【技术实现步骤摘要】
内网主机识别方法、装置、电子设备和存储介质
[0001]本专利技术涉及信息安全
,特别涉及一种内网主机识别方法、一种内网主机识别装置、一种电子设备和一种计算机可读存储介质。
技术介绍
[0002]目前,城域网安全云越来越受政企宽带用户的青睐,城域网安全云是利用运营商的城域网优势,将接入城域网的政企宽带中的流量在城域网汇聚节点,转发到安全云中的安全资源池进行安全分析。城域网安全云最大的价值在于,能够以服务的方式向政企宽带用户提供安全能力,而不需要政企宽带用户再购买和部署安全设备。
[0003]然而,由于政企宽带用户大多数是办公网络环境,所以这些用户的主机大多数是内网主机,内网主机连接互联网通常是通过出口处部署的路由器来实现的,然而路由器会将内网IP(Internet Protocol Address,互联网协议地址)和端口进行NAT(Network Address Translation,网络地址转换)转换后再连接互联网,这就导致在城域网汇聚节点抓取到的数据包不是内网IP和端口,而是经过NAT后的路由器IP和端口...
【技术保护点】
【技术特征摘要】
1.一种内网主机识别方法,其特征在于,应用于内网被入侵主机识别系统,所述内网被入侵主机识别系统与网络入侵检测系统通信连接,所述内网被入侵主机识别系统包括第一流量探针,所述第一流量探针部署在网络地址转换NAT设备并用于监听所述NAT设备的用户侧流量数据,所述方法包括:接收所述网络入侵检测系统在检测到用户侧发生入侵事件时发送的安全日志;所述安全日志包括发生时间、所述NAT设备的互联网协议地址IP和入侵者的IP;确定所述NAT设备的IP所对应的目标第一流量探针;从所述目标第一流量探针中获取与所述发生时间和所述入侵者的IP相匹配的目标用户侧流量数据;采用所述目标用户侧流量数据识别被入侵的目标内网主机。2.根据权利要求1所述的方法,其特征在于,所述目标第一流量探针对应有多个索引;所述从所述目标第一流量探针中获取与所述发生时间和所述入侵者的IP相匹配的目标用户侧流量数据,包括:从所述多个索引中确定与所述入侵者的IP相匹配的目标索引;所述目标索引对应有多个用户侧流量数据;从所述多个用户侧流量数据中获取在所述发生时间的前后预设时间段内的目标用户侧流量数据;所述目标用户侧流量数据包括多个。3.根据权利要求1所述的方法,其特征在于,在所述接收网络入侵检测系统在检测到用户侧发生入侵事件时发送的安全日志之前,还包括:通过所述第一流量探针采集多个第一数据包;所述第一数据包包括五元组信息;通过所述第一流量探针将具有相同的五元组信息的第一数据包按照时间顺序重组为第二数据包;所述第二数据包包括多个;通过所述第一流量探针分别从所述多个第二数据包中提取用户侧流量数据;所述用户侧流量数据包括外网IP;通过所述第一流量探针采用所述外网IP作为索引保存所述用户侧流量数据。4.根据权利要求2所述的方法,其特征在于,所述内网被入侵主机识别系统还包括第二流量探针,所述第二流量探针部署在安全资源池并用于监听所述安全资源池的安全云侧流量数据;所述采用所述目标用户侧流量数据识别被入侵的目标内网主机,包括:判断多个目标用户侧流量数据是否都来自于同一内网主机;若否,则从所述第二流量探针中获取所述安全日志对应的目标安全云侧流量数据;确定所述目标安全云侧流量数据的流量类型;基于所述流量类型,将所述目标安全云侧流量数据与各个目标用户侧流量数据进行匹配;根据匹配结果识别被入侵的目标内网主机。5.根据权利要求4所述的方法,其特征在于,所述目标安全云侧流量数据包括第一TCP序列号,所述各个目标用户侧流量数据包括第二TCP序列号;所述基于所述流量类型,将所述目标安全云侧流量数据与各个...
【专利技术属性】
技术研发人员:张波,丁晓嵩,仲亚男,张碧英,卢科池,
申请(专利权)人:中国电信股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。