本申請公開了一種內網服務器發現方法、系統及網絡安全審計系統，其中，所述內網服務器發現方法在接收到會話信息時，根據會話信息的三元組信息查詢預設數據庫，并在所述預設數據庫中未保存有與所述會話信息的三元組信息關聯的服務器時，在所述預設數據庫中新建待處理服務器與所述會話信息的三元組信息的關聯關系，在后續的預設時間閾值內，更新所述待處理服務器的統計數據，當所述待處理服務器滿足服務器甄別條件時，將所述待處理服務器的狀態更改為待識別，從而實現發現內網中新服務器的目的。并且在識別出新服務器后，再對新服務器所承載的服務類型進行識別，來達到對內網監控方位內的服務器以及服務器承載的服務類型進行準確甄別的目的。

技術領域

本申請涉及網絡安全技術領域，更具體地說，涉及一種內網服務器發現方法、系統及網絡安全審計系統。

背景技術

隨著計算機和網絡技術的不斷發展，各類機構的信息化應用越來越廣泛，有效提高了工作效率。但這些機構的應用系統(服務器)承載著關鍵業務信息及用戶隱私，漸漸成為業務體系中最具有戰略性的資產，如何合理、合法、安全的使用這些數據資產給數據管理者帶來了嚴峻挑戰。

為了保護這些數據資產，已經出現了一些網絡安全審計系統，即針對業務環境下的網絡操作行為進行細粒度審計的合規性管理審計產品，這些網絡安全審計系統通過對業務人員訪問業務系統的行為進行解析、分析、記錄、匯報，以幫助用戶事前規劃預防、事中實時監視、違規行為響應、事后合規報告、事故追蹤溯源，加強內外部網絡行為監管、促進數據庫、服務器、網絡設備等核心資產的正常運營。

現有技術中的網絡安全審計系統在實際部署時，需要客戶事先提供客戶網絡環境中的服務器資產信息(即服務器IP、服務類型和端口)，這樣網絡安全審計系統的維護人員才能根據服務器資產信息進行審計策略的配置和下發，進而依據審計策略對服務器的操作進行審計和監控。這種服務器資產信息人工同步的方法，難以及時發現內部網絡中服務器的私搭、新增、重新搭建、IP地址變更和服務端口變更等情況。

發明內容

為解決上述技術問題，本發明提供了一種內網服務器發現方法、系統及網絡安全審計系統，以實現自動發現內網服務器的目的，解決現有技術中的服務器資產信息人工同步的方法難以及時發現內網中新增或變更服務器等情況的問題。

為實現上述技術目的，本發明實施例提供了如下技術方案：

一種內網服務器發現方法，包括：

S101：獲取會話信息，并根據所述會話信息的三元組信息，判斷所述預設數據庫中是否保存有與所述會話信息的三元組信息關聯的服務器，如果否，則進入步驟S102，如果是，進入步驟S103，所述預設數據庫中存儲有三元組信息與服務器的關聯關系，并且所述服務器的狀態標記包括可能、待識別和已識別；

S102：在當所述會話信息的IP信息為非外網IP時，在所述預設數據庫中新建待處理服務器與所述會話信息的三元組信息的關聯關系，將所述待處理服務器的狀態標記為可能，并進入步驟S104；

S103：判斷所述待處理服務器的狀態是否為已識別，如果否，則進入步驟S105，如果是，則返回步驟S101；

S104：更新所述待處理服務器的統計數據，所述統計數據包括連接會話數、不同源IP數和不同源端口數，并判斷在預設時間閾值內，所述待處理服務器的統計數據是否滿足服務器甄別條件，如果是，則將所述待處理服務器的狀態設置為待識別，并進入步驟S106，如果否，則返回步驟S101；

S105：判斷所述待處理服務器的狀態是否為待識別，如果否，則進入步驟S104，如果是，則進入步驟S106；

S106：識別所述待處理服務器所提供的服務類型，將識別的服務器所提供的服務類型與所述待處理服務器綁定，將所述待處理服務器的狀態設置為已識別。