【技术领域】
本发明涉及网络信息安全的技术领域,特别涉及一种自动检测终端设备内外网互联行为的方法。
背景技术:
互联网信息的飞速发展,给人们的生活带来方便快捷,但也随着信息化发展的不断深入,政府机关及企事业单位的内网面临的安全挑战也越来越严峻。据近些年安全事件统计情况发现,内网上各类违规接入、非法互联、信息泄露等行为愈演愈烈,埋下了众多安全隐患,尤其是内外网互联网行为,严重的甚至可能导致内网被互联网黑客、境外情报机构等直接入侵破坏,发生不可逆转的危害,为了解决以上问题,加强网络信息安全,有必要提出一种自动检测终端设备内外网互联行为的方法。
技术实现要素:
本发明的目的在于克服上述现有技术的不足,提供一种自动检测终端设备内外网互联行为的方法,其旨在解决现有技术中内网上各类违规接入、非法互联、信息泄露频发,导致信息、情报等重要信息泄漏的技术问题。
为实现上述目的,本发明提出了一种自动检测终端设备内外网互联行为的方法,其基于在交换机旁路部署一网关设备,具体步骤如下:
s1、用户在终端设备上通过浏览器访问应用系统;
s2、浏览器向服务器发起tcp连接请求;
s3、网关设备捕获tcp连接请求,向浏览器发送一个资源重定向命令,并且告诉应用系统的新地址;
s4、浏览器接收到资源重定向命令,再次向应用系统的新地址发起访问请求,如果浏览器能请求到新地址,则转至步骤s5;如果浏览器不能请求到新地址,请求终止;
s5、互联网服务器收到请求后,网关设备从请求中捕获发起者的ip地址,从而定位该内外网互联的终端设备,并返回至一个无效资源,立即报警。
作为优选,所述的步骤s3的具体步骤如下:
1)网关设备捕获tcp连接请求;
2)驱动层协议过滤,并检测是否有http协议存在,若有http协议存在则转至步骤3);若没有http协议存在则处理下一个数据包,如果没有流量所有数据包被处理完毕后停止工作;
3)对请求的数据包进行预处理;
4)网关设备检测预处理后的数据是否为图片资源请求,若是图片资源请求,则网关设备伪造应用系统向浏览器发送一个资源重定向命令;若不是图片资源请求则处理下一个数据包,如果没有流量所有数据包处理完毕后停止工作。
作为优选,所述的步骤s3中资源重定向命令为301重定向命令。
作为优选,所述的步骤s3中应用系统的新地址在互联网上。
本发明的有益效果:与现有技术相比,本发明提供的一种自动检测终端设备内外网互联行为的方法,通过在交换机旁路部署网关设备实现终端设备内外网互联行为的监测。用户在终端设备访问任意应用系统时,网关设备会通过特定命令欺骗终端“应用系统已迁移”,同时告诉终端设备应用系统在互联网的某个服务器上,终端设备此时会向互联网服务器发起访问,一旦互联网服务器能够接收到此连接,即说明终端设备内外网互联,迅速报警,避免重要信息泄漏,加强了信息安全,防止出现互联网黑客入侵内网的情况。本方法采用的技术路线从原理上保证了内外网互联行为发现的准确性,能够实现零误报,准确性高;相比客户端技术,基于流量分析和扫描的技术特性,对用户网络的侵入较少,对用户的影响降到最低;一个网页有大量资源构成,本方法仅对网页中的一个资源进行重定向,且一段时间内仅处理一次,对用户的应用不产生干扰,影响低。
本发明的特征及优点将通过实施例结合附图进行详细说明。
【附图说明】
图1是本发明实施例一种自动检测终端设备内外网互联行为的方法的流程图。
【具体实施方式】
为使本发明的目的、技术方案和优点更加清楚明了,下面通过附图及实施例,对本发明进行进一步详细说明。但是应该理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限制本发明的范围。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本发明的概念。
参阅图1,本发明实施例提供一种自动检测终端设备内外网互联行为的方法,其基于在交换机旁路部署一网关设备,具体步骤如下:
s1、用户在终端设备上通过浏览器访问应用系统。
s2、浏览器向服务器发起tcp连接请求。
s3、网关设备捕获tcp连接请求,向浏览器发送一个301重定向命令,并且告诉应用系统的新地址,所述的应用系统的新地址在互联网上。
其中,步骤s3的具体步骤如下:
1)网关设备捕获tcp连接请求。
2)驱动层协议过滤,并检测是否有http协议存在,若有http协议存在则转至步骤3);若没有http协议存在则处理下一个数据包,如果没有流量所有数据包被处理完毕后停止工作。
3)对请求的数据包进行预处理。
4)网关设备检测预处理后的数据是否为图片资源请求,若是图片资源请求,则网关设备伪造应用系统向浏览器发送一个301重定向命令;若不是图片资源请求则处理下一个数据包,如果没有流量所有数据包处理完毕后停止工作。
s4、浏览器接收到资源重定向命令,再次向应用系统的新地址发起访问请求,如果浏览器能请求到新地址,则转至步骤s5;如果浏览器不能请求到新地址,请求终止。
s5、互联网服务器收到请求后,网关设备从请求中捕获发起者的ip地址,从而定位该内外网互联的终端设备,并返回至一个无效资源,立即报警。
在本发明实施例中,如果浏览器能请求到新地址,则表示终端设备内外网都连接,如果浏览器不能请求到新地址,则表示终端设备未连接外网。
本发明提供的一种自动检测终端设备内外网互联行为的方法,通过在交换机旁路部署网关设备实现终端设备内外网互联行为的监测。用户在终端设备访问任意应用系统时,网关设备会通过特定命令欺骗终端“应用系统已迁移”,同时告诉终端设备应用系统在互联网的某个服务器上,终端设备此时会向互联网服务器发起访问,一旦互联网服务器能够接收到此连接,即说明终端设备内外网互联,迅速报警,避免重要信息泄漏,加强了信息安全,防止出现互联网黑客入侵内网的情况。
本发明一种自动检测终端设备内外网互联行为的方法具有以下优点:
准确性高:采用的技术路线从原理上保证了内外网互联行为发现的准确性,能够实现零误报,准确性高。
入侵少:相比客户端技术,基于流量分析和扫描的技术特性,对用户网络的侵入较少,对用户的影响降到最低。
影响低:一个网页有大量资源构成,本方法仅对网页中的一个资源进行重定向,且一段时间内仅处理一次,对用户的应用不产生干扰。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换或改进等,均应包含在本发明的保护范围之内。