(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111340179.1 (22)申请日 2021.11.12 (71)申请人 国网河南省电力公司漯河供电公司 地址 462000 河南省漯河市郾城区黄河路 西段 申请人 北京慧森 亿信网络科技有限公司 (72)发明人 赵欣慧　刘会强　承春明　冀振鑫　 李旭辉　王金珂　王永翔　赵东坡　 (74)专利代理 机构 北京市浩 东律师事务所 11499 代理人 李雁 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种新型内网异常IP发现技 术 (57)摘要 本发明目提供了一种新型内网异常IP发现 技术， 在分析内网内部的异常IP问题上设计一个 内网异常IP管理工具， (1)数据包的抓取及数据 包解码分析； (2)内网异常IP的发现。 在交换机的 trunk口， 通过数据抓包和分析， 呈现每个VLAN的 在线IP情况， 发现内网中的异常IP， 进而找出非 法路由器； (3)网络威胁事件的研究； 例入SQL注 入攻击、 ARP攻击等事件， 通过数据抓包分析， 研 究相关事件的特征及原理； (4)终端识别， 自动识 别windows、 linux、 安卓、 iphone等终端； (5)可视 化展示， 以报表、 日志的形式记录用户的网络行 为， 管理员可进行安全审计， 为信息管理人员掌 握网络情况、 发现并处理网络中的威胁事件提供 了可靠依据， 简化了工作流程， 极大提高工作效 率。 权利要求书1页 说明书4页 附图1页 CN 113923051 A 2022.01.11 CN 113923051 A 1.一种新型内网异常IP发现技术， 其特征在于， 在分析内网内部的异常IP问题上设计 一个内网异常IP管理工具， 为信息管理人员掌握网络情况、 发现并处理网络中的威胁事件 提供了可靠依据， 简化了 工作流程， 极大提高工作效率； 研究内容包括以下 方面： (1)数据包的抓取及数据包解码分析； (2)内网异常IP的发现。 在交换机的trunk口， 通过数据 抓包和分析， 呈现每个VLAN的在 线IP情况， 发现内网中的异常IP， 进 而找出非法 路由器； (3)网络威胁事 件的研究； 例入SQL注入攻击、 ARP攻击等事 件， 通过数据抓包分析， 研究相关事 件的特征及原理； (4)终端识别， 自动识别w indows、 linux、 安卓、 ipho ne等终端； (5)可视化展示， 以报表、 日志的形式记录用户的网络行为， 管理员可进行安全审计。 2.根据权利要求1所述的一种带帽的笔， 其特 征在于： 具体流 程如下： 1)研究数据包抓包及数据分析解码， 这是本次研发的基础； 2)威胁事 件及其通信原理研究， 例如： 例入SQ L注入攻击、 ARP攻击、 恶意 域名； 3)确定研发总体框架及方案， 对系统进行整体规划； 4)确定系统开发方案， 对要实现的功能分模块 开发； 5)开发的系统分模块功能测试； 6)分模块功能测试后， 系统整体功能测试； 7)入网测试； 8)验收。权　利　要　求　书 1/1 页 2 CN 113923051 A 2一种新型内 网异常IP发现 技术 技术领域 [0001]本发明属于互联网技 术领域， 具体涉及一种新型内网异常IP发现技 术。 背景技术 [0002]在国内， 据公安部统计， 我国计算机犯罪的70％来源于内部泄密， 各种重要数据、 文件的滥用、 丢失、 被盗所造成的损失以亿计， 因此如何建立安全的内网网络环境， 防范来 自网络内部的安全威胁， 已经 是重中之重 。 [0003]物理隔离 的局域网所面临的安全威胁既包括黑客入侵、 病毒感染等， 也包括内部 人员泄密等， 现在内网环境主要采取防火墙等技术手段防范， 病毒、 蠕虫、 木马、 后门和混合 威胁的泛滥， 使用传统的防火墙越来越难以检测和阻挡， 无论是Windows、 Unix以及Linux系 统都容易成遭受网络攻击； 办公PC、 以及日益普及的IoT物联网终端(摄像头、 门禁、 考勤系 统等)逐渐成为网络入侵和攻击的载体和工具。 [0004]而内部泄密包含范围较广， 例如内部用户故意窃密、 用户无意中的操作 留下的安 全漏洞以及误操作引起系统瘫痪等， 而内网异常IP地址的存在确实大大增加了局域网被入 侵的风险， 因此， 一个有效的内网IP管理系统 能够大大保障内网的安全性和可靠性， 本文从 网管员日常繁琐的异常IP地址管理问题出发， 特别是内网异常IP的发现和展示问题， 开发 了一套内网异常IP安全管理工具。 发明内容 [0005]本发明目提供了一种能够实时呈现网络中的非法攻击威胁事件， 及时发现网络中 的异常IP和终端识别,并能够记录相应日志的内网安全提升 辅助工具。 [0006]本发明所采用的技 术方案为： [0007]一种新型内网异常IP发现技术， 在分析内网内部的异常IP问题上设计一个内网异 常IP管理工具， 为信息管理人员掌握网络情况、 发现并处理网络中的威胁事件提供了可靠 依据， 简化了 工作流程， 极大提高工作效率。 [0008]研究内容包括以下 方面： [0009](1)数据包的抓取及数据包解码分析； [0010](2)内网异常IP的发现。 在交换机的trunk口， 通过数据抓包和分析， 呈现每个VLAN 的在线IP情况， 发现内网中的异常IP， 进 而找出非法 路由器； [0011](3)网络威胁事 件的研究； [0012]例入SQL注入攻击、 ARP攻击等事件， 通过数据抓包 分析， 研究相关事件的特征及原 理。 [0013](4)终端识别， 自动识别w indows、 linux、 安卓、 ipho ne等终端； [0014](5)可视化展示， 以报表、 日志的形式记录用户的网络行为， 管理员可进行安全审 计。 [0015]本发明的具体流 程如下：说　明　书 1/4 页 3 CN 113923051 A 3