本申请涉及一种网络违规操作识别系统、方法和装置,所述系统包括:探测端,以及分析端。探测端用于获取探测报文,并向待识别设备发送探测报文,探测报文的源IP地址为分析端的端IP地址,分析端IP地址用于指示待识别设备向分析端发送与探测报文对应的反馈报文;分析端用于当接收到反馈报文时,将待识别设备判定为违规设备,并根据反馈报文,得到违规设备的违规设备IP地址,违规设备为存在预设网络边界安全违规操作的待识别设备,预设网络安全违规操作包括违规外联行为和跨区互联行为。采用本系统能够精准识别出违规外联或跨区互联的具体设备。够精准识别出违规外联或跨区互联的具体设备。够精准识别出违规外联或跨区互联的具体设备。
A network violation operation identification system, method and device
【技术实现步骤摘要】
一种网络违规操作识别系统、方法和装置
[0001]本申请涉及网络边界安全
,特别是涉及一种网络违规操作识别系统、方法和装置。
技术介绍
[0002]随着网络边界安全技术的发展,出现了网络违规外联或跨区互联探测技术,目前常见的违规外联或跨区互联探测技术为,通过网络镜像流量分析监测发现违规外联或跨区互联行为。
[0003]网络镜像流量分析技术的传统方案是,通过网络镜像流量中的违规外联或跨区互联的相关特征信息,来发现违规外联或跨区互联行为。然而网络镜像流量分析技术往往只能获取到有限的违规外联或跨区互联设备信息,无法识别出违规外联或跨区互联的具体设备。
技术实现思路
[0004]基于此,有必要针对上述技术问题,提供一种网络违规操作识别系统、方法和装置。
[0005]第一方面,本申请提供了一种网络违规操作识别系统。所述系统包括:探测端,以及分析端;其中,
[0006]所述探测端,用于获取探测报文,并向待识别设备发送所述探测报文;所述探测报文的源IP地址为所述分析端的分析端IP地址;所述分析端IP地址用于指示所述待识别设备向所述分析端发送与所述探测报文对应的反馈报文;
[0007]所述分析端,用于当接收到所述反馈报文时,将所述待识别设备判定为违规设备,并根据所述反馈报文,得到所述违规设备的违规设备IP地址;所述违规设备为存在预设网络边界安全违规操作的待识别设备;所述预设网络安全违规操作包括违规外联行为和跨区互联行为。
[0008]在其中一个实施例中,所述探测端,还用于:基于所述探测报文,得到所述探测报文的目的IP地址;根据所述探测报文的目的IP地址,将所述探测报文发送给所述待识别设备。
[0009]在其中一个实施例中,所述探测端,还用于:获取所述探测端的探测端IP地址,并基于所述探测端IP地址作为原始探测报文的源IP地址,得到所述原始探测报文;将所述原始探测报文的源IP地址修改为所述分析端IP地址,得到所述探测报文。
[0010]在其中一个实施例中,所述分析端,还用于:获取所述分析端的镜像流量;过滤所述镜像流量,得到所述镜像流量的过滤后的镜像流量;从所述过滤后的镜像流量中,得到所述反馈报文。
[0011]在其中一个实施例中,所述探测端,还用于:对所述探测报文进行标记,得到所述探测报文的第一标记特征;所述第一标记特征用于所述待识别设备向所述分析端发送携带
有第二标记特征的反馈报文;所述第二标记特征与所述第一标记特征相匹配;所述分析端,还用于:根据所述第二标记特征,通过报文捕获工具,从所述过滤后的镜像流量中,得到所述反馈报文。
[0012]在其中一个实施例中,所述分析端,还用于:从预设的警告分级列表中,获取与所述分析端IP地址匹配的警告等级;所述分析端与外网网络,以及跨区内网网络连接;基于所述警告等级、所述分析端IP地址,以及所述违规设备IP地址,得到所述违规设备的警告记录。
[0013]第二方面,本申请还提供了一种网络违规操作识别方法。所述方法包括:
[0014]获取探测报文;所述探测报文的源IP地址为分析端的分析端IP地址;
[0015]向待识别设备发送所述探测报文;所述分析端IP地址,用于指示所述待识别设备向所述分析端发送与所述探测报文对应的反馈报文;所述反馈报文,用于当分析端接收到所述反馈报文时,将所述待识别设备判定为违规设备,并根据所述反馈报文,得到所述违规设备的违规设备IP地址;所述违规设备为存在预设网络边界安全违规操作的待识别设备;所述预设网络安全违规操作包括违规外联行为和跨区互联行为。
[0016]第三方面,本申请还提供了一种网络违规操作识别方法。所述方法包括:
[0017]当接收到反馈报文时,将待识别设备判定为违规设备;所述违规设备为存在预设网络边界安全违规操作的待识别设备;所述预设网络安全违规操作包括违规外联行为和跨区互联行为;所述反馈报文与所述待识别设备从探测端接收到的探测报文相对应,并由所述待识别设备发送至所述分析端;所述探测报文的源IP地址为所述分析端的分析端IP地址;所述分析端IP地址用于指示所述待识别设备发送所述反馈报文;
[0018]根据所述反馈报文,得到所述违规设备的违规设备IP地址。
[0019]第四方面,本申请还提供了一种网络违规操作识别装置。所述装置包括:
[0020]探测报文获取模块,用于获取所述探测报文;所述探测报文的源IP地址为分析端的分析端IP地址;
[0021]探测报文发送模块,用于向待识别设备发送所述探测报文;所述分析端IP地址用于指示所述待识别设备向所述分析端发送与所述探测报文对应的反馈报文;所述反馈报文,用于当分析端接收到所述反馈报文时,将所述待识别设备判定为违规设备,并根据所述反馈报文,得到所述违规设备的违规设备IP地址;所述违规设备为存在预设网络边界安全违规操作的所述待识别设备;所述预设网络安全违规操作包括违规外联行为和跨区互联行为。
[0022]第五方面,本申请还提供了一种网络违规操作识别装置。所述装置包括:
[0023]待识别设备判定模块,用于当接收到反馈报文时,将待识别设备判定为违规设备;所述违规设备为存在预设网络边界安全违规操作的待识别设备;所述预设网络安全违规操作包括违规外联行为和跨区互联行为;所述待识别设备,用于接收探测端发送的探测报文;所述探测报文的源IP地址为所述分析端的分析端IP地址;所述分析端IP地址用于指示所述待识别设备向所述分析端发送与所述探测报文对应的所述反馈报文;
[0024]违规设备IP地址获取模块,用于根据所述反馈报文,得到所述违规设备的违规设备IP地址。
[0025]第六方面,本申请还提供了一种计算机设备。所述计算机设备包括存储器和处理
器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现以下步骤:
[0026]获取探测报文;所述探测报文的源IP地址为分析端的分析端IP地址;
[0027]向待识别设备发送所述探测报文;所述分析端IP地址,用于指示所述待识别设备向所述分析端发送与所述探测报文对应的反馈报文;所述反馈报文,用于当分析端接收到所述反馈报文时,将所述待识别设备判定为违规设备,并根据所述反馈报文,得到所述违规设备的违规设备IP地址;所述违规设备为存在预设网络边界安全违规操作的待识别设备;所述预设网络安全违规操作包括违规外联行为和跨区互联行为。
[0028]所述处理器执行所述计算机程序时还可以实现以下步骤:
[0029]当接收到反馈报文时,将待识别设备判定为违规设备;所述违规设备为存在预设网络边界安全违规操作的待识别设备;所述预设网络安全违规操作包括违规外联行为和跨区互联行为;所述反馈报文与所述待识别设备从探测端接收到的探测报文相对应,并由所述待识别设备发送至所述分析端;所述探测报文的源IP地址为所述分析端的分析端IP地址;所述分析端IP地址用于指示所述待识别设备发送所述反馈报文;
[0030]根据所述反本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种网络违规操作识别系统,其特征在于,所述系统包括:探测端,以及分析端;其中,所述探测端,用于获取探测报文,并向待识别设备发送所述探测报文;所述探测报文的源IP地址为所述分析端的分析端IP地址;所述分析端IP地址用于指示所述待识别设备向所述分析端发送与所述探测报文对应的反馈报文;所述分析端,用于当接收到所述反馈报文时,将所述待识别设备判定为违规设备,并根据所述反馈报文,得到所述违规设备的违规设备IP地址;所述违规设备为存在预设网络边界安全违规操作的待识别设备;所述预设网络安全违规操作包括违规外联行为和跨区互联行为。2.根据权利要求1所述的系统,其特征在于,所述探测端,还用于:基于所述探测报文,得到所述探测报文的目的IP地址;根据所述探测报文的目的IP地址,将所述探测报文发送给所述待识别设备。3.根据权利要求2所述的系统,其特征在于,所述探测端,还用于:获取所述探测端的探测端IP地址,并基于所述探测端IP地址作为原始探测报文的源IP地址,得到所述原始探测报文;将所述原始探测报文的源IP地址修改为所述分析端IP地址,得到所述探测报文。4.根据权利要求1所述的系统,其特征在于,所述分析端,还用于:获取所述分析端的镜像流量;过滤所述镜像流量,得到所述镜像流量的过滤后的镜像流量;从所述过滤后的镜像流量中,得到所述反馈报文。5.根据权利要求4所述的系统,其特征在于,所述探测端,还用于:对所述探测报文进行标记,得到所述探测报文的第一标记特征;所述第一标记特征用于所述待识别设备向所述分析端发送携带有第二标记特征的反馈报文;所述第二标记特征与所述第一标记特征相匹配;所述分析端,还用于:根据所述第二标记特征,通过报文捕获工具,从所述过滤后的镜像流量中,得到所述反馈报文。6.根据权利要求1所述的系统,其特征在于,所述分析端,还用于:从预设的警告分级列表中,获取与所述分析端IP地址匹配的警告等级;所述分析端与外网网络,以及跨区内网网络连接;基于所述警告等级、所述分析端IP地址,以及所述违规设备IP地址,得到所述违规设备的警告记录。7.一种网络违规操作识别方法,其特征在于,应用于探测端,所述方法包括:获取探测报文;所述探测报文的源IP地址为分析端的分析端IP地址;
向待识别设备发送所述探测报文;所...
【专利技术属性】
技术研发人员:陶文伟,吴金宇,胡荣,苏扬,庞晓健,曾初阳,
申请(专利权)人:中国南方电网有限责任公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。