一种基于内外网交互式验证的违规外联检测方法和装置与流程

1.本发明涉及网络通信技术领域，具体为一种基于内外网交互式验证的违规外联检测方法和装置。


背景技术：

2.各单位的信息系统中存储着大量重要信息，为了提高内网的安全性，禁止内部网络与互联网连接，采取物理隔离或逻辑隔离的方式进行控制，从而减小来自互联网的安全威胁，然而在线学习、远程办公、视频会议等蔚然成风，伴随用网频率增多，常常会有缺乏安全意识员工将内网计算机连接到公共互联网，存在“违规外联”行为，使物理隔离的专网与公共互联网之间出现了不可控通道；
3.常见违规外联方式例如：
4.通过无线网卡、随身wifi等连接由无线ap或者手机热点提供的信号连接互联网、利用蓝牙热点网络共享功能连接互联网、通过usb共享手机连接互联网、通过代理连接其它能够上网的机器连接互联网、网络中存在无线路由器，计算机通过无线路由器连接互联网以及有意或者误操作将设备直接连接互联网；
5.违规外联对内网的冲击较大，影响了内网的安全性，为此提出一种基于内外网交互式验证的违规外联检测方法和装置。


技术实现要素：

6.(一)解决的技术问题
7.针对现有技术的不足，本发明提供了一种基于内外网交互式验证的违规外联检测方法和装置，以解决上述背景技术中提出的问题。
8.(二)技术方案
9.为实现上述目的，本发明提供如下技术方案：一种基于内外网交互式验证的违规外联检测方法，其检测方法包括以下步骤：
10.s01、设置内网用户白名单；
11.s02、对白名单列表用户进行标记和加密；
12.s03、对白名单用户的标记进行隐藏；
13.s04、对网络请求进行解析并解密；
14.s05、对网络数据进行操作处理；
15.s06、对网络数据进行标记去除处理；
16.s07、向外网单元发送网络数据请求。
17.优选的，根据步骤s01中所提出的，建立内网内正规用户专属的白名单，白名单列表内的用户ip以数字递增的方式进行排列，如白1、白2、白3...。
18.优选的，根据步骤s02中所提出的，白名单将自身列表内的正规用户在自身的项目库内添加白名单用户所独有的标签标记，并对每个用户所产的标记进行与处理单元相对应
的加密处理。
19.优选的，根据步骤s03中所提出的，在白名单项目内部对用户自身所产的标记进行隐藏处理，实现网络数据请求的统一完整性，最后，内网单元将自身所连接的数据请求向处理单元传输发送。
20.优选的，根据步骤s04中所提出的，当处理单元接收到内网单元的网络请求数据时，针对每个网络请求的数据进行解析，使隐藏的加密标识显示，并对其进行破密，最后含有标记的网络数据以及未含有标记的网络数据进行分类规划。
21.优选的，根据步骤s05中所提出的，将含有标记的网络数据请求与内网单元中白名单列表用户进行ip验证以及数字标签值的验证，确保其所解析出含有标记的网络请求数据与白名单列表中的用户相匹配，若匹配时，将为匹配的数据退还至内网单元，通过内网单元进行二次用户数据请求的信息核对、标记添加、标签加密以及标签隐藏，并将所形成的二次数据请求再次发送给处理单元，进行再次解析、破密以及核对，核对完成后，将违规外联的数据请求存入黑名单中，并对黑名单进行加密，所加密的黑名单以24h为一个节点的方式形成黑名单列表数据，并将黑名单列表数据通过邮件、app或者短信的方式传输给内网单元唯一一个用户的手机中，黑名单的密钥以24h为一个节点进行更换，该用户向操作模块发送密钥得知的数据请求并得知密钥以后，可登录黑名单列表当中，并对其列表中的用户进行确定拉黑操作以及从黑名单列表拉出操作。
22.优选的，根据步骤s06和s07中所提出的，将正规类目里的网络数据请求上所产生的标记进行清除，使网络数据请求恢复原始化，并将所恢复的网络数据请求向外网单元传输发送。
23.优选的，一种基于内外网交互式验证的违规外联检测装置：其监测装置包括内网单元以及处理单元，其中：
24.内网单元：
25.1)、设置模块：用于设置内网用户白名单，并对列表中的用户进行数字排序；
26.2)、标记加密模块：对列表中用户的数据请求进行标记，并对所产生的标记进行加密处理，其内部含有核对模块，用于接收处理单元反馈过来需要二次数据请求的核对，当其接核对好以后，重新将其进行标记添加、标记加密；
27.3)、隐藏模块：用于将加密的标记进行隐藏；
28.处理单元：
29.1)、解析破密模块：针对每个网络请求的数据进行解析，使隐藏的加密标记显示，并对密钥进行破解，最后对含有标记的网络数据以及未含有标记的网络数据进行分类规划；
30.2)、操作模块：针对白名单列表用户的ip以及数值进行核对验证，将信息对比有误的数据请求通过返回模块发送给内网单元的核对模块，进行二次数据请求的处理，确定非法外联用户，将其拉入自身的黑名单当中，黑名单中的用户只可根据内网唯一用户进行详细操作；
31.3)、去除模块：将正规用户的网络数据请求的标记去除，形成原始的数据请求，并将其传输发送给外网单元。
32.(三)有益效果
33.与现有技术相比，本发明提供了一种基于内外网交互式验证的违规外联检测方法和装置，具备以下有益效果：
34.1、在安全的环境下对内网用户进行标记后的加密隐藏，使得内网合规与违规用户在实质上有所区分；
35.2、通过处理单元进行解析、解密、操作，使得合规的用户在进行多轮的交互验证处理后能够准确、完整地向外网单元发送网络请求，而违规外联的用户能够得到检测后的拉黑处理，有效的对白名单用户内的合规网络请求起到了流量的保护。
附图说明
36.图1为本发明步骤示意图；
37.图2为本发明系统示意图。
具体实施方式
38.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
39.本发明提供一个技术方案，一种基于内外网交互式验证的违规外联检测方法和装置，其检测方法包括以下步骤：
40.s01、设置内网用户白名单；
41.s02、对白名单列表用户进行标记和加密；
42.s03、对白名单用户的标记进行隐藏；
43.s04、对网络请求进行解析并解密；
44.s05、对网络数据进行操作处理；
45.s06、对网络数据进行标记去除处理；
46.s07、向外网单元发送网络数据请求。
47.具体的，根据步骤s01中所提出的，建立内网内正规用户专属的白名单，白名单列表内的用户ip以数字递增的方式进行排列，如白1、白2、白3...。
48.具体的，根据步骤s02中所提出的，白名单将自身列表内的正规用户在自身的项目库内添加白名单用户所独有的标签标记，并对每个用户所产的标记进行与处理单元相对应的加密处理。
49.具体的，根据步骤s03中所提出的，在白名单项目内部对用户自身所产的标记进行隐藏处理，实现网络数据请求的统一完整性，最后，内网单元将自身所连接的数据请求向处理单元传输发送。
50.具体的，根据步骤s04中所提出的，当处理单元接收到内网单元的网络请求数据时，针对每个网络请求的数据进行解析，使隐藏的加密标识显示，并对其进行破密，最后含有标记的网络数据以及未含有标记的网络数据进行分类规划。
51.具体的，根据步骤s05中所提出的，将含有标记的网络数据请求与内网单元中白名单列表用户进行ip验证以及数字标签值的验证，确保其所解析出含有标记的网络请求数据
与白名单列表中的用户相匹配，若匹配时，将为匹配的数据退还至内网单元，通过内网单元进行二次用户数据请求的信息核对、标记添加、标签加密以及标签隐藏，并将所形成的二次数据请求再次发送给处理单元，进行再次解析、破密以及核对，核对完成后，将违规外联的数据请求存入黑名单中，并对黑名单进行加密，所加密的黑名单以24h为一个节点的方式形成黑名单列表数据，并将黑名单列表数据通过邮件、app或者短信的方式传输给内网单元唯一一个用户的手机中，黑名单的密钥以24h为一个节点进行更换，该用户向操作模块发送密钥得知的数据请求并得知密钥以后，可登录黑名单列表当中，并对其列表中的用户进行确定拉黑操作以及从黑名单列表拉出操作。
52.具体的，根据步骤s06和s07中所提出的，将正规类目里的网络数据请求上所产生的标记进行清除，使网络数据请求恢复原始化，并将所恢复的网络数据请求向外网单元传输发送。
53.具体的，一种基于内外网交互式验证的违规外联检测装置：其监测装置包括内网单元以及处理单元，其中：
54.内网单元：
55.1)、设置模块：用于设置内网用户白名单，并对列表中的用户进行数字排序；
56.2)、标记加密模块：对列表中用户的数据请求进行标记，并对所产生的标记进行加密处理，其内部含有核对模块，用于接收处理单元反馈过来需要二次数据请求的核对，当其接核对好以后，重新将其进行标记添加、标记加密；
57.3)、隐藏模块：用于将加密的标记进行隐藏；
58.处理单元：
59.1)、解析破密模块：针对每个网络请求的数据进行解析，使隐藏的加密标记显示，并对密钥进行破解，最后对含有标记的网络数据以及未含有标记的网络数据进行分类规划；
60.2)、操作模块：针对白名单列表用户的ip以及数值进行核对验证，将信息对比有误的数据请求通过返回模块发送给内网单元的核对模块，进行二次数据请求的处理，确定非法外联用户，将其拉入自身的黑名单当中，黑名单中的用户只可根据内网唯一用户进行详细操作；
61.3)、去除模块：将正规用户的网络数据请求的标记去除，形成原始的数据请求，并将其传输发送给外网单元。
62.本装置的工作原理：通过设置模块：建立内网内正规用户专属的白名单，白名单列表内的用户ip以数字递增的方式进行排列，如白1、白2、白3...；
63.通过标记加密模块：对列表中用户的数据请求进行标记，并对所产生的标记进行加密处理，其内部含有核对模块，用于接收处理单元反馈过来需要二次数据请求的核对，当其接核对好以后，重新将其进行标记添加、标记加密；
64.通过隐藏模块：在白名单项目内部对用户自身所产的标记进行隐藏处理，实现网络数据请求的统一完整性，最后，内网单元将自身所连接的数据请求向处理单元传输发送；
65.通过解析破密模块：当处理单元接收到内网单元的网络请求数据时，针对每个网络请求的数据进行解析，使隐藏的加密标识显示，并对其进行破密，最后含有标记的网络数据以及未含有标记的网络数据进行分类规划；
66.通过操作模块：将含有标记的网络数据请求与内网单元中白名单列表用户进行ip验证以及数字标签值的验证，确保其所解析出含有标记的网络请求数据与白名单列表中的用户相匹配，若匹配时，将为匹配的数据退还至内网单元，通过内网单元进行二次用户数据请求的信息核对、标记添加、标签加密以及标签隐藏，并将所形成的二次数据请求再次发送给处理单元，进行再次解析、破密以及核对，核对完成后，将违规外联的数据请求存入黑名单中，并对黑名单进行加密，所加密的黑名单以24h为一个节点的方式形成黑名单列表数据，并将黑名单列表数据通过邮件、app或者短信的方式传输给内网单元唯一一个用户的手机中，黑名单的密钥以24h为一个节点进行更换，该用户向操作模块发送密钥得知的数据请求并得知密钥以后，可登录黑名单列表当中，并对其列表中的用户进行确定拉黑操作以及从黑名单列表拉出操作；
67.通过去除模块：将正规类目里的网络数据请求上所产生的标记进行清除，使网络数据请求恢复原始化，并将所恢复的网络数据请求向外网单元传输发送。
68.尽管已经示出和描述了本发明的实施例，对于本领域的普通技术人员而言，可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由所附权利要求及其等同物限定。