本发明专利技术实施例提供内网主机识别方法、装置、电子设备和存储介质,该方法包括:接收网络入侵检测系统在检测到用户侧发生入侵事件时发送的安全日志;安全日志包括发生时间、NAT设备的IP和入侵者的IP;确定NAT设备的IP所对应的目标第一流量探针;从目标第一流量探针中获取与发生时间和入侵者的IP相匹配的目标用户侧流量数据;采用目标用户侧流量数据识别被入侵的目标内网主机。通过在NAT设备部署流量探针,因此可以利用流量探针来监听用户侧流量数据,通过发生时间、NAT设备的IP和入侵者的IP,从相应的流量探针中获取到用于识别被入侵的目标内网主机的目标用户侧流量数据,由此可识别出经过NAT转换后的流量数据所对应的内网主机,从而提升安全服务的价值。从而提升安全服务的价值。从而提升安全服务的价值。
【技术实现步骤摘要】
内网主机识别方法、装置、电子设备和存储介质
[0001]本专利技术涉及信息安全
,特别涉及一种内网主机识别方法、一种内网主机识别装置、一种电子设备和一种计算机可读存储介质。
技术介绍
[0002]目前,城域网安全云越来越受政企宽带用户的青睐,城域网安全云是利用运营商的城域网优势,将接入城域网的政企宽带中的流量在城域网汇聚节点,转发到安全云中的安全资源池进行安全分析。城域网安全云最大的价值在于,能够以服务的方式向政企宽带用户提供安全能力,而不需要政企宽带用户再购买和部署安全设备。
[0003]然而,由于政企宽带用户大多数是办公网络环境,所以这些用户的主机大多数是内网主机,内网主机连接互联网通常是通过出口处部署的路由器来实现的,然而路由器会将内网IP(Internet Protocol Address,互联网协议地址)和端口进行NAT(Network Address Translation,网络地址转换)转换后再连接互联网,这就导致在城域网汇聚节点抓取到的数据包不是内网IP和端口,而是经过NAT后的路由器IP和端口。如果检测到入侵事件的发生,城域网安全云无法根据路由器IP和端口来定位到某一台被入侵的内网主机,从而大大降低安全服务的价值。
技术实现思路
[0004]鉴于上述问题,提出了本专利技术实施例以便提供一种克服上述问题或者至少部分地解决上述问题的内网主机识别方法。
[0005]本专利技术实施例还提供了一种内网主机识别装置、电子设备和存储介质,以保证上述方法的实施。
[0006]为了解决上述问题,本专利技术实施例公开了一种内网主机识别方法,应用于内网被入侵主机识别系统,所述内网被入侵主机识别系统与网络入侵检测系统通信连接,所述内网被入侵主机识别系统包括第一流量探针,所述第一流量探针部署在NAT设备并用于监听所述NAT设备的用户侧流量数据,所述方法包括:
[0007]接收所述网络入侵检测系统在检测到用户侧发生入侵事件时发送的安全日志;所述安全日志包括发生时间、所述NAT设备的IP和入侵者的IP;
[0008]确定所述NAT设备的IP所对应的目标第一流量探针;
[0009]从所述目标第一流量探针中获取与所述发生时间和所述入侵者的IP相匹配的目标用户侧流量数据;
[0010]采用所述目标用户侧流量数据识别被入侵的目标内网主机。
[0011]可选地,所述目标第一流量探针对应有多个索引;所述从所述目标第一流量探针中获取与所述发生时间和所述入侵者的IP相匹配的目标用户侧流量数据,包括:
[0012]从所述多个索引中确定与所述入侵者的IP相匹配的目标索引;所述目标索引对应有多个用户侧流量数据;
[0013]从所述多个用户侧流量数据中获取在所述发生时间的前后预设时间段内的目标用户侧流量数据;所述目标用户侧流量数据包括多个。
[0014]可选地,在所述接收网络入侵检测系统在检测到用户侧发生入侵事件时发送的安全日志之前,还包括:
[0015]通过所述第一流量探针采集多个第一数据包;所述第一数据包包括五元组信息;
[0016]通过所述第一流量探针将具有相同的五元组信息的第一数据包按照时间顺序重组为第二数据包;所述第二数据包包括多个;
[0017]通过所述第一流量探针分别从所述多个第二数据包中提取用户侧流量数据;所述用户侧流量数据包括外网IP;
[0018]通过所述第一流量探针采用所述外网IP作为索引保存所述用户侧流量数据。
[0019]可选地,所述内网被入侵主机识别系统还包括第二流量探针,所述第二流量探针部署在安全资源池并用于监听所述安全资源池的安全云侧流量数据;所述采用所述目标用户侧流量数据识别被入侵的目标内网主机,包括:
[0020]判断多个目标用户侧流量数据是否都来自于同一内网主机;
[0021]若否,则从所述第二流量探针中获取所述安全日志对应的目标安全云侧流量数据;
[0022]确定所述目标安全云侧流量数据的流量类型;
[0023]基于所述流量类型,将所述目标安全云侧流量数据与各个目标用户侧流量数据进行匹配;
[0024]根据匹配结果识别被入侵的目标内网主机。
[0025]可选地,所述目标安全云侧流量数据包括第一TCP序列号,所述各个目标用户侧流量数据包括第二TCP序列号;所述基于所述流量类型,将所述目标安全云侧流量数据与各个目标用户侧流量数据进行匹配,包括:
[0026]若所述流量类型为TCP协议,则从各个第二TCP序列号中查找与所述第一TCP序列号相同的目标第二TCP序列号;
[0027]所述根据匹配结果识别被入侵的目标内网主机,包括:
[0028]从所述目标第二TCP序列号对应的目标用户侧流量数据中提取目标内网IP;
[0029]将所述目标内网IP对应的内网主机识别为被入侵的目标内网主机。
[0030]可选地,所述基于所述流量类型,将所述目标安全云侧流量数据与各个目标用户侧流量数据进行匹配,包括:
[0031]若所述流量类型为UDP协议,则将所述目标安全云侧流量数据映射为第一列向量,以及分别将所述各个目标用户侧流量数据映射为第二列向量;
[0032]计算所述第一列向量与各个第二列向量之间的余弦相似度;
[0033]所述根据匹配结果识别被入侵的目标内网主机,包括:
[0034]确定最大的目标余弦相似度;
[0035]从所述目标余弦相似度对应的目标用户侧流量数据中提取目标内网IP;
[0036]将所述目标内网IP对应的内网主机识别为被入侵的目标内网主机。
[0037]可选地,在所述判断多个目标用户侧流量数据是否都来自于同一内网主机之后,还包括:
[0038]若是,则从其中一个目标用户侧流量数据中提取目标内网IP;
[0039]将所述目标内网IP对应的内网主机识别为被入侵的目标内网主机。
[0040]本专利技术实施例还公开了一种内网主机识别装置,应用于内网被入侵主机识别系统,所述内网被入侵主机识别系统与网络入侵检测系统通信连接,所述内网被入侵主机识别系统包括第一流量探针,所述第一流量探针部署在NAT设备并用于监听所述NAT设备的用户侧流量数据,所述装置包括:
[0041]安全日志接收模块,用于接收所述网络入侵检测系统在检测到用户侧发生入侵事件时发送的安全日志;所述安全日志包括发生时间、所述NAT设备的IP和入侵者的IP;
[0042]目标第一流量探针确定模块,用于确定所述NAT设备的IP所对应的目标第一流量探针;
[0043]目标用户侧流量数据获取模块,用于从所述目标第一流量探针中获取与所述发生时间和所述入侵者的IP相匹配的目标用户侧流量数据;
[0044]目标内网主机识别模块,用于采用所述目标用户侧流量数据识别被入侵的目标内网主机。
[0045]可选地,所述目标第一流量探针对应有多个索引;所述目标用户侧流量数据获取模块包括:...
【技术保护点】
【技术特征摘要】
1.一种内网主机识别方法,其特征在于,应用于内网被入侵主机识别系统,所述内网被入侵主机识别系统与网络入侵检测系统通信连接,所述内网被入侵主机识别系统包括第一流量探针,所述第一流量探针部署在网络地址转换NAT设备并用于监听所述NAT设备的用户侧流量数据,所述方法包括:接收所述网络入侵检测系统在检测到用户侧发生入侵事件时发送的安全日志;所述安全日志包括发生时间、所述NAT设备的互联网协议地址IP和入侵者的IP;确定所述NAT设备的IP所对应的目标第一流量探针;从所述目标第一流量探针中获取与所述发生时间和所述入侵者的IP相匹配的目标用户侧流量数据;采用所述目标用户侧流量数据识别被入侵的目标内网主机。2.根据权利要求1所述的方法,其特征在于,所述目标第一流量探针对应有多个索引;所述从所述目标第一流量探针中获取与所述发生时间和所述入侵者的IP相匹配的目标用户侧流量数据,包括:从所述多个索引中确定与所述入侵者的IP相匹配的目标索引;所述目标索引对应有多个用户侧流量数据;从所述多个用户侧流量数据中获取在所述发生时间的前后预设时间段内的目标用户侧流量数据;所述目标用户侧流量数据包括多个。3.根据权利要求1所述的方法,其特征在于,在所述接收网络入侵检测系统在检测到用户侧发生入侵事件时发送的安全日志之前,还包括:通过所述第一流量探针采集多个第一数据包;所述第一数据包包括五元组信息;通过所述第一流量探针将具有相同的五元组信息的第一数据包按照时间顺序重组为第二数据包;所述第二数据包包括多个;通过所述第一流量探针分别从所述多个第二数据包中提取用户侧流量数据;所述用户侧流量数据包括外网IP;通过所述第一流量探针采用所述外网IP作为索引保存所述用户侧流量数据。4.根据权利要求2所述的方法,其特征在于,所述内网被入侵主机识别系统还包括第二流量探针,所述第二流量探针部署在安全资源池并用于监听所述安全资源池的安全云侧流量数据;所述采用所述目标用户侧流量数据识别被入侵的目标内网主机,包括:判断多个目标用户侧流量数据是否都来自于同一内网主机;若否,则从所述第二流量探针中获取所述安全日志对应的目标安全云侧流量数据;确定所述目标安全云侧流量数据的流量类型;基于所述流量类型,将所述目标安全云侧流量数据与各个目标用户侧流量数据进行匹配;根据匹配结果识别被入侵的目标内网主机。5.根据权利要求4所述的方法,其特征在于,所述目标安全云侧流量数据包括第一TCP序列号,所述各个目标用户侧流量数据包括第二TCP序列号;所述基于所述流量类型,将所述目标安全云侧流量数据与各个...
【专利技术属性】
技术研发人员:张波,丁晓嵩,仲亚男,张碧英,卢科池,
申请(专利权)人:中国电信股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。