【技术实现步骤摘要】
本专利技术涉及网络安全,具体为一种终端非法外联的检测方法、装置及存储介质。
技术介绍
1、在许多高安全领域,信息的交互受到严格的监控和管控。为了防止涉密信息泄露,保障信息安全、网络稳定和业务连续性,这些领域的终端设备通常只被允许接入局域网,且不允许与外界通信,或仅允许在严格可控的范围内与外界互联。因此,需要引入有效的终端非法外联检测方法,以确保违规外联行为能够及时发现并有效防范,进一步提升网络的安全性和稳定性。
2、现有的外联监控方法主要包括三种主要模式——客户端监控模式、内网发包探测模式和网关监控模式。具体来说,客户端监控模式依赖于在终端设备上安装监控客户端,从而实现对用户网络行为的监控。然而,这种模式对客户端的依赖性较高,一旦客户端被卸载、禁用或绕过,监控效果会大打折扣。其次,内网发包探测模式通过探测终端与外部网络之间的通信行为来发现非法外联情况。这种方式能够在一定程度上弥补客户端监控的不足,但其对探测包的依赖使其容易被防火墙规则或其他安全策略拦截,导致漏报。同时,对于间歇性外联行为或利用加密通道的外联,检测能力仍然有限。最后,网关监控模式主要通过流量分析和深度包检测技术对外联行为进行识别。尽管它能够在网络出口处集中监控整体流量,但在高并发的流量环境中容易受到性能瓶颈的限制,可能导致监测不全面。此外,对于复杂协议的深度解析,该模式的能力也存在不足之处。
3、现有方法通常单独使用某一模式,缺乏综合数据分析与关联能力,导致报警信息分散,难以快速判断外联行为的合法性与风险等级。因此,亟需一种终端非法外联行为
4、为此,提出一种终端非法外联的检测方法、装置及存储介质。
技术实现思路
1、本专利技术的目的在于提供一种终端非法外联的检测方法、装置及存储介质,首先获取连接指定局域网的所有终端设备,通过明确当前内网中的所有设备,建立监控范围和基线,为后续授权检测和外联行为分析提供必要的数据支持。通过结合授权检测、终端风险分级及客户端监控程序的卸载检测、篡改检测和运行检测,确保了受控授权终端设备的可信状态,同时获取客户端监控数据、网络层监控数据和内网探测数据,形成多维度的外联行为数据集,从而实现对终端外联行为的全面画像。通过提取日志数据中的外联目标、访问时间、协议类型和端口号等关键信息,并与外联权限规则进行比对,快速划分正常外联设备和未知外联设备,提升了初步判定的效率和准确性。进一步利用基于transformer架构的日志异常检测模型,识别未知外联设备中的异常事件,通过计算日志风险评分精准评估终端外联行为的风险等级,及时判定非法外联终端设备。该方法结合规则过滤和模型检测的双重优势,不仅提高了非法外联检测的准确性和实时性,还显著降低了误报和漏报的风险,能够适应复杂网络环境下的多样化外联行为,为内网安全提供全面保障。
2、为实现上述目的,本专利技术提供如下技术方案:
3、根据本公开的第一方面,提供了一种终端非法外联的检测方法,包括:
4、获取连接指定局域网的所有终端设备;对所述终端设备进行授权检测,得到授权终端设备和未授权终端设备;对所述授权终端设备进行分级,得到终端风险等级;
5、对在所述授权终端设备上部署的客户端监控程序进行卸载检测、篡改检测和运行检测;将同时通过所述卸载检测、所述篡改检测和所述运行检测的所述授权终端设备作为受控授权终端设备;
6、获取所述受控授权终端设备的客户端监控数据,结合网络层监控数据和内网探测数据,汇总成外联行为数据集;从所述外联行为数据集的日志数据中提取关键信息,包括第一外联目标、第一访问时间、第一协议类型和第一端口号;根据所述关键信息和外联权限将所述受控授权终端设备划分为纯内网连接设备、正常外联设备和未知外联设备;
7、从所述外联行为数据集中获取所述未知外联设备对应的日志数据,得到待检日志数据;将预处理后的所述待检日志数据输入日志异常检测模型,识别异常事件,并根据所有所述异常事件计算得到日志风险评分;若所述日志风险评分超过预设阈值,判定对应的所述未知外联设备为非法外联终端设备;所述日志异常检测模型是根据标注后的历史日志数据训练的,采用transformer架构构建的多分类模型。
8、进一步地,当检测到所述未授权终端设备时还包括:直接隔离所述未授权终端设备并向安全管理中心进行报警。
9、进一步地,对所述授权终端设备进行分级包括:根据所述授权终端设备的数据保密等级、外联需求及历史安全事件数据确定所述终端风险等级。
10、进一步地,对在所述授权终端设备上部署的所述客户端监控程序进行所述卸载检测、所述篡改检测和所述运行检测包括:通过心跳包机制由所述客户端监控程序定期向安全管理中心发送心跳信号并监测所述心跳信号的连续性,得到卸载检测结果;通过对所述客户端监控程序的关键文件进行哈希值计算并与所述安全管理中心存储的原始哈希值进行比对,同时通过预存的签名校验信息验证所述客户端监控程序的数字签名,得到篡改检测结果;通过监控所述客户端监控程序的线程状态、进程调用和资源占用情况并与正常行为基线进行比对,得到运行检测结果。
11、进一步地,获取所述受控授权终端设备的所述客户端监控数据、所述网络层监控数据和所述内网探测数据时还包括:对所述客户端监控数据与所述网络层监控数据进行数据校验,具体为:将所述客户端监控数据与所述网络层监控数据输入训练好的联合异常检测模型,得到联合异常检测结果。
12、进一步地,所述联合异常检测模型包括:输入层,用于接收所述客户端监控数据与所述网络层监控数据,通过对所述客户端监控数据与所述网络层监控数据进行标准化处理,统一时间戳和数据格式,生成多维输入向量,包括客户端标准输入向量和网络层标准输入向量;特征提取层,包括客户端特征提取模块和网络层特征提取模块,用于分别提取客户端行为特征和网络流量特征;其中,所述客户端特征提取模块用于从所述客户端标准输入向量中提取特征,包括系统调用日志、外联目标信息及设备状态信息;通过lstm模型捕获系统调用日志中的时间依赖性和行为模式,并结合嵌入层处理静态属性,生成客户端综合特征向量;所述网络层特征提取模块,用于从所述网络层标准输入向量中提取空间分布特征和动态连接模式,包括目标ip地址、流量特征、协议类型及连接频率;通过卷积神经网络捕获网络协议的空间分布特征,并结合多层感知机分析流量动态变化,生成网络层综合特征向量;特征融合层,用于将所述客户端综合特征向量与所述网络层综合特征向量进行融合,通过多头注意力机制捕获客户端行为特征与网络流量特征之间的交互关系,生成统一的外联行为特征向量;异常分类层,包括:全连接层,用于将所述外联行为特征向量映射到外联行为类别空间,生成各外联行为类别的分类得分;softmax激活函数,用于将所述分类得分转化为概率分布,计算各所述外联行为类别的分类置信度;通过最大概率值选择机制从所述分类置信度中选择概率最高本文档来自技高网...
【技术保护点】
1.一种终端非法外联的检测方法,其特征在于,包括:
2.根据权利要求1所述的一种终端非法外联的检测方法,其特征在于,当检测到所述未授权终端设备时还包括:直接隔离所述未授权终端设备并向安全管理中心进行报警。
3.根据权利要求1所述的一种终端非法外联的检测方法,其特征在于,对所述授权终端设备进行分级包括:根据所述授权终端设备的数据保密等级、外联需求及历史安全事件数据确定所述终端风险等级。
4.根据权利要求1所述的一种终端非法外联的检测方法,其特征在于,对在所述授权终端设备上部署的所述客户端监控程序进行所述卸载检测、所述篡改检测和所述运行检测包括:通过心跳包机制由所述客户端监控程序定期向安全管理中心发送心跳信号并监测所述心跳信号的连续性,得到卸载检测结果;通过对所述客户端监控程序的关键文件进行哈希值计算并与所述安全管理中心存储的原始哈希值进行比对,同时通过预存的签名校验信息验证所述客户端监控程序的数字签名,得到篡改检测结果;通过监控所述客户端监控程序的线程状态、进程调用和资源占用情况并与正常行为基线进行比对,得到运行检测结果。
5.根据权
6.根据权利要求5所述的一种终端非法外联的检测方法,其特征在于,所述联合异常检测模型包括:输入层,用于接收所述客户端监控数据与所述网络层监控数据,通过对所述客户端监控数据与所述网络层监控数据进行标准化处理,统一时间戳和数据格式,生成多维输入向量,包括客户端标准输入向量和网络层标准输入向量;特征提取层,包括客户端特征提取模块和网络层特征提取模块,用于分别提取客户端行为特征和网络流量特征;其中,所述客户端特征提取模块用于从所述客户端标准输入向量中提取特征,包括系统调用日志、外联目标信息及设备状态信息;通过LSTM模型捕获系统调用日志中的时间依赖性和行为模式,并结合嵌入层处理静态属性,生成客户端综合特征向量;所述网络层特征提取模块,用于从所述网络层标准输入向量中提取空间分布特征和动态连接模式,包括目标IP地址、流量特征、协议类型及连接频率;通过卷积神经网络捕获网络协议的空间分布特征,并结合多层感知机分析流量动态变化,生成网络层综合特征向量;特征融合层,用于将所述客户端综合特征向量与所述网络层综合特征向量进行融合,通过多头注意力机制捕获客户端行为特征与网络流量特征之间的交互关系,生成统一的外联行为特征向量;异常分类层,包括:全连接层,用于将所述外联行为特征向量映射到外联行为类别空间,生成各外联行为类别的分类得分;Softmax激活函数,用于将所述分类得分转化为概率分布,计算各所述外联行为类别的分类置信度;通过最大概率值选择机制从所述分类置信度中选择概率最高的所述外联行为类别,确定第一外联行为类别;输出层,用于输出所述第一外联行为类别及对应的所述分类置信度。
7.根据权利要求5所述的一种终端非法外联的检测方法,其特征在于,所述数据校验还包括:确定所述客户端监控数据与所述网络层监控数据的一致性指标,包括目标IP一致性指标、协议类型匹配指标、流量特征匹配指标和时间戳一致性指标;根据所述目标IP一致性指标、所述协议类型匹配指标、所述流量特征匹配指标和所述时间戳一致性指标计算综合一致性评分,计算公式为:其中,为所述综合一致性评分,为所述目标IP一致性指标,为所述协议类型匹配指标,为所述流量特征匹配指标,为所述时间戳一致性指标,为所述目标IP一致性指标的权重,为所述协议类型匹配指标的权重,为所述流量特征匹配指标的权重,为所述时间戳一致性指标的权重;
8.根据权利要求1所述的一种终端非法外联的检测方法,其特征在于,根据所述关键信息和所述外联权限将所述受控授权终端设备划分为所述正常外联设备和所述未知外联设备包括:
9.一种终端非法外联的检测装置,其特征在于,包括:终端获取模块,用于获取连接指定局域网的所有终端设备;授权检测模块,用于对所述终端设备进行授权检测,得到授权终端设备和未授权终端设备;风险分级模块,用于对所述授权终端设备进行分级,得到终端风险等级;客户端监控模块,用于对在所述授权终端设备上部署的客户端监控程序进行卸载检测、篡改检测和运行检测;将同时通过所述卸载检测、所述篡改检测和所述运行检测的所述授权终端设备作为受控授权终端设备;数据采集模块,用于获取所述受控授权终端设备的客户端监控数据,并结合网络层监控数据和内网探测...
【技术特征摘要】
1.一种终端非法外联的检测方法,其特征在于,包括:
2.根据权利要求1所述的一种终端非法外联的检测方法,其特征在于,当检测到所述未授权终端设备时还包括:直接隔离所述未授权终端设备并向安全管理中心进行报警。
3.根据权利要求1所述的一种终端非法外联的检测方法,其特征在于,对所述授权终端设备进行分级包括:根据所述授权终端设备的数据保密等级、外联需求及历史安全事件数据确定所述终端风险等级。
4.根据权利要求1所述的一种终端非法外联的检测方法,其特征在于,对在所述授权终端设备上部署的所述客户端监控程序进行所述卸载检测、所述篡改检测和所述运行检测包括:通过心跳包机制由所述客户端监控程序定期向安全管理中心发送心跳信号并监测所述心跳信号的连续性,得到卸载检测结果;通过对所述客户端监控程序的关键文件进行哈希值计算并与所述安全管理中心存储的原始哈希值进行比对,同时通过预存的签名校验信息验证所述客户端监控程序的数字签名,得到篡改检测结果;通过监控所述客户端监控程序的线程状态、进程调用和资源占用情况并与正常行为基线进行比对,得到运行检测结果。
5.根据权利要求1所述的一种终端非法外联的检测方法,其特征在于,获取所述受控授权终端设备的所述客户端监控数据、所述网络层监控数据和所述内网探测数据时还包括:对所述客户端监控数据与所述网络层监控数据进行数据校验,具体为:将所述客户端监控数据与所述网络层监控数据输入训练好的联合异常检测模型,得到联合异常检测结果。
6.根据权利要求5所述的一种终端非法外联的检测方法,其特征在于,所述联合异常检测模型包括:输入层,用于接收所述客户端监控数据与所述网络层监控数据,通过对所述客户端监控数据与所述网络层监控数据进行标准化处理,统一时间戳和数据格式,生成多维输入向量,包括客户端标准输入向量和网络层标准输入向量;特征提取层,包括客户端特征提取模块和网络层特征提取模块,用于分别提取客户端行为特征和网络流量特征;其中,所述客户端特征提取模块用于从所述客户端标准输入向量中提取特征,包括系统调用日志、外联目标信息及设备状态信息;通过lstm模型捕获系统调用日志中的时间依赖性和行为模式,并结合嵌入层处理静态属性,生成客户端综合特征向量;所述网络层特征提取模块,用于从所述网络层标准输入向量中提取空间分布特征和动态连接模式,包括目标ip地址、流量特征、协议类型及连接频率;通过卷积神经网络捕获网络协议的空间分布特征,并结合多层感知机分析流量动态变化,生成网络层综合特征向量;特征融合层,用于将所述客户端综合特征向量与所述网络层综合特征向量进行融合,通过多头注意力机制捕获客户端行为特征与网络流量特征之间的交互关系,生成统一的外联行为特征向量;异常分类层,包括:全连接层,用于将所述外联行为特征向量映射到外联行为类别空间,生成各外联行为类别的分类得分;softmax激活函数,用于将...
【专利技术属性】
技术研发人员:钟丹晔,钟丹东,
申请(专利权)人:江苏保旺达软件技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。