CN1367434A - 内联网计算机与因特网未授权连接监测***及方法 - Google Patents

内联网计算机与因特网未授权连接监测***及方法 Download PDF

Info

Publication number
CN1367434A
CN1367434A CN 02104288 CN02104288A CN1367434A CN 1367434 A CN1367434 A CN 1367434A CN 02104288 CN02104288 CN 02104288 CN 02104288 A CN02104288 A CN 02104288A CN 1367434 A CN1367434 A CN 1367434A
Authority
CN
China
Prior art keywords
internet
network
network server
address
computer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN 02104288
Other languages
English (en)
Other versions
CN1176421C (zh
Inventor
高云
徐征然
付念东
赵海峰
姚志武
卢晓山
吴海波
孔志奎
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Computer Virus Prevention Service
Beijing Venus Information Security Technology Co Ltd
Beijing Venus Information Technology Co Ltd
Original Assignee
BEIJING QIMING XINGCHEN INFORMATION TECHNOLOGY Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by BEIJING QIMING XINGCHEN INFORMATION TECHNOLOGY Co Ltd filed Critical BEIJING QIMING XINGCHEN INFORMATION TECHNOLOGY Co Ltd
Priority to CNB021042888A priority Critical patent/CN1176421C/zh
Publication of CN1367434A publication Critical patent/CN1367434A/zh
Application granted granted Critical
Publication of CN1176421C publication Critical patent/CN1176421C/zh
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

一种内联网计算机与因特网未授权连接监测***,它包括:在与因特网隔离的支持TCP/IP协议的内联网中设置的内网服务器,用于发送欺骗的探测网络数据到内联网内的目标计算机;连接在因特网上的外网服务器,用于接收目标计算机对探测网络数据的应答,根据是否收到应答来判断被监测的目标计算机是否接入因特网或与因特网断开。它能够达到无论内联网计算机通过哪一种方式接入因特网,都能被网络发现,实时探测出被监控网段上所有存在未授权外联的计算机的IP地址的效果。

Description

内联网计算机与因特网未授权连接监测***及方法
技术领域
本发明涉及计算机网络安全领域,具体地说,是在一个要求与因特网隔离的内联网上监测内联网上是否有计算机与因特网进行未授权连接的***。此外,本发明还公开了其监测方法。
背景技术
对于有机密数据或运行关键服务的内联网,一般采取一定的措施来保证内联网的安全,就是尽量与不受信任的因特网隔离开,避免受到外部的因特网的攻击,或者数据泄露。这种安全措施根据保密的程度,采用的方法有:
1、使用物理隔离的方法,也就是使内联网与因特网没有物理线
   路的连接。
2、在网络的边界安装防火墙等访问控制设备。防火墙的作用是
   设置一定的访问权限,只有访问权限之内的用户才能够通过
   防火墙进行访问,如果不在访问权限之内,就被防火墙挡住。
这两种方法的缺点是:内联网用户可能通过调制解调器拨号等方法直接连入因特网,来破坏内联网与因特网物理隔绝性,或避开访问控制的权限要求。如图1所示。正常的内联网是使用防火墙作为访问控制设备来控制局域网内机器与不受信任的广域网上的机器的通讯,所有进出局域网的通讯都需要等到防火墙的授权。防火墙保证了局域网免受来自广域网的攻击,保护内联网内的中重要服务的正常运行,防止机密数据被泄漏。图1右侧线路下面的器件就是一个防火墙,图1底下的一排线路是内联网及网上的用户,上面的结构表示因特网,防火墙上面的是一个路由器,图1左侧表示一台内联网的计算机通过一台调制解调器拨号直接接入因特网,这时,因特网通过该计算机与内联网的通讯将没有任何访问控制机制,防火墙就失去了其应有的作用。因特网上可以发起对该计算机的攻击,如果攻击成功,还可以进一步对整个内联网进行攻击。
为了监测和防止这种违反安全策略直接与因特网相连的情况出现,采用的方式一般有两种方式:
一是在集团的电话程控交换机上禁止因特网服务提供商的拨入电话号码,这种方法的缺点是因特网服务提供商是在不断变化的,其电话号码也可能不断变化,不大可能禁止所有的因特网服务提供商拨入电话号码。加上随着技术的发展,现在接入因特网方法越来越多,可以使用无线上网卡或手机上网的方式,集团的电话程控交换机就无能为力了。
另一种方法是使用一台计算机控制调制解调器给所有怀疑的集团电话拨号,根据被拨号电话的反应来判断该电话是否被用于进行拨号。这种方法的缺点除了上述的接入因特网的方法不一定使用集团的电话外,还会影响对被探测电话的使用者。根据检索结果,还未见有使用网络方法来监测内联网上计算机直接与因特网相连的产品、设备和方法。
发明内容
本发明的目的是提供一种内联网计算机与因特网未授权连接监测***及方法,无论内联网计算机通过哪一种方式接入因特网,都能被网络发现,实时探测出被监控网段上所有存在未授权外联的计算机的IP地址。
为实现上述目的,本发明的解决方案是:一种内联网计算机与因特网未授权连接监测***,它包括:
在与因特网隔离的支持TCP/IP协议的内联网中设置的内网服务器,用于发送欺骗的探测网络数据到内联网内的目标计算机;
连接在因特网上的外网服务器,用于接收目标计算机对探测网络数据的应答,根据是否收到应答来判断被监测的目标计算机是否接入因特网或与因特网断开。
其中,探测网络数据其IP帧头中,源IP地址使用外网服务器绑定的IP地址,目的IP地址为内联网内目标计算机的IP地址。
本发明的内联网计算机与因特网未授权连接监测方法包括:
a、内网服务器连接于内联网,外网服务器绑定于与因特网相连的一个IP地址,事先获取内网服务器的MAC地址和外网服务器绑定的IP地址;
b、内网服务器按获取的上述配置信息伪造探测网络数据;
c、内网服务器向目标计算机发送上述探测网络数据;
d、外网服务器根据返回的探测网络数据的应答数据来判断目标计算机是否直接与因特网相连:外网服务器如果收不到任何应答数据则表示该计算机没有直接与因特网相连;如果收到应答数据,则判断是否是通过授权的路由进行应答,如果是,则该计算机没有与因特网相连,如果不是,则可断定其与因特网相连。
由于本发明中,内网服务器向目标计算机发送的是伪造的探测网络数据,其IP帧头中,源地址不是内网服务器发送网络接口上的IP地址,而是外网服务器绑定的IP地址,这对于内联网来说是一个外部地址,目标计算机如果正在接入因特网,该计算机就至少有两个网络接口,根据RFC的要求,对这个网络数据进行应答时,将选择接入因特网的那个接口进行应答,从而该应答暴露了其正在接入因特网。或者说,由于本发明使用网络的方法来监测被怀疑的目标计算机,使用网络的方法使得不论被探测的目标计算机使用何种接入方式都可以准确地得知是否与已接入因特网,不管被探测的计算机是使用集团电话、手机、无线上网卡还是使用另一个网卡接入因特网,都能被网络发现,达到了实时探测出被监控网段上所有存在未授权外联的计算机的IP地址的效果。另外,本发明不用增加额外的硬件配置。
附图说明
图1是内联网中一台计算机利用调制解调器拨号绕开防火墙访问控制的示意图。
图2是***应用网络结构示意图。
图3为伪造的IP帧结构图。
图4为本发明的方法流程图。
具体实现方式
图2是***应用网络结构示意图。图2的上部是一个因特网,下部是内联网,因特网与内联网是隔离的,在因特网和内联网之间有防火墙。图中的内联网是一个从中心交换机到部门交换机到部门Hub到计算机的分层结构。本发明的内联网计算机与因特网未授权连接监测***,包括一个内网服务器和一个外网服务器。内网服务器设置在支持TCP/IP协议的内联网中的任何位置,用于发送欺骗的探测网络数据到内联网内的目标计算机,图2中可以看到。同时图2中可以看到外网服务器连接在因特网上,用于接收目标计算机对探测网络数据的应答,根据是否收到应答来判断被监测的目标计算机是否接入因特网或与因特网断开。
其监测流程如图4所示,具体如下:
(1)外网服务器绑定于与因特网相连的一个IP地址,事先获取内网服务器的MAC地址和外网服务器绑定的IP地址。这些都是必要的配置信息。
(2)内网服务器按上述配置信息伪造探测网络数据。图3为伪造的探测网络数据帧结构。正常的数据帧结构包括IP报头、TCP报头两部分,IP报头又包括4位版本号、4位报头长度、8位服务类型、16位总长度、16位标识等等,TCP报头有包括6位源端口、16位目的端口、32位序列号等等,如图3所示。伪造的探测网络数据帧结构与正常的数据帧结构的区别仅在于:其IP报头中,源地址不是内网服务器发送网络接口上的IP地址,而是(1)中获取的外网服务器绑定的IP地址,目的IP地址为内联网内目标计算机的IP地址。该探测网络数据为IP协议数据,封装在以太协议中。在该帧结构中,以太帧头都是正常的,其中源MAC地址,是使用发送网络接口的MAC地址,而目的MAC地址则根据RFC的规定,如果是在同一子网中,则直接使用目标计算机网络接口的MAC地址,如果不再同一子网中,则使用默认路由器的MAC地址,再由路由器中转继续往下找目的计算机。关于MAC地址这一部分在图3中未示,但与一般的帧结构没有区别。这样,当内网服务器向目标计算机发送探测网络数据时,就能够按MAC地址找到目标计算机。但目标计算机应答时是按IP帧头的源地址应答,而源地址不是内网服务器发送网络接口上的IP地址,而是外网服务器绑定的IP地址,这对于内联网来说是一个外部地址,目标计算机如果正在接入因特网,该计算机就至少有两个网络接口,根据RFC的要求,对这个网络数据进行应答时,将选择接入因特网的那个接口进行应答,从而该应答暴露了其正在接入因特网。
(3)内网服务器向目标计算机发送上述探测网络数据,使用发送原始包的方法来发送就可以。
(4)发送正常的网络数据,被探测的目标计算机的应答都是正常的,应答数据不会含有其是否正在接入因特网的任何信息。因发送的是伪造探测网络数据,如果是正常的计算机,其应答数据将通过防火墙和路由器到达外网服务器,或被防火墙拒绝通过,在该网络是物理隔绝的情况下,应答数据被网络丢弃;如果目标计算机正在接入因特网,该计算机有两个网络接口,将选择接入因特网的那个接口进行应答。这样,外网服务器就可以根据返回的探测网络数据的应答数据来判断目标计算机是否直接与因特网相连:外网服务器如果收不到任何应答数据则表示该计算机没有直接与因特网相连;如果收到应答数据,则判断是否是通过授权的路由进行应答,如果是,则该计算机没有与因特网相连,如果不是,则可断定其与因特网相连。
另外,还可以在监测到内联网的计算机与因特网未授权连接的情况下,记录下开始连接和结束连接的时间。并对探测到的未授权外联的信息进行统计分析,总结出未授权外联发生的时间分布规律和IP分布规律,对企业的管理提供事实上的依据。
本发明对内网服务器和外网服务器的要求是:内网服务器采用可以发送原始TCP/IP数据的服务器,只有可以发送原始TCP/IP数据的服务器才能够任意修改网络数据的IP报头中的源地址;外网服务器采用可以接收原始TCP/IP数据的服务器,只有这种服务器才能接收任意修改的网络数据IP报头中的源地址。内网服务器和外网服务器可以安装在同一台物理计算机上,或是不同的物理计算机上。

Claims (9)

1、一种内联网计算机与因特网未授权连接监测***,它包括:
在与因特网隔离的支持TCP/IP协议的内联网中设置的内网服务器,用于发送欺骗的探测网络数据到内联网内的目标计算机;
连接在因特网上的外网服务器,用于接收目标计算机对探测网络数据的应答,根据是否收到应答来判断被监测的目标计算机是否接入因特网或与因特网断开。
2、如权利要求1所述的内联网计算机与因特网未授权连接监测***,其特征在于所述的探测网络数据是这样的结构:在其IP帧头中,源IP地址使用外网服务器绑定的IP地址,目的IP地址为内联网内目标计算机的IP地址。
3、如权利要求1或2所述的内联网计算机与因特网未授权连接监测***,其特征在于:内网服务器可连在内联网的任意位置。
4、如权利要求1或2所述的内联网计算机与因特网未授权连接监测***,其特征在于:内网服务器采用可以发送原始TCP/IP数据的服务器。
5、如权利要求1或2所述的内联网计算机与因特网未授权连接监测***,其特征在于:外网服务器采用可以接收原始TCP/IP数据的服务器。
6、如权利要求1或2所述的内联网计算机与因特网未授权连接监测***,其特征在于:内网服务器和外网服务器可以安装在同一台物理计算机上,或是不同的物理计算机上。
7、一种内联网计算机与因特网未授权连接监测方法,它包括:
a、内网服务器连接于内联网,外网服务器绑定于与因特网相连的一个IP地址,事先获取内网服务器的MAC地址和外网服务器绑定的IP地址;
b、内网服务器按获取的上述配置信息伪造探测网络数据;
c、内网服务器向目标计算机发送上述探测网络数据;
d、外网服务器根据返回的探测网络数据的应答数据来判断目标计算机是否直接与因特网相连:外网服务器如果收不到任何应答数据则表示该计算机没有直接与因特网相连;如果收到应答数据,则判断是否是通过授权的路由进行应答,如果是,则该计算机没有与因特网相连,如果不是,则可断定其与因特网相连。
8、如权利要求7所述的内联网计算机与因特网未授权连接监测方法,其特征在于在步骤b中,采用如下方法伪造探测网络数据:在IP帧头中,源IP地址使用外网服务器绑定的IP地址,目的IP地址为内联网内目标计算机的IP地址;探测网络数据封装在以太协议中,其以太帧头是正常的,其中源MAC地址,是使用内网服务器发送网络接口的MAC地址,而目的MAC地址如果是在同一子网中,则直接使用目标计算机网络接口的MAC地址,如果不再同一子网中,则使用默认路由器的MAC地址。
9、如权利要求7所述的内联网计算机与因特网未授权连接监测方法,其特征在于:在步骤c中,内网服务器使用发送原始包的方法发送上述探测网络数据包。
CNB021042888A 2002-03-04 2002-03-04 内联网计算机与因特网未授权连接监测***及方法 Expired - Fee Related CN1176421C (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CNB021042888A CN1176421C (zh) 2002-03-04 2002-03-04 内联网计算机与因特网未授权连接监测***及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CNB021042888A CN1176421C (zh) 2002-03-04 2002-03-04 内联网计算机与因特网未授权连接监测***及方法

Publications (2)

Publication Number Publication Date
CN1367434A true CN1367434A (zh) 2002-09-04
CN1176421C CN1176421C (zh) 2004-11-17

Family

ID=4740066

Family Applications (1)

Application Number Title Priority Date Filing Date
CNB021042888A Expired - Fee Related CN1176421C (zh) 2002-03-04 2002-03-04 内联网计算机与因特网未授权连接监测***及方法

Country Status (1)

Country Link
CN (1) CN1176421C (zh)

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1315308C (zh) * 2004-08-05 2007-05-09 北京航空航天大学 一种在互联网上传输实时多媒体数据的方法
WO2008119214A1 (fr) * 2007-04-02 2008-10-09 Beijing Hitea Technologies Ltd. Procédé pour accéder au service web de réseau interne d'internet
CN101286978B (zh) * 2008-05-22 2011-08-31 上海交通大学 语义完整的tcp连接隔离与控制方法和***
CN101203841B (zh) * 2005-04-29 2012-07-11 韦里孙商务环球有限公司 防止欺骗性因特网帐户接入
CN101136797B (zh) * 2007-09-28 2012-11-21 深圳市利谱信息技术有限公司 内外网物理连通的检测、通断控制方法
CN103441864A (zh) * 2013-08-12 2013-12-11 江苏华大天益电力科技有限公司 一种终端设备违规外联的监测方法
CN107959596A (zh) * 2017-11-17 2018-04-24 北京锐安科技有限公司 一种基于网络***的监测网络的方法以及网络***
CN108616389A (zh) * 2018-04-10 2018-10-02 深信服科技股份有限公司 基于云服务器的网络评估方法、设备、存储介质及装置
CN109450921A (zh) * 2018-11-29 2019-03-08 北京北信源信息安全技术有限公司 网络状态监控方法、装置、存储介质及服务器
CN110166315A (zh) * 2019-04-17 2019-08-23 浙江远望信息股份有限公司 一种对广播域内是否存在能连接互联网线路的探测方法
CN112202749A (zh) * 2020-09-24 2021-01-08 深信服科技股份有限公司 违规外连检测方法、检测设备、联网终端及存储介质

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1315308C (zh) * 2004-08-05 2007-05-09 北京航空航天大学 一种在互联网上传输实时多媒体数据的方法
CN101203841B (zh) * 2005-04-29 2012-07-11 韦里孙商务环球有限公司 防止欺骗性因特网帐户接入
WO2008119214A1 (fr) * 2007-04-02 2008-10-09 Beijing Hitea Technologies Ltd. Procédé pour accéder au service web de réseau interne d'internet
CN101282328B (zh) * 2007-04-02 2011-07-06 北京下午茶科技有限公司 互联网内网Web服务的访问方法
CN101136797B (zh) * 2007-09-28 2012-11-21 深圳市利谱信息技术有限公司 内外网物理连通的检测、通断控制方法
CN101286978B (zh) * 2008-05-22 2011-08-31 上海交通大学 语义完整的tcp连接隔离与控制方法和***
CN103441864A (zh) * 2013-08-12 2013-12-11 江苏华大天益电力科技有限公司 一种终端设备违规外联的监测方法
CN107959596A (zh) * 2017-11-17 2018-04-24 北京锐安科技有限公司 一种基于网络***的监测网络的方法以及网络***
CN108616389A (zh) * 2018-04-10 2018-10-02 深信服科技股份有限公司 基于云服务器的网络评估方法、设备、存储介质及装置
CN109450921A (zh) * 2018-11-29 2019-03-08 北京北信源信息安全技术有限公司 网络状态监控方法、装置、存储介质及服务器
CN109450921B (zh) * 2018-11-29 2021-08-10 北京北信源信息安全技术有限公司 网络状态监控方法、装置、存储介质及服务器
CN110166315A (zh) * 2019-04-17 2019-08-23 浙江远望信息股份有限公司 一种对广播域内是否存在能连接互联网线路的探测方法
CN112202749A (zh) * 2020-09-24 2021-01-08 深信服科技股份有限公司 违规外连检测方法、检测设备、联网终端及存储介质

Also Published As

Publication number Publication date
CN1176421C (zh) 2004-11-17

Similar Documents

Publication Publication Date Title
US7506360B1 (en) Tracking communication for determining device states
US7213265B2 (en) Real time active network compartmentalization
CN100425025C (zh) 应用服务器安全法与网络安全法的安全***与方法
KR100822553B1 (ko) 침입 검출 방법
US11863570B2 (en) Blockchain-based network security system and processing method
JP2003527793A (ja) ネットワークにおける、自動的な侵入検出及び偏向のための方法
US7251692B1 (en) Process to thwart denial of service attacks on the internet
CN101617516A (zh) 控制客户端和具有私有网络地址的服务器之间的应用消息的方法和设备
CN1968272A (zh) 应用层入口过滤
Yoon Using whitelisting to mitigate DDoS attacks on critical internet sites
EP1833227B1 (en) Intrusion detection in an IP connected security system
EP1574009B1 (en) Systems and apparatuses using identification data in network communication
CN1176421C (zh) 内联网计算机与因特网未授权连接监测***及方法
US7469418B1 (en) Deterring network incursion
CN100380336C (zh) 用于过滤和分析基于分组的通信流量的方法和装置
CN112272172A (zh) 一种物联网视频监控安全管理***
CN101312465B (zh) 一种异常报文接入点的发现方法和装置
CN101300807A (zh) 通信网络的网络接入节点计算机、通信***以及用于操作通信***的方法
Xiang et al. An active distributed defense system to protect web applications from DDoS attacks
Ong et al. SNMS-Shadow Network Management System.
KR20110074028A (ko) 분산 서비스 거부 공격 생성 방지 장치
US20100157806A1 (en) Method for processing data packet load balancing and network equipment thereof
Hamdani et al. Detection of DDOS attacks in cloud computing environment
KR20200098181A (ko) 통합보안네트워크카드에의한네트워크보안시스템
Berthier et al. On the comparison of network attack datasets: An empirical analysis

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
ASS Succession or assignment of patent right

Owner name: SHANGHAI QIMING XINGCHEN INFORMATION TECHNOLOGY C

Free format text: FORMER OWNER: NONE

Effective date: 20030618

C41 Transfer of patent application or patent right or utility model
TA01 Transfer of patent application right

Effective date of registration: 20030618

Address after: 100081 No. 12 South Street, No. 188, Beijing, Zhongguancun

Applicant after: Beijing Qiming Xingchen Information Technology Co., Ltd.

Co-applicant after: Shanghai Computer Virus Prevention Service

Address before: 100081, Beijing Zhongguancun 12 South Street, integrated technology building, 3-4 floor

Applicant before: Beijing Qiming Xingchen Information Technology Co., Ltd.

C14 Grant of patent or utility model
GR01 Patent grant
C56 Change in the name or address of the patentee
CP01 Change in the name or title of a patent holder

Address after: 3-4 floor, general science and technology building, 12 South Street, Zhongguancun, Beijing, zip code: 100081

Co-patentee after: Shanghai Computer Virus Prevention Service

Patentee after: Beijing Kai Ming Star Information Technology Limited by Share Ltd

Address before: 3-4 floor, general science and technology building, 12 South Street, Zhongguancun, Beijing, zip code: 100081

Co-patentee before: Shanghai Computer Virus Prevention Service

Patentee before: Beijing Kai Ming Star Information Technology Co., Ltd.

C56 Change in the name or address of the patentee

Owner name: BEIJING QIMINGXINGCHEN INFORMATION TECHNOLOGY CO.,

Free format text: FORMER NAME: BEIJING QIMING XINGCHEN INFORMATION TECHNOLOGY CO. LTD.

ASS Succession or assignment of patent right

Owner name: BEIJING QIMINGXINCHEN INFORMATION SECURITY TECHNOL

Free format text: FORMER OWNER: SHANGHAI QIMINGXINGCHEN INFORMATION TECHNOLOGY CO., LTD

C41 Transfer of patent application or patent right or utility model
COR Change of bibliographic data

Free format text: CORRECT: ADDRESS; FROM: 100081 3-4/F, ZONGHEKEJI HOUSE, NO.12, ZHONGGUANCUN SOUTH AVENUE, BEIJING CITY TO: 100193 QIMINGXINGCHEN BUILDING, BUILDING 21, ZHONGGUANCUN SOFTWARE PARK, NO.8, DONGBEIWANG WEST ROAD, HAIDIAN DISTRICT, BEIJING CITY

TR01 Transfer of patent right

Effective date of registration: 20100507

Address after: 100193 Beijing city Haidian District Dongbeiwang qimingxingchenmansionproject Building No. 21 West Road No. 8 Zhongguancun Software Park

Co-patentee after: Beijing Venusense Information Security Technology Co., Ltd.

Patentee after: Beijing Venus Information Technology Co., Ltd.

Co-patentee after: Shanghai Computer Virus Prevention Service

Address before: 100081, Beijing Zhongguancun 12 South Street, integrated technology building, 3-4 floor

Co-patentee before: Shanghai Computer Virus Prevention Service

Patentee before: Beijing Venus Information Technology Co., Ltd.

C17 Cessation of patent right
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20041117

Termination date: 20140304