本申请涉及网络管理技术领域,特别涉及一种应用连接检测方法、装置、一种电子设备及一种存储介质。
背景技术:
目前的网络管理主要由管理员手动配置网络参数和防火墙规则,以便确定哪些网段的ip、端口可以连通。在上述传统网络管理方式下,大规模的业务网络相当于一个黑盒系统,网络管理员无法清晰了解网络中各应用程序的连接状态,网络中的漏洞或者恶意流量难以被发现,最终造成较大损失。
因此,如何检测网络中的异常应用连接,提高网络的安全性是本领域技术人员目前需要解决的技术问题。
技术实现要素:
本申请的目的是提供一种应用连接检测方法、装置、一种电子设备及一种存储介质,能够检测网络中的异常应用连接,提高网络的安全性。
为解决上述技术问题,本申请提供一种应用连接检测方法,该应用连接检测方法包括:
接收至少一个终端设备的应用连接信息,并根据所述应用连接信息生成应用连接拓扑;其中,所述应用连接信息包括符合预设规则的应用程序连接关系;
对所述应用连接拓扑进行采样得到特征信息,并利用所述特征信息确定业务连接安全基线;
利用所述业务连接安全基线检测应用连接。
可选的,所述接收至少一个终端设备的应用连接信息,并根据所述应用连接信息生成应用连接拓扑,包括:
接收终端监控器设备上报的至少一个终端设备的应用连接信息;
按照业务分组对所述应用连接信息进行划分得到所述应用连接拓扑。
可选的,利用所述特征信息确定业务连接安全基线,包括:
将所述特征信息作为训练样本输入机器学习模型进行训练,得到所述业务连接安全基线。
可选的,所述业务连接安全基线包括第一约束规则和/或第二约束规则;所述第一约束规则包括保持通讯连接的应用程序的对应关系,所述第二约束规则包括不建立通讯连接的应用程序的对应关系。
可选的,利用所述业务连接安全基线检测应用连接,包括:
确定待检测应用连接对应的应用程序对;
若所述应用程序对中的应用程序不符合所述第一约束规则,则判定检测到所述异常应用连接;
若所述应用程序对中的应用程序不符合所述第二约束规则,则判定检测到所述异常应用连接。
可选的,利用所述业务连接安全基线检测应用连接,包括:
确定所述终端设备在当前时刻产生的应用连接信息对应的待检应用连接,并利用所述业务连接安全基线检测所述待检应用连接是否为所述异常应用连接。
可选的,所述应用连接信息包括应用程序参数;其中,所述应用程序参数包括数字签名、协议和版本号中的任一项或任几项的组合;
相应的,在接收至少一个终端设备的应用连接信息之后,还包括:
根据所述应用程序参数判断是否存在目标应用;其中,所述目标应用包括存在漏洞的应用和/或非法应用;
若检测到所述存在漏洞的应用,则下发对应的安全补丁以便修复漏洞;
若检测到所述非法应用,则在图形界面上显示所述非法应用对应的告警信息。
可选的,在利用所述业务连接安全基线检测应用连接之后,还包括:
若检测到异常应用连接,则在图形界面上对所述异常应用连接对应的终端设备的设备图标添加告警标识,并下发防火墙规则至所述异常应用连接对应的终端设备的分布式防火墙,以便阻断所述异常应用连接对应的网络流量。
可选的,在根据所述应用连接信息生成应用连接拓扑之后,还包括:
当检测到应用连接中断时,根据所述应用连接拓扑确定故障点和故障原因;
在图形界面上对所述故障点对应的终端设备的设备图标添加中断标识,并根据所述故障原因对所述故障点进行故障修复。
可选的,还包括:
将预设时间段内的应用连接拓扑进行统计,并根据统计结果生成业务优化建议;其中,所述统计结果包括应用连接产生的网络流量的排名。
可选的,在根据所述应用连接信息生成应用连接拓扑之后,还包括:
将所述应用连接拓扑对应的拓扑图显示至图形界面;
接收用户在所述图像界面对所述拓扑图的调整信息,并根据所述调整信息更新所述应用连接拓扑,以便修改网络配置和防火墙规则。
本申请还提供了一种应用连接检测装置,该装置包括:
拓扑生成模块,用于接收至少一个终端设备的应用连接信息,并根据所述应用连接信息生成应用连接拓扑;其中,所述应用连接信息包括符合预设规则的应用程序连接关系;
安全基线生成模块,用于对所述应用连接拓扑进行采样得到特征信息,并利用所述特征信息确定业务连接安全基线;
异常检测模块,用于利用所述业务连接安全基线检测应用连接。
本申请还提供了一种存储介质,其上存储有计算机程序,所述计算机程序执行时实现上述应用连接检测方法执行的步骤。
本申请还提供了一种电子设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器调用所述存储器中的计算机程序时实现上述应用连接检测方法执行的步骤。
本申请提供了一种应用连接检测方法,包括:接收至少一个终端设备的应用连接信息,并根据所述应用连接信息生成应用连接拓扑;其中,所述应用连接信息包括符合预设规则的应用程序连接关系;对所述应用连接拓扑进行采样得到特征信息,并利用所述特征信息确定业务连接安全基线;利用所述业务连接安全基线检测应用连接。
本申请根据应用设备的应用连接信息生成应用连接拓扑,该应用连接信息包括符合预设规则的应用程序连接关系,故基于应用连接拓扑可以确定网络中各个终端设备的应用程序在正常情况下与其他应用程序建立通讯连接的状态。本申请根据应用连接拓扑的特征信息可以得到正常情况下的业务连接安全基线,以便利用业务连接安全基线检测网络中的异常应用连接。本申请根据正常情况下的应用连接信息生成用于评价应用连接关系是否正常的业务连接安全基线,可以检测网络中的异常应用连接,提高网络的安全性。本申请同时还提供了一种应用连接检测装置、一种电子设备和一种存储介质,具有上述有益效果,在此不再赘述。
附图说明
为了更清楚地说明本申请实施例,下面将对实施例中所需要使用的附图做简单的介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例所提供的一种应用连接检测方法的流程图;
图2为本申请实施例所提供的一种异常应用的处理方法的流程图;
图3为本申请实施例所提供的一种面向应用连接性的管理系统的整体架构图;
图4为本申请实施例所提供的一种面向应用连接性的管理方法的流程图;
图5为本申请实施例所提供的一种应用连接拓扑图的生成方式;
图6为本申请实施例所提供的一种应用连接拓扑图的图形界面展示图;
图7为本申请实施例所提供的一种应用连接检测装置的结构示意图;
图8为本申请实施例所提供的一种电子设备的结构图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
下面请参见图1,图1为本申请实施例所提供的一种应用连接检测方法的流程图。
具体步骤可以包括:
s101:接收至少一个终端设备的应用连接信息,并根据所述应用连接信息生成应用连接拓扑;
其中,本实施例可以应用于网络管理中心的网络管理设备(manager),网络管理设备可以设置网络中各个终端设备的网络参数和防火墙规则。上述应用连接信息可以只包括符合预设规则的应用程序连接关系,即本步骤获取的应用连接信息为描述终端设备中应用程序在正常情况下与其他终端设备的应用程序建立通讯连接的信息。作为一种可行的实施方式,本实施例可以将终端设备首次启动后预设时间内(如前一个月)的应用连接信息作为上述应用连接信息。应用连接信息用于描述应用与应用之间的连接关系,例如应用连接信息可以包括“服务器xx--vmxx--appxx”与“主机xx--vmxx--appxx”建立了通信的信息,即:根据应用连接信息可以确定两个应用之间是否建立通信连接。
本实施例可以接收任意数量个终端设备之间的应用连接信息,结合所有的应用连接信息生成应用连接拓扑,根据应用连接拓扑能够确定网络中任意两个终端设备中的应用连接状态。具体的,本实施例可以接收终端监控器设备上报的所述终端设备之间的应用连接信息。终端监控器(endpointmonitor,em)为部署在终端设备上的轻量级终端,用于实现应用连接信息的抓取。网络管理设备对一段时间内稳定运行的业务网络应用连接拓扑进行采样分析,刻画出应用连接安全基线。当发现漏洞时,可以自动安装安全补丁进行漏洞修复。当存在恶意流量时,基于应用连接拓扑进行分析,快速定位出不合法的连接然后进行阻断,避免危险扩散。当网络发生故障时,基于应用连接拓扑快速定位故障点和故障原因,并进行告警和自动故障修复。
作为一种可行的实施方式,本实施例应用连接信息可以包括两个应用建立通信连接时使用的ip地址、端口等信息,本实施例可以对应用连接信息进行抽象化,以较为直观的标签(如设备名称、设备种类、业务类型)生成应用连接拓扑。例如,本实施例可以按照业务分组对所述应用连接信息进行划分得到所述应用连接拓扑。此外,在根据所述应用连接信息生成应用连接拓扑之后,还可以将所述应用连接拓扑对应的拓扑图显示至图形界面gui(graphicaluserinterface,图形化用户界面)。
s102:对所述应用连接拓扑进行采样得到特征信息,并利用所述特征信息确定业务连接安全基线;
其中,本实施例用于构建应用连接拓扑的应用连接信息包括符合预设规则的应用程序连接关系,因此本实施例得到的应用连接拓扑中各个终端设备的连接关系均符合相关的安全性规定。对应用连接拓扑进行采样得到的特征信息能够体现网络中各个终端设备在正常情况下的通讯连接特征。上述正常情况指网络不存在异常应用连接的情况。
利用上述特征信息可以确定业务连接安全基线,业务连接安全基线可以包括对于应用之间建立通讯连接的约束条件。例如,若业务连接安全基线规定研发办公设备必须与研发服务器连接,且研发办公设备不能与财务数据库连接;若研发办公设备与研发服务器断开连接,则判定研发办公设备与研发服务器的连接状态不符合业务连接安全基线;若研发办公设备与财务数据库建立连接,则判定研发办公设备与财务数据库的连接状态不符合业务连接安全基线。作为一种可行的实施方式,本实施例可以将特征信息作为训练样本输入机器学习模型进行训练,得到业务连接安全基线。
s103:利用所述业务连接安全基线检测应用连接。
其中,在得到业务连接安全基线后,本实施例可以利用业务连接安全基线评价各个应用连接是否合法,若不合法则判定检测到异常应用连接,若合法则判定检测到正常应用连接。作为一种可行的实施方式,本实施例在检测异常应用连接时,可以先确定需要进行检测的应用程序,判断该应用程序与其他应用程序的连接关系是否均符合业务连接安全基线,若否则判定该应用程序存在异常应用连接。
具体的,本实施例可以在建立业务连接安全基线之后,利用业务连接安全基线实时检测网络中的应用连接,例如可以确定终端设备在当前时刻产生的应用连接信息对应的待检应用连接,并利用所述业务连接安全基线检测所述待检应用连接是否为所述异常应用连接。
本实施例根据应用设备的应用连接信息生成应用连接拓扑,该应用连接信息包括符合预设规则的应用程序连接关系,故基于应用连接拓扑可以确定网络中各个终端设备的应用程序在正常情况下与其他应用程序建立通讯连接的状态。本实施例根据应用连接拓扑的特征信息可以得到正常情况下的业务连接安全基线,以便利用业务连接安全基线检测网络中的异常应用连接。本实施例根据正常情况下的应用连接信息生成用于评价应用连接关系是否正常的业务连接安全基线,可以检测网络中的异常应用连接,提高网络的安全性。
作为对于图1对应实施例的进一步描述,在利用所述业务连接安全基线检测到异常应用连接之后,可以在图形界面上对所述异常应用连接对应的终端设备的设备图标添加告警标识,并下发防火墙规则至所述异常应用连接对应的终端设备的分布式防火墙,以便阻断所述异常应用连接对应的网络流量。
具体的,在业务网络运行过程中,当存在内部人员执行恶意行为或遭受外部攻击时,将会产生异常的网络流量。本实施例可以对当前状态的应用连接拓扑进行安全分析,识别出违反安全基线的应用连接,在gui上告警显示这些恶意连接,同时下发防火墙规则到对应设备的dfw(distributedfirewalls,分布式防火墙),以便阻断异常的网络流量。在下发防火墙规则后,本实施例还可以继续采集新的应用连接信息,如果异常的网络流量被成功阻断,则消除gui上的告警,否则通知管理员手动处理。
在大规模的业务环境下,经常会发生设备故障,传统的网络管理方式中当出现网络故障时,往往需要管理员借助ping、抓包工具等进行手动排除,费时费力。作为对于图1对应实施例的进一步介绍,在根据所述应用连接信息生成应用连接拓扑的基础上,若检测到应用连接中断,可以根据应用连接拓扑确定故障点和故障原因,进而在图形界面上对所述故障点对应的终端设备的设备图标添加中断标识,并根据所述故障原因对所述故障点进行故障修复。本实施例通过对应用连接拓扑进行分析可以快速定位故障点和故障原因,并尝试进行自动修复。如果无法自动修复,则在可以在gui上展示故障发生点和可能的故障原因,并告警以提示管理员手动修复故障。
作为对于图1对应实施例的进一步描述,上述业务连接安全基线可以包括第一约束规则,可以包括第二约束规则,还可以同时包括第一约束规则和第二约束规则。上述第一约束规则包括保持通讯连接的应用程序的对应关系,所述第二约束规则包括不建立通讯连接的应用程序的对应关系。具体的,第一约束规则为限定两个应用程序必须保持通信连接的规则,第二约束规则为禁止两个应用程序建立通信连接的规则。
若业务连接安全基线仅包括第一约束规则时,若两个应用程序的连接信息符合第一约束规则,则判定应用连接正常;若两个应用程序的连接信息符合不第一约束规则,则判定检测到异常应用连接。同理,若业务连接安全基线仅包括第二约束规则时,若两个应用程序的连接信息符合第二约束规则,则判定应用连接正常;若两个应用程序的连接信息符合不第二约束规则,则判定检测到异常应用连接。
本申请还提供的一种异常应用连接检测方案:先确定待检测应用连接对应的应用程序对,可以先后利用第一约束规则和第二约束规则检测异常应用连接,也可以先后利用第二约束规则和第一约束规则检测异常应用连接。应用程序对指一条应用连接信息对应的两个应用程序。若所述应用程序对中的应用程序不符合所述第一约束规则,则判定检测到所述异常应用连接;若所述应用程序对中的应用程序不符合所述第二约束规则,则判定检测到所述异常应用连接。若应用程序对中的应用程序同时符合第一约束规则和第二约束规则,则判定应用连接正常。
请参见图2,图2为本申请实施例所提供的一种异常应用的处理方法的流程图,本实施例是对图1对应实施例中接收应用连接信息的基础上实现,可以将本实施例与图1对应的实施例相结合得到进一步的实施方式。上述应用连接信息包括应用程序参数,其中应用程序参数可以包括数字签名、协议和版本号中的任一项或任几项的组合,本实施例可以包括以下步骤:
s201:根据所述应用程序参数判断是否存在目标应用;
其中,上述目标应用包括存在漏洞的应用,可以包括非法应用,还可以包括存在漏洞的应用和非法应用。
s202:若检测到所述存在漏洞的应用,则下发对应的安全补丁以便修复漏洞;
s203:若检测到所述非法应用,则在图形界面上显示所述非法应用对应的告警信息。
作为一种可行的实施方式,本实施例可以维护了应用漏洞库,应用漏洞库中包括存在漏洞的应用的标识(如应用的数字签名、协议、版本号等信息),利用标识进行漏洞检测。本实施例还可以判断应用程序参数是否完整或正确,以便检测非法应用。若检测到所述存在漏洞的应用(如低版本应用),可以查找相应安全补丁并下发进行修复,同时在图像界面显示的应用连接拓扑图中进行告警。后续可以继续采集该漏洞应用的应用连接信息,如果漏洞已修复,则消除gui上的告警,若漏洞已修复则通知管理员进行手动处理。
若检测到所述非法应用,则可以生成所述非法应用对应的告警信息,还可以阻断该非法应用收发的网络流量,并对该非法应用的状态进行监控。上述非法应用可以为未通过相关认证或审核的应用。
下面通过在实际应用中的实施例说明上述实施例描述的流程。
为了适应数据中心网络的自动编排特性,本实施例可以基于sdn(softwaredefinednetwork,软件定义网络)架构来进行方案设计。请参见图3,图3为本申请实施例所提供的一种面向应用连接性的管理系统的整体架构图,如图3所示,本架构的主要模块包括管理设备mgr(manager)、部署在虚拟机中的轻量级终端em(endpointmonitor,终端监控器)、以及向用户提供的图形化界面gui。
em可以部署在各类网络资产中,收集设备的应用连接信息并上报给mgr。mgr汇总后计算应用连接拓扑,并通过gui展示给用户。mgr还可以基于应用连接进行安全分析,发现漏洞或风险时自动进行处置。当业务发生变化时,用户可以通过gui告知mgr新的业务意图,mgr自动转译业务意图并结合应用连接拓扑生成新的网络配置,网络配置下发生效后将新的应用连接反馈给mgr,mgr可以自适应调节和优化网络,并在gui上展示新的应用连接拓扑以确定是否满足用户的业务意图。
请参见图4,图4为本申请实施例所提供的一种面向应用连接性的管理方法的流程图,本实施例可以包括以下实现操作:
1、应用连接拓扑的生成和图像化显示过程:
em收集应用连接信息并上报给mgr,mgr对应用连接信息进行汇总,计算出具体的应用连接关系,例如“服务器xx--vmxx--appxx”与“主机xx--vmxx--appxx”建立了通信。具体的,mgr可以自动学习用户的业务,并按照“位置--环境--角色--应用”等标签信息对业务网络中的资产进行分组管理,按照业务对应用连接进行划分,最终形成可视化的应用连接拓扑图,以清晰地展示具体业务之间的交互关系。
请参见图5,图5为本申请实施例所提供的一种应用连接拓扑图的生成方式,em采集虚拟机vm的应用连接信息,mgr收集应用连接信息绘制应用连接拓扑,并通过gui展示应用连接拓扑图。图5中所示的应用连接拓扑图中,实线为正常状态下的应用连接状态。在业务网络稳定运行过程中,对应用连接拓扑进行采样,将“位置-环境-业务-角色”等特征值作为机器学习的训练样本,刻画出正常情况下的业务连接安全基线,并保存到数据库中。在后续的网络运行过程中,当应用连接拓扑发生变化时,使用业务连接安全基线来分析当前应用连接关系是否合法。如图5所示,若业务连接安全基线允许研发办公设备与代码库、研发服务器和财务办公设备连接,也允许财务办公设备与财务数据库连接,但是允许研发办公设备与财务数据库连接,因此当检测到研发办公设备与财务数据库连接时可以依据业务连接安全基线确定异常应用连接。绘制应用连接拓扑图的流程如下:通过em采集虚机的应用连接信息,并上报到管理中心mgr;mgr解析应用连接信息,根据网络连接的本地ip和目的ip即可确定是哪两个虚拟机在通信,可以在gui上绘制两个虚拟机的图标,并绘制一条曲线连接这两个图标;点击连接曲线,可以显示更详细的应用连接信息:如端口,网络协议,连接状态,应用程序等。
请参见图6,图6为本申请实施例所提供的一种应用连接拓扑图的图形界面展示图,应用连接拓扑图按照设备所属的部门或功能对各个终端设备进行抽象得到。如图6所示,前端开发部门中的设备(如研发办公设备001和研发办公设备002)的应用程序可以与后端开发部门中的设备(如研发办公设备003和研发办公设备004)的应用程序建立连接,前端开发部门和后端开发部门中的设备的应用程序可以与业务数据库服务器的应用程序建立连接,财务部门中的设备(如财务办公设备001和财务办公设备002)的应用程序可以与财务数据服务器的应用程序建立连接,网络安全部门中的网络管理员设备的应用程序可以分别与前端开发部门、后端开发部门和财务部门的设备中的应用程序建立连接。
2、漏洞应用检测过程:
在得到应用连接信息之后,可以利用应用连接信息是否存在漏洞应用,若存在漏洞应用则判断能否自动修复。若能自动修复,则通过安装安全补丁进行修复。若不能自动修复,则在gui上告警,以便题述管理员进行手动修复。
3、异常应用连接检测过程:
在业务运行过程中,mgr可以基于业务连接安全基线对应用连接拓扑进行安全分析,识别出违反安全基线的异常应用连接检测,并将异常应用连接检测对应的流量标记为恶意流量。若存在恶意流量,则阻断恶意流量并在gui上告警提示。
4、网络故障检测过程:
本实施例可以实时监控网络中的应用连接拓扑,当故障导致应用连接中断时,mgr可以通过对应用连接拓扑进行分析可以快速定位故障点和故障原因,并尝试进行自动修复。如果不能自动处置,则在gui上展示故障发生点和可能的故障原因,并提示管理员手动修复故障。如果能自动处置,则自动修复故障,并在gui上可视化展示应用连接拓扑。
5、业务信息统计分析过程:
本实施例可以将预设时间段内的应用连接拓扑进行统计,并根据统计结果生成业务优化建议;其中,所述统计结果包括应用连接产生的网络流量的排名。mgr在汇总构建应用连接拓扑时进行一些统计分析,并将相关统计数据存储到数据库中。在gui上给用户提供一些业务分析选项,可以查看一段时间内业务统计信息,并给出网络优化建议,帮助用户识别出热点业务更好地进行业务优化。具体的,本实施例可以根据应用连接产生的网络流量的排名确定产生流量较大的终端设备,进而为产生流量较大的终端设备分配较多的存储空间。
本实施例基于应用连接性管理业务网络,通过可视能力降低了网络管理和运维的复杂度,减少了网络管理员手动配置的任务。本实施例还能够自动发现和处置业务网络中的风险漏洞,自动定位网络故障原因,提高了业务网络的安全性,实现应用连接性的自适应管理。上述实施例能够降低数据中心网络管理复杂度,增强网络应用连接性的可视能力,维护业务网络的安全性,提高网络运维的自动化程度。
在根据所述应用连接信息生成应用连接拓扑之后,还可以将所述应用连接拓扑对应的拓扑图显示至图形界面gui。用户可以通过图形界面gui实现网络配置和防火墙规则的修改,网络管理设备可以接收用户在所述图像界面对所述拓扑图的调整信息,并根据所述调整信息更新所述应用连接拓扑,以便修改网络配置和防火墙规则。具体的,应用连接拓扑图中的每个图标都对应后台管理的一个对象实例的uuid标识。该实例可能是物理主机、虚机或者是虚机上的某个应用程序。当用户点击两个图标并选择建立连接时,mgr从后台查询到实例对应的主机或者虚机ip,对应的应用程序使用的网络协议,然后向分布式防火墙下发访问控制规则,允许两个实例对应的ip之间通信。当用户调整业务策略时,网络管理员可以在gui上通过应用连接拓扑图修改网络配置,不需要手动配置具体的ip、端口、防火墙规则,只需要点击拓扑图中的一些业务(或者更细粒度的服务器、虚机、应用)并选择建立连接。mgr会根据用户在应用连接拓扑图中的调整自动修改相应的网络配置和防火墙规则,以便允许或禁止应用之间的通信。在网络管理员操作生效之后,mgr可以收集并展示新的应用连接拓扑,以确认是否满足用户的意图。
在上述过程中,mgr汇总应用连接信息计算出详细的应用连接关系,构建业务网络的应用连接拓扑,并在gui上进行可视化展示,清晰地描绘业务运行状态。当用户修改业务策略时,在gui上点击应用连接拓扑图进行可视化操作,mgr自动将用户意图转换成网络配置并下发生效,然后更新应用连接拓扑向用户即时反馈变更后的业务运行状态。
请参见图7,图7为本申请实施例所提供的一种应用连接检测装置的结构示意图,该装置可以包括:
拓扑生成模块701,用于接收至少一个终端设备的应用连接信息,并根据所述应用连接信息生成应用连接拓扑;其中,所述应用连接信息包括符合预设规则的应用程序连接关系;
安全基线生成模块702,用于对所述应用连接拓扑进行采样得到特征信息,并利用所述特征信息确定业务连接安全基线;
异常检测模块703,用于利用所述业务连接安全基线检测应用连接。
本实施例根据应用设备的应用连接信息生成应用连接拓扑,该应用连接信息包括符合预设规则的应用程序连接关系,故基于应用连接拓扑可以确定网络中各个终端设备的应用程序在正常情况下与其他应用程序建立通讯连接的状态。本实施例根据应用连接拓扑的特征信息可以得到正常情况下的业务连接安全基线,以便利用业务连接安全基线检测网络中的异常应用连接。本实施例根据正常情况下的应用连接信息生成用于评价应用连接关系是否正常的业务连接安全基线,可以检测网络中的异常应用连接,提高网络的安全性。
进一步的,拓扑生成模块701用于接收终端监控器设备上报的至少一个终端设备的应用连接信息;还用于按照业务分组对所述应用连接信息进行划分得到所述应用连接拓扑。
进一步的,安全基线生成模块702用于将所述特征信息作为训练样本输入机器学习模型进行训练,得到所述业务连接安全基线。
进一步的,所述业务连接安全基线包括第一约束规则和/或第二约束规则;所述第一约束规则包括保持通讯连接的应用程序的对应关系,所述第二约束规则包括不建立通讯连接的应用程序的对应关系。
进一步的,异常检测模块703用于确定待检测应用连接对应的应用程序对;还用于若所述应用程序对中的应用程序不符合所述第一约束规则,则判定检测到所述异常应用连接;还用于若所述应用程序对中的应用程序不符合所述第二约束规则,则判定检测到所述异常应用连接。
进一步的,异常检测模块703用于确定所述终端设备在当前时刻产生的应用连接信息对应的待检应用连接,并利用所述业务连接安全基线检测所述待检应用连接是否为所述异常应用连接。
进一步的,所述应用连接信息包括应用程序参数;其中,所述应用程序参数包括数字签名、协议和版本号中的任一项或任几项的组合;
相应的,还包括:
目标应用检测模块,用于在接收至少一个终端设备的应用连接信息之后,根据所述应用程序参数判断是否存在目标应用;其中,所述目标应用包括存在漏洞的应用和/或非法应用;若检测到所述存在漏洞的应用,则下发对应的安全补丁以便修复漏洞;若检测到所述非法应用,则在图形界面上显示所述非法应用对应的告警信息。
进一步的,还包括:
流量阻断模块,用于在利用所述业务连接安全基线检测应用连接之后,若检测到异常应用连接,则在图形界面上对所述异常应用连接对应的终端设备的设备图标添加告警标识,并下发防火墙规则至所述异常应用连接对应的终端设备的分布式防火墙,以便阻断所述异常应用连接对应的网络流量。
进一步的,还包括:
故障处理模块,用于在根据所述应用连接信息生成应用连接拓扑之后,当检测到应用连接中断时,根据所述应用连接拓扑确定故障点和故障原因;在图形界面上对所述故障点对应的终端设备的设备图标添加中断标识,并根据所述故障原因对所述故障点进行故障修复。
进一步的,还包括:
统计模块,用于将预设时间段内的应用连接拓扑进行统计,并根据统计结果生成业务优化建议;其中,所述统计结果包括应用连接产生的网络流量的排名。
进一步的,还包括:
拓扑调整模块,用于在根据所述应用连接信息生成应用连接拓扑之后,将所述应用连接拓扑对应的拓扑图显示至图形界面;还用于接收用户在所述图像界面对所述拓扑图的调整信息,并根据所述调整信息更新所述应用连接拓扑,以便修改网络配置和防火墙规则。
上述实施例通过部署在虚拟机中轻量级终端采集应用连接信息,统一上报到管理中心后进行计算,生成业务网络的应用连接拓扑,并在图形化界面上进行展示。本实施例在业务网络稳定运行一段时间内对应用连接拓扑进行采样,利用机器学习算法进行智能分析,刻画出业务网络安全稳定运行时的应用连接状态。基于应用连接拓扑自动进行网络排障,风险控制、漏洞处置等。本实施例能帮助用户清晰了解业务网络运行状态,通过可视能力降低业务网络管理复杂度,提高业务网络稳定性和安全性。
由于装置部分的实施例与方法部分的实施例相互对应,因此装置部分的实施例请参见方法部分的实施例的描述,这里暂不赘述。
本申请还提供了一种存储介质,其上存有计算机程序,该计算机程序被执行时可以实现上述实施例所提供的步骤。该存储介质可以包括:u盘、移动硬盘、只读存储器(read-onlymemory,rom)、随机存取存储器(randomaccessmemory,ram)、磁碟或者光盘等各种可以存储程序代码的介质。
本申请还提供了一种电子设备,参见图8,图8为本申请实施例提供的一种电子设备的结构图,电子设备可以包括处理器810和存储器820。
其中,处理器810可以包括一个或多个处理核心,比如4核心处理器、8核心处理器等。处理器810可以采用dsp(digitalsignalprocessing,数字信号处理)、fpga(field-programmablegatearray,现场可编程门阵列)、pla(programmablelogicarray,可编程逻辑阵列)中的至少一种硬件形式来实现。处理器810也可以包括主处理器和协处理器,主处理器是用于对在唤醒状态下的数据进行处理的处理器,也称cpu(centralprocessingunit,中央处理器);协处理器是用于对在待机状态下的数据进行处理的低功耗处理器。在一些实施例中,处理器810可以在集成有gpu(graphicsprocessingunit,图像处理器),gpu用于负责显示屏所需要显示的内容的渲染和绘制。一些实施例中,处理器810还可以包括ai(artificialintelligence,人工智能)处理器,该ai处理器用于处理有关机器学习的计算操作。
存储器820可以包括一个或多个计算机可读存储介质,该计算机可读存储介质可以是非暂态的。存储器820还可包括高速随机存取存储器,以及非易失性存储器,比如一个或多个磁盘存储设备、闪存存储设备。本实施例中,存储器820至少用于存储以下计算机程序821,其中,该计算机程序被处理器810加载并执行之后,能够实现前述任一实施例公开的应用连接检测中的相关步骤。另外,存储器820所存储的资源还可以包括操作系统822和数据823等,存储方式可以是短暂存储或者永久存储。其中,操作系统822可以包括windows、linux、android等。
在一些实施例中,电子设备还可包括有显示屏830、输入输出接口840、通信接口850、传感器860、电源870以及通信总线880。
当然,图8所示的电子设备的结构并不构成对本申请实施例中电子设备的限定,在实际应用中电子设备可以包括比图8所示的更多或更少的部件,或者组合某些部件。
说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请权利要求的保护范围内。
还需要说明的是,在本说明书中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的状况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
1.一种应用连接检测方法,其特征在于,包括:
接收至少一个终端设备的应用连接信息,并根据所述应用连接信息生成应用连接拓扑;其中,所述应用连接信息包括符合预设规则的应用程序连接关系;
对所述应用连接拓扑进行采样得到特征信息,并利用所述特征信息确定业务连接安全基线;
利用所述业务连接安全基线检测应用连接。
2.根据权利要求1所述应用连接检测方法,其特征在于,所述接收至少一个终端设备的应用连接信息,并根据所述应用连接信息生成应用连接拓扑,包括:
接收终端监控器设备上报的至少一个所述终端设备的应用连接信息;
按照业务分组对所述应用连接信息进行划分得到所述应用连接拓扑。
3.根据权利要求1所述应用连接检测方法,其特征在于,利用所述特征信息确定业务连接安全基线,包括:
将所述特征信息作为训练样本输入机器学习模型进行训练,得到所述业务连接安全基线。
4.根据权利要求1所述应用连接检测方法,其特征在于,所述业务连接安全基线包括第一约束规则和/或第二约束规则;所述第一约束规则包括保持通讯连接的应用程序的对应关系,所述第二约束规则包括不建立通讯连接的应用程序的对应关系。
5.根据权利要求4所述应用连接检测方法,其特征在于,利用所述业务连接安全基线检测应用连接,包括:
确定待检测应用连接对应的应用程序对;
若所述应用程序对中的应用程序不符合所述第一约束规则,则判定检测到所述异常应用连接;
若所述应用程序对中的应用程序不符合所述第二约束规则,则判定检测到所述异常应用连接。
6.根据权利要求1所述应用连接检测方法,其特征在于,利用所述业务连接安全基线检测应用连接,包括:
确定所述终端设备在当前时刻产生的应用连接信息对应的待检应用连接,并利用所述业务连接安全基线检测所述待检应用连接是否为所述异常应用连接。
7.根据权利要求1所述应用连接检测方法,其特征在于,所述应用连接信息包括应用程序参数;其中,所述应用程序参数包括数字签名、协议和版本号中的任一项或任几项的组合;
相应的,在接收至少一个终端设备的应用连接信息之后,还包括:
根据所述应用程序参数判断是否存在目标应用;其中,所述目标应用包括存在漏洞的应用和/或非法应用;
若检测到所述存在漏洞的应用,则下发对应的安全补丁以便修复漏洞;
若检测到所述非法应用,则在图形界面上显示所述非法应用对应的告警信息。
8.根据权利要求1所述应用连接检测方法,其特征在于,在利用所述业务连接安全基线检测应用连接之后,还包括:
若检测到异常应用连接,则在图形界面上对所述异常应用连接对应的终端设备的设备图标添加告警标识,并下发防火墙规则至所述异常应用连接对应的终端设备的分布式防火墙,以便阻断所述异常应用连接对应的网络流量。
9.根据权利要求1所述应用连接检测方法,其特征在于,在根据所述应用连接信息生成应用连接拓扑之后,还包括:
当检测到应用连接中断时,根据所述应用连接拓扑确定故障点和故障原因;
在图形界面上对所述故障点对应的终端设备的设备图标添加中断标识,并根据所述故障原因对所述故障点进行故障修复。
10.根据权利要求1所述应用连接检测方法,其特征在于,还包括:
将预设时间段内的应用连接拓扑进行统计,并根据统计结果生成业务优化建议;其中,所述统计结果包括应用连接产生的网络流量的排名。
11.根据权利要求1至10任一项所述应用连接检测方法,其特征在于,在根据所述应用连接信息生成应用连接拓扑之后,还包括:
将所述应用连接拓扑对应的拓扑图显示至图形界面;
接收用户在所述图像界面对所述拓扑图的调整信息,并根据所述调整信息更新所述应用连接拓扑,以便修改网络配置和防火墙规则。
12.一种应用连接检测装置,其特征在于,包括:
拓扑生成模块,用于接收至少一个终端设备的应用连接信息,并根据所述应用连接信息生成应用连接拓扑;其中,所述应用连接信息包括符合预设规则的应用程序连接关系;
安全基线生成模块,用于对所述应用连接拓扑进行采样得到特征信息,并利用所述特征信息确定业务连接安全基线;
异常检测模块,用于利用所述业务连接安全基线检测应用连接。
13.一种电子设备,其特征在于,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器调用所述存储器中的计算机程序时实现如权利要求1至11任一项所述应用连接检测方法的步骤。
14.一种存储介质,其特征在于,所述存储介质中存储有计算机可执行指令,所述计算机可执行指令被处理器加载并执行时,实现如权利要求1至11任一项所述应用连接检测方法的步骤。
技术总结