本公开提供了一种异常报文检测方法,包括获取待监测终端的第一报文;通过解析第一报文,获取第一报文的特征信息;判断第一报文的特征信息在预先构建的特征信息库中是否有匹配的特征信息,其中,预先构建的特征信息库包括第二报文的特征信息,第二报文为可信设备的报文;以及根据匹配结果判断第一报文是否为异常报文。本公开还提供了一种异常报文检测装置、一种电子设备以及一种介质。一种电子设备以及一种介质。一种电子设备以及一种介质。
Abnormal message detection method, device, electronic equipment and medium
【技术实现步骤摘要】
异常报文检测方法、装置、电子设备和介质
[0001]本公开涉及一种异常报文检测方法、装置、电子设备和介质。
技术介绍
[0002]针对一些物联网(the Internet Of Things,IOT)终端设备、办公环境中哑终端设备(无人值守,无法安装agent的设备,如打印机、ip电话、摄像头)入网管理,有多种管理方案来管理入网权限。例如一种管理方案是通过MAC地址+IP地址进行终端身份认证。但由于这些主机的特性很容易被仿冒,导致黑客很容易获取MAC/IP并在仿冒后进行内网扫描探测等非法行为。
[0003]相关技术通过主动扫描操作系统指纹的方案,来定期轮询全网终端设备,以便发现有指纹变化的终端设备,并通过基础资产表对比来发现仿冒终端设备。但这种主动扫描的方案的缺陷在于:有些扫描包无法穿透防火墙,如果为了扫描而修改防火墙规则,则又会带来新的安全风险。另外,对于一些大型集团的计算机系统,其防火墙管理权限分离,导致修改防火墙规则的难度特别大。
技术实现思路
[0004]本公开的一个方面提供了一种异常报文检测方法,包括:获取待监测终端的第一报文;通过解析所述第一报文,获取所述第一报文的特征信息;判断所述第一报文的特征信息在预先构建的特征信息库中是否有匹配的特征信息,其中,所述预先构建的特征信息库包括第二报文的特征信息,所述第二报文为可信设备的报文;以及根据匹配结果判断所述第一报文是否为异常报文。
[0005]可选地,所述获取待监测终端的第一报文,包括:通过旁路镜像的方式获取待所述监测终端的第一报文。
[0006]可选地,所述特征信息包括以下信息中的一种或多种:源地址信息、目的地址信息和协议信息。
[0007]可选地,所述方法还包括:获取可信设备的第二报文;通过解析所述第二报文,获取所述第二报文的特征信息;以及根据所述第二报文的特征信息,建立所述特征信息库。
[0008]可选地,所述获取可信设备的第二报文包括:获取来自可信设备的第三报文;确定所述第三报文是否为所述可信设备主动发起的报文;以及如果确定所述第三报文为所述可信设备主动发起的报文,则将所述第三报文作为所述第二报文。
[0009]可选地,所述确定所述第三报文是否为所述可信设备主动发起的报文,包括:通过解析所述第三报文,获取所述第三报文的传输方向;若所述第三报文的传输方向为上行方向,则确定所述第三报文为所述终端设备主动发起的报文。
[0010]本公开的另一个方面提供了一种异常报文检测装置,包括第一获取模块,获取待监测终端的第一报文;解析模块,通过解析所述第一报文,获取所述第一报文的特征信息匹配模块,用于判断所述第一报文的特征信息在预先构建的特征信息库中是否有匹配的特征
信息,其中,所述预先构建的特征信息库包括第二报文的特征信息,所述第二报文为可信设备的报文;以及判断模块,用于根据匹配结果判断所述第一报文是否为异常报文。
[0011]可选地,所述第一获取模块包括:第二获取子模块,用于通过旁路镜像的方式获取待所述监测终端的第一报文。
[0012]可选地,所述特征信息包括以下信息中的一种或多种:源地址信息、目的地址信息和协议信息。
[0013]可选地,所述装置还包括:第三获取模块,用于获取可信设备的第二报文;第四获取模块,用于通过解析所述第二报文,获取所述第二报文的特征信息;以及建立模块,用于根据所述第二报文的特征信息,建立所述特征信息库。
[0014]可选地,所述第三获取模块包括:第五获取子模块,用于获取来自可信设备的第三报文;第一确定子模块,用于确定所述第三报文是否为所述可信设备主动发起的报文;以及第二确定子模块,用于如果确定所述第三报文为所述可信设备主动发起的报文,则将所述第三报文作为所述第二报文。
[0015]可选地,所述第一确定子模块,包括:第五获取单元,用于通过解析所述第三报文,获取所述第三报文的传输方向;第三确定单元,用于若所述第三报文的传输方向为上行方向,则确定所述第三报文为所述终端设备主动发起的报文。
[0016]本公开的另一个方面提供了一种电子设备,包括:一个或多个处理器;存储器,用于存储一个或多个计算机程序,其中,当一个或多个计算机程序被一个或多个处理器执行时,使得一个或多个处理器实现如上所述的方法。
[0017]本公开的另一方面提供了一种计算机可读存储介质,存储有计算机可执行指令,所述指令在被执行时用于实现如上所述的方法。
[0018]本公开的另一方面提供了一种计算机程序,所述计算机程序包括计算机可执行指令,所述指令在被执行时用于实现如上所述的方法。
[0019]根据本公开的实施例,获取并解析待监测终端的第一报文,获取第一报文的特征信息,判断第一报文的特征信息在预先构建的特征信息库中是否有匹配的特征信息,根据匹配结果判断第一报文是否为异常报文,不需要改变防火墙规则即可实现对仿冒终端设备所发出的报文进行检测,安全性较高,且实现难度较低。
附图说明
[0020]为了更完整地理解本公开及其优势,现在将参考结合附图的以下描述,其中:
[0021]图1示意性示出了根据本公开实施例的可以应用异常报文检测方法的示例性系统架构;
[0022]图2A示意性示出了根据本公开的实施例的异常报文检测方法的流程图;
[0023]图2B示意性示出了根据本公开另一实施例的异常报文检测方法的流程图;
[0024]图3示意性示出了根据本公开另一实施例的异常报文检测方法的流程图;
[0025]图4示意性示出了根据本公开的实施例的异常报文检测装置的框图;以及
[0026]图5示意性示出了根据本公开实施例的适于实现上文描述的方法的计算机系统的方框图。
具体实施方式
[0027]以下,将参照附图来描述本公开的实施例。但是应该理解,这些描述只是示例性的,而并非要限制本公开的范围。在下面的详细描述中,为便于解释,阐述了许多具体的细节以提供对本公开实施例的全面理解。然而,明显地,一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本公开的概念。
[0028]在此使用的术语仅仅是为了描述具体实施例,而并非意在限制本公开。在此使用的术语“包括”、“包含”等表明了所述特征、步骤、操作和/或部件的存在,但是并不排除存在或添加一个或多个其他特征、步骤、操作或部件。
[0029]在此使用的所有术语(包括技术和科学术语)具有本领域技术人员通常所理解的含义,除非另外定义。应注意,这里使用的术语应解释为具有与本说明书的上下文相一致的含义,而不应以理想化或过于刻板的方式来解释。
[0030]在使用类似于“A、B和C等中至少一个”这样的表述的情况下,一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如,“具有A、B和C中至少一个的系统”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种异常报文检测方法,包括:获取待监测终端的第一报文;通过解析所述第一报文,获取所述第一报文的特征信息;判断所述第一报文的特征信息在预先构建的特征信息库中是否有匹配的特征信息,其中,所述预先构建的特征信息库包括第二报文的特征信息,所述第二报文为可信设备的报文;以及根据匹配结果判断所述第一报文是否为异常报文。2.根据权利要求1所述的方法,其中,所述获取待监测终端的第一报文,包括:通过旁路镜像的方式获取待所述监测终端的第一报文。3.根据权利要求2所述的方法,其中,所述特征信息包括以下信息中的一种或多种:源地址信息、目的地址信息和协议信息。4.根据权利要求1至3中任一项所述的方法,还包括:获取可信设备的第二报文;通过解析所述第二报文,获取所述第二报文的特征信息;以及根据所述第二报文的特征信息,建立所述特征信息库。5.根据权利要求4所述的方法,其中,所述获取可信设备的第二报文包括:获取来自可信设备的第三报文;确定所述第三报文是否为所述可信设备主动发起的报文;以及如果确定所述第三报文为所述可信设备主动发起的报文,则将所述第三报文作为所述第二报文。6.根据权利要求5所述的方法,其中,所述确...
【专利技术属性】
技术研发人员:王攀,张睿超,
申请(专利权)人:网神信息技术北京股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。