CN114866318A - 一种基于用户关键业务网络安全流程的威胁情报关联分析方法和系统 - Google Patents
一种基于用户关键业务网络安全流程的威胁情报关联分析方法和系统 Download PDFInfo
- Publication number
- CN114866318A CN114866318A CN202210482230.0A CN202210482230A CN114866318A CN 114866318 A CN114866318 A CN 114866318A CN 202210482230 A CN202210482230 A CN 202210482230A CN 114866318 A CN114866318 A CN 114866318A
- Authority
- CN
- China
- Prior art keywords
- external connection
- intranet
- illegal external
- illegal
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 32
- 238000010219 correlation analysis Methods 0.000 title claims abstract description 13
- 230000006399 behavior Effects 0.000 claims abstract description 57
- 238000012544 monitoring process Methods 0.000 claims abstract description 28
- 238000001514 detection method Methods 0.000 claims abstract description 17
- 238000004458 analytical method Methods 0.000 claims abstract description 10
- 238000002955 isolation Methods 0.000 claims description 6
- 230000006855 networking Effects 0.000 claims description 4
- 230000009471 action Effects 0.000 abstract description 2
- 238000012423 maintenance Methods 0.000 abstract description 2
- 238000003012 network analysis Methods 0.000 abstract description 2
- 230000000694 effects Effects 0.000 description 2
- 239000004973 liquid crystal related substance Substances 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 230000004075 alteration Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000008447 perception Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于用户关键业务网络安全流程的威胁情报关联分析方法和系统,其分析方法包括以下:非法外联的监测:通过旁路模式,复制重要网络设备流量,在复制重要的网络设备流量内检查内网用户网络流量;分析内网I P;自定义白名单;发现违规行为;监测及上报;有益效果:不受网络结构、防火墙设置的限制,保证检测准确、全面;内网用户无感知,旁路部署,不改变网络结构,不在终端设备安装软件,不产生影响,易部署、易维护;零误报,监测并记录审计非法外联行为;全面监测目标专网,只分析用户网络流量,即可发现非法外联行为;通过网络分析,实现对违规外联设备的检测和发现,防范安全风险的发生。
Description
技术领域
本发明涉及网络安全技术领域,具体为一种基于用户关键业务网络安全流程的威胁情报关联分析方法和系统。
背景技术
各单位的信息系统中存储着大量重要信息,为了提高内网的安全性,禁止内部网络与互联网连接,采取物理隔离或逻辑隔离的方式进行控制,从而减小来自互联网的安全威胁,然而在线学习、远程办公、视频会议等蔚然成风,伴随用网频率增多,常常会有缺乏安全意识员工将内网计算机连接到公共互联网,存在“违规外联”行为,使物理隔离的专网与公共互联网之间出现了不可控通道;
常见违规外联方式例如:
通过无线网卡、随身WIFI等连接由无线AP或者手机热点提供的信号连接互联网、利用蓝牙热点网络共享功能连接互联网、通过USB共享手机连接互联网、通过代理连接其它能够上网的机器连接互联网、网络中存在无线路由器,计算机通过无线路由器连接互联网以及有意或者误操作将设备直接连接互联网;
数据窃取、恶意代码、非授权访问等多种入侵手段以违规外联的计算机为跳板,开展不良活动,整个内部网络面临巨大安全风险,为此提出一种基于用户关键业务网络安全流程的威胁情报关联分析方法和系统。
发明内容
(一)解决的技术问题
针对现有技术的不足,本发明提供了一种基于用户关键业务网络安全流程的威胁情报关联分析方法和系统,以解决上述背景技术中提出的问题。
(二)技术方案
为实现上述目的,本发明提供如下技术方案:一种基于用户关键业务网络安全流程的威胁情报关联分析方法,其分析方法包括以下步骤:
S01、非法外联的监测;
S02、分析内网IP;
S03、自定义白名单;
S04、发现违规行为;
S05、监测及上报。
优选的,根据步骤S01中所提出的非法外联的监测,是通过旁路模式,复制重要网络设备流量,在复制重要的网络设备流量内检查内网用户网络流量。
优选的,根据步骤S02中所提出的分析内网IP,是在对内网IP进行快速分析,判断是否存在外联,并将分析出的数据以表格的形式形成检测结果,并将检测结果进行上报,其数据表格中显示的信息类别具体如下:
①、外联的内网IP种类信息;
②、每个IP种类外联的时间信息;
③、每个IP种类外联的次数信息。
优选的,根据步骤SO3中所提出的自定义白名单,在步骤S02之前,用户建立白名单列表,白名单中所列出的内网IP不在分析的范畴之内。
优选的,根据步骤S04中所提出的发现违规行为,是针对多级隔离、多安全等级组网结构,进行灵活扩展,形成多点、分级部署。
优选的,根据步骤S05中所提出的监测及上报,当监测到违规的外联行为时,可通过电话、短信、邮件等形式进行告警上报,并将违规外联的行为形成检测日志,建立违规外联行为专属的数据储存库,将所上报的违规外联行为分类标记,用户可通过进入数据库进行对非法外联结果根据种类标记进行检索以及调看。
优选的,其对违规外联行为分类标记为三种,分别如下:
①、一级红色种类:严重行为的违规外联;
②、二级橙色种类:中等行为的违规外联;
③、三级蓝色种类:较小行为的违规外联。
优选的,
每种标记的详细内容具体如下:
①、每个违规外联行为的介入处;
②、每个违规外联行为的介入时间;
③、每个违规外联行为的介入次数。
优选的,一种基于用户关键业务网络安全流程的威胁情报关联分析系统,其系统部署方式如下:在内网与互联网物理或逻辑隔离的应用场景中,资产违规外联监测系统部署在内网核心交换机旁,以全流量镜像方式,复制用户网络流量到资产违规外联监测设备,内网核心交换机与设备之间同时建立回注流量链路,其内网的种类如下:
①、区域专网;
②、区域生产网;
③、区域办公网。
(三)有益效果
与现有技术相比,本发明提供了一种基于用户关键业务网络安全流程的威胁情报关联分析方法和系统,具备以下有益效果:
1、不受网络结构、防火墙设置的限制,保证检测准确、全面;
2、内网用户无感知,旁路部署,不改变网络结构,不在终端设备安装软件,不产生影响,易部署、易维护;
3、零误报,监测并记录审计非法外联行为;
4、全面监测目标专网,只分析用户网络流量,即可发现非法外联行为;
通过网络分析,实现对违规外联设备的检测和发现,防范安全风险的发生。
附图说明
图1为本发明的流程图;
图2为本发明的系统部署图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明提供一个技术方案,如图1-2所示,一种基于用户关键业务网络安全流程的威胁情报关联分析方法,其分析方法包括以下步骤:
S01、非法外联的监测;
S02、分析内网IP;
S03、自定义白名单;
S04、发现违规行为;
S05、监测及上报。
优选的,根据步骤S01中所提出的非法外联的监测,是通过旁路模式,复制重要网络设备流量,在复制重要的网络设备流量内检查内网用户网络流量。
优选的,根据步骤S02中所提出的分析内网IP,是在对内网IP进行快速分析,判断是否存在外联,并将分析出的数据以表格的形式形成检测结果,并将检测结果进行上报,其数据表格中显示的信息类别具体如下:
①、外联的内网IP种类信息;
②、每个IP种类外联的时间信息;
③、每个IP种类外联的次数信息。
优选的,根据步骤SO3中所提出的自定义白名单,在步骤S02之前,用户建立白名单列表,白名单中所列出的内网IP不在分析的范畴之内。
优选的,根据步骤S04中所提出的发现违规行为,是针对多级隔离、多安全等级组网结构,进行灵活扩展,形成多点、分级部署。
优选的,根据步骤S05中所提出的监测及上报,当监测到违规的外联行为时,可通过电话、短信、邮件等形式进行告警上报,并将违规外联的行为形成检测日志,建立违规外联行为专属的数据储存库,将所上报的违规外联行为分类标记,用户可通过进入数据库进行对非法外联结果根据种类标记进行检索以及调看。
优选的,其对违规外联行为分类标记为三种,分别如下:
①、一级红色种类:严重行为的违规外联;
②、二级橙色种类:中等行为的违规外联;
③、三级蓝色种类:较小行为的违规外联。
优选的,
每种标记的详细内容具体如下:
①、每个违规外联行为的介入处;
②、每个违规外联行为的介入时间;
③、每个违规外联行为的介入次数。
优选的,一种基于用户关键业务网络安全流程的威胁情报关联分析系统,其系统部署方式如下:在内网与互联网物理或逻辑隔离的应用场景中,资产违规外联监测系统部署在内网核心交换机旁,以全流量镜像方式,复制用户网络流量到资产违规外联监测设备,内网核心交换机与设备之间同时建立回注流量链路,其内网的种类如下:
①、区域专网;
②、区域生产网;
③、区域办公网。
本装置的工作原理:区域专网、区域生产网以及区域办公网等内网与互联网物理或逻辑隔离的应用场景中,资产违规外联监测系统部署在内网核心交换机旁,以全流量镜像方式,复制用户网络流量到资产违规外联监测设备,内网核心交换机与设备之间同时建立回注流量链路;
通过非法外联的监测:采用旁路模式,复制重要网络设备流量,在复制重要的网络设备流量内检查内网用户网络流量;
分析内网IP:对内网IP进行快速分析,判断是否存在外联,并将分析出的数据以表格的形式形成检测结果,并将检测结果进行上报,其数据表格中显示的信息类别具体如下:
①、外联的内网IP种类信息;
②、每个IP种类外联的时间信息;
③、每个IP种类外联的次数信息;
通过自定义白名单:用户建立白名单列表,白名单中所列出的内网IP不在分析的范畴之内;
发现违规行为:针对多级隔离、多安全等级组网结构,进行灵活扩展,形成多点、分级部署;
不受网络结构、防火墙设置的限制,保证检测准确、全面,内网用户无感知,旁路部署,不改变网络结构,不在终端设备安装软件,不产生影响,易部署、易维护;
监测及上报:当监测到违规的外联行为时,可通过电话、短信、邮件等形式进行告警上报,并将违规外联的行为形成检测日志,建立违规外联行为专属的数据储存库,将所上报的违规外联行为分类标记,用户可通过进入数据库进行对非法外联结果根据种类标记进行检索以及调看,其对违规外联行为分类标记为三种,分别如下:
①、一级红色种类:严重行为的违规外联;
②、二级橙色种类:中等行为的违规外联;
③、三级蓝色种类:较小行为的违规外联;
每种标记的详细内容具体如下:
①、每个违规外联行为的介入处;
②、每个违规外联行为的介入时间;
③、每个违规外联行为的介入次数;
零误报,监测并记录审计非法外联行为,全面监测目标专网,只分析用户网络流量,即可发现非法外联行为。
尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同物限定。
Claims (9)
1.一种基于用户关键业务网络安全流程的威胁情报关联分析方法,其特征在于:其分析方法包括以下步骤:
S01、非法外联的监测;
S02、分析内网IP;
S03、自定义白名单;
S04、发现违规行为;
S05、监测及上报。
2.根据权利要求1所述的一种基于用户关键业务网络安全流程的威胁情报关联分析方法,其特征在于:根据步骤S01中所提出的非法外联的监测,是通过旁路模式,复制重要网络设备流量,在复制重要的网络设备流量内检查内网用户网络流量。
3.根据权利要求1所述的一种基于用户关键业务网络安全流程的威胁情报关联分析方法,其特征在于:根据步骤S02中所提出的分析内网IP,是在对内网IP进行快速分析,判断是否存在外联,并将分析出的数据以表格的形式形成检测结果,并将检测结果进行上报,其数据表格中显示的信息类别具体如下:
①、外联的内网IP种类信息;
②、每个IP种类外联的时间信息;
③、每个IP种类外联的次数信息。
4.根据权利要求1所述的一种基于用户关键业务网络安全流程的威胁情报关联分析方法,其特征在于:根据步骤SO3中所提出的自定义白名单,在步骤S02之前,用户建立白名单列表,白名单中所列出的内网IP不在分析的范畴之内。
5.根据权利要求1所述的一种基于用户关键业务网络安全流程的威胁情报关联分析方法,其特征在于:根据步骤S04中所提出的发现违规行为,是针对多级隔离、多安全等级组网结构,进行灵活扩展,形成多点、分级部署。
6.根据权利要求1所述的一种基于用户关键业务网络安全流程的威胁情报关联分析方法,其特征在于:根据步骤S05中所提出的监测及上报,当监测到违规的外联行为时,可通过电话、短信、邮件等形式进行告警上报,并将违规外联的行为形成检测日志,建立违规外联行为专属的数据储存库,将所上报的违规外联行为分类标记,用户可通过进入数据库进行对非法外联结果根据种类标记进行检索以及调看。
7.根据权利要求6所述的一种基于用户关键业务网络安全流程的威胁情报关联分析方法,其特征在于:其对违规外联行为分类标记为三种,分别如下:
①、一级红色种类:严重行为的违规外联;
②、二级橙色种类:中等行为的违规外联;
③、三级蓝色种类:较小行为的违规外联。
8.根据权利要求7所述的一种基于用户关键业务网络安全流程的威胁情报关联分析方法,其特征在于:
每种标记的详细内容具体如下:
①、每个违规外联行为的介入处;
②、每个违规外联行为的介入时间;
③、每个违规外联行为的介入次数。
9.根据权利要求1所述的一种基于用户关键业务网络安全流程的威胁情报关联分析系统,其特征在于:其系统部署方式如下:在内网与互联网物理或逻辑隔离的应用场景中,资产违规外联监测系统部署在内网核心交换机旁,以全流量镜像方式,复制用户网络流量到资产违规外联监测设备,内网核心交换机与设备之间同时建立回注流量链路,其内网的种类如下:
①、区域专网;
②、区域生产网;
③、区域办公网。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210482230.0A CN114866318A (zh) | 2022-05-05 | 2022-05-05 | 一种基于用户关键业务网络安全流程的威胁情报关联分析方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210482230.0A CN114866318A (zh) | 2022-05-05 | 2022-05-05 | 一种基于用户关键业务网络安全流程的威胁情报关联分析方法和系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114866318A true CN114866318A (zh) | 2022-08-05 |
Family
ID=82634910
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210482230.0A Pending CN114866318A (zh) | 2022-05-05 | 2022-05-05 | 一种基于用户关键业务网络安全流程的威胁情报关联分析方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114866318A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115296917A (zh) * | 2022-08-09 | 2022-11-04 | 山东港口科技集团烟台有限公司 | 资产暴露面信息获取方法、装置、设备以及存储介质 |
| CN116471067A (zh) * | 2023-04-06 | 2023-07-21 | 华能信息技术有限公司 | 一种主机外连风险检测方法 |
| CN118199972A (zh) * | 2024-03-19 | 2024-06-14 | 金祺创(北京)技术有限公司 | 一种基于网络巡查的资产违规外联检测方法及系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108881211A (zh) * | 2018-06-11 | 2018-11-23 | 杭州盈高科技有限公司 | 一种违规外联检测方法及装置 |
| CN110120948A (zh) * | 2019-05-06 | 2019-08-13 | 四川英得赛克科技有限公司 | 基于无线和有线数据流相似性分析的非法外联监测方法 |
| CN110691083A (zh) * | 2019-09-26 | 2020-01-14 | 杭州安恒信息技术股份有限公司 | 一种基于进程的外联阻断方法 |
| CN111970233A (zh) * | 2020-06-30 | 2020-11-20 | 浙江远望信息股份有限公司 | 一种网络违规外联场景的分析识别方法 |
| CN114257407A (zh) * | 2021-11-17 | 2022-03-29 | 广东电网有限责任公司 | 基于白名单的设备连接控制方法、装置、计算机设备 |
-
2022
- 2022-05-05 CN CN202210482230.0A patent/CN114866318A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108881211A (zh) * | 2018-06-11 | 2018-11-23 | 杭州盈高科技有限公司 | 一种违规外联检测方法及装置 |
| CN110120948A (zh) * | 2019-05-06 | 2019-08-13 | 四川英得赛克科技有限公司 | 基于无线和有线数据流相似性分析的非法外联监测方法 |
| CN110691083A (zh) * | 2019-09-26 | 2020-01-14 | 杭州安恒信息技术股份有限公司 | 一种基于进程的外联阻断方法 |
| CN111970233A (zh) * | 2020-06-30 | 2020-11-20 | 浙江远望信息股份有限公司 | 一种网络违规外联场景的分析识别方法 |
| CN114257407A (zh) * | 2021-11-17 | 2022-03-29 | 广东电网有限责任公司 | 基于白名单的设备连接控制方法、装置、计算机设备 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115296917A (zh) * | 2022-08-09 | 2022-11-04 | 山东港口科技集团烟台有限公司 | 资产暴露面信息获取方法、装置、设备以及存储介质 |
| CN115296917B (zh) * | 2022-08-09 | 2023-07-07 | 山东港口科技集团烟台有限公司 | 资产暴露面信息获取方法、装置、设备以及存储介质 |
| CN116471067A (zh) * | 2023-04-06 | 2023-07-21 | 华能信息技术有限公司 | 一种主机外连风险检测方法 |
| CN118199972A (zh) * | 2024-03-19 | 2024-06-14 | 金祺创(北京)技术有限公司 | 一种基于网络巡查的资产违规外联检测方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN114866318A (zh) | 一种基于用户关键业务网络安全流程的威胁情报关联分析方法和系统 | |
| US10250624B2 (en) | Method and device for robust detection, analytics, and filtering of data/information exchange with connected user devices in a gateway-connected user-space | |
| CN102110220B (zh) | 一种应用程序监控方法及装置 | |
| US20190173909A1 (en) | Method and device for robust detection, analytics, and filtering of data/information exchange with connected user devices in a gateway-connected user-space | |
| CN103430483A (zh) | 用于确定通信系统中的关联事件的技术 | |
| US20140004817A1 (en) | Cell phone detection and alert information system | |
| KR102102835B1 (ko) | Wips 센서 | |
| CN214306527U (zh) | 一种燃气管网调度监控网络安全系统 | |
| CN101034976B (zh) | Ip连接安全系统中的入侵检测设备 | |
| CN113794276A (zh) | 一种基于人工智能的配电网终端安全行为监测系统及方法 | |
| CN107566430B (zh) | 一种电力移动终端合规性检查与策略控制系统 | |
| Klement et al. | Open or not open: Are conventional radio access networks more secure and trustworthy than Open-RAN? | |
| CN115396218B (zh) | 基于流量分析的企业api安全管控方法及系统 | |
| CN112738807A (zh) | 发现有害goip设备的方法、装置、设备、及存储介质 | |
| CN118332597B (zh) | 基于数据分析的大数据安全处理方法 | |
| US10383031B2 (en) | Zone-based network device monitoring using a distributed wireless network | |
| US20190037524A1 (en) | Network Device Navigation Using A Distributed Wireless Network | |
| Feng et al. | Snort improvement on profinet RT for industrial control system intrusion detection | |
| CN101848117A (zh) | 一种违规外联监控方法及其系统 | |
| KR101366622B1 (ko) | 비인가 접근 제어를 위한 노드 식별을 위한 플랫폼 인식장치 | |
| CN116939589A (zh) | 一种基于校园无线网的学生上网监控系统 | |
| CN109462617B (zh) | 一种局域网中设备通讯行为检测方法及装置 | |
| CN107169354A (zh) | 多层级Android系统恶意行为监控方法 | |
| CN114584979A (zh) | 一种移动终端用户网络行为嗅探方法及系统 | |
| CN114697052B (zh) | 网络防护方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20220805 |