CN112383417B - 一种终端安全外联检测方法、系统、设备及可读存储介质 - Google Patents
一种终端安全外联检测方法、系统、设备及可读存储介质 Download PDFInfo
- Publication number
- CN112383417B CN112383417B CN202011202793.7A CN202011202793A CN112383417B CN 112383417 B CN112383417 B CN 112383417B CN 202011202793 A CN202011202793 A CN 202011202793A CN 112383417 B CN112383417 B CN 112383417B
- Authority
- CN
- China
- Prior art keywords
- network connection
- network
- terminal
- model
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0876—Network utilisation, e.g. volume of load or congestion level
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Environmental & Geological Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种终端安全外联检测方法、系统、设备及可读存储介质,该方法包括:持续采集网络终端的网络连接信息;构建与网络连接信息对应的网络连接模型;采集网络终端的实时网络连接信息;比对实时网络连接信息和网络连接模型,得到连接网络终端的非法外联地址。该方法,通过比较实时网络连接信息与网络连接模型,便可得到连接网络终端的非法外联地址。相较于基于数据响应报文或设备流量,该方法直接学习得到网络连接模型,并采集实时网络连接情况与网络连接模型进行比较,能够更加快速、准确地检出非法外联。
Description
技术领域
本发明涉及安全保障技术领域,特别是涉及一种终端安全外联检测方法、系统、设备及可读存储介质。
背景技术
非法外联,指设备(终端)在非用户授权的情况下,与非该设备业务网段发生了网络连接关系。
目前的,针对非法外联的检测,主要依赖于安全检测设备和流量分析设备。其中,安全检测设备,基于设备的数据响应报文进行非法外联行为检测,其检测效率、检测准确率均较差;流量分析设备只能分析设备流量,但不能基于设备行为建模监控,预警能力不强。
综上所述,如何有效地解决检测终端对应的非法外联等问题,是目前本领域技术人员急需解决的技术问题。
发明内容
本发明的目的是提供一种终端安全外联检测方法、系统、设备及可读存储介质,以通过采集网络终端的网络连接信息,来检测非法外联,以提高非法外联检测的准确率和效率。
为解决上述技术问题,本发明提供如下技术方案:
一种非法外联检测方法,包括:
持续采集网络终端的网络连接信息;
构建与所述网络连接信息对应的网络连接模型;
采集所述网络终端的实时网络连接信息;
比对所述实时网络连接信息和所述网络连接模型,得到连接所述网络终端的非法外联地址。
优选地,还包括:
阻断所述非法外联地址对应的目标网络连接。
优选地,所述持续采集网络终端的网络连接信息,包括:
持续监控所述网络终端的每路网络连接,并采集各路所述网络连接分别对应的五元组信息;
将各个所述五元组信息确定为所述网络连接信息。
优选地,所述持续采集网络终端的网络连接信息,包括:
在确定所述网络终端处于正常工作状态下,持续采集所述网络连接信息。
优选地,构建与所述网络连接信息对应的网络连接模型,包括:
比对所述网络连接信息与当前网络连接模型,确定出当前网络连接模型中未记录的目标网络连接;
利用所述目标网络连接,对所述当前网络连接模型进行更新。
优选地,比对所述实时网络连接信息和所述网络连接模型,得到连接所述网络终端的非法外联地址,包括:
比对所述实时网络连接信息与所述网络连接模型,确定出所述网络连接模型中未记录的目标网络连接;
从所述实时网络连接信息中,查找出所述目标网络连接对应的连接地址;
将所述连接地址确定为所述非法外联地址。
优选地,在比对所述实时网络连接信息与所述网络连接模型,确定出所述网络连接模型中未记录的目标网络连接之后,还包括:
获取所述目标网络连接对应的网络流量和数据响应报文;
若所述网络流量大于流量阈值,和/或,发现所述数据响应报文异常,则执行将所述连接地址确定为所述非法外联地址的步骤。
一种终端安全外联检测系统,包括:
部署了模型中心和策略模块的云端威胁分析中心,以及部署了安全模块的网络终端;
所述安全模块,用于在学习阶段持续采集所述网络终端的网络连接信息,以及在检测阶段采集所述网络终端的实时网络连接信息;
所述模型中心,用于构建与所述网络连接信息对应的网络连接模型;比对所述实时网络连接信息和所述网络连接模型,在得到连接所述网络终端的非法外联地址后,触发所述策略模块;
所述策略模块,用于生成与所述非法外联地址对应的安全防护策略,并发送给所述网络终端,以便所述网络终端执行所述安全防护策略阻断所述非法外联地址对应的网络连接。
一种电子设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现上述终端安全外联检测方法的步骤。
一种可读存储介质,所述可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述终端安全外联检测方法的步骤。
应用本发明实施例所提供的方法,持续采集网络终端的网络连接信息;构建与网络连接信息对应的网络连接模型;采集网络终端的实时网络连接信息;比对实时网络连接信息和网络连接模型,得到连接网络终端的非法外联地址。
在本方法中,考虑到在正常的网络里,每一类网络终端其业务是相对固定的,在网络终端正常工作时,其网络连接情况相对稳定。因此,首先学习网络终端通常的网络连接状态。具体的,持续采集网络终端的网络连接信息,并基于网络连接信息,构建出网络终端的网络连接模型。由于一旦产生非法外联,实时网络连接信息便会产生变化。因此,通过比较实时网络连接信息与网络连接模型,便可得到连接网络终端的非法外联地址。相较于基于数据响应报文或设备流量,直接学习得到网络连接模型,并采集实时网络连接情况与网络连接模型进行比较,能够更加快速、准确地检测出非法外联。
相应地,本发明实施例还提供了与上述终端安全外联检测方法相对应的终端安全外联检测系统、设备和可读存储介质,具有上述技术效果,在此不再赘述。
附图说明
为了更清楚地说明本发明实施例或相关技术中的技术方案,下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例中一种终端安全外联检测方法的实施流程图;
图2为本发明实施例中一种终端安全外联检测系统的结构示意图;
图3为本发明实施例中一种终端安全外联检测系统实施终端安全外联检测方法的具体示意图;
图4为本发明实施例中一种电子设备的结构示意图;
图5为本发明实施例中一种电子设备的具体结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面结合附图和具体实施方式对本发明作进一步的详细说明。显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参考图1,图1为本发明实施例中一种终端安全外联检测方法的流程图,该方法包括以下步骤:
S101、持续采集网络终端的网络连接信息。
其中,网络终端可以为任意一个可能产生非法外联的终端,该网络中的可以为PC、服务器,还可以为适用于各种Linux、android系统的终端,如能够产生网络连接的电器设备(智能空调,冰箱、电视机等)。
在本实施例中,可通过在网络终端中设置一个安全模块,然后利用该安全模块采集该网络终端的网络连接信息。
其中,网络连接线信息即指与该网络终端的网络连接关系对应的信息,例如,可以采用网络连接两端的终端名,IP地址,通信协议,设备型号等信息中的一种或多种来表征。
在本发明的一种具体实施方式中,步骤S101持续采集网络终端的网络连接信息,可具体包括:
步骤一、持续监控网络终端的每路网络连接,并采集各路网络连接分别对应的五元组信息;
步骤二、将各个五元组信息确定为网络连接信息。
即,使用五元组信息(源地址、源端口、通信协议、目的地址、目的端口)来表征网络连接信息。该五元组信息可以从该网络中的接收或发送的报文中获得,当然也可采用其他能够获取该五元组信息的方式进行获取。
也就是说,在本实施例中,网络连接信息的参数定义如表1。
表1
源地址 | 源端口 | 协议 | 目的地址 | 目的端口 |
Source IP | Source port | Protocol | Destination IP | Destination port |
持续采集网络终端的网络连接信息,即在一段时间内,不断地采集网络连接信息。采集得到的网络连接信息可参照表1形式进行记录和保存。请参考表2,表2为持续采集得到的网络连接信息。
表2
源地址 | 源端口 | 协议 | 目的地址 | 目的端口 |
Source IP | Source port | Protocol 1 | Destination IP1 | Destination port1 |
Source IP | Source port | Protocol 1 | Destination IP1 | Destination port1 |
Source IP | Source port | Protocol 1 | Destination IP1 | Destination port1 |
Source IP | Source port | Protocol 2 | Destination IP2 | Destination port2 |
Source IP | Source port | Protocol 2 | Destination IP2 | Destination port2 |
…… |
在本发明的一种具体实施例方式中,步骤S101持续采集网络终端的网络连接信息,可具体为在确定网络终端处于正常工作状态下,持续采集网络连接信息。也就是说,在持续采集网络连接信息时,可采用有监督方式(如管理人员确保当前未产生非法外联的情况下进行),确保所采集的网络连接信息是正常状态下的连接信息。如此,便可确保网络连接模型的准确性。
S102、构建与网络连接信息对应的网络连接模型。
在得到网络连接信息之后,便可基于该网络连接信息构建出该网络终端对应的网络连接模型。该网络连接模型可视为网络关系白名单模型。
以表2所示的网络连接信息为例,构建网络连接模型的算法可以设置为:Functionself-learning{source ip,source port,protocol,destination ip、destinationport},通过算法持续自学习,监测到网络终端正常业务通信所采用的协议与地址分别是:Protocol1,destination IP 1,destination port1;以及Protocol2,destination IP 2,destination port2;即网络连接模型如表3所示。
表3
源地址 | 源端口 | 协议 | 目的地址 | 目的端口 |
Source IP | Source port | Protocol 1 | Destination IP1 | Destination port1 |
Source IP | Source port | Protocol 2 | Destination IP2 | Destination port2 |
对于更复杂的网络连接关系下,构建网络连接模型的方式可以此类推,在此不再一一赘述。在实际应用中,在构建网络连接模型时,还可根据网络连接信息中对各路网络连接的出现次数进行筛选,将出现次数大于预设次数(如2次或2次以上)的网络连接记录在网络连接模型中。
在本发明的一种具体实施例方式,步骤S102构建与网络连接信息对应的网络连接模型,可具体包括:
步骤一、比对网络连接信息与当前网络连接模型,确定出当前网络连接模型中未记录的目标网络连接;
步骤二、利用目标网络连接,对当前网络连接模型进行更新。
为便于说明,下面将上述两个步骤结合起来进行说明。
考虑到当产生业务变更,或业务升级等情况,可能会导致网络终端的网络连接情况发生变化。在构建网络连接模型时,若当前已存在网络连接模型,可先比对网络连接信息与网络连接模型,在确定当前网络连接满足中未记录目标网络连接的情况下,直接在将目标网络连接添加在当前网络连接模型中,如此便实现了网络连接模型的更新,也省去了重新构建网络连接模型。
S103、采集网络终端的实时网络连接信息。
在构建出网络连接模型之后,便可对网络终端进行非法外联检测。具体的,可采集网络终端的实时网络连接信息。需要说明的是,实时网络连接信息与步骤S101采集的网络连接信息的表征方式,采集方式均可相互参照,二者之间的区别在于网络连接信息是针对一段时间内的网络终端的全部网络连接对应的信息,而实时网络连接信息是针对一个时刻的网络终端的全部网络连接对应的信息;另外,网络连接信息的用途是构建网络连接模型,是作为非法外联检测的参考,而实时网络连接信息的用途是将其与网络连接模型进行比对,及时发现当前存在的非法外联。
S104、比对实时网络连接信息和网络连接模型,得到连接网络终端的非法外联地址。
比对实时网络连接信息与网络连接模型,即比对二者之间是否存在差异性内容,尤其是要比对找出出现在实时网络连接信息中,而未在网络连接模型中未出现的某连接信息。即通过比对实时网络连接信息和网络连接模型,得到连接网络终端的非法外联地址。
在本发明的一种具体实施方式中,得到非法外联地址的过程,包括:
步骤一、比对实时网络连接信息与网络连接模型,确定出网络连接模型中未记录的目标网络连接;
步骤二、从实时网络连接信息中,查找出目标网络连接对应的连接地址;
步骤三、将连接地址确定为非法外联地址。
为便于描述,下面将上述三个步骤结合起来进行说明。
基于已经建立的网络连接模型,可利用大数据分析技术,采用高效的算法将最新复杂的网络连接数据与正常网络关系模型进行对比,并基于对比结果进行偏离度分析,基于模式识别远离,得出最后的判别结论。举例说明:基于如表1的参数设定,在实际的网络通信过程中,得到如表4所示的实时网络连接信息。
表4
源地址 | 源端口 | 协议 | 目的地址 | 目的端口 |
Source IP | Source port | Protocol 1 | Destination IP1 | Destination port1 |
Source IP | Source port | Protocol 2 | Destination IP2 | Destination port2 |
Source IP | Source port | Protocol 2 | Destination IP2 | Destination port2 |
Source IP | Source port | Protocol 1 | Destination IP3 | Destination port3 |
Source IP | Source port | Protocol 2 | Destination IP3 | Destination port3 |
…… |
基于对比原理,可以得出采用protocol1、protocol2与destination IP3、port3的网络连接偏离网络连接模型(即在如表4所示的实时网络连接信息中具有protocol1、protocol2与destination IP3、port3的网络连接,而在表3中未记录)。
基于此,可以快速识别出,source IP、source port存在通过protocol1与protocol2与destination IP3、port3进行非法外联的通信行为,即可确定非法外联地址为destination IP3、port3。
在本发明的一种具体实施例方式,在比对实时网络连接信息与网络连接模型,确定出网络连接模型中未记录的目标网络连接之后,还可以获取目标网络连接对应的网络流量和数据响应报文;若网络流量大于流量阈值,和/或,发现数据响应报文异常,则执行将连接地址确定为非法外联地址的步骤。也就是说,在确定出现网络连接模型中未记录的目标网络连接之后,可以通过网络流量检测,数据响应报文检测,在明确出现了网络流量异常的情况下,或数据响应报文异常的情况下,或二者均检测出异常的情况下,才确定出现了非法外联。如此,便可避免因业务变更而导致网络终端的网络连接状态发生变化,而错误地将正常的网络连接检测为非法外联,能够有效提高非法外联检测的准确率。对于如何进行数据响应报文检测,如何进行网络流量异常检测可参照安全检测设备和流量分析设备的具体应用实现流程,在此不再一一赘述。
在本发明的一种具体实施例方式中,在确定出非法外联地址之后,还可以阻断非法外联地址对应的目标网络连接。如此,便可使得网络终端的网络连接情况恢复为无非法外联的状态,能够在检测出非法外联的情况下,及时止损。
应用本发明实施例所提供的方法,持续采集网络终端的网络连接信息;构建与网络连接信息对应的网络连接模型;采集网络终端的实时网络连接信息;比对实时网络连接信息和网络连接模型,得到连接网络终端的非法外联地址。
在本方法中,考虑到在正常的网络里,每一类网络终端其业务是相对固定的,在网络终端正常工作时,其网络连接情况相对稳定。因此,首先学习网络终端通常的网络连接状态。具体的,持续采集网络终端的网络连接信息,并基于网络连接信息,构建出网络终端的网络连接模型。由于一旦产生非法外联,实时网络连接信息便会产生变化。因此,通过比较实时网络连接信息与网络连接模型,便可得到连接网络终端的非法外联地址。相较于基于数据响应报文或设备流量,直接学习得到网络连接模型,并采集实时网络连接情况与网络连接模型进行比较,能够更加快速、准确地检测出非法外联。
相应于上面的方法实施例,本发明实施例还提供了一种终端安全外联检测系统,下文描述的终端安全外联检测系统与上文描述的终端安全外联检测方法可相互对应参照。
参见图2所示,该系统包括以下模块:
部署了模型中心101和策略模块102的云端威胁分析中心100,以及部署了安全模块201的网络终端200;
安全模块,用于在学习阶段持续采集网络终端的网络连接信息,以及在检测阶段采集网络终端的实时网络连接信息;
模型中心,用于构建与网络连接信息对应的网络连接模型;比对实时网络连接信息和网络连接模型,在得到连接网络终端的非法外联地址后,触发策略模块;
策略模块,用于生成与非法外联地址对应的安全防护策略,并发送给网络终端,以便网络终端执行安全防护策略阻断非法外联地址对应的网络连接。
应用本发明实施例所提供的系统,持续采集网络终端的网络连接信息;构建与网络连接信息对应的网络连接模型;采集网络终端的实时网络连接信息;比对实时网络连接信息和网络连接模型,得到连接网络终端的非法外联地址。
在本系统中,考虑到在正常的网络里,每一类网络终端其业务是相对固定的,在网络终端正常工作时,其网络连接情况相对稳定。因此,首先学习网络终端通常的网络连接状态。具体的,持续采集网络终端的网络连接信息,并基于网络连接信息,构建出网络终端的网络连接模型。由于一旦产生非法外联,实时网络连接信息便会产生变化。因此,通过比较实时网络连接信息与网络连接模型,便可得到连接网络终端的非法外联地址。相较于基于数据响应报文或设备流量,直接学习得到网络连接模型,并采集实时网络连接情况与网络连接模型进行比较,能够更加快速、准确地检测出非法外联。
在本发明的一种具体实施方式中,安全模块,具体用于持续监控网络终端的每路网络连接,并采集各路网络连接分别对应的五元组信息;将各个五元组信息确定为网络连接信息。
在本发明的一种具体实施方式中,安全模块,具体用于在确定网络终端处于正常工作状态下,持续采集网络连接信息。
在本发明的一种具体实施方式中,模型中心,还用于比对网络连接信息与当前网络连接模型,确定出当前网络连接模型中未记录的目标网络连接;利用目标网络连接,对当前网络连接模型进行更新。
在本发明的一种具体实施方式中,模型中心,具体用于比对实时网络连接信息与网络连接模型,确定出网络连接模型中未记录的目标网络连接;从实时网络连接信息中,查找出目标网络连接对应的连接地址;将连接地址确定为非法外联地址。
在本发明的一种具体实施方式中,模型中心,还用于在比对实时网络连接信息与网络连接模型,确定出网络连接模型中未记录的目标网络连接之后,获取目标网络连接对应的网络流量和数据响应报文;若网络流量大于流量阈值,和/或,发现数据响应报文异常,则执行将连接地址确定为非法外联地址的步骤。
为便于本领域技术人员更好地理解本发明实施例所提供的终端安全外联检测系统,下面结合具体的应用实例,对终端安全外联检测系统进行详细说明。
请参考图3,图3为本发明实施例中一种终端安全外联检测系统实施终端安全外联检测方法的具体示意图。部署在网络终端的安全模块,采集该终端的网络连接关系模型;得出网络终端正常工作时的网络连接关系信息如下:
假设终端自身的网络地址为:1.1.1.1;
通过数据采集发现,该网络终端的正常网络连接的目的网段为:1.1.2.0/24与1.1.3.0/24,这两个网段。
安全模块将采集到网络终端的网络连接信息发送给云端威胁分析中心的模型中心,模型中心基于自学习模型算法。
根据当前终端网络连接关系信息构建网络连接模型如表5(*表示某个端口,此处具体信息省略)所示,标记1.1.2.0/24、1.1.3.0/24为该终端的用户业务网段。
表5
源地址 | 源端口 | 协议 | 目的地址 | 目的端口 |
1.1.1.1 | * | TCP | 1.1.2.0/24 | * |
1.1.1.1 | * | TCP | 1.1.3.0/24 | * |
在网络连接模块建立完成之后,再次采集到该网络终端的网络连接信息如表6所示。
表6
源地址 | 源端口 | 协议 | 目的地址 | 目的端口 |
1.1.1.1 | * | TCP | 1.1.2.0/24 | * |
1.1.1.1 | * | TCP | 1.1.3.0/24 | * |
1.1.1.1 | * | TCP | 112.224.34.20 | * |
模型中心比对发现当前网络终端除了与业务网段存在网络连接之外,还与陌生的地址也存在网络连接,通过模型关系匹配,确认该陌生地址112.224.34.20为非法外联地址。发出非法外联告警,同时触发策略模块。策略模块下发安全防护策略到该网络终端,以阻断与陌生地址(112.224.34.20)的网络连接。
由云端威胁分析中心下发安全防护策略到网络终端进行安全处置之后,该网络终端的非法外联行为可得到管控,网络连接又恢复了正常时的网络连接关系。
需要注意的是,该安全模块因其仅需采集网络连接信息,算法简单,对系统依赖程度低,具有资源占用少,兼容性强的特点。相对比传统部署在PC、服务器上的客户端而言,该安全模块的可适用范围更加广泛,可以适用于各种Linux、android系统的终端,即可在更多种类的网络终端上进行非法外联检测。
相应于上面的方法实施例,本发明实施例还提供了一种电子设备,下文描述的一种电子设备与上文描述的一种终端安全外联检测方法可相互对应参照。
参见图4所示,该电子设备包括:
存储器332,用于存储计算机程序;
处理器322,用于执行计算机程序时实现上述方法实施例的终端安全外联检测方法的步骤。
具体的,请参考图5,图5为本实施例提供的一种电子设备的具体结构示意图,该电子设备可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上处理器(central processing units,CPU)322(例如,一个或一个以上处理器)和存储器332,存储器332存储有一个或一个以上的计算机应用程序342或数据344。其中,存储器332可以是短暂存储或持久存储。存储在存储器332的程序可以包括一个或一个以上模块(图示没标出),每个模块可以包括对数据处理设备中的一系列指令操作。更进一步地,中央处理器322可以设置为与存储器332通信,在电子设备301上执行存储器332中的一系列指令操作。
电子设备301还可以包括一个或一个以上电源326,一个或一个以上有线或无线网络接口350,一个或一个以上输入输出接口358,和/或,一个或一个以上操作系统341。
上文所描述的终端安全外联检测方法中的步骤可以由电子设备的结构实现。
相应于上面的方法实施例,本发明实施例还提供了一种可读存储介质,下文描述的一种可读存储介质与上文描述的一种终端安全外联检测方法可相互对应参照。
一种可读存储介质,可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现上述方法实施例的终端安全外联检测方法的步骤。
该可读存储介质具体可以为U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可存储程序代码的可读存储介质。
本领域技术人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。本领域技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
Claims (6)
1.一种终端安全外联检测方法,其特征在于,包括:
持续采集网络终端的网络连接信息;
构建与所述网络连接信息对应的网络连接模型;
采集所述网络终端的实时网络连接信息;
比对所述实时网络连接信息和所述网络连接模型,得到连接所述网络终端的非法外联地址;
所述比对所述实时网络连接信息和所述网络连接模型,得到连接所述网络终端的非法外联地址,包括:
比对所述实时网络连接信息与所述网络连接模型,确定出所述网络连接模型中未记录的目标网络连接;
从所述实时网络连接信息中,查找出所述目标网络连接对应的连接地址;
将所述连接地址确定为所述非法外联地址;
在所述比对所述实时网络连接信息与所述网络连接模型,确定出所述网络连接模型中未记录的目标网络连接之后,还包括:
获取所述目标网络连接对应的网络流量和数据响应报文;
若所述网络流量大于流量阈值,和/或,发现所述数据响应报文异常,则执行将所述连接地址确定为所述非法外联地址的步骤;
所述持续采集网络终端的网络连接信息,包括:
在确定所述网络终端处于正常工作状态下,持续采集所述网络连接信息;
构建与所述网络连接信息对应的网络连接模型,包括:
比对所述网络连接信息与当前网络连接模型,确定出当前网络连接模型中未记录的目标网络连接;
利用所述目标网络连接,对所述当前网络连接模型进行更新。
2.根据权利要求1所述的终端安全外联检测方法,其特征在于,还包括:
阻断所述非法外联地址对应的目标网络连接。
3.根据权利要求1所述的终端安全外联检测方法,其特征在于,所述持续采集网络终端的网络连接信息,包括:
持续监控所述网络终端的每路网络连接,并采集各路所述网络连接分别对应的五元组信息;
将各个所述五元组信息确定为所述网络连接信息。
4.一种终端安全外联检测系统,其特征在于,包括:
部署了模型中心和策略模块的云端威胁分析中心,以及部署了安全模块的网络终端;
所述安全模块,用于在学习阶段持续采集所述网络终端的网络连接信息,以及在检测阶段采集所述网络终端的实时网络连接信息;
所述模型中心,用于构建与所述网络连接信息对应的网络连接模型;比对所述实时网络连接信息和所述网络连接模型,在得到连接所述网络终端的非法外联地址后,触发所述策略模块;所述比对所述实时网络连接信息和所述网络连接模型,得到连接所述网络终端的非法外联地址,包括:比对所述实时网络连接信息与所述网络连接模型,确定出所述网络连接模型中未记录的目标网络连接;从所述实时网络连接信息中,查找出所述目标网络连接对应的连接地址;将所述连接地址确定为所述非法外联地址;在所述比对所述实时网络连接信息与所述网络连接模型,确定出所述网络连接模型中未记录的目标网络连接之后,还包括:获取所述目标网络连接对应的网络流量和数据响应报文;若所述网络流量大于流量阈值,和/或,发现所述数据响应报文异常,则执行将所述连接地址确定为所述非法外联地址的步骤;
所述策略模块,用于生成与所述非法外联地址对应的安全防护策略,并发送给所述网络终端,以便所述网络终端执行所述安全防护策略阻断所述非法外联地址对应的网络连接;
所述持续采集网络终端的网络连接信息,包括:
在确定所述网络终端处于正常工作状态下,持续采集所述网络连接信息;
构建与所述网络连接信息对应的网络连接模型,包括:
比对所述网络连接信息与当前网络连接模型,确定出当前网络连接模型中未记录的目标网络连接;
利用所述目标网络连接,对所述当前网络连接模型进行更新。
5.一种电子设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至3任一项所述终端安全外联检测方法的步骤。
6.一种可读存储介质,其特征在于,所述可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至3任一项所述终端安全外联检测方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011202793.7A CN112383417B (zh) | 2020-11-02 | 2020-11-02 | 一种终端安全外联检测方法、系统、设备及可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011202793.7A CN112383417B (zh) | 2020-11-02 | 2020-11-02 | 一种终端安全外联检测方法、系统、设备及可读存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112383417A CN112383417A (zh) | 2021-02-19 |
CN112383417B true CN112383417B (zh) | 2022-08-23 |
Family
ID=74576942
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011202793.7A Active CN112383417B (zh) | 2020-11-02 | 2020-11-02 | 一种终端安全外联检测方法、系统、设备及可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112383417B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113938305B (zh) * | 2021-10-18 | 2024-04-26 | 杭州安恒信息技术股份有限公司 | 一种非法外联的判定方法、系统及装置 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109768971A (zh) * | 2018-12-27 | 2019-05-17 | 江苏博智软件科技股份有限公司 | 一种基于网络流量实时检测工控主机状态的方法 |
CN110290154A (zh) * | 2019-07-23 | 2019-09-27 | 北京威努特技术有限公司 | 一种非法外联检测设备、方法与存储介质 |
CN111010384A (zh) * | 2019-12-07 | 2020-04-14 | 杭州安恒信息技术股份有限公司 | 一种物联网终端自我安全防御系统及其安全防御方法 |
Family Cites Families (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105138920A (zh) * | 2015-07-30 | 2015-12-09 | 浪潮电子信息产业股份有限公司 | 一种内网终端安全管理的实现方法 |
CN106302501A (zh) * | 2016-08-27 | 2017-01-04 | 浙江远望信息股份有限公司 | 一种实时发现跨网络通信行为的方法 |
CN108063753A (zh) * | 2017-11-10 | 2018-05-22 | 全球能源互联网研究院有限公司 | 一种信息安全监测方法及系统 |
US10999309B2 (en) * | 2017-12-15 | 2021-05-04 | 802 Secure, Inc. | Systems and methods for distributed P25 LMR radio vulnerability management and real-time interference monitoring |
US10826932B2 (en) * | 2018-08-22 | 2020-11-03 | General Electric Company | Situation awareness and dynamic ensemble forecasting of abnormal behavior in cyber-physical system |
CN109067596B (zh) * | 2018-09-21 | 2021-12-10 | 南京南瑞继保电气有限公司 | 一种变电站网络安全态势感知方法及系统 |
CN109474607A (zh) * | 2018-12-06 | 2019-03-15 | 连云港杰瑞深软科技有限公司 | 一种工业控制网络安全保护监测系统 |
CN109462621A (zh) * | 2019-01-10 | 2019-03-12 | 国网浙江省电力有限公司杭州供电公司 | 网络安全保护方法、装置及电子设备 |
CN110120948B (zh) * | 2019-05-06 | 2020-12-15 | 四川英得赛克科技有限公司 | 基于无线和有线数据流相似性分析的非法外联监测方法 |
CN111212041B (zh) * | 2019-12-24 | 2022-05-20 | 贵州航天计量测试技术研究所 | 一种移动存储介质违规外联报警系统及方法 |
-
2020
- 2020-11-02 CN CN202011202793.7A patent/CN112383417B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109768971A (zh) * | 2018-12-27 | 2019-05-17 | 江苏博智软件科技股份有限公司 | 一种基于网络流量实时检测工控主机状态的方法 |
CN110290154A (zh) * | 2019-07-23 | 2019-09-27 | 北京威努特技术有限公司 | 一种非法外联检测设备、方法与存储介质 |
CN111010384A (zh) * | 2019-12-07 | 2020-04-14 | 杭州安恒信息技术股份有限公司 | 一种物联网终端自我安全防御系统及其安全防御方法 |
Non-Patent Citations (1)
Title |
---|
基于流量模板检测网络异常流量;靳仁杰等;《软件》;20170415;第38卷(第04期);124-125 * |
Also Published As
Publication number | Publication date |
---|---|
CN112383417A (zh) | 2021-02-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111935170B (zh) | 一种网络异常流量检测方法、装置及设备 | |
CN107566163B (zh) | 一种用户行为分析关联的告警方法及装置 | |
US11451561B2 (en) | Automated creation of lightweight behavioral indicators of compromise (IOCS) | |
JP6711710B2 (ja) | 監視装置、監視方法および監視プログラム | |
CN113037745A (zh) | 一种基于安全态势感知的智能变电站风险预警系统及方法 | |
CN113112038B (zh) | 智能监测与诊断分析系统、装置、电子设备及存储介质 | |
Pan et al. | Anomaly based intrusion detection for building automation and control networks | |
CN112383417B (zh) | 一种终端安全外联检测方法、系统、设备及可读存储介质 | |
CN111224973A (zh) | 一种基于工业云的网络攻击快速检测系统 | |
KR101281456B1 (ko) | 자기 유사성을 이용한 scada 네트워크의 이상증후를 탐지하는 장치 및 방법 | |
CN114039900A (zh) | 一种高效网络数据包协议分析方法和系统 | |
CN112506167A (zh) | 一种工业网络设备的异常的处理方法以及系统 | |
CN114598506B (zh) | 工控网络安全风险溯源方法、装置、电子设备及存储介质 | |
CN117411703A (zh) | 一种面向Modbus协议的工业控制网络异常流量检测方法 | |
CN113225342B (zh) | 一种通信异常检测方法、装置、电子设备及存储介质 | |
EP3905595A1 (en) | Industrial control system monitoring method, device and system, and computer-readable medium | |
CN115202958A (zh) | 一种电力异常监控方法、装置、电子设备及存储介质 | |
CN109245937B (zh) | 一种pim平台的告警方法及装置 | |
CN116302795A (zh) | 一种基于人工智能的终端运维系统及方法 | |
CN108933707B (zh) | 一种工业网络的安全监控系统及方法 | |
CN112822683B (zh) | 一种利用移动网络进行非法外联的检测方法 | |
CN114374838A (zh) | 一种网络摄像头监测方法、装置、设备及介质 | |
CN113852984A (zh) | 一种无线终端接入监控系统、方法、电子设备及可读存储装置 | |
CN112787846A (zh) | 一种设备发现方法、装置及计算机设备 | |
CN116204386B (zh) | 应用服务关系自动识别及监控方法、系统、介质和设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |