[发明专利]一种检测流量采集设备数据采集漏报的方法及装置

摘要

一种检测流量采集设备数据采集漏报的方法涉及信息技术领域的信息安全技术，本发明包括步骤1是活跃IP数据漏报发现，步骤2是活跃域名数据漏报发现。本发明使用DNS数据源，对原有的数据有所补充，提取其中的属性符合机房内的数据，再进行模拟请求，既降低了模拟请求的性能需求，又提供了更加全面的模拟请求，使发现的漏报更加全面准确。在进行模拟请求时，本发明先进行http（get/post）请求，之后将模拟请求结果返回值不在合理范围内的数据再进行https（get/post）请求。这种方式相比于全部数据进行http&https模拟请求能够降低模拟请求的性能需求，相比于只做http模拟请求也能够增加模拟请求的全面性。本发明可以有效的提高网络监管水平，将信息安全管理系统漏报的数据找出，用以分析信息安全管理系统的漏报原因。

主权项

一种检测流量采集设备数据采集漏报的方法，其特征在于由步骤1活跃IP数据漏报发现和步骤2活跃域名数据漏报发现组成；步骤1活跃IP数据漏报发现包括：（1）IP基准表获取：a) 在企业人工上报以及企业IDC基础上报的IP数据中，找出其中使用方式为非动态且有机房属性的IP数据；b) 在企业人工上报以及企业信息安全管理系统基础上报的IP数据中，找出其中使用方式为静态的IP数据；c）获取一个月到三个月内的活跃累计IP数据，并剔除不合法IP，剔除内网IP，剔除广播IP，剔除重复；d）将通过前面步骤a）步骤b）步骤c）获取的数据进行去重融合处理，得到融合结果数据；e）通过第三方离线数据以及第三方接口获得融合结果数据的地市属性，将非上报IP所处省市的IP数据进行剔除，最终获得全省市最全面的机房内IP数据作为IP基准表；其中非上报IP所处省市的IP数据指由行政命令或保密级别要求不允许上报的IP数据；（2）对IP基准表内全部IP做模拟请求，建立模拟请求成功表：对全省市最全面的机房内IP数据进行模拟请求，模拟请求时需要使用socket或者curl请求针对IP地址加端口先进行http的get/post请求，若返回码不在合理范围，则再进行https的get/post请求；记录返回码在合理范围内的IP，记录并建立模拟请求成功表；（3）补充模拟请求成功表数据：增加DNS流量数据并解析出域名和域名的解析IP数据，对域名的解析IP数据进行模拟请求，具体步骤是：a)由DNS流量采集设备提供DNS流量数据，进行降噪去重处理后，在五元组的数据中获得当日的有效域名以及域名的解析IP数据；b)根据域名和域名的解析IP数据先进行http的get/post请求，若返回码不在合理范围，则再进行https的get/post请求；记录所有返回码在合理范围内的IP，并输入到模拟请求成功表；（4）活跃流量数据与模拟请求成功表的比对计算找出信息安全管理系统漏报的IP数据：当日模拟请求的数据将被信息安全管理系统的活跃流量采集设备进行采集，并于次日作为活跃流量数据进行上报，因此在次日进行前一日的活跃流量数据与模拟请求成功表的比对计算，找到模拟请求成功但未由信息安全管理系统的活跃流量采集设备上报的活跃IP数据，并研究活跃流量采集设备的漏报情况：a)将信息安全管理系统的活跃流量采集设备采集的活跃流量IP数据进行降噪处理，获得活跃IP表；b)使用同一日的模拟请求成功表与活跃IP表进行比对，找到当日活跃采集未采集到和次日未上报的IP数据，为信息安全管理系统漏报的IP数据；步骤2活跃域名数据漏报发现包括：（1）域名IP关系基准表获取：a)通过企业人工上报数据以及DNS流量采集数据、爬虫采集域名能够获取省市内全量的域名数据，使用模拟请求手段获取准确且全面的域名IP关系数据；b)获取活跃流量采集设备上报的，一个月到三个月的活跃域名IP关系累计数据并删除重复记录；c)将模拟请求获得和活跃流量采集设备上报累计的活跃流量域名IP关系数据进行去重融合，获得域名IP关系全量表；d)将获得的域名IP关系全量表同活跃IP数据漏报方案中获得的剔除了省市外IP数据和专线IP数据的机房内IP数据进行关联，找到全省市内的机房内非专线IP的域名并记录域名IP关系基准表；（2）对域名IP关系基准表内全部域名进行模拟请求，建立域名IP关系模拟请求成功表：使用socket或curl请求，针对获得的机房内域名IP关系全量表中的域名先进行http的get/post请求，若返回码不在合理范围，则再进行https的get/post请求；记录返回码在合理范围内的对应域名IP关系作为域名IP关系模拟请求成功表；使用域名IP关系基准表中的域名进行模拟请求可以保证模拟请求的域名经过规定的机房；（3）补充域名IP关系模拟请求成功表数据使用当日的DNS流量数据中的域名和解析IP作为域名IP关系补充数据，对于域名IP关系补充数据进行模拟请求：a)由DNS流量采集设备提供DNS流量数据，进行降噪去重处理后获得当日的活跃域名及域名解析IP数据；b) 根据获取的域名和域名解析IP数据先进行http的get/post请求，若返回码不在合理范围，则再进行https的get/post请求；记录所有返回码在合理范围内的IP，录入域名IP关系模拟请求成功表；（4）活跃流量数据与域名IP关系模拟请求成功表的比对计算找出信息安全管理系统漏报的IP数据：当日模拟请求的数据将被信息安全管理系统的活跃流量采集设备进行采集，并作为活跃流量数据于次日进行上报，因此在次日进行前一日的活跃流量数据与域名IP关系模拟请求成功表的比对计算，找到模拟请求成功但未由信息安全管理系统的活跃流量采集设备上报的活跃域名数据，并研究活跃流量采集设备的漏报情况： a)将当日采集、次日上报的活跃流量数据进行降噪处理，获得上报的域名IP关系数据表；b)将同一日的上报的域名IP关系数据表与同一日的域名IP关系模拟请求成功表进行比对，找出当日请求成功模拟请求成功，但并未在上报的域名IP关系数据表中出现的域名数据，作为信息安全管理系统活跃域名漏报数据。