CN115297006A - 基于合作网络空间资产信息地图异常检测隔离方法及系统 - Google Patents
基于合作网络空间资产信息地图异常检测隔离方法及系统 Download PDFInfo
- Publication number
- CN115297006A CN115297006A CN202210925758.0A CN202210925758A CN115297006A CN 115297006 A CN115297006 A CN 115297006A CN 202210925758 A CN202210925758 A CN 202210925758A CN 115297006 A CN115297006 A CN 115297006A
- Authority
- CN
- China
- Prior art keywords
- network
- asset information
- equipment
- abnormal
- information map
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
- 238000002955 isolation Methods 0.000 title claims abstract description 60
- 238000001514 detection method Methods 0.000 title claims abstract description 32
- 230000002159 abnormal effect Effects 0.000 claims abstract description 108
- 238000004891 communication Methods 0.000 claims abstract description 108
- 238000000034 method Methods 0.000 claims abstract description 37
- 230000001939 inductive effect Effects 0.000 claims abstract description 6
- 230000005856 abnormality Effects 0.000 claims description 25
- 238000011156 evaluation Methods 0.000 claims description 12
- 230000008447 perception Effects 0.000 claims description 9
- 238000010276 construction Methods 0.000 claims description 7
- 230000000737 periodic effect Effects 0.000 claims description 7
- 238000009877 rendering Methods 0.000 claims description 7
- 230000000007 visual effect Effects 0.000 claims description 6
- 238000005259 measurement Methods 0.000 claims description 5
- 238000013210 evaluation model Methods 0.000 claims description 4
- 206010000117 Abnormal behaviour Diseases 0.000 claims description 3
- 230000003213 activating effect Effects 0.000 claims description 3
- 230000006870 function Effects 0.000 claims description 3
- 230000035772 mutation Effects 0.000 claims description 3
- 230000000644 propagated effect Effects 0.000 claims description 3
- 230000006399 behavior Effects 0.000 description 58
- 238000012423 maintenance Methods 0.000 description 4
- 238000004364 calculation method Methods 0.000 description 3
- 238000010801 machine learning Methods 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 3
- 230000010485 coping Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 238000013507 mapping Methods 0.000 description 2
- 238000011160 research Methods 0.000 description 2
- 238000010845 search algorithm Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/12—Discovery or management of network topologies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/02—Standardisation; Integration
- H04L41/0213—Standardised network management protocols, e.g. simple network management protocol [SNMP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0654—Management of faults, events, alarms or notifications using network fault recovery
- H04L41/0659—Management of faults, events, alarms or notifications using network fault recovery by isolating or reconfiguring faulty entities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明提供一种于合作网络空间资产信息地图异常检测隔离方法及系统,解决了现有网络异常检测方案中没有结合网络拓扑、软件服务及通信行为的数据,无法实时、精确的发现网络异常并自动隔离异常源头设备的问题。其包括以下步骤:步骤1构建合作网络下的网络空间资产信息地图;步骤2基于网络空间资产信息地图,构建内网通信行为异常发现模型;步骤3结合网络空间资产信息地图和内网异常事件发现模型,评估异常事件的风险范围;步骤4对网络空间资产信息地图中的网络异常源头设备进行无感知隔离。通过本发明可对合作网络中的网络异常事件进行实时、准确的发现,并在网络空间资产信息地图中定位风险设备,并实现网络异常源头设备的自动无感知隔离。
Description
技术领域
本发明涉及计算机网络安全领域,特别是涉及一种基于合作网络空间资产信息地图异常检测隔离方法及系统。
背景技术
网络异常是网络中的通信行为相较于其正常行为的偏移。在合作网络中,网络异常多表现为内网设备链路连接状态错误,或对外部异常的通信目标进行通信,或已将发生异常的风险设备对内部其他设备对通信,或设备在不合法的端口、使用不合法的协议进行通信,或设备产生了异常数量的通信流量。为了快速发现网络中的异常通信行为,降低异常通信行为对内网造成的危害,并及时修复涉及异常通信的设备,目前业界对异常网络通信行为发现进行了大量的研究。
在合作网络中,尤其是企业内网,实时发现并自动修复网络异常具有很大的研究价值和实用价值,但是,目前的方法仅仅局限于采集和监测网络的流量数据的规模,以及对异常流量数据、异常通信目标的分析和识别,缺乏在拓扑层面上对异常事件的影响范围进行评估,同时无法自动对发生网络异常事件的设备进行自动隔离,导致了无法实时获取网络异常的最新状态,也无法对异常进行实时响应和自动修复。
发明内容
本发明针对现有网络异常应对方案中对网络异常影响范围的不清晰、无法自动对发生网络异常事件的设备进行自动隔离的技术问题,提供一种基于合作网络空间资产信息地图异常检测隔离方法及系统,该方法及系统提供了一种基于物理拓扑关系、虚拟资产拓扑关系、动态通信行为拓扑关系的网络异常检测方案,可以从三个维度自动识别和定位造成网络异常的设备;通过历史动态通信数据计算异常网络影响范围,并在Web中实现基于拓扑的可视化渲染;通过对网络空间资产信息中设备的网络层、链路层的连接关系及动态通信分析,基于路由黑洞、端口禁用、MAC禁用方法实现对异常设备目标的自动无感知隔离。
为此,本发明的技术方案是,一种基于合作网络空间资产信息地图异常检测隔离方法,网络空间资产信息地图为一种合作网络中的拓扑测量结果,网络空间资产信息地图包含物理资源和非实体资源,非实体资源为架构在物理资源之上的软件资产和通信行为数据,该方法包括以下步骤:
步骤1构建合作网络下的网络空间资产信息地图;
步骤2基于网络空间资产信息地图,构建内网通信行为异常发现模型;
步骤3结合网络空间资产信息地图和内网通信行为异常事件发现模型,评估异常事件的风险范围;
步骤4对网络空间资产信息地图中的网络异常源头设备进行无感知隔离。
进一步地,步骤1中的构建合作网络下的网络空间资产信息地图的具体步骤包括:
步骤1.1基于SNMP协议,构建内网的物理拓扑,包括采集并构建网络层拓扑和链路层拓扑;
步骤1.2对每个网段下的活跃终端进行批量端口扫描,获取内网中的实时运行的软件服务,视为网络中的虚拟资产,并构建虚拟资产拓扑视图;
步骤1.3针对合作网络下网络层的网关设备和链路层的交换机设备实时采集的动态通信行为数据,构建动态通信行为拓扑视图。
进一步地,步骤2中的构建内网通信行为异常发现模型的具体步骤包括:
步骤2.1基于网络空间资产信息地图中的物理拓扑,实时发现和定位设备端口自环、IP冲突和端口流量突变的网络异常;
步骤2.2基于网络空间资产信息地图中的虚拟资产拓扑,实现基于规则的非法软件服务识别;
步骤2.3对动态通信行为拓扑中的通信目标实现基于规则的异常识别。
进一步地,步骤3中的评估异常事件的风险范围的具体步骤包括:
步骤3.1异常发现后,基于历史通信行为数据、拓扑数据和异常通信行为识别结果,评估异常事件在网络资产信息地图中的影响范围;
步骤3.2基于评估的异常影响范围,在可视化Web服务中渲染受到异常影响的网络资产信息地图的拓扑视图。
进一步地,步骤4中对网络空间资产信息地图中的网络异常源头设备进行无感知隔离的方法具体步骤包括:
步骤4.1基于异常事件的风险范围评估模型的风险范围拓扑,生成异常设备源点对外传播的通信路径节点列表,并根据网络资产信息地图,匹配该路径中具有合作网络权限的网络层、链路层设备;
步骤4.2向通信路径节点列表中具有合作网络权限的网络层、链路层设备部署或激活无感知隔离程序;
步骤4.3基于网络资产信息地图,分别计算距离异常设备最近的链路层合作设备和网络层合作设备,并通过路由黑洞、禁用端口和禁用MAC地址的方法远程自动控制该设备实现对于异常设备的无感知隔离。
进一步地,步骤4中无感知隔离的方式为:
(1)对网络层合作设备配置,对于异常设备的路由黑洞,自动将目标隔离设备的IP的下一跳目标配置为Null0,从而阻断该设备通过路由器的路由转发功能,直至该设备的网络异常解决后,管理员在Web页面中手动恢复对该设备的隔离;
(2)对链路层合作设备自动配置端口禁用,根据物理拓扑中的端口连接情况,检测交换机和目标隔离设备的端口是否是该端口下的唯一链路,如果是唯一链路,自动禁用交换机的该端口;
(3)MAC禁用方法,通过网络资产信息地图中的ARP表,识别目的隔离设备的IP对应的MAC地址,在交换机的端口转发表中,禁用目标隔离设备的MAC的端口转发记录,实现对于异常设备的无感知隔离。
一种基于合作网络空间资产信息地图异常检测隔离的系统,用于实现上述的一种基于合作网络空间资产信息地图异常检测隔离方法,包括以下组成部分:网络空间资产信息地图构建子系统,内网通信行为异常发现子系统,异常事件的风险范围评估子系统,网络异常源头设备无感知隔离子系统。
优选的,所述网络空间资产信息地图构建子系统包括物理拓扑构建模块、虚拟资产拓扑构建模块、动态通信行为拓扑构建模块和周期性任务调度模块;所述内网通信行为异常发现子系统包括物理连接异常检测模块、非法虚拟资产检测模块和异常通信行为检测模块;所述异常事件的风险范围评估子系统包括网络异常风险范围评估模块;所述网络异常源头设备无感知隔离子系统包括网络异常源头设备识别模块和网络异常源头设备隔离模块。
本发明的有益效果是,一种基于合作网络空间资产信息地图异常检测隔离方法及系统,首先,该方法及系统提供了一种基于物理拓扑关系、虚拟资产拓扑关系、动态通信行为拓扑关系的网络异常检测方案,可以从三个维度自动识别和定位造成网络异常的设备;其次,本发明对造成网络异常的范围进行评估,通过历史动态通信数据计算异常网络影响范围,并在Web中实现基于拓扑的可视化渲染;最后,通过对网络空间资产信息中设备的网络层、链路层的连接关系及动态通信分析,基于路由黑洞、端口禁用、MAC禁用方法实现对异常设备目标的自动无感知隔离。本发明可对合作网络中的网络异常事件进行实时、准确的发现,并在网络空间资产信息地图中定位风险设备,并实现网络异常源头设备的自动无感知隔离。
本发明,在一定程度上解决现有网络异常应对方案中对网络异常影响范围的不清晰、无法自动对发生网络异常事件的设备进行自动隔离的技术问题。
附图说明
图1是本发明一种基于合作网络空间资产信息地图异常检测隔离方法及系统的流程图;
图2是本发明一种基于合作网络空间资产信息地图异常检测隔离系统的结构图;
具体实施方式
下面结合实施例对本发明做进一步描述。
图1-图2是本发明一种基于合作网络空间资产信息地图异常检测隔离方法及系统的实施例,其中一种基于合作网络空间资产信息地图异常检测隔离方法,该网络空间资产信息地图的定义为一种合作网络中的拓扑测量结果,包含物理资源和架构在物理资源之上的软件资产和通信行为数据等非实体资源。主要包括以下步骤:
步骤1构建合作网络下的网络空间资产信息地图。
进一步地,步骤1中的构建合作网络下的网络空间资产信息地图的具体步骤包括:
步骤1.1基于SNMP协议,构建内网的物理拓扑,包括采集并构建网络层拓扑和链路层拓扑。
首先,对输入的种子IP地址列表对应的设备进行SNMP报文交互,请求路由信息,包括路由类型(直接或间接路由)、路由目的地址、路由目的地址的子网掩码、路由的本地接口索引和路由下一跳地址,通过宽度优先搜索算法生成网络层拓扑;此外,以每个网络层拓扑发现的网段为对象建立网段节点,并建立和网络层设备的连接;其次,进行批量ICMP扫描,遍历该网段对于所有活跃IP节点,对于可以通信的IP地址构建终端节点,并建立和网段节点的连接;同时,对这些终端节点进行SNMP报文交互,获取ARP信息、LLDP信息、InterfaceTable、端口转发表、STP信息、端口流量信息,存储到非关系型数据库中;此外,通过LLDP协议数据构建链路层拓扑。最后,通过交换机的端口转发表,计算活跃IP列表中终端和交换机的拓扑连接关系;将以上拓扑数据存储在数据库模块中的Neo4j图数据库。此外,通过LLDP协议构建数据链路层拓扑。最后,通过交换机的端口转发表,计算活跃IP列表中终端和交换机的拓扑连接关系。
步骤1.2对每个网段下的活跃终端进行批量端口扫描,获取内网中的实时运行的软件服务,视为网络中的虚拟资产,并构建虚拟资产拓扑视图。
在物理硬件拓扑的架构之上,对每个终端进行端口服务识别,生成在软件服务维度的虚拟资产拓扑;基于物理拓扑数据,对每个网段下的活跃终端进行批量端口扫描,通过创建报文包尝试与终端建立连接验证该终端是否提供该协议的软件服务,包括以下常用端口与协议:21(ftp),22(ssh),23(telnet),80(http),102(siemens),443(https),445(smb),554(rtsp),1433(mssql),3306(mysql),6379(redis),8443(http-https),2181(zookeeper),5900(vnc),5901(vnc),5902:(vnc),5903(vnc),1080(socks5),3389(rdp)等;针对获取到的终端及其暴露的软件服务端口的列表后,构建架构于物理拓扑上的虚拟资产拓扑视图;遍历物理拓扑的终端节点,将该终端发现的每个软件服务作为虚拟资产节点,与终端节点相连,绑定该虚拟资产节点的字段为:软件服务名称、端口号、有效荷载、活跃时间、更新时间,存储入数据库模块中的图数据库Neo4j中;最后,周期性对虚拟资产拓扑进行增量维护更新。
步骤1.3针对合作网络下网络层的网关设备和链路层的交换机设备实时采集的动态通信行为数据,构建动态通信行为拓扑视图。
在物理拓扑和虚拟资产拓扑的架构之上,监测内网中重要基础设施的通信行为,构建动态通信行为拓扑;通过基于telnet协议的远程登录单元部署对应设备的本地抓包程序,抓取经过本地网卡的IP协议报文,上传至数据库模块进行存储和增量维护;视图处理模块周期性获取数据库模块网关和交换机的通信行为元数据,在物理拓扑中通过源IP和目的IP定位设备节点,并在虚拟资产拓扑中检索该设备节点拥有的虚拟资产节是否与通信协议进行匹配,并构建一条动态通信行为拓扑数据,由此构建全网动态通信行为拓扑。
步骤2基于网络空间资产信息地图,构建内网通信行为异常发现模型。
进一步地,步骤2中的构建内网通信行为异常发现模型的具体步骤包括:
步骤2.1基于网络空间资产信息地图中的物理拓扑,实时发现和定位设备端口自环、IP冲突和端口流量突变的网络异常。
首先,对物理拓扑通过LLDP协议生成的链路层连接关系进行路径检测,通过周期性搜索设备的端口连接自身端口的异常链路识别端口自环异常,具体为:获取设备的端口MAC地址集合S1,并遍历设备的远端连接关系映射S2{本地端口号:远端端口MAC},识别S2种的远端端口MAC是否存在于集合S1中,判定是否存在端口自环;此外,通过对物理拓扑数据在网络层的扫描数据,周期性检测内网中的IP冲突异常,具体为,通过拼接设备所有MAC地址字符串后进行md5加密,计算拓扑中每个设备的指纹ID,周期性遍历IP并构建哈希表H2{IP:指纹ID},当相同IP对应多个设备指纹ID时,识别IP冲突异常,并在物理拓扑中定位发生冲突的设备;最后,通过基于SNMP的端口流量获取方法,周期性获取端口的流入流出累计流量大小,计算实时端口流量速率,从而针对端口的异常流量速率进行识别,计算公式为(t2时间的累积字节数-t1时间的累积字节数)/(t2-t1);
步骤2.2基于网络空间资产信息地图中的虚拟资产拓扑,实现基于规则的非法软件服务识别。
运维人员可以提前在Web服务模块配置非法软件服务规则,即配置对于某些IP地址的非法软件服务列表。通过网络空间资产信息地图中的虚拟资产拓扑进行周期性检测,遍历规则配置中出现的IP地址,并在虚拟资产拓扑中进行匹配,识别该IP地址拥有的虚拟资产是否出现了非法的软件服务。
步骤2.3对动态通信行为拓扑中的通信目标实现基于规则的异常识别。
首先,实时获取动态通信行为拓扑的数据,包含的字段为源IP、目的IP、通信协议。将通信行为数据根据目的IP是否在内网中,分为对外通信行为和对内通信行为;对于对外通信行为数据,通过识别通信目标IP地址是否为公网测绘标注的第三方恶意IP地址识别是否存在网络异常通信行为;对于对内通信行为数据,通过识别通信目标IP地址是否存在于步骤2.1步骤2.2中识别的风险设备列表中,以及通信协议是否存在于使用者配置的合法通信协议,从而识别异常的对内通信行为。
步骤3结合网络空间资产信息地图和内网通信行为异常事件发现模型,评估异常事件的风险范围。
进一步地,步骤3中的评估异常事件的风险范围的具体步骤包括:
步骤3.1异常发现后,基于历史通信行为数据、拓扑数据和异常通信行为识别结果,评估异常事件在网络资产信息地图中的影响范围。
首先,定义最早引发发生网络异常事件的设备为网络异常源头设备,对于通过网络异常发现模型实时识别的网络异常风险,风险范围评估模型通过获取默认时间窗口下的历史通信行为的路径数据,尤其是网络异常发生后,以网络异常源头设备为初始异常节点的通信行为;此外,通过宽度优先搜索算法构建通信路径,获取以上述异常节点为初始节点的具有相同通信协议的传播路径拓扑;最后,基于机器学习方法,对以上动态通信行为的历史拓扑数据进行无监督学习,特征为历史拓扑数据的时间、字节数、目的IP、源IP、通信协议、设备类型、设备虚拟资产协议、活跃时间、设备节点的图属性(入度、出度等),通过KNN聚类算法结果判定风险范围。
步骤3.2基于评估的异常影响范围,在可视化Web服务中渲染受到异常影响的网络资产信息地图的拓扑视图。
在网络资产信息地图中的拓扑数据上,将异常事件风险范围评估结果中的节点进行标注,注明发生风险的源头设备和受到影响的设备,并将实时计算的异常事件风险范围在拓扑视图上进行动态更新。
步骤4对网络空间资产信息地图中的网络异常源头设备进行无感知隔离。
进一步地,对网络空间资产信息地图中的网络异常源头设备进行无感知隔离的方法具体步骤包括:
步骤4.1基于异常事件的风险范围评估模型的拓扑,生成异常设备源点对外传播的通信路径节点列表,并根据网络资产信息地图,匹配该路径中具有合作网络权限的网络层、链路层设备。
步骤4.2向通信路径节点列表中具有合作网络权限的网络层、链路层设备部署或激活无感知隔离程序。
通过基于telnet协议的远程登录单元部署对应设备的无感知隔离程序,在合作网络的条件下,在Web服务上配置对应网络层、链路层设备的认证信息,远程登录设备后,将无感知隔离程序通过FTP协议发布到对应设备,并将具有合作网络权限的网络层、链路层设备的指纹ID存储入数据库模块的非关系型数据库中。
步骤4.3基于网络资产信息地图,分别计算距离异常设备最近的链路层合作设备和网络层合作设备,并通过路由黑洞、禁用端口和禁用MAC地址的方法远程自动控制该设备实现对于异常设备的无感知隔离。
基于网络资产信息地图,分别计算距离异常设备最近的链路层合作设备和网络层合作设备,通过合作网络中的设备权限信息自动登录该设备,通过以下三种方式实现对目标设备实现无感知隔离:
(1)、对网络层合作设备配置,对于异常设备的路由黑洞,自动将目标隔离设备的IP的下一跳目标配置为Null0,从而阻断该设备通过路由器的路由转发功能,直至该设备的网络异常解决后,管理员在Web页面中手动恢复对该设备的隔离;
(2)、对链路层合作设备自动配置端口禁用,根据物理拓扑中的端口连接情况,检测交换机和目标隔离设备的端口是否是该端口下的唯一链路,如果是唯一链路,自动禁用交换机的该端口;
(3)、MAC禁用方法,通过网络资产信息地图中的ARP表,识别目的隔离设备的IP对应的MAC地址,在交换机的端口转发表中,禁用目标隔离设备的MAC的端口转发记录,实现对于异常设备的无感知隔离。
如图1所示,1.输入初始IP地址:输入内网的少量IP地址作为初始探测目标,一般为已知的网关设备IP或核心交换机IP,通过获取这些设备路由关系,得到探测点的所有可达网段;
2.网络资产信息地图构建并维护:通过SNMP协议和LLDP协议,获取网络层、链路层的拓扑连接信息,构建物理拓扑;通过对终端设备的端口扫描,构建虚拟资产拓扑;通过监测网关设备和交换机设备本地部署的抓包程序数据,构建动态通信行为拓扑;通过周期性任务调度模块维护网络资产信息地图的实时性;
3.网络异常检测:基于网络资产信息地图,实时检测网络中的异常,包括对物理连接异常、非法虚拟资产、异常通信行为的检测;
4.网络异常风险范围评估:通过历史通信行为的路径数据的风险范围推算和基于机器学习的风险测算模型;
5.网络异常源头设备自动隔离:识别网络异常源头设备,并对其实现无感知隔离,包括在网络空间资产信息地图中定位网络异常发生的源头设备,并通过MAC禁用、路由黑洞和端口禁用方法在合作网络设备下自动隔离网络异常源头设备。
如图2所示,一种基于合作网络空间资产信息地图异常检测隔离的系统,用于实现上述的一种基于合作网络空间资产信息地图异常检测隔离方法,包括以下组成部分:网络空间资产信息地图构建子系统,内网通信行为异常发现子系统,异常事件的风险范围评估子系统,网络异常源头设备无感知隔离子系统。其中,网络空间资产信息地图构建子系统包括物理拓扑构建模块、虚拟资产拓扑构建模块、动态通信行为拓扑构建模块和周期性任务调度模块;内网通信行为异常发现子系统包括物理连接异常检测模块、非法虚拟资产检测模块和异常通信行为检测模块;异常事件的风险范围评估子系统包括网络异常风险范围评估模块;网络异常源头设备无感知隔离子系统包括网络异常风险范围评估模块、网络异常源头设备识别模块和网络异常源头设备隔离模块。
物理拓扑构建模块用于采集针对网络层设备和链路层设备的拓扑数据,构建物理拓扑,并存储入图数据库中;
虚拟资产拓扑构建模块用于接收物理拓扑构建模块的终端设备信息,并对终端常见端口进行扫描,收集终端的对外暴露的软件服务,构建虚拟资产拓扑;
动态通信行为拓扑构建模块用于接收物理拓扑构建模块的数据,获取网关设备列表,并实时计算出核心交换设备,同时分别采集此类设备的对内、对外通信行为数据,并构建动态通信行为拓扑;
周期性任务调度模块用于创建周期性拓扑构建任务,定期执行对网络空间资产信息地图的信息更新维护,确保网络空间资产信息地图的实时性;
物理连接异常检测模块用于实时检测网络空间资产信息地图中物理拓扑的链路连接异常,如端口自环;并将物理连接异常在物理拓扑中可视化渲染;
非法虚拟资产检测模块用于实时检测网络空间资产信息地图中终端开启的非法软件服务,即虚拟资产;
异常通信行为检测模块用于实时检测网络空间资产信息地图中的异常通信行为,包括对内异常通信目标、对外异常通信目标和异常通信协议的识别;
网络异常风险范围评估模块用于评估网络风险异常的影响范围,包括基于历史通信行为的路径数据的风险范围推算和基于机器学习的风险测算模型;
网络异常源头设备识别模块用于在网络空间资产信息地图中定位网络异常发生的源头设备;
网络异常源头设备隔离模块用于对网络异常源头设备进行无感知隔离,包括通过MAC禁用、路由黑洞和端口禁用方法。
本发明提供一种基于合作网络空间资产信息地图异常检测隔离方法及系统,首先,该方法及系统提供了一种基于物理拓扑关系、虚拟资产拓扑关系、动态通信行为拓扑关系的网络异常检测方案,可以从三个维度自动识别和定位造成网络异常的设备;其次,本发明对造成网络异常的范围进行评估,通过历史动态通信数据计算异常网络影响范围,并在Web中实现基于拓扑的可视化渲染;最后,通过对网络空间资产信息中设备的网络层、链路层的连接关系及动态通信分析,基于路由黑洞、端口禁用、MAC禁用方法实现对异常设备目标的自动无感知隔离。本发明可对合作网络中的网络异常事件进行实时、准确的发现,并在网络空间资产信息地图中定位风险设备,并实现网络异常源头设备的自动无感知隔离。
本发明,在一定程度上解决现有网络异常应对方案中对网络异常影响范围的不清晰、无法自动对发生网络异常事件的设备进行自动隔离的技术问题。
惟以上所述者,仅为本发明的具体实施例而已,当不能以此限定本发明实施的范围,故其等同组件的置换,或依本发明专利保护范围所作的等同变化与修改,皆应仍属本发明权利要求书涵盖之范畴。
Claims (8)
1.一种基于合作网络空间资产信息地图异常检测隔离方法,其特征是,所述网络空间资产信息地图为一种合作网络中的拓扑测量结果,所述网络空间资产信息地图包含物理资源和非实体资源,所述非实体资源为架构在物理资源之上的软件资产和通信行为数据,所述方法包括以下步骤:
步骤1构建合作网络下的网络空间资产信息地图;
步骤2基于网络空间资产信息地图,构建内网通信行为异常发现模型;
步骤3结合网络空间资产信息地图和内网通信行为异常事件发现模型,评估异常事件的风险范围;
步骤4对网络空间资产信息地图中的网络异常源头设备进行无感知隔离。
2.根据权利要求1所述的一种基于合作网络空间资产信息地图异常检测隔离方法,其特征在于,所述步骤1中的构建合作网络下的网络空间资产信息地图的具体步骤包括:
步骤1.1基于SNMP协议,构建内网的物理拓扑,包括采集并构建网络层拓扑和链路层拓扑;
步骤1.2对每个网段下的活跃终端进行批量端口扫描,获取内网中的实时运行的软件服务,视为网络中的虚拟资产,并构建虚拟资产拓扑视图;
步骤1.3针对合作网络下网络层的网关设备和链路层的交换机设备实时采集的动态通信行为数据,构建动态通信行为拓扑视图。
3.根据权利要求1所述的一种基于合作网络空间资产信息地图异常检测隔离方法,其特征在于,所述步骤2中的构建内网通信行为异常发现模型的具体步骤包括:
步骤2.1基于网络空间资产信息地图中的物理拓扑,实时发现和定位设备端口自环、IP冲突和端口流量突变的网络异常;
步骤2.2基于网络空间资产信息地图中的虚拟资产拓扑,实现基于规则的非法软件服务识别;
步骤2.3对动态通信行为拓扑中的通信目标实现基于规则的异常识别。
4.根据权利要求1所述的一种基于合作网络空间资产信息地图异常检测隔离方法,其特征在于,所述步骤3中的评估异常事件的风险范围的具体步骤包括:
步骤3.1异常发现后,基于历史通信行为数据、拓扑数据和异常通信行为识别结果,评估异常事件在网络资产信息地图中的影响范围;
步骤3.2基于评估的异常影响范围,在可视化Web服务中渲染受到异常影响的网络资产信息地图的拓扑视图。
5.根据权利要求1所述的一种基于合作网络空间资产信息地图异常检测隔离方法,其特征在于,所述步骤4中对网络空间资产信息地图中的网络异常源头设备进行无感知隔离的方法具体步骤包括:
步骤4.1基于异常事件的风险范围评估模型的风险范围拓扑,生成异常设备源点对外传播的通信路径节点列表,并根据网络资产信息地图,匹配该路径中具有合作网络权限的网络层、链路层设备;
步骤4.2向通信路径节点列表中具有合作网络权限的网络层、链路层设备部署或激活无感知隔离程序;
步骤4.3基于网络资产信息地图,分别计算距离异常设备最近的链路层合作设备和网络层合作设备,并通过路由黑洞、禁用端口和禁用MAC地址的方法远程自动控制该设备实现对于异常设备的无感知隔离。
6.根据权利要求5所述的一种基于合作网络空间资产信息地图异常检测隔离方法,其特征在于,所述步骤4中无感知隔离的方式为:
(1)对网络层合作设备配置,对于异常设备的路由黑洞,自动将目标隔离设备的IP的下一跳目标配置为Null0,从而阻断该设备通过路由器的路由转发功能,直至该设备的网络异常解决后,管理员在Web页面中手动恢复对该设备的隔离;
(2)对链路层合作设备自动配置端口禁用,根据物理拓扑中的端口连接情况,检测交换机和目标隔离设备的端口是否是该端口下的唯一链路,如果是唯一链路,自动禁用交换机的该端口;
(3)MAC禁用方法,通过网络资产信息地图中的ARP表,识别目的隔离设备的IP对应的MAC地址,在交换机的端口转发表中,禁用目标隔离设备的MAC的端口转发记录,实现对于异常设备的无感知隔离。
7.一种基于合作网络空间资产信息地图异常检测隔离的系统,用于实现权利要求1-6任一项所述的一种基于合作网络空间资产信息地图异常检测隔离方法,包括以下组成部分:网络空间资产信息地图构建子系统,内网通信行为异常发现子系统,异常事件的风险范围评估子系统,网络异常源头设备无感知隔离子系统。
8.根据权利要求7所述的一种基于合作网络空间资产信息地图异常检测隔离的系统,其特征在于,所述网络空间资产信息地图构建子系统包括物理拓扑构建模块、虚拟资产拓扑构建模块、动态通信行为拓扑构建模块和周期性任务调度模块;所述内网通信行为异常发现子系统包括物理连接异常检测模块、非法虚拟资产检测模块和异常通信行为检测模块;所述异常事件的风险范围评估子系统包括网络异常风险范围评估模块;所述网络异常源头设备无感知隔离子系统包括网络异常源头设备识别模块和网络异常源头设备隔离模块。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210925758.0A CN115297006A (zh) | 2022-08-03 | 2022-08-03 | 基于合作网络空间资产信息地图异常检测隔离方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210925758.0A CN115297006A (zh) | 2022-08-03 | 2022-08-03 | 基于合作网络空间资产信息地图异常检测隔离方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115297006A true CN115297006A (zh) | 2022-11-04 |
Family
ID=83826656
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210925758.0A Withdrawn CN115297006A (zh) | 2022-08-03 | 2022-08-03 | 基于合作网络空间资产信息地图异常检测隔离方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115297006A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117118849A (zh) * | 2023-09-29 | 2023-11-24 | 江苏首捷智能设备有限公司 | 一种物联网网关系统及实现方法 |
-
2022
- 2022-08-03 CN CN202210925758.0A patent/CN115297006A/zh not_active Withdrawn
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117118849A (zh) * | 2023-09-29 | 2023-11-24 | 江苏首捷智能设备有限公司 | 一种物联网网关系统及实现方法 |
| CN117118849B (zh) * | 2023-09-29 | 2024-02-20 | 江苏首捷智能设备有限公司 | 一种物联网网关系统及实现方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11818146B2 (en) | Framework for investigating events | |
| US20210168021A1 (en) | Fault Root Cause Determining Method and Apparatus, and Computer Storage Medium | |
| US11201881B2 (en) | Behavioral profiling of service access using intent to access in discovery protocols | |
| US11025588B2 (en) | Identify assets of interest in enterprise using popularity as measure of importance | |
| US11297077B2 (en) | Gain customer trust with early engagement through visualization and data driven configuration | |
| US11743153B2 (en) | Apparatus and process for monitoring network behaviour of Internet-of-things (IoT) devices | |
| US11902304B2 (en) | Clustering enhanced analysis | |
| US8020211B2 (en) | Network security system having a device profiler communicatively coupled to a traffic monitor | |
| JP7414391B2 (ja) | 強化されたスマートプロセス制御スイッチのポートロックダウン | |
| US20200137021A1 (en) | Using intent to access in discovery protocols in a network for analytics | |
| US11777965B2 (en) | Pattern match-based detection in IoT security | |
| CN112956158B (zh) | 结构数据平面监视 | |
| CN115297007A (zh) | 针对合作网络的网络空间资产信息地图的构建方法及系统 | |
| CN115297006A (zh) | 基于合作网络空间资产信息地图异常检测隔离方法及系统 | |
| US20240031260A1 (en) | Entity attribute designation based on logic programming | |
| JP2023540440A (ja) | ローカル監視デバイスを用いた分散ネットワーク監視のためのシステム、方法及び媒体 | |
| US20230308370A1 (en) | Agentless network traffic mapping | |
| EP4181464A1 (en) | Network device identification | |
| Husák et al. | System for continuous collection of contextual information for network security management and incident handling | |
| Constantinescu et al. | VizNet—Dynamic visualization of networks and internet of things | |
| US20240064158A1 (en) | Automatic threat actor attribution based on multiple evidence | |
| WO2023154315A1 (en) | System and method for anomaly detection in a distributed cloud environment | |
| CN118018300A (zh) | 具备网络资产测绘功能的终端网络准入控制系统 | |
| KR100730966B1 (ko) | 네트워크상의 비인가 우회경로 탐지 방법 및 그 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WW01 | Invention patent application withdrawn after publication |
Application publication date: 20221104 |
|
| WW01 | Invention patent application withdrawn after publication |