买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

申请/专利权人：陕西智网驿成信息科技有限公司

摘要：一种管控内网违规外联的方法，涉及数据传输监测技术领域，获取内部网络中各个内部终端在若干历史监测周期内的历史数据传输日志，获取各个内部终端的关键影响系数，根据各个内部终端的关键影响系数将各个内部终端划分为关键内部终端和边缘内部终端；对边缘内部终端采用惰性检测策略，获取边缘内部终端的静态判定规则，根据静态判定规则判定边缘内部终端是否存在违规外联行为；对关键内部终端采用深度定时检测策略，获取关键内部终端的动态判定规则，并根据动态判定规则判定关键内部终端是否存在违规外联行为；对生成违规外联行为的内部终端启动快速响应管控机制，显著提高识别违规外联行为的及时性和精确性。

主权项：1.一种管控内网违规外联的方法，其特征在于，包括以下步骤：步骤s1：获取内部网络中各个内部终端在若干历史监测周期内的历史数据传输日志，根据所述历史数据传输日志构建拓扑有向图，根据历史数据传输日志获取拓扑有向图中各节点之间的平均传输流量和平均传输频率，根据各节点之间的平均传输流量和平均传输频率设置拓扑有向图中各节点之间的连线的权重标签；步骤s2：获取拓扑有向图中各节点之间的连线的权重标签和各节点的自身违规率，根据所述权重标签和所述自身违规率获取各个内部终端当前监测周期的关键影响系数，根据各个内部终端当前监测周期的关键影响系数将各个内部终端划分为关键内部终端和边缘内部终端；获取拓扑有向图中各节点之间的连线的权重标签和各节点的自身违规率，根据所述权重标签和所述自身违规率获取各个内部终端当前监测周期的关键影响系数的过程包括：获取各个内部终端在若干历史监测周期内的历史违规记录，根据各个内部终端的历史违规记录获取各个内部终端的自身违规率，同时根据拓扑有向图中各节点之间的连线的权重标签，获取各个内部终端对其它内部终端的影响系数，根据各个内部终端的自身违规率以及各个内部终端对其它内部终端的影响系数获取各个内部终端当前监测周期的关键影响系数；自身违规率的计算公式为：其中，表示第i个内部终端的自身违规率，表示第i个内部终端的发生违规外联的累计次数，表示内部网络中所有内部终端发生违规外联的累计总次数；根据拓扑有向图中各节点之间的连线的权重标签，获取各个内部终端对其它内部终端的影响系数的计算公式为：其中，表示第i个内部终端对其它内部终端的影响系数，表示在拓扑有向图中与第i个内部终端对应的节点存在连接关系的其它节点对应的内部终端，由所述其它节点对应的内部终端构成的内部终端集合，表示第i个内部终端对应的节点与第j个内部终端对应的节点之间的连线的权重标签W；根据各个内部终端的自身违规率以及各个内部终端对其它内部终端的影响系数获取各个内部终端的关键影响系数的计算公式为：其中，表示第i个内部终端的关键影响系数，表示第j个内部终端的自身违规率，表示转化系数；根据各个内部终端当前监测周期的关键影响系数将各个内部终端划分为关键内部终端和边缘内部终端的过程包括：预设关键影响系数阈值，将各个内部终端当前监测周期的关键影响系数与关键影响系数阈值进行比较；将关键影响系数小于关键影响系数阈值的内部终端在当前监测周期内标记为边缘内部终端；将关键影响系数大于等于关键影响系数阈值的内部终端标记为关键内部终端；步骤s3：对边缘内部终端采用惰性检测策略，获取边缘内部终端的静态判定规则，根据静态判定规则判定边缘内部终端是否存在违规外联行为；对边缘内部终端采用惰性检测策略，获取边缘内部终端的静态判定规则，根据静态判定规则判定边缘内部终端是否存在违规外联行为的过程包括：根据边缘内部终端的历史数据传输日志获取边缘内部终端与内部网络中各个其它内部终端之间的传输流量阈值区间和传输频率阈值区间，将所述传输流量阈值区间和传输频率阈值区间作为边缘内部终端的静态判定规则；在当前监测周期内，每当边缘内部终端生成待传输数据并进行数据传输时，获取边缘内部终端生成的待传输数据的目标终端IP以及传输流量，判断内部网络中各个其它内部终端对应的IP与目标终端IP是否匹配，若不匹配，则生成所述边缘内部终端的违规外联警报，并启动快速响应管控机制；若匹配，则获取与目标终端IP对应的内部网络中的其它内部终端，将所述其它内部终端标记为目标内部终端，根据静态判定规则获取边缘内部终端与目标内部终端之间的传输流量阈值区间和传输频率阈值区间，获取边缘内部终端与目标内部终端在当前监测周期内的传输频率，判断待传输数据的传输流量是否位于传输流量阈值区间内，同时判断边缘内部终端与目标内部终端在当前监测周期内的传输频率是否位于传输频率阈值区间内；若存在传输流量不位于传输流量阈值区间内或存在传输频率不位于传输频率阈值区间内，则生成所述边缘内部终端的违规外联警报，并启动快速响应管控机制；步骤s4：对关键内部终端采用深度定时检测策略，构建行为规则预测模型，根据行为规则预测模型获取关键内部终端的动态判定规则，并根据动态判定规则判定关键内部终端是否存在违规外联行为；对关键内部终端采用深度定时检测策略，构建行为规则预测模型的过程包括：获取当期监测周期关键内部终端的数据传输日志，对数据传输日志分别进行时间特征以及空间特征的提取，生成数据传输日志时空特征序列；基于RBF神经网络构建行为规则预测模型，将内部网络各个内部终端在若干历史监测周期内的历史数据传输日志作为训练集和测试集，对行为规则预测模型进行训练，输出完成训练的行为规则预测模型；将数据传输日志以及数据传输日志时空特征序列输入行为规则预测模型，根据行为规则预测模型的输出层获取数据传输日志预测数据；根据行为规则预测模型获取关键内部终端的动态判定规则，并根据动态判定规则判定关键内部终端是否存在违规外联行为的过程包括：获取当期监测周期关键内部终端的数据传输日志预测数据，将当前监测周期划分为若干定时检测时间段，并将各个定时检测时间段的结束时间戳作为检测时间点，根据所述数据传输日志预测数据获取当前监测周期内各个定时检测时间段的动态判定规则，所述动态判定规则包括预测目标终端IP、预测目标终端IP对应的预测传输频率和预测传输流量；在当前监测周期的定时检测时间段的检测时间点获取关键内部终端在所述定时检测时间段的数据传输日志，将数据传输日志与所述定时检测时间段的动态判定规则进行对比；判断数据传输日志中的目标终端IP与动态判定规则中的预测目标终端IP是否一致，若不一致，则生成关键内部终端的违规外联警报，并启动快速响应管控机制；若一致，则获取数据传输日志中的传输频率与动态判定规则中的预测传输频率的传输频率差值，以及数据传输日志中的传输流量与动态判定规则中的预测传输流量的传输流量差值；预设传输频率差值阈值和传输流量差值阈值，将传输频率差值和传输流量差值分别与传输频率差值阈值和传输流量差值阈值进行比较；若存在传输频率差值大于传输频率差值阈值或传输流量差值大于传输流量差值阈值，则生成关键内部终端的违规外联警报，并启动快速响应管控机制；步骤s5：对生成违规外联行为的内部终端启动快速响应管控机制。

全文数据：

权利要求：

百度查询： 陕西智网驿成信息科技有限公司 一种管控内网违规外联的方法