[发明专利]一种内网计算机网络行为监测方法、装置及设备

说明书

本申请公开了一种内网计算机网络行为监测方法，能够将预设程序传输到目标远程设备上，捕获网络流量，将网络流量里的数据包与协议特征库进行匹配，得到协议类型，进一步解析网络流量，得到网络通信会话数据，最终通过数据回传功能将结果传输至目标地址。该方法是一种被动式安全监测方案，可以在目标远程设备用户无感知的情况下，识别目标远程设备的通信协议和网络行为，进而发现内网安全脆弱性，判断内网设备是否有违规的网络行为，有利于提升全网防御能力。此外，本申请还提供了一种内网计算机网络行为监测装置、设备及可读存储介质，其技术效果与上述方法相对应。

技术领域

本申请涉及网络安全技术领域，特别涉及一种内网计算机网络行为监测方法、装置、设备及可读存储介质。

背景技术

随着以APT、恶意挖矿、勒索病毒等新型威胁和攻击的不断增长，网络威胁正在迅速恶性演变，攻击手段与攻击渠道的多元化，对网络安全人员的分析与处理能力提出了更高的要求。企业和组织在防范外部的攻击过程中，也需要识别内网安全脆弱性，以帮助其更好的发现和应对这些新型威胁。

内部威胁网络安全事件层出不穷，但仍旧很难引起企业的重视，企业管理人员往往会想当然地认为攻击者都来自外部，但是事实上，内部网络恰恰是很多企业都难以获取足够可见性的地方，很多网络攻击事件一开始都是由内部员工造成的，或有意为之，或因粗心错误操作导致的，也可能是黑客入侵后，控制了内网设备，以普通用户身份做出违规行为。

目前对内网的安全监测方案主要包括两种类型，一种为远程漏洞扫描系统，另一种为网络行为审计系统，网络入侵检测系统或者网络入侵防御系统。

其中，远程漏洞扫描系统是一种主动式扫描的方法。可以识别目标主机设备上系统软件或者应用软件存在哪些漏洞，但是不能识别出目标设备详细的网络会话信息，不能识别目标设备具有已知漏洞以外的脆弱性和违规行为。

而网络入侵检测系统或者网络入侵防御系统，是企业或者单位部署的网络防护设备，主要采用预设规则的方式监测外部威胁，内置已知的攻击特征库、漏洞库等方式实现对恶意流量的拦截以及对安全攻击的阻断。以规则检测为主的方案，解决了大部分的威胁，但是无法捕获内部人员的违规行为。

网络行为审计系统，可能因为管理员权限过大，对部分违规审计行为进行了修改或者删除，内部员工了解企业的防御手段，因而能够在从事恶意活动时也能轻松绕过。

综上，当前针对内网的安全监测方案的可靠性较低，如何提供一种针对内网的安全监测方案，提升内网安全性，是亟待本领域技术人员解决的问题。

发明内容

本申请的目的是提供一种内网计算机网络行为监测方法、装置、设备及可读存储介质，用以解决当前针对内网的安全监测方案的可靠性较低的问题。其具体方案如下：

第一方面，本申请提供了一种内网计算机网络行为监测方法，包括：

将预设程序传输至目标远程设备上；

利用所述预设程序对所述目标远程设备进行网络流量采集，得到流量采集结果；

利用所述预设程序，将所述流量采集结果中的报文与预先设置的协议特征库进行匹配，确定所述目标远程设备网络通信使用的协议类型；

利用所述预设程序，根据所述协议类型的协议规范，对所述流量采集结果进行解析，得到所述目标远程设备的网络会话数据；

利用所述预设程序，将所述网络会话数据传输至目标地址。

优选的，在所述利用所述预设程序对所述目标远程设备进行网络流量采集，得到流量采集结果之前，还包括：

利用对所述预设程序执行自身隐蔽性处理。

优选的，在所述利用所述预设程序，将所述网络会话数据传输至本地之前，还包括：