网络内网入侵的检测方法及装置制造方法
【专利摘要】本发明公开了一种网络内网入侵的检测方法,该方法包括步骤:实时或者定时记录内网设备间的访问特征,及外网设备访问内网设备的访问特征;每隔一个预设时间,提取一次所述预设时间内记录的访问特征,并根据提取的访问特征,生成对应的合法内网访问参数;在有内网设备间的,或外网设备访问内网设备的访问请求不满足生成的合法内网访问参数时,确定所述访问请求为非法请求并拒绝响应该内网访问请求。本发明还公开了一种网络内网入侵的检测装置,实现准确、有效的对网络内网入侵进行检测,提高网络内网入侵防范的准确率,进而有效避免网络内网入侵。
【专利说明】网络内网入侵的检测方法及装置
【技术领域】
[0001]本发明涉及网络入侵领域,尤其涉及网络内网入侵的检测方法及装置。
【背景技术】
[0002]随着互联网的快速发展,互联网已经成为人们生活、工作中必不可少的一部分。人们常用的访问互联网的方式是终端(例如,手机、电脑或Ipad等)与Web服务器连接,实现用户在终端侧访问互联网。在大型企业中,各个终端及/或服务器通过Web服务器与互联网服务器建立的TCP协议访问互联网,各个终端与服务器之间组成内网,即,内网中的服务器与各个终端作为内网中的设备。在这种访问互联网的方式下,内网之外的其他终端或者服务器可以通过攻击获取到Web服务器的权限,然后以该Web服务器为桥梁,入侵内网中任何终端、服务器,或者,内网之外的其他终端、服务器通过弱密码、暴力破解或ARP欺骗等方式入侵内网的终端、服务器。
[0003]现在技术解决内网入侵的方式是在内网中部署防火墙或者杀毒软件,防止内网之外的终端、服务器入侵处于内网的终端、服务器。然而,上述解决内网入侵的方式存在如下缺陷:
[0004]1、防火墙部署在网络边界,对未规划好的内网访问无法制定详细的访问控制规贝U,且部署的防火墙无法对弱密码、暴力破解或ARP欺骗进行有效的检测和防护;
[0005]2、部署的杀毒软件无法解决基于端口和应用漏洞的入侵问题,且已有的“免杀”技术能够有效的绕过杀毒软件的查杀,达到入侵内网终端、服务器的目的。
[0006]上述内容仅用于辅助理解本发明的技术方案,并不代表承认上述内容是现有技术。
【发明内容】
[0007]本发明的主要目的为提供网络内网入侵的检测方法及装置,旨在实现准确、有效的对网络内网入侵进行检测,提高网络内网入侵防范的准确率,进而有效避免网络内网入侵。
[0008]为实现上述目的,本发明提供一种网络内网入侵的检测方法,该方法包括步骤:
[0009]实时或者定时记录内网设备间的访问特征,及外网设备访问内网设备的访问特征;
[0010]每隔一个预设时间,提取一次所述预设时间内记录的访问特征,并根据提取的访问特征,生成对应的合法内网访问参数;
[0011]在有内网设备间的,或外网设备访问内网设备的访问请求不满足生成的合法内网访问参数时,确定所述访问请求为非法请求并拒绝响应该内网访问请求。
[0012]优选地,所述在有内网设备间的,或外网设备访问内网设备的访问请求不满足生成的合法内网访问参数时,确定所述访问请求为非法请求并拒绝响应该内网访问请求的步骤还包括:[0013]获取该内网访问请求的相关信息并保存。
[0014]优选地,该方法还包括:
[0015]获取所有保存的,确定为非法请求的相关信息,生成网络非法请求报表。
[0016]优选地,该方法还包括:
[0017]当接收到用户发出的合法内网访问参数的设置指令时,保存所述参数设置指令对应的合法内网访问参数。
[0018]优选地,该方法还包括:
[0019]当接收到用户发出的合法内网访问参数的修改指令时,根据接收到的修改指令对对应的合法内网访问参数进行修改。
[0020]本发明进一步提供一种网络内网入侵的检测装置,该装置包括:
[0021 ] 记录模块,用于实时或者定时记录内网设备间的访问特征,及外网设备访问内网设备的访问特征;
[0022]生成模块,用于每隔一个预设时间,提取一次所述预设时间内记录的访问特征,并根据提取的访问特征,生成对应的合法内网访问参数;
[0023]响应模块,用于在有内网设备间的,或外网设备访问内网设备的访问请求不满足生成的合法内网访问参数时,确定所述访问请求为非法请求并拒绝响应该内网访问请求。
[0024]优选地,该装置还包括:
[0025]存储模块,用于获取该内网访问请求的相关信息并保存。
[0026]优选地,所述生成模块,还用于获取所有保存的,确定为非法请求的相关信息,生成网络非法请求报表。
[0027]优选地,该装置还包括处理模块,所述处理模块,用于当接收到用户发出的合法内网访问参数的设置指令时,保存所述参数设置指令对应的合法内网访问参数。
[0028]优选地,所述处理模块,还用于当接收到用户发出的合法内网访问参数的修改指令时,根据接收到的修改指令对对应的合法内网访问参数进行修改。
[0029]相对现有技术,本发明实时或者定时记录内网设备间的访问特征,及外网设备访问内网设备的访问特征;每隔一个预设时间,提取一次所述预设时间内记录的访问特征,并根据提取的访问特征,生成对应的合法内网访问参数;在有内网设备间的,或外网设备访问内网设备的访问请求不满足生成的合法内网访问参数时,确定所述访问请求为非法请求并拒绝响应该内网访问请求。根据网络环境处于正常运行状态下的内网设备间的访问特征,及外网设备访问内网设备的访问特征,分析接收到的内网设备间的,或外网设备访问内网设备的访问请求是否为非法访问,以对各个访问请求进行检测,实现准确、有效的对网络内网入侵进行检测,提高网络内网入侵防范的准确率,进而有效避免网络内网入侵。
【专利附图】
【附图说明】
[0030]图1为本发明网络内网入侵的检测方法第一实施例的流程示意图;
[0031]图2为一网络环境实施例的示意图;
[0032]图3为本发明网络内网入侵的检测方法第二实施例的流程示意图;
[0033]图4为本发明网络内网入侵的检测方法第三实施例的流程示意图;
[0034]图5为本发明网络内网入侵的检测装置第一实施例的功能模块示意图;[0035]图6为本发明网络内网入侵的检测装置第二实施例的功能模块示意图。
[0036]本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
【具体实施方式】
[0037]应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
[0038]如图1所示,为本发明网络内网入侵的检测方法第一实施例的流程示意图。
[0039]需要强调的是:图1所示流程图仅为一个较佳实施例,本领域的技术人员当知,任何围绕本发明思想构建的实施例都不应脱离于如下技术方案涵盖的范围:
[0040]实时或者定时记录内网设备间的访问特征,及外网设备访问内网设备的访问特征;每隔一个预设时间,提取一次所述预设时间内记录的访问特征,并根据提取的访问特征,生成对应的合法内网访问参数;在有内网设备间的,或外网设备访问内网设备的访问请求不满足生成的合法内网访问参数时,确定所述访问请求为非法请求并拒绝响应该内网访问请求。
[0041]以下是本实施例逐步实现检测网络内网入侵的具体步骤:
[0042]步骤S11,实时或者定时记录内网设备间的访问特征,及外网设备访问内网设备的访问特征;
[0043]步骤S12,每隔一个预设时间,提取一次所述预设时间内记录的访问特征,并根据提取的访问特征,生成对应的合法内网访问参数。
[0044]在本实施例中,参考图2,为一网络环境实施例的示意图。网络中部署有交换机、安全网关、Web服务器、销售管理系统、邮件服务器等,PCl (客户端I)和PC2 (客户端2)通过安全网关与交换机相连接,执行本发明网络内网入侵的检测方法的主体优选为安全网关。网络中部署的交换机、邮件服务器或销售系统即为内网中的设备。
[0045]所述安全网关实时或者定时记录内网设备间的访问特征,及外网设备访问内网设备的访问特征。所述内网设备间的访问可以是终端与服务器之间的访问,也可以是服务器与服务器之间的访问。所述预设时间可以是10天或I个月等,优选为7天;所述内网设备间的访问特征包括但不限于网络正常运行状态下内网设备间的访问数据二到七层的网络特征,例如,ARP表、访问时间、源IP应用类型、源IP连接数、源IP连接失败数、连接时长或目的端地理位置等;所述外网设备访问内网设备的访问特征包括但不限于网络正常运行状态下外网设备访问内网设备的访问数据二到七层的网络特征,例如,ARP表、访问时间、源IP应用类型、源IP连接数、源IP连接失败数、连接时长或目的端地理位置等。
[0046]所述安全网关每隔一个预设时间,提取一次所述预设时间内记录的访问特征,并根据提取的访问特征,生成对应的合法内网访问参数。所述合法内网访问参数可以是允许PCl通过Http协议访问销售管理系统的端口、允许PCl通过Http协议访问销售系统端口的最大并发连接数是1、允许PC2通过远程桌面协议访问邮件服务器的端口或允许PC2通过远程桌面协议访问邮件服务器端口的最大并发连接数是2等访问参数。
[0047]步骤S13,在有内网设备间的,或外网设备访问内网设备的访问请求不满足生成的合法内网访问参数时,确定所述访问请求为非法请求并拒绝响应该内网访问请求。
[0048]在本实施例中,在有内网设备间的,或外网设备访问内网设备的访问请求不满足生成的合法内网访问参数时,所述安全网关确定所述访问请求为非法请求并拒绝响应该内网访问请求。内网设备间的,或外网设备访问内网设备的访问请求不满足生成的合法内网访问参数的情况,即为内网设备间的,或外网设备访问内网设备的访问请求的访问参数与所述合法内网访问参数不一致,例如,所述合法内网访问参数以允许PCl通过Http协议访问销售管理系统的端口为例,不满足生成的合法内网访问参数的情况为访问者以Web服务器为跳板登陆销售系统,所述合法内网访问参数以允许PC2通过远程桌面协议访问邮件服务器的端口为例,不满足生成的合法内网访问参数的情况为访问者以PC2为跳板暴力破解销售管理系统远程桌面账号。即,所述安全网关在该内网访问请求与生成的合法内网访问参数不一致时,确定所述内网访问请求不满足生成的合法内网访问参数时,确定所述访问请求为非法请求并拒绝响应该内网访问请求。
[0049]在拒绝响应该内网访问请求时,所述安全网关获取该内网访问请求的相关信息并保存,所述内网访问请求的相关信息包括但不限于所述内网访问请求的连接方式、源IP、源IP应用类型。
[0050]在本实施例实时或者定时记录内网设备间的访问特征,及外网设备访问内网设备的访问特征;每隔一个预设时间,提取一次所述预设时间内记录的访问特征,并根据提取的访问特征,生成对应的合法内网访问参数;在有内网设备间的,或外网设备访问内网设备的访问请求不满足生成的合法内网访问参数时,确定所述访问请求为非法请求并拒绝响应该内网访问请求。根据网络环境处于正常运行状态下的内网设备间的访问特征,及外网设备访问内网设备的访问特征,分析接收到的内网设备间的,或外网设备访问内网设备的访问请求是否为非法访问,以对各个访问请求进行检测,实现准确、有效的对网络内网入侵进行检测,提高网络内网入侵防范的准确率,进而有效避免网络内网入侵。
[0051]如图3所示,为本发明网络内网入侵的检测方法第二实施例的流程示意图。
[0052]基于上述第一实施例,该方法还包括:
[0053]步骤S14,当接收到用户发出的合法内网访问参数的修改指令时,根据接收到的修改指令对对应的合法内网访问参数进行修改。
[0054]在本实施例中,安全网关接收用户发出的合法内网访问参数的设置指令,并当接收到用户发出的合法内网访问参数的设置指令时,保存所述参数设置指令对应的合法内网访问参数,以对自动或者手动生成的合法内网访问参数进行修改,以达到用户的预期拦截效果。在本发明其他实施例中,也还可以是安全网关当接收到用户发出的合法内网访问参数的设置指令时,保存所述参数设置指令对应的合法内网访问参数。所述步骤S14可以在步骤S13之后,也可以在步骤S13之前,同样也可以在步骤S12或Sll之前,也可以在步骤S12或Sll之后。
[0055]在本实施例对自动或者手动生成的合法内网访问参数进行修改,以将各个生成的合法内网访问参数设置成与用户预期一致,实现更加准确、有效的对网络内网入侵进行检测,提高网络内网入侵防范的准确率,进而有效避免网络内网入侵。
[0056]如图4所示,为本发明网络内网入侵的检测方法第三实施例的流程示意图。
[0057]基于上述第一和第二实施例,该方法还包括:
[0058]步骤S15,获取所有保存的,确定为非法请求的相关信息,生成网络非法请求报表。
[0059]在本实施例中,安全网关在预设时间到达时,获取所有保存的,确定为非法请求的相关信息,生成网络非法请求报表。用户根据生成的网络非法请求报表,分析出哪种或者哪几种网络非法请求发生最频繁,且获取到发起网络非法请求的源IP、源IP应用类型等信息,进而生成有效、准确的合法内网访问参数。所述预设时间可以是I天或者I个月等时间间隔。在本发明其他实施例中,所述安全网关将所有内网设备间的,或外网设备访问内网设备的访问请求的相关信息进行保存,并确定为网络非法访问的相关信息与网络合法访问的相关进行分别设置不同的标识,例如,网络非法访问的相关信息设置“O”的标识,网络合法访问的相关信息设置“I”的标识。所述步骤S15可以在步骤S13之后,也可以在步骤S13之前,同样也可以在步骤Sll、S12或步骤S14之前,也可以在步骤Sll、S12或步骤S14之后。将获取的不同标识的相关信息生成对应的网络访问报表,用户可以根据生成的网络访问报表,产生更加合理的合法内网访问参数,进而通过手动设置合法内网访问参数,将自动或者之前手动生成的不合理的合法内网访问参数进行修改,或者添加新的合理的合法内网访问参数,实现更加准确、有效的将网络非法请求拦截下来,进而有效避免网络内网入侵。
[0060]如图5所示,为本发明网络内网入侵的检测装置第一实施例的功能模块示意图。该装置包括:记录模块10、生成模块20及响应模块30。
[0061]所述记录模块10,用于实时或者定时记录内网设备间的访问特征,及外网设备访问内网设备的访问特征;
[0062]所述生成模块20,用于每隔一个预设时间,提取一次所述预设时间内记录的访问特征,并根据提取的访问特征,生成对应的合法内网访问参数。
[0063]在本实施例中,参考图2,为一网络环境实施例的示意图。网络中部署有交换机、安全网关、Web服务器、销售管理系统、邮件服务器等,PCl (客户端I)和PC2 (客户端2)通过安全网关与交换机相连接。所述网络内网入侵的检测装置优选为安全网关。网络中部署的交换机、邮件服务器或销售系统即为内网中的设备。
[0064]所述安全网关实时或者定时记录内网设备间的访问特征,及外网设备访问内网设备的访问特征。所述内网设备间的访问可以是终端与服务器之间的访问,也可以是服务器与服务器之间的访问。所述预设时间可以是10天或I个月等,优选为7天;所述内网设备间的访问特征包括但不限于网络正常运行状态下内网设备间的访问数据二到七层的网络特征,例如,ARP表、访问时间、源IP应用类型、源IP连接数、源IP连接失败数、连接时长或目的端地理位置等;所述外网设备访问内网设备的访问特征包括但不限于网络正常运行状态下外网设备访问内网设备的访问数据二到七层的网络特征,例如,ARP表、访问时间、源IP应用类型、源IP连接数、源IP连接失败数、连接时长或目的端地理位置等。
[0065]所述安全网关每隔一个预设时间,提取一次所述预设时间内记录的访问特征,并根据提取的访问特征,生成对应的合法内网访问参数。所述合法内网访问参数可以是允许PCl通过Http协议访问销售管理系统的端口、允许PCl通过Http协议访问销售系统端口的最大并发连接数是1、允许PC2通过远程桌面协议访问邮件服务器的端口或允许PC2通过远程桌面协议访问邮件服务器端口的最大并发连接数是2等访问参数。
[0066]所述响应模块30,用于在有内网设备间的,或外网设备访问内网设备的访问请求不满足生成的合法内网访问参数时,确定所述访问请求为非法请求并拒绝响应该内网访问请求。
[0067]在本实施例中,在有内网设备间的,或外网设备访问内网设备的访问请求不满足生成的合法内网访问参数时,所述安全网关确定所述访问请求为非法请求并拒绝响应该内网访问请求。内网设备间的,或外网设备访问内网设备的访问请求不满足生成的合法内网访问参数的情况,即为内网设备间的,或外网设备访问内网设备的访问请求的访问参数与所述合法内网访问参数不一致,例如,所述合法内网访问参数以允许PCl通过Http协议访问销售管理系统的端口为例,不满足生成的合法内网访问参数的情况为访问者以Web服务器为跳板登陆销售系统,所述合法内网访问参数以允许PC2通过远程桌面协议访问邮件服务器的端口为例,不满足生成的合法内网访问参数的情况为访问者以PC2为跳板暴力破解销售管理系统远程桌面账号。即,所述安全网关在该内网访问请求与生成的合法内网访问参数不一致时,确定所述内网访问请求不满足生成的合法内网访问参数时,确定所述访问请求为非法请求并拒绝响应该内网访问请求。
[0068]在本实施例实时或者定时记录内网设备间的访问特征,及外网设备访问内网设备的访问特征;每隔一个预设时间,提取一次所述预设时间内记录的访问特征,并根据提取的访问特征,生成对应的合法内网访问参数;在有内网设备间的,或外网设备访问内网设备的访问请求不满足生成的合法内网访问参数时,确定所述访问请求为非法请求并拒绝响应该内网访问请求。根据网络环境处于正常运行状态下的内网设备间的访问特征,及外网设备访问内网设备的访问特征,分析接收到的内网设备间的,或外网设备访问内网设备的访问请求是否为非法访问,以对各个访问请求进行检测,实现准确、有效的对网络内网入侵进行检测,提高网络内网入侵防范的准确率,进而有效避免网络内网入侵。
[0069]如图6所示,为本发明网络内网入侵的检测装置第二实施例的功能模块示意图。该装置还包括:存储模块40及处理模块50,
[0070]所述存储模块40,用于在拒绝响应该内网访问请求时,获取该内网访问请求的相关信息并保存,所述内网访问请求的相关信息包括但不限于所述内网访问请求的连接方式、源IP、源IP应用类型。
[0071]所述处理模块50,用于当接收到用户发出的合法内网访问参数的修改指令时,根据接收到的修改指令对对应的合法内网访问参数进行修改。
[0072]在本实施例中,安全网关接收用户发出的合法内网访问参数的设置指令,并当接收到用户发出的合法内网访问参数的设置指令时,保存所述参数设置指令对应的合法内网访问参数,以对自动或者手动生成的合法内网访问参数进行修改,以达到用户的预期拦截效果。在本发明其他实施例中,也还可以是安全网关当接收到用户发出的合法内网访问参数的设置指令时,保存所述参数设置指令对应的合法内网访问参数。
[0073]在本实施例对自动或者手动生成的合法内网访问参数进行修改,以将各个生成的合法内网访问参数设置成与用户预期一致,实现更加准确、有效的对网络内网入侵进行检测,提高网络内网入侵防范的准确率,进而有效避免网络内网入侵。
[0074]进一步地,所述生成模块20,还用于获取所有保存的,确定为非法请求的相关信息,生成网络非法请求报表。
[0075]在本实施例中,安全网关在预设时间到达时,获取所有保存的,确定为非法请求的相关信息,生成网络非法请求报表。用户根据生成的网络非法请求报表,分析出哪种或者哪几种网络非法请求发生最频繁,且获取到发起网络非法请求的源IP、源IP应用类型等信息,进而生成有效、准确的合法内网访问参数。所述预设时间可以是I天或者I个月等时间间隔。在本发明其他实施例中,所述安全网关将所有内网设备间的,或外网设备访问内网设备的访问请求的相关信息进行保存,并确定为网络非法访问的相关信息与网络合法访问的相关进行分别设置不同的标识,例如,网络非法访问的相关信息设置“O”的标识,网络合法访问的相关信息设置“I”的标识。将获取的不同标识的相关信息生成对应的网络访问报表,用户可以根据生成的网络访问报表,产生更加合理的合法内网访问参数,进而通过手动设置合法内网访问参数,将自动或者之前手动生成的不合理的合法内网访问参数进行修改,或者添加新的合理的合法内网访问参数,实现更加准确、有效的将网络非法请求拦截下来,进而有效避免网络内网入侵。
[0076]上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如R0M/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
[0077]以上所述仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的【技术领域】,均同理包括在本发明的专利保护范围内。
【权利要求】
1.一种网络内网入侵的检测方法,其特征在于,该方法包括步骤: 实时或者定时记录内网设备间的访问特征,及外网设备访问内网设备的访问特征;每隔一个预设时间,提取一次所述预设时间内记录的访问特征,并根据提取的访问特征,生成对应的合法内网访问参数; 在有内网设备间的,或外网设备访问内网设备的访问请求不满足生成的合法内网访问参数时,确定所述访问请求为非法请求并拒绝响应该内网访问请求。
2.根据权利要求1所述的网络内网入侵的检测方法,其特征在于,所述在有内网设备间的,或外网设备访问内网设备的访问请求不满足生成的合法内网访问参数时,确定所述访问请求为非法请求并拒绝响应该内网访问请求的步骤还包括: 获取该内网访问请求的相关信息并保存。
3.根据权利要求2所述的网络内网入侵的检测方法,其特征在于,该方法还包括: 获取所有保存的,确定为非法请求的相关信息,生成网络非法请求报表。
4.根据权利要求1所述的网络内网入侵的检测方法,其特征在于,该方法还包括: 当接收到用户发出的合法内网访问参数的设置指令时,保存所述参数设置指令对应的合法内网访问参数。
5.根据权利要求4所述的网络内网入侵的检测方法,其特征在于,该方法还包括: 当接收到用户发出的合法内网访问参数的修改指令时,根据接收到的修改指令对对应的合法内网访问参数进行修改。
6.一种网络内网入侵的检测装置,其特征在于,该装置包括: 记录模块,用于实时或者定时记录内网设备间的访问特征,及外网设备访问内网设备的访问特征; 生成模块,用于每隔一个预设时间,提取一次所述预设时间内记录的访问特征,并根据提取的访问特征,生成对应的合法内网访问参数; 响应模块,用于在有内网设备间的,或外网设备访问内网设备的访问请求不满足生成的合法内网访问参数时,确定所述访问请求为非法请求并拒绝响应该内网访问请求。
7.根据权利要求6所述的网络内网入侵的检测装置,其特征在于,该装置还包括: 存储模块,用于获取该内网访问请求的相关信息并保存。
8.根据权利要求7所述的网络内网入侵的检测装置,其特征在于, 所述生成模块,还用于获取所有保存的,确定为非法请求的相关信息,生成网络非法请求报表。
9.根据权利要求6所述的网络内网入侵的检测装置,其特征在于,该装置还包括处理模块, 所述处理模块,用于当接收到用户发出的合法内网访问参数的设置指令时,保存所述参数设置指令对应的合法内网访问参数。
10.根据权利要求9所述的网络内网入侵的检测装置,其特征在于, 所述处理模块,还用于当接收到用户发出的合法内网访问参数的修改指令时,根据接收到的修改指令对对应的合法内网访问参数进行修改。
【文档编号】H04L12/26GK103888459SQ201410114352
【公开日】2014年6月25日 申请日期:2014年3月25日 优先权日:2014年3月25日
【发明者】李军 申请人:深信服网络科技(深圳)有限公司