基于端云联动的端口异常检测方法、装置、设备及介质与流程

1.本发明涉及计算机技术领域，特别涉及一种基于端云联动的端口异常检测方法、装置、设备及介质。


背景技术：

2.随着科学技术的发展，以及物联网、工业互联网、大数据云计算等领域的快速发展，目前各行业领域的终端设备量成几何级增长，故终端设备的网络安全问题已经成为国家战略问题。而终端设备的端口是整个终端设备安全系统中的一个重要环节，端口往往是外部攻击者发起攻击的第一步，一些不法攻击者常常通过高危端口渗透来获取企业甚至国家重要机密，给企业和国家带来严重的损失。故异常端口的检测是安全系统预防攻击者从外部直接入侵的第一条重要防线。
3.公开号为cn107465690b的中国专利公开了一种基于流量分析的被动式异常端口实时检测方法及系统，其基于实时采集网络出口的流量数据，并提取流量数据中的特征分析字段后生成日志数据，然后经过端口分析字段检测异常端口。其公开的技术存在的缺陷性在于数据来源的局限性，数据样本过于单一，端口异常分析策略过于单一，从而导致异常端口的检测存在一定的失误，而且当检测端口异常后不能对异常端口进行协作联动，无法及时进行端口安全干预，没有对异常端口形成一个完整闭环操作。总结来说，现有技术存在单一的异常端口检测策略问题，并且其策略规则没有考虑到多变化和通用化，新增很多规则要进行重新编码，并检测异常端口后缺少端侧联动操作，没有形成隔离阻断闭环。
4.为此，如何避免单一的异常端口检测策略以降低异常端口误报率，并实现对异常端口的隔离阻断闭环操作是本领域亟待解决的问题。


技术实现要素：

5.有鉴于此，本发明的目的在于提供一种基于端云联动的端口异常检测方法、装置、设备及介质，能够避免单一的异常端口检测策略以降低异常端口误报率，并实现对异常端口的隔离阻断闭环操作，其具体方案如下：第一方面，本技术公开了一种基于端云联动的端口异常检测方法，包括：获取终端设备边缘侧对采集到的各端口上的终端数据进行初次诊断得到的初次诊断数据；基于云平台中的自定义策略模板对所述初次诊断数据进行二次诊断，得到二次诊断数据；基于预设的端口异常检测规则从所述二次诊断数据中筛选出异常数据，然后对所述异常数据对应的异常端口进行危险等级划分；向危险等级大于目标危险等级的所述异常端口对应的终端设备下发隔离命令，以便所述终端设备在接收到所述隔离命令后，对所述异常端口进行隔离阻断。
6.可选的，所述获取终端设备边缘侧对采集到的各端口上的终端数据进行初次诊断
得到的初次诊断数据，包括：基于远程过程调用协议，获取终端设备边缘侧对采集到的各端口上的终端数据进行初次诊断得到的初次诊断数据。
7.可选的，所述获取终端设备边缘侧对采集到的各端口上的终端数据进行初次诊断得到的初次诊断数据，包括：在云平台中的消息队列中，获取终端设备边缘侧对采集到的各端口上的终端数据进行初次诊断得到的初次诊断数据。
8.可选的，所述基于云平台中的自定义策略模板对所述初次诊断数据进行二次诊断，得到二次诊断数据，包括：基于云平台中的自定义策略模板确定目标分析模型，并通过所述目标分析模型对所述初次诊断数据进行二次诊断，得到二次诊断数据。
9.可选的，所述对所述异常数据对应的异常端口进行危险等级划分之后，还包括：若所述异常端口的危险等级小于目标危险等级，则进行预警。
10.可选的，所述向危险等级大于目标危险等级的所述异常端口对应的终端设备下发隔离命令，包括：确定危险等级大于目标危险等级的所述异常端口；确定所述异常端口对应的终端设备标识，并基于所述终端设备标识向相应的终端设备下发隔离命令。
11.第二方面，本技术公开了一种基于端云联动的端口异常检测装置，包括：初次诊断数据获取模块，用于获取终端设备边缘侧对采集到的各端口上的终端数据进行初次诊断得到的初次诊断数据；二次诊断模块，用于基于云平台中的自定义策略模板对所述初次诊断数据进行二次诊断，得到二次诊断数据；等级划分模块，用于基于预设的端口异常检测规则从所述二次诊断数据中筛选出异常数据，然后对所述异常数据对应的异常端口进行危险等级划分；隔离命令下发模块，用于向危险等级大于目标危险等级的所述异常端口对应的终端设备下发隔离命令，以便所述终端设备在接收到所述隔离命令后，对所述异常端口进行隔离阻断。
12.可选的，所述二次诊断模块，包括：二次诊断单元，用于基于云平台中的自定义策略模板确定目标分析模型，并通过所述目标分析模型对所述初次诊断数据进行二次诊断，得到二次诊断数据。
13.第三方面，本技术公开了一种电子设备，包括：存储器，用于保存计算机程序；处理器，用于执行所述计算机程序，以实现前述公开的基于端云联动的端口异常检测方法。
14.第四方面，本技术公开了一种计算机可读存储介质，用于保存计算机程序；其中，所述计算机程序被处理器执行时实现前述公开的基于端云联动的端口异常检测方法。
15.可见，本技术提出一种基于端云联动的端口异常检测方法，包括：获取终端设备边缘侧对采集到的各端口上的终端数据进行初次诊断得到的初次诊断数据；基于云平台中的
自定义策略模板对所述初次诊断数据进行二次诊断，得到二次诊断数据；基于预设的端口异常检测规则从所述二次诊断数据中筛选出异常数据，然后对所述异常数据对应的异常端口进行危险等级划分；向危险等级大于目标危险等级的所述异常端口对应的终端设备下发隔离命令，以便所述终端设备在接收到所述隔离命令后，对所述异常端口进行隔离阻断。如此一来，本技术借助云端大数据计算能力，在终端设备完成初次诊断的基础上进行二次诊断，降低了异常端口误报率，并且基于端云联动，向危险等级大于目标危险等级的异常端口对应的终端设备下发隔离命令，从而实现了异常端口的隔离阻断闭环操作。
附图说明
16.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。
17.图1为本技术公开的一种基于端云联动的端口异常检测方法流程图；图2为本技术公开的一种具体的基于端云联动的端口异常检测方法流程图；图3为本技术公开的一种基于端云联动的端口异常检测装置的示意图；图4为本技术公开的一种具体的基于端云联动的端口异常检测方法的流程图；图5为本技术公开的一种基于端云联动的端口异常检测装置结构示意图；图6为本技术公开的一种电子设备结构图。
具体实施方式
18.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
19.现有技术存在单一的异常端口检测策略问题，并且其策略规则没有考虑到多变化和通用化，新增很多规则要进行重新编码，并检测异常端口后缺少端侧联动操作，没有形成隔离阻断闭环。
20.为此，本技术实施例提出一种基于端云联动的端口异常检测方案，能够避免单一的异常端口检测策略以降低异常端口误报率，并实现对异常端口的隔离阻断闭环操作。
21.本技术实施例公开了一种基于端云联动的端口异常检测方法，参见图1所示，该方法包括：步骤s11：获取终端设备边缘侧对采集到的各端口上的终端数据进行初次诊断得到的初次诊断数据。
22.需要指出的是，所述终端设备是指远端需要接入网络的终端，包括但不限于客户端、网络终端、物联网设备端。
23.本实施例中，所述终端设备边缘侧首先对采集到的各端口上的终端数据进行初次诊断得到初次诊断数据，然后将所述初次诊断数据发送至云平台的消息队列中，因此，本实施例在所述消息队列中获取终端设备边缘侧对采集到的各端口上的终端数据进行初次诊
断得到的初次诊断数据。所述云平台，也称为云计算，是指基于硬件资源和软件资源的服务，提供计算、网络和存储能力。
24.步骤s12：基于云平台中的自定义策略模板对所述初次诊断数据进行二次诊断，得到二次诊断数据。
25.本实施例中，所述自定义策略模块借助大数据的实时计算超强能力完成二次诊断，如此一来，能够避免单一的异常端口检测策略以降低异常端口误报率。所述自定义策略模块包括但不限于自定义领域专家策略模板以及机器学习策略模板。
26.步骤s13：基于预设的端口异常检测规则从所述二次诊断数据中筛选出异常数据，然后对所述异常数据对应的异常端口进行危险等级划分。
27.本实施例中，在确定出所述异常数据之后，基于预设的端口异常检测规则从所述二次诊断数据中筛选出异常数据，然后对所述异常数据对应的异常端口进行危险等级划分，如此一来，有利于基于所述异常端口的危险等级程度采取不同应对措施。
28.步骤s14：向危险等级大于目标危险等级的所述异常端口对应的终端设备下发隔离命令，以便所述终端设备在接收到所述隔离命令后，对所述异常端口进行隔离阻断。
29.本实施例中，若所述异常端口的危险等级小于目标危险等级，则进行预警，也即指经过诊断对异常端口进行预警处理。
30.当所述异常端口的危险等级大于目标危险等级，则向所述异常端口对应的终端设备下发隔离命令，以便所述终端设备在接收到所述隔离命令后，对所述异常端口进行隔离阻断。如此一来，本技术基于端云联动，实现了异常端口的隔离阻断闭环操作。
31.可见，本技术提出一种基于端云联动的端口异常检测方法，包括：获取终端设备边缘侧对采集到的各端口上的终端数据进行初次诊断得到的初次诊断数据；基于云平台中的自定义策略模板对所述初次诊断数据进行二次诊断，得到二次诊断数据；基于预设的端口异常检测规则从所述二次诊断数据中筛选出异常数据，然后对所述异常数据对应的异常端口进行危险等级划分；向危险等级大于目标危险等级的所述异常端口对应的终端设备下发隔离命令，以便所述终端设备在接收到所述隔离命令后，对所述异常端口进行隔离阻断。如此一来，本技术借助云端大数据计算能力，在终端设备完成初次诊断的基础上进行二次诊断，降低了异常端口误报率，并且基于端云联动，向危险等级大于目标危险等级的异常端口对应的终端设备下发隔离命令，从而实现了异常端口的隔离阻断闭环操作。
32.本技术实施例公开了一种具体的基于端云联动的端口异常检测方法，相对于上一实施例，本实施例对技术方案作了进一步的说明和优化。参见图2所示，具体包括：步骤s21：基于远程过程调用协议，获取终端设备边缘侧对采集到的各端口上的终端数据进行初次诊断得到的初次诊断数据。
33.本实施例中，通过所述远程过程调用协议（rpc，remote procedure call protocol）建立通信连接，如此一来，能够保证所述云平台无丢失并且高效率的获取到终端设备边缘侧对采集到的各端口上的终端数据进行初次诊断得到的初次诊断数据。
34.步骤s22：基于云平台中的自定义策略模板确定目标分析模型，并通过所述目标分析模型对所述初次诊断数据进行二次诊断，得到二次诊断数据。
35.本实施例中，在确定出所述初次诊断数据之后，基于云平台中的自定义策略模板确定目标分析模型，然后通过所述目标分析模型对所述初次诊断数据进行二次诊断，得到
二次诊断数据。
36.步骤s23：基于预设的端口异常检测规则从所述二次诊断数据中筛选出异常数据，然后对所述异常数据对应的异常端口进行危险等级划分。
37.其中，关于步骤s23更加具体的工作过程参见前述公开的实施例所示，在此不做具体赘述，步骤s24：确定危险等级大于目标危险等级的所述异常端口，确定所述异常端口对应的终端设备标识，并基于所述终端设备标识向相应的终端设备下发隔离命令，以便所述终端设备在接收到所述隔离命令后，对所述异常端口进行隔离阻断。
38.本实施例中，所述终端设备标识为用于表示所述终端设备的标识，通过确定所述异常端口对应的终端设备标识，进一步可以基于所述终端设备标识确定相应的终端设备，然后向所述终端设备下发隔离命令，以便所述终端设备在接收到所述隔离命令后，对所述异常端口进行隔离阻断。如此一来，本技术基于端云联动，实现了异常端口的隔离阻断闭环操作。
39.可见，本技术公开了一种基于端云联动的端口异常检测方法，包括：基于远程过程调用协议，获取终端设备边缘侧对采集到的各端口上的终端数据进行初次诊断得到的初次诊断数据；基于云平台中的自定义策略模板确定目标分析模型，并通过所述目标分析模型对所述初次诊断数据进行二次诊断，得到二次诊断数据；基于预设的端口异常检测规则从所述二次诊断数据中筛选出异常数据，然后对所述异常数据对应的异常端口进行危险等级划分；确定危险等级大于目标危险等级的所述异常端口，确定所述异常端口对应的终端设备标识，并基于所述终端设备标识向相应的终端设备下发隔离命令，以便所述终端设备在接收到所述隔离命令后，对所述异常端口进行隔离阻断，如此一来，本技术借助云端大数据计算能力，在终端设备完成初次诊断的基础上进行二次诊断，降低了异常端口误报率，并且基于端云联动，向危险等级大于目标危险等级的异常端口对应的终端设备下发隔离命令，从而实现了异常端口的隔离阻断闭环操作。此外，远程过程调用协议的使用能够保证所述云平台无丢失并且高效率的获取到终端设备边缘侧对采集到的各端口上的终端数据进行初次诊断得到的初次诊断数据，终端设备标识的引入能够帮助本技术确定相应的终端设备。
40.图3为本技术公开的一种基于端云联动的端口异常检测装置的示意图，具体包括以下几部分：（1）终端设备边缘模块：用于采集终端设备的端口、进程等信息，并基于边缘侧计算能力进行初步的数据清洗和异常端口的诊断，数据包括运维日志、业务日志、http（hyper text transfer protocol，超文本传输协议）接口、文本文件、简易引擎、sftp（ssh file transfer protocol，安全文件传送协议）/ftp（file transfer protocol，文件传输协议）数据源等。
41.（2）通信模块：用于基于远程过程调用协议，将终端设备数据传输到大数据云平台中的消息队列。
42.（3）云平台策略模块：云平台策略模块借助大数据的实时计算超强能力，把接收的数据按自定义领域专家策略或机器学习策略模板进行异常端口的二次诊断，并按危险程度对异常端口进行等级划分。
43.（4）端云联动模块：用于按照异常端口的危险等级，通过云平台向终端设备进行下发隔离命令，引导终端设备进行异常端口隔离。具体的，确定危险等级大于目标危险等级的异常端口，确定所述异常端口对应的终端设备标识，并基于所述终端设备标识向相应的终端设备下发隔离命令，以便所述终端设备在接收到所述隔离命令后，对所述异常端口进行隔离阻断。
44.基于端云联动的端口异常检测装置，本技术中的基于端云联动的端口异常检测方法具体可以包括以下内容，参见图4所示：步骤1：终端设备边缘侧捕捉终端设备的端口、进程等数据信息；步骤2：终端设备边缘侧进行初步的数据清洗和异常端口的诊断；步骤3：通信模块将初步诊断数据通过远程过程调用协议通信路由发送到云平台；步骤4：云平台策略模块借助大数据的实时计算超强能力，对接收的诊断数据按云端策略进行二次诊断；步骤5：对满足异常端口规则的数据进行标签化并甄选出异常端口，对异常端口的危险程度进行危险等级划分；步骤6：端云联动模块向危险等级大于目标危险等级的异常端口（也即高危险异常端口）对应的终端设备下发隔离命令，以便终端设备在接收到隔离命令后，对异常端口进行隔离阻断；需要指出的是，若异常端口的危险等级小于目标危险等级，则进行预警。
45.如此一来，本技术借助云端大数据计算能力，在终端设备完成初次诊断的基础上进行二次诊断，降低了异常端口误报率，实现了终端设备和云端的多连接，数据量的高吞吐，并且基于端云联动，向危险等级大于目标危险等级的异常端口对应的终端设备下发隔离命令，从而实现了异常端口的隔离阻断闭环操作。
46.相应的，本技术实施例还公开了一种基于端云联动的端口异常检测装置，参见图5所示，该装置包括：初次诊断数据获取模块11，用于获取终端设备边缘侧对采集到的各端口上的终端数据进行初次诊断得到的初次诊断数据；二次诊断模块12，用于基于云平台中的自定义策略模板对所述初次诊断数据进行二次诊断，得到二次诊断数据；等级划分模块13，用于基于预设的端口异常检测规则从所述二次诊断数据中筛选出异常数据，然后对所述异常数据对应的异常端口进行危险等级划分；隔离命令下发模块14，用于向危险等级大于目标危险等级的所述异常端口对应的终端设备下发隔离命令，以便所述终端设备在接收到所述隔离命令后，对所述异常端口进行隔离阻断。
47.其中，关于上述各个模块更加具体的工作过程可以参考前述实施例中公开的相应内容，在此不再进行赘述。
48.其中，所述二次诊断模块12，具体可以包括：二次诊断单元，用于基于云平台中的自定义策略模板确定目标分析模型，并通过所述目标分析模型对所述初次诊断数据进行二次诊断，得到二次诊断数据。
49.可见，本技术提出一种基于端云联动的端口异常检测方法，包括：获取终端设备边缘侧对采集到的各端口上的终端数据进行初次诊断得到的初次诊断数据；基于云平台中的
自定义策略模板对所述初次诊断数据进行二次诊断，得到二次诊断数据；基于预设的端口异常检测规则从所述二次诊断数据中筛选出异常数据，然后对所述异常数据对应的异常端口进行危险等级划分；向危险等级大于目标危险等级的所述异常端口对应的终端设备下发隔离命令，以便所述终端设备在接收到所述隔离命令后，对所述异常端口进行隔离阻断。如此一来，本技术借助云端大数据计算能力，在终端设备完成初次诊断的基础上进行二次诊断，降低了异常端口误报率，并且基于端云联动，向危险等级大于目标危险等级的异常端口对应的终端设备下发隔离命令，从而实现了异常端口的隔离阻断闭环操作。
50.进一步的，本技术实施例还提供了一种电子设备。图6是根据一示例性实施例示出的电子设备20结构图，图中的内容不能认为是对本技术的使用范围的任何限制。
51.图6为本技术实施例提供的一种电子设备20的结构示意图。该电子设备20，具体可以包括：至少一个处理器21、至少一个存储器22、显示屏23、输入输出接口24、通信接口25、电源26、和通信总线27。其中，所述存储器22用于存储计算机程序，所述计算机程序由所述处理器21加载并执行，以实现前述任一实施例公开的基于端云联动的端口异常检测方法中的相关步骤。另外，本实施例中的电子设备20具体可以为电子计算机。
52.本实施例中，电源26用于为电子设备20上的各硬件设备提供工作电压；通信接口25能够为电子设备20创建与外界设备之间的数据传输通道，其所遵循的通信协议是能够适用于本技术技术方案的任意通信协议，在此不对其进行具体限定；输入输出接口24，用于获取外界输入数据或向外界输出数据，其具体的接口类型可以根据具体应用需要进行选取，在此不进行具体限定。
53.另外，存储器22作为资源存储的载体，可以是只读存储器、随机存储器、磁盘或者光盘等，其上所存储的资源可以包括计算机程序221，存储方式可以是短暂存储或者永久存储。其中，计算机程序221除了包括能够用于完成前述任一实施例公开的由电子设备20执行的基于端云联动的端口异常检测方法的计算机程序之外，还可以进一步包括能够用于完成其他特定工作的计算机程序。
54.进一步的，本技术实施例还公开了一种计算机可读存储介质，用于存储计算机程序；其中，所述计算机程序被处理器执行时实现前述公开的基于端云联动的端口异常检测方法。
55.关于该方法的具体步骤可以参考前述实施例中公开的相应内容，在此不再进行赘述。
56.本技术书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其它实施例的不同之处，各个实施例之间相同或相似部分互相参见即可对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。
57.专业人员还可以进一步意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本技术的范围。
58.结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块，或者二者的结合来实施。软件模块可以置于随机存储器（ram）、内存、只读存储器（rom）、电可编程rom、电可擦除可编程rom、寄存器、硬盘、可移动磁盘、cd-rom、或技术领域内所公知的任意其它形式的存储介质中。
59.最后，还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
60.以上对本技术所提供的一种基于端云联动的端口异常检测方法、装置、设备、存储介质进行了详细介绍，本文中应用了具体个例对本技术的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本技术的方法及其核心思想；同时，对于本领域的一般技术人员，依据本技术的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本技术的限制。