CN112822683A - 一种利用移动网络进行非法外联的检测方法 - Google Patents
一种利用移动网络进行非法外联的检测方法 Download PDFInfo
- Publication number
- CN112822683A CN112822683A CN202011634969.6A CN202011634969A CN112822683A CN 112822683 A CN112822683 A CN 112822683A CN 202011634969 A CN202011634969 A CN 202011634969A CN 112822683 A CN112822683 A CN 112822683A
- Authority
- CN
- China
- Prior art keywords
- mobile network
- network communication
- mobile
- mobile terminal
- communication data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/23—Clustering techniques
- G06F18/232—Non-hierarchical techniques
- G06F18/2321—Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/70—Reducing energy consumption in communication networks in wireless communication networks
Landscapes
- Engineering & Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Artificial Intelligence (AREA)
- Life Sciences & Earth Sciences (AREA)
- Bioinformatics & Computational Biology (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Evolutionary Biology (AREA)
- Evolutionary Computation (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Probability & Statistics with Applications (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供一种利用移动网络进行非法外联的检测方法,该检测方法通过对移动终端设备与基站之间的移动网络通信数据进行分析,来识别为运维设备访问外部网络提供移动网络的移动终端设备类型;当移动终端设备类型为手机时可以通过将移动终端设备所提供的移动网络来访问外部网络时的移动网络通信数据与内网通信数据进行关联分析,由此能够快速有效检测该运维设备是否存在非法外联,本发明的检测方法能够完全适用于部署有相应网络安全防护措施的工作场景对于运维设备非法外联现象的检测。
Description
技术领域
本发明涉及网络安全技术领域,具体而言,涉及一种利用移动网络进行非法外联的检测方法。
背景技术
随着移动网络技术的快速发展,利用移动网络造成非法外联的现象越来越普遍,主要表现形式:连接到内网的计算机通过移动终端设备提供的移动网络(非WIFI形式)进行外联,这将会使该计算机同时暴露于内网和外网,外部的黑客或者病毒就能够顺利侵入非法外联的计算机,绕过内网防护屏障,盗窃内网数据等机密信息,甚至会利用该计算机作为跳板,攻击内网的重要服务器,导致整个内网通信瘫痪。目前市场上公知的非法外联行为检测方法主要有以下几种:
(1)基于代理模式的检测方法:
通过C/S方式(客户端/服务器)将检测程序客户端代理系统安装在被检测主机系统中,以服务方式随被检测主机的启动而自动无界面运行,通过检测该主机的网络通信来实现对非法外联行为的检测。
(2)基于双机模式的检测方法:
通过检测系统的发包端伪造收包端的IP,向所有被检测主机定时发送探测包,探测包的源IP为收包端服务器的IP,而目的地址为被探测的主机IP,被检测主机接到探测包后会向收包端发送一个响应包,当发包端接收到响应包后进行分析判断,该被检测主机是否存在非法外联现象。
目前市场上公知的代理模式和双机模式对非法外联行为的检测在应用层面上存在一定的局限性,不完全适用于部署有相应网络安全防护措施(安全防护措施会阻断双机模式中所需的探测包/响应包)的工作场景对于运维设备非法外联现象的检测。具体如下:
(1)代理模式是需要在每台被监控设备上安装监控客户端代理程序,针对未安装代理程序的运维设备无法监测其是否存在非法外联行为;针对已安装代理程序的运维设备,无法使用技术手段禁止其卸载或旁路代理程序,导致无法检测运维设备是否存在非法外联行为;
(2)双机模式下防火墙等设备会对探测包及响应包的过滤,导致探测包不能到达被检测设备或响应包不能到达检测系统,造成报警漏报现象而无法达到对非法外联的检测效果。
发明内容
本发明旨在提供一种利用移动网络进行非法外联的检测方法,以解决目前市场上公知的代理模式和双机模式不完全适用于部署有相应网络安全防护措施的工作场景对于运维设备非法外联现象的检测的问题。
本发明提供一种利用移动网络进行非法外联的检测方法,所述检测方法包括如下步骤:
步骤S1、在待检测环境中,将监测设备采集的移动终端设备与基站之间的移动网络通信数据以及所有内网通信数据均分别上传至分析处理中心;
步骤S2、分析处理中心通过分析所述监测设备采集的移动网络通信数据获取属于移动终端设备独有的属性关键信息和工作状态信息来识别该移动终端设备类型;当移动终端设备类型为手机时,则先将所述监测设备采集的该移动终端设备与基站之间的移动网络通信数据经过特征分析后构建移动网络通信模型,再将所构建的移动网络通信模型与预设的移动终端设备类型为手机的移动网络通信基准模型进行比对,最终判断移动网络通信数据是否为运维设备利用移动终端设备所提供的移动网络来访问外部网络时的移动网络通信数据;
步骤S3、当移动网络通信数据是运维设备利用移动终端设备所提供的移动网络访问外部网络时的移动网络通信数据时,则对该运维设备的访问外部网络的移动网络通信数据与其内网通信数据进行关联分析,从而检测运维设备是否存在非法外联。
进一步的,所述预设的移动终端设备类型为手机的移动网络通信基准模型包括基于移动终端设备与基站之间的移动网络通信数据所构建的第一移动网络通信基准模型,以及基于运维设备利用移动终端设备类型为手机所提供的移动网络访问外部网络时的移动网络通信数据所构建第二移动网络通信基准模型;所述步骤S2包括如下子步骤:
步骤S21、对移动终端设备类型为手机且其与基站之间的移动网络通信数据进行特征分析,构建第一移动网络通信基准模型;同时,对运维设备利用移动终端设备类型为手机来提供移动网络访问外部网络时的移动网络通信数据进行特征分析,构建第二移动网络通信基准模型;
步骤S22、通过分析所述监测设备采集的移动网络通信数据获取属于移动终端设备独有的属性关键信息和工作状态来识别该移动终端设备类型;当移动终端设备类型为手机时,则将所述监测设备采集的该移动终端设备与基站之间的移动网络通信数据进行特征分析,并构建移动网络通信模型;
步骤S23、将所述移动网络通信模型分别与所述第一移动网络通信基准模型和所述第二移动网络通信基准模型进行相似性比对,当所述移动网络通信模型与所述第一移动网络通信基准模型相似时,则滤过不予处理;当所述移动网络通信模型与所述第二移动网络通信基准模型相似时,则判断移动网络通信数据来源为运维设备利用移动终端设备所提供的移动网络来访问外部网络时的移动网络通信数据。
进一步的,所述步骤S3包括如下子步骤:
步骤S31、当移动网络通信数据是运维设备利用移动终端设备所提供的移动网络访问外部网络时的移动网络通信数据时,则分析处理中心分别获取该运维设备接入移动网络的时间关键信息和所有新设备接入内网的时间关键信息;所述时间关键信息包括接入移动网络或内网后的在线时间段;
步骤S32,对该运维设备接入移动网络的时间关键信息与所有新设备接入内网后的时间关键信息进行关联分析,判断两者时间关键信息的在线时间段是否有重叠;当两者在线时间段有重叠,则该运维设备存在非法外联;当两者在线时间段无重叠,则该运维设备无外联通信。
进一步的,所述步骤S31包括如下子步骤:
步骤S311、当移动网络通信数据是运维设备利用移动终端设备类型为手机所提供的移动网络访问外部网络时的移动网络通信数据时,则分析处理中心获取该运维设备接入移动网络的第一时间关键信息;
步骤S312、当移动网络通信数据是运维设备利用移动终端设备类型为上网卡所提供的移动网络访问外部网络时的移动网络通信数据时,则分析处理中心获取运维设备接入移动网络的第二时间关键信息;
步骤S313、分析处理中心先对所有内网网络通信数据进行分析,再获取所有新设备接入内网的时间关键信息。
进一步的,所述步骤S32包括如下子步骤:
步骤S321、该运维设备的第一时间关键信息中的在线时间段与所有新设备接入内网的时间关键信息中的在线时间段进行关联分析,判定两者在线时间段是否重叠;
步骤S322、该运维设备的第二时间关键信息中的在线时间段与所有新设备接入内网的时间关键信息中的在线时间段进行关联分析,判定两者在线时间段是否重叠;
步骤S323、当步骤S321或步骤S322中判定两者在线时间段有重叠,则判定为该运维设备存在非法外联;反之,则判定该运维设备无外联通信。
进一步的,所述步骤S22包括如下子步骤:
步骤S221、分析处理中心分析移动网络通信数据中是否有移动终端设备独有的属性关键信息以及有无移动终端设备工作状态信息;其中,所述移动终端设备独有的属性关键信息包括IMSI号、IMSI号类型、移动终端设备移动网络的服务器IP地址、移动终端设备的IMEI串号以及移动终端设备厂商型号;
步骤S222、根据步骤S221的分析结果来对移动终端设备类型进行判定,当从所述监测设备采集的不同移动终端设备类型与基站之间的移动网络通信数据中获取到移动终端设备独有的IMEI串号、移动终端设备厂商型号以及工作状态信息时,则判定该移动网络通信数据来源的移动终端设备类型为手机;反之,则为上网卡;
步骤S223、当移动终端设备类型为手机时,则将所述监测设备采集的该移动终端设备与基站之间的移动网络通信数据进行特征分析,并构建移动网络通信模型。
进一步的,所述步骤S222和步骤S223之间还包括:步骤S224、对判定该移动网络通信数据来源的移动终端设备类型为手机的移动网络通信数据进行过滤。
进一步的,所述步骤S224包括如下子步骤:
步骤S2241、将待检测环境中频繁或长期活跃的移动终端设备类型为手机的设备属性关键信息数据设置在白名单内;
步骤S2242、将判定移动终端设备类型为手机的设备属性关键信息数据是否在白名单内,若该移动终端设备类型为手机的设备属性关键信息数据在白名单内则滤过不予处理,若该移动终端设备类型为手机的设备属性关键信息数据不在白名单内则转入步骤S223。
进一步的,所述设备属性关键信息数据包括IMSI号、IMSI号类型、移动终端设备移动网络的服务器IP地址、移动终端设备的IMEI串号以及移动终端设备厂商型号。
进一步的,所述移动终端设备工作状态信息包括开机、待机和通话。
综上所述,由于采用了上述技术方案,本发明的有益效果是:
本发明通过对移动终端设备与基站之间的移动网络通信数据进行分析,来识别为运维设备访问外部网络提供移动网络的移动终端设备类型;当移动终端设备类型为手机时可以通过将移动终端设备所提供的移动网络来访问外部网络时的移动网络通信数据与内网通信数据进行关联分析,由此能够快速有效检测该运维设备是否存在非法外联,本发明的检测方法能够完全适用于部署有相应网络安全防护措施的工作场景对于运维设备非法外联现象的检测。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本发明实施例一的利用移动网络进行非法外联的检测方法的流程框图。
图2为本发明实施例一的步骤S2的流程框图。
图3为本发明实施例一的步骤S22的流程框图。
图4为本发明实施例一的步骤S3的流程框图。
图5为本发明实施例二的步骤S22的流程框图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。
因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例一
本实施例提出一种利用移动网络进行非法外联的检测方法,参见图1,所述检测方法包括如下步骤:
步骤S1、在待检测环境中,将监测设备采集的移动终端设备与基站之间的移动网络通信数据以及所有内网通信数据(来源于内网交换机上采集的数据)均分别上传至分析处理中心;
步骤S2、分析处理中心通过分析所述监测设备采集的移动网络通信数据获取属于移动终端设备独有的属性关键信息和工作状态信息(如开机、待机和通话等)来识别该移动终端设备类型;当移动终端设备类型为手机时,则先将所述监测设备采集的该移动终端设备与基站之间的移动网络通信数据经过特征分析后构建移动网络通信模型,再将所构建的移动网络通信模型与预设的移动终端设备类型为手机的移动网络通信基准模型进行比对,最终判断移动网络通信数据是否为运维设备利用移动终端设备所提供的移动网络来访问外部网络时的移动网络通信数据;
在本实施例中,所述预设的移动终端设备类型为手机的移动网络通信基准模型包括基于移动终端设备与基站之间的移动网络通信数据所构建的第一移动网络通信基准模型,以及基于运维设备利用移动终端设备类型为手机所提供的移动网络访问外部网络时的移动网络通信数据所构建第二移动网络通信基准模型;参见图2,所述步骤S2包括如下子步骤:
步骤S21、对移动终端设备类型为手机且其与基站之间的移动网络通信数据进行特征分析,构建第一移动网络通信基准模型;同时,对运维设备利用移动终端设备类型为手机来提供移动网络访问外部网络时的移动网络通信数据进行特征分析,构建第二移动网络通信基准模型;
步骤S22、通过分析所述监测设备采集的移动网络通信数据获取属于移动终端设备独有的属性关键信息和工作状态来识别该移动终端设备类型;当移动终端设备类型为手机时,则将所述监测设备采集的该移动终端设备与基站之间的移动网络通信数据进行特征分析,并构建移动网络通信模型;参见图3,所述步骤S22包括如下子步骤:
步骤S221、分析处理中心分析移动网络通信数据中是否有移动终端设备独有的属性关键信息以及有无移动终端设备工作状态信息;其中所述移动终端设备独有的属性关键信息包括IMSI号、IMSI号类型、移动终端设备移动网络的服务器IP地址、移动终端设备的IMEI串号以及移动终端设备厂商型号;
步骤S222、根据步骤S221的分析结果来对移动终端设备类型进行判定,当从所述监测设备采集的不同移动终端设备类型与基站之间的移动网络通信数据中获取到移动终端设备独有的IMEI串号、移动终端设备厂商型号以及工作状态信息时,则判定该移动网络通信数据来源的移动终端设备类型为手机;反之,则为上网卡;
步骤S223、当移动终端设备类型为手机时,则将所述监测设备采集的该移动终端设备与基站之间的移动网络通信数据进行特征分析,并构建移动网络通信模型。
上述构建移动网络通信模型、第一移动网络通信基准模型和第二移动网络通信基准模型的方法已在申请人的另一专利文献(专利公布号为CN110120948A,专利名称为基于无线和有线数据流相似性分析的非法外联监测方法)记载,具体为:
步骤(1)数据预处理:对记录的所有网络通信数据进行筛选过滤,并将数据流转换成包含时间特征向量和空间特征向量的特征向量;其中,所述对记录的所有网络通信数据进行筛选过滤的方法为:过滤掉网络通信数据的管理帧和控制帧,只保留数据帧数据流;所述将数据流转换成包含时间特征向量和空间特征向量的特征向量的方法为:先将数据流按IMSI号、移动终端设备移动网络的服务器IP地址、应用类型进行分组得到三元组数据;再分别按持续时间的均值、持续时间的方差、持续时间偏长的数据流所占比例、前后两条数据流间隔时间的均值、前后两条数据流间隔时间的方差这五个时间特征提取时间特征向量,同时分别按包个数的均值、包个数的方差、平均每个包字节数的均值、平均每个包字节数的方差、小包流所占比例这五个空间特征提取空间特征向量;
步骤(2)聚类处理:利用无监督学习中的FCM聚类算法,分别根据时间特征向量和空间特征向量在空间中的分布,自动将行为相似的数据流划分到对应簇中,得到对应的网络通信模型,如移动网络通信模型、第一移动网络通信基准模型和第二移动网络通信基准模型。FCM聚类算法是一种以隶属度来确定每个数据点属于某个聚类程度的算法,该聚类算法是传统硬聚类算法的一种改进。算法流程是:
(1)标准化数据矩阵;
(2)建立模糊相似矩阵,初始化隶属矩阵;
(3)算法开始迭代,直到目标函数收敛到极小值;
(4)根据迭代结果,由最后的隶属矩阵确定数据所属的类,显示最后的聚类结果。
经过FCM聚类算法进行聚类后,时间特征向量与空间特征向量分别被分为多个簇,每个簇内的样本可看作具有一定的相似性,即同一个簇内,每个样本所表征的三元组在时间或空间上的通信行为具有相似性。
步骤S23、将所述移动网络通信模型分别与所述第一移动网络通信基准模型和所述第二移动网络通信基准模型进行相似性比对,当所述移动网络通信模型与所述第一移动网络通信基准模型相似时,则滤过不予处理;当所述移动网络通信模型与所述第二移动网络通信基准模型相似时,则判断移动网络通信数据来源为运维设备利用移动终端设备所提供的移动网络来访问外部网络时的移动网络通信数据。
根据前述对于利用FCM聚类算法构建的移动网络通信模型、第一移动网络通信基准模型和第二移动网络通信基准模型,其相似性比对的方法为:将移动网络通信模型分别与第一移动网络通信基准模型和第二移动网络通信基准模型进行交叉检测,在交叉检测的两个模型中,时间特征向量表现出相似性的簇与空间特征向量表现出相似性的簇进行重叠匹配,当两种类型的簇均持续表现出相似性时,则在交叉检测的这两个模型相似。该方法同样已在申请人的另一专利文献(专利公布号为CN110120948A,专利名称为基于无线和有线数据流相似性分析的非法外联监测方法)记载。
步骤S3、当移动网络通信数据是运维设备利用移动终端设备所提供的移动网络访问外部网络时的移动网络通信数据时,则对该运维设备的访问外部网络的移动网络通信数据与其内网通信数据进行关联分析,从而检测运维设备是否存在非法外联。参见图4,所述步骤S3包括如下子步骤:
步骤S31、当移动网络通信数据是运维设备利用移动终端设备所提供的移动网络访问外部网络时的移动网络通信数据时,则分析处理中心分别获取该运维设备接入移动网络的时间关键信息和所有新设备接入内网的时间关键信息;所述时间关键信息包括接入移动网络或内网后的在线时间段;其中,所述步骤S31包括如下子步骤:
步骤S311、当移动网络通信数据是运维设备利用移动终端设备类型为手机所提供的移动网络访问外部网络时的移动网络通信数据时,则分析处理中心获取该运维设备接入移动网络的第一时间关键信息;该第一时间关键信息包括在线时间段;
步骤S312、当移动网络通信数据是运维设备利用移动终端设备类型为上网卡所提供的移动网络访问外部网络时的移动网络通信数据时,则分析处理中心获取运维设备接入移动网络的第二时间关键信息;该第二时间关键信息包括在线时间段;
步骤S313、分析处理中心先对所有内网网络通信数据进行分析,再获取所有新设备接入内网的时间关键信息,该新设备接入内网的时间关键信息包括在线时间段。
步骤S32,对该运维设备接入移动网络的时间关键信息与所有新设备接入内网后的时间关键信息进行关联分析,判断两者时间关键信息的在线时间段是否有重叠;当两者在线时间段有重叠,则该运维设备存在非法外联;当两者在线时间段无重叠,则该运维设备无外联通信。其中,所述步骤S32包括如下子步骤:
步骤S321、该运维设备的第一时间关键信息中的在线时间段与所有新设备接入内网的时间关键信息中的在线时间段进行关联分析,判定两者在线时间段是否重叠;
步骤S322、该运维设备的第二时间关键信息中的在线时间段与所有新设备接入内网的时间关键信息中的在线时间段进行关联分析,判定两者在线时间段是否重叠;
步骤S323、当步骤S321或步骤S322中判定两者在线时间段有重叠,则判定为该运维设备存在非法外联;反之,则判定该运维设备无外联通信。
通过上述内容可知,本发明通过对移动终端设备与基站之间的移动网络通信数据进行分析,来识别为运维设备访问外部网络提供移动网络的移动终端设备类型;当移动终端设备类型为手机时可以通过将移动终端设备所提供的移动网络来访问外部网络时的移动网络通信数据与内网通信数据进行关联分析,由此能够快速有效检测该运维设备是否存在非法外联,本发明的检测方法能够完全适用于部署有相应网络安全防护措施的工作场景对于运维设备非法外联现象的检测。
实施例二
与实施例一不同的是,本实施例提供的一种利用移动网络进行非法外联的检测方法中,参见图5,所述步骤S222和步骤S223之间还包括:
步骤S224、对判定该移动网络通信数据来源的移动终端设备类型为手机的移动网络通信数据进行过滤。具体地,所述步骤S224包括如下子步骤:
步骤S2241、将待检测环境中频繁或长期活跃的移动终端设备类型为手机的设备属性关键信息数据设置在白名单内;与前述步骤S221中所述移动终端设备独有的属性关键信息对应,此处所述设备属性关键信息数据包括IMSI号、IMSI号类型、移动终端设备移动网络的服务器IP地址、移动终端设备的IMEI串号以及移动终端设备厂商型号。
步骤S2242、将判定移动终端设备类型为手机的设备属性关键信息数据是否在白名单内,若该移动终端设备类型为手机的设备属性关键信息数据在白名单内则滤过不予处理,若该移动终端设备类型为手机的设备属性关键信息数据不在白名单内则转入步骤S223。
由此,本实施例通过设置白名单,能够对判断为移动终端设备类型为手机直接访问外网而非运维设备利用移动终端设备的移动网络访问外网的情况进行过滤,以提高运维设备非法外联检测的准确性。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种利用移动网络进行非法外联的检测方法,其特征在于,所述检测方法包括如下步骤:
步骤S1、在待检测环境中,将监测设备采集的移动终端设备与基站之间的移动网络通信数据以及所有内网通信数据均分别上传至分析处理中心;
步骤S2、分析处理中心通过分析所述监测设备采集的移动网络通信数据获取属于移动终端设备独有的属性关键信息和工作状态信息来识别该移动终端设备类型;当移动终端设备类型为手机时,则先将所述监测设备采集的该移动终端设备与基站之间的移动网络通信数据经过特征分析后构建移动网络通信模型,再将所构建的移动网络通信模型与预设的移动终端设备类型为手机的移动网络通信基准模型进行比对,最终判断移动网络通信数据是否为运维设备利用移动终端设备所提供的移动网络来访问外部网络时的移动网络通信数据;
步骤S3、当移动网络通信数据是运维设备利用移动终端设备所提供的移动网络访问外部网络时的移动网络通信数据时,则对该运维设备的访问外部网络的移动网络通信数据与其内网通信数据进行关联分析,从而检测运维设备是否存在非法外联。
2.根据权利要求1所述的利用移动网络进行非法外联的检测方法,其特征在于,所述预设的移动终端设备类型为手机的移动网络通信基准模型包括基于移动终端设备与基站之间的移动网络通信数据所构建的第一移动网络通信基准模型,以及基于运维设备利用移动终端设备类型为手机所提供的移动网络访问外部网络时的移动网络通信数据所构建第二移动网络通信基准模型;所述步骤S2包括如下子步骤:
步骤S21、对移动终端设备类型为手机且其与基站之间的移动网络通信数据进行特征分析,构建第一移动网络通信基准模型;同时,对运维设备利用移动终端设备类型为手机来提供移动网络访问外部网络时的移动网络通信数据进行特征分析,构建第二移动网络通信基准模型;
步骤S22、通过分析所述监测设备采集的移动网络通信数据获取属于移动终端设备独有的属性关键信息和工作状态来识别该移动终端设备类型;当移动终端设备类型为手机时,则将所述监测设备采集的该移动终端设备与基站之间的移动网络通信数据进行特征分析,并构建移动网络通信模型;
步骤S23、将所述移动网络通信模型分别与所述第一移动网络通信基准模型和所述第二移动网络通信基准模型进行相似性比对,当所述移动网络通信模型与所述第一移动网络通信基准模型相似时,则滤过不予处理;当所述移动网络通信模型与所述第二移动网络通信基准模型相似时,则判断移动网络通信数据来源为运维设备利用移动终端设备所提供的移动网络来访问外部网络时的移动网络通信数据。
3.根据权利要求1所述的利用移动网络进行非法外联的检测方法,其特征在于,所述步骤S3包括如下子步骤:
步骤S31、当移动网络通信数据是运维设备利用移动终端设备所提供的移动网络访问外部网络时的移动网络通信数据时,则分析处理中心分别获取该运维设备接入移动网络的时间关键信息和所有新设备接入内网的时间关键信息;所述时间关键信息包括接入移动网络或内网后的在线时间段;
步骤S32,对该运维设备接入移动网络的时间关键信息与所有新设备接入内网后的时间关键信息进行关联分析,判断两者时间关键信息的在线时间段是否有重叠;当两者在线时间段有重叠,则该运维设备存在非法外联;当两者在线时间段无重叠,则该运维设备无外联通信。
4.根据权利要求3所述的利用移动网络进行非法外联的检测方法,其特征在于,所述步骤S31包括如下子步骤:
步骤S311、当移动网络通信数据是运维设备利用移动终端设备类型为手机所提供的移动网络访问外部网络时的移动网络通信数据时,则分析处理中心获取该运维设备接入移动网络的第一时间关键信息;
步骤S312、当移动网络通信数据是运维设备利用移动终端设备类型为上网卡所提供的移动网络访问外部网络时的移动网络通信数据时,则分析处理中心获取运维设备接入移动网络的第二时间关键信息;
步骤S313、分析处理中心先对所有内网网络通信数据进行分析,再获取所有新设备接入内网的时间关键信息。
5.根据权利要求4所述的利用移动网络进行非法外联的检测方法,其特征在于,所述步骤S32包括如下子步骤:
步骤S321、该运维设备的第一时间关键信息中的在线时间段与所有新设备接入内网的时间关键信息中的在线时间段进行关联分析,判定两者在线时间段是否重叠;
步骤S322、该运维设备的第二时间关键信息中的在线时间段与所有新设备接入内网的时间关键信息中的在线时间段进行关联分析,判定两者在线时间段是否重叠;
步骤S323、当步骤S321或步骤S322中判定两者在线时间段有重叠,则判定为该运维设备存在非法外联;反之,则判定该运维设备无外联通信。
6.根据权利要求2所述的利用移动网络进行非法外联的检测方法,其特征在于,所述步骤S22包括如下子步骤:
步骤S221、分析处理中心分析移动网络通信数据中是否有移动终端设备独有的属性关键信息以及有无移动终端设备工作状态信息;其中,所述移动终端设备独有的属性关键信息包括IMSI号、IMSI号类型、移动终端设备移动网络的服务器IP地址、移动终端设备的IMEI串号以及移动终端设备厂商型号;
步骤S222、根据步骤S221的分析结果来对移动终端设备类型进行判定,当从所述监测设备采集的不同移动终端设备类型与基站之间的移动网络通信数据中获取到移动终端设备独有的IMEI串号、移动终端设备厂商型号以及工作状态信息时,则判定该移动网络通信数据来源的移动终端设备类型为手机;反之,则为上网卡;
步骤S223、当移动终端设备类型为手机时,则将所述监测设备采集的该移动终端设备与基站之间的移动网络通信数据进行特征分析,并构建移动网络通信模型。
7.根据权利要求6所述的利用移动网络进行非法外联的检测方法,其特征在于,所述步骤S222和步骤S223之间还包括:步骤S224、对判定该移动网络通信数据来源的移动终端设备类型为手机的移动网络通信数据进行过滤。
8.根据权利要求7所述的利用移动网络进行非法外联的检测方法,其特征在于,所述步骤S224包括如下子步骤:
步骤S2241、将待检测环境中频繁或长期活跃的移动终端设备类型为手机的设备属性关键信息数据设置在白名单内;
步骤S2242、将判定移动终端设备类型为手机的设备属性关键信息数据是否在白名单内,若该移动终端设备类型为手机的设备属性关键信息数据在白名单内则滤过不予处理,若该移动终端设备类型为手机的设备属性关键信息数据不在白名单内则转入步骤S223。
9.根据权利要求8所述的利用移动网络进行非法外联的检测方法,其特征在于,所述设备属性关键信息数据包括IMSI号、IMSI号类型、移动终端设备移动网络的服务器IP地址、移动终端设备的IMEI串号以及移动终端设备厂商型号。
10.根据权利要求1或6所述的利用移动网络进行非法外联的检测方法,其特征在于,所述移动终端设备工作状态信息包括开机、待机和通话。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011634969.6A CN112822683B (zh) | 2020-12-31 | 2020-12-31 | 一种利用移动网络进行非法外联的检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011634969.6A CN112822683B (zh) | 2020-12-31 | 2020-12-31 | 一种利用移动网络进行非法外联的检测方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112822683A true CN112822683A (zh) | 2021-05-18 |
| CN112822683B CN112822683B (zh) | 2023-04-07 |
Family
ID=75856892
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011634969.6A Active CN112822683B (zh) | 2020-12-31 | 2020-12-31 | 一种利用移动网络进行非法外联的检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112822683B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114244571A (zh) * | 2021-11-22 | 2022-03-25 | 广东电网有限责任公司 | 基于数据流分析的非法外联监测方法、装置、计算机设备 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010044714A1 (en) * | 2008-10-16 | 2010-04-22 | Telefonaktiebolaget L M Ericsson (Publ) | A residential gateway providing backup interface to external network |
| US8914526B1 (en) * | 1998-12-17 | 2014-12-16 | Portus Singapore Pte Ltd | Local and remote monitoring using a standard web browser |
| CN107968774A (zh) * | 2016-10-20 | 2018-04-27 | 深圳联友科技有限公司 | 一种车联网终端设备的信息安全防护方法 |
| CN110120948A (zh) * | 2019-05-06 | 2019-08-13 | 四川英得赛克科技有限公司 | 基于无线和有线数据流相似性分析的非法外联监测方法 |
| CN110290154A (zh) * | 2019-07-23 | 2019-09-27 | 北京威努特技术有限公司 | 一种非法外联检测设备、方法与存储介质 |
| CN110768999A (zh) * | 2019-10-31 | 2020-02-07 | 杭州迪普科技股份有限公司 | 一种设备非法外联的检测方法及装置 |
| CN111343211A (zh) * | 2020-05-21 | 2020-06-26 | 四川英得赛克科技有限公司 | 基于网络流量的智能分析管控方法、系统、介质及设备 |
| CN111970233A (zh) * | 2020-06-30 | 2020-11-20 | 浙江远望信息股份有限公司 | 一种网络违规外联场景的分析识别方法 |
-
2020
- 2020-12-31 CN CN202011634969.6A patent/CN112822683B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8914526B1 (en) * | 1998-12-17 | 2014-12-16 | Portus Singapore Pte Ltd | Local and remote monitoring using a standard web browser |
| WO2010044714A1 (en) * | 2008-10-16 | 2010-04-22 | Telefonaktiebolaget L M Ericsson (Publ) | A residential gateway providing backup interface to external network |
| CN107968774A (zh) * | 2016-10-20 | 2018-04-27 | 深圳联友科技有限公司 | 一种车联网终端设备的信息安全防护方法 |
| CN110120948A (zh) * | 2019-05-06 | 2019-08-13 | 四川英得赛克科技有限公司 | 基于无线和有线数据流相似性分析的非法外联监测方法 |
| CN110290154A (zh) * | 2019-07-23 | 2019-09-27 | 北京威努特技术有限公司 | 一种非法外联检测设备、方法与存储介质 |
| CN110768999A (zh) * | 2019-10-31 | 2020-02-07 | 杭州迪普科技股份有限公司 | 一种设备非法外联的检测方法及装置 |
| CN111343211A (zh) * | 2020-05-21 | 2020-06-26 | 四川英得赛克科技有限公司 | 基于网络流量的智能分析管控方法、系统、介质及设备 |
| CN111970233A (zh) * | 2020-06-30 | 2020-11-20 | 浙江远望信息股份有限公司 | 一种网络违规外联场景的分析识别方法 |
Non-Patent Citations (2)
| Title |
|---|
| WEI LI ET AL: "A hybrid monitoring method on illegal extra-connection of terminal devices", 《2014 IEEE 5TH INTERNATIONAL CONFERENCE ON SOFTWARE ENGINEERING AND SERVICE SCIENCE》 * |
| 李娜等: "非法外联监测系统的研究与实现", 《电子测试》 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114244571A (zh) * | 2021-11-22 | 2022-03-25 | 广东电网有限责任公司 | 基于数据流分析的非法外联监测方法、装置、计算机设备 |
| CN114244571B (zh) * | 2021-11-22 | 2023-09-05 | 广东电网有限责任公司 | 基于数据流分析的非法外联监测方法、装置、计算机设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112822683B (zh) | 2023-04-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110120948B (zh) | 基于无线和有线数据流相似性分析的非法外联监测方法 | |
| CN111935170B (zh) | 一种网络异常流量检测方法、装置及设备 | |
| CN110011999B (zh) | 基于深度学习的IPv6网络DDoS攻击检测系统及方法 | |
| US8286237B2 (en) | Method and apparatus to detect unauthorized information disclosure via content anomaly detection | |
| CN106789935B (zh) | 一种终端异常检测方法 | |
| CN111274583A (zh) | 一种大数据计算机网络安全防护装置及其控制方法 | |
| JP7098000B2 (ja) | IoTセキュリティにおけるパターンマッチングベースの検出 | |
| US20140113588A1 (en) | System for detection of mobile applications network behavior- netwise | |
| CN109104438B (zh) | 窄带物联网中的僵尸网络预警方法、装置及可读存储介质 | |
| CN107623754B (zh) | 基于真伪MAC识别的WiFi采集系统及其方法 | |
| KR20080066653A (ko) | 완전한 네트워크 변칙 진단을 위한 방법 및 장치와 트래픽피쳐 분포를 사용하여 네트워크 변칙들을 검출하고분류하기 위한 방법 | |
| CN106130806B (zh) | 数据层实时监控方法 | |
| CN104702603A (zh) | 面向移动互联网的多视角安全审计系统 | |
| CN111654486A (zh) | 一种服务器设备判定识别方法 | |
| CN115174251B (zh) | 一种安全告警的误报识别方法、装置以及存储介质 | |
| CN112822683B (zh) | 一种利用移动网络进行非法外联的检测方法 | |
| KR20130020862A (ko) | 자기 유사성을 이용한 scada 네트워크의 이상증후를 탐지하는 장치 및 방법 | |
| CN113660267A (zh) | 一种针对IoT环境的僵尸网络检测的系统、方法及存储介质 | |
| CN111614614B (zh) | 应用于物联网的安全监测方法和装置 | |
| CN114972827A (zh) | 资产识别方法、装置、设备及计算机可读存储介质 | |
| CN110460593B (zh) | 一种移动流量网关的网络地址识别方法、装置及介质 | |
| CN111859386A (zh) | 基于行为分析的木马检测方法及系统 | |
| CN115801305B (zh) | 一种网络攻击的检测识别方法及相关设备 | |
| CN110048905A (zh) | 物联网设备通信模式识别方法及装置 | |
| CN108040064A (zh) | 数据传输方法、装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |