本申請公開了一種內(nèi)網(wǎng)計算機(jī)網(wǎng)絡(luò)行為監(jiān)測方法，能夠?qū)㈩A(yù)設(shè)程序傳輸?shù)侥繕?biāo)遠(yuǎn)程設(shè)備上，捕獲網(wǎng)絡(luò)流量，將網(wǎng)絡(luò)流量里的數(shù)據(jù)包與協(xié)議特征庫進(jìn)行匹配，得到協(xié)議類型，進(jìn)一步解析網(wǎng)絡(luò)流量，得到網(wǎng)絡(luò)通信會話數(shù)據(jù)，最終通過數(shù)據(jù)回傳功能將結(jié)果傳輸至目標(biāo)地址。該方法是一種被動式安全監(jiān)測方案，可以在目標(biāo)遠(yuǎn)程設(shè)備用戶無感知的情況下，識別目標(biāo)遠(yuǎn)程設(shè)備的通信協(xié)議和網(wǎng)絡(luò)行為，進(jìn)而發(fā)現(xiàn)內(nèi)網(wǎng)安全脆弱性，判斷內(nèi)網(wǎng)設(shè)備是否有違規(guī)的網(wǎng)絡(luò)行為，有利于提升全網(wǎng)防御能力。此外，本申請還提供了一種內(nèi)網(wǎng)計算機(jī)網(wǎng)絡(luò)行為監(jiān)測裝置、設(shè)備及可讀存儲介質(zhì)，其技術(shù)效果與上述方法相對應(yīng)。

技術(shù)領(lǐng)域

本申請涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，特別涉及一種內(nèi)網(wǎng)計算機(jī)網(wǎng)絡(luò)行為監(jiān)測方法、裝置、設(shè)備及可讀存儲介質(zhì)。

背景技術(shù)

隨著以APT、惡意挖礦、勒索病毒等新型威脅和攻擊的不斷增長，網(wǎng)絡(luò)威脅正在迅速惡性演變，攻擊手段與攻擊渠道的多元化，對網(wǎng)絡(luò)安全人員的分析與處理能力提出了更高的要求。企業(yè)和組織在防范外部的攻擊過程中，也需要識別內(nèi)網(wǎng)安全脆弱性，以幫助其更好的發(fā)現(xiàn)和應(yīng)對這些新型威脅。

內(nèi)部威脅網(wǎng)絡(luò)安全事件層出不窮，但仍舊很難引起企業(yè)的重視，企業(yè)管理人員往往會想當(dāng)然地認(rèn)為攻擊者都來自外部，但是事實(shí)上，內(nèi)部網(wǎng)絡(luò)恰恰是很多企業(yè)都難以獲取足夠可見性的地方，很多網(wǎng)絡(luò)攻擊事件一開始都是由內(nèi)部員工造成的，或有意為之，或因粗心錯誤操作導(dǎo)致的，也可能是黑客入侵后，控制了內(nèi)網(wǎng)設(shè)備，以普通用戶身份做出違規(guī)行為。

目前對內(nèi)網(wǎng)的安全監(jiān)測方案主要包括兩種類型，一種為遠(yuǎn)程漏洞掃描系統(tǒng)，另一種為網(wǎng)絡(luò)行為審計系統(tǒng)，網(wǎng)絡(luò)入侵檢測系統(tǒng)或者網(wǎng)絡(luò)入侵防御系統(tǒng)。

其中，遠(yuǎn)程漏洞掃描系統(tǒng)是一種主動式掃描的方法。可以識別目標(biāo)主機(jī)設(shè)備上系統(tǒng)軟件或者應(yīng)用軟件存在哪些漏洞，但是不能識別出目標(biāo)設(shè)備詳細(xì)的網(wǎng)絡(luò)會話信息，不能識別目標(biāo)設(shè)備具有已知漏洞以外的脆弱性和違規(guī)行為。

而網(wǎng)絡(luò)入侵檢測系統(tǒng)或者網(wǎng)絡(luò)入侵防御系統(tǒng)，是企業(yè)或者單位部署的網(wǎng)絡(luò)防護(hù)設(shè)備，主要采用預(yù)設(shè)規(guī)則的方式監(jiān)測外部威脅，內(nèi)置已知的攻擊特征庫、漏洞庫等方式實(shí)現(xiàn)對惡意流量的攔截以及對安全攻擊的阻斷。以規(guī)則檢測為主的方案，解決了大部分的威脅，但是無法捕獲內(nèi)部人員的違規(guī)行為。

網(wǎng)絡(luò)行為審計系統(tǒng)，可能因為管理員權(quán)限過大，對部分違規(guī)審計行為進(jìn)行了修改或者刪除，內(nèi)部員工了解企業(yè)的防御手段，因而能夠在從事惡意活動時也能輕松繞過。

綜上，當(dāng)前針對內(nèi)網(wǎng)的安全監(jiān)測方案的可靠性較低，如何提供一種針對內(nèi)網(wǎng)的安全監(jiān)測方案，提升內(nèi)網(wǎng)安全性，是亟待本領(lǐng)域技術(shù)人員解決的問題。

發(fā)明內(nèi)容

本申請的目的是提供一種內(nèi)網(wǎng)計算機(jī)網(wǎng)絡(luò)行為監(jiān)測方法、裝置、設(shè)備及可讀存儲介質(zhì)，用以解決當(dāng)前針對內(nèi)網(wǎng)的安全監(jiān)測方案的可靠性較低的問題。其具體方案如下：

第一方面，本申請?zhí)峁┝艘环N內(nèi)網(wǎng)計算機(jī)網(wǎng)絡(luò)行為監(jiān)測方法，包括：

將預(yù)設(shè)程序傳輸至目標(biāo)遠(yuǎn)程設(shè)備上；

利用所述預(yù)設(shè)程序?qū)λ瞿繕?biāo)遠(yuǎn)程設(shè)備進(jìn)行網(wǎng)絡(luò)流量采集，得到流量采集結(jié)果；

利用所述預(yù)設(shè)程序，將所述流量采集結(jié)果中的報文與預(yù)先設(shè)置的協(xié)議特征庫進(jìn)行匹配，確定所述目標(biāo)遠(yuǎn)程設(shè)備網(wǎng)絡(luò)通信使用的協(xié)議類型；

利用所述預(yù)設(shè)程序，根據(jù)所述協(xié)議類型的協(xié)議規(guī)范，對所述流量采集結(jié)果進(jìn)行解析，得到所述目標(biāo)遠(yuǎn)程設(shè)備的網(wǎng)絡(luò)會話數(shù)據(jù)；

利用所述預(yù)設(shè)程序，將所述網(wǎng)絡(luò)會話數(shù)據(jù)傳輸至目標(biāo)地址。

優(yōu)選的，在所述利用所述預(yù)設(shè)程序?qū)λ瞿繕?biāo)遠(yuǎn)程設(shè)備進(jìn)行網(wǎng)絡(luò)流量采集，得到流量采集結(jié)果之前，還包括：

利用對所述預(yù)設(shè)程序執(zhí)行自身隱蔽性處理。

優(yōu)選的，在所述利用所述預(yù)設(shè)程序，將所述網(wǎng)絡(luò)會話數(shù)據(jù)傳輸至本地之前，還包括：