非法数据源追溯方法、装置、用户终端和计算机存储介质与流程

本发明涉及网络系统维护领域，具体而言，涉及一种非法数据源追溯方法、装置、用户终端和计算机存储介质。

背景技术：

在一些企业的工作生产环境中，例如电力企业等，为了保证工作生产网络系统的安全稳定，各种终端设备互联的网络环境都是局域网络，不与外部互联网连接，避免受到外部互联网中网络病毒的攻击而造成巨大的经济损失。

但是，即使是使用局域网的方式来避免外部网络病毒的攻击，也避免不了在工作生产中一些员工人为的不规定操作而带来网络病毒，例如，工作人员在操作终端设备时使用了携带网络病毒的移动硬盘连接该终端设备，使网络病毒在终端设备所在局域网内传播。这些网络病毒在局域网的各终端设备间进行一些非法数据的传输，会直接造成工作生产中各种严重的安全事故，带来重大的经济损失。

现有的解决企业的工作生产环境中局域网感染网络病毒的唯一办法，则是为局域网中每台终端设备安装杀毒程序。但是局域网中的终端设备不允许连接外部互联网，因此杀毒程序无法更新病毒库，导致对一些新型网络病毒无法做出有效处理。并且，使用杀毒程序有可能会将终端设备中用于生产使用的正常程序判断为网络病毒而处理，造成误杀毒现象。

当工作生产的局域网中无法消除网络病毒，网络病毒则会占用大量的通信资源进行非法数据的传输，从而降低工作生产效率，为企业带来巨大经济损失。

技术实现要素：

鉴于上述问题，本发明提供了一种非法数据源追溯方法、装置、用户终端和计算机存储介质，以在局域网中找到传输非法数据的终端设备，并阻止其中的网络病毒占用通信资源进行非法数据的传输，避免网络病毒带来的安全问题以及经济损失。

为了实现上述目的，本发明采用如下的技术方案：

一种非法数据源追溯方法，包括：

复制汇聚交换机中终端设备传输的网络数据，生成镜像数据；

对所述镜像数据中至少一传输参数进行分析，判断所述至少一传输参数是否与预先规定的参数一致；

当所述至少一传输参数与预先规定的参数不一致时，阻断所述终端设备中所述镜像数据对应的网络数据的传输。

优选地，所述的方法，还包括：

根据所述镜像数据生成网络通信拓扑图；

根据所述网络通信拓扑图锁定非法数据源终端设备，并清除所述非法数据源终端设备中的非法文件。

优选地，所述“对所述镜像数据中至少一传输参数进行分析，判断所述至少一传输参数是否与预先规定的参数一致”包括：

对所述镜像数据第一传输参数进行分析，判断所述镜像数据的第一传输参数是否与预先规定的第一参数一致；

对所述镜像数据第二传输参数进行分析，判断所述镜像数据的第二传输参数是否与预先规定的第二参数一致；

对所述镜像数据第三传输参数进行分析，判断所述镜像数据的第三传输参数是否与预先规定的第三参数一致。

优选地，所述第一传输参数为ip地址，所述第二传输参数为数据格式，所述第三传输参数为数据流量。

优选地，所述至少一传输参数为ip地址、mac地址、通信协议、数据格式、数据内容、数据流量和状态日志中的至少一种。

本发明还提供一种非法数据源追溯装置，包括：

数据复制模块，用于复制汇聚交换机中终端设备传输的网络数据，生成镜像数据；

参数分析模块，用于对所述镜像数据中至少一传输参数进行分析，判断所述至少一传输参数是否与预先规定的参数一致；

传输阻断模块，用于当所述至少一传输参数与预先规定的参数不一致时，阻断所述终端设备中所述镜像数据对应的网络数据的传输。

优选地，所述的装置，还包括：

拓扑图生成模块，用于根据所述镜像数据生成网络通信拓扑图；

非法文件清除模块，用于根据所述网络通信拓扑图锁定非法数据源终端设备，并清除所述非法数据源终端设备中的非法文件。

优选地，所述的非法数据源追溯装置，所述至少一传输参数为ip地址、mac地址、通信协议、数据格式、数据内容、数据流量和状态日志中的至少一种。

本发明还提供一种用户终端，包括存储器以及处理器，所述存储器用于存储计算机程序，所述处理器运行所述计算机程序以使所述用户终端执行所述的非法数据源追溯方法。

本发明还提供一种计算机存储介质，其存储有所述的用户终端中所使用的计算机程序。

本发明提供一种非法数据源追溯方法，该方法包括：复制汇聚交换机中终端设备传输的网络数据，生成镜像数据；对所述镜像数据中至少一传输参数进行分析，判断所述至少一传输参数是否与预先规定的参数一致；当所述至少一传输参数与预先规定的参数不一致时，阻断所述终端设备中所述镜像数据对应的网络数据的传输。可见，本发明的非法数据源追溯方法，可在局域网中找到传输非法数据的终端设备，并阻止其中的网络病毒占用通信资源进行非法数据的传输，避免网络病毒带来的安全问题以及经济损失。

为使本发明的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本发明的某些实施例，因此不应被看作是对本发明范围的限定。

图1是本发明实施例提供的用户终端的结构示意图；

图2是本发明实施例1提供的一种非法数据源追溯方法的流程图；

图3是本发明实施例2提供的一种非法数据源追溯方法的流程图；

图4是本发明实施例3提供的一种非法数据源追溯方法的流程图；

图5是本发明实施例4提供的一种非法数据源追溯装置的结构示意图；

图6是本发明实施例4提供的另一种非法数据源追溯装置的结构示意图。

具体实施方式

下面将结合本发明实施例中附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。因此，以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围，而是仅仅表示本发明的选定实施例。基于本发明的实施例，本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

下述各实施例均可应用于如图1所示的用户终端中，图1示出了该用户终端的结构框图，该用户终端100包括：射频(radiofrequency，rf)电路110、存储器120、输入单元130、显示单元140、传感器150、音频电路160、无线保真(wirelessfidelity，wifi)模块170、处理器180、以及电源190等部件。输入单元130可以包括触控面板和其他输入设备，显示单元140可以包括显示面板140。本领域技术人员可以理解，图1中示出的用户终端100结构并不构成对用户终端的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。

实施例1

图2是本发明实施例1提供的一种非法数据源追溯方法的流程图，该方法包括如下步骤：

步骤s21：复制汇聚交换机中终端设备传输的网络数据，生成镜像数据。

本发明实施例中，汇聚交换机接收了局域网中所有终端设备传输的数据，并将这些数据进行转发和交换，从而做到局域网中各终端设备之间的通信。镜像数据则是将所有经过汇聚交换机的网络数据进行复制，复制后可以得到许多分镜像数据。其中，该镜像数据中，包含有多种网络协议的数据包，例如tcp(tcp，transmissioncontrolprotocol，传输控制协议)、udp(udp，userdatagramprotocol，用户数据包协议)以及snmp(snmp，simplenetworkmanagementprotocol，简单网络管理协议)等网络协议的数据包。

其中，本申请实施例中，可以在汇聚交换机中设置一个镜像接口，用来获取复制的镜像数据。复制网络数据的过程可以使用算法或应用程序来实现，例如使用算法实时捕捉经过汇聚交换机的网络数据，并将其复制。复制的过程并不会影响各网络数据的正常传输，从而可以避免对工作生产的影响。

上述终端设备皆可以处于局域网中，不与外部互联网连接，其中，终端设备可以是服务器以及计算机等参与工作生产的电子设备，这里不做限定。

步骤s22：对镜像数据中至少一传输参数进行分析。

本发明实施例中，镜像数据的传输参数可以是数据本身的属性以及在传输过程中附加的属性以及信息，例如可以是数据的大小以及格式等数据自身的属性，以及ip(ip，internetprotocol，网络互联协议)地址以及网络协议等在传输过程中附加的属性及参数。在企业的工作生产环境中，这些终端设备传输的网络数据，其传输参数以及属性都是预先规定好的，例如对传输参数规定生成一份终端设备的业务通信白名单，其中，就如规定某一台终端设备的通信目标，该终端设备传输的所有网络数据ip地址始终是固定的。

其中，可以对镜像数据的至少一种传输参数进行分析，但由于网络病毒在不断更新，隐匿的手段也越来越多，为了提高对网络病毒占用终端设备通信资源的侦查，可以针对该网络病毒使用一种传输参数，或更多种传输参数对镜像数据进行分析，以提高查找局域网中非法传输数据的链路的准确率。

步骤s23：判断该至少一传输参数是否与预先规定的参数一致。

其中，至少一传输参数为ip地址、mac(mac，mediaaccesscontrol，物理地址)地址、通信协议、数据格式、数据内容、数据流量和状态日志中的至少一种。上述的各种传输参数在分析及判断过程中可以进行各种组合以及顺序进行分析，这里不做限定。选择越多的传输参数对镜像数据进行分析和判断，其精度就越高，并且传输参数也不限于上述提及的各种参数，可以针对网络病毒选择其它的传输参数。

步骤s24：当至少一传输参数与预先规定的参数不一致时，阻断终端设备中镜像数据对应的网络数据的传输。

本发明实施例中，当镜像数据的传输参数中，至少有一种传输参数与预先规定的参数不一致时，则说明该镜像数据相应的网络数据为非法传输的数据，即为网络病毒占用终端设备进行非法通信传输非法数据。上述分析判断的过程可以使用算法或应用程序来实现，例如，使用算法对镜像数据进行分析，获取镜像数据的数据格式，并与终端设备的业务通信白名单规定的数据格式进行算法比对，若两种数据格式不一致，则说明该镜像数据对应的网络数据为非法传输的网络数据。

其中，进行非法传输的网络数据的阻断，可以在汇聚交换机中进行，例如使用应用程序在汇聚交换机中将传输的非法网络数据阻断，阻止其在汇聚交换机中的转发和交换动作，进而阻止其传输与传播网络病毒。还可以直接发送指令至传输非法网络数据的终端设备上，取消传输的进程，从而阻止传输。

步骤s25：结束。

本发明实施例中，在阻断所有非法网络数据传输后，可以结束此次非法数据源的追溯。在对所有镜像数据进行至少一传输参数分析后，判断与规定的参数一致时，也可以借宿此次非法数据源的追溯。在结束追溯后，还可以继续获取镜像数据，并实时进行分析，进行非法网络数据传输的监测。

可见，使用本发明实施例的方法，不但可以阻止网络病毒占用通信资源进行非法数据的传输，避免网络病毒带来的安全问题以及经济损失，还可以在追溯阻止的过程中不影响终端设备之间原有的通信，不影响终端设备正常的工作生产。

实施例2

图3是本发明实施例2提供的一种非法数据源追溯方法的流程图，该方法包括如下步骤：

步骤s31：复制汇聚交换机中终端设备传输的网络数据，生成镜像数据。

此步骤与上述步骤s21一致，在此不再赘述。

步骤s32：对镜像数据中至少一传输参数进行分析。

此步骤与上述步骤s22一致，在此不再赘述。

步骤s33：判断该至少一传输参数是否与预先规定的参数一致。

此步骤与上述步骤s23一致，在此不再赘述。

步骤s34：当该至少一传输参数与预先规定的参数不一致时，阻断终端设备中镜像数据对应的网络数据的传输。

此步骤与上述步骤s24一致，在此不再赘述。

步骤s35：根据该镜像数据生成网络通信拓扑图。

本发明实施例中，在获取镜像数据后，可以利用镜像数据中的各种传输参数，例如ip地址、mac地址以及数据流量等，生成局域网中各终端设备网络通信的拓扑图。该拓扑图可以是一个可视化的拓扑图，可以在拓扑图中显示各种网络数据传输的方向、传输的参数以及阻断的网络数据的传输参数，以便工作人员现场排查数据的异常。

步骤s36：根据该网络通信拓扑图锁定非法数据源终端设备，并清除非法数据源终端设备中的非法文件。

通过上述的通信拓扑图中阻断的网络数据的传输参数，可以锁定非法数据源终端设备，进而可以清除该终端中的非法文件及网络病毒。以及，还可以找出接收过非法网络数据的终端设备，清除该终端设备中的非法文件及网络病毒。

步骤s37：结束。

实施例3

图4是本发明实施例3提供的一种非法数据源追溯方法的流程图，该方法包括如下步骤：

步骤s41：复制汇聚交换机中终端设备传输的网络数据，生成镜像数据。

此步骤与上述步骤s21一致，在此不再赘述。

步骤s42：对镜像数据第一传输参数进行分析，判断镜像数据的第一传输参数是否与预先规定的第一参数一致。

步骤s43：对镜像数据第二传输参数进行分析，判断镜像数据的第二传输参数是否与预先规定的第二参数一致。

步骤s44：对镜像数据第三传输参数进行分析，判断镜像数据的第三传输参数是否与预先规定的第三参数一致。

本申请实施例中，相对与上述实施例，可以对镜像数据按顺序进行三种不同传输参数的分析，判断这三种传输参数与预先规定的参数是否一致，当三种传输参数皆与预先规定的参数是一致的，则可以结束此次非法数据的追溯。当至少存在一种传输参数是与预先规定的参数是不一致的，则该镜像数据对应的网络数据则为非法的网络数据，传输该非法网络数据的终端设备则感染了网络病毒。

步骤s45：当至少一传输参数与预先规定的参数不一致时，阻断终端设备中镜像数据对应的网络数据的传输。

其中，上述第一传输参数为ip地址，第二传输参数为数据格式，第三传输参数为数据流量。在工作生产中，局域网的各终端设备之间的通信一般是固定的，因此传输的网络数据上的ip地址规定好的。网络数据的格式也是预先规定好的，以便各设备在工作生产中分工明确互不干扰。每个终端设备的数据流量是预先规定好的，以便合理分配通信资源。因此，当终端设备感染病毒后，传输的网络数据的传输属性中，上述三种传输参数至少有一种是与规定的参数是不一致的

步骤s46：结束。

实施例4

图5是本发明实施例提供的一种非法数据源追溯装置的结构示意图。

该非法数据源追溯装置500包括：

数据复制模块510，用于复制汇聚交换机中终端设备传输的网络数据，生成镜像数据。

参数分析模块520，用于对镜像数据至少一传输参数进行分析，判断至少一传输参数是否与预先规定的参数一致。

传输阻断模块530，用于当至少一传输参数与预先规定的参数不一致时，阻断所述终端设备中所述镜像数据对应的网络数据的传输。

如图6所示，该非法数据源追溯装置500还包括：

拓扑图生成模块540，用于根据镜像数据生成网络通信拓扑图。

非法文件清除模块550，用于根据网络通信拓扑图锁定非法数据源终端设备，并清除非法数据源终端设备中的非法文件。

其中，至少一传输参数为ip地址、mac地址、通信协议、数据格式、数据内容、数据流量和状态日志中的至少一种。

关于上述各个模块以及单元更加详细的工作过程可以参考前述实施例中公开的相应内容，在此不再进行详述。

此外，本发明还提供了一种用户终端，该用户终端可以包括智能电话、平板电脑、车载电脑、智能穿戴设备等。该用户终端包括存储器和处理器，存储器可用于存储计算机程序，处理器通过运行所述计算机程序，从而使用户终端执行上述方法或者上述非法数据源追溯装置中的各个模块的功能。

存储器可包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等；存储数据区可存储根据用户终端的使用所创建的数据(比如音频数据、电话本等)等。此外，存储器可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。

本实施例还提供了一种计算机存储介质，用于储存上述用户终端中使用的计算机程序。

在本申请所提供的几个实施例中，应该理解到，所揭露的装置和方法，也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，附图中的流程图和结构图显示了根据本发明的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在作为替换的实现方式中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，结构图和/或流程图中的每个方框、以及结构图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

另外，在本发明各个实施例中的各功能模块或单元可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或更多个模块集成形成一个独立的部分。

所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是智能手机、个人计算机、服务器、或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应所述以权利要求的保护范围为准。