[发明专利]一种终端安全外联检测方法、系统、设备及可读存储介质

说明书

本发明公开了一种终端安全外联检测方法、系统、设备及可读存储介质，该方法包括：持续采集网络终端的网络连接信息；构建与网络连接信息对应的网络连接模型；采集网络终端的实时网络连接信息；比对实时网络连接信息和网络连接模型，得到连接网络终端的非法外联地址。该方法，通过比较实时网络连接信息与网络连接模型，便可得到连接网络终端的非法外联地址。相较于基于数据响应报文或设备流量，该方法直接学习得到网络连接模型，并采集实时网络连接情况与网络连接模型进行比较，能够更加快速、准确地检出非法外联。

技术领域

本发明涉及安全保障技术领域，特别是涉及一种终端安全外联检测方法、系统、设备及可读存储介质。

背景技术

非法外联，指设备(终端)在非用户授权的情况下，与非该设备业务网段发生了网络连接关系。

目前的，针对非法外联的检测，主要依赖于安全检测设备和流量分析设备。其中，安全检测设备，基于设备的数据响应报文进行非法外联行为检测，其检测效率、检测准确率均较差；流量分析设备只能分析设备流量，但不能基于设备行为建模监控，预警能力不强。

综上所述，如何有效地解决检测终端对应的非法外联等问题，是目前本领域技术人员急需解决的技术问题。

发明内容

本发明的目的是提供一种终端安全外联检测方法、系统、设备及可读存储介质，以通过采集网络终端的网络连接信息，来检测非法外联，以提高非法外联检测的准确率和效率。

为解决上述技术问题，本发明提供如下技术方案：

一种非法外联检测方法，包括：

持续采集网络终端的网络连接信息；

构建与所述网络连接信息对应的网络连接模型；

采集所述网络终端的实时网络连接信息；

比对所述实时网络连接信息和所述网络连接模型，得到连接所述网络终端的非法外联地址。

优选地，还包括：

阻断所述非法外联地址对应的目标网络连接。

优选地，所述持续采集网络终端的网络连接信息，包括：

持续监控所述网络终端的每路网络连接，并采集各路所述网络连接分别对应的五元组信息；

将各个所述五元组信息确定为所述网络连接信息。

优选地，所述持续采集网络终端的网络连接信息，包括：

在确定所述网络终端处于正常工作状态下，持续采集所述网络连接信息。

优选地，构建与所述网络连接信息对应的网络连接模型，包括：

比对所述网络连接信息与当前网络连接模型，确定出当前网络连接模型中未记录的目标网络连接；

利用所述目标网络连接，对所述当前网络连接模型进行更新。

优选地，比对所述实时网络连接信息和所述网络连接模型，得到连接所述网络终端的非法外联地址，包括：

比对所述实时网络连接信息与所述网络连接模型，确定出所述网络连接模型中未记录的目标网络连接；

从所述实时网络连接信息中，查找出所述目标网络连接对应的连接地址；

将所述连接地址确定为所述非法外联地址。

优选地，在比对所述实时网络连接信息与所述网络连接模型，确定出所述网络连接模型中未记录的目标网络连接之后，还包括：

获取所述目标网络连接对应的网络流量和数据响应报文；