CN114363080A - 一种网络终端的监控分析方法、装置、设备及存储介质 - Google Patents
一种网络终端的监控分析方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN114363080A CN114363080A CN202210026274.2A CN202210026274A CN114363080A CN 114363080 A CN114363080 A CN 114363080A CN 202210026274 A CN202210026274 A CN 202210026274A CN 114363080 A CN114363080 A CN 114363080A
- Authority
- CN
- China
- Prior art keywords
- equipment
- network
- sniffing
- monitoring
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012544 monitoring process Methods 0.000 title claims abstract description 42
- 238000004458 analytical method Methods 0.000 title claims description 27
- 230000006399 behavior Effects 0.000 claims abstract description 31
- 238000000034 method Methods 0.000 claims abstract description 23
- 230000002159 abnormal effect Effects 0.000 claims abstract description 20
- 238000001914 filtration Methods 0.000 claims abstract description 13
- 230000035515 penetration Effects 0.000 claims description 20
- 238000004891 communication Methods 0.000 claims description 8
- 230000000977 initiatory effect Effects 0.000 claims description 8
- 230000035945 sensitivity Effects 0.000 claims description 7
- 230000008569 process Effects 0.000 abstract description 5
- 208000015181 infectious disease Diseases 0.000 abstract description 2
- 238000012423 maintenance Methods 0.000 abstract description 2
- 230000005540 biological transmission Effects 0.000 description 3
- 238000001514 detection method Methods 0.000 description 3
- 230000007123 defense Effects 0.000 description 2
- 241000287828 Gallus gallus Species 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000009792 diffusion process Methods 0.000 description 1
- 230000008595 infiltration Effects 0.000 description 1
- 238000001764 infiltration Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000000149 penetrating effect Effects 0.000 description 1
- 230000008447 perception Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000013077 scoring method Methods 0.000 description 1
- 230000007480 spreading Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种网络终端的监控分析方法、装置、设备及存储介质,其方法包括以下步骤:A:在监控网络中部署一定规模的虚假IP设备;B:接收并统计网络中真实设备对虚假IP设备的嗅探数据包,并通过白名单进行过滤,剔除正常访问数据;C:通过专家系统逐一对单个设备发出的异常嗅探行为进行威胁评分,步骤A中,需要先获取监控内网中的空余IP地址,步骤A中,利用允许使用的空闲IP地址,虚拟出具有IP地址、Mac地址并开放所有端口的虚假IP设备。本发明能够对被恶意程序感染的终端设备进行感染威胁评分,优先处理高危设备,防止网络空间中其它设备被快速感染,从而大幅提升网络空间安全,及安全运维的工作效率。
Description
技术领域
本发明涉及网络安全技术领域,具体为一种网络终端的监控分析方法、装置、设备及存储介质。
背景技术
网络空间的恶意嗅探行为属于网络资源的主动探测行为,一般在网络攻击的侦查阶段会大量出现,其目的是确定目标IP地址是否存在,可攻击端口是否开放。网络攻击者在实施网络攻击前或通过内网跳板机横向渗透时,必然会通过网络扫描,收集各种网络资源信息,以获得更有价值的攻击目标,然后再根据收集到的网络信息进行分析,找到高价值目标,再选择对应的网络攻击工具,利用目标系统漏洞进入目标系统内部,获取控制权,以便获取非法利益。
在网络攻击的侦察过程中,通过设置虚拟IP设备,引诱攻击者进行嗅探,从而抓住攻击者或者被恶意程序感染的跳板机,该方法因为不用分析对真实设备的访问数据,所以节约大量计算处理资源,还高效的识别出恶意嗅探行为,同时其能够在网络攻击链条的侦察环节发挥作用,这就大大提升了网络整体防御的预警能力,能够第一时间发现内部失陷设备,并进行处理,从而避免恶意程序的扩散,实现网络安全提升。
目前,对网络恶意嗅探的分析方法主要以统计特征与规则判断相结合为主,这类方法需从海量的正常的网络通信和突发的网络嗅探链接行为中区分恶意嗅探,这就造成了对不同网络通信行为区分能力较弱,误报率和漏报率较高。
发明内容
本发明的目的在于提供一种网络终端的监控分析方法、装置、设备及存储介质,以解决上述背景技术中提出的问题。
为实现上述目的,本发明提供如下技术方案:一种网络终端的监控分析方法,其方法包括以下步骤:
A:在监控网络中部署一定规模的虚假IP设备;
B:接收并统计网络中真实设备对虚假IP设备的嗅探数据包,并通过白名单进行过滤,剔除正常访问数据;
C:通过专家系统逐一对单个设备发出的异常嗅探行为进行威胁评分。
优选的,所述步骤A中,需要先获取监控内网中的空余IP地址。
优选的,所述步骤A中,利用允许使用的空闲IP地址,虚拟出具有IP地址、Mac地址并开放所有端口的虚假IP设备。
优选的,所述步骤A中,每个虚拟IP设备能够随机模拟内网中真实网络设备响应其它实体设备的嗅探访问,通过接收并统计网络中真实设备对虚假IP设备的嗅探数据包,实现对该监控网络中恶意渗透数据的统计,因为虚假IP设备不会与任何真实设备主动通信,所以可以认为对虚假IP设备的访问行为大概率为目标侦察行为。
优选的,所述步骤B中,接收真实设备对虚假IP设备不同端口的扫描数据包。
优选的,所述步骤B中,根据扫描包的发送IP、发送Mac、发送时间、目的IP、目的端口信息生成统计数据。
优选的,所述步骤B中,将统计数据保存到分析平台数据库中,通过专家系统逐一对单个设备发出的嗅探结果进行分析,并生成渗透威胁评分,通过这种方式就可以剔除掉有限的正常访问,并根据恶意嗅探行的强度、危害性、所在的区域、嗅探时间等参数,评估出恶意嗅探行为的威胁评分。
优选的,所述步骤C中,每隔固定时间提取统计数据,逐一对单个设备发出的渗透结果进行汇总。
优选的,所述步骤C中,根据监控网络正常扫描行为白名单,剔除正常扫描渗透行为。
优选的,所述步骤C中,逐一对单个设备在此固定时间间隔内异常扫描行为进行渗透威胁评分,每个固定间隔,根据获取的恶意渗透数据,逐一对单个设备的恶意渗透行为进行渗透评分时,所分析数值及方法包括以下几种。
优选的,所述用户自行设置监控网段的敏感性数值,分为高、中、低三档,这样发现响应网段的IP设备有横向侦察行为后,可根据设备所处区域给出加权参数,重点网段的IP设备被控制,一定比非重点网段IP设备的分数高。
优选的,所述容易被黑客利用的高频端口及危险端口,分为1-10分,该评分机制是分析系统根据过往威胁渗透情况,对经常被黑客所利用的渗透端口进行评分,容易被利用的端口分数高,很难利用的分数低,从而通过评分标记失陷终端的扩散能力。
优选的,所述异常扫描触碰的虚拟IP数目,分为1-10分,一个具有大规模渗透能力的恶意程序一定会试图嗅探更多的IP设备,所以单位时间内触碰的虚拟IP数据的多少也是衡量其危险程度的指标。
优选的,所述异常扫描的次数,分数为1-10分,一个具有大规模扩散能力的恶意程序一定试图嗅探更多的目标,所以单位时间内发起异常渗透的数据也是衡量其危险程度的指标。
优选的,所述异常扫描发起的时间,不同时段分配不同权值,高级的侦察手段会有意错开流量高峰,这样不会引起传统监控系统的察觉,所以该方法会在不同时间段设定不同的评分权值。
一种网络终端的监控分析装置,包括:获取模块、过滤模块和评分模块,
获取模块,其主要特征是在不干扰DHCP正常工作的情况下,可以利用空闲IP地址,建立大量虚拟IP设备,并统计真实终端访问虚拟IP设备的通联情况,获取监控网络中具有IP资源扫描意图的数据包,为进一步分析被恶意程序感染的IP设备提供依据;
过滤模块,其主要特征是能够根据白名单,剔除网络哨兵中接收到的安全的软件系统发起的正常网络资源扫描数据包,从而过滤出具有恶意嗅探行为的异常扫描数据,并将该类数据按照发送IP地址,发送Mac地址,嗅探端口及集中突发的特征进行统计,为恶意渗透分析提供准确数据;
评分模块,按照固定时间间隔逐一评估内网IP设备恶意渗透的威胁评分,其评分方法与原则根据敏感网段、高危端口、嗅探范围、嗅探频次、发起时间进行综合评估。
优选的,所述获取模块,主要是网络哨兵系统,其利用空闲IP地址,建立大量虚假IP设备后,能够实时接收真实终端与虚假IP设备之间的通信情况,从而准确获取网络中具有IP资源扫描意图的数据包,这样需要分析的数据量将极大缩减,同时不需分析客户应用层的数据。
优选的,所述过滤模块,其主要特征是能够根据白名单,剔除网络哨兵中接收到的安全软件系统发起的正常网络资源扫描数据包,从而过滤出具有恶意嗅探行为的异常扫描数据,并将该类数据按照发起IP,嗅探端口及集中突发的特征进行统计。
优选的,所述评分模块,按照固定时间间隔逐一确定恶意渗透IP设备的威胁评分,其评分方法与原则根据敏感网段、高危端口、嗅探范围、嗅探频次、发起时间进行评估。
一种网络终端的监控分析设备,包括处理器和存储器,所述处理器执行的所述存储器中存储的软件程序实现网络终端的监控分析方法。
一种计算机存储介质,其上存储有软件程序,所述程序被处理器执行时实现网络终端的监控分析方法。
与现有技术相比,本发明的有益效果如下:
本发明首先仅利用内网闲置IP,快速建立虚拟哨兵群,无需安装软件,便可通过诱捕的方式,并行监控网络可达的所有的异构网络设备,获取可疑设备发出的嗅探数据包;其次根据这些嗅探数据,能够快速、准确的从大量异构网络IP设备中定位出已经被恶意程序感染的设备;再次本方案的终端威胁监控分析,不需分析任何网络终端上传输、存储的数据及系统,这就为网络安全分析、预警工作节约了大量时间和成本,同时也有效的保护了用户的隐私;最后该方案能够对被恶意程序感染的终端设备进行感染威胁评分,优先处理高危设备,防止网络空间中其它设备被快速感染,从而大幅提升网络空间安全,及安全运维的工作效率。
附图说明
图1为本发明实施例提供的网络终端异常嗅探行为的监控系统的流程图;
图2为本发明实施例提供的分析平台针对网络终端异常嗅探行为分析方法的流程图;
图3为本发明实施例提供的网络终端异常嗅探行为的监控分析的装置的结构框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例一:
一种网络终端的监控分析方法,其方法包括以下步骤:
A:在监控网络中部署大规模的虚假IP设备;
通过独立的网络硬件设备,利用网络中空闲IP地址,在不给原网络造成负担的情况下,生成大量虚拟的IP设备,这些虚拟的IP设备就成为了大量陷阱,引诱在内网中侦察资源的“跳板机”或“肉鸡”进行嗅探,从而捕获这些“跳板机”发起的恶意嗅探数据。
B:接收并统计网络中真实设备对虚假IP设备的嗅探数据包,并通过白名单进行过滤,剔除正常访问数据;
在此过程中,首先是将大量的恶意嗅探数据按照攻击源IP地址及Mac地址进行归类,之后根据正常访问白名单,将正常访问数据剔除,从而留下真正的恶意嗅探数据,以便再之后的威胁评分更加准确。
C:通过专家系统逐一对单个设备发出的嗅探行为进行威胁评分。
通过在监控网络中部署一定规模的虚假IP设备,实现对该网络中恶意嗅探数据与正常访问数据的分离处理,通过虚假目标的方式可以高效的将大量正常业务通联与恶意嗅探区分开来,这样使需要处理的原始数据大幅降低,大幅提升后期判别恶意嗅探的准确率。
在此过程前,已经获得的攻击源以10分钟为间隔,发起的恶意嗅探统计数据,下一步根据所处网段的敏感性、渗透端口的危害性、触碰的虚拟IP数据,异常嗅探的次数及嗅探的时间进行威胁评分。
通过本实施例的方法,利用独立哨兵系统及空闲IP设置大规模的虚假IP设备,来诱捕网络中被恶意程序感染的失陷终端,同时通过过滤系统中的白名单将正常软件系统的扫描行为过滤出去,留下真正的恶意程序的侦察数据,再通过专家系统对被恶意程序感染的终端的威胁性进行评分,从而为使用者提供一份准确的具有恶意嗅探行为的实体设备名单。
实施例二:
如图2所示,与实施例一相对应,本实施例提供一种网络终端的监控分析方法,其方法包括以下步骤:
A:依据嗅探源的IP地址和Mac地址,对10分钟内上传的数据进行聚合,聚合的内容包括触发的哨兵IP个数,地址,触碰的哨兵端口,触碰的次数等信息,以便进一步进行恶意嗅探行为的评分;
B:需要用户提供监控网段的敏感性分数值,可以通过客户的管理终端输入网络防御的安全性要求数值,通过高、中、低来区分;
C:根据嗅探行为所针对的端口进行评分,多个端口需提升威胁评分,达到最高分后,不在提升;
D:根据嗅探行为触碰的哨兵数据进行评分,触碰的越多说明渗透的期望越强,评分越高,达到最高分后不在增加;
E:根据嗅探次数评分,单位时间内,嗅探的次数越多,评分越高,达到最高分后不在增加;
F:根据异常嗅探发起的时间段进行评分;
G:最终根据以上五项内容拟合出某设备最近10分钟的威胁评分。
实施例三:
如图3所示,与实施例一相对应,本实施例提供一种网络终端的监控分析装置,包括:获取模块、过滤模块和评分模块,
获取模块,主要是网络哨兵设备,其利用空闲IP地址,建立大量虚假IP设备后,能够实时接收真实终端与虚假IP设备之间的通信情况,从而准确获取网络中具有IP资源扫描意图的数据包,这样需要分析的数据量将极大缩减,同时不需分析客户应用层的数据;
过滤模块,其主要特征是能够根据白名单,剔除网络哨兵中接收到的安全的软件系统发起的正常网络资源扫描数据包,从而过滤出具有恶意嗅探行为的异常扫描数据,并将该类数据按照发起IP地址、Mac地址,嗅探端口及集中突发的特征进行统计;
评分模块,按照固定时间间隔逐一确定恶意渗透IP设备的威胁评分,其评分方法与原则根据敏感网段、高危端口、嗅探范围、嗅探频次、发起时间进行评估。
通过上述模块,网络中的恶意嗅探行为就能够被准确的区分出来,同时根据专利所述的评分方式,对单位时间内恶意嗅探行为进行评分,将最终的相应的威胁名单传递给用户,协助其实现威胁的定位。
在实际使用中,可以为多个用户部署多个获取模块,用来收集不同地域,不同网络空间的网络扫描渗透信息,同时将获取的信息传送到云端的过滤模块与评分模块中,进行集中的过滤与分析,后再通过常用的通信手段,将用户的内网威胁名单发送给客户,实现网络空间威胁预警。
尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同物限定。
Claims (7)
1.一种网络终端的监控分析方法,其特征在于:其方法包括以下步骤:
A:在监控网络中部署一定规模的虚假IP设备;
B:接收并统计网络中真实设备对虚假IP设备的嗅探数据包,并通过白名单进行过滤,剔除正常访问数据;
C:通过专家系统逐一对单个设备发出的异常嗅探行为进行威胁评分。
2.根据权利要求1所述的一种网络终端的监控分析方法,其特征在于:所述步骤A包括:①、先获取所要监控内网中的空余IP地址;②、利用允许使用的空闲IP地址,虚拟出具有IP地址、Mac地址并开放所有端口的虚拟IP设备;③、每个虚拟IP设备能够模拟内网中真实网络设备响应其它实体设备的嗅探访问。
3.根据权利要求1所述的一种网络终端的监控分析方法,其特征在于:所述步骤B包括:①、接收真实设备对虚假IP设备不同端口的扫描数据包;②、根据扫描包的发送IP、发送Mac、发送时间、目的IP、目的端口信息生成统计数据;③、每隔固定时间提取统计数据,逐一对单个设备发出的渗透结果进行汇总;④、根据监控网络正常扫描行为白名单,剔除正常扫描行为;⑤、将统计数据保存到分析平台数据库中。
4.根据权利要求1所述的一种网络终端的监控分析方法,其特征在于:所述步骤C包括:①、逐一对单个设备在此固定时间间隔内恶意渗透,进行评分,在对所述恶意渗透行为进行威胁评分中,所分析数值包括以下几种;②、用户自行设置监控网段的敏感性数值,分为高、中、低;③、容易被黑客利用的高频端口及危险端口,分为1-10分;④、异常嗅探触碰的虚拟IP数目,分为1-10分;⑤、异常嗅探的次数,分数为1-10分;⑥、异常嗅探发起的时间,不同时段分配不同权值。
5.一种网络终端的监控分析装置,包括:获取模块、过滤模块和评分模块,其特征在于:
获取模块,其主要特征是在不干扰DHCP正常工作的情况下,可以利用空闲IP地址,建立大量虚拟IP设备,并统计真实终端访问虚拟IP设备的通联情况,获取监控网络中具有IP资源扫描意图的数据包,为进一步分析被恶意程序感染的IP设备提供依据;
过滤模块,其主要特征是能够根据白名单,剔除网络哨兵中接收到的安全的软件系统发起的正常网络资源扫描数据包,从而过滤出具有恶意嗅探行为的异常扫描数据,并将该类数据按照发送IP地址,发送Mac地址,嗅探端口及集中突发的特征进行统计,为恶意渗透分析提供准确数据;
评分模块,按照固定时间间隔逐一评估内网IP设备恶意渗透的威胁评分,其评分方法与原则根据权利要求4所述,根据敏感网段、高危端口、嗅探范围、嗅探频次、发起时间进行综合评估。
6.一种网络终端的监控分析设备,包括处理器和存储器,其特征在于:所述处理器执行的所述存储器中存储的软件程序实现如权利要求1至4中任一项所述的网络终端的监控分析方法。
7.一种计算机存储介质,其上存储有软件程序,其特征在于:所述程序被处理器执行时实现如权利要求1至4中任一项所述的网络终端的监控分析方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210026274.2A CN114363080A (zh) | 2022-01-11 | 2022-01-11 | 一种网络终端的监控分析方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210026274.2A CN114363080A (zh) | 2022-01-11 | 2022-01-11 | 一种网络终端的监控分析方法、装置、设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114363080A true CN114363080A (zh) | 2022-04-15 |
Family
ID=81109939
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210026274.2A Pending CN114363080A (zh) | 2022-01-11 | 2022-01-11 | 一种网络终端的监控分析方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114363080A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115102777A (zh) * | 2022-07-11 | 2022-09-23 | 上海磐御网络科技有限公司 | 一种网络流量的隔离引导方法及系统 |
| CN115314466A (zh) * | 2022-05-06 | 2022-11-08 | 保升(中国)科技实业有限公司 | 一种基于ip/e1网络的运维感知技术 |
-
2022
- 2022-01-11 CN CN202210026274.2A patent/CN114363080A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115314466A (zh) * | 2022-05-06 | 2022-11-08 | 保升(中国)科技实业有限公司 | 一种基于ip/e1网络的运维感知技术 |
| CN115102777A (zh) * | 2022-07-11 | 2022-09-23 | 上海磐御网络科技有限公司 | 一种网络流量的隔离引导方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109302426B (zh) | 未知漏洞攻击检测方法、装置、设备及存储介质 | |
| CN108289088A (zh) | 基于业务模型的异常流量检测系统及方法 | |
| US7200866B2 (en) | System and method for defending against distributed denial-of-service attack on active network | |
| CN103368979B (zh) | 一种基于改进K-means算法的网络安全性验证装置 | |
| CN109873811A (zh) | 基于攻击ip画像的网络安全防护方法及其网络安全防护系统 | |
| CN107888607A (zh) | 一种网络威胁检测方法、装置及网络管理设备 | |
| CN114363080A (zh) | 一种网络终端的监控分析方法、装置、设备及存储介质 | |
| CN104135474B (zh) | 基于主机出入度的网络异常行为检测方法 | |
| CN107204965B (zh) | 一种密码破解行为的拦截方法及系统 | |
| CN1889573A (zh) | 一种主动诱骗方法与系统 | |
| CN110401638B (zh) | 一种网络流量分析方法及装置 | |
| CN103581104A (zh) | 一种基于行为捕捉的主动诱捕方法 | |
| CN113079185B (zh) | 实现深度数据包检测控制的工业防火墙控制方法及设备 | |
| CN102130920A (zh) | 一种僵尸网络的发现方法及其系统 | |
| CN112671759A (zh) | 基于多维度分析的dns隧道检测方法和装置 | |
| CN110460611A (zh) | 基于机器学习的全流量攻击检测技术 | |
| CN114143064A (zh) | 一种多源网络安全告警事件溯源与自动处置方法及装置 | |
| CN106911665B (zh) | 一种识别恶意代码弱口令入侵行为的方法及系统 | |
| CN108040075B (zh) | 一种apt攻击检测系统 | |
| CN112671800B (zh) | 一种威胁量化企业风险值的方法 | |
| US20210058414A1 (en) | Security management method and security management apparatus | |
| CN110430199B (zh) | 识别物联网僵尸网络攻击源的方法与系统 | |
| CN115396167A (zh) | 基于大数据的网络信息安全防护方法 | |
| CN106878338B (zh) | 远动设备网关防火墙一体机系统 | |
| CN115694965A (zh) | 一种电力行业网络安全密网系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |