(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN113904804A(43)申请公布日2022.01.07(21)申请号202111036424.X(22)申请日2021.09.06(71)申请人河南信大网御科技有限公司地址450000河南省郑州市金水区宝瑞路115号河南省信息安全产业示范基地8号楼01、02号1-5层申请人珠海高凌信息科技股份有限公司(72)发明人吕青松冯志峰郭义伟张建军(74)专利代理机构郑州德勤知识产权代理有限公司41128代理人武亚楠(51)Int.Cl.H04L9/40(2022.01)权利要求书3页说明书9页附图4页(54)发明名称基于行为策略的内网安全防护方法、系统及介质(57)摘要本发明提供了一种基于行为策略的内网安全防护方法、系统及介质，所述方法包括以下步骤：判断内网中是否存在第一类异常行为及第二类异常行为；确定是否接收到新流量packets，响应于接收到的新流量packets，提取新流量packets中的目的MAC地址，将该目的MAC地址与MAC地址表hostList进行比对；若所述MAC地址表hostList中存在所述目的MAC地址，则判定新流量packets为内网报文，并判断新流量packets是否为基于连接协议的流量packets；若新流量packets不是基于连接协议的流量packets，则判断新流量packets中的目的MAC地址是否与异常标识Ⅰ或者异常标识Ⅱ关联，以及新流量packets中的源MAC地址是否与异常标识Ⅰ或者异常标识Ⅱ关联；若均不关联，则生成第一流量控制策略；否则，生成第二流量控制策略，以此阻断内网中CN113904804A的威胁。CN113904804A权利要求书1/3页1.一种基于行为策略的内网安全防护方法，其特征在于，包括以下步骤：判断内网中是否存在第一类异常行为，若内网中存在第一类异常行为，则建立异常标识Ⅰ与相关内网主机的MAC地址之间的关联关系；判断内网中是否存在第二类异常行为，若内网中存在第二类异常行为，则建立异常标识Ⅱ与相关内网主机的MAC地址之间的关联关系；确定是否接收到新流量packets，响应于接收到的新流量packets，提取新流量packets中的目的MAC地址，将该目的MAC地址与内网主机对应的MAC地址表hostList进行比对；若所述MAC地址表hostList中存在所述目的MAC地址，则判定新流量packets为内网报文，并判断新流量packets是否为基于连接协议的流量packets；若新流量packets不是基于连接协议的流量packets，则判断新流量packets中的目的MAC地址是否与异常标识Ⅰ或者异常标识Ⅱ关联，以及新流量packets中的源MAC地址是否与异常标识Ⅰ或者异常标识Ⅱ关联；若均不关联，则生成第一流量控制策略；否则，生成第二流量控制策略。2.根据权利要求1所述的基于行为策略的内网安全防护方法，其特征在于，若新流量packets为基于连接协议的流量packets，则判别新流量packets中的目的MAC地址和源MAC地址是否与交互异常标识关联；若均不关联，且新流量packets中的目的MAC地址及源MAC地址与异常标识Ⅰ和异常标识Ⅱ均不关联，则生成第一流量控制策略；否则，生成第二流量控制策略。3.根据权利要求2所述的基于行为策略的内网安全防护方法，其特征在于，判别内网主机之间的交互是否合法时，执行：建立及更新每个内网主机对应的交互行为记录表F，构建内网主机标识、对应MAC地址以及交互行为记录表F之间的关联关系；基于交互行为记录表F，计算与报文传输速率FSPEED关联的第一参数值K1，以及与报文总数目FPACKETS关联的第二参数值K2；若所述第一参数值K1和所述第二参数值K2均在预设范围内，则判定内网主机之间交互合法；否则，判定内网主机之间交互行为不合法，并建立交互异常标识与相关内网主机的MAC地址之间的关联关系。4.根据权利要求1所述的基于行为策略的内网安全防护方法，其特征在于，确定内网中是否存在第一类异常行为时，执行：建立及更新每个内网主机的数据流量记录表hostData，构建内网主机标识、对应MAC地址以及数据流量记录表hostData之间的关联关系，生成用户策略表List；根据第一预设关键字段，从与内网主机标识关联的数据流量记录表hostData中读取第一目标字段；其中，所述第一预设关键字段为SMAC、SIP、SPORT、DMAC、DIP、DPORT、FTYPE或者LENGTH中的一个或者多个；对同一时间区间内，不同内网主机标识对应的第一目标字段进行择多判决，根据判决结果识别内网中是否存在第一类异常行为。2CN113904804A权利要求书2/3页5.根据权利要求1所述的基于