异常外联统计告警方法、装置、计算机设备和存储介质与流程

1.本技术涉及网络安全技术领域，特别是涉及一种异常外联统计告警方法、装置、计算机设备和存储介质。


背景技术：

2.在网络安全防护或者流量分析时，存在大量未知ip(internet protocol，网际互连协议)地址或域名，无法确定其是否属于恶意，容易造成误判。
3.目前，往往利用沙箱对恶意样本进行分析，对其通信ip地址及域名进行标注，再结合威胁情报，构建威胁情报库；利用威胁情报库中的ip地址及域名，在防火墙上做封堵配置，保障网络安全。但是，威胁情报库中的ip地址的可靠性较差，很容易被网络黑客绕过，导致异常外联统计告警的准确率较低。


技术实现要素：

4.基于此，有必要针对上述技术问题，提供一种能够提高异常外联统计告警的准确率的异常外联统计告警方法、装置、计算机设备和存储介质。
5.一种异常外联统计告警方法，所述方法包括：
6.获取内网网络通信数据，根据所述内网网络通信数据，确定出待识别的通信地址信息；
7.根据加密后的通信地址信息集合，从所述待识别的通信地址信息中筛选出目标通信地址信息；所述加密后的通信地址信息集合中存储有多个加密后的正常通信地址信息；
8.若所述目标通信地址信息为异常通信地址信息，则根据所述目标通信地址信息生成异常外联告警信号，并将所述异常外联告警信号发送至对应的服务器；所述服务器用于根据所述异常外联告警信号，生成并返回相应的应急操作指令；
9.根据所述应急操作指令，断开针对所述目标通信地址信息的访问链接。
10.在其中一个实施例中，在根据加密后的通信地址信息集合，从所述待识别的通信地址信息中筛选出目标通信地址信息之前，还包括：
11.根据预设的用户网络环境，确定对应的通信地址信息；
12.获取所述通信地址信息中的正常通信地址信息，对所述正常通信地址信息进行加密处理，得到加密后的正常通信地址信息；
13.根据所述加密后的正常通信地址信息，得到所述加密后的通信地址信息集合。
14.在其中一个实施例中，所述获取所述通信地址信息中的正常通信地址信息，对所述正常通信地址信息进行加密处理，得到加密后的正常通信地址信息，包括：
15.对所述通信地址信息中的异常通信地址信息进行多次过滤处理，直到处理后的通信地址信息中不包含异常通信地址信息，则将所述处理后的通信地址信息作为正常通信地址信息；
16.根据预设秘钥对所述正常通信地址信息进行加密处理，得到密文，作为所述加密
后的正常通信地址信息。
17.在其中一个实施例中，所述根据加密后的通信地址信息集合，从所述待识别的通信地址信息中筛选出目标通信地址信息，包括：
18.对加密后的通信地址信息集合中的加密后的正常通信地址信息进行解密处理，得到所述正常通信地址信息；
19.从所述待识别的通信地址信息中，筛选出与所述正常通信地址信息不匹配的通信地址信息，作为所述目标通信地址信息。
20.在其中一个实施例中，在对加密后的通信地址信息集合中的加密后的正常通信地址信息进行解密处理，得到所述正常通信地址信息之前，还包括：
21.获取预设的安全验证文件；所述安全验证文件用于验证所述加密后的通信地址信息集合是否安全；
22.根据所述预设的安全验证文件，对所述加密后的通信地址信息集合进行验证；
23.所述对加密后的通信地址信息集合中的加密后的正常通信地址信息进行解密处理，得到所述正常通信地址信息，包括：
24.当所述加密后的通信地址信息集合安全时，则对所述加密后的通信地址信息集合中的加密后的正常通信地址信息进行解密处理，得到所述正常通信地址信息。
25.在其中一个实施例中，在若所述目标通信地址信息为异常通信地址信息，则根据所述目标通信地址信息生成异常外联告警信号之前，还包括：
26.将所述目标通信地址信息输入预先训练的异常通信地址信息识别模型进行处理，得到所述目标通信地址信息为异常通信地址信息的预测概率；
27.若所述预测概率大于预设概率，则确认所述目标通信地址信息为异常通信地址信息。
28.在其中一个实施例中，所述根据所述内网网络通信数据，确定出待识别的通信地址信息，包括：
29.从所述内网网络通信数据中，识别出与通信地址信息标识符对应的信息，作为所述待识别的通信地址信息。
30.一种异常外联统计告警装置，所述装置包括：
31.信息确定模块，用于获取内网网络通信数据，根据所述内网网络通信数据，确定出待识别的通信地址信息；
32.信息筛选模块，用于根据加密后的通信地址信息集合，从所述待识别的通信地址信息中筛选出目标通信地址信息；所述加密后的通信地址信息集合中存储有多个加密后的正常通信地址信息；
33.信号发送模块，用于若所述目标通信地址信息为异常通信地址信息，则根据所述目标通信地址信息生成异常外联告警信号，并将所述异常外联告警信号发送至对应的服务器；所述服务器用于根据所述异常外联告警信号，生成并返回相应的应急操作指令；
34.链接断开模块，用于根据所述应急操作指令，断开针对所述目标通信地址信息的访问链接。
35.一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时实现以下步骤：
36.获取内网网络通信数据，根据所述内网网络通信数据，确定出待识别的通信地址信息；
37.根据加密后的通信地址信息集合，从所述待识别的通信地址信息中筛选出目标通信地址信息；所述加密后的通信地址信息集合中存储有多个加密后的正常通信地址信息；
38.若所述目标通信地址信息为异常通信地址信息，则根据所述目标通信地址信息生成异常外联告警信号，并将所述异常外联告警信号发送至对应的服务器；所述服务器用于根据所述异常外联告警信号，生成并返回相应的应急操作指令；
39.根据所述应急操作指令，断开针对所述目标通信地址信息的访问链接。
40.一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现以下步骤：
41.获取内网网络通信数据，根据所述内网网络通信数据，确定出待识别的通信地址信息；
42.根据加密后的通信地址信息集合，从所述待识别的通信地址信息中筛选出目标通信地址信息；所述加密后的通信地址信息集合中存储有多个加密后的正常通信地址信息；
43.若所述目标通信地址信息为异常通信地址信息，则根据所述目标通信地址信息生成异常外联告警信号，并将所述异常外联告警信号发送至对应的服务器；所述服务器用于根据所述异常外联告警信号，生成并返回相应的应急操作指令；
44.根据所述应急操作指令，断开针对所述目标通信地址信息的访问链接。
45.上述异常外联统计告警方法、装置、计算机设备和存储介质，通过获取内网网络通信数据，根据内网网络通信数据，确定出待识别的通信地址信息；然后根据加密后的通信地址信息集合，从待识别的通信地址信息中筛选出目标通信地址信息；加密后的通信地址信息集合中存储有多个加密后的正常通信地址信息；若目标通信地址信息为异常通信地址信息，则根据目标通信地址信息生成异常外联告警信号，并将异常外联告警信号发送至对应的服务器；服务器用于根据异常外联告警信号，生成并返回相应的应急操作指令；最后根据应急操作指令，断开针对目标通信地址信息的访问链接。采用本方法，先从待识别的通信地址信息中筛选出目标通信地址信息，再判断目标通信地址信息是否为异常通信地址信息，若是，则根据服务器返回的应急操作指令，断开针对目标通信地址信息的访问链接，有利于实时且准确地监控待识别的通信地址信息是否为异常通信地址信息，从而提高了异常外联统计告警的准确率。
附图说明
46.图1为一个实施例中异常外联统计告警方法的应用环境图；
47.图2为一个实施例中异常外联统计告警方法的流程示意图；
48.图3为另一个实施例中异常外联统计告警方法的流程示意图；
49.图4为一个实施例中基于内网白名单的非法外联统计告警方法的流程示意图；
50.图5为一个实施例中异常外联统计告警装置的结构框图；
51.图6为一个实施例中计算机设备的内部结构图。
具体实施方式
52.为了使本技术的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本技术进行进一步详细说明。应当理解，此处描述的具体实施例仅仅用以解释本技术，并不用于限定本技术。
53.本技术提供的异常外联统计告警方法，可以应用于如图1所示的应用环境中。其中，图1中包括内网流量监控系统，内网流量监控系统包括内网设备102和服务器104，内网设备102中包括认证设备106，内网设备102通过网络与服务器104进行通信。具体地，参考图1，认证设备106获取内网设备102的内网网络通信数据，根据内网网络通信数据，确定出待识别的通信地址信息；然后根据加密后的通信地址信息集合，从待识别的通信地址信息中筛选出目标通信地址信息；加密后的通信地址信息集合中存储有多个加密后的正常通信地址信息；若目标通信地址信息为异常通信地址信息，则根据目标通信地址信息生成异常外联告警信号，并将异常外联告警信号通过内网设备102发送至对应的服务器104；服务器104根据异常外联告警信号，生成并返回相应的应急操作指令；认证设备106根据服务器104返回的应急操作指令，断开针对目标通信地址信息的访问链接。其中，终端102可以但不限于是各种个人计算机、笔记本电脑、智能手机和平板电脑，服务器104可以用独立的服务器或者是多个服务器组成的服务器集群来实现，认证设备106是一种用于判断内网设备是否存在异常外联行为的设备，比如异常外联识别器。
54.在一个实施例中，如图2所示，提供了一种异常外联统计告警方法，以该方法应用于图1中的认证设备为例进行说明，包括以下步骤：
55.步骤s201，获取内网网络通信数据，根据内网网络通信数据，确定出待识别的通信地址信息。
56.其中，内网网络通信数据是指内网设备与外部设备之间的通信数据，通信地址信息是指需要访问的设备的地址信息，包括目的地址信息和目的端口信息。
57.具体地，认证设备获取内网设备的内网网络通信数据，对内网网络通信数据进行解析，得到通信地址信息，作为待识别的通信地址信息。
58.步骤s202，根据加密后的通信地址信息集合，从待识别的通信地址信息中筛选出目标通信地址信息；加密后的通信地址信息集合中存储有多个加密后的正常通信地址信息。
59.其中，每个内网设备对应一个加密后的通信地址信息集合，正常通信地址信息是根据内网设备的预设的用户网络环境确定的。目标通信地址信息，是指初步确定出的可能属于异常通信地址信息的通信地址信息。
60.具体地，认证设备获取内网设备对应的加密后的通信地址信息集合，对加密后的通信地址信息集合中的加密后的正常通信地址信息进行解密处理，得到多个正常通信地址信息；根据正常通信地址信息，从待识别的通信地址信息中筛选出不属于正常通信地址信息的通信地址信息，目标通信地址信息。
61.步骤s203，若目标通信地址信息为异常通信地址信息，则根据目标通信地址信息生成异常外联告警信号，并将异常外联告警信号发送至对应的服务器；服务器用于根据异常外联告警信号，生成并返回相应的应急操作指令。
62.其中，异常外联告警信号是指表示目标通信地址信息为异常通信地址信息的告警
信号。应急操作指令，是一种用于断开针对异常通信地址信息的访问链接的操作指令。
63.具体地，认证设备根据预设的异常通信地址信息匹配指令，判断目标通信地址信息是否为异常通信地址信息，若是，则将目标通信地址信息导入异常外联告警信号模板中，生成异常外联告警信号，并将异常外联告警信号通过内网设备发送至对应的服务器；服务器根据接收到的异常外联告警信号，生成相应的应急操作指令，并将应急操作指令返回至内网设备中的认证设备。
64.举例说明，认证设备根据预设的异常通信地址信息匹配指令，获取目标通信地址信息与异常通信地址信息之间的匹配度；若该匹配度大于预设匹配度(比如0.7)，则确认该目标通信地址信息为异常通信地址信息。
65.步骤s204，根据应急操作指令，断开针对目标通信地址信息的访问链接。
66.具体地，认证设备根据服务器返回的应急操作指令，识别出针对目标通信地址信息的访问链接，并断开该访问链接，使内网设备停止对该目标通信地址信息的访问行为。
67.上述异常外联统计告警方法中，通过获取内网网络通信数据，根据内网网络通信数据，确定出待识别的通信地址信息；然后根据加密后的通信地址信息集合，从待识别的通信地址信息中筛选出目标通信地址信息；加密后的通信地址信息集合中存储有多个加密后的正常通信地址信息；若目标通信地址信息为异常通信地址信息，则根据目标通信地址信息生成异常外联告警信号，并将异常外联告警信号发送至对应的服务器；服务器用于根据异常外联告警信号，生成并返回相应的应急操作指令；最后根据应急操作指令，断开针对目标通信地址信息的访问链接。采用本方法，先从待识别的通信地址信息中筛选出目标通信地址信息，再判断目标通信地址信息是否为异常通信地址信息，若是，则根据服务器返回的应急操作指令，断开针对目标通信地址信息的访问链接，有利于实时且准确地监控待识别的通信地址信息是否为异常通信地址信息，从而提高了异常外联统计告警的准确率。
68.在一个实施例中，上述步骤s202，在根据加密后的通信地址信息集合，从待识别的通信地址信息中筛选出目标通信地址信息之前，还包括：根据预设的用户网络环境，确定对应的通信地址信息；获取通信地址信息中的正常通信地址信息，对正常通信地址信息进行加密处理，得到加密后的正常通信地址信息；根据加密后的正常通信地址信息，得到加密后的通信地址信息集合。
69.其中，不同预设的用户网络环境，对应的通信地址信息不一样。需要说明的是，通信地址信息中可能包含异常通信地址信息，故需要从通信地址信息中获取出正常通信地址信息。
70.具体地，认证设备获取内网设备的预设的用户网络环境，对内网设备的预设的用户网络环境进行解析，得到对应的通信地址信息；根据正常通信地址信息识别指令，从通信地址信息中识别出正常通信地址信息；根据加密指令，对正常通信地址信息进行加密处理，得到加密后的正常通信地址信息；将加密后的正常通信地址信息进行组合，得到加密后的通信地址信息集合。
71.本实施例中，通过获取加密后的通信地址信息集合，有利于后续根据加密后的通信地址信息集合，从待识别的通信地址信息中筛选出目标通信地址信息，进而提高了目标通信地址信息的确定准确率。
72.在一个实施例中，获取通信地址信息中的正常通信地址信息，对正常通信地址信
息进行加密处理，得到加密后的正常通信地址信息，具体包括：对通信地址信息中的异常通信地址信息进行多次过滤处理，直到处理后的通信地址信息中不包含异常通信地址信息，则将处理后的通信地址信息作为正常通信地址信息；根据预设秘钥对正常通信地址信息进行加密处理，得到密文，作为加密后的正常通信地址信息。
73.具体地，认证设备根据第一个异常通信地址信息过滤规则，对对通信地址信息中的异常通信地址信息进行过滤处理，得到处理后的通信地址信息；根据第二个异常通信地址信息过滤规则，对处理后的通信地址信息进行再次过滤处理，直到最终处理后的通信地址信息中不包含异常通信地址信息，则将最终处理后的通信地址信息，作为正常通信地址信息；获取预设秘钥，根据预设秘钥对每一个正常通信地址信息进行加密处理，得到密文，作为加密后的正常通信地址信息。
74.举例说明，认证设备利用构建ip白名单的规则(比如判断网络数据流下上行比例的大小，判断同一内网ip对外网ip在一定时间内的访问次数，判断一外网ip在一定时间段内被多少内网ip访问，判断外网ip是否有非工作时段的访问行为)，对网络数据流信息进行识别，得到ip白名单。需要说明的是，所有同内网终端有通信行为的外网ip都会用本方法所确立的规则进行层层过滤，每一次过滤都在上一次生成的白名单的基础上进行的过滤，以此不断将不满足规则的ip剔除出白名单，并最终完成白名单的构建。这样，可以有效解决内网流量监控系统在处理流量时对系统资源占用过多的缺点，通过归纳正常网络流量产生时的特点和内网用户访问网络的行为特点，总结出一套构建ip白名单的规则，以达到既减小了内网安全监控系统的处理压力，又不会将可疑的流量过滤掉的目的。
75.本实施例中，对通信地址信息中的异常通信地址信息进行多次过滤处理，并对得到的正常通信地址信息进行加密，有利于提高加密后的正常通信地址信息的确定准确率和安全性。
76.在一个实施例中，上述步骤s202，根据加密后的通信地址信息集合，从待识别的通信地址信息中筛选出目标通信地址信息，具体包括：对加密后的通信地址信息集合中的加密后的正常通信地址信息进行解密处理，得到正常通信地址信息；从待识别的通信地址信息中，筛选出与正常通信地址信息不匹配的通信地址信息，作为目标通信地址信息。
77.具体地，认证设备根据解密指令，对加密后的通信地址信息集合中的加密后的正常通信地址信息进行解密处理，得到正常通信地址信息；将待识别的通信地址信息与正常通信地址信息进行匹配，得到匹配结果；根据匹配结果，从待识别的通信地址信息中，筛选出与正常通信地址信息不匹配的通信地址信息，作为目标通信地址信息。
78.本实施例中，根据加密后的通信地址信息集合，从待识别的通信地址信息中筛选出目标通信地址信息，有利于后续对目标通信地址信息进行识别，以确认目标通信地址信息是否为异常通信地址信息，避免了直接对待识别的通信地址信息进行识别，容易造成误判的缺陷。
79.在一个实施例中，在对加密后的通信地址信息集合中的加密后的正常通信地址信息进行解密处理，得到正常通信地址信息之前，还包括：获取预设的安全验证文件；安全验证文件用于验证加密后的通信地址信息集合是否安全；根据预设的安全验证文件，对加密后的通信地址信息集合进行验证。那么，对加密后的通信地址信息集合中的加密后的正常通信地址信息进行解密处理，得到正常通信地址信息，具体包括：当加密后的通信地址信息
集合安全时，则对加密后的通信地址信息集合中的加密后的正常通信地址信息进行解密处理，得到正常通信地址信息。
80.其中，预设的安全验证文件，是一种用于自动验证加密后的通信地址信息集合是否安全的算法文件；例如，若加密后的通信地址信息集合与原先得到的通信地址信息集合相同，则说明该加密后的通信地址信息集合安全；若不相同，则说明该加密后的通信地址信息集合不安全。
81.具体地，认证设备获取预设的安全验证文件，根据预设的安全验证文件，对加密后的通信地址信息集合进行验证，以判断加密后的通信地址信息集合是否安全，若是，则根据解密指令，对加密后的通信地址信息集合中的加密后的正常通信地址信息进行解密处理，得到对应的正常通信地址信息。
82.举例说明，在根据目标ip信息和目标端口信息生成内网白名单的过程中，内网白名单通过预设秘钥进行加密并生成密文，并将密文通过安全软件代码存储至原始数据包中。需要说明的是，预设密钥是不变的，随着主机安全软件版本的更新，白名单库可能发生变化，相应的，根据预设秘钥对白名单进行加密生成的存储在主机安全软件代码中的密文也随着变化，但是主机安全软件的升级并不影响白名单库的生成和加载。
83.进一步地，内网终端还可以通过认证设备捕获内网网络通信数据，并将白名单库生成所需的原始数据包提取出来进行预设行为策略匹配。在进行匹配的过程中，先对原始数据包进行密文解密，生成虚拟数据头；当验证原始数据包安全时，比如运行系统未检测到异常，解密生成的虚拟数据头与原始数据匹配，则证明其未被泄露，即原始数据包安全，则对白名单库进行加载。其中，虚拟数据头包括版本号、数据长度和数据类型，数据长度为目标ip信息和目标端口信息的数据体的长度，版本号和数据类型根据按照预设行为策略进行变化。当主机安全软件版本升级后，不影响旧版本的白名单库文件的加载应用；加载升级版本前的白名单库，对白名单先进行解密，通过白名单库里存储的主机安全软件代码中的密文和预设密钥解析出白名单密钥，并进一步解密出白名单库中的可信可执行文件和虚拟数据包。这样，解决了非法外联影响内部资源安全的重要方面，有效防范非法外联，对确定内部资源安全意义重大，及时检测出非法外联行为，以及针对非法外联行为作出相应的处理。
84.本实施例中，在加密后的通信地址信息集合安全的情况下，对加密后的通信地址信息集合中的加密后的正常通信地址信息进行解密处理，得到正常通信地址信息，有利于提高得到的正常通信地址信息的安全性和准确性。
85.在一个实施例中，上述步骤s203，在若目标通信地址信息为异常通信地址信息，则根据目标通信地址信息生成异常外联告警信号之前，还包括：将目标通信地址信息输入预先训练的异常通信地址信息识别模型进行处理，得到目标通信地址信息为异常通信地址信息的预测概率；若预测概率大于预设概率，则确认目标通信地址信息为异常通信地址信息。
86.其中，预先训练的异常通信地址信息识别模型，是一种用于识别出通信地址信息是否为异常通信地址信息的神经网络模型，比如卷积神经网络模型、深度学习模型等。
87.具体地，认证设备将目标通信地址信息输入预先训练的异常通信地址信息识别模型，通过预先训练的异常通信地址信息识别模型对输入的目标通信地址信息进行一系列处理，得到目标通信地址信息为异常通信地址信息的预测概率，比如0.9；若该预测概率大于预设概率(比如0.7)，则确认该目标通信地址信息为异常通信地址信息。
88.本实施例中，通过预先训练的异常通信地址信息识别模型，判断目标通信地址信息是否为异常通信地址信息，有利于提高常通信地址信息的识别准确率。
89.在一个实施例中，上述步骤s201，根据内网网络通信数据，确定出待识别的通信地址信息，具体包括：从内网网络通信数据中，识别出与通信地址信息标识符对应的信息，作为待识别的通信地址信息。
90.其中，通信地址信息标识符，是一种用于标识通信地址信息的符号。
91.具体地，认证设备获取通信地址信息标识符，并从内网网络通信数据中，识别出与该通信地址信息标识符对应的信息，将该信息作为待识别的通信地址信息。
92.本实施例中，根据通信地址信息标识符，识别出内网网络通信数据中的通信地址信息，作为待识别的通信地址信息，有利于提高待识别的通信地址信息的获取效率。
93.在一个实施例中，如图3所示，提供了另一种异常外联统计告警方法，以该方法应用于图1中的认证设备为例进行说明，包括以下步骤：
94.步骤s301，根据预设的用户网络环境，确定对应的通信地址信息。
95.步骤s302，对通信地址信息中的异常通信地址信息进行多次过滤处理，直到处理后的通信地址信息中不包含异常通信地址信息，则将处理后的通信地址信息作为正常通信地址信息。
96.步骤s303，根据预设秘钥对正常通信地址信息进行加密处理，得到密文，作为加密后的正常通信地址信息。
97.步骤s304，根据加密后的正常通信地址信息，得到加密后的通信地址信息集合。
98.步骤s305，从内网网络通信数据中，识别出与通信地址信息标识符对应的信息，作为待识别的通信地址信息。
99.步骤s306，获取预设的安全验证文件；安全验证文件用于验证加密后的通信地址信息集合是否安全；根据预设的安全验证文件，对加密后的通信地址信息集合进行验证。
100.步骤s307，当加密后的通信地址信息集合安全时，则对加密后的通信地址信息集合中的加密后的正常通信地址信息进行解密处理，得到正常通信地址信息。
101.步骤s308，从待识别的通信地址信息中，筛选出与正常通信地址信息不匹配的通信地址信息，作为目标通信地址信息。
102.步骤s309，将目标通信地址信息输入预先训练的异常通信地址信息识别模型进行处理，得到目标通信地址信息为异常通信地址信息的预测概率；若预测概率大于预设概率，则确认目标通信地址信息为异常通信地址信息。
103.步骤s310，若目标通信地址信息为异常通信地址信息，则根据目标通信地址信息生成异常外联告警信号，并将异常外联告警信号发送至对应的服务器；服务器用于根据异常外联告警信号，生成并返回相应的应急操作指令。
104.步骤s311，根据应急操作指令，断开针对目标通信地址信息的访问链接。
105.上述异常外联统计告警方法，先从待识别的通信地址信息中筛选出目标通信地址信息，再判断目标通信地址信息是否为异常通信地址信息，若是，则根据服务器返回的应急操作指令，断开针对目标通信地址信息的访问链接，有利于实时且准确地监控待识别的通信地址信息是否为异常通信地址信息，从而提高了异常外联统计告警的准确率。
106.为了更清晰阐明本技术实施例提供的异常外联统计告警方法，以下以一个具体的
实施例对该异常外联统计告警方法进行具体说明。在一个实施例中，如图4所示，本技术还提供了一种基于内网白名单的非法外联统计告警方法，通过建立白名单库进行非法外联统计告警，具体包括以下内容：
107.步骤s401，对于网络终端按照预设的用户网络环境，确定对应用户的目标ip信息和目标端口信息。
108.步骤s402，获取要安装的白名单软件列表。
109.具体地，认证设备判断目标ip信息和目标端口信息是否符合预设行为策略，如果符合预设行为策略，则将目标ip信息和目标端口信息对应添加至白名单库；如果目标ip信息和目标端口信息不符合预设行为策略；判断目标ip信息和目标端口信息的可执行程序对应的行为是否安全；如果可执行程序对应的行为安全，根据可执行程序对应的行为更新预设行为策略库，并将可执行程序添加到白名单库。
110.步骤s403，将目标ip信息和目标端口信息对应添加至白名单库，并建立内网白名单数据库。
111.步骤s404，实时读取内网白名单更新数据，解析白名单规则选中内网白名单，得到筛选后的目标ip信息和目标端口信息。
112.步骤s405，利用预设的告警匹配算法，对筛选后的目标ip信息和目标端口信息进行匹配。
113.步骤s406，当匹配成功时，确认存在非法外联行为。
114.步骤s407，根据非法外联行为发送非法外联告警信号。
115.具体地，当认证设备接收到服务端的应急操作指令，则断开非法外联行为，使内网终端的访问链接失效。
116.上述基于内网白名单的非法外联统计告警方法，可以达到以下技术效果：(1)解决了非法外联影响内部资源安全的重要方面，有效防范非法外联，对确定内部资源安全意义重大，及时检测出非法外联行为，以及针对非法外联行为作出相应的处理；(2)对内网设备进行外联监控，并记录内网设备外联的详细信息，以便为以后的审计工作提供数据，这有助于追踪内网数据泄露的源头。本发明中对内网设备的非法外联，可对内网终端发出应急操作指令，要求内网设备执行应急操作，避免内部信息的泄露，由认证设备直接向服务端发送告警信息，则无论内部受监控主机通过什么方式接入外网，都会受到服务端监控，同时也避免了内部受监控移动存储设备在不知情的情况下接入外网的情况。
117.应该理解的是，虽然图2-4的流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，这些步骤可以以其它的顺序执行。而且，图2-4中的至少一部分步骤可以包括多个步骤或者多个阶段，这些步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，这些步骤或者阶段的执行顺序也不必然是依次进行，而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
118.在一个实施例中，如图5所示，提供了一种异常外联统计告警装置，包括：信息确定模块510、信息筛选模块520、信号发送模块530和链接断开模块540，其中：
119.信息确定模块510，用于获取内网网络通信数据，根据内网网络通信数据，确定出待识别的通信地址信息。
120.信息筛选模块520，用于根据加密后的通信地址信息集合，从待识别的通信地址信息中筛选出目标通信地址信息；加密后的通信地址信息集合中存储有多个加密后的正常通信地址信息。
121.信号发送模块530，用于若目标通信地址信息为异常通信地址信息，则根据目标通信地址信息生成异常外联告警信号，并将异常外联告警信号发送至对应的服务器；服务器用于根据异常外联告警信号，生成并返回相应的应急操作指令。
122.链接断开模块540，用于根据应急操作指令，断开针对目标通信地址信息的访问链接。
123.在一个实施例中，异常外联统计告警装置还包括集合获取模块，用于根据预设的用户网络环境，确定对应的通信地址信息；获取通信地址信息中的正常通信地址信息，对正常通信地址信息进行加密处理，得到加密后的正常通信地址信息；根据加密后的正常通信地址信息，得到加密后的通信地址信息集合。
124.在一个实施例中，集合获取模块，还用于对通信地址信息中的异常通信地址信息进行多次过滤处理，直到处理后的通信地址信息中不包含异常通信地址信息，则将处理后的通信地址信息作为正常通信地址信息；根据预设秘钥对正常通信地址信息进行加密处理，得到密文，作为加密后的正常通信地址信息。
125.在一个实施例中，信息筛选模块520，还用于对加密后的通信地址信息集合中的加密后的正常通信地址信息进行解密处理，得到正常通信地址信息；从待识别的通信地址信息中，筛选出与正常通信地址信息不匹配的通信地址信息，作为目标通信地址信息。
126.在一个实施例中，信息筛选模块520，还用于获取预设的安全验证文件；安全验证文件用于验证加密后的通信地址信息集合是否安全；根据预设的安全验证文件，对加密后的通信地址信息集合进行验证；当加密后的通信地址信息集合安全时，则对加密后的通信地址信息集合中的加密后的正常通信地址信息进行解密处理，得到正常通信地址信息。
127.在一个实施例中，异常外联统计告警装置还包括信息识别模块，用于将目标通信地址信息输入预先训练的异常通信地址信息识别模型进行处理，得到目标通信地址信息为异常通信地址信息的预测概率；若预测概率大于预设概率，则确认目标通信地址信息为异常通信地址信息。
128.在一个实施例中，信息确定模块510，还用于从内网网络通信数据中，识别出与通信地址信息标识符对应的信息，作为待识别的通信地址信息。
129.关于异常外联统计告警装置的具体限定可以参见上文中对于异常外联统计告警方法的限定，在此不再赘述。上述异常外联统计告警装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中，也可以以软件形式存储于计算机设备中的存储器中，以便于处理器调用执行以上各个模块对应的操作。
130.在一个实施例中，提供了一种计算机设备，该计算机设备可以是终端，其内部结构图可以如图6所示。该计算机设备包括通过系统总线连接的处理器、存储器、通信接口、显示屏和输入装置。其中，该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算
机设备的通信接口用于与外部的终端进行有线或无线方式的通信，无线方式可通过wifi、运营商网络、nfc(近场通信)或其他技术实现。该计算机程序被处理器执行时以实现一种异常外联统计告警方法。该计算机设备的显示屏可以是液晶显示屏或者电子墨水显示屏，该计算机设备的输入装置可以是显示屏上覆盖的触摸层，也可以是计算机设备外壳上设置的按键、轨迹球或触控板，还可以是外接的键盘、触控板或鼠标等。
131.本领域技术人员可以理解，图6中示出的结构，仅仅是与本技术方案相关的部分结构的框图，并不构成对本技术方案所应用于其上的计算机设备的限定，具体的计算机设备可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。
132.在一个实施例中，还提供了一种计算机设备，包括存储器和处理器，存储器中存储有计算机程序，该处理器执行计算机程序时实现上述各方法实施例中的步骤。
133.在一个实施例中，提供了一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现上述各方法实施例中的步骤。
134.本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一非易失性计算机可读取存储介质中，该计算机程序在执行时，可包括如上述各方法的实施例的流程。其中，本技术所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用，均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(read-only memory，rom)、磁带、软盘、闪存或光存储器等。易失性存储器可包括随机存取存储器(random access memory，ram)或外部高速缓冲存储器。作为说明而非局限，ram可以是多种形式，比如静态随机存取存储器(static random access memory，sram)或动态随机存取存储器(dynamic random access memory，dram)等。
135.以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。
136.以上所述实施例仅表达了本技术的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本技术构思的前提下，还可以做出若干变形和改进，这些都属于本技术的保护范围。因此，本技术专利的保护范围应以所附权利要求为准。