CN112995152B - 一种风险端口检测方法、装置、设备和介质 - Google Patents
一种风险端口检测方法、装置、设备和介质 Download PDFInfo
- Publication number
- CN112995152B CN112995152B CN202110174442.8A CN202110174442A CN112995152B CN 112995152 B CN112995152 B CN 112995152B CN 202110174442 A CN202110174442 A CN 202110174442A CN 112995152 B CN112995152 B CN 112995152B
- Authority
- CN
- China
- Prior art keywords
- port
- destination
- source
- information
- risk
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请提供一种风险端口检测方法、装置、设备和介质,该方法包括:获取连接的审计日志,审计日志的审计字段包括源IP、目的IP、与目的IP对应的目的端口;根据IP地址库中的IP地址归属信息并结合资产配置信息中的IP内外网属性信息,确定源IP和目的IP的内外网属性;根据源IP和目的IP的内外网属性确定目的端口是否为风险端口。本申请实时检测出内网对内网或者内网对外网开放的风险端口,极大地提高了风险端口检测的实时性和准确性,改善用户体验。
Description
技术领域
本申请涉及端口检测技术领域,特别涉及一种风险端口检测方法、装置、电子设备和计算机可读存储介质。
背景技术
相关技术中进行端口扫描主要是主动发送数据包探测,直接通过端口的连通性判断端口是否开放,依赖主动扫描,不能实现实时扫描;持续大量的发送数据包可能造成网络拥堵;由于端口扫描简单,造成检测准确性较低的问题。
因此,如何提供一种解决上述技术问题的方案是本领域技术人员目前需要解决的问题。
发明内容
本申请的目的是提供一种风险端口检测方法、装置、电子设备和计算机可读存储介质,能够实时检测出内网对内网或者内网对外网开放的风险端口,极大地提高了风险端口检测的实时性和准确性,改善用户体验。其具体方案如下:
本申请提供了一种风险端口检测方法,包括:
获取连接的审计日志,所述审计日志的审计字段包括源IP、目的IP、与所述目的IP对应的目的端口;
根据IP地址库中的IP地址归属信息并结合资产配置信息中的IP内外网属性信息,确定所述源IP和所述目的IP的内外网属性;
根据所述源IP和所述目的IP的内外网属性确定所述目的端口是否为风险端口。
优选的,所述审计日志包括流量审计日志,所述流量审计日志为对获取的流量信息进行审计得到,其中,所述流量信息包括所述源IP对应的源端口的流量信息和所述目的端口的流量信息。
优选的,还包括:针对所述连接建立连接跟踪,利用所述连接跟踪得到所述流量信息。
优选的,所述流量审计日志包括会话开始时间、会话持续时间、会话状态、请求数据包数、请求数据包总大小、应用信息、响应数据包数和响应数据包总大小中的一种或多种。
优选的,所述审计日志包括:协议审计日志,所述协议审计日志为通过协议类型和/或操作阶段对所述流量信息进行协议审计得到,其中,所述流量信息包括所述源IP对应的源端口的流量信息和所述目的端口的流量信息。
优选的,所述通过协议类型和/或操作阶段对所述流量信息进行协议审计包括:
根据所述连接的协议的协议类型和/或所述流量信息对应的操作阶段,确定所述连接对应的审计字段,基于所述审计字段对所述流量信息进行审计得到所述协议审计日志。
优选的,所述根据所述源IP和所述目的IP的内外网属性确定所述目的端口是否为风险端口,包括:
以所述目的IP、目的端口为键对所述审计日志进行聚合,得到访问所述目的端口的源IP的数量和/或数据包大小和/或数据包数量;
根据访问所述目的端口的源IP的数量和/或所述数据包大小和/或所述数据包数量,结合预设风险应用端口信息,确定聚合后的所述目的IP对应的所述目的端口是否为所述风险端口。
本申请提供了一种风险端口检测装置,包括:
获取模块,用于获取连接的审计日志,所述审计日志的审计字段包括源IP、目的IP、与所述目的IP对应的目的端口;
内外网属性确定模块,用于根据IP地址库中的IP地址归属信息并结合资产配置信息中的IP内外网属性信息,确定所述源IP和所述目的IP的内外网属性;
风险端口确定模块,用于根据所述源IP和所述目的IP的内外网属性确定所述目的端口是否为风险端口。
本申请提供了一种电子设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如上所述风险端口检测方法的步骤。
本申请提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上所述风险端口检测方法的步骤。
本申请提供一种风险端口检测方法,包括:获取连接的审计日志,所述审计日志的审计字段包括源IP、目的IP、与所述目的IP对应的目的端口;根据IP地址库中的IP地址归属信息并结合资产配置信息中的IP内外网属性信息,确定所述源IP和所述目的IP的内外网属性;根据所述源IP和所述目的IP的内外网属性确定所述目的端口是否为风险端口。
可见,本申请对连接进行监测,得到连接的审计日志,该审计日志的审计字段包括源IP、目的IP和目的端口,根据***内存储的IP地址库中的IP地址归属信息确定源IP的内外网属性,辅助资产配置信息中的IP内外网属性信息确定目的IP的内外网属性,得到目的端口的对外开放情况,并根据源IP和所述目的IP的内外网属性确定所述目的端口是否为所述风险端口,实时检测出内网对内网或者内网对外网开放的风险端口,极大地提高了风险端口检测的实时性和准确性,改善用户体验。
本申请同时还提供了一种风险端口检测装置、***、设备和介质,均具有上述有益效果,在此不再赘述。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请实施例所提供的一种风险端口检测方法的流程图;
图2为本申请实施例提供的一种风险端口检测***的结构示意图;
图3为本申请实施例提供的另一种风险端口检测***的结构示意图;
图4为本申请实施例所提供的一种风险端口检测装置的结构示意图;
图5为本申请实施例提供的一种电子设备的结构示意图;
图6为本申请实施例提供的另一种电子设备的结构图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
相关技术中进行端口扫描主要是主动发送数据包探测,直接通过端口的连通性判断端口是否开放,依赖主动扫描,不能实现实时扫描;持续大量的发送数据包可能造成网络拥堵;由于端口扫描简单,造成检测准确性较低的问题。
为解决上述技术问题,本实施例提供一种风险端口检测方法、装置、设备和介质,该方法包括:获取连接的审计日志,审计日志的审计字段包括源IP、目的IP、与目的IP对应的目的端口;根据IP地址库中的IP地址归属信息并结合资产配置信息中的IP内外网属性信息,确定源IP和目的IP的内外网属性;根据源IP和目的IP的内外网属性确定目的端口是否为风险端口。
本实施例对连接进行监测,得到连接的审计日志,该审计日志的审计字段包括源IP、目的IP和目的端口,根据***内存储的IP地址库中的IP地址归属信息确定源IP的内外网属性,辅助资产配置信息中的IP内外网属性信息确定目的IP的内外网属性,得到目的端口的对外开放情况,并根据源IP和目的IP的内外网属性确定目的端口是否为风险端口,实时检测出内网对内网或者内网对外网开放的风险端口,极大地提高了风险端口检测的实时性和准确性,改善用户体验。
具体请参考图1,图1为本申请实施例所提供的一种风险端口检测方法的流程图,具体包括:
S101、获取连接的审计日志,审计日志的审计字段包括源IP、目的IP、与目的IP对应的目的端口;
本实施例对连接进行监测,一旦监测到有连接,就获取连接的审计日志。其中,获取连接的审计日志的方式可以是主动扫描得到审计日志,还可以是被动扫描得到审计日志,本实施例不再进行限定,只要是能够实现本实施例的目的即可。其中,连接一般包括源IP(Internet Protocol,网际互连协议)、目的IP、源端口、目的端口和传输的协议。
S102、根据IP地址库中的IP地址归属信息并结合资产配置信息中的IP内外网属性信息,确定源IP和目的IP的内外网属性;
本步骤中IP地址库是为了确定源IP的内外网属性,资产配置信息是为了确定目的IP的内外网属性。
其中,IP地址库中包括多个IP的IP地址归属信息,在IP地址库中匹配到与源IP对应的内外网属性,资产配置信息中存储有多个IP的资产属性,即哪些网段属于内网终端,哪些网段是内网的服务器,哪些网段是内网的IP;通过这些信息可以确定目的IP的内外网属性。
S103、根据源IP和目的IP的内外网属性确定目的端口是否为风险端口。
风险端口是开放后,因为自身软件、协议缺陷或配置不当,存在较大主机被控制或敏感信息泄露风险的端口,如远控类端口、数据库类端口、木马类端口。
本步骤中,根据源IP和目的IP的内外网属性,得到目的端口的对外开放情况,并根据源IP和目的IP的内外网属性确定目的端口是否为风险端口,实时检测出内网对内网或者内网对外网开放的风险端口,极大地提高了风险端口检测的实时性和准确性,改善用户体验。
基于上述技术方案,本实施例对连接进行监测,得到连接的审计日志,该审计日志的审计字段包括源IP、目的IP和目的端口,根据***内存储的IP地址库中的IP地址归属信息确定源IP的内外网属性,辅助资产配置信息中的IP内外网属性信息确定目的IP的内外网属性,得到目的端口的对外开放情况,并根据源IP和目的IP的内外网属性确定目的端口是否为风险端口,实时检测出内网对内网或者内网对外网开放的风险端口,极大地提高了风险端口检测的实时性和准确性,改善用户体验。
在一种可实现的实施方式中,审计日志包括流量审计日志,流量审计日志为对获取的流量信息进行审计得到,其中,流量信息包括源IP对应的源端口的流量信息和目的端口的流量信息。
为了保证审计日志的完整性,进而提高端口检测的精准度,获取的流量审计日志为对获取的流量信息进行审计得到,流量信息包括源IP对应的源端口的流量信息和目的端口的流量信息。
可以理解的是该流量信息是在连接的会话完成后,得到的包括源IP对应的源端口的流量信息和目的端口的流量信息。本实施例在连接的会话完成后,对包括源IP对应的源端口的流量信息和目的端口的流量信息进行审计,得到流量审计日志,其中,单一的流量和单一数据包容易造成审计日志分析时的错误,如果源IP仅仅是发包探测目的端口,可以理解的是,防火墙具有代理功能,可能存在后续通信不会进行,此时单一的流量较小,如果按照单一流量审计下来,如果目的端口是风险端口,最终确定风险端口被开放,实际上目的端口并没有开放,造成了风险端口检测准确度较低。
可见,本实施例通过将包括源IP对应的源端口的流量信息和目的端口的流量信息进行审计得到流量审计日志,可以获得完整的连接的源端口和目的端***互的多个数据包,以使后续流量审计日志分析的过程更加准确,提高了端口检测的精准度。
进一步的,为了减少网络拥堵实现实时监测,本实施例进行被动流量发现,获取到每个连接的流量信息,具体的,还包括:针对连接建立连接跟踪,利用连接跟踪得到流量信息。
本实施例中对每个连接建立连接跟踪,主要是为了根据该连接跟踪获取连接的流量信息。连接包括源IP、目的IP、源端口、目的端口、协议,连接的交互的数据包会归类到连接跟踪中,有多少流量,来回数据包多少。
其中,针对多个连接建立连接跟踪可以是通过核心交换镜像将内网间流量、内网与外网之间的流量映射到设备中,实现了被动流量发现,获取到每个连接的流量信息,不会造成网络拥堵,实现了实时监测。设备的驱动层对每条连接建立连接跟踪,以便获取每个连接的流量信息,具体可以是利用Netflow网络监测功能收集进入及离开网络界面的IP封包的数量及资讯。
可见,本实施例对连接建立连接跟踪,实现了被动流量发现,获取到每个连接的流量信息,不会造成网络拥堵,实现了实时监测。
进一步的,流量审计日志包括会话开始时间、会话持续时间、会话状态、请求数据包数、请求数据包总大小、应用信息、响应数据包数和响应数据包总大小中的一种或多种。
其中会话开始时间是建立源IP对应的源端口和目的端口的连接后,在两者产生会话,记录的时间;会话持续时间是该会话从开始到结束的时长;会话状态包括未知新建连接和/或连接建立成功和/或连接正常结束和/或连接重置;请求数据包数为源端口发送至目的端口的请求数据包数量;请求数据包总大小为源端口发送至目的端口的请求数据包的总大小;响应数据包数为目的端口响应源端口的数据包;响应数据包总大小为目的端口响应源端口的数据包的总大小。
应用信息为对流量信息中的数据包进行应用识别得到的信息;具体的,对流量信息中的请求数据包和/或响应数据包进行应用识别,得到应用信息;将应用信息写入审计字段。进行应用识别主要是为了确定运行的是游戏、浏览器还是数据库,跟踪判断该行为是否具有风险,例如,外网连接内网服务器是正常的,但是外网连接内网数据库或者内网远程桌面,那么该应用是异常的,进而可以提高端口检测的可信度。在得到应用信息,匹配出应用后,把识别的应用赋值到内存存储的连接跟踪结构里,连接在会话完成后,将日志审计下来。其中,会话完成包括会话结束和/或会话超时,其中,会话结束是TCP(TransmissionControl Protocol,传输控制协议)正常FIN或RST结束连接,会话超时为TCP超时或,UDP(User Datagram Protocol,用户数据报协议)超时(TCP设置了30分钟,UDP超时设置了10秒钟),Netflow把日志审计下来,将审计日志存储到探针设备磁盘中。
不识别应用的话,当***设置该应用开放的目的端口是90,但是实际应用开放的端口还包括80、8000、4000时,容易存在端口遗漏的情况的发生,进而在进行审计日志分析时,造成风险端口确定错误的情况的发生;并且,若确定端口80开放web应用,但是实际中端口80在跑数据库应用,由于***确定的端口80是正常端口,最终得到该端口80不是风险端口,实际上,该端口80在跑数据库应用是一个风险端口,造成端口识别误判的情况的发生。
本实施例不对应用识别的方式进行限定,用户可自定义设置,只要是能够实现本实施例的目的即可。对于应用识别可以采用端口匹配的方式,但是该匹配方式检测准确度不高的问题;当然还可以采用数据包特征匹配的方式,具体的,对每个流量信息中的数据包进行应用识别,应用识别为数据包规则匹配逻辑,通过对网络连接里的端口、数据包特征进行单一或多条规则的匹配,准确识别出连接里内网侧应用作为应用信息。本步骤得到应用信息能够避免端口遗漏,同时也会减少风险端口误判的情况的发生。当应用识别完成后,将应用信息写入审计字段中。可见,本实施例对流量信息中的数据包进行应用识别,能够避免端口遗漏和减少端口误判的情况的发生,提高了端口检测的准确性。
当然,流量审计日志还可以包括三层协议(IPv4/IPv6)、源端口、四层协议TCP(Transmission Control Protocol,传输控制协议)/UDP(User Datagram Protocol)。可以理解的是,RDP(Remote Desktop Protocol,远程桌面协议)正常连接、关闭连接状态为连接重置,与常规应用不同,从流量审计日志中排除RDP日志,RDP端口开放情况在协议审计日志分析,排除连接状态为未知、连接重置的日志,也就是说流量审计日志不能审计得到RDP日志;其中,RDP属于风险应用,开放端口属于风险端口。
进一步的,本实施例针对协议审计进行进一步阐述,其中,审计日志包括:协议审计日志,协议审计日志为通过协议类型和/或操作阶段对流量信息进行协议审计得到,其中,流量信息包括源IP对应的源端口的流量信息和目的端口的流量信息。
可以理解的是,流量审计日志是无差别的进行所有连接的审计,但是协议审计日志是针对协议类型进行协议审计,因此,协议审计限于设定的协议类型,审计的范围小,更加准确,提高了审计的细腻度。在连接的会话完成后,网络连接的源IP对应的源端口的流量信息和目的端口的流量信息传达到应用层代理程序,通过协议类型和/或操作阶段对流量信息进行协议审计得到协议审计日志。其中,协议类型包括:MySQL、Oracle、SSH(SecureShell,安全外壳协议)、IMAP(Internet Message Access Protocol,因特网消息访问协议)、SMTP(Simple Mail Transfer Protocol,简单邮件传输协议)、POP3(Post OfficeProtocol-Version 3,邮局协议版本3)、RDP、SMB(Server Message Block,服务器信息块)、FTP(File Transfer Protocol,文件传输协议)、TELNET(远程终端协议)、LDAP(Lightweight Directory Access Protocol,轻型目录访问协议)、HTTP(HypertextTransfer Protocol,超文本传输协议)中的任意一种。进一步的,协议审计日志中包括RDP审计日志,RDP正常连接关闭连接状态为连接重置,与常规应用不同,分析流量审计日志中会排除掉这类日志,所以RDP开放情况分析RDP协议审计日志得到。可以理解的是,流量日志审计中并不能审计到RDP审计日志,因此,本实施例中利用协议审计日志能够准确的对RDP审计日志进行分析,确定风险端口。操作阶段为流量信息对应的操作阶段,根据当前交互的数据包确定当前所处的操作阶段。
可见,本实施例实现的是协议审计日志来进行风险端口的检测,协议审计限于设定的协议类型,审计的范围小,更加准确,提高了端口检测的准确性。
进一步的,通过协议类型和/或操作阶段对流量信息进行协议审计包括:根据连接的协议的协议类型和/或流量信息对应的操作阶段,确定连接对应的审计字段,基于审计字段对流量信息进行审计得到协议审计日志。
可以理解的是,不同类型的协议,审计字段不同,同一协议,不同阶段审计内容也有差异,操作阶段为流量信息对应的操作阶段,根据当前交互的数据包确定当前所处的操作阶段。如TELNET,登录阶段,除了公共字段如源IP、目的IP、源端口、目的端口,还存储用户、密码、登录状态和登录返回信息;命令交互阶段,除了公共字段,还存储用户、命令输入、结果返回。得到协议审计日志后,将协议审计日志存储到磁盘。
可见,本实施例中审计日志包括协议审计日志,能够实现多种协议的审计,适用范围广,提高了危险端口检测的准确性。
进一步的,应用层代理程序根据应用信息和端口分发审计插件,进一步进行协议审计和存储,其中,协议审计为根据协议具体交互流程和通信数据包结构,把交互命令、数据包按照文本可视格式存储。例如,当应用信息是协议类型MySQL(关系型数据库管理***)或对应的目的端口为3306(目的端口3306对应协议类型)的数据包分发MySQL审计插件,根据MySQL审计插件进行协议审计,得到协议审计日志。
进一步的,针对风险端口的确定进行进一步阐述,其中,根据源IP和目的IP的内外网属性确定目的端口是否为风险端口,包括:
以目的IP、目的端口为键对审计日志进行聚合,得到访问目的端口的源IP的数量和/或数据包大小和/或数据包数量;
根据访问目的端口的源IP的数量和/或数据包大小和/或数据包数量,结合预设风险应用端口信息,确定聚合后的目的IP对应的目的端口是否为风险端口。
本实施例以目的IP、目的端口为键,审计日志进行聚合,以根据聚合后的结果确定目的端口是否为风险端口。预设风险应用端口信息至少包括:远控应用端口信息、数据库端口信息、文件传输端口信息、木马端口信息。通过聚合源IP和数据包数确定该目的端口是否真的开放了,具体是,当数据包数大于预设数量时,确定该目的端口开放了。其中,该源IP是所有访问目的IP的IP。主要是为了避免由于防火墙的代理功能造成的错误的确定该目的端口开放的情况的发生。
具体的,根据访问目的端口的源IP的数量结合预设风险应用端口信息,确定聚合后的目的IP对应的目的端口是否为风险端口;或,根据访问目的端口的数据包大小结合预设风险应用端口信息,确定聚合后的目的IP对应的目的端口是否为风险端口;或,根据访问目的端口的数据包数量结合预设风险应用端口信息,确定聚合后的目的IP对应的目的端口是否为风险端口;或,根据访问目的端口的源IP的数量和数据包大小结合预设风险应用端口信息,确定聚合后的目的IP对应的目的端口是否为风险端口;.或,根据访问目的端口的数据包大小和数据包数量结合预设风险应用端口信息,确定聚合后的目的IP对应的目的端口是否为风险端口;或,根据访问目的端口的源IP的数量和数据包数量结合预设风险应用端口信息,确定聚合后的目的IP对应的目的端口是否为风险端口;或,根据访问目的端口的源IP的数量和数据包大小和数据包数量结合预设风险应用端口信息,确定聚合后的目的IP对应的目的端口是否为风险端口。
具体是根据源IP的数量和/或数据包大小和/或数据包数量确定该目的端口是否真的开放了,具体是,当源IP的数量大于预设IP数量和/或数据包数大于预设数量,和/或数据包大小大预设大小时,确定该目的端口开放了。其中,该源IP是所有访问目的IP的IP。
如果该目的IP对应的目的端口没有开放,则该目的端口不是风险端口。
如果该目的IP对应的目的端口开放了,则根据预设风险应用端口信息结合源IP目的IP的内外网属性,确定目的IP对应的目的端口是否为风险端口。其中,预设风险应用端口可以是人工分析产出的风险应用端口列表(如远控应用端口、数据库端口、文件传输端口、木马端口)。
进一步的,在协议审计日志进行风险端口分析时,该预设风险应用端口可以包括多个风险端口和应用的对应关系,根据协议审计日志中的应用结果和对应的目的端口进行预设风险应用端口信息的匹配,匹配成功后,确定该目的端口为风险端口,提高了风险端口的可信度。
进一步的,为了便于用户清楚了解当前的端口检测情况,本实施例中将审计日志的审计字段进行展示,可以是全部的审计字段还可以是部分审计字段,用户可自定设置,可以理解的是流量审计日志与协议审计日志的审计字段不同,因此,展示内容不同。
基于上述任一实施例,本实施例提供一种风险端口检测***,其中,该风险端口检测***包括探针设备和服务器,其中,该服务器中设置有安全感知平台,具体请参考图2,图2为本申请实施例提供的一种风险端口检测***的结构示意图,其中,
探针10,用于采集连接的审计日志;
服务器20,用于获取连接的审计日志,审计日志的审计字段包括源IP、目的IP、与目的IP对应的目的端口;根据IP地址库中的IP地址归属信息并结合资产配置信息中的IP内外网属性信息,确定源IP和目的IP的内外网属性;根据源IP和目的IP的内外网属性确定目的端口是否为风险端口。
其中,该探针10可以为用户提供一个或者多个输入输出接口,输入输出接口与输入装置连接,接收用户手动输入的指令信息或者参数,该输入装置可以是触摸屏、键盘、鼠标、麦克风等,然后通过上述一个或者多个输入输出接口,可以获取用户输入的指令信息或者参数,根据该指令信息或者参数来对多个端口的连接建立连接跟踪;探针10还通过设备端口与服务器20连接,可以是HTTP接口。日志同步程序实时把审计日志通过https同步到服务器20,服务器20中的分析程序实时对审计日志进行逐条分析,根据审计日志利用IP地址库、资产配置信息确定多个端口中的风险端口和对应的IP地址。其中,根据IP地址库可以确定源IP的目的归属。
基于上述技术方案,本实施例的探针10对连接进行监测,得到连接的审计日志,审计日志的审计字段包括源IP、目的IP和目的端口,并发送至服务器20,服务器20根据***内存储的IP地址库中的IP地址归属信息确定源IP的内外网属性,辅助资产配置信息中的IP内外网属性信息确定目的IP的内外网属性,得到目的端口的对外开放情况,并根据源IP和目的IP的内外网属性确定目的端口是否为风险端口,实时检测出内网对内网或者内网对外网开放的风险端口,极大地提高了风险端口检测的实时性和准确性,改善用户体验。
进一步的,请参考图3,图3为本申请实施例提供的另一种风险端口检测***的结构示意图,其中,探针10侧的协议审计模块会进行流量信息的协议审计得到协议审计日志,发送至日志同步模块,探针10利用应用识别模块进行应用识别,然后应用识别得到的应用信息被netflow审计模块审计下来,最后流量日志模块将流量审计日志发送至日志同步模块,日志同步模块通过HTTPs将审计日志(协议审计日志和流量审计日志)同步至服务器20,服务器20的日志接收模块接收协议审计日志和流量审计日志,然后协议审计日志模块将协议审计日志和流量日志模块将流量审计日志发送至日志分析模块进行日志分析,日志分析模块结合资产配置模块中的IP内外网属性信息和IP地址库中的的IP地址归属信息进行分析,得到风险端口。
具体的,探针10对流量信息进行流量审计,得到流量审计日志,其中,流量审计日志的审计字段还包括会话开始时间、会话持续时间、会话状态、请求数据包数、请求数据包总大小、响应数据包数和响应数据包总大小;对应的,服务器20根据IP地址库中的IP地址归属信息并结合资产配置信息中的IP内外网属性信息,确定源IP和目的IP的内外网属性;根据源IP和目的IP的内外网属性确定目的端口是否为风险端口。
进一步的,探针10对获取的流量信息进行审计得到流量审计日志,流量信息包括源IP对应的源端口的流量信息和目的端口的流量信息;对应的,服务器20根据IP地址库中的IP地址归属信息并结合资产配置信息中的IP内外网属性信息,确定源IP和目的IP的内外网属性;根据源IP和目的IP的内外网属性确定目的端口是否为风险端口。
进一步的,探针10还用于针对连接建立连接跟踪,利用连接跟踪得到流量信息。
进一步的,探针10得到的流量审计日志包括流量审计日志包括会话开始时间、会话持续时间、会话状态、请求数据包数、请求数据包总大小、应用信息、响应数据包数和响应数据包总大小中的一种或多种。
进一步的,探针10还用于通过协议类型和/或操作阶段对流量信息进行协议审计得到协议审计日志,其中,流量信息包括源IP对应的源端口的流量信息和目的端口的流量信息。
进一步的,探针10还用于根据连接的协议的协议类型和/或流量信息对应的操作阶段,确定连接对应的审计字段,基于审计字段对流量信息进行审计得到协议审计日志。
进一步的,服务器20还用于以目的IP、目的端口为键对审计日志进行聚合,得到访问目的端口的源IP的数量和/或数据包大小和/或数据包数量;
根据访问目的端口的源IP的数量和/或数据包大小和/或数据包数量,结合预设风险应用端口信息,确定聚合后的目的IP对应的目的端口是否为风险端口。
下面对本申请实施例提供的一种风险端口检测装置进行介绍,下文描述的风险端口检测装置与上文描述的风险端口检测方法可相互对应参照,参考图4,图4为本申请实施例所提供的一种风险端口检测装置的结构示意图,包括:
获取模块401,用于获取连接的审计日志,审计日志的审计字段包括源IP、目的IP、与目的IP对应的目的端口;
内外网属性确定模块402,用于根据IP地址库中的IP地址归属信息并结合资产配置信息中的IP内外网属性信息,确定源IP和目的IP的内外网属性;
风险端口确定模块403,用于根据源IP和目的IP的内外网属性确定目的端口是否为风险端口。
优选的,审计日志包括流量审计日志,流量审计日志为对获取的流量信息进行审计得到,其中,流量信息包括源IP对应的源端口的流量信息和目的端口的流量信息。
优选的,还包括:连接跟踪建立模块,用于针对连接建立连接跟踪,利用连接跟踪得到流量信息。
优选的,流量审计日志包括会话开始时间、会话持续时间、会话状态、请求数据包数、请求数据包总大小、应用信息、响应数据包数和响应数据包总大小中的一种或多种。
优选的,审计日志包括:协议审计日志,协议审计日志为通过协议类型和/或操作阶段对流量信息进行协议审计得到,其中,流量信息包括源IP对应的源端口的流量信息和目的端口的流量信息。
优选的,还包括:
协议审计模块,用于根据连接的协议的协议类型和/或流量信息对应的操作阶段,确定连接对应的审计字段,基于审计字段对流量信息进行审计得到协议审计日志。
优选的,风险端口确定模块403用于:
以目的IP、目的端口为键对审计日志进行聚合,得到访问目的端口的源IP的数量和/或数据包大小和/或数据包数量;
根据访问目的端口的源IP的数量和/或数据包大小和/或数据包数量,结合预设风险应用端口信息,确定聚合后的目的IP对应的目的端口是否为风险端口。
由于装置部分的实施例与方法部分的实施例相互对应,因此装置部分的实施例请参见方法部分的实施例的描述,这里暂不赘述。
下面对本申请实施例提供的一种电子设备进行介绍,下文描述的电子设备与上文描述的风险端口检测方法可相互对应参照。
本申请还提供了一种电子设备,参见图5所示,图5为本申请实施例提供的一种电子设备的结构示意图,包括:
存储器100,用于存储计算机程序;
处理器200,用于执行计算机程序时实现如上述风险端口检测方法的步骤。
存储器100包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作***和计算机可读指令,该内存储器为非易失性存储介质中的操作***和计算机可读指令的运行提供环境。处理器200为电子设备提供计算和控制能力,执行存储器100中保存的计算机程序时,可以实现以下步骤:获取连接的审计日志,审计日志的审计字段包括源IP、目的IP、与目的IP对应的目的端口;
根据IP地址库中的IP地址归属信息并结合资产配置信息中的IP内外网属性信息,确定源IP和目的IP的内外网属性;
根据源IP和目的IP的内外网属性确定目的端口是否为风险端口。
在一些具体的实施例中,处理器200执行存储器100中保存的计算机子程序时,可以实现以下步骤:针对连接建立连接跟踪,利用连接跟踪得到流量信息。
在一些具体的实施例中,处理器200执行存储器100中保存的计算机子程序时,可以实现以下步骤:根据连接的协议的协议类型和/或流量信息对应的操作阶段,确定连接对应的审计字段,基于审计字段对流量信息进行审计得到协议审计日志。
在一些具体的实施例中,处理器200执行存储器100中保存的计算机子程序时:以目的IP、目的端口为键对审计日志进行聚合,得到访问目的端口的源IP的数量和/或数据包大小和/或数据包数量;
根据访问目的端口的源IP的数量和/或数据包大小和/或数据包数量,结合预设风险应用端口信息,确定聚合后的目的IP对应的目的端口是否为风险端口。
在上述实施例的基础上,作为优选实施方式,参见图6,图6为本申请实施例提供的另一种电子设备的结构图,该电子设备还包括:
输入接口300,与处理器200相连,用于获取外部导入的计算机程序、参数和指令,经处理器200控制保存至存储器100中。该输入接口300可以与输入装置相连,接收用户手动输入的参数或指令。该输入装置可以是显示屏上覆盖的触摸层,也可以是终端外壳上设置的按键、轨迹球或触控板,也可以是键盘、触控板或鼠标等。
显示单元400,与处理器200相连,用于显示处理器200发送的数据。该显示单元400可以为PC机(Personal Computer,个人计算机)上的显示屏、液晶显示屏或者电子墨水显示屏等。
网络端口500,与处理器200相连,用于与外部各终端设备进行通信连接。该通信连接所采用的通信技术可以为有线通信技术或无线通信技术,如移动高清链接技术(MobileHigh-Definition Link,MHL)、通用串行总线(Universal Serial Bus,USB)、高清多媒体接口(High Definition Multimedia Interface,HDMI)、无线保真技术(WiFi)、蓝牙通信技术、低功耗蓝牙通信技术、基于IEEE802.11s的通信技术等。
由于电子设备部分的实施例与风险端口检测方法部分的实施例相互对应,因此电子设备部分的实施例请参见风险端口检测方法部分的实施例的描述,这里暂不赘述。
下面对本申请实施例提供的一种计算机可读存储介质进行介绍,下文描述的计算机可读存储介质与上文描述的方法可相互对应参照。
本实施例提供一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现如上述风险端口检测方法的步骤。
由于计算机可读存储介质部分的实施例与方法部分的实施例相互对应,因此计算机可读存储介质部分的实施例请参见方法部分的实施例的描述,这里暂不赘述。
说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(Random AccessMemory,RAM)、内存、只读存储器(Read-Only Memory,ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
以上对本申请所提供的一种风险端口检测方法、装置、电子设备及计算机可读存储介质进行了详细介绍。本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请权利要求的保护范围内。
Claims (9)
1.一种风险端口检测方法,其特征在于,包括:
获取连接的审计日志,所述审计日志的审计字段包括源IP、目的IP、与所述目的IP对应的目的端口;
根据IP地址库中的IP地址归属信息并结合资产配置信息中的IP内外网属性信息,确定所述源IP和所述目的IP的内外网属性;所述IP地址库中包括多个IP的IP地址归属信息,在IP地址库中匹配到与源IP对应的内外网属性;所述资产配置信息中存储有多个IP的资产属性,即哪些网段属于内网终端,哪些网段是内网的服务器,哪些网段是内网的IP;通过所述资产属性可以确定所述目的IP的内外网属性;
根据所述源IP和所述目的IP的内外网属性确定所述目的端口是否为风险端口;
其中,所述根据所述源IP和所述目的IP的内外网属性确定所述目的端口是否为风险端口,包括:
以所述目的IP、目的端口为键对所述审计日志进行聚合,得到访问所述目的端口的源IP的数量和/或数据包大小和/或数据包数量;
当所述源IP的数量大于预设IP数量和/或所述数据包数量大于预设数量和/或所述数据包大小大于预设大小时,判定所述目的IP对应的目的端口已开放,并结合预设风险应用端口信息,确定聚合后的所述目的IP对应的所述目的端口是否为所述风险端口。
2.根据权利要求1所述的风险端口检测方法,其特征在于,所述审计日志包括流量审计日志,所述流量审计日志为对获取的流量信息进行审计得到,其中,所述流量信息包括所述源IP对应的源端口的流量信息和所述目的端口的流量信息。
3.根据权利要求2所述的风险端口检测方法,其特征在于,还包括:针对连接建立连接跟踪,利用所述连接跟踪得到所述流量信息。
4.根据权利要求2所述的风险端口检测方法,其特征在于,所述流量审计日志包括会话开始时间、会话持续时间、会话状态、请求数据包数、请求数据包总大小、应用信息、响应数据包数和响应数据包总大小中的一种或多种。
5.根据权利要求1所述的风险端口检测方法,其特征在于,所述审计日志包括:协议审计日志,所述协议审计日志为通过协议类型和/或操作阶段对流量信息进行协议审计得到,其中,所述流量信息包括所述源IP对应的源端口的流量信息和所述目的端口的流量信息。
6.根据权利要求5所述的风险端口检测方法,其特征在于,所述通过协议类型和/或操作阶段对所述流量信息进行协议审计包括:
根据连接协议的协议类型和/或所述流量信息对应的操作阶段,确定所述连接对应的审计字段,基于所述审计字段对所述流量信息进行审计得到所述协议审计日志。
7.一种风险端口检测装置,其特征在于,包括:
获取模块,用于获取连接的审计日志,所述审计日志的审计字段包括源IP、目的IP、与所述目的IP对应的目的端口;
内外网属性确定模块,用于根据IP地址库中的IP地址归属信息并结合资产配置信息中的IP内外网属性信息,确定所述源IP和所述目的IP的内外网属性;所述IP地址库中包括多个IP的IP地址归属信息,在IP地址库中匹配到与源IP对应的内外网属性;所述资产配置信息中存储有多个IP的资产属性,即哪些网段属于内网终端,哪些网段是内网的服务器,哪些网段是内网的IP;通过所述资产属性可以确定所述目的IP的内外网属性;
风险端口确定模块,用于根据所述源IP和所述目的IP的内外网属性确定所述目的端口是否为风险端口;
其中,所述风险端口确定模块,具体用于:
以所述目的IP、目的端口为键对所述审计日志进行聚合,得到访问所述目的端口的源IP的数量和/或数据包大小和/或数据包数量;
当所述源IP的数量大于预设IP数量和/或所述数据包数量大于预设数量和/或所述数据包大小大于预设大小时,判定所述目的IP对应的目的端口已开放,并结合预设风险应用端口信息,确定聚合后的所述目的IP对应的所述目的端口是否为所述风险端口。
8.一种电子设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至6任一项所述风险端口检测方法的步骤。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至6任一项所述风险端口检测方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110174442.8A CN112995152B (zh) | 2021-02-07 | 2021-02-07 | 一种风险端口检测方法、装置、设备和介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110174442.8A CN112995152B (zh) | 2021-02-07 | 2021-02-07 | 一种风险端口检测方法、装置、设备和介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112995152A CN112995152A (zh) | 2021-06-18 |
| CN112995152B true CN112995152B (zh) | 2022-11-22 |
Family
ID=76347798
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110174442.8A Active CN112995152B (zh) | 2021-02-07 | 2021-02-07 | 一种风险端口检测方法、装置、设备和介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112995152B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113259202A (zh) * | 2021-06-28 | 2021-08-13 | 四川新网银行股份有限公司 | 一种监控不安全文件共享的方法与*** |
| CN113922991A (zh) * | 2021-09-18 | 2022-01-11 | 深信服科技股份有限公司 | 一种资源监控方法、装置、电子设备及存储介质 |
| CN115296917B (zh) * | 2022-08-09 | 2023-07-07 | 山东港口科技集团烟台有限公司 | 资产暴露面信息获取方法、装置、设备以及存储介质 |
| CN115913683B (zh) * | 2022-11-07 | 2024-04-30 | 中国联合网络通信集团有限公司 | 风险访问记录生成方法、装置、设备及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111385260A (zh) * | 2018-12-28 | 2020-07-07 | 广州市百果园信息技术有限公司 | 一种端口探测方法、***、服务器和存储介质 |
| CN111404956A (zh) * | 2020-03-25 | 2020-07-10 | 深信服科技股份有限公司 | 一种风险信息获取方法、装置、电子设备及存储介质 |
| CN112039905A (zh) * | 2020-09-03 | 2020-12-04 | 杭州安恒信息技术股份有限公司 | 基于反向连接的网络通信方法、装置及电子设备和介质 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108173825B (zh) * | 2017-12-21 | 2021-01-01 | 奇安信科技集团股份有限公司 | 一种网络流量审计方法及装置 |
| CN110191004B (zh) * | 2019-06-18 | 2022-05-27 | 北京搜狐新媒体信息技术有限公司 | 一种端口检测方法及*** |
| CN111385293B (zh) * | 2020-03-04 | 2021-06-22 | 腾讯科技(深圳)有限公司 | 一种网络风险检测方法和装置 |
| CN111857965A (zh) * | 2020-07-28 | 2020-10-30 | 浙江军盾信息科技有限公司 | 内网威胁检测方法、装置、设备和计算机设备 |
| CN112272179B (zh) * | 2020-10-23 | 2022-02-22 | 新华三信息安全技术有限公司 | 一种网络安全处理方法、装置、设备及机器可读存储介质 |
-
2021
- 2021-02-07 CN CN202110174442.8A patent/CN112995152B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111385260A (zh) * | 2018-12-28 | 2020-07-07 | 广州市百果园信息技术有限公司 | 一种端口探测方法、***、服务器和存储介质 |
| CN111404956A (zh) * | 2020-03-25 | 2020-07-10 | 深信服科技股份有限公司 | 一种风险信息获取方法、装置、电子设备及存储介质 |
| CN112039905A (zh) * | 2020-09-03 | 2020-12-04 | 杭州安恒信息技术股份有限公司 | 基于反向连接的网络通信方法、装置及电子设备和介质 |
Non-Patent Citations (1)
| Title |
|---|
| 基于IPv6的分布式智能防火墙***的设计与实现;刘增辉等;《北京工业大学学报》;20111215(第12期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112995152A (zh) | 2021-06-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112995152B (zh) | 一种风险端口检测方法、装置、设备和介质 | |
| US11706238B2 (en) | Systems and methods for attack simulation on a production network | |
| US9660833B2 (en) | Application identification in records of network flows | |
| US11265334B1 (en) | Methods and systems for detecting malicious servers | |
| US20130227690A1 (en) | Program analysis system and method thereof | |
| EP3014810A1 (en) | Method and system for managing a host-based firewall | |
| WO2022099946A1 (zh) | 游戏数据加速方法、存储介质、电子设备及*** | |
| CN112165445B (zh) | 用于检测网络攻击的方法、装置、存储介质及计算机设备 | |
| WO2022257226A1 (zh) | 基于网络空间测绘的蜜罐识别方法、装置、设备及介质 | |
| CN112887333A (zh) | 一种异常设备检测方法、装置、电子设备及可读存储介质 | |
| JP6962374B2 (ja) | ログ分析装置、ログ分析方法及びプログラム | |
| CN116418567A (zh) | 一种网络协议安全性测试*** | |
| WO2015176516A1 (zh) | 一种业务流程的跟踪方法及装置 | |
| CN114760216A (zh) | 一种扫描探测事件确定方法、装置及电子设备 | |
| CN114328216A (zh) | 一种漏洞挖掘的方法和装置 | |
| JP2009123143A (ja) | 記録装置、記録プログラム、および記録方法 | |
| CN116896514B (zh) | 基于深度学习的网络资产识别方法、装置、设备和介质 | |
| CN113242205B (zh) | 网络流量分类控制方法、装置、服务器及存储介质 | |
| US20230275920A1 (en) | Systems and Methods for Attack Simulation on a Production Network | |
| CN111669376B (zh) | 一种内网安全风险识别的方法和装置 | |
| CN109660507B (zh) | 与用户端通信的方法、装置、设备及可读存储介质 | |
| TWI704784B (zh) | 通聯監控裝置、通聯監控方法及其非暫態有形機器可讀介質 | |
| Akindeinde | Security Analysis and Data Visualization | |
| CN115134096A (zh) | 一种rat连接检测方法、流量审计设备及介质 | |
| CN116866082A (zh) | 基于云网络的安全测评***及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |