157A (zh) | 服务器入侵预警方法及设备 | |
| CN115314286A (zh) | 一种安全保障系统 | |
| CN114625074A (zh) | 一种用于火电机组dcs系统的安全防护系统及方法 | |
| CN113422776A (zh) | 一种面向信息网络安全的主动防御方法及系统 | |
| CN110086812B (zh) | 一种安全可控的内网安全巡警系统及方法 | |
| CN115086081B (zh) | 一种蜜罐防逃逸方法及系统 | |
| KR101343693B1 (ko) | 네트워크 보안시스템 및 그 처리방법 | |
| CN111212077A (zh) | 主机访问系统及方法 | |
| CN115085956B (zh) | 入侵检测方法、装置、电子设备及存储介质 | |
| TWM632159U (zh) | 依記錄分析結果執行任務以實現設備聯防之系統 | |
| KR20100067383A (ko) | 서버 보안 시스템 및 서버 보안 방법 | |
| TWI835113B (zh) | 依記錄分析結果執行任務以實現設備聯防之系統及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |