一种智能识别系统请求和应答敏感内容的方法与流程

【技术领域】

本发明涉及网络信息安全的技术领域，特别涉及一种智能识别系统请求和应答敏感内容的方法。

背景技术：

在规模越来越庞大，结构越来越复杂的专用网络环境下，业务工作往往通过应用系统实现。但工作业务种类繁多，导致应用系统具有多样性。很多用户访问应用系统的内容需要被审计记录，方便业务行为分析；当有泄密事件发生时，也可以通过这些数据实现事后追源。如果记录不了用户的这些行为，会使整个网络处于不完全监管状态，无法及时掌握用户访问情况，容易造成更大的信息安全隐患和不良后果。

因此，为了提高网络环境的安全性，加强信息的安全管理，有必要提出一种利用网络数据包特征分析技术实现对指定敏感特征内容的识别和提取，完成应用系统请求、应答特征内容的监控，增强安全管理员对一些重要应用系统敏感内容访问的智能监控，防止重要信息泄露。

技术实现要素：

本发明的目的在于克服上述现有技术的不足，提供一种智能识别系统请求和应答敏感内容的方法，其旨在解决现有技术中网络环境安全性较低，网络监管力度较低，存在信息安全隐患的技术问题。

为实现上述目的，本发明提出了一种智能识别系统请求和应答敏感内容的方法，其基于在管控网络的核心交换机上旁路部署的监测硬件设备，所述的监测硬件设备内部嵌入有核心监测程序和数据包分析程序，包括以下步骤：

s1、镜像获取数据包：启动监测设备硬件，监测设备硬件内部的核心监测程序实时将通过核心交换机的所有通信网络数据包同步镜像到本地服务器；

s2、解析网络数据包：数据包分析程序运行，对镜像至本地服务器的网络数据包进行拆包分析，获取并采集数据信息；

s3、特征建模分析：数据包分析程序根据关键字匹配特征分析模型对采集的数据信息进行建模和关键字匹配分析，分析出通信过程中的关键信息，并提取出关键信息保存记录至本地服务器。

作为优选，所述的步骤s2中获取并采集的数据信息包括请求源ip地址、源端口号、目的ip地址、目的端口号及通信协议类型信息。

作为优选，所述的通信协议类型信息包括传输协议类型和应用层协议类型。

作为优选，所述的步骤s3中建模和关键字匹配分析包括以下步骤：

1)根据通信协议类型、端口信息进行应用协议识别和归类，对通信协议内容进行解析，并提取应用特征信息和系统特征信息；

2)进行应用协议差异性分析和应用特征进行差异性分析。

作为优选，所述的步骤s3中关键字匹配特征分析模型嵌入在数据包分析程序中。

作为优选，所述的步骤s3中关键信息包括身份证号码、车牌号码。

本发明的有益效果：与现有技术相比，本发明提供的一种智能识别系统请求和应答敏感内容的方法，具有如下优点：

1、设备自动发现功能：传统网络设备管理大部分是基于资产人工报备的方式，是被动的，不可动态实时监管；本发明所提出的方法可在管辖网络内通过网络数据包特征内容分析，自动发现和定位终端设备，实现对硬件资产的动态监管目的；

2、设备特征建模分析：利用网络数据包分析技术和特征建模分析技术，对经过网关旁路设备转换的通信数据特征内容进行大数据综合分析，发现请求和应答里面的关键信息，如身份证号码、车牌号码等。

本发明通过监测硬件设备实现实时记录用户访问行为，并记录关键信息，使整个网络处于监管的状态，一旦出现泄密事件，就可通过信息实现事后追源，提高了信息的安全性。

本发明的特征及优点将通过实施例结合附图进行详细说明。

【附图说明】

图1是本发明实施例一种智能识别系统请求和应答敏感内容的方法的流程图。

【具体实施方式】

为使本发明的目的、技术方案和优点更加清楚明了，下面通过附图及实施例，对本发明进行进一步详细说明。但是应该理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限制本发明的范围。此外，在以下说明中，省略了对公知结构和技术的描述，以避免不必要地混淆本发明的概念。

参阅图1，本发明实施例提供一种智能识别系统请求和应答敏感内容的方法，其基于在管控网络的核心交换机上旁路部署的监测硬件设备，所述的监测硬件设备内部嵌入有核心监测程序和数据包分析程序，包括以下步骤：

s1、镜像获取数据包：启动监测设备硬件，监测设备硬件内部的核心监测程序实时将通过核心交换机的所有通信网络数据包同步镜像到本地服务器。

s2、解析网络数据包：数据包分析程序运行，对镜像至本地服务器的网络数据包进行拆包分析，获取并采集数据信息。

其中，获取并采集的数据信息包括请求源ip地址、源端口号、目的ip地址、目的端口号及通信协议类型信息，所述的通信协议类型信息包括传输协议类型和应用层协议类型。

s3、特征建模分析：数据包分析程序根据关键字匹配特征分析模型对采集的数据信息进行建模和关键字匹配分析，分析出通信过程中的关键信息，并提取出关键信息保存记录至本地服务器。

其中，关键字匹配特征分析模型嵌入在数据包分析程序中，建模和关键字匹配分析包括以下步骤：

1)根据通信协议类型、端口信息进行应用协议识别和归类，对通信协议内容进行解析，并提取应用特征信息和系统特征信息。

2)进行应用协议差异性分析和应用特征进行差异性分析。

在本发明实施例中，经过建模和关键字匹配分析后提取出的关键信息包括身份证号码、车牌号码。

本发明提供的一种智能识别系统请求和应答敏感内容的方法，具有如下优点：1、设备自动发现功能：传统网络设备管理大部分是基于资产人工报备的方式，是被动的，不可动态实时监管；本发明所提出的方法可在管辖网络内通过网络数据包特征内容分析，自动发现和定位终端设备，实现对硬件资产的动态监管目的；2、设备特征建模分析：利用网络数据包分析技术和特征建模分析技术，对经过网关旁路设备转换的通信数据特征内容进行大数据综合分析，发现请求和应答里面的关键信息，如身份证号码、车牌号码等。

本发明通过监测硬件设备实现实时记录用户访问行为，并记录关键信息，使整个网络处于监管的状态，一旦出现泄密事件时，就可通过信息实现事后追源，提高了信息的安全性。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换或改进等，均应包含在本发明的保护范围之内。

技术特征：

技术总结
本发明适用于网络信息安全的技术领域，公开了一种智能识别系统请求和应答敏感内容的方法，其基于在管控网络的核心交换机上旁路部署的监测硬件设备，所述的监测硬件设备内部嵌入有核心监测程序和数据包分析程序，包括以下步骤：镜像获取数据包、解析网络数据包和特征建模分析。本发明一种智能识别系统请求和应答敏感内容的方法，通过在管控网络的核心交换机上旁路部署的监测硬件设备，自动发现和定位终端设备，实现对硬件资产的动态监管目的，利用网络数据包分析技术和特征建模分析技术，可发现请求和应答里面的关键信息，如身份证号码、车牌号码等，使整个网络处于监管的状态，一旦出现泄密事件，就可通过信息实现事后追源，提高了信息的安全性。

技术研发人员：傅如毅;赵拓;王俊翰;吕启蒙
受保护的技术使用者：浙江远望信息股份有限公司
技术研发日：2017.04.26
技术公布日：2017.09.29