CN116015808A - 一种网络端口异常开放感知方法、装置、电子设备及存储介质 - Google Patents
一种网络端口异常开放感知方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN116015808A CN116015808A CN202211620045.XA CN202211620045A CN116015808A CN 116015808 A CN116015808 A CN 116015808A CN 202211620045 A CN202211620045 A CN 202211620045A CN 116015808 A CN116015808 A CN 116015808A
- Authority
- CN
- China
- Prior art keywords
- asset
- network port
- target
- network
- port
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开一种网络端口异常开放感知方法、装置、电子设备及存储介质,涉及网络安全技术领域。便于及时有效地感知网络端口的异常开放,从而可提高资产的安全性。包括步骤:获取目标开放网络端口采集的网络流量;将所述网络流量与所述目标开放网络端口对应的异常检测规则进行匹配;根据匹配结果确定所述目标开放网络端口是否异常。本发明适用于对网络环境中端口的异常开放情况进行监测场景中。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种网络端口异常开放感知方法、装置、电子设备及存储介质。
背景技术
随着互联网应用的快速发展,资产的信息安全显得尤为重要。资产上一些端口的开放,容易被不法分子利用,以此进入你的电脑,盗走电脑中的资料,使得用户的业务和数据受损,造成无法挽回的经济损失。有一些危险的端口,可能被病毒木马利用,病毒木马通过危险端口,入侵到企业内网中窃取企业机密。
传统网络安全防御技术,缺乏有效的对网络端口开放进行异常检测的方案,从而无法及时有效地感知网络端口异常开放状态。
发明内容
有鉴于此,本发明实施例提供一种网络端口异常开放感知方法、装置、电子设备及存储介质,便于及时有效地感知网络端口的异常开放,从而可提高资产的安全性。
第一方面,本发明实施例提供一种网络端口异常开放感知方法,包括步骤:获取目标开放网络端口采集的网络流量:将所述网络流量与所述目标开放网络端口对应的异常检测规则进行匹配;根据匹配结果确定所述目标开放网络端口是否异常。
可选的,在所述根据匹配结果确定所述目标开放网络端口是否异常之后,所述方法还包括:将确定为异常的目标开放网络端口的告警信息展示,所述告警信息包含:端口号、异常访问源IP、异常访问时间和/或所述端口所属的资产信息。
可选的,所述目标开放网络端口包括多个;所述将确定为异常的目标开放网络端口的告警信息展示,包括:判断多个所述目标开放网络端口所属的资产和/或对应异常检测规则;按照网络流量采集时间或告警信息生成时间,将所属资产相同和/或异常检测规则相同的目标开放网络端口的告警信息统计归并展示。
可选的,所述方法还包括:预先配置目标开放网络端口的异常检测规则。
可选的,所述预先配置目标开放网络端口的异常检测规则,包括:从探针设备采集网络流量数据;所述网络流量数据中携带有探针设备的身份标识信息,所述网络流量数据基于对探针设备的网络端口监听得到;根据所述探针设备的身份标识信息,筛选得到目标资产的网络流量数据;至少根据所述目标资产的网络流量数据,对所述目标资产进行资产特征识别及注册,所述资产特征包含:资产物理位置、资产类型、资产端口、资产用户和/或资产IP;根据所述资产特征,配置目标开放网络端口的异常检测规则。
可选的,所述根据所述资产特征,配置目标开放网络端口的异常检测规则包括:根据所述资产特征确定目标资产的重要程度;根据所述目标资产的重要程度,配置与所述重要程度对应监管级别的异常检测规则。
可选的,在筛选得到目标资产的网络流量数据之后,所述方法还包括:将所述目标资产的网络流量数据,按照预定数据库数据存储格式存储至对应的数据库;在至少根据所述目标资产的网络流量数据,对所述目标资产进行资产特征识别及注册之前,所述方法还包括:从所述数据库获取所述目标资产的网络流量数据。
第二方面,本发明还实施例提供一种网络端口异常开放感知装置,包括:获取程序模块,用于获取目标开放网络端口采集的网络流量;匹配程序模块,用于将所述网络流量与所述目标开放网络端口对应的异常检测规则进行匹配;确定程序模块,用于根据匹配结果确定所述目标开放网络端口是否异常。
第三方面,本发明还实施例提供一种电子设备,所述电子设备包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述第一方面任一所述的网络端口异常开放感知方法。
第四方面,本发明实施例提供一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现第一方面任一所述的网络端口异常开放感知方法。
本发明实施例提供的一种网络端口异常开放感知方法、装置、电子设备及存储介质,通过步骤:获取目标开放网络端口采集的网络流量:将所述网络流量与所述目标开放网络端口对应的异常检测规则进行匹配;根据匹配结果确定所述目标开放网络端口是否异常;便于及时有效地感知网络端口的异常开放,从而可提高资产的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本发明一实施例网络端口异常开放感知方法流程示意图;
图2为本发明另一实施例网络端口异常开放感知方法流程示意图;
图3为本发明网络端口异常开放感知装置一实施例架构示意图;
图4为本发明电子设备一个实施例的架构示意框图。
具体实施方式
下面结合附图对本发明实施例进行详细描述。
应当明确,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
实施例一
图1为本发明一实施例网络端口异常开放感知方法流程示意图,请参看图1所示,本发明实施例提供的一种网络端口异常开放感知方法,包括步骤:
S110、获取目标开放网络端口采集的网络流量;
具体的,首先要获取目标开放网络端口采集的网络流量,其中,从这些目标开放网络端口采集网络流量包括:端口号、访问源IP、访问时间和/或端口所属的资产信息。
S120、将所述网络流量与所述目标开放网络端口对应的异常检测规则进行匹配;
具体的,在获取目标开放网络端口采集的网络流量之后,要将这些网络流量与目标开放网络端口对应的异常检测规则进行匹配,得到匹配结果。
S130、根据匹配结果确定所述目标开放网络端口是否异常。
具体的,根据匹配得出的结果来确定目标开放网络端口是否异常,以此及时有效地感知网络端口的异常开放,提高资产的安全性。
在一些实施例中,在步骤S130中,在所述根据匹配结果确定所述目标开放网络端口是否异常之后,所述方法还包括:将确定为异常的目标开放网络端口的告警信息展示,所述告警信息包含:端口号、异常访问源IP、异常访问时间和/或所述端口所属的资产信息。
具体的,根据匹配结果确定目标开放网络端口异常之后,将确定为异常的目标开放网络端口的告警信息以列表、图表、数据统计分析等形式实时展示;告警信息包含:端口号、异常访问源IP、异常访问时间和/或端口所属的资产信息。例如,通过列表形式显示异常端口开放的告警信息,告警详情展示,包括告警发生时间,告警等级,告警标签等信息,告警详情中展示告警发生的资产详细信息,可以准确定位到资产用户及资产IP。
在一些实施例中,所述目标开放网络端口包括多个;所述将确定为异常的目标开放网络端口的告警信息展示,包括:判断多个所述目标开放网络端口所属的资产和/或对应异常检测规则;按照网络流量采集时间或告警信息生成时间,将所属资产相同和/或异常检测规则相同的目标开放网络端口的告警信息统计归并展示。
具体的,目标开放网络端口有多个目标,包括:文件共享服务端口、远程连接服务端口、Web应用服务端口、数据库服务端口及邮件服务端口等。在将确定为异常的目标开放网络端口的告警信息展示时,判断多个目标开放网络端口所属的资产和/或对应异常检测规则;按照网络流量采集时间或告警信息生成时间,对相同规则,相同资产,同一天内的数据进行统计归并展示,减少数据应用展示的数据量;对目标开放网络端口所属的资产对应异常检测规则时,以列表、图表数据统计分析实时展示告警信息。通过列表形式显示异常端口开放的告警信息,告警详情展示,包括告警发生时间,告警等级,告警标签等信息,5告警详情中展示告警发生的资产详细信息,可以准确定位到用户及IP,同时,
害可以通过图表的形式展示出一段时间内发生异常端口开放的趋势,可以直观识别出异常端口开放的Top(重要)资产的位置,资产用户等信息。
在一些实施例中,所述方法还包括:预先配置目标开放网络端口的异常检测规则。
0进一步的,所述预先配置目标开放网络端口的异常检测规则,包括:从探针设备采集网络流量数据;所述网络流量数据中携带有探针设备的身份标识信息,所述网络流量数据基于对探针设备的网络端口监听得到;根据所述探针设备的身份标识信息,筛选得到目标资产的网络流量数据;至少根据所述目标资
产的网络流量数据,对所述目标资产进行资产特征识别及注册,所述资产特征5包含:资产物理位置、资产类型、资产端口、资产用户和/或资产IP;根据所述资产特征,配置目标开放网络端口的异常检测规则。
具体的,将网络流量与目标开放网络端口对应的异常检测规则进行匹配之前,要预先配置目标开放网络端口的异常检测规则;具体的,网络流量数据中
携带有探针设备的身份标识信息,探针设备上报的网络流量信息时基于对探针0设备的网络端口监听得到的;其中,探针设备包括:网络探针、WiFi探针以及网络流量超融合探针,网络探针就是一个用于捕获、分析网络数据包的组件,比如Yaf、bro、packetbeat等、这些组件的核心在于流量的采集;WiFi探针技术是指基于WiFi探测技术来识别AP(无线访问接入点)附近已开启WiFi的智
能手机或者WiFi终端(笔记本,平板电脑等),无需用户接入WiFi,WiFi探针5就能够识别用户的信息;网络流量超融合探针采用特征检测技术、异常行为检测技术、威胁情报技术、黑白名单技术、基线技术、静态APT技术等多种相结合的方法,通过对网络流量的深度包解析和流解析,实现了网络各种威胁的全面有效检测。
进一步的,通过数据源配置,接入多种探针设备数据,根据探针设备的身份标识信息,筛选得到目标资产的网络流量数据,对于筛选出的有效资产的网络流量数据,被自动识别成目标资产,对目标资产进行资产特征识别及注册,无效的资产数据被舍弃,数据经过治理后存入到数据库中。其中,资产特征包含:资产物理位置、资产类型、资产端口、资产用户和/或资产IP;通过手动录入的方式对资产进行资产属性、资产类型的资产数据丰富化,资产类型包括:打印设备、计算设备、网络设备、存储设备、安全设备、其他设备等;资产属性包括:IP地址(Internet Protocol Address,又译为网际协议地址)、MAC地址(MAC,MediaAccess Control,介质访问控制地址,也叫硬件地址)、资产来源、资产用户、资产区域、资产组、资产部门、资产物理位置、资产逻辑分区等;其中一些资产固有信息为自动识别,资产的发现过程为自动完成,人工对资产属性、资产类型等信息进行维护可以保证资产信息的准确性;当资产第一次在网内被发现时,才会进行资产注册识别,实际资产使用过程会发生资产信息变更的情况,资产管理主要用于应对资产信息的变更;当资产属性、资产类型等资产信息发生变更时,可以通过资产管理对资产信息进行编辑,保证资产信息的准确性。
根据资产特征,例如,通过配置资产类型,如资产类型包括:打印设备、计算设备、网络设备、存储设备、安全设备、其他设备等;资产属性,如资产属性包括:IP地址、MAC地址、资产来源、资产使用者、资产区域、资产组、资产部门、资产物理位置、资产逻辑分区等;需要检测的端口或者端口范围,设置规则黑/白名单;通过规则开关控制规则的开启关闭,需要调整规则时对规则进行编辑,配置需要监控的目标开放网络端口的异常检测规则。
在一些实施例中,所述根据所述资产特征,配置目标开放网络端口的异常检测规则包括:根据所述资产特征确定目标资产的重要程度;根据所述目标资产的重要程度,配置与所述重要程度对应监管级别的异常检测规则。
具体的,配置需要监控目标开放网络端口的异常检测规则时,由于网络环境中终端资产数量过多,可用端口数量过多,环境中开放部署服务过多,为了对重点资产和重点异常端口进行管理,可以根据资产所属位置,资产用户,资产类型,资产部门等分类信息来确定资产的重要程度,以此配置重点关注资产的规则,也可以配置资产白名单将不需要关注资产排除,在配置中与资产类型,资产属性进行关联,可以准确定位到产生异常端口开放的资产;同时设置告警标签展示信息,告警等级,通过开关灵活控制规则的开启与关闭,根据需要创建多个规则。
在一些实施例中,在筛选得到目标资产的网络流量数据之后,所述方法还包括:将所述目标资产的网络流量数据,按照预定数据库数据存储格式存储至对应的数据库;
在至少根据所述目标资产的网络流量数据,对所述目标资产进行资产特征识别及注册之前,所述方法还包括:从所述数据库获取所述目标资产的网络流量数据。
具体的,首先对进入端口的网络流量数据进行数据日志采集,之后网络流量数据通过Kafka消息服务集群(Kafka是一种高吞吐量的分布式发布订阅消息系统,它可以处理消费者在网站中的所有动作流数据),Kafka消息队列主要运用于实时数据的采集,通过数据中探针设备来确定是否为资产数据;依据探针设备的身份标识信息进行数据采集,设备标识用来确定设备的资产来源和分类,筛选得到目标资产的网络流量数据,将目标资产的网络流量数据,按照预定数据库数据存储格式存储至对应的数据库;其中,数据存储层包括:HFDFS分布式文件系统、Postgresql应用关系数据库以及Hbase列式数据库;数据存储层主要为数据分析层提供数据服务。其中Hbase是基于HFDFS文件的基础上建立的,Hbase的数据存储格式是按照开始的日志列式数据存储的,HDFS数据存储格式是是按照文件的方式储存的,PostgreSql应用关系数据库主要用于系统业务数据存储的。
进一步的,在根据目标资产的网络流量数据对目标资产进行资产特征识别及注册之前,从数据库获取当前目标资产的网络流量数据进行资产的识别注册,其中一些资产固有信息为自动识别,可根据实际情况完善资产的资产物理位置,资产用户,资产类型,资产IP等信息。
实施例二
请参看图2所示,根据上述网络端口异常开放感知方法可知,本发明实施例提供的网络端口异常开放感知方法包括以下几个步骤:
S21、数据采集:对目标开放网络端口采集网络流量,从探针设备采集网络流量数据,网络流量数据中携带有探针设备的身份标识信息,根据探针设备的身份标识信息,筛选得到目标资产的网络流量数据;
S22、网络流量数据经过Kafka消息服务器集群:Kafka消息队列主要运用于实时数据的采集,通过数据中设备来确定是否为资产数据;
S23、数据存储层存入网络流量数据:数据存储层包括:HFDFS分布式文件系统、Postgresq l应用关系数据库以及Hbase列式数据库;将采集好的数据进行处理,对不同数据按照其格式进行统一处理入库传给数据存储层;
S24、数据分析层分析数据:数据分析层主要包括:资产注册识别、异常规则配置、数据统计分析;资产注册识别:从数据库获取到资产数据后,进行资产的识别注册,针对网络环境的业务需求,部署相应设备,通过设备上报的数据进行资产的被动发现,被动发现后补充资产属性、资产类型等信息。异常规则配置:根据资产属性、资产类型等资产信息,以及需要关注的网络端口信息,进行异常端口开放规则的配置,将端口与资产进行关联映射。数据统计分析:为了实现异常端口开放的及时发现,网络环境中的数据量往往比较大,及时通过异常规则配置进行了重点关注,依然会产生大量数据,因此运用一定的统计分析方法对采集来的规模巨大的数据进行分析,提取有用信息,将信息加以聚合概况展示。
S25、数据应用层展示数据:数据应用层包括:资产管理,告警管理,态势监测;从数据分析服务层获取到数据,进行直观展示。资产管理:资产管理主要用于应对资产信息的变更。当资产属性、资产类型等资产信息发生变更时,可以通过资产管理对资产信息进行编辑,保证资产信息的准确性;告警管理:从消息队列中实时获取数据,通过资产管理和异常规则配置进行匹配关联,一旦发现资产上出现异常端口开放就产生告警数据,以列表、图表数据统计分析实时展示告警信息,通过告警信息可以及时定位到资产信息,对产生异常端口开放的资产及时进行处理,采取一定措施防止产生危害;态势监测:通过图表的形式展示出一段时间内发生异常端口开放的趋势,可以直观识别出异常端口开放的Top资产的位置,资产的使用人等信息,通过态势监测可以有效的分析历史数据,为预防危害的产生提供决策分析,可以分析出某个部门,某个资产产生的异常端口开放过多,对资产的端口进行有效管理,确认无威胁后可以调整检测规则,为后续的分析和研判提供依据。
本发明实施例提供的网络端口异常开放感知方法,通过获取目标开放网络端口采集的网络流量:将所述网络流量与所述目标开放网络端口对应的异常检测规则进行匹配;根据匹配结果确定所述目标开放网络端口是否异常;对于异常网络端口实时产生告警信息并展示,便于及时有效地感知网络端口的异常开放,从而可提高资产的安全性。
实施例三
基于与前述实施例一基本相同的技术构思,本发明还实施例提供一种网络端口异常开放感知装置,如图3所示,网络端口异常开放感知装置包括:获取程序模块31,用于获取目标开放网络端口采集的网络流量;
匹配程序模块32,用于将所述网络流量与所述目标开放网络端口对应的异常检测规则进行匹配;
确定程序模块33,用于根据匹配结果确定所述目标开放网络端口是否异常。
本实施例的装置,其实现原理和技术效果与前述实施例一中相应网络端口异常开放感知方法实施例类似,未详细述及之处,可以相互参看,此处不再赘述。
实施例四
图4为本发明电子设备一个实施例的架构示意框图;基于与前述实施例一基本相同的技术构思,本发明实施例提供的电子设备,如4所示,可以实现本发明实施例一和二中任一所述的实施例方法的步骤流程。
上述电子设备可以包括:壳体41、处理器42、存储器43、电路板44和电源电路45,其中,电路板44安置在壳体41围成的空间内部,处理器42和存储器43设置在电路板44上;电源电路45,用于为上述电子设备的各个电路或器件供电;存储器43用于存储可执行程序代码;处理器42通过读取存储器43中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述实施例一中任一所述的网络端口异常开放感知方法。
处理器42对上述步骤的具体执行过程以及处理器42通过运行可执行程序代码来进一步执行的步骤,可以参见本发明实施例一的描述,在此不再赘述。
所述电子设备以多种形式存在,包括但不限于:
(1)移动通信设备:这类设备的特点是具备移动通信功能,并且以提供话音、数据通信为主要目标。这类终端包括:智能手机(例如iPhone)、多媒体手机、功能性手机,以及低端手机等。
(2)超移动个人计算机设备:这类设备属于个人计算机的范畴,有计算和处理功能,一般也具备移动上网特性。这类终端包括:PDA、MID和UMPC设备等,例如iPad。
(3)便携式娱乐设备:这类设备可以显示和播放多媒体内容。该类设备包括:音频、视频播放器(例如iPod),掌上游戏机,电子书,以及智能玩具和便携式车载导航设备。
(4)服务器:提供计算服务的设备,服务器的构成包括处理器、硬盘、内存、系统总线等,服务器和通用的计算机架构类似,但是由于需要提供高可靠的服务,因此在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面要求较高。
(5)其他具有数据交互功能的电子设备。
实施例五
本发明实施例还提供一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述实施例一任一所述的网络端口异常开放感知方法,因此也能实现相应的技术效果,前文已经进行了详细说明,此处不再赘述。
综上,本发明实施例提供的一种网络端口异常开放感知方法、装置、电子设备及存储介质,基于多种探测技术,可根据资产来源不同和网络环境要求不同,从网络端口获取不同探针设备上的数据,进行设备识别目标资产,进行资产的区域位置、人员信息、基础信息等信息处理入库,根据需要关注的资产区域位置、资产IP、资产用户、资产分组等入库数据为基础,进行异常规则配置,依托大数据、数据统计分析能力进行实时计算、离线分析挖掘和资产分析,实现准确定位到资产的异常端口开放并对资产的异常端口开放进行聚合告警展示,便于及时有效地感知网络端口的异常开放,从而可提高资产的安全性。
进一步的,通过实时获取网络流量数据,将其与异常检测规则进行匹配,当资产类型,资产属性,异常端口符合所配置的规则实时产生告警数据,通过告警信息可以及时定位到产生异常端口开放的资产,同时通过态势监测对历史告警数据进行分析,从而提高资产的安全性。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。
为了描述的方便,若涉及系统、服务器等,可能是以功能分为各种单元/模块分别描述。当然,在实施本发明时可以把各单元/模块的功能在同一个或多个软件和/或硬件中实现。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random AccessMemory,RAM)等。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (10)
1.一种网络端口异常开放感知方法,其特征在于,包括步骤:
获取目标开放网络端口采集的网络流量:
将所述网络流量与所述目标开放网络端口对应的异常检测规则进行匹配;
根据匹配结果确定所述目标开放网络端口是否异常。
2.如权利要求1所述的网络端口异常开放感知方法,其特征在于,在所述根据匹配结果确定所述目标开放网络端口是否异常之后,所述方法还包括:将确定为异常的目标开放网络端口的告警信息展示,所述告警信息包含:端口号、异常访问源IP、异常访问时间和/或所述端口所属的资产信息。
3.如权利要求2所述的网络端口异常开放感知方法,其特征在于,所述目标开放网络端口包括多个;
所述将确定为异常的目标开放网络端口的告警信息展示,包括:判断多个所述目标开放网络端口所属的资产和/或对应异常检测规则;
按照网络流量采集时间或告警信息生成时间,将所属资产相同和/或异常检测规则相同的目标开放网络端口的告警信息统计归并展示。
4.如权利要求1所述的网络端口异常开放感知方法,其特征在于,所述方法还包括:预先配置目标开放网络端口的异常检测规则。
5.如权利要求4所述的网络端口异常开放感知方法,其特征在于,所述预先配置目标开放网络端口的异常检测规则,包括:
从探针设备采集网络流量数据;所述网络流量数据中携带有探针设备的身份标识信息,所述网络流量数据基于对探针设备的网络端口监听得到;
根据所述探针设备的身份标识信息,筛选得到目标资产的网络流量数据;
至少根据所述目标资产的网络流量数据,对所述目标资产进行资产特征识别及注册,所述资产特征包含:资产物理位置、资产类型、资产端口、资产用户和/或资产IP;
根据所述资产特征,配置目标开放网络端口的异常检测规则。
6.如权利要求1或5所述的网络端口异常开放感知方法,其特征在于,所述根据所述资产特征,配置目标开放网络端口的异常检测规则包括:根据所述资产特征确定目标资产的重要程度;根据所述目标资产的重要程度,配置与所述重要程度对应监管级别的异常检测规则。
7.如权利要求5所述的网络端口异常开放感知方法,其特征在于,在筛选得到目标资产的网络流量数据之后,所述方法还包括:将所述目标资产的网络流量数据,按照预定数据库数据存储格式存储至对应的数据库;
在至少根据所述目标资产的网络流量数据,对所述目标资产进行资产特征识别及注册之前,所述方法还包括:从所述数据库获取所述目标资产的网络流量数据。
8.一种网络端口异常开放感知装置,其特征在于,包括:获取程序模块,用于获取目标开放网络端口采集的网络流量;
匹配程序模块,用于将所述网络流量与所述目标开放网络端口对应的异常检测规则进行匹配;
确定程序模块,用于根据匹配结果确定所述目标开放网络端口是否异常。
9.一种电子设备,其特征在于,所述电子设备包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述权利要求1至7任一所述的网络端口异常开放感知方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述权利要求1至7任一所述的网络端口异常开放感知方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211620045.XA CN116015808A (zh) | 2022-12-15 | 2022-12-15 | 一种网络端口异常开放感知方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211620045.XA CN116015808A (zh) | 2022-12-15 | 2022-12-15 | 一种网络端口异常开放感知方法、装置、电子设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116015808A true CN116015808A (zh) | 2023-04-25 |
Family
ID=86029184
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211620045.XA Pending CN116015808A (zh) | 2022-12-15 | 2022-12-15 | 一种网络端口异常开放感知方法、装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116015808A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN118214617A (zh) * | 2024-05-21 | 2024-06-18 | 国网思极网安科技(北京)有限公司 | 网络安全防护方法、装置、电子设备与介质 |
-
2022
- 2022-12-15 CN CN202211620045.XA patent/CN116015808A/zh active Pending
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN118214617A (zh) * | 2024-05-21 | 2024-06-18 | 国网思极网安科技(北京)有限公司 | 网络安全防护方法、装置、电子设备与介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20200389495A1 (en) | Secure policy-controlled processing and auditing on regulated data sets | |
| US20170142143A1 (en) | Identifying notable events based on execution of correlation searches | |
| CN112714093B (zh) | 一种账号异常检测方法、装置、系统及存储介质 | |
| CN111274583A (zh) | 一种大数据计算机网络安全防护装置及其控制方法 | |
| TW201428528A (zh) | 識別網站用戶的方法和裝置 | |
| CN111786950A (zh) | 基于态势感知的网络安全监控方法、装置、设备及介质 | |
| KR101503701B1 (ko) | 빅데이터 기반 정보 보호 방법 및 장치 | |
| CN113111951B (zh) | 数据处理方法以及装置 | |
| CN110809010A (zh) | 威胁信息处理方法、装置、电子设备及介质 | |
| CN113489713A (zh) | 网络攻击的检测方法、装置、设备及存储介质 | |
| CN113810395B (zh) | 一种威胁情报的检测方法、装置及电子设备 | |
| CN112491779A (zh) | 一种异常行为检测方法及装置、电子设备 | |
| CN110716973A (zh) | 基于大数据的安全事件上报平台及方法 | |
| CN113965417A (zh) | 一种资产风险检测方法及装置 | |
| CN112671724A (zh) | 一种终端安全检测分析方法、装置、设备及可读存储介质 | |
| CN112801359A (zh) | 工业互联网安全态势预测方法、装置、电子设备及介质 | |
| CN116015808A (zh) | 一种网络端口异常开放感知方法、装置、电子设备及存储介质 | |
| CN108109071A (zh) | 基于人员社会关系动态关联的监控方法及电子设备 | |
| CN114448645A (zh) | 网页访问的处理方法、装置、存储介质、程序产品 | |
| CN114445088A (zh) | 一种欺诈行为的判定方法、装置、电子设备和存储介质 | |
| CN113918938A (zh) | 一种持续免疫安全系统的用户实体行为分析方法及系统 | |
| CN110365642B (zh) | 监控信息操作的方法、装置、计算机设备及存储介质 | |
| CN117093627A (zh) | 信息挖掘的方法、装置、电子设备和存储介质 | |
| CN116305033A (zh) | 一种异常账户识别方法、装置及电子设备 | |
| CN111030977A (zh) | 一种攻击事件追踪方法、装置及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |