基于行为策略的内网安全防护方法、系统及介质技术方案

本发明专利技术提供了一种基于行为策略的内网安全防护方法、系统及介质，所述方法包括以下步骤：判断内网中是否存在第一类异常行为及第二类异常行为；确定是否接收到新流量packets，响应于接收到的新流量packets，提取新流量packets中的目的MAC地址，将该目的MAC地址与MAC地址表hostList进行比对；若所述MAC地址表hostList中存在所述目的MAC地址，则判定新流量packets为内网报文，并判断新流量packets是否为基于连接协议的流量packets；若新流量packets不是基于连接协议的流量packets，则判断新流量packets中的目的MAC地址是否与异常标识Ⅰ或者异常标识Ⅱ关联，以及新流量packets中的源MAC地址是否与异常标识Ⅰ或者异常标识Ⅱ关联；若均不关联，则生成第一流量控制策略；否则，生成第二流量控制策略，以此阻断内网中的威胁。的威胁。的威胁。

【技术实现步骤摘要】
基于行为策略的内网安全防护方法、系统及介质


[0001]本专利技术涉及内网安全防护
，具体的说，涉及了一种基于行为策略的内网安全防护方法、系统及介质。

技术介绍

[0002]随着网络的快速发展与应用，越来越多场景开始采用网络进行通信。内网安全问题也受到人们的日益重视。传统的方法往往通过增加终端安全性的方法，来确保内网安全，例如，通过在终端设备上部署杀毒软件、防火墙等方法，此种方法对于已知的威胁往往起到较好的防护，对于未知威胁往往无法进行有效防护。
[0003]将拟态界内的服务功能建立在DHR架构基础上并导入拟态伪装策略，使拟态界内运行环境与服务功能的映射关系多元化、多样化，造成漏洞后门及防御场景等认知的防御迷雾，从而提高设备对外服务功能的安全性。
[0004]虽然基于拟态原理构造网络设备对自身起到了较好的防护，但拟态防御功能只对拟态界内的服务功能进行了保护，脱离拟态界的功能是无法保证安全性的，同时受限于技术以及成本，很难将拟态界的范围扩展至无限大，因此，如何对异构执行体服务功能之外的暗功能或者其它功能进行防护，如何解决内网本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于行为策略的内网安全防护方法，其特征在于，包括以下步骤：判断内网中是否存在第一类异常行为，若内网中存在第一类异常行为，则建立异常标识Ⅰ与相关内网主机的MAC地址之间的关联关系；判断内网中是否存在第二类异常行为，若内网中存在第二类异常行为，则建立异常标识Ⅱ与相关内网主机的MAC地址之间的关联关系；确定是否接收到新流量packets，响应于接收到的新流量packets，提取新流量packets中的目的MAC地址，将该目的MAC地址与内网主机对应的MAC地址表hostList进行比对；若所述MAC地址表hostList中存在所述目的MAC地址，则判定新流量packets为内网报文，并判断新流量packets是否为基于连接协议的流量packets；若新流量packets不是基于连接协议的流量packets，则判断新流量packets中的目的MAC地址是否与异常标识Ⅰ或者异常标识Ⅱ关联，以及新流量packets中的源MAC地址是否与异常标识Ⅰ或者异常标识Ⅱ关联；若均不关联，则生成第一流量控制策略；否则，生成第二流量控制策略。2.根据权利要求1所述的基于行为策略的内网安全防护方法，其特征在于，若新流量packets为基于连接协议的流量packets，则判别新流量packets中的目的MAC地址和源MAC地址是否与交互异常标识关联；若均不关联，且新流量packets中的目的MAC地址及源MAC地址与异常标识Ⅰ和异常标识Ⅱ均不关联，则生成第一流量控制策略；否则，生成第二流量控制策略。3.根据权利要求2所述的基于行为策略的内网安全防护方法，其特征在于，判别内网主机之间的交互是否合法时，执行：建立及更新每个内网主机对应的交互行为记录表F，构建内网主机标识、对应MAC地址以及交互行为记录表F之间的关联关系；基于交互行为记录表F，计算与报文传输速率FSPEED关联的第一参数值K1，以及与报文总数目FPACKETS关联的第二参数值K2；若所述第一参数值K1和所述第二参数值K2均在预设范围内，则判定内网主机之间交互合法；否则，判定内网主机之间交互行为不合法，并建立交互异常标识与相关内网主机的MAC地址之间的关联关系。4.根据权利要求1所述的基于行为策略的内网安全防护方法，其特征在于，确定内网中是否存在第一类异常行为时，执行：建立及更新每个内网主机的数据流量记录表hostData，构建内网主机标识、对应MAC地址以及数据流量记录表hostData之间的关联关系，生成用户策略表List；根据第一预设关键字段，从与内网主机标识关联的数据流量记录表hostData中读取第一目标字段；其中，所述第一预设关键字段为SMAC、SIP、SPORT、DMAC、DIP、DPORT、FTYPE或者LENGTH中的一个或者多个；对同一时间区间内，不同内网主机标识对应的第一目标字段进行择多判决，根据判决结果识别内网中是否存在第一类异常行为。
5.根据权利要求1所述的基于行为策略的内网安全防护方法，其特征在于，确定内网中是否存在第二类异常行为时，执行：建立及更新每个内网主机的行为记录表action（X1、X2、
……
、X6），构建内网主机标识、对应MAC地址以及行为记录表action之间的关联关系；其中，X1表示二层通信协议，X2表示三层通信协议，X3表示应用层通信协议，X4表示网络流量速率，X5表示网络数据总量，X6表示时间区间；根据第二预设关键字段，从所述行为记录表action中选取第二目标字段；其中，所述第二预设关键字段为X1至X6中的一个或者多个；对同一时间区间内不同内网主机标识对应的第二目标字段进行择多判决，根据判决结果来识别内网中是否存在第二类异常行为。6.根据权利要求1所述的基于行为策略的内网安全防护方法，其特征在于，还包括以下步骤：判断每个内网主机是否存在第三类异常行为：记录每个内网主机对应的辅助因子，并进行相似度裁决，根据相似度裁决结果识别内网主机是否存在第三类异常行为；若确定某个内网主机存在第三类异常行为，则建立异常标识Ⅲ与该内网主机的MAC地址之间的关联关系；且在输出第一流量控制策略之前，还确定新流量packets中的目的MAC地址和源MAC地址是...

【专利技术属性】
技术研发人员：吕青松，冯志峰，郭义伟，张建军，
申请(专利权)人：珠海高凌信息科技股份有限公司，
类型：发明
国别省市：