利用一台内联网计算机实现封闭网络连接状态监测方法

文档序号:6447508阅读:513来源:国知局
专利名称:利用一台内联网计算机实现封闭网络连接状态监测方法
技术领域
本发明涉及一种计算机应用技术,尤其涉及一种利用一台内联网计算机实现封闭网络连接状态监测方法。
背景技术
边界安全是网络安全的要素之一。在计算机系统应用中,往往采用以防火墙(Firewall)为代表的边界安全技术,在内联网与因特网连接处构造安全边界,形成相对封闭的安全域。随着社会信息化的深入,各类有线和无线的因特网接入手段越来越多,接入方式越来越灵活,内部员工可轻易地外联到因特网,越过防火墙的安全壁垒,从而打破了安全域的封闭性,对内联网的安全形成了很大的威胁。所以监测分析内联网中计算机的网络连接状态并发现其中正在发生的非法外联、IP资源滥用等行为就显得格外重要。
现有的网络连接状态监测方法主要有如下几种监测方法一其系统结构如图1所示。在内部员工的个人计算机上安装监测软件,通过监测软件监测或限制调制解调器等外联设备的使用,从而实现对每台内联网计算机的网络连接状态进行监测的目的。这种结构是一种分布式部署、集中管理的系统结构,它一般由监管中心和监测引擎两大部分组成监管中心安装在监测计算机上,主要实现集中监测信息和管理的作用;而监测引擎则安装在每台被监测的计算机上,以监测本地主机的网络连接状态,并向监管中心上报监测信息。虽然该方法较容易被实现,但是,该方法存在以下几个主要问题1、在多台计算机上部署和维护复杂,易造成员工对抗监测软件;2、难于适应多样化的网络接入手段;3、只能检测拨号/非拨号/断线等三个连接状态,难以分析其他外联状态;4、需要采购较多的使用许可,投资较大。
监测方法二其系统结构如图2所示。在内联网设置内网服务器,用于发送探测包到内联网内的监测目标机;在因特网设置外网服务器,用于接收监测目标机对探测包的应答,根据是否收到应答来判定监测目标机是否接入因特网。该方法由于发送的探测包为IP欺骗包(Fake IP Packet),技术兼容性差,存在如下几个主要问题1、要求内部网防火墙和网关不能设置IP欺骗包阻断,从而严重影响了内部网的安全性;2、部分因特网服务提供商,在防火墙和网关中采用了IP欺骗包阻断技术,会导致上述欺骗包无法通过,造成漏报;3、典型的微软Windows操作系统拨号时,如果设置共享,也会造成上述欺骗包无法通过,造成漏报;4、由于设置在因特网上的外网服务器无法接收来自其他封闭专用网上的网络数据包,无法检测外联到专用网(如间谍网)上的情况,造成漏报;5、只能监测是否非法外联,难以分析其他状态,无法检测监测目标机拨掉网线再外联的情况,造成漏报。
监测方法三其系统结构如图3所示。设立一台监测计算机,具有内联网地址和因特网地址,向检测监测目标机分别发送不同源地址的探测包,根据测监测目标机对不同源地址的探测包的应答来判定监测目标机是否非法外联。该方法的好处是可以检测出多种连接状态。但是,监测方法三要求计算机能够上网,不能用于要求严格内外网物理隔离的应用环境。

发明内容
针对上述监测方法存在的问题,本发明提供一种在内外网严格物理隔离、内联网实行多层严格安全防护的应用环境下,实现单点部署和全局监测,并适用于多种外联手段的利用一台内联网计算机实现封闭网络连接状态监测方法。
为了解决上述问题,本发明采用如下技术方案该监测方法至少包括以下步骤第一步,设立一台计算机为监测计算机,连接到内联网交换机上,并在内联网交换机上连接一台路由器;在内联网交换机上进行设置,使监测计算机能直接与所有监测目标机进行正常的通讯;在路由器上进行设置,使监测计算机能通过路由器与所有监测目标机进行正常的通讯;第二步,确定一台内联网计算机为监测目标机,由监测计算机对该监测目标机执行第三步至第五步;第三步,由监测计算机通过交换机向监测目标机发送广播探测包,收集返回的数据包;第四步,由监测计算机通过路由器向监测目标机发送IP探测包,收集返回的数据包;第五步,根据第三步和第四步的返回结果对监测目标机的网络连接状态作出判定,完成对一台监测目标机的监测;第六步,判定是否还有其它监测目标机,如有,则返回到第二步对下一监测目标机进行监测;如无,则监测结束。
第三步的返回结果为“无响应”,第四步的返回结果为任意结果,判定监测目标机处于“关机或连接断开”状态。
第三步的返回结果为“响应”,第四步的返回结果为“正常”,判定监测目标机处于“开机,未非法外联”状态。
第三步的返回结果为“响应”,第四步的返回结果为“超时”,判定监测目标机处于“开机,非法外联”状态。
第三步的返回结果为“响应”,第四步的返回结果为“异常”,判定监测目标机处于“网关设置异常”状态。
本发明由于采用了以上技术方案,使其与现有技术相比,具有以下明显的优点和积极效果1、适用于内外网严格物理隔离、内联网实行多层严格安全防护的应用环境本发明的方法只要求设立一台内联网计算机作为监测计算机,发送的探测包是标准的数据包,对应用环境要求低,可用于内外网严格物理隔离、内联网实行多层严格安全防护的应用环境。
2、监测多种外联本发明的方法发送的探测包是标准的数据包,可以监测多种外联。可以有效地识别到其他封闭专用网的外联。可以有效地识别到断线的状态,从而为故意拨掉网线外联这种情况的检测提供事件基础。
3、便于部署、便于维护以前一些网络连接状态监测方法往往要求在员工的个人计算机上安装监测引擎,通过监测引擎监测或限制调制解调器的使用。该方法要求在内联网每台计算机上安装软件,部署和维护起来都很复杂。而且,该方法容易造成员工的不信任,从而导致员工对抗监测软件。
本发明的方法实现了单点部署和全局监测,仅需要设立一台内联网计算机作为监测计算机,就可以实现对多台计算机的监测。显然,本发明的方法便于部署、便于维护,不易造成员工的抵触。
本发明的方法也不要求具有因特网固定的IP地址、或拨号到因特网,只需要在内联网进行设置。本发明的方法也不要求内联网防火墙和网关开放IP欺骗包,对内联网安全性没有影响,易于为网管所接受。因此,本发明的方法部署和维护相对容易。
4、易于扩充实现多种状态监测本发明的方法发送的探测包是标准的数据包,可以在实现外联监测基础上进行逐步扩充,进一步实现网卡物理地址、IP逻辑地址、逻辑名称、操作系统指纹等状态监测。


图1为现有技术监测方法一的系统结构示意图。
图2为现有技术监测方法二的系统结构示意图。
图3为现有技术监测方法三的系统结构示意图。
图4为本发明利用一台内联网计算机实现封闭网络连接状态监测方法的系统结构示意图。
图5为本发明利用一台内联网计算机实现封闭网络连接状态监测方法的流程示意图。
具体实施例方式
请参见图4,本发明利用一台内联网计算机实现封闭网络连接状态监测方法的系统结构如图4所示。确定一台计算机为监测计算机,连接到内联网交换机上,在该内联网交换机上还连接有一路由器;在内联网交换机上进行设置,使监测计算机能直接与所有监测目标机进行正常的通讯;在路由器上进行设置,使监测计算机能通过路由器与所有监测目标机进行正常的通讯;由监测计算机对各监测目标机实施实时的监控。与现有监测方法的结构不同之处是,在每个监测目标机中不需要安装任何附加的软件,而只需要设立一台连接到内联网交换机上的监测计算机,即可实现对各监测目标机的监控。
请参见图5,本发明利用一台内联网计算机实现封闭网络连接状态监测方法可具体描述如第一步,设立一台计算机为监测计算机,连接到内联网交换机上,并在内联网交换机上连接一台路由器;在内联网交换机上进行设置,使监测计算机能直接与所有监测目标机进行正常的通讯;在路由器上进行设置,使监测计算机能通过路由器与所有监测目标机进行正常的通讯;第二步,确定一台内联网计算机为监测目标机,由监测计算机对该监测目标机执行第三步至第五步;第三步,由监测计算机通过交换机向监测目标机发送广播探测包,收集返回的数据包;第四步,由监测计算机通过路由器向监测目标机发送IP探测包,收集返回的数据包;第五步,根据第三步和第四步的返回结果对监测目标机的网络连接状态作出判定,完成对一台监测目标机的监测;该判定根据下述网络连接状态判定依据表作出网络连接状态判定依据表

各种网络连接状态的判定结果进一步分述如下1、如果第三步的返回结果为“无响应”,第四步的返回结果为任意结果,则判定监测目标机处于“关机或连接断开”状态。
2、如果第三步的返回结果为“响应”,第四步的返回结果为“正常”,则判定监测目标机处于“开机,未非法外联”状态。
3、如果第三步的返回结果为“响应”,第四步的返回结果为“超时”,则判定监测目标机处于“开机,非法外联”状态。
4、如果第三步的返回结果为“响应”,第四步的返回结果为“异常”,则判定监测目标机处于“网关设置异常”状态。
第六步,监测计算机在对所确定的一台监测目标机完成其网络连接状态的判定后,接着判定是否还有其它监测目标机,如有,则返回到第二步对下一监测目标机进行监测;如无,则监测结束。
权利要求
1.一种利用一台内联网计算机实现封闭网络连接状态监测方法,其特征在于,该方法至少包括以下步骤第一步,设立一台计算机为监测计算机,连接到内联网交换机上,并在内联网交换机上连接一台路由器;在内联网交换机上进行设置,使监测计算机能直接与所有监测目标机进行正常的通讯;在路由器上进行设置,使监测计算机能通过路由器与所有监测目标机进行正常的通讯;第二步,确定一台内联网计算机为监测目标机,由监测计算机对该监测目标机执行第三步至第五步;第三步,由监测计算机通过交换机向监测目标机发送广播探测包,收集返回的数据包;第四步,由监测计算机通过路由器向监测目标机发送IP探测包,收集返回的数据包;第五步,根据第三步和第四步的返回结果对监测目标机的网络连接状态作出判定,完成对一台监测目标机的监测;第六步,判定是否还有其它监测目标机,如有,则返回到第二步对下一监测目标机进行监测;如无,则监测结束。
2.根据权利要求1所述的利用一台内联网计算机实现封闭网络连接状态监测方法,其特征在于第三步的返回结果为“无响应”,第四步的返回结果为任意结果,判定监测目标机处于“关机或连接断开”状态。
3.根据权利要求1所述的利用一台内联网计算机实现封闭网络连接状态监测方法,其特征在于第三步的返回结果为“响应”,第四步的返回结果为“正常”,判定监测目标机处于“开机,未非法外联”状态。
4.根据权利要求1所述的利用一台内联网计算机实现封闭网络连接状态监测方法,其特征在于第三步的返回结果为“响应”,第四步的返回结果为“超时”,判定监测目标机处于“开机,非法外联”状态。
5.根据权利要求1所述的利用一台内联网计算机实现封闭网络连接状态监测方法,其特征在于第三步的返回结果为“响应”,第四步的返回结果为“异常”,判定监测目标机处于“网关设置异常”状态。
全文摘要
本发明公开了一种利用一台内联网计算机实现封闭网络连接状态监测方法,该方法利用一台内联网计算机作为监测计算机,连接到内联网交换机上,在该交换机上还连接有一路由器;由监测计算机向其它内联网计算机发送探测包,并根据返回的结果来判定监测计算机的网络连接状态。本方法适用于内外网严格物理隔离、内联网实行多层严格安全防护的应用环境,单点部署、全局监测,实现对内联网的网络状态进行全面和快速的监测,可有效发现采用多种手段外联到因特网和专用网的行为。
文档编号G06F15/16GK1447240SQ0311515
公开日2003年10月8日 申请日期2003年1月24日 优先权日2003年1月24日
发明者金波, 周晴杰, 应华, 吴咏炜 申请人:上海金诺网络安全技术发展股份有限公司
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1