[发明专利]一种内网安全风险识别的方法和装置

说明书

本发明提供了一种内网安全风险识别的方法和装置，所述方法包括以下步骤：S1：接收内网流量镜像；S2：识别当前内网流量类型，所述内网流量类型包括IP类型和ARP类型，若是IP类型则进行步骤S21：第一处理，若是ARP类型则进行步骤S22：第二处理；S3：根据内网流量的第一处理结果和第二处理结果进行综合分析，确定当前内网安全风险等级。上述方案通过识别内网流量类型，以内网行为、网卡状态来识别当前内网安全风险等级，在实现上不依赖于特征数据库，有效提升了风险判断的准确性，有利于大规模布署。

技术领域

本发明涉及通讯领域，特别涉及一种内网安全风险识别的方法和装置。

背景技术

现有内网安全风险的识别，通常是基于主机侧的杀毒软件、HIPS(host intrusionprevent system,是主机侧的入侵阻断系统)及网络侧的IDS(intrusion detectionsystem，入侵检测系统)或IPS(intrusion prevent system，入侵阻断系统)来对网络传输进行监视，进而及时发现并阻断可疑的黑客入侵行为。上述方式对内网风险的识别，均是以特征识别为主的技术，在实现时高度依赖特征数据库，误判率较高，且对未知风险的识别存在困难，严重影响对真实风险的有效识别，同时主机侧的识别还需要安装客户端，存在着系统被侵入的安全隐患，难以大规模布署。

发明内容

为此，需要提供一种内网安全风险识别的技术方案，用以解决现有的内网安全等级识别方法高度依赖于特征数据库、误判率高等问题。

为实现上述目的，发明人提供了一种内网安全风险识别的方法，所述方法包括以下步骤：

S1：接收内网流量镜像；

S2：识别当前内网流量类型，所述内网流量类型包括IP类型和ARP类型，若是IP类型则进行步骤S21：第一处理，若是ARP类型则进行步骤S22：第二处理；

S3：根据内网流量的第一处理结果和第二处理结果进行综合分析，确定当前内网安全风险等级。

作为一种可选的实施例，步骤S22包括：判断是否存在ARP扫描行为，步骤S3包括：

S31：将是否存在ARP扫描行为的判断结果作为第一影响因子，以确定当前内网安全等级。

作为一种可选的实施例，步骤S21包括：

S211:判断当前IP类型是ICMP类型、TCP类型还是UDP类型：

若是ICMP类型，则进入步骤S212：判断是否存在ICMP扫描行为，并将是否存在ICMP扫描行为的判断结果作为第二影响因子，以确定当前内网安全等级；

若是UDP类型，则进入步骤S213：对内网流量进行协议分析，识别DNS应用，并提取内网对相关应用站点的访问数据；

若是TCP类型，则进入步骤S214：进行第三处理。

作为一种可选的实施例，步骤S214具体包括：

S2141：对内网流量进行协议分析，判断当前内网流量属于端口扫描、HTTP还是HTTPS协议；

若是端口扫描，则进入步骤S2142：判断是否存在端口扫描行为，并将是否存在端口扫描行为的判断结果作为第三影响因子，以确定当前内网安全等级；

若是HTTP或HTTPS协议，则进入步骤S2143：对TCP流量进行协议HTTP或HTTPS协议解析，并提取内网对相关应用站点的访问数据。

作为一种可选的实施例，步骤S2143中的访问数据包括内网访问网址和域名，步骤S2143之后包括：