本发明专利技术公开了一种违规外联检测方法、系统、电子设备及介质,包括:获取内网中的URL请求,将URL请求的发起终端作为被测终端;获取URL请求对应的报文数据以及报文数据的数据包特征;基于分类检测模型,对报文数据的数据包特征进行检测,得到检测信息;根据检测信息确定被测终端对应的违规外联行为。本申请避免网络发生大规模病毒爆发以及安全域或网络间合法用户在内部发起的攻击,有效提升违规外联检测的全面性和实时性。测的全面性和实时性。测的全面性和实时性。
【技术实现步骤摘要】
一种违规外联检测方法、系统、电子设备及介质
[0001]本专利技术主要涉及计算机数据处理
,特别涉及一种违规外联检测方法、系统、电子设备及介质。
技术介绍
[0002]随着以新能源为主体的新型电力系统快速发展,目前电力系统内网存在着非法外联问题:主要表现为内网终端交叉使用内外网线;内网终端使用拨号、无线网卡、双网卡等方式接入外网;便携电脑内外网混用。这些人为有意或无意行为,将使外部黑客攻击、病毒与木马攻击绕过当前安全保护屏障,即使有部分安全措施发现非法外联行为,网管员也无法及时阻断,无法挽回信息泄露、病毒入侵造成的损失。
技术实现思路
[0003]本申请的目的在于提供一种违规外联检测方法、系统、电子设备及介质,以有效提升违规外联检测的全面性和实时性。
[0004]第一方面,本申请提供一种违规外联检测方法,包括:获取内网中的URL请求,URL请求的发起终端为被测终端;获取URL请求对应的报文数据以及报文数据的数据包特征;基于分类检测模型,对报文数据的数据包特征进行检测,得到检测信息;根据检测信息确定被测终端对应的违规外联行为。
[0005]本申请中,能够先获取内网中的URL请求,URL请求的发起终端为被测终端;然后获取URL请求对应的报文数据以及报文数据的数据包特征;基于分类检测模型,再对报文数据的数据包特征进行检测,得到检测信息;最后根据检测信息确定被测终端对应的违规外联行为。本申请能够有效检测出终端的非法外联行为,同时提升违规外联检测的全面性和实时性。
[0006]在第一方面的一种实现方式中,获取URL请求对应的报文数据以及报文数据的数据包特征,包括:获取URL请求对应的网络协议层数据;向网络协议层数据中插入数据特征,得到插入数据特征后的网络协议层数据;通过构造器对插入数据特征后的网络协议层数据进行组装,得到组装后的报文数据;提取组装后的报文数据对应的数据包特征。
[0007]本申请中,能够对网络协议进行先解析,获取URL请求对应的网络协议层数据,再进行封装,并在其内嵌入数据特征。本申请通过编写构造器,基于三层/七层网络协议包构造方法对网络协议各层的数据进行组装,利用构造器构造报文数据能够对违规外联场景提供基础的技术支撑。提取组装后的报文数据对应的数据包特征,通过监测报文数据对应的数据包特征能够判定终端是否存在违规外联行为。
[0008]在第一方面的一种实现方式中,组装后的报文数据对应的数据包特征包括搜索序号,使用人,设备组、序号、使用人、终端所属组织机构名称、设备名称、IP地址、MAC地址、代理IP、代理端口、代理类型和/或外联URL。
[0009]在第一方面的一种实现方式中,插入数据特征后的网络协议层数据包括ICMP协议
报文和TCP报文。
[0010]本申请中,ICMP是(Internet Control Message Protocol)Internet控制报文协议,是TCP/IP协议族的一个子协议,用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。TCP(Transmission Control Protocol传输控制协议)是一种面向连接的、可靠的、有序的、基于字节流的传输层通信协议,TCP报文段分为首部和数据两部分,TCP报文首部分别为.源端口、目的端口、序号Seq、确认号Ack、数据偏移、保留、紧急URG、确认ACK、推送PSH、复位RST、同步SYN、终止FIN、窗口、紧急指针、选项(长度可变)、填充部分等。
[0011]在第一方面的一种实现方式中,基于分类检测模型,对报文数据的数据包特征进行检测,得到检测信息之前,还包括:获取数据包特征集;将数据包特征集划分为N个训练集和N个验证集,N为正整数;生成随机森林搜索空间,根据随机森林搜索空间生成待训练随机森林;利用N个训练集对待训练随机森林进行训练以生成K个随机森林模型;分别使用K个验证子集对K个随机森林模型进行评估以生成K个随机森林模型的评分值;根据K个随机森林模型的评分值对待训练随机森林进行M次迭代更新,直至K个随机森林模型的评分值满足评分要求或者M到达预设迭代次数,得到训练完成的分类检测模型,N为正整数。
[0012]使用静态代码来实现数据包特征检测,系统将变得非常庞大和复杂,因此本申请基于机器学习的方法来建立一种智能数据包特征检测机制,模型产出的是规则,实现动态规则匹配各类特征值。即本申请能够通过分类检测模型,分类检测模型采用随机森林模型,通过随机森林模型利用对报文数据的数据包特征进行检测,得到检测信息,检测信息对应于若干个检测特征值。在进行检测之前,本申请能够通过采集数据包特征集,利用数据包特征集对随机森林模型进行训练,从而得到训练好的随机森林模型。
[0013]在第一方面的一种实现方式中,根据检测信息确定被测终端对应的违规外联行为,检测信息包括若干个检测特征值,包括:基于神经网络模型,将若干个检测特征值输入神经网络模型中,通过神经网络模型输出检测信息对应的违规外联检测结果;根据检测信息对应的违规外联检测结果确定被测终端对应的违规外联行为。
[0014]本申请中,通过一个神经网络模型,能够对若干个检测特征值进行分类,通过神经网络模型输出检测信息对应的违规外联检测结果,然后根据检测信息对应的违规外联检测结果确定被测终端对应的违规外联行为。
[0015]在第一方面的一种实现方式中,神经网络模型包括全连接层、隐藏层和分类层;分类层为softmax层。
[0016]本申请中,神经网络模型包括全连接层、隐藏层和softmax层,隐藏层能够包括卷积层、激活层、池化层、全连接层。全连接层(fully connected layers,FC)在整个神经网络模型中起到分类器的作用,隐藏层中的卷积层、池化层和激活层等操作是将原始数据映射到隐层特征空间,而全连接层则起到将学到的分布式特征表示映射到样本标记空间的作用。
[0017]第二方面,本申请提供一种系统,包括请求获取模块,用于获取内网中的URL请求,URL请求的发起终端为被测终端;报文获取模块,用于获取URL请求对应的报文数据以及报文数据的数据包特征;检测模块,用于基于分类检测模型,对报文数据的数据包特征进行检测,得到检测信息;违规外联判断模块,用于根据检测信息确定被测终端对应的违规外联行
为。
[0018]第三方面,本申请提供了一种电子设备,电子设备包括:存储器,存储器存储有多条指令;处理器,处理器从存储器中加载指令,以执行如上述任一种违规外联检测方法中的步骤。
[0019]第四方面,本申请提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被电子设备执行时实现上述任一种违规外联检测方法中的步骤。
[0020]本申请能够对终端行为、访问信息特征进行监测,建立综合的网络和终端技术防护体系,通过基于三层/七层网络协议包构造技术,实现对网络协议解析再封装,并嵌入数据特征;然后通过基于机器学习的数据包特征检测技术,本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种违规外联检测方法,其特征在于,所述方法包括:获取内网中的URL请求,所述URL请求的发起终端为被测终端;获取所述URL请求对应的报文数据以及所述报文数据的数据包特征;基于分类检测模型,对所述报文数据的数据包特征进行检测,得到检测信息;根据所述检测信息确定所述被测终端对应的违规外联行为。2.根据权利要求1所述的一种违规外联检测方法,其特征在于,所述获取所述URL请求对应的报文数据以及所述报文数据的数据包特征,包括:获取所述URL请求对应的网络协议层数据;向所述网络协议层数据中插入数据特征,得到插入数据特征后的网络协议层数据;通过构造器对所述插入数据特征后的网络协议层数据进行组装,得到组装后的报文数据;提取所述组装后的报文数据对应的数据包特征。3.根据权利要求2所述的一种违规外联检测方法,其特征在于,所述组装后的报文数据对应的数据包特征包括搜索序号,使用人,设备组、序号、使用人、终端所属组织机构名称、设备名称、IP地址、MAC地址、代理IP、代理端口、代理类型和/或外联URL。4.根据权利要求2所述的一种违规外联检测方法,其特征在于,所述插入数据特征后的网络协议层数据包括ICMP协议报文和TCP报文。5.根据权利要求1或4所述的一种违规外联检测方法,其特征在于,所述基于分类检测模型,对所述报文数据的数据包特征进行检测,得到检测信息之前,还包括:获取数据包特征集;将所述数据包特征集划分为N个训练集和N个验证集,N为正整数;生成随机森林搜索空间,根据所述随机森林搜索空间生成待训练随机森林;利用所述N个训练集对所述待训练随机森林进行训练以生成K个随机森林模型;分别使用K个验证子集对所述K个随机森林模型进行评...
【专利技术属性】
技术研发人员:徐李冰,李昂,钱锦,陈元中,徐汉麟,周昕悦,罗俊,来益博,张敏,翟遂初,樊笑利,汪昆,倪夏冰,
申请(专利权)人:国网浙江省电力有限公司杭州供电公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。