CN115913688B - 一种网络数据安全监听方法、装置、设备及存储介质 - Google Patents

Abstract

本申请涉及人工智能和网络安全领域，包括一种网络数据安全监听方法、***、计算机设备及存储介质。本申请通过获取设备识别规则，利用所述设备识别规则对多个授权设备的通信源数据进行数据识别，得到所述授权设备对应的安全表征阈；监听所述授权设备构建的通信网络中每个所述授权设备产生的实时交互流量，得到实时表征参数；判定所述实时表征参数是否超出所述安全表征阈；当超出时，输出非可信设备信号，可以利用本申请提出的方案提高检测存在对未授权设备接入企业网络情况的准确性，也保证了有效监听的情况下的便利性，降低了运营成本。

Description

一种网络数据安全监听方法、装置、设备及存储介质

技术领域

本申请涉及人工智能和网络安全领域，尤其涉及一种网络数据安全监听方法、装置、计算机设备及存储介质。

背景技术

企业网络的安全问题越来越受到重视，目前企业网络安全，常常是通过部署防火墙根据业务设置合理的ACL策略，来管控外部攻击流量对内网的侵扰。除了外部的攻击流量外，由内而外的威胁也在逐渐常态化，所以对于企业内部网络，也需加强安全策略，特别是未授权设备的接入和访问。针对未授权设备的接入和访问的行为，一则难以被及时发现，二则存在极大风险隐患，如何利用技术手段，快速检测到当前企业网络中，是否存在未授权设备的接入和访问就显得尤为重要。传统的方法主要是通过网络接入层采用通过采用mac+ip绑定的方式，再通过用户授权校验后，才让设备准入。但本方法例如很难检测到通过这些已授权访问的设备作为跳板，进而非法接入的其他设备。因此针对现有传统技术的不足，需要提出一种可以不影响正常办公的情况下，可靠性和稳定性较高，能针对未授权的接入设备进行有效监控的方法，以保证企业网路的安全问题。

发明内容

本申请实施例的目的在于提出一种网络数据安全监听方法，用于以解决现有技术中监听公司内部网络中是否存在未授权设备的安全问题。

为了解决上述技术问题，本申请实施例提供一种网络数据安全监听方法，采用了如下所述的技术方案：

获取设备识别规则，利用所述设备识别规则对多个授权设备的通信源数据进行数据识别，得到所述授权设备对应的安全表征阈；

监听所述授权设备构建的通信网络中每个所述授权设备产生的实时交互流量，得到实时表征参数；

判定所述实时表征参数是否超出所述安全表征阈；

当超出时，输出非可信设备信号。

进一步的，该方法还包括：

获取所述设备识别规则，其中，所述设备识别规则包括：地址识别规则、***指纹识别规则和交互终端识别规则；

利用所述地址识别规则识别所述通信源数据，得到地址值；

利用所述***指纹识别规则识别所述通信源数据，得到***指纹值；

利用所述交互终端识别规则识别所述通信源数据，得到终端配置值。

进一步的，该方法还包括：

提取所述授权设备对应的所述地址值的安全地址值区间，得到第一表征阈；

提取所述授权设备对应的所述***指纹值的安全***值区间，得到第二表征阈；

提取所述授权设备对应的所述终端配置值的安全终端值区间，得到第三表征阈；

汇总所有所述第一表征阈、所述第二表征阈和所述第三表征阈，形成每个所述首尔全设备对应的所述安全表征阈。

进一步的，该方法还包括：

监听所述授权设备是否产生实时交互流量；

当产生时，向所述授权设备发送实时请求数据，得到所述授权设备的响应数据包；

对所述响应数据包进行数据提取，得到所述授权设备的实时流量参数。

进一步的，该方法还包括：

利用所述地址识别规则识别所述实时流量参数，得到实时地址数据；

利用所述***指纹识别规则识别所述实时流量参数，得到实时***指纹数据；

利用所述交互终端识别规则识别所述实时流量参数，得到实时终端配置数据；

汇总所述实时地址数据、所述实时***指纹数据和所述实时终端配置数据，形成实时表征参数。

进一步的，该方法还包括：

收集网络开源数据，其中，所述网络安全开源数据包括：开源事件数据和开源态势数据；

通过所述开源事件数据对所述开源态势数据进行数据特征分析，得到所述开源态势数据对应的事件特征参数；

利用预先构建好的分类模型对所述事件特征参数进行事件分类，形成所述事件特征参数对应的事件分类。

进一步的，该方法还包括：

提取所述非可信设备信号中对应的所述实时表征参数；

利用所述预设的分类模型计算所述实时表征参数为所述事件分类中的威胁事件的概率，形成威胁概率；

当所述威胁概率超出预设的阈值时，结合所述实施表征参数和所述威胁事件生成设备威胁报告。

为了解决上述技术问题，本申请实施例还提供一种网络数据安全监听装置，采用了如下所述的技术方案：

一种网络数据安全监听装置，所述网络数据安全监听装置包括：

获取模块，用于获取设备识别规则；

特征识别模块，用于利用所述设备识别规则对多个授权设备的通信源数据进行数据识别，得到所述授权设备对应的安全表征阈；

监听模块，用于监听所述授权设备构建的通信网络中每个所述授权设备产生的实时交互流量，得到实时表征参数；

判定模块，用于所述实时表征参数是否超出所述安全表征阈，当超出所述安全表征阈时，输出非可信设备提示。

为了解决上述技术问题，本申请实施例还提供一种计算机设备，采用了如下所述的技术方案：

一种计算机设备，包括存储器和处理器，所述存储器中存储有计算机可读指令，所述处理器执行所述计算机可读指令时实现如上述的网络数据安全监听方法的步骤。

为了解决上述技术问题，本申请实施例还提供一种计算机可读存储介质，采用了如下所述的技术方案

一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有计算机可读指令，所述计算机可读指令被处理器执行时实现如上述的网络数据安全监听方法的步骤。

与现有技术相比，本申请实施例主要有以下有益效果：本发明主要利用人工智能对企业安全事件进行归纳分类后，提取相对应的设备识别规则，通过设备识别规则对授权设备进行安全表征检测，可以得到授权设备的安全表征阈值区间，利用这个阈值区间去监听由授权设备构建的通信网络，当存在超过本阈值区间的数据存在是，根据归纳后的企业安全事件进一步判定是否存在未授权设备的接入现象，提高了检测存在对未授权设备接入企业网络情况的准确性，也保证了有效监听的情况下的便利性，也不需要安装对应的客户端，降低了运营成本。

附图说明

为了更清楚地说明本申请中的方案，下面将对本申请实施例描述中所需要使用的附图作一个简单介绍，显而易见地，下面描述中的附图是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本申请可以应用于其中的示例性***架构图；

图2是根据本申请的网络数据安全监听方法的一个实施方式的流程图；

图3是根据本申请中步骤S200的一种实施方式的流程图；

图4是本根据本申请的网络数据安全监听方法的一个实施例的结构图

图5是根据本申请的计算机设备的一个实施例的结构示意图。

具体实施方式

除非另有定义，本文所使用的所有的技术和科学术语与属于本申请的技术领域的技术人员通常理解的含义相同；本文中在申请的说明书中所使用的术语只是为了描述具体的实施例的目的，不是旨在于限制本申请；本申请的说明书和权利要求书及上述附图说明中的术语“包括”和“具有”以及它们的任何变形，意图在于覆盖不排他的包含。本申请的说明书和权利要求书或上述附图中的术语“第一”、“第二”等是用于区别不同对象，而不是用于描述特定顺序。

在本文中提及“实施例”意味着，结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例，也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是，本文所描述的实施例可以与其它实施例相结合。

为了使本技术领域的人员更好地理解本申请方案，下面将结合附图，对本申请实施例中的技术方案进行清楚、完整地描述。

如图1所示，***架构100可以包括终端设备101、102、103，网络104和服务器105。网络104用以在终端设备101、102、103和服务器105之间提供通信链路的介质。网络104可以包括各种连接类型，例如有线、无线通信链路或者光纤电缆等等。

用户可以使用终端设备101、102、103通过网络104与服务器105交互，以接收或发送消息等。终端设备101、102、103上可以安装有各种通讯客户端应用，例如网页浏览器应用、购物类应用、搜索类应用、即时通信工具、邮箱客户端、社交线上平台软件等。

终端设备101、102、103可以是具有显示屏并且支持网页浏览的各种电子设备，包括但不限于智能手机、平板电脑、电子书阅读器、MP3播放器(Moving PictureExpertsGroup Audio Layer III，动态影像专家压缩标准音频层面3)、MP4(MovingPictureExperts Group Audio Layer IV，动态影像专家压缩标准音频层面4)播放器、膝上型便携计算机和台式计算机等等。

服务器105可以是提供各种服务的服务器，例如对终端设备101、102、103上显示的页面提供支持的后台服务器。

需要说明的是，本申请实施例所提供的网络数据安全监听方法一般由服务器/终 端设备执行，相应地，网络数据安全监听装置一般设置于服务器/终端设备中。

应该理解，图1中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要，可以具有任意数目的终端设备、网络和服务器。

继续参考图2，示出了根据本申请提出的网络数据安全监听方法的一个实施例的流程图。本申请实施例可以基于人工智能技术对相关的数据进行获取和处理。其中，人工智能(Artificial Intelligence，AI)是利用数字计算机或者数字计算机控制的机器模拟、延伸和扩展人的智能，感知环境、获取知识并使用知识获得最佳结果的理论、方法、技术及应用***。

人工智能基础技术一般包括如传感器、专用人工智能芯片、云计算、分布式存储、大数据处理技术、操作/交互***、机电一体化等技术。人工智能软件技术主要包括计算机视觉技术、机器人技术、生物识别技术、语音处理技术、自然语言处理技术以及机器学习/深度学习等几大方向。所述网络数据安全监听方法，包括以下步骤：

在本实施例中，网络数据安全监听方法包括：

S200获取设备识别规则，利用所述设备识别规则对多个授权设备的通信源数据进行数据识别，得到所述授权设备对应的安全表征阈。

本发明实施例中，参照图3所示，所述在获取设备识别规则之前，还包括：

S201:收集网络开源数据，其中，所述网络安全开源数据包括：开源事件数据和开源态势数据；

具体的，网络安全开源数据包括：开源事件数据和开源态势数据，首先对网络安全开源数据中的开源事件数据和开源态势数据进行数据分析，本申请可以使用预先构建的机械学习模型进行实现，以对网络安全开源数据进行有效的分类。

开源事件数据是指发生安全事件时收集到的数据，开源事件数据可以通过公开的三大网络安全数据库进行采集，这三大网络安全数据库分别是：VERIS CommnunityDatabase(VCDB)、Hackmageddon和The Web Hacing Incidents Database(WHID)。

开源态势数据是指对开源事件数据的发生存在影响的数据，现有技术中，对开源态势数据进行分析的方法主要是，通过分析网络的误配置或与标准/建议配置的差异程度或者分析来自于该网络的恶意行为程度，对恶意行为程度的分析获得的开源态势数据也可以称之为威胁事件，

需要说明的是，开源事件数据和开源态势数据并不是一个数值，而是包含多个特征维度的数据参数，开源事件数据根据其来源不同，包含的特征维度可能存在不同，本实施例主要通过对传输协议维度、操作***维度和终端标识维度进行说明。同时应理解，网络态势指的是由各种网络设备运行状况、网络行为以及用户行为等因素所构成的整个网络当前状态和变化趋势。态势感知则是在大规模网络环境中，对能够引起态势发生变化的安全要素进行获取、理解、显示以及预测未来的趋势，本实施例中，结合开源事件数据进行开源态势感知，有利于快速高效地确定可能存在的网络安全隐患，有利于提高网络安全监控的及时性。

S202：通过所述开源事件数据对所述开源态势数据进行数据特征分析，得到所述开源态势数据对应的事件特征参数；

具体的，在本实施例中，通过结合所述开源事件数据，对所述开源态势数据进行数据预处理并进行数据聚合特征分析，得到开源态势数据对应的事件特征参数。为了能提高对网络的安全监控时不会产生误判，提升其精准性，对开源态势数据进行数据预处理，得到对应的事件特征参数，其中，事件特征参数是用于表征开源态势数据中，各种数据特征的数学表达，其具体可以是向量的形式。

S203：利用预先构建好的分类模型对所述事件特征参数进行事件分类，形成所述事件特征参数对应的事件分类：

具体的，在本实施例中，首先提取训练好的随机森林模型，该随机森林模型包括多棵决策树，每棵决策树对应一个分类，将事件特征参数输入到预先训练好的随机森林模型中，通过该随机森林模型对事件特征参数进行训练，得到与该特征值最为匹配的决策树，并获取该决策树的分枝分类，作为分类后的设备识别规则。需要说明的是，随机森林(Randomforest)指的是利用多棵树对样本进行训练并预测的一种分类器。在机器学习中，随机森林是一个包含多个决策树的分类器，并且其输出的类别是由个别树输出的类别的众数而定。随机森林中的每棵决策树，在训练好后，包含固定的分枝分类，每个分枝代表一个数据的维度特征。

进一步的，获取设备识别规则，其中，设备识别规则是预先通过筛选现有的IP/TCP协议簇和或OSI协议簇中的任一协议组成协议组，并提取协议组的中每个协议的协议规则进行构建的，本发明主要阐述利用其中一部分协议进行说明，包括：IP协议、HTTP协议、ICMP协议、TCP协议和UDP协议，对协议规则进行提取得到了IP协议规则、HTTP协议规则、ICMP协议规则、TCP协议规则和UDP协议规则，汇总得到设备识别规则。

进一步的，需要说明的是，本申请所述的授权设备是指构建企业内部网络的网络设备，如何进行设备授权的方法可以是现有公开技术上的任一一种授权方法。利用上述设备识别规则对授权设备的通信源数据进行识别，并形成每个授权设备对应的特征参数，其中，首先提取授权设备的IP地址，IP地址的提取可以通过IP协议规则进行识别，对每个授权设备的IP地址进行赋值得到对应的地址值。

具体的，在本实施例中，根据返回的TTL字段，识别授权设备的字段值，如UNIX及类UNIX操作***的TTL字段值为255，则对授权设备进行赋值为1；需要说明的是，对授权设备进行***指纹赋值之前，还会获取***数据，对现有的不同版本的***进行赋值，得到对应的***指纹列表，当识别到授权设备的***特征识别后，得出对应的***，并通过***指纹列表进行赋值，得到授权设备的***指纹值。

在另一较佳的实施例中，还通过ICMP协议规则、TCP协议规则和UDP协议规则对授权设备的***指纹进行识别。但需要说明的是，实现对授权设备的***指纹识别是通过现有的扫描软件利用上述规则进行的，现有技术常用的扫描程序包括如：Nmap、Xprobe2、Zmap或者Maccan等。本发明以Nmap和/或Xprobe2对授权设备的进行扫描得到授权设备对应的***指纹，对识别到的***进行赋值汇总后，得到***指纹列表。

具体的，在本实施例中，可以利用Nmap向授权设备的IP地址发送UDP与TCP数据包，根据授权设备返回的响应程序进行TCP/IP操作***指纹识别工作，利用Xprobe2向授权设备的IP地址发送ICMP数据包并分析其响应来进行TCP/IP操作***指纹识别工作，汇总返回的操作***指纹数据，对其进行数据去噪之后，进行赋值，进一步的，识别授权设备的浏览器特征进行终端配置值的生成，其中，包括采集授权设备的浏览器特征数据，其中，所述终端配置值至少包括UserAgent、浏览器语言、分辨率、色深、时区、拥有的数据存储方式、CPU类别、安装插件和安装字体的至少其中之一，并对其赋值，得到终端配置值。

进一步的，提取授权终端对应的地址值的安全地址值区间，其中，通过训练好的随机森林模型针对授权设备终端的IP地址情况进行分类识别，提取非威胁事件中IP地址值的安全地址值区间，得到第一表征阈；

提取授权终端对应的***指纹值的安全***值区间，其中，通过训练好的随机森林模型针对授权设备的***指纹值进行分类识别，提取非威胁事件中***指纹值的安全***值区间，得到第二表征阈；

提取授权终端对应的终端配置值的安全终端值区间，其中，通过训练好的随机森林模型针对授权设备的终端配置值进行分类识别，提取非威胁事件中终端配置值的安全终端值区间，得到第三表征阈；

汇总所有第一表征阈、所述第二表征阈和所述第三表征阈，形成每个所述授权设备对应的安全表征阈。

S210：监听授权设备构建的通信网络中每个授权设备产生的实时交互流量，得到实时表征参数。

具体的，在本实施例中，对授权设备进行监听，当授权设备产生实时交互流量时，向授权设备发送实时请求数据，得到对应授权设备的响应数据包，对响应数据包进行数据提取，得到授权设备的实时流量参数。

具体的，在本实施例中，利用地址识别规则识别实时流量参数，得到实时地址数据；利用***指纹识别规则识别所述实时流量参数，得到实时***指纹数据；利用交互终端识别规则识别实时流量参数，得到实时终端配置数据；汇总实时地址数据、实时***指纹数据和实时终端配置数据，形成实时表征参数。

S220：判定实时表征参数是否超出安全表征阈；当超出时，输出非可信设备信号。

具体的，在本实施例中，对产生了实时流量参数的终端设备进行安全判定，提取实时表征参数中的实时地址数据、实时***指纹数据和实时终端配置数据，通过上述方法构建好的安全表征阈进行数值判定，当实时表征参数超出安全表征参数时，锁定对应的终端设备进行非可信标识。

进一步的，在本实施例中，利用设备识别规则中的IP协议、HTTP协议、ICMP协议、TCP协议和UDP协议，对终端设备的重新进行扫描，并构建的虚拟机进行通信，通过对是设备身份识别与握手请求，读取CPU模块、内存卡、IP地址、***数据的情况，并利用构建的虚拟机对比详细的报文功能和内容，当返回的信息与真实的信息有所差异，则提取授权设备的安全表征参数；

进一步的，提取所述非可信设备信号中对应的所述实时表征参数；利用所述预设的分类模型计算所述实时表征参数为所述事件分类中的威胁事件的概率，形成威胁概率；当所述威胁概率超出预设的阈值时，结合所述实施表征参数和所述威胁事件，生成设备威胁报告，并输出所述设备威胁报告对应的非可信设备警告。

与现有技术相比，本申请实施例主要有以下有益效果：本发明主要利用人工智能对企业安全事件进行归纳分类后，提取相对应的设备识别规则，通过设备识别规则对授权设备进行安全表征检测，可以得到授权设备的安全表征阈值区间，利用这个阈值区间去监听由授权设备构建的通信网络，当存在超过本阈值区间的数据存在是，根据归纳后的企业安全事件进一步判定是否存在未授权设备的接入现象，提高了检测存在对未授权设备接入企业网络情况的准确性，也保证了有效监听的情况下的便利性，也不需要安装对应的客户端，降低了运营成本。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，该计算机程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，前述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory，ROM)等非易失性存储介质，或随机存储记忆体(Random Access Memory，RAM)等。

应该理解的是，虽然附图的流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，其可以以其他的顺序执行。而且，附图的流程图中的至少一部分步骤可以包括多个子步骤或者多个阶段，这些子步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，其执行顺序也不必然是依次进行，而是可以与其他步骤或者其他步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。

进一步参考图4，作为对上述图2所示方法的实现，本申请提供了一种网络数据安全监听装置300的一个实施例，该装置实施例与图2所示的方法实施例相对应，该装置具体可以应用于各种电子设备中。

获取模块301：用于获取设备识别规则

具体的，获取模块获取设备识别规则是预先通过筛选现有的IP/TCP协议簇和或OSI协议簇中的任一协议组成协议组，并提取协议组的中每个协议的协议规则进行构建的；本发明主要阐述利用其中一部分协议进行说明，包括：IP协议、HTTP协议、ICMP协议、TCP协议和UDP协议，对协议规则进行提取得到了IP协议规则、HTTP协议规则、ICMP协议规则、TCP协议规则和UDP协议规则，汇总得到设备识别规则。

进一步的，获取模块还包括威胁分类子模块；

威胁分类子模块用于在获取模块获取设备识别规则之前，收集网络开源数据，其中，网络安全开源数据包括：开源事件数据和开源态势数据，首先威胁分类子模块对网络安全开源数据中的开源事件数据和开源态势数据进行数据分析，以对网络安全开源数据进行有效的分类。

开源态势数据是指对网络安全事件的发生存在影响的数据，现有技术中，对开源态势数据进行分析的方法主要是，通过分析网络的误配置或与标准/建议配置的差异程度或者分析来自于该网络的恶意行为程度，对恶意行为程度的分析获得的开源态势数据也可以称之为威胁事件，

开源事件数据是指发生安全事件时收集到的数据，开源事件数据可以通过公开的三大网络安全数据库进行采集，这三大网络安全数据库分别是：VERIS CommnunityDatabase(VCDB)、Hackmageddon和The Web Hacing Incidents Database(WHID)。

需要说明的是，开源态势数据和开源事件数据并不是一个数值，而是包含多个特征维度的数据参数，开源事件数据根据其来源不同，包含的特征维度可能存在不同，本实施例主要通过对传输协议维度、操作***维度和终端标识维度进行说明。同时应理解，网络态势指的是由各种网络设备运行状况、网络行为以及用户行为等因素所构成的整个网络当前状态和变化趋势。网络态势感知则是在大规模网络环境中，对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及预测未来的趋势，本实施例中，结合开源事件数据进行网络安全态势感知，有利于快速高效地确定可能存在的网络安全隐患，有利于提高网络安全监控的及时性。

具体的，威胁分类子模块通过结合所述开源事件数据，对所述开源态势数据进行数据预处理并聚合分析，得到开源态势数据对应的事件特征参数。为了能提高对网络的安全监控时不会产生误判，提升其精准性，对开源态势数据进行数据预处理，得到对应的事件特征参数，其中，事件特征参数是用于表征开源态势数据中，各种数据特征的数学表达，其具体可以是向量的形式。

特征识别模块302，用于利用所述设备识别规则对多个授权设备的通信源数据进行数据识别，得到所述授权设备对应的安全表征阈。

具体的，特征识别模块根据返回的TTL字段，识别授权设备的字段值，如UNIX及类UNIX操作***的TTL字段值为255，则对授权设备进行赋值为1；需要说明的是，对授权设备进行***指纹赋值之前，还会获取***数据，对现有的不同版本的***进行赋值，得到对应的***指纹列表，当识别到授权设备的***特征识别后，得出对应的***，并通过***指纹列表进行赋值，得到授权设备的***指纹值。

在另一较佳的实施例中，特征识别模块还通过ICMP协议规则、TCP协议规则和UDP协议规则对授权设备的***指纹进行识别。但需要说明的是，实现对授权设备的***指纹识别是通过现有的扫描软件利用上述规则进行的，现有技术常用的扫描程序包括如：Nmap、Xprobe2、Zmap或者Maccan等。本发明以Nmap和/或Xprobe2对授权设备的进行扫描得到授权设备对应的***指纹，对识别到的***进行赋值汇总后，得到***指纹列表。

具体的，特征识别模块可以利用Nmap向授权设备的IP地址发送UDP与TCP数据包，根据授权设备返回的响应程序进行TCP/IP操作***指纹识别工作，利用Xprobe2向授权设备的IP地址发送ICMP数据包并分析其响应来进行TCP/IP操作***指纹识别工作，汇总返回的操作***指纹数据，对其进行数据去噪之后，进行赋值，进一步的，识别授权设备的浏览器特征进行终端配置值的生成，其中，包括采集授权设备的浏览器特征数据，其中，所述终端配置值至少包括UserAgent、浏览器语言、分辨率、色深、时区、拥有的数据存储方式、CPU类别、安装插件和安装字体的至少其中之一，并对其赋值，得到终端配置值。

进一步的，特征识别模块提取授权终端对应的地址值的安全地址值区间，其中，通过训练好的随机森林模型针对授权设备终端的IP地址情况进行分类识别，提取非威胁事件中IP地址值的安全地址值区间，得到第一表征阈；

特征识别模块提取授权终端对应的***指纹值的安全***值区间，其中，通过训练好的随机森林模型针对授权设备的***指纹值进行分类识别，提取非威胁事件中***指纹值的安全***值区间，得到第二表征阈；

特征识别模块提取授权终端对应的终端配置值的安全终端值区间，其中，通过训练好的随机森林模型针对授权设备的终端配置值进行分类识别，提取非威胁事件中终端配置值的安全终端值区间，得到第三表征阈；

特征识别模块汇总所有第一表征阈、所述第二表征阈和所述第三表征阈，形成每个所述授权设备对应的安全表征阈。

监听模块303，用于监听所述授权设备构建的通信网络中每个所述授权设备产生的实时交互流量，得到实时表征参数；

具体的，监听模块对授权设备进行监听，当授权设备产生实时交互流量时，向授权设备发送实时请求数据，得到对应授权设备的响应数据包，对响应数据包进行数据提取，得到授权设备的实时流量参数。

具体的，监听模块利用地址识别规则识别实时流量参数，得到实时地址数据；利用***指纹识别规则识别所述实时流量参数，得到实时***指纹数据；利用交互终端识别规则识别实时流量参数，得到实时终端配置数据；汇总实时地址数据、实时***指纹数据和实时终端配置数据，形成实时表征参数。

判定模块304，用于所述实时表征参数是否超出所述安全表征阈，当超出所述安全表征阈时，输出非可信设备

具体的，判定模块对产生了实时流量参数的终端设备进行安全判定，提取实时表征参数中的实时地址数据、实时***指纹数据和实时终端配置数据，通过上述方法构建好的安全表征阈进行数值判定，当实时表征参数超出安全表征参数时，锁定对应的终端设备进行非可信标识。

进一步的，判定模块利用设备识别规则中的IP协议、HTTP协议、ICMP协议、TCP协议和UDP协议，对终端设备的重新进行扫描，并构建的虚拟机进行通信，通过对是设备身份识别与握手请求，读取CPU模块、内存卡、IP地址、***数据的情况，并利用构建的虚拟机对比详细的报文功能和内容，当返回的信息与真实的信息有所差异，则提取授权设备的安全表征参数；

进一步的，判定模块提取所述非可信设备信号中对应的所述实时表征参数；利用所述预设的分类模型计算所述实时表征参数为所述事件分类中的威胁事件的概率，形成威胁概率；当所述威胁概率超出预设的阈值时，结合所述实施表征参数和所述威胁事件，生成设备威胁报告，并输出所述设备威胁报告对应的非可信设备警告。

与现有技术相比，本申请实施例主要有以下有益效果：本发明主要利用人工智能对企业安全事件进行归纳分类后，提取相对应的设备识别规则，通过设备识别规则对授权设备进行安全表征检测，可以得到授权设备的安全表征阈值区间，利用这个阈值区间去监听由授权设备构建的通信网络，当存在超过本阈值区间的数据存在是，根据归纳后的企业安全事件进一步判定是否存在未授权设备的接入现象，提高了检测存在对未授权设备接入企业网络情况的准确性，也保证了有效监听的情况下的便利性，也不需要安装对应的客户端，降低了运营成本。

为解决上述技术问题，本申请实施例还提供计算机设备。具体请参阅图5，图5为本实施例计算机设备基本结构框图。

所述计算机设备5包括通过***总线相互通信连接存储器51、处理器52、网络接口53。需要指出的是，图中仅示出了具有组件51-53的计算机设备5，但是应理解的是，并不要求实施所有示出的组件，可以替代的实施更多或者更少的组件。其中，本技术领域技术人员可以理解，这里的计算机设备是一种能够按照事先设定或存储的指令，自动进行数值计算和/或信息处理的设备，其硬件包括但不限于微处理器、专用集成电路(ApplicationSpecific Integrated Circuit，ASIC)、可编程门阵列(Field－Programmable GateArray，FPGA)、数字处理器(Digital Signal Processor，DSP)、嵌入式设备等。

所述计算机设备可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。所述计算机设备可以与用户通过键盘、鼠标、遥控器、触摸板或声控设备等方式进行人机交互。

所述存储器51至少包括一种类型的可读存储介质，所述可读存储介质包括闪存、硬盘、多媒体卡、卡型存储器(例如，SD或DX存储器等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘等。在一些实施例中，所述存储器51可以是所述计算机设备5的内部存储单元，例如该计算机设备5的硬盘或内存。在另一些实施例中，所述存储器51也可以是所述计算机设备5的外部存储设备，例如该计算机设备5上配备的插接式硬盘，智能存储卡(Smart Media Card,SMC)，安全数字(Secure Digital,SD)卡，闪存卡(FlashCard)等。当然，所述存储器51还可以既包括所述计算机设备5的内部存储单元也包括其外部存储设备。本实施例中，所述存储器51通常用于存储安装于所述计算机设备5的操作***和各类应用软件，例如X方法的程序代码等。此外，所述存储器51还可以用于暂时地存储已经输出或者将要输出的各类数据。

所述处理器52在一些实施例中可以是中央处理器(Central Processing Unit，CPU)、控制器、微控制器、微处理器、或其他数据处理芯片。该处理器52通常用于控制所述计算机设备5的总体操作。本实施例中，所述处理器52用于运行所述存储器51中存储的程序代码或者处理数据，例如运行所述X方法的程序代码。

所述网络接口53可包括无线网络接口或有线网络接口，该网络接口53通常用于在所述计算机设备5与其他电子设备之间建立通信连接。

本申请还提供了另一种实施方式，即提供一种计算机可读存储介质，所述计算机可读存储介质存储有所述网络数据安全监听程序，所述网络数据安全监听程序可被至少一个处理器执行，以使所述至少一个处理器执行如上述的网络数据安全监听方法的步骤。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件线上平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，空调器，或者网络设备等)执行本申请各个实施例所述的方法。

本申请可用于众多通用或专用的计算机***环境或配置中。例如：个人计算机、服务器计算机、手持设备或便携式设备、平板型设备、多处理器***、基于微处理器的***、置顶盒、可编程的消费电子设备、网络PC、小型计算机、大型计算机、包括以上任何***或设备的分布式计算环境等等。本申请可以在由计算机执行的计算机可执行指令的一般上下文中描述，例如程序模块。一般地，程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本申请，在这些分布式计算环境中，由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中，程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。

显然，以上所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例，附图中给出了本申请的较佳实施例，但并不限制本申请的专利范围。本申请可以以许多不同的形式来实现，相反地，提供这些实施例的目的是使对本申请的公开内容的理解更加透彻全面。尽管参照前述实施例对本申请进行了详细的说明，对于本领域的技术人员来而言，其依然可以对前述各具体实施方式所记载的技术方案进行修改，或者对其中部分技术特征进行等效替换。凡是利用本申请说明书及附图内容所做的等效结构，直接或间接运用在其他相关的技术领域，均同理在本申请专利保护范围之内。

Claims (6)

1.一种网络数据安全监听方法，其特征在于，所述方法包括：

获取设备识别规则，利用所述设备识别规则对多个授权设备的通信源数据进行数据识别，得到所述授权设备对应的安全表征阈；

监听所述授权设备构建的通信网络中每个所述授权设备产生的实时交互流量，得到实时表征参数；

判定所述实时表征参数是否超出所述安全表征阈；

当超出时，输出非可信设备信号；

其中，所述利用所述设备识别规则对多个授权设备的通信源数据进行数据识别，具体包括：

获取所述设备识别规则，其中，所述设备识别规则包括：地址识别规则、***指纹识别规则和交互终端识别规则；

利用所述地址识别规则识别所述通信源数据，得到地址值；

利用所述***指纹识别规则识别所述通信源数据，得到***指纹值；

利用所述交互终端识别规则识别所述通信源数据，得到终端配置值；

其中，所述得到所述授权设备对应的安全表征阈，具体包括；

提取所述授权设备对应的所述地址值的安全地址值区间，得到第一表征阈；

提取所述授权设备对应的所述***指纹值的安全***值区间，得到第二表征阈；

提取所述授权设备对应的所述终端配置值的安全终端值区间，得到第三表征阈；

汇总所有所述第一表征阈、所述第二表征阈和所述第三表征阈，形成每个所述授权设备对应的所述安全表征阈；

其中，所述监听所述授权设备构建的通信网络中每个所述授权设备产生的实时交互流量，具体包括：

监听所述授权设备是否产生实时交互流量；

当产生时，向所述授权设备发送实时请求数据，得到所述授权设备的响应数据包；

对所述响应数据包进行数据提取，得到所述授权设备的实时流量参数；

其中，所述得到实时表征参数，具体包括：

利用所述地址识别规则识别所述实时流量参数，得到实时地址数据；

利用所述***指纹识别规则识别所述实时流量参数，得到实时***指纹数据；

利用所述交互终端识别规则识别所述实时流量参数，得到实时终端配置数据；

汇总所述实时地址数据、所述实时***指纹数据和所述实时终端配置数据，形成实时表征参数。

2.根据权利要求1所述的网络数据安全监听方法，其特征在于，所述获取设备识别规则之前，还包括：

收集网络开源数据，其中，所述网络开源数据包括：开源事件数据和开源态势数据；

通过所述开源事件数据对所述开源态势数据进行数据特征分析，得到所述开源态势数据对应的事件特征参数；

利用预先构建好的分类模型对所述事件特征参数进行事件分类，形成所述事件特征参数对应的事件分类。

3.根据权利要求2所述的网络数据安全监听方法，其特征在于，所述输出非可信设备标识之后，还包括：

提取所述非可信设备信号中对应的所述实时表征参数；

利用所述预先构建好的分类模型计算所述实时表征参数为所述事件分类中的威胁事件的概率，形成威胁概率；

当所述威胁概率超出预设的阈值时，结合所述实时表征参数和所述威胁事件生成设备威胁报告。

4.一种网络数据安全监听装置，运行时执行权利要求1至3中任一项所述网络数据安全监听方法，其特征在于，所述装置包括：

获取模块，用于获取设备识别规则；

特征识别模块，用于利用所述设备识别规则对多个授权设备的通信源数据进行数据识别，得到所述授权设备对应的安全表征阈；

监听模块，用于监听所述授权设备构建的通信网络中每个所述授权设备产生的实时交互流量，得到实时表征参数；

判定模块，用于所述实时表征参数是否超出所述安全表征阈，当超出所述安全表征阈时，输出非可信设备提示。

5.一种计算机设备，包括存储器和处理器，所述存储器中存储有计算机可读指令，所述处理器执行所述计算机可读指令时实现如权利要求1至3中任一项所述的网络数据安全监听方法的步骤。

6.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有计算机可读指令，所述计算机可读指令被处理器执行时实现如权利要求1至3中任一项所述的网络数据安全监听方法的步骤。