CN114244571B

CN114244571B - 基于数据流分析的非法外联监测方法、装置、计算机设备

Info

Publication number: CN114244571B
Application number: CN202111386618.2A
Authority: CN
Inventors: 黄浩; 杨云帆; 古振威; 卢建刚; 朱文
Original assignee: Guangdong Power Grid Co Ltd; Electric Power Dispatch Control Center of Guangdong Power Grid Co Ltd
Current assignee: Guangdong Power Grid Co Ltd; Electric Power Dispatch Control Center of Guangdong Power Grid Co Ltd
Priority date: 2021-11-22
Filing date: 2021-11-22
Publication date: 2023-09-05
Anticipated expiration: 2041-11-22
Also published as: CN114244571A

Abstract

本申请涉及基于数据流分析的非法外联监测方法、装置、计算机设备。所述方法包括：获取所监测内部网络中的内网通信数据进行数据特征检测，确定待处理的异常内网设备；根据异常内网设备的第一通信数据构建第一信息流处理模型，基于第一信息流处理模型，确定第一网络操作信息；根据异常内网设备的第二通信数据构建第二信息流处理模型，基于第二信息流通信模型，确定第二网络操作信息；若第一网络操作信息与第二网络操作信息的相似程度满足第一预设条件，获取异常内网设备的访问信息检测结果；若访问信息检测结果满足第二预设条件，对异常内网设备发送通信告警信息，以控制异常内网设备执行安全通信恢复操作。采用本方法能够提升内网安全控制效率。

Description

基于数据流分析的非法外联监测方法、装置、计算机设备

技术领域

本申请涉及网络安全技术领域，特别是涉及一种基于数据流分析的非法外联监测方法、装置、计算机设备、存储介质和计算机程序产品。

背景技术

针对系统内部网络，由于内部网络与互联网等外网之间并没有直接相连进行通信，可以起到防止信息泄露和网络攻击的作用。但当内部网络中的终端设备直接连通互联网或通过其它网络访问互联网，或未经安全防护及策略设置直接连通其它网络的情况下，如内部人员违规连通外部网络，存在针对内部网络进行信息窃取的安全风险，将导致严重的网络安全事件。

因此，相关技术中存在内部网络安全控制效率低的问题。

发明内容

基于此，有必要针对上述技术问题，提供一种能够解决上述问题的基于数据流分析的非法外联监测方法、装置、计算机设备、存储介质和计算机程序产品。

第一方面，本申请提供了一种基于数据流分析的非法外联监测方法，所述方法包括：

获取所监测内部网络中的内网通信数据，对所述内网通信数据进行数据特征检测，确定待处理的异常内网设备；

根据所述异常内网设备的第一通信数据构建第一信息流处理模型，并基于所述第一信息流处理模型，确定第一网络操作信息；

根据所述异常内网设备的第二通信数据构建第二信息流处理模型，并基于所述第二信息流通信模型，确定第二网络操作信息；

若所述第一网络操作信息与所述第二网络操作信息的相似程度满足第一预设条件，获取所述异常内网设备的访问信息检测结果；

若所述访问信息检测结果满足第二预设条件，对所述异常内网设备发送通信告警信息，以控制所述异常内网设备执行安全通信恢复操作。

在其中一个实施例中，所述根据所述异常内网设备的第一通信数据构建第一信息流处理模型，包括：

获取针对所述异常内网设备的数据处理区分信息，并基于所述数据处理区分信息建立数据发送代理和数据接收代理，以进行追踪处理；

将所述数据发送代理绑定至所述异常内网设备的发送节点，并将所述数据接收代理绑定至所述异常内网设备的接收节点；

连接所述数据发送代理和所述数据发送代理，得到所述第一信息流处理模型。

在其中一个实施例中，所述基于所述数据处理区分信息建立数据发送代理和数据接收代理，以进行追踪处理，包括：

确定针对所述发送节点与所述接收节点的节点链路信息；所述节点链路信息包括节点间的多个链路以及各所述链路的信息队列长度；

根据所述节点间的多个链路确定各节点之间的相互位置，并基于所述各节点之间的相互位置对各所述链路的信息队列进行监视。

在其中一个实施例中，所述根据所述异常内网设备的第二通信数据构建第二信息流处理模型，包括：

基于所述第二通信数据中的联网请求信令，确定针对所述异常内网设备的联网接入关系；所述联网接入关系通过本地接入操作和核心网鉴权操作建立；

采用所述联网接入关系构建所述第二信息流处理模型。

在其中一个实施例中，所述对所述异常内网设备发送通信告警信息，以控制所述异常内网设备执行安全通信恢复操作，包括：

基于所述通信告警信息中的通信连接断开指令，停止所述异常内网设备的当前通信连接；所述当前通信连接包括无线连接和有线连接。

在其中一个实施例中，还包括：

若检测到已执行安全通信恢复操作的内网设备，再次接入异常网络访问业务，确定所述内网设备的设备代码；

基于所述设备代码，模拟访问所述内网设备对应的无线连接和有线连接。

第二方面，本申请还提供了一种基于数据流分析的非法外联监测装置，所述装置包括：

内网数据获取模块，用于获取所监测内部网络中的内网通信数据，对所述内网通信数据进行数据特征检测，确定待处理的异常内网设备；

第一通信数据处理模块，用于根据所述异常内网设备的第一通信数据构建第一信息流处理模型，并基于所述第一信息流处理模型，确定第一网络操作信息；

第二通信数据处理模块，用于根据所述异常内网设备的第二通信数据构建第二信息流处理模型，并基于所述第二信息流通信模型，确定第二网络操作信息；

异常通信判断模块，用于若所述第一网络操作信息与所述第二网络操作信息的相似程度满足第一预设条件，获取所述异常内网设备的访问信息检测结果；

通信告警模块，用于若所述访问信息检测结果满足第二预设条件，对所述异常内网设备发送通信告警信息，以控制所述异常内网设备执行安全通信恢复操作。

第三方面，本申请还提供了一种计算机设备。所述计算机设备包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时实现如上所述的基于数据流分析的非法外联监测方法的步骤。

第四方面，本申请还提供了一种计算机可读存储介质。所述计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现如上所述的基于数据流分析的非法外联监测方法的步骤。

第五方面，本申请还提供了一种计算机程序产品。所述计算机程序产品，包括计算机程序，所述计算机程序被处理器执行时实现如上所述的基于数据流分析的非法外联监测方法的步骤。

上述一种基于数据流分析的非法外联监测方法、装置、计算机设备、存储介质和计算机程序产品，通过获取所监测内部网络中的内网通信数据，对内网通信数据进行数据特征检测，确定待处理的异常内网设备，然后根据异常内网设备的第一通信数据构建第一信息流处理模型，并基于第一信息流处理模型，确定第一网络操作信息，根据异常内网设备的第二通信数据构建第二信息流处理模型，并基于第二信息流通信模型，确定第二网络操作信息，若第一网络操作信息与第二网络操作信息的相似程度满足第一预设条件，获取异常内网设备的访问信息检测结果，若访问信息检测结果满足第二预设条件，对异常内网设备发送通信告警信息，以控制异常内网设备执行安全通信恢复操作，实现了针对内部网络用户进行异常通信连接的日常化监测，通过比对网络操作信息的相似程度并确定访问信息检测结果，可以在检测出内网设备存在异常通信行为后对其进行有效处置，提升了内部网络安全控制效率。

附图说明

图1为一个实施例中一种基于数据流分析的非法外联监测方法的流程示意图；

图2为一个实施例中一种第一通信数据处理步骤的流程示意图；

图3为一个实施例中另一种基于数据流分析的非法外联监测方法的流程示意图；

图4为一个实施例中一种基于数据流分析的非法外联监测装置的结构框图；

图5为一个实施例中一种计算机设备的内部结构图。

具体实施方式

为了使本申请的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本申请进行进一步详细说明。应当理解，此处描述的具体实施例仅仅用以解释本申请，并不用于限定本申请。

需要说明的是，本申请所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于展示的数据、分析的数据等)，均为经用户授权或者经过各方充分授权的信息和数据；对应的，本申请还提供有相应的用户授权入口，供用户选择授权或者选择拒绝。

在一个实施例中，如图1所示，提供了一种基于数据流分析的非法外联监测方法，本实施例以该方法应用于终端进行举例说明，可以理解的是，该方法也可以应用于服务器，还可以应用于包括终端和服务器的系统，并通过终端和服务器的交互实现。本实施例中，该方法包括以下步骤：

步骤101，获取所监测内部网络中的内网通信数据，对所述内网通信数据进行数据特征检测，确定待处理的异常内网设备；

其中，内网设备可以包括内部网络中的终端设备，如计算机设备、路由设备等，在本实施例中不作具体限制。

在实际应用中，安全控制设备可以通过获取所监测内部网络中的内网通信数据，然后对该内网通信数据进行数据特征检测，进而可以检测出潜在异常通信连接的内网设备，作为待处理的异常内网设备，以确认该潜在异常通信连接的内网设备是否实质上存在异常通信行为。

具体地，可以预设通信数据特征检测模型，通过针对内部网络中的异常通信连接形式，如内网设备通过无线WIFI连接手机开启的个人热点进行外网连接，或内网设备通过USB连接手机，以USB共享网络方式进行外网连接，可以根据提取到的通信数据特征，基于异常通信连接与正常内部网络通信的不同特征构建通信数据特征检测模型，进而可以采用预设的通信数据特征检测模型，对内网通信数据进行数据特征检测，以检测出潜在异常通信连接的内网设备。

步骤102，根据所述异常内网设备的第一通信数据构建第一信息流处理模型，并基于所述第一信息流处理模型，确定第一网络操作信息；

其中，第一通信数据可以为有线信息流的通信数据，可以对有线信息流的通信数据进行特征分析，进而可以基于通信数据特征分析结果构建第一信息流处理模型，其可以用于确定第一通信数据对应的网络操作信息。

作为一示例，第一网络操作信息可以表征生成第一通信数据的网络操作方式，如有线信息流的通信数据是由内网设备在内部网络正常通信中所生成，或由互联网主机控制或驱动内网设备所生成。

在确定待处理的异常内网设备后，可以对该异常内网设备的第一通信数据进行特征分析，进而可以基于通信数据特征分析结果构建第一信息流处理模型，进而可以通过第一信息流处理模型，确定第一通信数据对应的网络操作信息，作为第一网络操作信息。

步骤103，根据所述异常内网设备的第二通信数据构建第二信息流处理模型，并基于所述第二信息流通信模型，确定第二网络操作信息；

其中，第二通信数据可以为无线信息流的通信数据，如加密传输的无线信息流的通信数据，可以对无线信息流的通信数据进行特征分析，进而可以基于通信数据特征分析结果构建第二信息流处理模型，其可以用于确定第二通信数据对应的网络操作信息。

作为一示例，第二网络操作信息可以表征生成第二通信数据的网络操作方式，如无线信息流的通信数据是由内网设备在内部网络正常通信中所生成，或由互联网主机控制或驱动内网设备所生成。

在具体实现中，可以对异常内网设备的第二通信数据进行特征分析，进而可以基于通信数据特征分析结果构建第二信息流处理模型，进而可以通过第二信息流处理模型，确定第二通信数据对应的网络操作信息，作为第二网络操作信息。

步骤104，若所述第一网络操作信息与所述第二网络操作信息的相似程度满足第一预设条件，获取所述异常内网设备的访问信息检测结果；

在实际应用中，可以将第一网络操作信息与第二网络操作信息进行比对，通过第一网络操作信息与第二网络操作信息的相似程度可以判断出异常内网设备是否存在异常通信连接，如内部人员违规连通外部网络，将内网设备直接连通互联网或通过其它网络访问互联网，或未经安全防护及策略设置直接连通其它网络。

具体地，可以针对相似程度预设判定条件，通过对第一网络操作信息与第二网络操作信息进行交叉检测以判断两者相似程度，即针对有线信息流的网络操作信息和无线信息流的网络操作信息中表征出相似性的特征信息进行重叠匹配，若重叠匹配阈值达到预设阈值，则可以判定第一网络操作信息与第二网络操作信息的相似程度满足第一预设条件。

在一示例中，各内网设备的内网数据可以包括有线信息流的通信数据和无线信息流的通信数据，进而可以基于第一网络操作信息与第二网络操作信息的相似程度，确定某一内网设备的内网数据是否由互联网主机控制或驱动内网设备所生成，即是否违规连通外部网络，存在异常通信连接。

在又一示例中，由于内网设备连通外部网络进行通信后，在内网设备本地会产生相关访问信息，即内网设备中存在连通外部网络进行通信的信息记录，则可以在判定第一网络操作信息与第二网络操作信息的相似程度满足第一预设条件后，进一步获取异常内网设备的访问信息检测结果，以确认潜在异常通信连接的内网设备是否实质上存在异常通信行为，从而可以排除冒用内网设备进行异常通信，如冒用内网设备的IP地址进行连通外部网络操作。

在一个可选实施例中，在对内网设备的异常通信监测过程中，针对每个内网设备均会设置唯一对应的本地IP地址进行绑定，即IP地址与内网设备的网卡mac地址绑定，以使其它设备无法轻易设置使用各内网设备的IP地址。

步骤105，若所述访问信息检测结果满足第二预设条件，对所述异常内网设备发送通信告警信息，以控制所述异常内网设备执行安全通信恢复操作。

在具体实现中，通过检测内网设备中是否存在连通外部网络进行通信的信息记录，可以得到访问信息检测结果，若该访问信息检测结果表征内网设备本地具有外网的相关访问信息，则可以确认异常内网设备实质上存在异常通信行为，进而安全控制设备可以对异常内网设备发送通信告警信息，以控制异常内网设备执行安全通信恢复操作。

例如，针对确认存在异常通信行为的异常内网设备，安全控制设备可以获取该异常内网设备对应绑定的本地IP地址，进而可以基于查找到的IP地址向异常内网设备发送通信告警信息，该通信告警信息可以包括违规外联告警指令和通信连接断开指令，以告知异常内网设备对应登记的内部人员存在违规外联通信行为，并使异常内网设备基于通信连接断开指令执行安全通信恢复操作。

上述基于数据流分析的非法外联监测方法中，通过获取所监测内部网络中的内网通信数据，对内网通信数据进行数据特征检测，确定待处理的异常内网设备，然后根据异常内网设备的第一通信数据构建第一信息流处理模型，并基于第一信息流处理模型，确定第一网络操作信息，根据异常内网设备的第二通信数据构建第二信息流处理模型，并基于第二信息流通信模型，确定第二网络操作信息，若第一网络操作信息与第二网络操作信息的相似程度满足第一预设条件，获取异常内网设备的访问信息检测结果，若访问信息检测结果满足第二预设条件，对异常内网设备发送通信告警信息，以控制异常内网设备执行安全通信恢复操作，实现了针对内部网络用户进行异常通信连接的日常化监测，通过比对网络操作信息的相似程度并确定访问信息检测结果，可以在检测出内网设备存在异常通信行为后对其进行有效处置，提升了内部网络安全控制效率。

在一个实施例中，如图2所示，所述根据所述异常内网设备的第一通信数据构建第一信息流处理模型，可以包括如下步骤：

步骤201，获取针对所述异常内网设备的数据处理区分信息，并基于所述数据处理区分信息建立数据发送代理和数据接收代理，以进行追踪处理；

在具体实现中，通过针对异常内网设备定义不同数据流的颜色(即数据处理区分信息)，并可以基于数据处理区分信息建立数据发送代理和数据接收代理，进而可以开启Trace跟踪和NAM跟踪以进行追踪处理。

步骤202，将所述数据发送代理绑定至所述异常内网设备的发送节点，并将所述数据接收代理绑定至所述异常内网设备的接收节点；

在一示例中，可以通过将数据发送代理绑定至异常内网设备的发送节点，以建立数据发送代理，并可以将数据接收代理绑定至所述异常内网设备的接收节点，以建立数据接收代理。

步骤203，连接所述数据发送代理和所述数据发送代理，得到所述第一信息流处理模型。

在建立数据发送代理和数据接收代理后，可以连接数据发送代理和数据发送代理，进而可以完成有线信息流处理模型(即第二信息流处理模型)的构建，从而能够基于信息流处理模型确定对应的网络操作信息，无需对原有内部网络进行任何结构修改，降低了安全控制部署成本，且在对内网设备的异常通信监测过程中，无需在内部网络中产生额外的网络通信节点，避免了针对原有内部网络引入安全风险。

本实施例中，通过获取针对异常内网设备的数据处理区分信息，并基于数据处理区分信息建立数据发送代理和数据接收代理，以进行追踪处理，然后将数据发送代理绑定至异常内网设备的发送节点，并将数据接收代理绑定至异常内网设备的接收节点，进而连接数据发送代理和数据发送代理，得到第一信息流处理模型，可以基于有线信息流的通信数据进行特征分析并构建信息流处理模型，以确定有线信息流的网络操作信息，提升了内部网络安全控制效率。

在一个实施例中，所述基于所述数据处理区分信息建立数据发送代理和数据接收代理，以进行追踪处理，可以包括如下步骤：

确定针对所述发送节点与所述接收节点的节点链路信息；所述节点链路信息包括节点间的多个链路以及各所述链路的信息队列长度；根据所述节点间的多个链路确定各节点之间的相互位置，并基于所述各节点之间的相互位置对各所述链路的信息队列进行监视。

在一示例中，可以针对发送节点与接收节点均定义节点间的链路，且定义链路的队列长度(即节点链路信息包括节点间的多个链路以及各链路的信息队列长度)，进而可以通过节点间的相互位置，监视链路的队列。

本实施例中，通过确定针对发送节点与接收节点的节点链路信息，进而根据节点间的多个链路确定各节点之间的相互位置，并基于各节点之间的相互位置对各链路的信息队列进行监视，有助于基于有线信息流的通信数据进行特征分析并构建信息流处理模型。

在一个实施例中，所述根据所述异常内网设备的第二通信数据构建第二信息流处理模型，可以包括如下步骤：

基于所述第二通信数据中的联网请求信令，确定针对所述异常内网设备的联网接入关系；所述联网接入关系通过本地接入操作和核心网鉴权操作建立；采用所述联网接入关系构建所述第二信息流处理模型。

在实际应用中，基于对异常内网设备无线信息流的通信数据进行特征分析，可以在异常内网设备发出联网请求信令给无线基站后，无线基站对异常内网设备开启本地互联网协议存入LIPA(Local IP Access，本地IP接入)功能，并可以执行核心网鉴权操作，进而可以使得异常内网设备通过IP地址接入外部网络，以完成无线信息流处理模型(即第二信息流处理模型)的构建。

在一示例中，无线基站对异常内网设备开启本地互联网协议存入LIPA功能时，可以基于共享WEP密钥进行内网设备认证和用户认证，可以通过安全隧道传输用户认证信息，以实现用户认证信息的加密交换。

在又一示例中，无线信息流处理模型可以开启LIPA检查逻辑，在无线基站与异常内网设备进行数据传输的过程中，异常内网设备可以采用IP地址进行数据传输，无线基站可以对异常内网设备的IP地址进行网络地址转换，进而异常内网设备可以访问外部网络。

本实施例中，通过基于第二通信数据中的联网请求信令，确定针对异常内网设备的联网接入关系，进而采用联网接入关系构建第二信息流处理模型，可以基于无线信息流的通信数据进行特征分析并构建信息流处理模型，以确定无线信息流的网络操作信息，提升了内部网络安全控制效率。

在一个实施例中，所述对所述异常内网设备发送通信告警信息，以控制所述异常内网设备执行安全通信恢复操作，可以包括如下步骤：

在实际应用中，通信告警信息可以包括违规外联告警指令和通信连接断开指令，可以在异常内网设备接收到通信连接断开指令后，基于该通信连接断开指令控制异常内网设备执行通信连接断开操作，以停止异常内网设备的无线连接和有线连接。

在一示例中，通过获取无线信息流，可以基于无线模式准确发现内部网络环境中手机热点或随身WIFI接入，并根据无线信息流和有线信息流的特征比对分析，能够识别内网通信数据是否由互联网主机控制或驱动内网设备所生成，从而能够准确且实时地对内部网络中的异常通信行为进行监测，也避免了技术性漏报问题。

本实施例中，通过基于通信告警信息中的通信连接断开指令，停止异常内网设备的当前通信连接，能够在检测出内网设备存在异常通信行为后对其进行有效处置，保证了内部网络的安全性。

在一个实施例中，还可以包括如下步骤：

若检测到已执行安全通信恢复操作的内网设备，再次接入异常网络访问业务，确定所述内网设备的设备代码；基于所述设备代码，模拟访问所述内网设备对应的无线连接和有线连接。

在实际应用中，在确认异常内网设备执行通信连接断开操作后重新进行网络通信，安全控制设备可以针对该内网设备进行实时监测，即重新对该内网设备进行异常通信连接判定工作。

在一示例中，可以在内网设备A执行通信连接断开操作后重新进行网络通信时，判定内网设备A再次接入违规外部网络进行访问业务，即若检测到已执行安全通信恢复操作的内网设备，再次接入异常网络访问业务，可以自动追溯检查内网设备A的设备代码，如探测服务器接收到访问信息，则判定内网设备A再次访问，进而可以采用内网设备A的设备代码模拟访问内网设备A的无线连接与有线连接。

在一个可选实施例中，还可以对异常内网设备的异常通信连接行为记录进行审计，当监测到内部网络中存在违规连通外网行为时，可以对违规连通外网行为进行审计，若审计记录中的状态为绿色时，可以允许内网设备经安全防护及策略设置进行通信连接，若审计记录中的状态为红色时，可以阻断内网设备的通信连接，并可以支持审计记录导出本地保存。从而通过安全控制设备对异常通信连接行为进行监测、控制、审计，可以基于管理策略要求，灵活地开启或关闭每个内网设备的各种外联途径，能够维护内网设备的封闭性。

本实施例中，通过若检测到已执行安全通信恢复操作的内网设备，再次接入异常网络访问业务，确定内网设备的设备代码，进而基于设备代码，模拟访问内网设备对应的无线连接和有线连接，提升了内部网络安全控制效率。

在一个实施例中，如图3所示，提供了另一种基于数据流分析的非法外联监测方法的流程示意图。本实施例中，该方法包括以下步骤：

在步骤301中，获取所监测内部网络中的内网通信数据，对所述内网通信数据进行数据特征检测，确定待处理的异常内网设备。在步骤302中，根据所述异常内网设备的第一通信数据构建第一信息流处理模型，并基于所述第一信息流处理模型，确定第一网络操作信息。在步骤303中，根据所述异常内网设备的第二通信数据构建第二信息流处理模型，并基于所述第二信息流通信模型，确定第二网络操作信息。在步骤304中，若所述第一网络操作信息与所述第二网络操作信息的相似程度满足第一预设条件，获取所述异常内网设备的访问信息检测结果。在步骤305中，若所述访问信息检测结果满足第二预设条件，基于所述通信告警信息中的通信连接断开指令，停止所述异常内网设备的当前通信连接；所述当前通信连接包括无线连接和有线连接。在步骤306中，若检测到已执行安全通信恢复操作的内网设备，再次接入异常网络访问业务，确定所述内网设备的设备代码。在步骤307中，基于所述设备代码，模拟访问所述内网设备对应的无线连接和有线连接。

需要说明的是，上述步骤的具体限定可以参见上文对一种基于数据流分析的非法外联监测方法的具体限定，在此不再赘述。

应该理解的是，虽然如上所述的各实施例所涉及的流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，这些步骤可以以其它的顺序执行。而且，如上所述的各实施例所涉及的流程图中的至少一部分步骤可以包括多个步骤或者多个阶段，这些步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，这些步骤或者阶段的执行顺序也不必然是依次进行，而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。

基于同样的发明构思，本申请实施例还提供了一种用于实现上述所涉及的基于数据流分析的非法外联监测方法的基于数据流分析的非法外联监测装置。该装置所提供的解决问题的实现方案与上述方法中所记载的实现方案相似，故下面所提供的一个或多个基于数据流分析的非法外联监测装置实施例中的具体限定可以参见上文中对于基于数据流分析的非法外联监测方法的限定，在此不再赘述。

在一个实施例中，如图4所示，提供了一种基于数据流分析的非法外联监测装置，包括：

内网数据获取模块401，用于获取所监测内部网络中的内网通信数据，对所述内网通信数据进行数据特征检测，确定待处理的异常内网设备；

第一通信数据处理模块402，用于根据所述异常内网设备的第一通信数据构建第一信息流处理模型，并基于所述第一信息流处理模型，确定第一网络操作信息；

第二通信数据处理模块403，用于根据所述异常内网设备的第二通信数据构建第二信息流处理模型，并基于所述第二信息流通信模型，确定第二网络操作信息；

异常通信判断模块404，用于若所述第一网络操作信息与所述第二网络操作信息的相似程度满足第一预设条件，获取所述异常内网设备的访问信息检测结果；

通信告警模块405，用于若所述访问信息检测结果满足第二预设条件，对所述异常内网设备发送通信告警信息，以控制所述异常内网设备执行安全通信恢复操作。

在一个实施例中，所述第一通信数据处理模块402包括：

追踪处理子模块，用于获取针对所述异常内网设备的数据处理区分信息，并基于所述数据处理区分信息建立数据发送代理和数据接收代理，以进行追踪处理；

绑定子模块，用于将所述数据发送代理绑定至所述异常内网设备的发送节点，并将所述数据接收代理绑定至所述异常内网设备的接收节点；

连接子模块，用于连接所述数据发送代理和所述数据发送代理，得到所述第一信息流处理模型。

在一个实施例中，所述追踪处理子模块包括：

节点链路信息确定单元，用于确定针对所述发送节点与所述接收节点的节点链路信息；所述节点链路信息包括节点间的多个链路以及各所述链路的信息队列长度；

监视单元，用于根据所述节点间的多个链路确定各节点之间的相互位置，并基于所述各节点之间的相互位置对各所述链路的信息队列进行监视。

在一个实施例中，所述第二通信数据处理模块403包括：

联网接入关系确定子模块，用于基于所述第二通信数据中的联网请求信令，确定针对所述异常内网设备的联网接入关系；所述联网接入关系通过本地接入操作和核心网鉴权操作建立；

构建子模块，用于采用所述联网接入关系构建所述第二信息流处理模型。

在一个实施例中，所述通信告警模块405包括：

通信连接断开子模块，用于基于所述通信告警信息中的通信连接断开指令，停止所述异常内网设备的当前通信连接；所述当前通信连接包括无线连接和有线连接。

在一个实施例中，所述装置还包括：

设备代码确定模块，用于若检测到已执行安全通信恢复操作的内网设备，再次接入异常网络访问业务，确定所述内网设备的设备代码；

模拟访问模块，用于基于所述设备代码，模拟访问所述内网设备对应的无线连接和有线连接。

上述基于数据流分析的非法外联监测装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中，也可以以软件形式存储于计算机设备中的存储器中，以便于处理器调用执行以上各个模块对应的操作。

在一个实施例中，提供了一种计算机设备，该计算机设备可以是终端，其内部结构图可以如图5所示。该计算机设备包括通过系统总线连接的处理器、存储器和网络接口。其中，该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质和内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储基于数据流分析的非法外联监测数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种基于数据流分析的非法外联监测方法。

本领域技术人员可以理解，图5中示出的结构，仅仅是与本申请方案相关的部分结构的框图，并不构成对本申请方案所应用于其上的计算机设备的限定，具体的计算机设备可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。

在一个实施例中，提供了一种计算机设备，包括存储器和处理器，存储器中存储有计算机程序，该处理器执行计算机程序时实现以下步骤：

在一个实施例中，处理器执行计算机程序时还实现上述其他实施例中的基于数据流分析的非法外联监测方法的步骤。

在一个实施例中，提供了一种计算机可读存储介质，其上存储有计算机程序，计算机程序被处理器执行时实现以下步骤：

在一个实施例中，计算机程序被处理器执行时还实现上述其他实施例中的基于数据流分析的非法外联监测方法的步骤。

在一个实施例中，提供了一种计算机程序产品，包括计算机程序，该计算机程序被处理器执行时实现以下步骤：

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一非易失性计算机可读取存储介质中，该计算机程序在执行时，可包括如上述各方法的实施例的流程。其中，本申请所提供的各实施例中所使用的对存储器、数据库或其它介质的任何引用，均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-OnlyMemory，ROM)、磁带、软盘、闪存、光存储器、高密度嵌入式非易失性存储器、阻变存储器(ReRAM)、磁变存储器(Magnetoresistive Random Access Memory，MRAM)、铁电存储器(Ferroelectric Random Access Memory，FRAM)、相变存储器(Phase Change Memory，PCM)、石墨烯存储器等。易失性存储器可包括随机存取存储器(Random Access Memory，RAM)或外部高速缓冲存储器等。作为说明而非局限，RAM可以是多种形式，比如静态随机存取存储器(Static Random Access Memory，SRAM)或动态随机存取存储器(Dynamic RandomAccess Memory，DRAM)等。本申请所提供的各实施例中所涉及的数据库可包括关系型数据库和非关系型数据库中至少一种。非关系型数据库可包括基于区块链的分布式数据库等，不限于此。本申请所提供的各实施例中所涉及的处理器可为通用处理器、中央处理器、图形处理器、数字信号处理器、可编程逻辑器、基于量子计算的数据处理逻辑器等，不限于此。

以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。

以上所述实施例仅表达了本申请的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对本申请专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本申请构思的前提下，还可以做出若干变形和改进，这些都属于本申请的保护范围。因此，本申请的保护范围应以所附权利要求为准。

Claims

1.一种基于数据流分析的非法外联监测方法，其特征在于，所述方法包括：

根据所述异常内网设备的第二通信数据构建第二信息流处理模型，并基于所述第二信息流处理模型，确定第二网络操作信息；

若所述访问信息检测结果满足第二预设条件，对所述异常内网设备发送通信告警信息，以控制所述异常内网设备执行安全通信恢复操作；

其中，所述根据所述异常内网设备的第一通信数据构建第一信息流处理模型，包括：

连接所述数据发送代理和所述数据发送代理，得到所述第一信息流处理模型；

所述基于所述数据处理区分信息建立数据发送代理和数据接收代理，以进行追踪处理，包括：

根据所述节点间的多个链路确定各节点之间的相互位置，并基于所述各节点之间的相互位置对各所述链路的信息队列进行监视；

所述根据所述异常内网设备的第二通信数据构建第二信息流处理模型，包括：

采用所述联网接入关系构建所述第二信息流处理模型。

2.根据权利要求1所述的方法，其特征在于，所述对所述异常内网设备发送通信告警信息，以控制所述异常内网设备执行安全通信恢复操作，包括：

3.根据权利要求1或2所述的方法，其特征在于，还包括：

4.一种基于数据流分析的非法外联监测装置，其特征在于，所述装置包括：

第二通信数据处理模块，用于根据所述异常内网设备的第二通信数据构建第二信息流处理模型，并基于所述第二信息流处理模型，确定第二网络操作信息；

通信告警模块，用于若所述访问信息检测结果满足第二预设条件，对所述异常内网设备发送通信告警信息，以控制所述异常内网设备执行安全通信恢复操作；

其中，所述第一通信数据处理模块包括：

连接子模块，用于连接所述数据发送代理和所述数据发送代理，得到所述第一信息流处理模型；

所述追踪处理子模块包括：

监视单元，用于根据所述节点间的多个链路确定各节点之间的相互位置，并基于所述各节点之间的相互位置对各所述链路的信息队列进行监视；

所述第二通信数据处理模块包括：

5.根据权利要求4所述的装置，其特征在于，所述通信告警模块包括：

6.根据权利要求4或5所述的装置，其特征在于，所述装置还包括：

7.一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，其特征在于，所述处理器执行所述计算机程序时实现权利要求1至3中任一项所述的方法的步骤。

8.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现权利要求1至3中任一项所述的方法的步骤。