一种网络违规操作识别系统、方法和装置与流程

1.本技术涉及网络边界安全技术领域，特别是涉及一种网络违规操作识别系统、方法和装置。


背景技术：

2.随着网络边界安全技术的发展，出现了网络违规外联或跨区互联探测技术，目前常见的违规外联或跨区互联探测技术为，通过网络镜像流量分析监测发现违规外联或跨区互联行为。
3.网络镜像流量分析技术的传统方案是，通过网络镜像流量中的违规外联或跨区互联的相关特征信息，来发现违规外联或跨区互联行为。然而网络镜像流量分析技术往往只能获取到有限的违规外联或跨区互联设备信息，无法识别出违规外联或跨区互联的具体设备。


技术实现要素：

4.基于此，有必要针对上述技术问题，提供一种网络违规操作识别系统、方法和装置。
5.第一方面，本技术提供了一种网络违规操作识别系统。所述系统包括：探测端，以及分析端；其中，
6.所述探测端，用于获取探测报文，并向待识别设备发送所述探测报文；所述探测报文的源ip地址为所述分析端的分析端ip地址；所述分析端ip地址用于指示所述待识别设备向所述分析端发送与所述探测报文对应的反馈报文；
7.所述分析端，用于当接收到所述反馈报文时，将所述待识别设备判定为违规设备，并根据所述反馈报文，得到所述违规设备的违规设备ip地址；所述违规设备为存在预设网络边界安全违规操作的待识别设备；所述预设网络安全违规操作包括违规外联行为和跨区互联行为。
8.在其中一个实施例中，所述探测端，还用于：基于所述探测报文，得到所述探测报文的目的ip地址；根据所述探测报文的目的ip地址，将所述探测报文发送给所述待识别设备。
9.在其中一个实施例中，所述探测端，还用于：获取所述探测端的探测端ip地址，并基于所述探测端ip地址作为原始探测报文的源ip地址，得到所述原始探测报文；将所述原始探测报文的源ip地址修改为所述分析端ip地址，得到所述探测报文。
10.在其中一个实施例中，所述分析端，还用于：获取所述分析端的镜像流量；过滤所述镜像流量，得到所述镜像流量的过滤后的镜像流量；从所述过滤后的镜像流量中，得到所述反馈报文。
11.在其中一个实施例中，所述探测端，还用于：对所述探测报文进行标记，得到所述探测报文的第一标记特征；所述第一标记特征用于所述待识别设备向所述分析端发送携带
有第二标记特征的反馈报文；所述第二标记特征与所述第一标记特征相匹配；所述分析端，还用于：根据所述第二标记特征，通过报文捕获工具，从所述过滤后的镜像流量中，得到所述反馈报文。
12.在其中一个实施例中，所述分析端，还用于：从预设的警告分级列表中，获取与所述分析端ip地址匹配的警告等级；所述分析端与外网网络，以及跨区内网网络连接；基于所述警告等级、所述分析端ip地址，以及所述违规设备ip地址，得到所述违规设备的警告记录。
13.第二方面，本技术还提供了一种网络违规操作识别方法。所述方法包括：
14.获取探测报文；所述探测报文的源ip地址为分析端的分析端ip地址；
15.向待识别设备发送所述探测报文；所述分析端ip地址，用于指示所述待识别设备向所述分析端发送与所述探测报文对应的反馈报文；所述反馈报文，用于当分析端接收到所述反馈报文时，将所述待识别设备判定为违规设备，并根据所述反馈报文，得到所述违规设备的违规设备ip地址；所述违规设备为存在预设网络边界安全违规操作的待识别设备；所述预设网络安全违规操作包括违规外联行为和跨区互联行为。
16.第三方面，本技术还提供了一种网络违规操作识别方法。所述方法包括：
17.当接收到反馈报文时，将待识别设备判定为违规设备；所述违规设备为存在预设网络边界安全违规操作的待识别设备；所述预设网络安全违规操作包括违规外联行为和跨区互联行为；所述反馈报文与所述待识别设备从探测端接收到的探测报文相对应，并由所述待识别设备发送至所述分析端；所述探测报文的源ip地址为所述分析端的分析端ip地址；所述分析端ip地址用于指示所述待识别设备发送所述反馈报文；
18.根据所述反馈报文，得到所述违规设备的违规设备ip地址。
19.第四方面，本技术还提供了一种网络违规操作识别装置。所述装置包括：
20.探测报文获取模块，用于获取所述探测报文；所述探测报文的源ip地址为分析端的分析端ip地址；
21.探测报文发送模块，用于向待识别设备发送所述探测报文；所述分析端ip地址用于指示所述待识别设备向所述分析端发送与所述探测报文对应的反馈报文；所述反馈报文，用于当分析端接收到所述反馈报文时，将所述待识别设备判定为违规设备，并根据所述反馈报文，得到所述违规设备的违规设备ip地址；所述违规设备为存在预设网络边界安全违规操作的所述待识别设备；所述预设网络安全违规操作包括违规外联行为和跨区互联行为。
22.第五方面，本技术还提供了一种网络违规操作识别装置。所述装置包括：
23.待识别设备判定模块，用于当接收到反馈报文时，将待识别设备判定为违规设备；所述违规设备为存在预设网络边界安全违规操作的待识别设备；所述预设网络安全违规操作包括违规外联行为和跨区互联行为；所述待识别设备，用于接收探测端发送的探测报文；所述探测报文的源ip地址为所述分析端的分析端ip地址；所述分析端ip地址用于指示所述待识别设备向所述分析端发送与所述探测报文对应的所述反馈报文；
24.违规设备ip地址获取模块，用于根据所述反馈报文，得到所述违规设备的违规设备ip地址。
25.第六方面，本技术还提供了一种计算机设备。所述计算机设备包括存储器和处理
器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时实现以下步骤：
26.获取探测报文；所述探测报文的源ip地址为分析端的分析端ip地址；
27.向待识别设备发送所述探测报文；所述分析端ip地址，用于指示所述待识别设备向所述分析端发送与所述探测报文对应的反馈报文；所述反馈报文，用于当分析端接收到所述反馈报文时，将所述待识别设备判定为违规设备，并根据所述反馈报文，得到所述违规设备的违规设备ip地址；所述违规设备为存在预设网络边界安全违规操作的待识别设备；所述预设网络安全违规操作包括违规外联行为和跨区互联行为。
28.所述处理器执行所述计算机程序时还可以实现以下步骤：
29.当接收到反馈报文时，将待识别设备判定为违规设备；所述违规设备为存在预设网络边界安全违规操作的待识别设备；所述预设网络安全违规操作包括违规外联行为和跨区互联行为；所述反馈报文与所述待识别设备从探测端接收到的探测报文相对应，并由所述待识别设备发送至所述分析端；所述探测报文的源ip地址为所述分析端的分析端ip地址；所述分析端ip地址用于指示所述待识别设备发送所述反馈报文；
30.根据所述反馈报文，得到所述违规设备的违规设备ip地址。
31.第七方面，本技术还提供了一种计算机可读存储介质。所述计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现以下步骤：
32.获取探测报文；所述探测报文的源ip地址为分析端的分析端ip地址；
33.向待识别设备发送所述探测报文；所述分析端ip地址，用于指示所述待识别设备向所述分析端发送与所述探测报文对应的反馈报文；所述反馈报文，用于当分析端接收到所述反馈报文时，将所述待识别设备判定为违规设备，并根据所述反馈报文，得到所述违规设备的违规设备ip地址；所述违规设备为存在预设网络边界安全违规操作的待识别设备；所述预设网络安全违规操作包括违规外联行为和跨区互联行为。
34.所述计算机程序被处理器执行时还可以实现以下步骤：
35.当接收到反馈报文时，将待识别设备判定为违规设备；所述违规设备为存在预设网络边界安全违规操作的待识别设备；所述预设网络安全违规操作包括违规外联行为和跨区互联行为；所述反馈报文与所述待识别设备从探测端接收到的探测报文相对应，并由所述待识别设备发送至所述分析端；所述探测报文的源ip地址为所述分析端的分析端ip地址；所述分析端ip地址用于指示所述待识别设备发送所述反馈报文；
36.根据所述反馈报文，得到所述违规设备的违规设备ip地址。
37.第八方面，本技术还提供了一种计算机程序产品。所述计算机程序产品，包括计算机程序，该计算机程序被处理器执行时实现以下步骤：
38.获取探测报文；所述探测报文的源ip地址为分析端的分析端ip地址；
39.向待识别设备发送所述探测报文；所述分析端ip地址，用于指示所述待识别设备向所述分析端发送与所述探测报文对应的反馈报文；所述反馈报文，用于当分析端接收到所述反馈报文时，将所述待识别设备判定为违规设备，并根据所述反馈报文，得到所述违规设备的违规设备ip地址；所述违规设备为存在预设网络边界安全违规操作的待识别设备；所述预设网络安全违规操作包括违规外联行为和跨区互联行为。
40.该计算机程序被处理器执行时还可以实现以下步骤：
41.当接收到反馈报文时，将待识别设备判定为违规设备；所述违规设备为存在预设
网络边界安全违规操作的待识别设备；所述预设网络安全违规操作包括违规外联行为和跨区互联行为；所述反馈报文与所述待识别设备从探测端接收到的探测报文相对应，并由所述待识别设备发送至所述分析端；所述探测报文的源ip地址为所述分析端的分析端ip地址；所述分析端ip地址用于指示所述待识别设备发送所述反馈报文；
42.根据所述反馈报文，得到所述违规设备的违规设备ip地址。
43.上述网络违规操作识别系统、方法和装置，系统包括：探测端，以及分析端。探测端用于获取探测报文，并向待识别设备发送探测报文，探测报文的源ip地址为分析端的端ip地址，分析端ip地址用于指示待识别设备向分析端发送与探测报文对应的反馈报文；分析端用于当接收到反馈报文时，将待识别设备判定为违规设备，并根据反馈报文，得到违规设备的违规设备ip地址，违规设备为存在预设网络边界安全违规操作的待识别设备，预设网络安全违规操作包括违规外联行为和跨区互联行为。本技术通过探测端生成探测报文，将探测报文的源ip地址设定为分析端的ip地址，然后把探测报文发送至待识别设备，待识别设备将相应的反馈报文发送至分析端，由于分析端与外网和跨区内网相连，若分析端接收到反馈报文，则判定待识别设备存在违规外联行为和跨区互联行为，为违规设备，同时从分析端的镜像流量中获得反馈报文，从而得到违规设备的ip地址，精准识别出违规外联或跨区互联的具体设备。
附图说明
44.图1为一个实施例中网络违规操作识别系统的应用环境图；
45.图2为一个实施例中网络违规操作识别系统的结构框图；
46.图3为一个实施例中网络违规操作识别方法的流程示意图；
47.图4为另一个实施例中网络违规操作识别方法的流程示意图；
48.图5为一个实施例中探测报文生成方法的流程示意图；
49.图6为一个实施例中反馈报文获取方法的流程示意图；
50.图7为一个实施例中网络违规操作识别装置的结构框图；
51.图8为另一个实施例中网络违规操作识别装置的结构框图；
52.图9为一个实施例中计算机设备的内部结构图。
具体实施方式
53.为了使本技术的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本技术进行进一步详细说明。应当理解，此处描述的具体实施例仅仅用以解释本技术，并不用于限定本技术。
54.需要说明的是，本发明实施例所涉及的术语“第一\第二”仅仅是区别类似的对象，不代表针对对象的特定排序，可以理解地，“第一\第二”在允许的情况下可以互换特定的顺序或先后次序。应该理解“第一\第二”区分的对象在适当情况下可以互换，以使这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。
55.本技术实施例提供的网络违规操作识别系统，可以应用于如图1所示的应用环境中。其中，探测端102通过网络与分析端104进行通信。数据存储系统可以存储服务器104需要处理的数据。数据存储系统可以集成在服务器104上，也可以放在云上或其他网络服务器
上。其中，探测端102用于获取探测报文，并向待识别设备发送探测报文，探测报文的源ip地址为分析端104的端ip地址，分析端104ip地址用于指示待识别设备向分析端104发送与探测报文对应的反馈报文；分析端104用于当接收到反馈报文时，将待识别设备判定为违规设备，并根据反馈报文，得到违规设备的违规设备ip地址，违规设备为存在预设网络边界安全违规操作的待识别设备，预设网络安全违规操作包括违规外联行为和跨区互联行为。其中，探测端102，以及分析端104可以用独立的服务器或者是多个服务器组成的服务器集群来实现。
56.在一个实施例中，如图2所示，提供了一种网络违规操作识别系统，包括探测端201，以及分析端202：
57.探测端201用于获取探测报文，并向待识别设备203发送探测报文，探测报文的源ip地址为分析端104的端ip地址，分析端ip地址用于指示待识别设备向分析端202发送与探测报文对应的反馈报文。
58.其中，探测报文为探测端201向待识别设备203发送的一个tcp探测数据包，待识别设备203为待识别的是否存在违规外联及跨区互联行为的具体设备，探测报文的源ip地址为tcp探测数据包的发送源地址，分析端ip地址用于替换原始探测报文的源ip地址，反馈报文为待识别设备203收到探测报文后生成的syn+ack反馈数据包。
59.具体地，探测端201生成原始探测报文，并把原始探测报文的源ip地址修改为分析端202的ip地址，生成tcp探测报文，之后把探测报文发送到待识别设备203，待识别设备收到探测报文后，需要向探测报文的源ip地址返回一个相应的syn+ack反馈报文，即向分析端202返回一个相应的syn+ack反馈报文。
60.本实施例中，探测端201和待识别设备连接同一个内网，将原始探测报文的源ip地址修改为分析端202的ip地址，使得待识别设备203在收到探测报文后，会给分析端202发送一个反馈报文，能够让分析端202准确的接收到反馈报文。
61.分析端202用于当接收到反馈报文时，将待识别设备203判定为违规设备，并根据反馈报文，得到违规设备的违规设备ip地址，违规设备为存在预设网络边界安全违规操作的待识别设备203，预设网络安全违规操作包括违规外联行为和跨区互联行为。
62.其中，分析端202与外网以及跨区内网相连，违规设备为存在预设网络边界安全违规操作的待识别设备203，预设网络安全违规操作包括违规外联行为和跨区互联行为，违规设备ip地址用于识别具体的违规设备。
63.具体地，待识别设备会向分析端202发送反馈报文，如果待识别设备没有违规外联行为和跨区互联行为，则分析端202不会收到反馈报文，如果待识别设备存203在违规外联行为和跨区互联行为，则分析端202会收到反馈报文，即可判定出待识别设备203为违规设备，再根据反馈报文，得到违规设备的违规设备ip地址，识别出具体的违规设备。
64.本实施例中，分析端202通过接收到反馈报文来判别待识别设备203为违规设备，再根据反馈报文，得到违规设备的违规设备ip地址，能够准确识别出具体的违规设备。
65.上述网络违规操作识别系统，系统包括：探测端，以及分析端。探测端用于获取探测报文，并向待识别设备发送探测报文，探测报文的源ip地址为分析端的端ip地址，分析端ip地址用于指示待识别设备向分析端发送与探测报文对应的反馈报文；分析端用于当接收到反馈报文时，将待识别设备判定为违规设备，并根据反馈报文，得到违规设备的违规设备
ip地址，违规设备为存在预设网络边界安全违规操作的待识别设备，预设网络安全违规操作包括违规外联行为和跨区互联行为。本技术通过探测端生成探测报文，将探测报文的源ip地址设定为分析端的ip地址，然后把探测报文发送至待识别设备，待识别设备将相应的反馈报文发送至分析端，由于分析端与外网和跨区内网相连，若分析端接收到反馈报文，则判定待识别设备存在违规外联行为和跨区互联行为，为违规设备，同时从分析端的镜像流量中获得反馈报文，从而得到违规设备的ip地址，精准识别出违规外联或跨区互联的具体设备。
66.在一个实施例中，探测端201还用于：基于探测报文，得到探测报文的目的ip地址；根据探测报文的目的ip地址，将探测报文发送给待识别设备203。
67.其中，探测报文的目的ip地址为tcp探测报文发送的的目的地ip地址，用于发送探测报文发送给待识别设备203。
68.具体地，探测端201根据探测报文的目的ip地址，将探测报文发送给待识别设备203，其中，探测报文的源ip地址不是探测端201的ip地址，而是分析端104的ip地址。
69.本实施例中，探测端201根据探测报文的目的ip地址，能够将探测报文准确定向地发送给待识别设备203。
70.在一个实施例中，探测端201还用于：获取探测端201的探测端ip地址，并基于探测端ip地址作为原始探测报文的源ip地址，得到原始探测报文；将原始探测报文的源ip地址修改为分析端ip地址，得到探测报文。
71.其中，探测端ip地址为探测端201的ip地址，是原始探测报文的源ip地址。
72.具体地，探测端201获取探测端201的探测端ip地址，并基于探测端ip地址作为原始探测报文的源ip地址，得到原始探测报文，将原始探测报文的源ip地址修改为分析端ip地址，得到探测报文。
73.本实施例中，探测端201将原始探测报文的源ip地址修改为分析端ip地址得到探测报文，使得探测报文相对应的反馈报文能够准确的发送到分析端202。
74.在一个实施例中，分析端202还用于：获取分析端202的镜像流量；过滤镜像流量，得到镜像流量的过滤后的镜像流量；从过滤后的镜像流量中，得到反馈报文。
75.其中，分析端202的镜像流量是通过镜像分析端202端口的流量得到的，过滤后的镜像流量是指，镜像流量进行基于五元组(源ip、源端口、目的ip、目的端口、网络协议)的过滤，以便过滤掉不关注的流量。
76.具体地，由于分析端202并没有向待识别设备发送过探测报文，所以即使接收到了反馈报文，分析端202不会进行保存，从而无法获取反馈报文，所以通过镜像分析端202端口的流量得到分析端202的镜像流量，获取分析端202的镜像流量；再基于五元组(源ip、源端口、目的ip、目的端口、网络协议)过滤镜像流量，得到镜像流量的过滤后的镜像流量；从过滤后的镜像流量中，得到反馈报文。
77.本实施例中，分析端202通过镜像分析端202端口的流量得到分析端202的镜像流量，获取分析端202的镜像流量，再基于五元组(源ip、源端口、目的ip、目的端口、网络协议)过滤镜像流量，能够过滤掉不关注的流量，得到镜像流量的过滤后的镜像流量，从过滤后的镜像流量中，能够准确地得到反馈报文。
78.在一个实施例中，探测端201还用于：对探测报文进行标记，得到探测报文的第一
标记特征；第一标记特征用于待识别设备向分析端202发送携带有第二标记特征的反馈报文；第二标记特征与第一标记特征相匹配；分析端202还用于：根据第二标记特征，通过报文捕获工具，从过滤后的镜像流量中，得到反馈报文。
79.其中，第一标记特征为探测报文的标记特征，第二标记特征为反馈报文的标记特征，第一标记特征和第二标记特征相互匹配；报文捕获工具用于通过第二标记特征捕获过滤后的镜像流量中的反馈报文。
80.具体地，探测端201对探测报文进行标记，得到探测报文的第一标记特征，待识别设备203收到探测报文后，基于第一标记特征生成反馈报文的第二标记特征，分析端202的报文捕获工具通过第二标记特征捕获过滤后的镜像流量中的反馈报文。
81.本实施例中，探测端201对探测报文进行标记，使得反馈报文有可被识别的第二标记特征，分析端202的报文捕获工具通过第二标记特征，能够准确地捕获过滤后的镜像流量中的反馈报文。
82.在一个实施例中，分析端202还用于：从预设的警告分级列表中，获取与所述分析端ip地址匹配的警告等级；分析端与外网网络，以及跨区内网网络连接；基于警告等级、分析端ip地址，以及违规设备ip地址，得到违规设备的警告记录。
83.其中，预设的警告分级列表用于对违规设备的违规外联和跨区互联行为，根据严重程度进行警告分级，依据的是不同警告等级的分析端ip地址，即不同警告等级的违规外联和跨区互联行为；外网网络会触发违规外联行为，跨区内网是指内网其他的区域，会触发跨区互联行为。
84.具体地，由于与不同网络连接触发的违规外联和跨区互联行为的严重程度不一样，所以分析端202从预设的警告分级列表中，获取与分析端ip地址匹配的警告等级，基于警告等级、分析端ip地址，以及违规设备ip地址，得到违规设备的警告记录。
85.本实施例中，分析端202从预设的警告分级列表中，获取与分析端ip地址匹配的警告等级，基于所述警告等级、分析端ip地址，以及违规设备ip地址，得到更加详细的违规设备的警告记录。
86.基于同样的发明构思，本技术实施例还提供了一种对应于上述所涉及的网络违规操作识别系统的网络违规操作识别方法。该方法所提供的解决问题的实现方案与上述系统中所记载的实现方案相似，故下面所提供的一个或多个网络违规操作识别方法实施例中的具体限定可以参见上文中对于网络违规操作识别系统的限定，在此不再赘述。
87.在一个实施例中，如图3所示，提供了一种网络违规操作识别方法，包括以下步骤：
88.步骤s310，获取探测报文；探测报文的源ip地址为分析端202的分析端ip地址。
89.步骤s320，向待识别设备发送探测报文；分析端ip地址，用于指示待识别设备向分析端202发送与探测报文对应的反馈报文；反馈报文，用于当分析端202接收到反馈报文时，将待识别设备判定为违规设备203，并根据反馈报文，得到违规设备的违规设备ip地址；违规设备为存在预设网络边界安全违规操作的待识别设备；预设网络安全违规操作包括违规外联行为和跨区互联行为。
90.本实施例通过探测端201把探测报文的源ip地址设定为分析端202的ip地址，之后把探测报文发送到待识别设备203，待识别设备203收到探测报文后，向分析端202返回一个相应的反馈报文；当分析端接收到反馈报文时，将待识别设备判定为违规设备，并根据反馈
报文，得到违规设备的违规设备ip地址，能够识别出违规外联或跨区互联的具体设备。
91.上述网络违规操作识别方法，通过获取探测报文；探测报文的源ip地址为分析端202的分析端ip地址。向待识别设备发送探测报文；分析端ip地址，用于指示待识别设备向分析端202发送与探测报文对应的反馈报文；反馈报文，用于当分析端202接收到反馈报文时，将待识别设备判定为违规设备203，并根据反馈报文，得到违规设备的违规设备ip地址；违规设备为存在预设网络边界安全违规操作的待识别设备；预设网络安全违规操作包括违规外联行为和跨区互联行为，能够识别出违规外联或跨区互联的具体设备。
92.在一个实施例中，所述方法还包括：基于探测报文，得到探测报文的目的ip地址；根据探测报文的目的ip地址，将探测报文发送给待识别设备。
93.在一个实施例中，如图4所示，提供了一种网络违规操作识别方法，包括以下步骤：
94.步骤s410，当接收到反馈报文时，将待识别设备判定为违规设备；违规设备为存在预设网络边界安全违规操作的待识别设备；预设网络安全违规操作包括违规外联行为和跨区互联行为；反馈报文与待识别设备从探测端102接收到的探测报文相对应，并由待识别设备发送至分析端104；探测报文的源ip地址为分析端104的分析端ip地址；分析端ip地址用于指示待识别设备发送反馈报文。
95.步骤s420，根据所述反馈报文，得到所述违规设备的违规设备ip地址。
96.本实施例通过当分析端接收到反馈报文时，将待识别设备判定为违规设备，在这之前，探测端201把探测报文的源ip地址设定为分析端202的ip地址，之后把探测报文发送到待识别设备203，待识别设备收到探测报文后，向分析端202返回一个相应的反馈报文；并根据反馈报文，得到违规设备的违规设备ip地址，能够识别出违规外联或跨区互联的具体设备。
97.上述网络违规操作识别方法，通过当接收到反馈报文时，将待识别设备判定为违规设备；违规设备为存在预设网络边界安全违规操作的待识别设备；预设网络安全违规操作包括违规外联行为和跨区互联行为；反馈报文与待识别设备从探测端102接收到的探测报文相对应，并由待识别设备发送至分析端104；探测报文的源ip地址为分析端104的分析端ip地址；分析端ip地址用于指示待识别设备发送反馈报文。根据所述反馈报文，得到所述违规设备的违规设备ip地址，能够识别出违规外联或跨区互联的具体设备。
98.在一个实施例中，如图5所示，所述方法还包括：
99.步骤s510：获取探测端201的探测端ip地址，并基于探测端ip地址作为原始探测报文的源ip地址，得到原始探测报文。
100.步骤s520：将原始探测报文的源ip地址修改为分析端ip地址，得到探测报文。
101.在一个实施例中，如图6所示，所述方法还包括：
102.步骤s610：获取分析端202的镜像流量。
103.步骤s620：过滤镜像流量，得到镜像流量的过滤后的镜像流量；从过滤后的镜像流量中，得到反馈报文。
104.在一个实施例中，所述方法还包括：对探测报文进行标记，得到探测报文的第一标记特征；第一标记特征用于待识别设备向分析端202发送携带有第二标记特征的反馈报文；第二标记特征与第一标记特征相匹配；分析端202还用于：根据第二标记特征，通过报文捕获工具，从过滤后的镜像流量中，得到反馈报文。
105.在一个实施例中，所述方法还包括：从预设的警告分级列表中，获取与所述分析端ip地址匹配的警告等级；分析端与外网网络，以及跨区内网网络连接；基于警告等级、分析端ip地址，以及违规设备ip地址，得到违规设备的警告记录。
106.在一个实施例中，目前常见的违规外联或跨区互联探测发现手段，除了采用在终端上安装应用程序以监测宿主机是否存在违规外联或跨区互联行为外，还可通过网络扫描和网络镜像流量分析等方式监测发现违规外联或跨区互联行为。
107.网络扫描技术由于只能监测宿主机是否违规外联或跨区互联，因此但凡存在外联或跨区互联行为，即可确认是宿主机产生的外联或互联行为，进而可以快速定位责任人；而网络镜像流量技术对外联或跨区互联行为的产生者无法预知，且往往只能获取到有限的外联或跨区互联设备信息，因此为后续的违规行为核查取证和追责带来了困难。更难以生成评估违规风险，记录审计并管理告警。
108.本发明的目的在于克服上述现有技术的不足，提出一种网络违规外联与跨区互联的分析识别方法。为实现上述目的，本发明提出了一种网络违规外联或跨区互联探测的分析识别方法，具体包括如下步骤：
109.s1、主动探测模块通过主动探测及主动欺骗探测功能对终端侧设备的违规外联或跨区互联进行探测，发现违规外联或跨区互联探测，则生成主动探测报文，向探测分析服务模块发送报文。
110.主动探测支持指定ip范围网络端口开放情况扫描，至少支持tcp、udp协议；支持通过web界面对网络端口扫描结果进行展示；支持通过web界面配置主动探测报文属性，例如：源ip、源端口、目的ip、目的端口、报文数量等；
111.支持通过指定网卡发送主动探测tcp报文，一般为syn报文，根据镜像流量中捕获的syn+ack报文判断外联风险。
112.ip欺骗反弹探测为，将tcp-syn数据包内的源地址ip伪造为探测分析主机地址，目的地址ip设定为探测目标主机地址，发送此tcp-syn探测数据包。根据tcp连接机制，通过探测分析主机，是否检测到tcp-syn-ack“反弹”数据包，判断探测主机侧及网络侧发生违规外联的风险。
113.s2、探测分析服务模块接收到主动探测报文，对监测发现的所有违规外联数据或跨区互联探测数据分类汇总分析，同时探测分析服务模块对流经交换机镜像流量进行违规外联或跨区互联探测数据分析。
114.探测基础信息，包括分析端服务地址(ip/port)、厂区基础信息(ip)、探测报文属性等。
115.对数据报文进行过滤筛选(网络五元组)，根据探测报文基础信息列表，分析识别主动探测报文，标注评估违规级别，根据违规外联及跨区互联配置，对违规事件进行相应的告警处理。上报告警信息包括违规外联主机名称、主机地址、外联目标地址等信息。
116.镜像流量分析支持实时接收并分析交换机或路由器导出的镜像流量；支持对接收到的流量进行基于五元组(源ip、源端口、目标ip、目标端口、网络协议)的过滤，以便过滤掉不关注的流量；支持对特定ip或端口流量进行捕获，以探测主动探测引发的非法外联报文；在探测到非法外联网络报文时，支持在服务端web界面明确显示。
117.s3、根据厂区配置信息分析并识别外联或跨区互联探测报文，评估违规风险，记录
审计并管理告警。
118.s4、审计和违规告警模块，对审计日志的分类处理和存储，对违规告警信息的处置和管理。
119.终端管控模块将终端告警及审计日志，利用审计和违规告警模块，分析归类存储至运行日志库及告警审计库。审计和违规告警模块，根据配置策略及告警级别，对违规信息，进行管理告警处理。
120.外设违规接入监测利用网络及应用管控内核模块，监测外设接入，匹配合法外设列表(u盘)，对违规外设接入进行阻断，并通过审计和违规告警模块，上报设备接入审计信息。
121.设备准入认证系统调用802.1x认证模块，向网络准入设备进行登陆认证，遵循802.1x协议，完成网络准入认证。认证登陆过程及结果信息，均通过审计和违规告警模块，上报服务端进行审计处理。
122.s5、资产应用清点模块查询终端统计上报信息，以服务类型为分类标准，对应用进行归类统计并提供可视化统计报表。
123.主要功能为查询终端统计上报信息，以服务类型为分类标准，对应用进行归类统计并提供可视化统计报表。可视化展示资产上安装的各种应用，包括im软件、mail客户端、office应用、wps应用、数据库、浏览器应用等。统计展示资产应用安装情况分析、行为活跃度、网络活跃度等。统计展示单个资产的应用日均启动次数，应用日均网络访问次数。
124.应该理解的是，虽然如上所述的各实施例所涉及的流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，这些步骤可以以其它的顺序执行。而且，如上所述的各实施例所涉及的流程图中的至少一部分步骤可以包括多个步骤或者多个阶段，这些步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，这些步骤或者阶段的执行顺序也不必然是依次进行，而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
125.基于同样的发明构思，本技术实施例还提供了一种用于实现上述所涉及的网络违规操作识别系统的网络违规操作识别装置。该装置所提供的解决问题的实现方案与上述系统中所记载的实现方案相似，故下面所提供的一个或多个网络违规操作识别装置实施例中的具体限定可以参见上文中对于网络违规操作识别系统的限定，在此不再赘述。
126.在一个实施例中，如图7所示，提供了一种网络违规操作识别装置，包括：探测报文获取模块701，以及探测报文发送模块702，其中：
127.探测报文获取模块701，用于获取探测报文；探测报文的源ip地址为分析端的分析端ip地址；
128.探测报文发送模块702，用于向待识别设备发送探测报文；分析端ip地址用于指示待识别设备向分析端202发送与探测报文对应的反馈报文；反馈报文，用于当分析端202接收到反馈报文时，将待识别设备判定为违规设备，并根据反馈报文，得到违规设备的违规设备ip地址；违规设备为存在预设网络边界安全违规操作的待识别设备；预设网络安全违规操作包括违规外联行为和跨区互联行为。
129.在其中一个实施例中，探测报文发送模块702，进一步用于基于探测报文，得到探
测报文的目的ip地址；根据探测报文的目的ip地址，将探测报文发送给待识别设备。
130.在其中一个实施例中，探测报文获取模块701，获取探测端201的探测端ip地址，并基于探测端ip地址作为原始探测报文的源ip地址，得到原始探测报文；将原始探测报文的源ip地址修改为分析端ip地址，得到探测报文。
131.在一个实施例中，如图8所示，提供了一种网络违规操作识别装置，包括：待识别设备判定模块801，以及违规设备ip地址获取模块802，其中：
132.待识别设备判定模块801，用于当接收到反馈报文时，将待识别设备判定为违规设备；违规设备为存在预设网络边界安全违规操作的待识别设备203；预设网络安全违规操作包括违规外联行为和跨区互联行为；待识别设备，用于接收探测端201发送的探测报文；探测报文的源ip地址为分析端202的分析端ip地址；分析端ip地址用于指示待识别设备向分析端104发送与探测报文对应的反馈报文。
133.违规设备ip地址获取模块802，用于根据反馈报文，得到所述违规设备的违规设备ip地址。
134.在其中一个实施例中，违规设备ip地址获取模块802，进一步用获取分析端202的镜像流量；过滤镜像流量，得到镜像流量的过滤后的镜像流量；从过滤后的镜像流量中，得到反馈报文。
135.在其中一个实施例中，违规设备ip地址获取模块802，进一步用根据第二标记特征，通过报文捕获工具，从过滤后的镜像流量中，得到反馈报文。
136.在其中一个实施例中，违规设备ip地址获取模块802，进一步用从预设的警告分级列表中，获取与所述分析端ip地址匹配的警告等级；分析端与外网网络，以及跨区内网网络连接；基于警告等级、分析端ip地址，以及违规设备ip地址，得到违规设备的警告记录。
137.上述网络违规操作识别装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中，也可以以软件形式存储于计算机设备中的存储器中，以便于处理器调用执行以上各个模块对应的操作。
138.在一个实施例中，提供了一种计算机设备，该计算机设备可以是服务器，其内部结构图可以如图9所示。该计算机设备包括通过系统总线连接的处理器、存储器和网络接口。其中，该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质和内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储网络违规操作识别数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种网络违规操作识别方法。
139.本领域技术人员可以理解，图9中示出的结构，仅仅是与本技术方案相关的部分结构的框图，并不构成对本技术方案所应用于其上的计算机设备的限定，具体的计算机设备可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。
140.在一个实施例中，还提供了一种计算机设备，包括存储器和处理器，存储器中存储有计算机程序，该处理器执行计算机程序时实现上述各方法实施例中的步骤。
141.在一个实施例中，提供了一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现上述各方法实施例中的步骤。
142.在一个实施例中，提供了一种计算机程序产品，包括计算机程序，该计算机程序被处理器执行时实现上述各方法实施例中的步骤。
143.需要说明的是，本技术所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于分析的数据、存储的数据、展示的数据等)，均为经用户授权或者经过各方充分授权的信息和数据。
144.本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一非易失性计算机可读取存储介质中，该计算机程序在执行时，可包括如上述各方法的实施例的流程。其中，本技术所提供的各实施例中所使用的对存储器、数据库或其它介质的任何引用，均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(read-only memory，rom)、磁带、软盘、闪存、光存储器、高密度嵌入式非易失性存储器、阻变存储器(reram)、磁变存储器(magnetoresistive random access memory，mram)、铁电存储器(ferroelectric random access memory，fram)、相变存储器(phase change memory，pcm)、石墨烯存储器等。易失性存储器可包括随机存取存储器(random access memory，ram)或外部高速缓冲存储器等。作为说明而非局限，ram可以是多种形式，比如静态随机存取存储器(static random access memory，sram)或动态随机存取存储器(dynamic random access memory，dram)等。本技术所提供的各实施例中所涉及的数据库可包括关系型数据库和非关系型数据库中至少一种。非关系型数据库可包括基于区块链的分布式数据库等，不限于此。本技术所提供的各实施例中所涉及的处理器可为通用处理器、中央处理器、图形处理器、数字信号处理器、可编程逻辑器、基于量子计算的数据处理逻辑器等，不限于此。
145.以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。
146.以上所述实施例仅表达了本技术的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对本技术专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本技术构思的前提下，还可以做出若干变形和改进，这些都属于本技术的保护范围。因此，本技术的保护范围应以所附权利要求为准。