专利名称:非法外联检测方法
技术领域:
本发明涉及一种对内网计算机的非法外联行为进行检测的非法外联检测方法。
背景技术:
计算机和网络技术的发展,为终端电脑提供了丰富的网络和设备互联的手段。终端用户不仅可以直接通过有线网络实现与其他电脑或hternet互联;也可以通过多种无线连接方式,例如无线局域网、红外线、蓝牙等实现网络和设备的互联;还可以通过终端提供的丰富的外设接口,例如USB接口、COM 口、LPT 口、Modem等多种接口,实现终端与外设、 终端与终端、或终端与网络的互联。除此之外,在以上物理连接的基础上,还有PPOE虚拟拨号、各类VPN供选择,作为安全的互连互通的可选方式。而在一些涉密内网,由于内网的计算机存在多种网络连接方式,且缺少有效的技术监控手段,因此有大量内网计算机违规进行网络外联。这些非法网络外联会导致如下严重问题1)机密信息泄漏用户通过非法外联的计算机,主动或被动地外发内部涉密资料,给组织造成重大损失;2)引入安全问题非法外联计算机的存在为病毒、木马攻击内网提供了理想的通道,病毒或木马可以借助终端用户违禁使用U盘、擅自拨号进行互联网访问、随意浏览网站、随意下载网站软件的过程中,乘虚而入,攻入内网,严重威胁到内网的稳定运行和内网中内部数据的安全。为了对非法外联的计算机进行有效检测,目前存在如下的检测方法。在“一种封闭网络内检测计算机非法外联的方法”(申请号200910081606. 1)中公开了一种封闭网络内检测计算机非法外联的方法,包括在所述网络内的任意一台计算机上设置内网网卡和外网网卡作为监测机,并分别设置相应的内网地址和非内网地址,在所述外网网卡连接的路由器端口设置与所述非内网地址相同网段的端口地址;所述监测机通过所述内网网卡和外网网卡向网络内发送探测报文,并接收相应的响应报文,如果网络内存在没有向所述外网网卡发送响应报文的计算机,则将判断出该计算机为非法外联主机。这种检测方法依赖网络拓扑结构,如果在内网中设置了防火墙等过滤设备,则探测报文会被过滤设备屏蔽,在这种环境下就不能正确检测非法外联的主机。在“一种内网计算机非法外联的检测方法”(申请号200510096094. 8)中公开了一种内网计算机非法外联的检测方法。该发明的目的是要提供一种内网计算机非法外联的检测方法,通过在各个涉密网主机上的DNS服务器轮询各个具有典型代表性的网站地址的方式,来确定涉密网主机能否与外部网络进行非法互联。这种检测方法没有对计算机的网络外联方式进行检测,只是通过DNS服务器的轮询来检测是否在外联,当内网计算机禁止 DNS协议,且通过代理主机的方式外联网络时,现有检测方法不能准确检测出非法外联的行为。
发明内容
鉴于上述技术问题,本发明提供一种能够对内网计算机非法外联行为进行准确检测的非法外联检测方法。本发明所涉及的非法外联检测方法,包括以下步骤定义步骤,在管理服务器中预先定义检测策略,并设置需要应用检测策略的终端设备;检测步骤,所述终端设备根据从所述管理服务器下载的所述检测策略对内网计算机的非法外联进行检测;告警步骤,当判断为所述内网计算机存在非法外联行为时,所述终端设备向所述管理服务器发出告警信息; 以及响应步骤,所述管理服务器根据告警信息,执行响应措施。在上述的非法外联检测方法中,其中,所述检测步骤包括第一构造发送步骤,逐一查询内网计算机中的网络适配器信息,并根据查询到的所述适配器的网络参数,构造连通性探测包,并发送给外网主机;查询步骤,当所有的所述网络适配器查询完毕时,查询所述内网计算机上是否设置有上网的代理方式;第二构造发送步骤,当设置有所述上网的代理方式时,并根据查询到的所述上网的代理方式的网络参数,构造连通性探测包,并发送给所述外网主机;以及判断步骤,当所述终端设备接收到来自所述外网主机的针对所述连通性探测包的回应包时,判断内网计算机存在非法外联行为。在上述的非法外联检测方法中,所述网络适配器信息包括设备名;所述适配器的网络参数包括ip地址、掩码和网关。在上述的非法外联检测方法中,所述连通性探测包包括http探测包和ping探测包。在上述的非法外联检测方法中,所述上网的代理方式的网络参数包括所述终端设备的主机ip和端口信息。在上述的非法外联检测方法中,所述响应措施包括控制台告警、邮件告警、阻断网络和重启机器。在上述的非法外联检测方法中,所述终端设备为多台。在上述的非法外联检测方法中,所述终端设备、所述管理服务器和所述控制台构成的内网安全管理系统支持多级部署方式,根据网络的规模和管理级别而划分为N级,其中,N为大于1的整数。在上述的非法外联检测方法中,所述终端设备之间、所述终端设备和所述管理服务器之间的数据通信采用ssl加密和压缩的通信方式。在上述的非法外联检测方法中,所述管理服务器和控制台之间采用https的加密通信方式。在本发明的非法外联检测方法中,通过自动识别计算机内可用的网络连接参数, 并根据识别的网络参数进行非法外联检测,而且,采用主动构造各类网络协议探测数据包, 对外部网络主机进行连通性探测,并根据探测结果来检测计算机是否是非法外联的方式。根据本发明的非法外联检测方法,能够对计算机内网的各种可能的外联方式进行了全面检测,提高了检测精度和正确性。解决了现有检测方法对网络拓扑的依赖,解决了现有检测方法在上网的代理方式下不能正确检测的问题。
当结合附图考虑时,通过参照下面的详细描述,能够更完整更好地理解本发明以及容易得知其中许多伴随的优点,但此处所说明的附图用来提供对本发明的进一步理解, 构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定,其中
图1是非法外联检测系统的部署示意图。图2是非法外联检测系统的框图。图3是内非法外联检测方法的流程图。图4是本发明的非法外联检测方法的终端设备所执行的检测步骤的流程图。
具体实施例方式图1是非法外联检测系统的部署示意图,如图1所示,非法外联检测系统包括多台终端设备100、管理服务器200和控制台300。图2是非法外联检测系统的框图。如图2所示,多台终端设备的各台终端设备100 上安装有代理程序,可以从管理服务器200下载检测策略,根据检测策略来执行非法外联的检测,并将检测结果上报给管理服务器200。可以包括终端通信模块110、终端控制模块 120、非法外联检测引擎130、告警模块140。具体地,终端通信模块110用于终端设备和管理服务器、终端设备之间的通信处理,实现通信连接的建立、数据的收发、通信加解密和断点续传等;终端控制模块120是终端设备的核心部件,负责对终端设备内部各模块进行统一管理,其通过终端通信模块接受检测策略,并将检测策略应用非法外联检测引擎130,此外,其还接受非法外联检测引擎 130的告警信息和状态信息,然后通过终端通信模块110转发给上级管理服务器,而且,其还对终端设备的资源进行统一监控和管理;非法外联检测引擎130自动识别计算机的网络连接信息,根据识别的网络连接构造探测数据包,然后发送探测数据包给外网的主机,并分析响应数据来判断该计算机是否非法外联;如果发现非法外联,则通知告警模块140向管理服务器发出非法外联的告警信息。本发明的终端设备能够自动对计算机的各类网络连接方式进行识别,然后基于识别出的网络连接方式,向外部网络的主机发出网络连通性探测包,根据探测包的响应结果来判断内网计算机是否是非法外联。管理服务器200是系统的控制中心,其接受并处理下级终端设备的安全信息,制定并下发安全策略给终端设备,同时接受和响应来自控制台300的管理指令。具有检测策略集中管理、资产管理、认证和授权、分析和报表、告警信息接受和处理等功能。如图2所示,可以包括管理服务器通信模块210、管理服务器控制模块220、非法外联监控模块230、 资产管理模块对0、策略管理模块250、认证授权模块沈0、注册服务模块270、资源信息库 280。具体地,管理服务器通信模块210用于终端设备和管理服务器、管理服务器和控制台之间的通信处理,实现通信连接的建立、数据的收发、通信加解密等功能。管理服务器控制模块220是管理服务器的核心部件,负责对管理服务器内部各模块进行统一管理,其通过通信模块将安全策略和控制命令下发给下级的终端设备;另外,其还接受来自控制台的用户指令,并根据用户指令对其他模块进行管理和控制;而且,其还对管理服务器中的任务实现进行统一调度和管理。非法外联监控模块230接受下级终端设备上报的非法外联告警信息,然后根据安全策略执行相应的响应措施;这些响应措施包括控制台告警、邮件告警、阻断网络和重启机器等。
资产管理模块240实现对网络内的资产执行集中统一管理,主要包括资产的分组管理、资产导入导出等功能。策略管理模块250实现对系统内安全策略执行集中统一的管理,主要包括策略的制定、策略分发、策略监控等功能。认证授权模块沈0实现统一的用户认证和基于角色的权限管理功能。注册服务模块270负责对系统中所有资源信息进行统一管理,维护资源信息库 280中的内容。资源信息库280用于存储每个终端的地址信息、配置信息、安全策略等各种资源。控制台300是用户交互的界面,接收用户的指令,转发给管理服务器处理,同时接受并呈现来自管理服务器的信息。控制台300是具有浏览器、例如IE浏览器功能的计算机设备,控制台300可以单独设置,也可以设置在终端设备100或管理服务器200上。如图2 所示,控制台300包括控制台通信模块310、控制台控制模块320、展现模块330、人机交互模块;340。控制台通信模块310负责管理服务器200和控制台300之间的通信处理,实现通信连接的建立、数据的收发、通信加解密等功能。控制台控制模块320负责对其他模块执行集中统一的管理,实现任务的统一调度、数据集中分派等功能。展现模块330实现报表等多种方式的数据表现。人机交互模块340负责和管理者交互,实现人机交互,提供图形化的管理界面。终端设备100和管理服务器器200之间的数据通信支持ssl加密,确保数据的机密性;对传输的数据进行压缩,减少了对网络带宽的占用;控制台300和管理服务器200之间则采用https的加密通信方式,保证系统的通信安全图3是本发明的非法外联检测方法的一例流程图。如图3所示,包括以下步骤定义步骤S310,在管理服务器200中预先定义检测策略,并设置需要应用检测策略的终端设备100。检测步骤S320,终端设备100根据从管理服务器200下载的检测策略对内网计算机的非法外联进行检测。告警步骤S330,当判断为内网计算机存在非法外联行为时,终端设备100向管理服务器200发出告警信息。响应步骤S340,管理服务器200根据告警信息,执行响应措施。图4是本发明的非法外联检测方法的终端设备所执行的检测步骤的流程图。如图 4所示,检测步骤包括以下步骤第一构造发送步骤S410,逐一查询内网计算机中的网络适配器信息,并根据查询到的适配器的网络参数,构造连通性探测包,并发送给外网主机。例如查询计算机中一个网络适配器的信息,主要包括设备名等信息,根据设备名获得该适配器的网络参数,包括 ip地址、掩码和网关等信息,并根据该适配器的网络参数,构造网络连通性探测数据包(例如http探测包和ping探测包等),并发送给外部网络的主机。接着判断是否还有网络适配器,如果有则重新执行S410,否则执行查询步骤S420。查询步骤S420,当所有的网络适配器查询完毕时,查询内网计算机上是否设置有上网的代理方式。如果有,则进入第二构造发送步骤S430,如果没有则进入判断步骤S440。第二构造发送步骤S430,当设置有上网的代理方式时,并根据查询到的上网的代理方式的网络参数,构造连通性探测包,并发送给外网主机。这里,上网的代理方式的网络参数包括终端设备主机ip和端口等信息。判断步骤S440,当终端设备接收到来自外网主机的针对连通性探测包的回应包时,判断内网计算机存在非法外联行为。如果没有来自外网主机的针对连通性探测包的回应包时,则不进行告警步骤,结束此次检测。本发明的非法外联检测系统支持多级部署的方式,在大规模网络部署时,可以根据网络的规模和管理级别而划分为N(N> 1)级,其中在中心节点设立全网范围的管理中心,制定并下发统一的全网安全策略和检测策略。这些策略通过同步与复制的机制,在同级或下级管理中心间保持一致。下级管理中心上策略的变更也都会上传给上级管理中心,在上级管理中心可以浏览任何一个下级管理中心的策略应用情况,适用于大规模网络环境的部署应用。由于采用分散控制,可靠性高,降低了各节点服务器的负荷。终端设备和终端设备之间,终端设备和管理服务器之间的数据通信支持加密和压缩;控制台和管理服务器之间则采用https的加密通信方式,保证系统的通信安全。本发明的对内网计算机进行非法外联检测的非法外联检测方法,用于解决现有检测技术中存在检测不全面和不准确的问题。通过本发明对内网计算机的各种网络连接方式进行自动识别,然后通过检测到的可用网络连接方式主动对外部网络的主机进行网络连通性探测,根据探测结果来确定内网计算机是否能与外部网络进行非法互联。本方法对计算机所在的各类网络连接环境进行全面识别,并在此基础上结合主动检测的方式,能准确、全面地检测出内网非法外联的计算机。采用本方法能根本上解决对内网计算机非法外联的检测问题。本方法可以应用在网络安全管理、入侵检测和服务器保护等各类设备中。本发明对计算机内各种可能的外联方式进行了全面检测,提高了检测精度和正确性。解决了现有检测方法对网络拓扑的依赖,解决了现有检测方法在代理方式下不能正确检测的问题。如上所述,对本发明的实施例进行了详细地说明,但是只要实质上没有脱离本发明的发明点及效果可以有很多的变形,这对本领域的技术人员来说是显而易见的。因此,这样的变形例也全部包含在本发明的保护范围之内。
权利要求
1.一种非法外联检测方法,用于对内网计算机的非法外联行为进行检测,包括以下步骤定义步骤,在管理服务器中预先定义检测策略,并设置需要应用检测策略的终端设备;检测步骤,所述终端设备根据从所述管理服务器下载的所述检测策略对内网计算机的非法外联进行检测;告警步骤,当判断为所述内网计算机存在非法外联行为时,所述终端设备向所述管理服务器发出告警信息;以及响应步骤,所述管理服务器根据告警信息,执行响应措施。
2.根据权利要求1所述的非法外联检测方法,其中,所述检测步骤包括第一构造发送步骤,逐一查询内网计算机中的网络适配器信息,并根据查询到的所述适配器的网络参数,构造连通性探测包,并发送给外网主机;查询步骤,当所有的所述网络适配器查询完毕时,查询所述内网计算机上是否设置有上网的代理方式;第二构造发送步骤,当设置有所述上网的代理方式时,并根据查询到的所述上网的代理方式的网络参数,构造连通性探测包,并发送给所述外网主机;以及判断步骤,当所述终端设备接收到来自所述外网主机的针对所述连通性探测包的回应包时,判断内网计算机存在非法外联行为。
3.根据权利要求2所述的非法外联检测方法,其中, 所述网络适配器信息包括设备名;所述适配器的网络参数包括ip地址、掩码和网关。
4.根据权利要求3所述的非法外联检测方法,其中, 所述连通性探测包包括http探测包和ping探测包。
5.根据权利要求2所述的非法外联检测方法,其中,所述上网的代理方式的网络参数包括所述终端设备的主机ip和端口信息。
6.根据权利要求1至5中任一项所述的非法外联检测方法,其中, 所述响应措施包括控制台告警、邮件告警、阻断网络和重启机器。
7.根据权利要求6所述的非法外联检测方法,其中, 所述终端设备为多台。
8.根据权利要求6所述的非法外联检测方法,其中,所述终端设备、所述管理服务器和控制台构成的非法外联检测系统支持多级部署方式,根据网络的规模和管理级别而划分为N级,其中,N为大于1的整数。
9.根据权利要求6所述的非法外联检测方法,其中,所述终端设备之间、所述终端设备和所述管理服务器之间的数据通信采用ssl加密和压缩的通信方式。
10.根据权利要求6所述的非法外联检测方法,其中, 所述管理服务器和控制台之间采用https的加密通信方式。
全文摘要
本发明公开了一种对内网计算机的非法外联行为进行检测的非法外联检测方法,包括定义步骤S310,在管理服务器中预先定义检测策略,并设置需要应用检测策略的终端设备;检测步骤S320,所述终端设备根据从所述管理服务器下载的所述检测策略对内网计算机的非法外联进行检测;告警步骤S330,当判断为所述内网计算机存在非法外联行为时,所述终端设备向所述管理服务器发出告警信息;以及响应步骤S340,所述管理服务器根据告警信息,执行响应措施。根据本发明的非法外联检测方法,能够对计算机内网的各种可能的外联方式进行全面检测,提高了检测精度和正确性。
文档编号G06F21/00GK102315992SQ201110324828
公开日2012年1月11日 申请日期2011年10月21日 优先权日2011年10月21日
发明者曾勇, 许元进 申请人:北京海西赛虎信息安全技术有限公司