一种网络安全处理方法、装置、设备及机器可读存储介质

技术领域

本公开涉及通信技术领域，尤其是涉及一种网络安全处理方法、装置、设备及机器可读存储介质。

背景技术

IP地址(Internet Protocol Address)是指互联网协议地址，又译为网际协议地址。IP地址是IP协议提供的一种统一的地址格式，它为互联网上的每一个网络和每一台主机分配一个逻辑地址，以此来屏蔽物理地址的差异。

安全管理平台(态势感知，SIME，SOC)均要求用户主动配置所需要的保护的网段区域范围，用以确定发现的网络安全事件是否需要上报给用户。而用户需要保护的网段区域范围也是对资产的一个扩展的重要依据，根据这个区域范围定义一个IP地址是外网还是内网。这里说的内网就是用户需要保护的网段区域，其包括了传统保留地址，A类:10.0.0.0-10.255.255.255(长度相当于1个A类IP地址)，B类:172.16.0.0-172.31.255.255(长度相当于16个连续的B类IP地址)，C类:192.168.0.0-192.168.255.255(长度相当于256个连续的C类IP地址)，也包含了用户网络环境内的公网IP地址，例如提供对外服务的主站IP地址等。

发明内容

有鉴于此，本公开提供一种网络安全处理方法、装置及电子设备、机器可读存储介质，以改善上述要求用户主动配置所需要的保护的网段区域范围的问题。

具体地技术方案如下：

本公开提供了一种网络安全处理方法，应用于网络设备，所述方法包括：获取当前流量对应的会话日志；根据会话日志，获取流量对应的地址信息和数据信息；根据地址和数据信息获取符合预设条件的IP地址，标记获取到的IP地址为受保护IP地址；所述受保护IP地址用于使关联于受保护IP地址的流量被安全分析。

作为一种技术方案，所述获取当前流量对应的会话日志；配置核心交换机端口镜像；根据端口镜像，接收镜像流量；分析接收到的镜像流量，以获取当前流量对应的会话日志。

作为一种技术方案，所述根据会话日志，获取流量对应的地址信息和数据信息，包括：根据会话日志，获取流量对应的源IP地址和目的IP地址作为地址信息，并获取流量中的请求流量、响应流量的大小，以及流量关联的应用信息。

作为一种技术方案，所述根据地址和数据信息获取符合预设条件的IP地址，标记获取到的IP地址为受保护IP地址，包括：若流量对应的源IP地址和目的IP地址为公网地址，和/或，请求流量、响应流量的大小大于阈值，和/或，流量关联的应用信息为已知应用，则标记获取到的IP地址为受保护IP地址。

本公开同时提供了一种网络安全处理装置，应用于网络设备，所述装置包括：日志模块，用于获取当前流量对应的会话日志；分析模块，用于根据会话日志，获取流量对应的地址信息和数据信息；标记模块，用于根据地址和数据信息获取符合预设条件的IP地址，标记获取到的IP地址为受保护IP地址；所述受保护IP地址用于使关联于受保护IP地址的流量被安全分析。

作为一种技术方案，所述获取当前流量对应的会话日志；配置核心交换机端口镜像；根据端口镜像，接收镜像流量；分析接收到的镜像流量，以获取当前流量对应的会话日志。

作为一种技术方案，所述根据会话日志，获取流量对应的地址信息和数据信息，包括：根据会话日志，获取流量对应的源IP地址和目的IP地址作为地址信息，并获取流量中的请求流量、响应流量的大小，以及流量关联的应用信息。

作为一种技术方案，所述根据地址和数据信息获取符合预设条件的IP地址，标记获取到的IP地址为受保护IP地址，包括：若流量对应的源IP地址和目的IP地址为公网地址，和/或，请求流量、响应流量的大小大于阈值，和/或，流量关联的应用信息为已知应用，则标记获取到的IP地址为受保护IP地址。

本公开同时提供了一种电子设备，包括处理器和机器可读存储介质，所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令，处理器执行所述机器可执行指令以实现前述的网络安全处理方法。

本公开同时提供了一种机器可读存储介质，所述机器可读存储介质存储有机器可执行指令，所述机器可执行指令在被处理器调用和执行时，所述机器可执行指令促使所述处理器实现前述的网络安全处理方法。

本公开提供的上述技术方案至少带来了以下有益效果：

通过获取当前流量对应的会话日志，并对会话日志进行分析，获取到流量对应的地址信息和数据信息，从而根据地址信息和数据信息以预设的规则进行筛选，自动选择出符合规则的IP地址标记位受保护IP地址，以使后续关联于该IP地址的流量能够被安全分析，从而减少用户投入运维的成本，提高使用的便捷性，实现产品开箱即用，优化用户体验。

附图说明

为了更加清楚地说明本公开实施方式或者现有技术中的技术方案，下面将对本公开实施方式或者现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本公开中记载的一些实施方式，对于本领域普通技术人员来讲，还可以根据本公开实施方式的这些附图获得其他的附图。

图1是本公开一种实施方式中的网络安全处理方法的流程图；

图2是本公开一种实施方式中的网络安全处理装置的结构图；

图3是本公开一种实施方式中的电子设备的硬件结构图。

具体实施方式

在本公开实施方式使用的术语仅仅是出于描述特定实施方式的目的，而非限制本公开。本公开和权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其它含义。还应当理解，本文中使用的术语“和/或”是指包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本公开实施方式可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本公开范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，此外，所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

主流的安全管理平台中，均是需要用户在平台上进行手动配置或者编辑好Excel然后导入来配置需要保护的区域网段，运维工作非常大，繁琐，易错，用户体验不好。

有鉴于此，本公开提供一种网络安全处理方法、装置及电子设备、机器可读存储介质，以改善上述要求用户主动配置所需要的保护的网段区域范围的问题。

具体地技术方案如后述。

本公开提供了一种网络安全处理方法，应用于网络设备，所述方法包括：获取当前流量对应的会话日志；根据会话日志，获取流量对应的地址信息和数据信息；根据地址和数据信息获取符合预设条件的IP地址，标记获取到的IP地址为受保护IP地址；所述受保护IP地址用于使关联于受保护IP地址的流量被安全分析。

具体地，如图1，包括以下步骤：

s

所述受保护IP地址用于使关联于受保护IP地址的流量被安全分析。

通过获取当前流量对应的会话日志，并对会话日志进行分析，获取到流量对应的地址信息和数据信息，从而根据地址信息和数据信息以预设的规则进行筛选，自动选择出符合规则的IP地址标记位受保护IP地址，以使后续关联于该IP地址的流量能够被安全分析，从而减少用户投入运维的成本，提高使用的便捷性，实现产品开箱即用，优化用户体验。

作为一种技术方案，所述获取当前流量对应的会话日志；配置核心交换机端口镜像；根据端口镜像，接收镜像流量；分析接收到的镜像流量，以获取当前流量对应的会话日志。

作为一种技术方案，所述根据会话日志，获取流量对应的地址信息和数据信息，包括：根据会话日志，获取流量对应的源IP地址和目的IP地址作为地址信息，并获取流量中的请求流量、响应流量的大小，以及流量关联的应用信息。

作为一种技术方案，所述根据地址和数据信息获取符合预设条件的IP地址，标记获取到的IP地址为受保护IP地址，包括：若流量对应的源IP地址和目的IP地址为公网地址，和/或，请求流量、响应流量的大小大于阈值，和/或，流量关联的应用信息为已知应用，则标记获取到的IP地址为受保护IP地址。

通过对用户网络环境中的核心汇聚交换机进行端口镜像，把流量引入实施本实施方式的网络设备，如流量传感器，这一步是可以采用分布式部署的，针对用户多台核心汇聚可以进行分布式采集。

接收镜像的流量，进行报文分析，提取出流量会话日志，并把流量会话日志发往分析平台，流量会话日志主要包括的字段有：源IP、源端口、目的IP、目的端口、四层协议、应用名称、请求流量大小、请求报文大小、响应流量大小、响应报文大小、流会话开始时间、流会话结束时间。

流量会话日志是以流会话为单位进行的，反映了谁主动访问了谁，什么时间访问的，使用什么协议访问的，请求了多大流量，响应了多大流量等信息。四层协议主要是指TCP，UDP，ICMP等协议。应用名称指具体使用的访问协议，例如FTP，HTTP，微信，迅雷，DNS等。

对于保留地址预先标记为受保护IP地址，A类:10.0.0.0-10.255.255.255(长度相当于1个A类IP地址)，B类:172.16.0.0-172.31.255.255(长度相当于16个连续的B类IP地址)，C类:192.168.0.0-192.168.255.255(长度相当于256个连续的C类IP地址)，这些地址是不会在互联网上进行分配使用的，也不会被互联网上被路由通过，因此，用户网络出现了保留地址的流量，一定是用户网络环境内的IP地址，即需要保护的网段范围。

所述预设条件包括：源IP和目的IP均是公网IP地址，即不是保留地址范围内的IP地址；请求流量和响应流量大于阈值(阈值的取值根据应用网络环境选取，可以是如1KB等)，即会话有请求有响应；应用名称不是未知，以过滤掉无效访问，避免造成误识别，提高识别准确度。

将符合条件的流量/报文对应的源IP地址和/或目的IP地址视为符合条件的IP地址，将符合条件的IP地址标记为受保护IP地址，并重置该IP地址的受保护标记的过期时间。

由所有受保护的IP地址构成用户的保护区域网段范围，该网段范围可以用于对安全管理平台采集的其他类型日志中的IP地址进行打标签，识别为内网和外网，对涉及内网的IP地址进行安全事件分析，资产的威胁程度分析。

本公开同时提供了一种网络安全处理装置，如图2，应用于网络设备，所述装置包括：日志模块21，用于获取当前流量对应的会话日志；分析模块22，用于根据会话日志，获取流量对应的地址信息和数据信息；标记模块23，用于根据地址和数据信息获取符合预设条件的IP地址，标记获取到的IP地址为受保护IP地址；所述受保护IP地址用于使关联于受保护IP地址的流量被安全分析。

作为一种技术方案，所述获取当前流量对应的会话日志；配置核心交换机端口镜像；根据端口镜像，接收镜像流量；分析接收到的镜像流量，以获取当前流量对应的会话日志。

作为一种技术方案，所述根据会话日志，获取流量对应的地址信息和数据信息，包括：根据会话日志，获取流量对应的源IP地址和目的IP地址作为地址信息，并获取流量中的请求流量、响应流量的大小，以及流量关联的应用信息。

作为一种技术方案，所述根据地址和数据信息获取符合预设条件的IP地址，标记获取到的IP地址为受保护IP地址，包括：若流量对应的源IP地址和目的IP地址为公网地址，和/或，请求流量、响应流量的大小大于阈值，和/或，流量关联的应用信息为已知应用，则标记获取到的IP地址为受保护IP地址。

装置实施方式与对应的方法实施方式相同或相似，在此不再赘述。

在一种实施方式中，本公开提供了一种电子设备，包括处理器和机器可读存储介质，所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令，处理器执行所述机器可执行指令以实现前述的网络安全处理方法，从硬件层面而言，硬件架构示意图可以参见图3所示。

在一种实施方式中，本公开提供了一种机器可读存储介质，所述机器可读存储介质存储有机器可执行指令，所述机器可执行指令在被处理器调用和执行时，所述机器可执行指令促使所述处理器实现前述的网络安全处理方法。

这里，机器可读存储介质可以是任何电子、磁性、光学或其它物理存储装置，可以包含或存储信息，如可执行指令、数据，等等。例如，机器可读存储介质可以是：RAM(RadomAccess Memory，随机存取存储器)、易失存储器、非易失性存储器、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、dvd等)，或者类似的存储介质，或者它们的组合。

上述实施方式阐明的系统、装置、模块或单元，具体可以由计算机芯片或实体实现，或者由具有某种功能的产品来实现。一种典型的实现设备为计算机，计算机的具体形式可以是个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件收发设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任意几种设备的组合。

为了描述的方便，描述以上装置时以功能分为各种单元分别描述。当然，在实施本公开时可以把各单元的功能在同一个或多个软件和/或硬件中实现。

本领域内的技术人员应明白，本公开的实施方式可提供为方法、系统、或计算机程序产品。因此，本公开可采用完全硬件实施方式、完全软件实施方式、或结合软件和硬件方面的实施方式的形式。而且，本公开实施方式可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本公开是参照根据本公开实施方式的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可以由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其它可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其它可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

而且，这些计算机程序指令也可以存储在能引导计算机或其它可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或者多个流程和/或方框图一个方框或者多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其它可编程数据处理设备上，使得在计算机或者其它可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其它可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

本领域技术人员应明白，本公开的实施方式可提供为方法、系统或计算机程序产品。因此，本公开可以采用完全硬件实施方式、完全软件实施方式、或者结合软件和硬件方面的实施方式的形式。而且，本公开可以采用在一个或者多个其中包含有计算机可用程序代码的计算机可用存储介质(可以包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

以上所述仅为本公开的实施方式而已，并不用于限制本公开。对于本领域技术人员来说，本公开可以有各种更改和变化。凡在本公开的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本公开的权利要求范围之内。