CN112738095A - 一种检测非法外联的方法、装置、***、存储介质及设备 - Google Patents

一种检测非法外联的方法、装置、***、存储介质及设备 Download PDF

Info

Publication number
CN112738095A
CN112738095A CN202011593872.5A CN202011593872A CN112738095A CN 112738095 A CN112738095 A CN 112738095A CN 202011593872 A CN202011593872 A CN 202011593872A CN 112738095 A CN112738095 A CN 112738095A
Authority
CN
China
Prior art keywords
host
detected
intranet
server
extranet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202011593872.5A
Other languages
English (en)
Inventor
江灵兵
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou DPTech Technologies Co Ltd
Original Assignee
Hangzhou DPTech Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou DPTech Technologies Co Ltd filed Critical Hangzhou DPTech Technologies Co Ltd
Priority to CN202011593872.5A priority Critical patent/CN112738095A/zh
Publication of CN112738095A publication Critical patent/CN112738095A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/306Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Technology Law (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本说明书提供一种检测非法外联的方法、装置、***、存储介质及设备,该方法应用于安全防护设备,当监测到内网中存在待检测主机发送的访问内网业务的请求报文时,劫持该请求报文,并指示该待检测主机重定向至外网服务器,以使外网服务器在待检测主机访问后指示待检测主机重定向至内网管理服务器,内网管理服务器若接收到待检测主机的访问,即可确定该待检测主机为外联主机。这样,基于重定向技术,实现精准检查外联,并且外联的主机信息可以回传到内网管理服务器上,避免误报情况。

Description

一种检测非法外联的方法、装置、***、存储介质及设备
技术领域
本说明书涉及计算机技术领域,尤其涉及一种检测非法外联的方法、装置、***、存储介质及设备。
背景技术
在内外网隔离的网络通信***中,为了避免引入互联网的安全威胁,比如病毒、拒绝服务攻击等,内网一般不允许和外网连接。然而,内网中的一些主机设备会通过非法架设第三方上网通道(如私接WIFI、移动热点、私自代理服务器等),连入互联网。这种行为就是“非法外联”,非法外联行为容易因暴露面直接暴露到互联网而被利用,给内网带来安全隐患。因此,如何监控非法外联是极为重要的。
相关技术经常使用的非法外联监控方法主要包括:在内网中部署内网扫描服务器,在互联网上部署外网服务器,内网扫描服务器向内网中的各主机发探测报文,该探测报文伪造源IP的扫描,伪造的源IP为外网服务器的IP地址,以诱使接收到该探测报文的主机试图向外网服务器发送回应。正常情况下,主机没有与互联网的连接,回应报文是无法到达外网服务器的。因此,外网服务器如果收到回应报文,则可以根据回应报文识别出非法外联的主机。
然而,这种方式只能是外网服务器监控到非法外联的数据信息,由于外网服务器部署在外网,内网的管理人员无法在内网中得到非法外联的数据信息。
发明内容
为克服相关技术中存在的问题,本说明书提供了一种检测非法外联的方法、装置、***、存储介质及设备。
根据本说明书实施例的第一方面,提供一种检测非法外联的网络***,所述网络***包括:部署在内网中的安全防护设备、内网管理服务器和待检测主机、以及部署在外网中的外网服务器;所述安全防护设备具有端口镜像功能,其中,
所述安全防护设备用于:若监测到所述内网链路上存在待检测主机发送的访问内网业务的请求报文,劫持所述请求报文后,指示所述待检测主机重定向至所述外网服务器;
所述待检测主机用于:在所述安全防护设备的指示下重定向至所述外网服务器;
所述外网服务器用于:在所述待检测主机访问后指示所述待检测主机重定向至所述内网管理服务器;
所述待检测主机还用于:在所述外网服务器的指示下重定向至所述内网管理服务器;
所述内网管理服务器用于:在所述待检测主机访问后确定所述待检测主机为外联主机。
根据本说明书实施例的第二方面,提供一种检测非法外联的方法,所述方法应用于具有端口镜像功能的安全防护设备,所述安全防护设备部署于内网中,所述方法包括:
若监测到所述内网中存在待检测主机发送的访问内网业务的请求报文,劫持所述请求报文;
指示所述待检测主机重定向至外网服务器,以使所述外网服务器在所述待检测主机访问后指示所述待检测主机重定向至所述内网管理服务器,使得所述内网管理服务器在所述待检测主机访问后确定所述待检测主机为外联主机。
在某些例子中,上述请求报文包括所述待检测主机的标识信息,所述标识信息包括内网IP地址和MAC地址。
在某些例子中,上述待检测主机是首次访问内网业务的主机。
在某些例子中,上述安全防护设备记录各主机访问内网业务的访问时间,并周期性清除记录的信息,所述待检测主机是否为首次访问内网业务的主机是基于所述记录的信息确定的。
在某些例子中,上述指示所述待检测主机重定向至外网服务器,包括:
向待检测主机发送暂时重定向报文,所述暂时重定向报文指示重定向地址为外网服务器的地址。
在某些例子中,上述劫持所述请求报文,包括:
获取所述请求报文;
生成重置报文,将所述重置报文发送给所述请求报文指向的设备,以使所述设备结束同所述待检测主机的会话。
根据本说明书实施例的第三方面,提供一种检测非法外联的装置,所述装置应用于具有端口镜像功能的安全防护设备,所述安全防护设备部署于内网中,所述装置包括:
劫持模块,用于若监测到所述内网中存在待检测主机发送的访问内网业务的请求报文,劫持所述请求报文;
指示模块,用于指示所述待检测主机重定向至外网服务器,以使所述外网服务器在所述待检测主机访问后指示所述待检测主机重定向至所述内网管理服务器,使得所述内网管理服务器在所述待检测主机访问后确定所述待检测主机为外联主机。
根据本说明书实施例的第四方面,提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现说明书实施例中任一项方法。
根据本说明书实施例的第五方面,提供一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其中,所述处理器执行所述程序时实现说明书实施例中任一项方法。
本说明书的实施例提供的技术方案可以包括以下有益效果:
本说明书实施例中,公开了一种检测非法外联的方法、装置、***、存储介质及设备,该方法应用于安全防护设备,当监测到内网中存在待检测主机发送的访问内网业务的请求报文时,劫持该请求报文,并指示该待检测主机重定向至外网服务器,以使外网服务器在待检测主机访问后指示待检测主机重定向至内网管理服务器,内网管理服务器若接收到待检测主机的访问,即可确定该待检测主机为外联主机。这样,基于重定向技术,实现精准检查外联,并且外联的主机信息可以回传到内网管理服务器上,避免误报情况。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本说明书。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本说明书的实施例,并与说明书一起用于解释本说明书的原理。
图1是本说明书根据一示例性实施例示出的一种检测非法外联的网络***的拓扑结构的示意图;
图2是本说明书根据一示例性实施例示出的一种检测非法外联的方法的流程图;
图3是本说明书根据一示例性实施例示出的一种检测非法外联的网络***的交互流程的示意图;
图4是本说明书实施例检测非法外联的装置所在计算机设备的一种硬件结构图;
图5是本说明书根据一示例性实施例示出的一种检测非法外联的装置的框图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本说明书相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本说明书的一些方面相一致的装置和方法的例子。
在本说明书使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本说明书。在本说明书和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本说明书可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本说明书范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
目前,很多场景都有将内部网络和外部网络进行隔离,以保证内部网络的安全性的需求,尤其是业务数据比较重要的企业,比如银行、技术型企业等等。通常来说,将内部网络和外部网络进行隔离的方式有物理隔离和逻辑隔离两种方法,物理隔离是指内网不直接或间接地连接外网,其目的是保护路由器、工作站、网络服务器等硬件实体和通信链路免受自然灾害、人为破坏和搭线窃听攻击,物理隔离的设备主要有网闸、光闸等;逻辑隔离是指被隔离的两端仍然存在物理上数据通道连线,但通过技术手段保证被隔离的两端没有数据通道,逻辑隔离的设备主要有防火墙、网关等。
外联,是指从内网连接到外网(互联网)。在内外网隔离的网络通信***中,为了避免引入互联网的安全威胁,比如病毒、拒绝服务攻击等,内网一般不允许和外网(互联网)连接。然而,内网中的一些主机设备会通过非法架设第三方上网通道(如私接WIFI、移动热点、私自代理服务器等),连入互联网。这种行为就是“非法外联”,非法外联行为容易因暴露面直接暴露到互联网而被利用,给内网带来安全隐患。因此,如何监控非法外联是极为重要的。
相关技术经常采用的非法外联监测方法主要有以下两种:
其中一种是在内网的所有主机设备上安装检测客户端,该检测客户端能够实时监控当前的主机设备是否连接外网,并且若监控到主机设备连接外网,能够及时将该主机设备的详细信息上报到监控服务器上,然而,这一方法要求所有被监测的主机设备必须安装检测客户端,对于不知情用户将该检测客户端卸载,或由于新入网而未安装该检测客户端的主机设备并不能起到监测的作用。
另一种是在内网中部署内网扫描服务器,在互联网上部署外网服务器,内网扫描服务器向内网中的各主机发探测报文,该探测报文伪造源IP的扫描,伪造的源IP为外网服务器的IP地址,以诱使接收到该探测报文的主机试图向外网服务器发送回应。正常情况下,主机没有与互联网的连接,回应报文是无法到达外网服务器的。因此,外网服务器如果收到回应报文,则可以根据回应报文识别出非法外联的主机。然而,这种方式只能是外网服务器监控到非法外联的数据信息,由于外网服务器部署在外网,内网的管理人员无法在内网中得到非法外联的数据信息。
基于此,本说明书提供一种检测非法外联的方案,以解决上述问题。
接下来对本说明书实施例进行详细说明。
如图1所示,图1是本说明书根据一示例性实施例示出的一种检测非法外联的网络***的拓扑结构的示意图,所述网络***包括:部署在内网中的安全防护设备11、内网管理服务器12和待检测主机13、以及部署在外网中的外网服务器14;所述安全防护设备11具有端口镜像功能,其中,
所述安全防护设备11用于:若监测到所述内网链路上存在待检测主机13发送的访问内网业务的请求报文,劫持所述请求报文后,指示所述待检测主机13重定向至所述外网服务器14;
所述待检测主机13用于:在所述安全防护设备11的指示下重定向至所述外网服务器14;
所述外网服务器14用于:在所述待检测主机13访问后指示所述待检测主机13重定向至所述内网管理服务器12;
所述待检测主机13还用于:在所述外网服务器14的指示下重定向至所述内网管理服务器12;
所述内网管理服务器12用于:在所述待检测主机13访问后确定所述待检测主机13为外联主机。
需要说明的是,在其他实施例中,网络***中还包括若干个交换机和/或路由器,以及其他设备,如OA服务器等,对此本说明书不作限制。
本说明书实施例的网络***中,安全防护设备在监测到待检测主机发送的请求报文时,劫持该请求报文,并指示待检测主机重定向至外网服务器,正常情况下,待检测主机的访问请求是无法到达外网服务器的,因此,若外网服务器接收到待检测主机的访问,可以确定待检测主机为外联主机,同时,为了将其外联的数据回传到内网,外网服务器在待检测主机访问后,再次指示待检测主机重定向至内网管理服务器,这样,内网管理服务器在待检测主机访问后同样可以确定待检测主机为外联主机。对于内网的管理人员来说,无需等待外网服务器的告警,可以直接在内网中获取到非法外联的数据信息,从而提升了网络管理效率。
接下来对本说明书实施例的方案的各个细节进行详细介绍。如图2所示,图2是本说明书根据一示例性实施例示出的一种检测非法外联的方法的流程图,所述方法应用于具有端口镜像功能的安全防护设备,所述安全防护设备部署于内网中,所述方法包括:
在步骤201、若监测到所述内网中存在待检测主机发送的访问内网业务的请求报文,劫持所述请求报文;
本说明书实施例的方法是一种检测非法外联的方法,这一方法应用于安全防护设备。这里提到的安全防护设备具有端口镜像功能,可以理解的,端口镜像功能是通过在交换机或路由器上,将一个或多个源端口的流量信息转发到某一指定端口来实现对网络的监听。具体的,安全防护设备可以是具有端口镜像功能的交换机,也可以是与交换机连接、并能够采集该交换机上所关联的设备的流量信息的设备,当然,当安全防护设备是后者时,其是以旁路的形式部署于内网链路上的。
本说明书实施例的安全防护设备部署于内网中,因此可以监测到内网链路上的报文。内网中可以有多个主机设备,这里的主机设备可以是智能手机、平板电脑等便捷式终端,也可以是台式电脑、会议平板之类的设备。本步骤中提到的待检测主机可以是内网中的任意一个主机设备,也可以是特定的一个或多个主机设备。待检测主机可以向内网的业务服务器(内网中的OA服务器,或者其他办公***服务器)发起HTTP请求,以请求访问内网业务。一般情况下,这一HTTP请求经过交换机到达业务服务器,业务服务器接收到HTTP请求后做出响应。在本步骤中,安全防护设备会对待检测主机的请求报文进行劫持,并针对该请求的回应进行下一步骤的处理,以实现对该待检测主机是否外联进行检测。
在某些例子中,本步骤提到的劫持所述请求报文可以包括:获取所述请求报文;生成重置报文,将所述重置报文发送给所述请求报文指向的设备,以使所述设备结束同所述待检测主机的会话。这里的重置报文可以是指reset数据报文,将这一重置报文发送至请求报文指向的设备(为方便说明,后续简称为目标设备),如内网的业务服务器,使得该目标设备结束同待检测主机的会话,从而可以避免待检测主机接收到正常的响应报文。另外,需要说明的是,本步骤中提到的请求报文包括待检测主机的标识信息,该标识信息包括内网IP地址和MAC地址。也就是说,基于该请求报文,可以获取到待检测主机的主机信息。在其他实施例中,该标识信息还可以包括更多的信息,比如待检测主机的主机名等,本说明书对此不作限制。当然,可以知悉的是,请求报文中还包括了目标设备的IP地址,前面提到的重置报文的目的IP即为这一IP地址。
在步骤202、指示所述待检测主机重定向至外网服务器,以使所述外网服务器在所述待检测主机访问后指示所述待检测主机重定向至所述内网管理服务器,使得所述内网管理服务器在所述待检测主机访问后确定所述待检测主机为外联主机。
在劫持待检测主机的请求报文后,安全防护设备会指示该待检测主机重定向至外网服务器。也就是说,安全防护设备会伪装成该目标设备,向待检测主机发送响应报文,该响应报文指示该待检测主机重定向至外网服务器。为了避免待检测主机其他时间的正常工作,在某些例子中,本步骤中提到的指示所述待检测主机重定向至外网服务器,包括:向待检测主机发送暂时重定向报文,所述暂时重定向报文指示重定向地址为外网服务器的地址。暂时重定向,又称暂时性转移,是一种服务器端的重定向,其状态码是302,这个状态码能够告诉用户、搜索引擎、浏览器,该资源已经暂时性移动到另外一个位置,即旧版本页面临时重定向到新版本页面,这种移动不会当作永久性,而且会恢复原来的位置;暂时重定向报文还包括location字段,该字段用于将响应接受方引导至重定向地址对应的资源。这样,待检测主机在接收到暂时重定向报文后,会尝试对外网服务器的访问,但不会用暂时重定向报文中的重定向地址来替换原先存储的目标设备的地址,之后待检测主机仍然可以用正确地址来访问目标设备。
待检测主机根据安全防护设备的指示,会尝试向外网服务器发送请求报文,为了区别开前后两个请求报文,将待检测主机向目标设备发送的请求报文记为第一请求报文,将待检测主机向外网服务器尝试发送的请求报文记为第二请求报文。可以理解的,若外网服务器接收到第二请求报文,说明待检测主机可以连接外网,此时可以确定待检测主机是外联的主机,外网服务器可以将待检测主机的主机信息进行保存,以便于查看。
考虑到外网服务器部署在外网,和内网管理服务器不连接,用户无法在内网中得到外联的主机信息,由外网服务器将检测到的外联信息上报到内网的方式容易存在误报情况,因此,本说明书实施例的方法在检测外联的基础上,增加了数据回传:外网服务器在待检测主机访问后指示待检测主机重定向至内网管理服务器,以使外网服务器在所述待检测主机访问后指示所述待检测主机重定向至所述内网管理服务器,使得所述内网管理服务器在所述待检测主机访问后确定所述待检测主机为外联主机。同样的,将待检测主机向内网管理服务器发送的请求报文记为第三请求报文,由于第三请求报文是基于外网服务器的指示下发送的,也就是说,正常情况下,内网管理服务器是接收不到第三请求报文的,而当内网管理服务器接收到待检测主机发送的第三请求报文时,可以确定待检测主机可以连接到外网,此时内网管理服务器可以将待检测主机的主机信息和设定好的配置信息进行对比,确定出这一待检测主机是否为非法外联的主机。同样的,内网管理服务器也可以将待检测主机的主机信息进行持久保存,以便于查看。
在具体实现过程中,内网管理服务器的地址可以配置在外网服务器中,由外网服务器在指示待检测主机重定向至内网管理服务器时,将内网管理服务器的地址作为重定向报文中的重定向地址。另外,内网管理服务器的地址也可以由安全防护设备指示待检测主机重定向至外网服务器时,记录在重定向报文中,该重定向报文中携带待检测主机的主机信息,如内网IP地址和MAC地址,以及携带内网管理服务器的地址,当然还可以携带更多其他信息,这样,待检测主机解析重定向报文时,向外网服务器尝试发送请求报文,内网管理服务器被携带至外网服务器,使得外网服务器接收到待检测主机的请求报文时,基于同待检测主机的会话,回应重定向报文,重定向地址为内网管理服务器的地址,如此,可以针对内网管理服务器的地址经常变化的情况进行实时更新,提升方案的适用性。
还有,内网管理服务器在确认待检测主机为外联主机后,可以以邮件之类的形式发出报警信息,也可以对该待检测主机进行阻断,本说明书对此不作限制。
需要说明的是,安全防护设备并不需要对每个访问内网业务的请求报文都进行重定向,在某些例子中,前面提到的待检测主机是首次访问内网业务的主机。也就是说,安全防护设备可以只针对首次访文内网业务的主机进行检测,当有新的主机加入时,安全防护设备也能够对其进行检测,对于其之后对业务访问的请求报文,安全防护设备在一定的时间内不再劫持,从而避免对正常的业务访问造成较大的影响。可以理解的,安全防护设备记录各主机访问内网业务的访问时间,待检测主机是否为首次访问内网业务的主机可以基于该记录的信息来确定,为了对各主机进行稳定的检测,安全防护设备可以周期性清除记录的信息,比如每隔10分钟清除一次,在清除记录的信息后,各主机针对内网业务的访问就是首次访问,安全防护设备可以再次进行检测。这里的周期可以根据具体场景的需要进行设置,本说明书对此不作限制。
本说明书实施例的方法,基于重定向技术,使得外联的主机主动访问外网服务器,实现精准检查外联,并且,还能使得外联的主机信息重新发送到内网管理服务器上,实现数据回传,避免误报情况,而且主机也无需安装其他软件,更为便捷。
为了对本说明书实施例的方案做更为详细的说明,接下来介绍一具体实施例。
如图3所示,图3是本说明书根据一示例性实施例示出的一种检测非法外联的网络***的交互流程的示意图,所述网络***包括:部署在内网中的安全防护设备31、内网管理服务器32和待检测主机33、以及部署在外网中的外网服务器34。在本说明书实施例中,安全防护设备31是具有端口镜像功能的交换机,待检测主机33连接在安全防护设备31的端口上。检测的流程如下所示:
S301、待检测主机33发送第一请求报文,请求访问内网业务;
本实施例中,待检测主机33的主机信息包括:内网IP地址为10.121.12.100,MAC地址为11:22:33:44:55;
S302、安全防护设备31获取到第一请求报文,安全防护设备31获取并解析第一请求报文,获取待检测主机33的主机信息,基于自身记录的各主机访问内网业务的访问时间,确定待检测主机33为首次访问内网业务的主机,因此,向待检测主机33发送第一重定向报文,指示待检测主机33重定向至外网服务器34;
本实施例中,第一重定向报文的状态码为302,location字段中的重定向地址为外网服务器34的IP地址,为45.45.18.20,从而指示待检测主机33接收到第一重定向报文后,重定向至这个IP地址;location字段中还携带有待检测主机33的主机信息,以及内网管理服务器32的IP地址,为10.121.13.120,当然还可以携带更多其他信息,具体的,location字段可以为http://45.45.18.20:8081/outcheck?ip=10.121.12.100&mac=11:22:33:44:55&man agerip=10.121.13.120;
S303、待检测主机33解析第一重定向报文,向外网服务器34发送第二请求报文;
本实施例中,待检测主机33能够连接外网,外网服务器可以接收到来自待检测主机33的HTTP请求;
S304、外网服务器34解析第二请求报文,向待检测主机33发送第二重定向报文,指示待检测主机33重定向至内网管理服务器32;
本实施例中,第二重定向报文的状态码为302,location字段可以为http://10.121.13.120/outcheck?ip=10.121.12.100&mac=11:22:33:44:55&outip=45.45.18.20;由这一location字段可知,重定向地址为内网管理服务器32的IP地址,第二重定向报文携带有待检测主机33的主机信息;
S305、待检测主机33解析第二重定向报文,向内网管理服务器32发送第三请求报文;
S306、内网管理服务器32解析第三请求报文,确定待检测主机为外联的主机。
由以上流程可知,本实施例的方法可以使得外联的主机主动访问外网服务器,实现精准检查外联,并且外联的主机信息可以发送到内网管理服务器上,实现数据回传,避免误报情况,而且,整个检测过程中,只需要主机访问内网业务,流量经过内网网关即可,各主机无需安装其他软件,更为便捷,针对新入网的主机也能够起到监测的作用。
与前述方法的实施例相对应,本说明书还提供了检测非法外联的装置及其所应用的终端的实施例。
本说明书检测非法外联的装置的实施例可以应用在计算机设备上,例如服务器或安全防护设备。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在文件处理的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言,如图4所示,为本说明书实施例检测非法外联的装置所在计算机设备的一种硬件结构图,除了图4所示的处理器410、内存430、网络接口420、以及非易失性存储器440之外,实施例中装置431所在的服务器或电子设备,通常根据该计算机设备的实际功能,还可以包括其他硬件,对此不再赘述。
相应地,本说明书实施例还提供一种计算机存储介质,所述存储介质中存储有程序,所述程序被处理器执行时实现上述任一实施例中的方法。
本说明书实施例可采用在一个或多个其中包含有程序代码的存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。计算机可用存储介质包括永久性和非永久性、可移动和非可移动媒体,可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括但不限于:相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。
如图5所示,图5是本说明书根据一示例性实施例示出的一种检测非法外联的装置的框图,所述装置应用于具有端口镜像功能的安全防护设备,所述安全防护设备部署于内网中,所述装置包括:
劫持模块51,用于若监测到所述内网中存在待检测主机发送的访问内网业务的请求报文,劫持所述请求报文;
指示模块52,用于指示所述待检测主机重定向至外网服务器,以使所述外网服务器在所述待检测主机访问后指示所述待检测主机重定向至所述内网管理服务器,使得所述内网管理服务器在所述待检测主机访问后确定所述待检测主机为外联主机。
上述装置中各个模块的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理模块,即可以位于一个地方,或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本说明书方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
本领域技术人员在考虑说明书及实践这里申请的发明后,将容易想到本说明书的其它实施方案。本说明书旨在涵盖本说明书的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本说明书的一般性原理并包括本说明书未申请的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本说明书的真正范围和精神由下面的权利要求指出。
应当理解的是,本说明书并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本说明书的范围仅由所附的权利要求来限制。
以上所述仅为本说明书的较佳实施例而已,并不用以限制本说明书,凡在本说明书的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本说明书保护的范围之内。

Claims (10)

1.一种检测非法外联的网络***,其特征在于,所述网络***包括:部署在内网中的安全防护设备、内网管理服务器和待检测主机、以及部署在外网中的外网服务器;所述安全防护设备具有端口镜像功能,其中,
所述安全防护设备用于:若监测到所述内网链路上存在待检测主机发送的访问内网业务的请求报文,劫持所述请求报文后,指示所述待检测主机重定向至所述外网服务器;
所述待检测主机用于:在所述安全防护设备的指示下重定向至所述外网服务器;
所述外网服务器用于:在所述待检测主机访问后指示所述待检测主机重定向至所述内网管理服务器;
所述待检测主机还用于:在所述外网服务器的指示下重定向至所述内网管理服务器;
所述内网管理服务器用于:在所述待检测主机访问后确定所述待检测主机为外联主机。
2.一种检测非法外联的方法,其特征在于,应用于具有端口镜像功能的安全防护设备,所述安全防护设备部署于内网中,所述方法包括:
若监测到所述内网中存在待检测主机发送的访问内网业务的请求报文,劫持所述请求报文;
指示所述待检测主机重定向至外网服务器,以使所述外网服务器在所述待检测主机访问后指示所述待检测主机重定向至所述内网管理服务器,使得所述内网管理服务器在所述待检测主机访问后确定所述待检测主机为外联主机。
3.根据权利要求2所述的方法,其特征在于,所述请求报文包括所述待检测主机的标识信息,所述标识信息包括内网IP地址和MAC地址。
4.根据权利要求2所述的方法,其特征在于,所述待检测主机是首次访问内网业务的主机。
5.根据权利要求4所述的方法,其特征在于,所述安全防护设备记录各主机访问内网业务的访问时间,并周期性清除记录的信息,所述待检测主机是否为首次访问内网业务的主机是基于所述记录的信息确定的。
6.根据权利要求2所述的方法,其特征在于,所述指示所述待检测主机重定向至外网服务器,包括:
向待检测主机发送暂时重定向报文,所述暂时重定向报文指示重定向地址为外网服务器的地址。
7.根据权利要求2所述的方法,其特征在于,所述劫持所述请求报文,包括:
获取所述请求报文;
生成重置报文,将所述重置报文发送给所述请求报文指向的设备,以使所述设备结束同所述待检测主机的会话。
8.一种检测非法外联的装置,其特征在于,应用于具有端口镜像功能的安全防护设备,所述安全防护设备部署于内网中,所述装置包括:
劫持模块,用于若监测到所述内网中存在待检测主机发送的访问内网业务的请求报文,劫持所述请求报文;
指示模块,用于指示所述待检测主机重定向至外网服务器,以使所述外网服务器在所述待检测主机访问后指示所述待检测主机重定向至所述内网管理服务器,使得所述内网管理服务器在所述待检测主机访问后确定所述待检测主机为外联主机。
9.一种计算机设备,其特征在于,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其中,所述处理器执行所述程序时实现如权利要求2~7任一项所述的方法。
10.一种计算机可读存储介质,其特征在于,其上存储有计算机程序,该程序被处理器执行时实现权利要求2~7任一项所述的方法。
CN202011593872.5A 2020-12-29 2020-12-29 一种检测非法外联的方法、装置、***、存储介质及设备 Pending CN112738095A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011593872.5A CN112738095A (zh) 2020-12-29 2020-12-29 一种检测非法外联的方法、装置、***、存储介质及设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011593872.5A CN112738095A (zh) 2020-12-29 2020-12-29 一种检测非法外联的方法、装置、***、存储介质及设备

Publications (1)

Publication Number Publication Date
CN112738095A true CN112738095A (zh) 2021-04-30

Family

ID=75607529

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011593872.5A Pending CN112738095A (zh) 2020-12-29 2020-12-29 一种检测非法外联的方法、装置、***、存储介质及设备

Country Status (1)

Country Link
CN (1) CN112738095A (zh)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114531485A (zh) * 2021-12-28 2022-05-24 望海康信(北京)科技股份公司 数据传输方法、***及相应设备和存储介质
CN114978942A (zh) * 2022-05-13 2022-08-30 深信服科技股份有限公司 一种路由器检测方法、装置及电子设备和存储介质
CN115296917A (zh) * 2022-08-09 2022-11-04 山东港口科技集团烟台有限公司 资产暴露面信息获取方法、装置、设备以及存储介质
CN115987675A (zh) * 2022-12-30 2023-04-18 北京明朝万达科技股份有限公司 违规外联检测方法、装置、移动终端及存储介质
CN116155549A (zh) * 2022-12-23 2023-05-23 武汉雨滴科技有限公司 终端外联检测方法、装置、电子设备及存储介质
CN116938570A (zh) * 2023-07-27 2023-10-24 北京天融信网络安全技术有限公司 一种检测方法、装置、存储介质及电子设备

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1469651A2 (en) * 2003-04-17 2004-10-20 CC CompuNet Computer AG & Co. oHG Computer network leakage detection
CN202050425U (zh) * 2010-11-16 2011-11-23 暨南大学 一种内网设备非法外联监控***
CN109413097A (zh) * 2018-11-30 2019-03-01 深信服科技股份有限公司 一种非法外联检测方法、装置、设备及存储介质
CN110365793A (zh) * 2019-07-30 2019-10-22 北京华赛在线科技有限公司 违规外联监测方法、装置、***及存储介质
CN111385376A (zh) * 2020-02-24 2020-07-07 杭州迪普科技股份有限公司 一种终端的非法外联监测方法、装置、***及设备
CN111917701A (zh) * 2020-03-31 2020-11-10 北京融汇画方科技有限公司 基于非客户端模式被动检查在线违规外联技术
CN111970234A (zh) * 2020-06-30 2020-11-20 浙江远望信息股份有限公司 一种基于Cookie的NAT私网接入违规外联设备的取证方法

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1469651A2 (en) * 2003-04-17 2004-10-20 CC CompuNet Computer AG & Co. oHG Computer network leakage detection
CN202050425U (zh) * 2010-11-16 2011-11-23 暨南大学 一种内网设备非法外联监控***
CN109413097A (zh) * 2018-11-30 2019-03-01 深信服科技股份有限公司 一种非法外联检测方法、装置、设备及存储介质
CN110365793A (zh) * 2019-07-30 2019-10-22 北京华赛在线科技有限公司 违规外联监测方法、装置、***及存储介质
CN111385376A (zh) * 2020-02-24 2020-07-07 杭州迪普科技股份有限公司 一种终端的非法外联监测方法、装置、***及设备
CN111917701A (zh) * 2020-03-31 2020-11-10 北京融汇画方科技有限公司 基于非客户端模式被动检查在线违规外联技术
CN111970234A (zh) * 2020-06-30 2020-11-20 浙江远望信息股份有限公司 一种基于Cookie的NAT私网接入违规外联设备的取证方法

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114531485A (zh) * 2021-12-28 2022-05-24 望海康信(北京)科技股份公司 数据传输方法、***及相应设备和存储介质
CN114978942A (zh) * 2022-05-13 2022-08-30 深信服科技股份有限公司 一种路由器检测方法、装置及电子设备和存储介质
CN114978942B (zh) * 2022-05-13 2024-05-24 深信服科技股份有限公司 一种路由器检测方法、装置及电子设备和存储介质
CN115296917A (zh) * 2022-08-09 2022-11-04 山东港口科技集团烟台有限公司 资产暴露面信息获取方法、装置、设备以及存储介质
CN116155549A (zh) * 2022-12-23 2023-05-23 武汉雨滴科技有限公司 终端外联检测方法、装置、电子设备及存储介质
CN116155549B (zh) * 2022-12-23 2023-12-29 武汉雨滴科技有限公司 终端外联检测方法、装置、电子设备及存储介质
CN115987675A (zh) * 2022-12-30 2023-04-18 北京明朝万达科技股份有限公司 违规外联检测方法、装置、移动终端及存储介质
CN115987675B (zh) * 2022-12-30 2024-03-19 北京明朝万达科技股份有限公司 违规外联检测方法、装置、移动终端及存储介质
CN116938570A (zh) * 2023-07-27 2023-10-24 北京天融信网络安全技术有限公司 一种检测方法、装置、存储介质及电子设备
CN116938570B (zh) * 2023-07-27 2024-05-28 北京天融信网络安全技术有限公司 一种检测方法、装置、存储介质及电子设备

Similar Documents

Publication Publication Date Title
CN112738095A (zh) 一种检测非法外联的方法、装置、***、存储介质及设备
CN110365793B (zh) 违规外联监测方法、装置、***及存储介质
US10637880B1 (en) Classifying sets of malicious indicators for detecting command and control communications associated with malware
CN108881211B (zh) 一种违规外联检测方法及装置
US10200384B1 (en) Distributed systems and methods for automatically detecting unknown bots and botnets
US10587647B1 (en) Technique for malware detection capability comparison of network security devices
US8844034B2 (en) Method and apparatus for detecting and defending against CC attack
KR102580898B1 (ko) Dns 메시지를 사용하여 컴퓨터 포렌식 데이터를 선택적으로 수집하는 시스템 및 방법
US20160381070A1 (en) Protocol based detection of suspicious network traffic
US20100235917A1 (en) System and method for detecting server vulnerability
CN107347057B (zh) 入侵检测方法、检测规则生成方法、装置及***
CN109922062B (zh) 源代码泄露监控方法及相关设备
JP2017502605A (ja) プロキシipアドレスの識別方法及び装置
CN110266650B (zh) Conpot工控蜜罐的识别方法
JP5980968B2 (ja) 情報処理装置、情報処理方法及びプログラム
CN114244570B (zh) 终端非法外联监测方法、装置、计算机设备和存储介质
CN105812324A (zh) Idc信息安全管理的方法、装置及***
US20040233849A1 (en) Methodologies, systems and computer readable media for identifying candidate relay nodes on a network architecture
CN116723020A (zh) 网络服务模拟方法、装置、电子设备及存储介质
CN113098727A (zh) 一种数据包检测处理方法与设备
CN111881384B (zh) 违规外联的取证方法、***和存储介质
US11683337B2 (en) Harvesting fully qualified domain names from malicious data packets
CN114257604A (zh) 一种数据处理方法及***
KR102156600B1 (ko) 네트워크에서 수집된 패킷과 엔드포인트 컴퓨팅 장치의 프로세스 간의 연관관계를 생성하는 시스템 및 방법
CN114285652B (zh) 工业协议检测方法、装置及计算机设备、存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20210430

RJ01 Rejection of invention patent application after publication