一种基于邻居探测的局域网隐匿终端智能巡查方法技术

本发明专利技术公开了一种基于邻居探测的局域网隐匿终端智能巡查方法，该方法包括：局域网智能安全巡查系统向终端安全监控系统下发针对局域网未知终端地址集的定向探测任务，同时向终端安全监控系统下发目标局域网的子网地址集；终端安全监控系统根据目标局域网的子网地址集，向各个局域网安全监控终端下发局域网探测策略；局域网安全监控终端对局域网未知终端地址集中的地址执行定向探测任务；局域网安全监控终端将针对局域网未知终端地址集的终端探测反馈信息上报给终端安全监控系统；局域网智能安全巡查系统进行融合分析和综合研判，以得到一个巡查周期的智能巡查结果。本发明专利技术可及时、准确的识别局域网中游离于安全监控体系之外的隐匿终端。外的隐匿终端。外的隐匿终端。

【技术实现步骤摘要】
一种基于邻居探测的局域网隐匿终端智能巡查方法


[0001]本专利技术涉及网络安全
，特别是一种基于邻居探测的局域网隐匿终端智能巡查方法。

技术介绍

[0002]随着电子信息系统向网络化、规模化、复杂化的趋势发展，企业网络和私有网络中的计算机终端呈现出数量庞大、部署分散、连接方式复杂等现象，终端资产“底数不明”已成为网络安全领域中的突出问题，游离于安全监控体系之外的隐匿终端已逐步成为各类网络威胁的主要源头或实施途径，是网络中严重的潜在安全风险；当前，网络安全建设和运维中一直缺乏有效的隐匿终端检测手段，如何准确、全面的掌握网络中的终端资产“底数”，如何及时发现游离于安全监控体系之外的隐匿终端资产，是网络安全建设方面的重难点问题，是网络安全运维方面的前提条件。
[0003]为了能够及时、精准的发现目标网络区域的隐匿终端，促进目标网络区域的安全监管体系的持续发展，急需提供基于邻居探测的局域网隐匿终端智能迭代安全巡查方法，全面融合各类安全数据资源，综合运用各类安全防护手段，在确保现有网络架构和安全策略不改变的情况下，能够准确、及时的发现游离于安全监控体系之外的常规性隐匿终端，能够发现活跃时间离散、活跃动作较短的潜伏性隐匿终端。

技术实现思路

[0004]鉴于此，本专利技术提供一种基于邻居探测的局域网隐匿终端智能巡查方法，以解决上述技术问题。
[0005]本专利技术公开了一种基于邻居探测的局域网隐匿终端智能巡查方法，其包括：
[0006]步骤1：在一个巡查周期内，局域网智能安全巡查系统启动局域网安全巡查任务，向终端安全监控系统下发针对局域网未知终端地址集的定向探测任务，同时向终端安全监控系统下发目标局域网的子网地址集；
[0007]步骤2：终端安全监控系统根据目标局域网的子网地址集，在每个子网内选择启动局域网安全监控终端的终端资产探测功能，并将局域网邻居探测任务列表分别向各个局域网安全监控终端下发局域网探测策略；
[0008]步骤3：局域网安全监控终端基于接收到的局域网探测策略，对局域网未知终端地址集中的地址执行定向探测任务；
[0009]步骤4：局域网安全监控终端将针对局域网未知终端地址集的终端探测反馈信息上报给终端安全监控系统，再由终端安全监控系统同步至局域网智能安全巡查系统中的局域网安全监控终端信息库；
[0010]步骤5：局域网智能安全巡查系统基于本巡查周期的终端探测反馈信息，并结合局域网安全监控终端信息库的历史安全监控信息进行融合分析和综合研判，以得到一个巡查周期的智能巡查结果。
[0011]进一步地，在所述步骤1之前，还包括：
[0012]若第n巡查周期内，在局域网智能安全巡查系统中网络流量数据信息库中的网络流量数据中发现终端安全监控列表之外的终端地址，且该终端地址属于目标局域网的子网地址范畴，则认为与该终端地址对应的终端是局域网未知终端，最终形成局域网未知终端地址集Set_Unknown_IP(D
n
)＝{IP(d1),IP(d2),
…
,IP(d
i
),
…
,IP(d
L
)}，其中，IP(d
i
)表示第i个局域网未知终端的IP地址，L表示发现局域网未知终端数目。
[0013]进一步地，若未发现任何局域网未知终端，则在第n+1巡查周期内再次启动与第n巡查周期内类似的处理过程。
[0014]进一步地，所述步骤2具体包括：
[0015]终端安全监控系统依据目标局域网的子网地址集，记为Set_NetIP(S
n
)，在每个子网内选择一个局域网安全监控终端，启动其终端资产探测功能，并制定相应的局域网探测策略，形成局域网邻居探测任务列表LoNetDetectTask(S
n
)＝{{IP(e1)，DetectStr(e1)}，{IP(e2)，DetectStr(e2)},
…
,{IP(e
i
)，DetectStr(e
i
)},
…
,{IP(e
w
)，DetectStr(e
w
)}}，w表示目标局域网的子网地址数目；之后分别向各个局域网安全监控终端e
i
下发局域网探测策略，记为DetectStr(e
i
)。
[0016]进一步地，所述步骤5包括：
[0017]若被探测终端d
i
的反馈信息和终端安全监控信息库中任一个终端a
j
的属性完全相同，则认定终端a
j
属于多IP地址配置的终端资产，更新信息库中终端a
j
的信息；
[0018]若被探测终端d
i
的反馈信息和信息库中任一终端a
j
的属性均不相同，则认定被探测终端d
i
为局域网隐匿终端；
[0019]若被探测终端d
i
无探测反馈信息，则仍将其作为局域网未知终端，并列入第n+1巡查周期的局域网未知终端地址集Set_Unknown_IP(D
n+1
)继续巡查。
[0020]进一步地，还包括：若在第1巡查周期内：
[0021]局域网智能安全巡查系统对网络流量数据信息库中的网络流量会话数据进行分析提炼，形成局域网流量会话的终端地址集合，继而删除网络流量会话数据中的局域网外部终端地址，形成局域网流量会话的内部终端地址集，记为Set_Session_IP(B1)＝{Ses_IP(b1),Ses_IP(b2),Ses_IP(b3),
…
,Ses_IP(b
i
),
…
,Ses_IP(b
p1
)}，p1表示第1巡查周期局域网流量会话中内部终端地址数目；
[0022]局域网智能安全巡查系统对局域网安全监控终端信息库中数据进行分析提炼，形成局域网监控终端地址集Set_Monitor_IP(A1)＝{IP(a1),IP(a2),
…
,IP(a
j
),
…
,IP(a
q1
)}，q1表示第1巡查周期局域网监控终端地址数目；通过Set_Session_IP(B1)
‑
(Set_Monitor_IP(A1)∩Set_Session_IP(B1))计算得出第1巡查周期的局域网未知终端地址集，记为Set_Unknown_IP(D1)＝{IP(d1),IP(d2),IP(d3),
…
,IP(d
i
),
…
,IP(d
L1
)}；其中，L1表示在第1巡查周期发现局域网未知终端数目。
[0023]进一步地，在所述步骤6之后，还包括：
[0024]将第1巡查周期的局域网未知终端地址集，记为Set_Unknown_I本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于邻居探测的局域网隐匿终端智能巡查方法，其特征在于，包括：步骤1：在一个巡查周期内，局域网智能安全巡查系统启动局域网安全巡查任务，向终端安全监控系统下发针对局域网未知终端地址集的定向探测任务，同时向终端安全监控系统下发目标局域网的子网地址集；步骤2：终端安全监控系统根据目标局域网的子网地址集，在每个子网内选择启动局域网安全监控终端的终端资产探测功能，并将局域网邻居探测任务列表分别向各个局域网安全监控终端下发局域网探测策略；步骤3：局域网安全监控终端基于接收到的局域网探测策略，对局域网未知终端地址集中的地址执行定向探测任务；步骤4：局域网安全监控终端将针对局域网未知终端地址集的终端探测反馈信息上报给终端安全监控系统，再由终端安全监控系统同步至局域网智能安全巡查系统中的局域网安全监控终端信息库；步骤5：局域网智能安全巡查系统基于本巡查周期的终端探测反馈信息，并结合局域网安全监控终端信息库的历史安全监控信息进行融合分析和综合研判，以得到一个巡查周期的智能巡查结果。2.根据权利要求1所述的方法，其特征在于，在所述步骤1之前，还包括：若第n巡查周期内，在局域网智能安全巡查系统中网络流量数据信息库中的网络流量数据中发现终端安全监控列表之外的终端地址，且该终端地址属于目标局域网的子网地址范畴，则认为与该终端地址对应的终端是局域网未知终端，最终形成局域网未知终端地址集Set_Unknown_IP(D
n
)＝{IP(d1),IP(d2),
…
,IP(d
i
),
…
,IP(d
L
)}，其中，IP(d
i
)表示第i个局域网未知终端的IP地址，L表示发现局域网未知终端数目。3.根据权利要求2所述的方法，其特征在于，若未发现任何局域网未知终端，则在第n+1巡查周期内再次启动与第n巡查周期内类似的处理过程。4.根据权利要求1所述的方法，其特征在于，所述步骤2具体包括：终端安全监控系统依据目标局域网的子网地址集，记为Set_NetIP(S
n
)，在每个子网内选择一个局域网安全监控终端，启动其终端资产探测功能，并制定相应的局域网探测策略，形成局域网邻居探测任务列表LoNetDetectTask(S
n
)＝{{IP(e1)，DetectStr(e1)}，{IP(e2)，DetectStr(e2)},
…
,{IP(e
i
)，DetectStr(e
i
)},
…
,{IP(e
w
)，DetectStr(e
w
)}}，w表示目标局域网的子网地址数目；之后分别向各个局域网安全监控终端e
i
下发局域网探测策略，记为DetectStr(e
i
)。5.根据权利要求1所述的方法，其特征在于，所述步骤5包括：若被探测终端d
i
的反馈信息和终端安全监控信息库中任一个终端a
j
的属性完全相同，则认定终端a
j
属于多IP地址配置的终端资产，更新信息库中终端a
j
的信息；若被探测终端d
i
的反馈信息和信息库中任一终端a
j
的属性均不相同，则认定被探测终端d
i
为局域网隐匿终端；若被探测终端d
i
无探测反馈信息，则仍将其作为局域网未知终端，并列入第n+1巡查周期的局域网未知终端地址集Set_Unknown_IP(D
n+1
)继续巡查。6.根据权利要求1所述的方法，其特征在于，还包括：若在第1巡查周期内：局域网智能安全巡查系统对网络流量数据信息库中的网络流量会话数据进行分析提
炼，形成局域网流量会话的终端地址集合，继而删除网络流量会话数据中的局域网外部终端地址，形成局域网流量会话的内部终端地址集，记为Set_Session_IP(B1)＝{Ses_IP(b1),Ses_IP(b2),Ses_IP(b3),
…
,Ses_IP(b
i
),
…
,Ses_IP(b
p1
)}，p1表示第1巡查周期局域网流量会话中内部终端地址数目；局域网智能安全巡查系统对局域网安全监控终端信息库中数据进行分析提炼，形成局域网监控终端地址集Set_Monitor_IP(A1)＝{IP(a1),IP(a2),
…
,IP(a
j
),
…
,IP(a
q1
)}，q1表示第1巡查周期局域网监控终端地址数目；通过Set_Session_IP(B1)
‑
(Set_Monitor_IP(A1)∩Set_Session_IP(B1))计算得出第1巡查周期的局域网未知终端地址集，记为...

【专利技术属性】
技术研发人员：万抒，伍荣，张小军，金鑫，王哲，滕鹏国，
申请(专利权)人：中国电子科技集团公司第三十研究所，
类型：发明
国别省市：