终端双网络互联的检测方法、设备以及系统与流程
本发明关于网络安全技术领域,特别是关于计算机终端连通网络的检测技术,具体的讲是一种终端双网络互联的检测方法、设备以及系统。
背景技术:
本部分旨在为权利要求书中陈述的本发明的实施方式提供背景或上下文。此处的描述不因为包括在本部分中就承认是现有技术。
为了保证内部网络和重要生产网络的安全稳定运行,防止网络内重要信息系统遭到外部攻击破坏,企业一般将内部网络和互联网进行物理隔离,一些安全要求更严格的企业甚至将内部网络中的生产网和办公网进行隔离,形成多个互相隔离的网络区域。但经过长时间的运维管理发现,依靠单纯的物理隔离或者网络设备隔离难以保证多个不同的网络区域被完全隔离起来。内部人员经常因为使用方便或人为疏忽等原因,通过一定的技术手段绕过各类管理措施,将内部终端同时连接到多个网络区域进行使用,从而在多个隔离网络区域间开辟出一条新的网络通路。如此,外部黑客或者恶意程序能够利用此违规终端作为跳板,绕过网络间的安全防护设备,攻击企业内部重要系统,盗取敏感数据,造成严重的信息安全问题。
目前,业界针对同时连接两个网络区域的违规互联行为,主要有如下两大类解决方案:
(1)、基于各类扫描协议的包探测,该方案主要存在以下问题:需要在每个网络中部署探测服务器,而且因为采用ping、syslog包探测等不可靠的检测技术,在复杂网络场景下存在较多误报、漏报。
(2)、基于c/s终端的本地检测,该方案主要存在以下问题:因为仅在本地静态检测、检测方法单一,所以无法同时检测终端的多种违规互联行为,特别是在员工刻意规避的复杂场景下存在较多误报、漏报。
因此,如何提供一种新的终端检测方案,其能够准确检测终端的网络违规互联行为是本领域亟待解决的技术难题。
技术实现要素:
有鉴于此,本发明提供了一种终端双网络互联的检测方法、设备以及系统,通过比对本地dns地址列表以及预设的双网络dns集可以确定出终端的联通状态,实现了对终端多种违规互联行为的检测。
为了实现上述目的,本发明提供一种系统,所述系统包括终端、两个网络区域以及检测设备,所述检测设备包括:
地址列表确定装置,用于确定终端对应的网卡的本地dns地址列表;
特征集获取装置,用于获取预先设定的双网络dns集,所述双网络dns集包括两个网络区域对应的特征集;
联通状态确定装置,用于根据所述本地dns地址列表以及所述双网络dns集,确定出所述终端的联通状态。
在本发明优选实施方式中,所述地址列表确定装置包括:状态信息确定模块,用于获取所述终端对应的网卡的状态信息;
地址列表获取模块,用于当所述状态信息显示所述网卡处于活动状态时,获取所述网卡的dns地址列表;
地址剔除模块,用于从所述dns地址列表中剔除例外网卡dns地址,形成本地dns地址列表。
在本发明的优选实施方式中,所述联通状态确定装置包括:特征比对模块,用于比对所述本地dns地址列表与两个网络区域对应的特征集;
第一状态输出模块,用于当所述本地dns地址列表中的本地dns地址属于不同的网络区域对应的特征集时,所述终端的联通状态为双网络互联。
在本发明的优选实施方式中,所述设备还包括:
网络区域确定装置,用于当所述本地dns地址列表中的本地dns地址属于同一个网络区域对应的特征集时,所述同一个网络区域称为第一网络区域;
定位符获取装置,用于当所述终端设置有代理服务器时,获取预先设定的双网络url集,所述双网络url集包括两个网络区域对应的url集;
网络区域访问装置,用于通过所述代理服务器访问所述第一网络区域之外的网络区域;
第三状态输出装置,用于当接收到实时url时,根据所述实时url以及所述双网络url集,确定出所述终端的联通状态。
在本发明的优选实施方式中,所述第三状态输出装置包括:定位符比对模块,用于比对所述双网络url集与所述实时url;
返回码获取模块,用于当所述实时url属于所述第一网络区域之外的网络区域对应的url集时,获取预先设定的返回码阈值;
第三状态输出模块,用于当所述实时url的返回码小于所述返回码阈值时,所述终端的联通状态为双网络互联。
在本发明的优选实施方式中,所述设备还包括:信息获取装置,用于当所述终端设置未设置代理服务器时;或当未接收到所述第一网络区域之外的网络区域返回的url时;或当接收到所述第一网络区域之外的网络区域返回的url且所述url的返回码大于等于所述返回码阈值时,获取所述终端的ip信息以及路由信息;
第四状态输出装置,用于根据所述ip信息以及路由信息确定所述终端的联通状态。
在本发明的优选实施方式中,所述第四状态输出装置包括:阈值获取模块,用于获取预先设定的ip阈值、路由阈值以及例外网卡名称;
数量确定模块,用于根据所述ip信息确定出所述终端的活动ip数量;
第五状态输出模块,用于当所述活动ip数量小于所述ip阈值时,所述终端的联通状态为非双网络互联;
判断模块,用于当所述活动ip数量大于等于所述ip阈值时,根据所述路由信息判断所述终端是否存在默认路由或静态路由;
网卡名称确定模块,用于当判断为是时,确定所述默认路由或静态路由指向的网卡名称;
第六状态输出模块,用于当所述网卡名称与所述例外网卡名称匹配时,所述终端的联通状态为非双网络互联。
在本发明的优选实施方式中,所述设备还包括:
路由提取装置,用于当所述默认路由或静态路由指向的网卡名称与所述例外网卡名称不匹配时,根据所述路由信息提取多条本地路由;
网卡信息确定装置,用于确定所述本地路由对应的网卡信息;
路由筛选装置,用于根据所述网卡信息从所述本地路由中筛选出多条有效的本地路由;
第七状态输出装置,用于根据所述有效的本地路由以及预先设定的双网络dns集,确定出所述终端的联通状态。
在本发明的优选实施方式中,所述第七状态输出装置包括:
特征获取模块,用于当所述多条有效的本地路由为多条静态路由时,获取所述多条静态路由对应的特征;
路由特征比对模块,用于比对所述两个网络区域对应的特征集以及所述多条静态路由对应的特征;
第八状态输出模块,用于当所述多条静态路由对应的特征属于两个网络区域对应的特征集时,所述终端的联通状态为双网络互联。
在本发明的优选实施方式中,所述设备还包括:
特征获取装置,用于当所述多条有效的本地路由为静态路由以及默认路由时,获取所述本地路由对应的特征;
特征比对装置,用于比对所述两个网络区域对应的特征集以及所述本地路由对应的特征;
第九状态输出装置,用于当所述静态路由对应的特征与所述默认路由对应的特征属于两个网络区域对应的特征集时,所述终端的联通状态为双网络互联。
本发明的目的之一是,提供了一种终端双网络互联的检测方法,所述方法包括:
确定终端对应的网卡的本地dns地址列表;
获取预先设定的双网络dns集,所述双网络dns集包括两个网络区域对应的特征集;
根据所述本地dns地址列表以及所述双网络dns集,确定出所述终端的联通状态。
在本发明的优选实施方式中,所述确定终端对应的网卡的本地dns地址列表包括:
获取所述终端对应的网卡的状态信息;
当所述状态信息显示所述网卡处于活动状态时,获取所述网卡的dns地址列表;
从所述dns地址列表中剔除例外网卡dns地址,形成本地dns地址列表。
在本发明的优选实施方式中,根据所述本地dns地址列表以及所述双网络dns集,确定出所述终端的联通状态包括:
比对所述本地dns地址列表与两个网络区域对应的特征集;
当所述本地dns地址列表中的本地dns地址属于不同的网络区域对应的特征集时,所述终端的联通状态为双网络互联。
在本发明的优选实施方式中,所述方法还包括:
当所述本地dns地址列表中的本地dns地址属于同一个网络区域对应的特征集时,所述同一个网络区域称为第一网络区域;
当所述终端设置有代理服务器时,获取预先设定的双网络url集,所述双网络url集包括两个网络区域对应的url集;
通过所述代理服务器访问所述第一网络区域之外的网络区域;
当接收到实时url时,根据所述实时url以及所述双网络url集,确定出所述终端的联通状态。
在本发明的优选实施方式中,根据所述实时url以及所述双网络url集,确定出所述终端的联通状态包括:
比对所述双网络url集与所述实时url;
当所述实时url属于所述第一网络区域之外的网络区域对应的url集时,获取预先设定的返回码阈值;
当所述实时url的返回码小于所述返回码阈值时,所述终端的联通状态为双网络互联。
在本发明的优选实施方式中,所述方法还包括:
当所述终端设置未设置代理服务器时;或
当未接收到所述第一网络区域之外的网络区域返回的url时;或
当接收到所述第一网络区域之外的网络区域返回的url且所述url的返回码大于等于所述返回码阈值时,获取所述终端的ip信息以及路由信息;
根据所述ip信息以及路由信息确定所述终端的联通状态。
在本发明的优选实施方式中,根据所述ip信息以及路由信息确定所述终端的联通状态包括:
获取预先设定的ip阈值、路由阈值以及例外网卡名称;
根据所述ip信息确定出所述终端的活动ip数量;
当所述活动ip数量小于所述ip阈值时,所述终端的联通状态为非双网络互联;
当所述活动ip数量大于等于所述ip阈值时,根据所述路由信息判断所述终端是否存在默认路由或静态路由;
当判断为是时,确定所述默认路由或静态路由指向的网卡名称;
当所述网卡名称与所述例外网卡名称匹配时,所述终端的联通状态为非双网络互联。
在本发明的优选实施方式中,所述方法还包括:当所述默认路由或静态路由指向的网卡名称与所述例外网卡名称不匹配时,根据所述路由信息提取多条本地路由;
确定所述本地路由对应的网卡信息;
根据所述网卡信息从所述本地路由中筛选出多条有效的本地路由;
根据所述有效的本地路由以及预先设定的双网络dns集,确定出所述终端的联通状态。
在本发明的优选实施方式中,根据所述有效的本地路由以及预先设定的双网络dns集,确定出所述终端的联通状态包括:当所述多条有效的本地路由为多条静态路由时,获取所述多条静态路由对应的特征;
比对所述两个网络区域对应的特征集以及所述多条静态路由对应的特征;
当所述多条静态路由对应的特征属于两个网络区域对应的特征集时,所述终端的联通状态为双网络互联。
在本发明的优选实施方式中,所述方法还包括:当所述多条有效的本地路由为静态路由以及默认路由时,获取所述本地路由对应的特征;
比对所述两个网络区域对应的特征集以及所述本地路由对应的特征;
当所述静态路由对应的特征与所述默认路由对应的特征属于两个网络区域对应的特征集时,所述终端的联通状态为双网络互联。
本发明的有益效果在于,提供了一种终端双网络互联的检测方法、设备以及系统,通过比对本地dns地址列表以及预设的双网络dns集可以确定出终端的联通状态,实现了对终端多种违规互联行为的检测。
为让本发明的上述和其他目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附图式,作详细说明如下。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种终端双网络互联的检测系统的结构示意图;
图2为本发明实施例提供的一种终端双网络互联的检测装置的实施方式一的结构框图;
图3为本发明实施例提供的一种终端双网络互联的检测装置中地址列表确定装置的结构框图;
图4为本发明实施例提供的一种终端双网络互联的检测装置中联通状态确定装置的结构框图;
图5为本发明实施例提供的一种终端双网络互联的检测的系统中终端双网络互联的检测装置的实施方式二的结构框图;
图6为本发明实施例提供的一种终端双网络互联的检测装置中第三状态输出装置的结构框图;
图7为本发明实施例提供的一种终端双网络互联的检测的系统中终端双网络互联的检测装置的实施方式三的结构框图;
图8为本发明实施例提供的一种终端双网络互联的检测装置中第四状态输出装置的结构框图;
图9为本发明实施例提供的一种终端双网络互联的检测的系统中终端双网络互联的检测装置的实施方式四的结构框图;
图10为本发明实施例提供的一种终端双网络互联的检测装置中第七状态输出装置的实施方式一的结构框图;
图11为本发明实施例提供的一种终端双网络互联的检测的系统中第七状态输出装置的实施方式二的结构框图;
图12为本发明实施例提供的一种终端双网络互联的检测方法的实施方式一的流程图;
图13为图12中的步骤s101的具体流程图;
图14为图12中的步骤s103的具体流程图;
图15为本发明实施例提供的一种终端双网络互联的检测方法的实施方式二的流程图;
图16为图15中的步骤s107的具体流程图;
图17为本发明实施例提供的一种终端双网络互联的检测方法的实施方式三的流程图;
图18为图17中的步骤s109的具体流程图;
图19为本发明实施例提供的一种终端双网络互联的检测方法的实施方式四的流程图;
图20为图19中的步骤s113的具体流程图;
图21为图19中的步骤s113的实施方式二的具体流程图;
图22为现有技术中终端通过代理服务器实现双网互联的示意图;
图23为现有技术中终端通过双网卡+修改静态路由实现双网互联示意图;
图24为现有技术中终端通过secondaryip+修改静态路由实现双网互联示意图;
图25为本发明提供的具体实施例中终端双网络互联的检测方法的整体流程图;
图26为本发明提供的具体实施例的发包探测引擎流程图;
图27为本发明提供的具体实施例的路由检测引擎流程图;
图28为本发明提供的具体实施例的两条默认路由构成双网络互联场景的流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本领域技术人员知道,本发明的实施方式可以实现为一种系统、装置、方法或计算机程序产品。因此,本发明公开可以具体实现为以下形式,即:完全的硬件、完全的软件(包括固件、驻留软件、微代码等),或者硬件和软件结合的形式。
下面参考本发明的若干代表性实施方式,详细阐释本发明的原理和精神。
本发明提供一种终端双网络互联的检测方法、设备以及系统,以准确检测发现终端的网络违规互联行为。网络违规互联,即终端违背管理规定,利用一定的技术手段,同时连通不同的隔离网络区域。
图1为本发明实施例提供的一种终端双网络互联的检测的系统的结构示意图,请参阅图1,本发明提供的系统包括终端100、两个网络区域以及检测装置200。
现有技术中,为了保证内部网络和重要生产网络的安全稳定运行,防止网络内重要信息系统遭到外部攻击破坏,企业一般将内部网络和互联网进行物理隔离,一些安全要求更严格的企业甚至将内部网络中的生产网和办公网进行隔离,形成多个互相隔离的网络区域。
在本发明中,互相隔离的两个网络区域如图1所示。检测装置200主要用来检测终端的连通状态,是否处于双联通状态。经过长时间的研究和运维管理,本发明的发明人认为,目前终端违规互联的方式主要有以下3类:
1、代理互联。企业一般在国际互联网和企业局域网之间部署代理服务器(proxyserver),为企业内部隔离终端提供代理访问互联网的服务。在代理模式下,终端不直接访问网络资源,而是先连接代理服务器,由代理服务器去访问网站资源,再将访问结果反馈给终端,如图22所示的终端通过代理服务器实现双网互联示意图。此方式主要有隐藏真实ip、突破内部访问限制、提高访问速度,保证访问安全等优势。正常情况下,代理服务器会限制终端仅能访问一些工作需要的网站。然而一些员工可能私自搭建一台不受管的代理服务器(可同时访问网络区域a和网络区域b),终端通过配置代理服务,连接代理服务器,同时访问网络区域a和网络区域b,实现双网互联。
2、多网卡互联。在含有两块网卡的终端上,网卡1配置连接网络区域a,网卡2配置连接网络区域b,如图23所示的终端通过双网卡+修改静态路由实现双网互联示意图。假设网卡1的默认跃点值更高,则终端只能通过网卡1访问网络区域a。然而可以通过一定技术手段,如手工添加静态路由、修改路由跃点值,将访问网络区域b的流量路由至网卡2,即同时访问网络区域a和网络区域b,实现双网互联。
3、secondaryip互联。为复用同一物理网络端口,企业会在交换机启用secondaryip配置,为员工分配多个ip地址,要求终端接入时每次按需设置一个网络区域的ip地址,仅访问单一网络区域,如图24所示的终端通过secondaryip+修改静态路由实现双网互联示意图。然而因为操作系统没有配置限制,员工可以同时设置两个ip地址,再通过手工添加静态路由、修改路由跃点值的方式,同时访问网络区域a和网络区域b,实现双网互联。
本发明提出的终端双网络互联的检测系统中,检测设备在图2所示的实施方式一中包括:
地址列表确定装置201,用于确定终端对应的网卡的本地dns地址列表。图3为地址列表确定装置的结构框图,请参阅图3,该装置包括:
状态信息确定模块301,用于获取所述终端对应的网卡的状态信息;
地址列表获取模块302,用于当所述状态信息显示所述网卡处于活动状态时,获取所述网卡的dns地址列表;
地址剔除模块303,用于从所述dns地址列表中剔除例外网卡dns地址,形成本地dns地址列表。此处提及的例外网卡诸如为企业vpn虚拟网卡。
如图1所示,检测设备还包括:特征集获取装置202,用于获取预先设定的双网络dns集,所述双网络dns集包括两个网络区域对应的特征集;
在本发明的检测设备中,预先设定了策略配置(参见表1)。在具体的实施方式中,表1中的配置策略可以包括一部分或全部。针对表1中6项配置分别说明如下:网络区域a/b的特征,用以识别网卡联通网络区域a/b的特征,一般建议使用dns集或模糊匹配的网关网段作为判断标准(即特征集获取装置202中的双网络dns集);网络区域a/b的探测url集,配置的url需为唯一存在于对应网络区域的url,用以进行发包探测,本发明支持多个url集的配置还需要网络区域的探测url,在检测时进行逐项匹配探测,任意一个探测联通即可,以减少漏报率;例外网卡名称,由于一般企业内均有vpn等类似在两个网络区域间建设隧道的合法设置,建议提取特征设置为例外;检测开关,用于总体控制是否开启该引擎。
表1
联通状态确定装置203,用于根据所述本地dns地址列表以及所述双网络dns集,确定出所述终端的联通状态。图4为联通状态确定装置的结构框图,请参阅图4,该装置包括:
特征比对模块2031,用于比对所述本地dns地址列表与两个网络区域对应的特征集;
第一状态输出模块2032,用于当所述本地dns地址列表中的本地dns地址属于不同的网络区域对应的特征集时,所述终端的联通状态为双网络互联。
也即,比较本地dns列表和策略中的“网络区域a的dns集”以及“网络区域b的dns集”。如果本地dns列表中的本地dns地址属于不同网络区域,则所述终端的联通状态为双网络互联。
图5为本发明实施例提供的一种终端双网络互联的检测的系统中终端双网络互联的检测装置的实施方式二的结构框图,请参阅图5,在实施方式二中,检测设备还包括:
网络区域确定装置204,用于当所述本地dns地址列表中的本地dns地址属于同一个网络区域对应的特征集时,所述同一个网络区域称为第一网络区域,诸如,在一具体实施例中,本地dns列表中的本地dns地址全都属于网络区域a的dns集,则该网络区域a称为第一网络区域。
定位符获取装置205,用于当所述终端设置有代理服务器时,获取预先设定的双网络url集,所述双网络url集包括两个网络区域对应的url集;
网络区域访问装置206,用于通过所述代理服务器访问所述第一网络区域之外的网络区域,也即访问网络区域b。
第三状态输出装置207,用于当接收到实时url时,根据所述实时url以及所述双网络url集,确定出所述终端的联通状态。
图6为第三状态输出装置的结构框图,请参阅图6,该装置包括:
定位符比对模块2071,用于比对所述双网络url集与所述实时url;
返回码获取模块2072,用于当所述实时url属于所述第一网络区域之外的网络区域对应的url集时,获取预先设定的返回码阈值;
第三状态输出模块2073,用于当所述实时url的返回码小于所述返回码阈值时,所述终端的联通状态为双网络互联。
也即,当检测到终端设置有代理服务器时,则通过引擎调用代理访问另一网络区域网站的页面,如果返回码为500以下,则说明终端处于双网互联状态。
如上即为本发明提供的一种终端双网络互联的检测设备的实施方式一以及实施方式二,在该实施方式一、二中,检测设备的检测逻辑称为发包探测引擎,其通过比对本地dns地址列表以及预设的双网络dns集可以确定出终端的联通状态,发包探测引擎可控制引擎的探测和休眠周期,检测预判断终端所处物理网络环境,是否仅连接了单一网络连接,检测该网络连接是否配置了浏览器代理,同时分别请求两个网络区域的url集,对探测结果进行判断,主要判断标准为如果url请求都有返回,且返回码都小于预知(如500),则认定为同时联通双网络区域,实现了对终端多种违规互联行为的检测,可同时检测终端多种违规互联的行为(包括代理互联、多网卡互联、辅助ip(下文简称其英文名secondaryip)互联等)。
发包探测引擎较为轻量级,能够快速发现绝大多数的双网互联问题,可以检测代理互联、多网卡互联、secondaryip互联等违规行为。以下介绍本发明提供的检测设备的实施方式三、四、五中包括的另一种检测逻辑,其称为路由检测引擎,该路由检测引擎对于多网卡和secondaryip互联检测效果更好,可作为发包探测引擎的补充,与发包探测引擎协同检测网络互联场景。
图7为本发明实施例提供的一种终端双网络互联的检测的系统中终端双网络互联的检测装置的实施方式三的结构框图,请参阅图7,在实施方式三中,检测设备还包括:
信息获取装置208,用于当所述终端设置未设置代理服务器时;或当未接收到所述第一网络区域之外的网络区域返回的url时;或当接收到所述第一网络区域之外的网络区域返回的url且所述url的返回码大于等于所述返回码阈值时,获取所述终端的ip信息以及路由信息。
本发明的检测设备中包含了路由表检测所需要的策略配置(参见表2)。针对表2中所述的4项配置分别说明如下:网络区域a/b的特征,用以识别网卡联通网络区域a/b的特征,一般建议使用dns集或模糊匹配的网关网段作为判断特征;例外网卡名称,由于一般企业内均有vpn等类似在两个网络区域间建设隧道的合法设置,建议提取特征设置为例外;检测开关,用于总体控制是否开启该引擎。
表2
第四状态输出装置209,用于根据所述ip信息以及路由信息确定所述终端的联通状态。
图8为第四状态输出装置的结构框图,请参阅图8,该装置包括:
阈值获取模块2091,用于获取预先设定的ip阈值、路由阈值以及例外网卡名称。
数量确定模块2092,用于根据所述ip信息确定出所述终端的活动ip数量;
第五状态输出模块2093,用于当所述活动ip数量小于所述ip阈值时,所述终端的联通状态为非双网络互联;
判断模块2094,用于当所述活动ip数量大于等于所述ip阈值时,根据所述路由信息判断所述终端是否存在默认路由或静态路由;
网卡名称确定模块2095,用于当判断为是时,确定所述默认路由或静态路由指向的网卡名称;
第六状态输出模块2096,用于当所述网卡名称与所述例外网卡名称匹配时,所述终端的联通状态为非双网络互联。
也即,在该装置中,首先判断检测活动ip数量:
a、如果活动ip数量大于或等于2,则转到判断排除例外网卡;
b、如果活动ip数量小于2,则终端的联通状态为非双网络互联。
判断排除例外网卡时,若至少存在一条默认路由或静态路由,且其指向的网卡名称匹配到例外网卡名称,则终端的联通状态为非双网络互联。
图9为本发明实施例提供的一种终端双网络互联的检测的系统中终端双网络互联的检测装置的实施方式四的结构框图,请参阅图9,该检测设备还包括:
路由提取装置210,用于当所述默认路由或静态路由指向的网卡名称与所述例外网卡名称不匹配时,根据所述路由信息提取多条本地路由;
网卡信息确定装置211,用于确定所述本地路由对应的网卡信息。在路由表中,只包含匹配该路由的硬件编号,例如表3所示的ipv4路由表所示,通向网络目标202.101.23.85使用硬件id为16的设备,经过查询计算机硬件设备id,可知硬件id为16的设备为网卡a。为了建立每一条路由与对应网络连接信息(ip、网关、dns)的关系,需要查询每一条路由对应的硬件id号,通过硬件id号查询到网卡信息,根据网卡信息查询到该网络连接是否活动、ip\dns\网关信息等。
表3
此路由表中没有默认路由,第一条路由为指向网络a区域的静态路由,第二条路由为指向网络b区域的静态路由,二者构成了双网络区域互联。
路由筛选装置212,用于根据所述网卡信息从所述本地路由中筛选出多条有效的本地路由。在具体的实施方式中,路由表中可能还含有失效路由,需要进行进一步甄别,可采取ping网关等操作步骤,来确保排除失效路由。
第七状态输出装置213,用于根据所述有效的本地路由以及预先设定的双网络dns集,确定出所述终端的联通状态。
图10为第七状态输出装置的结构框图,请参阅图10,该装置包括:
特征获取模块2131,用于当所述多条有效的本地路由为多条静态路由时,获取所述多条静态路由对应的特征;
路由特征比对模块2132,用于比对所述两个网络区域对应的特征集以及所述多条静态路由对应的特征;
第八状态输出模块2133,用于当所述多条静态路由对应的特征属于两个网络区域对应的特征集时,所述终端的联通状态为双网络互联。
也即,判断两条静态路由是否构成双网络互联时:若存在静态路由,且静态路由有的含有网络区域a的特征,有的含有网络区域b的特征,如果任意两条静态路由可匹配到两个网络区域的网关网段,则视为双网互联状态。
图11为本发明实施例提供的一种终端双网络互联的检测的系统中第七状态输出装置的实施方式二的结构框图,请参阅图11,实施方式二中,该装置还包括:
对应特征获取模块2134,用于当所述多条有效的本地路由为静态路由以及默认路由时,获取所述本地路由对应的特征;
特征比对模块2135,用于比对所述两个网络区域对应的特征集以及所述本地路由对应的特征;
第九状态输出模块2136,用于当所述静态路由对应的特征与所述默认路由对应的特征属于两个网络区域对应的特征集时,所述终端的联通状态为双网络互联。
也即,判断静态路由与默认路由是否构成双网络互联时,若存在静态路由,并且存在默认路由,且存在某一条跃点数最小的默认路由(路由表中跃点数最小的默认路由可能不唯一)与某一条静态路由,满足:二者通过接口查找到指向的网卡中,有一个含有网络区域a的特征,另一个含有网络区域b的特征,则视为双网络区域互联(典型违规样例如下述的表4、表5)。
表4
在表4中,第一条路由为指向网络a区域的默认路由,第二条路由为指向网络b区域的静态路由,二者构成了双网络互联。
表5
在表5中,第一条和第二条路由都是跃点数最小的默认路由,第一条路由为指向网络a区域的默认路由,第三条路由为指向网络b区域的静态路由,二者构成了双网络互联。
如上的实施方式三、四、五中,检测设备中增加了路由表检测引擎,通过对计算机所处的网络环境信息进行提取、对网络环境进行预判断,进行ip梳理判断、路由表信息进行梳理,对判断结果进行梳理、输出,主要判断标准为如果存在两个以上ip且存在能够同时生效的路由分别能够联通与两个网络区域,则认定为同时联通双网络区域。
在本发明提供的检测设备的实施方式一、二中仅包括了发包探测引擎,虽然其较为轻量级,能够快速发现绝大多数的双网互联问题,特别是能发现代理访问互联的违规情况。然而如果(1)终端设置的静态路由表碰巧未包含探测url集,则存在漏报问题;(2)或者两网络区域的dns相同,则很难通过发包探测引擎检查secondaryip违规的场景。因此,本发明的实施方式三、四、五中增加了路由检测引擎,进一步提升检测效果。
在多网卡互联场景中,需要同时启用两块网卡,并构造两个网络连接;在secondaryip互联违规场景下,需要在同一个网络连接中通过tcp/ip高级设置配置两个以上ip和相应网关。但由于多个网络连接/ip同时活跃时仅有一个网络连接起作用,路由默认仅走一块网卡/ip,其他网卡/ip无流量,因此无论哪种配置均需要增加路由,改变默认只走一块网卡/ip的情况。如果需要把小部分网段的路由指到另一个网卡/ip,其他网段访问保持默认网卡不变,只需要增加一条或几条指向另一块网卡/ip的静态路由(例如表5中的第三条);如果需要分别一部分网段指向一块网卡/ip,另一部分网段指向另一块网卡/ip,那么需要分别配置单独的路由(例如表3以及表4中的第1、2条)。
在本发明的其他实施方式中,在检测出终端的连通状态之后,还可新增违规处理流程,针对终端同时连接不通网络区域的行为记录日志并进一步处理(例如切断网络连接),形成一整套自动化检测处理全流程。
此外,尽管在上文详细描述中提及了系统的若干单元模块,但是这种划分并非强制性的。实际上,根据本发明的实施方式,上文描述的两个或更多单元的特征和功能可以在一个单元中具体化。同样,上文描述的一个单元的特征和功能也可以进一步划分为由多个单元来具体化。以上所使用的术语“模块”和“单元”,可以是实现预定功能的软件和/或硬件。尽管以下实施例所描述的模块较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
在介绍了本发明示例性实施方式的协调之后,接下来,参考附图对本发明示例性实施方式的方法进行介绍。该方法的实施可以参见上述整体的实施,重复之处不再赘述。
图12为本发明实施例提供的一种终端双网络互联的检测方法的实施方式一的流程图,在实施方式一中该方法包括:
s101:确定终端对应的网卡的本地dns地址列表。图13步骤s101的具体流程图,请参阅图13,该步骤包括:
s201:获取所述终端对应的网卡的状态信息;
s202:当所述状态信息显示所述网卡处于活动状态时,获取所述网卡的dns地址列表;
s203:从所述dns地址列表中剔除例外网卡dns地址,形成本地dns地址列表。此处提及的例外网卡诸如为企业vpn虚拟网卡。
如图12所示,检测方法还包括:
s102:获取预先设定的双网络dns集,所述双网络dns集包括两个网络区域对应的特征集;
在本发明的检测设备中,预先设定了策略配置(参见表1)。在具体的实施方式中,表1中的配置策略可以包括一部分或全部。针对表1中6项配置分别说明如下:网络区域a/b的特征,用以识别网卡联通网络区域a/b的特征,一般建议使用dns集或模糊匹配的网关网段作为判断标准(即特征集获取装置202中的双网络dns集);网络区域a/b的探测url集,配置的url需为唯一存在于对应网络区域的url,用以进行发包探测,本发明支持多个url集的配置还需要网络区域的探测url,在检测时进行逐项匹配探测,任意一个探测联通即可,以减少漏报率;例外网卡名称,由于一般企业内均有vpn等类似在两个网络区域间建设隧道的合法设置,建议提取特征设置为例外;检测开关,用于总体控制是否开启该引擎。
s103:根据所述本地dns地址列表以及所述双网络dns集,确定出所述终端的联通状态。图14为步骤s103的具体流程图,请参阅图14,该步骤包括:
s301:比对所述本地dns地址列表与两个网络区域对应的特征集;
s302:当所述本地dns地址列表中的本地dns地址属于不同的网络区域对应的特征集时,所述终端的联通状态为双网络互联。
也即,比较本地dns列表和策略中的“网络区域a的dns集”以及“网络区域b的dns集”。如果本地dns列表中的本地dns地址属于不同网络区域,则所述终端的联通状态为双网络互联。
图15为本发明实施例提供的一种终端双网络互联的检测方法的实施方式二的流程图,请参阅图5,在实施方式二中,检测方法还包括:
s104:当所述本地dns地址列表中的本地dns地址属于同一个网络区域对应的特征集时,所述同一个网络区域称为第一网络区域,诸如,在一具体实施例中,本地dns列表中的本地dns地址全都属于网络区域a的dns集,则该网络区域a称为第一网络区域。
s105:当所述终端设置有代理服务器时,获取预先设定的双网络url集,所述双网络url集包括两个网络区域对应的url集;
s106:通过所述代理服务器访问所述第一网络区域之外的网络区域,也即访问网络区域b。
s107:当接收到实时url时,根据所述实时url以及所述双网络url集,确定出所述终端的联通状态。
图16为s107的具体流程图,请参阅图16,该步骤包括:
s401:比对所述双网络url集与所述实时url;
s402:当所述实时url属于所述第一网络区域之外的网络区域对应的url集时,获取预先设定的返回码阈值;
s403:当所述实时url的返回码小于所述返回码阈值时,所述终端的联通状态为双网络互联。
也即,当检测到终端设置有代理服务器时,则通过引擎调用代理访问另一网络区域网站的页面,如果返回码为500以下,则说明终端处于双网互联状态。
如上即为本发明提供的一种终端双网络互联的检测方法的实施方式一以及实施方式二,在该实施方式一、二中,检测方法的检测逻辑称为发包探测引擎,其通过比对本地dns地址列表以及预设的双网络dns集可以确定出终端的联通状态,发包探测引擎可控制引擎的探测和休眠周期,检测预判断终端所处物理网络环境,是否仅连接了单一网络连接,检测该网络连接是否配置了浏览器代理,同时分别请求两个网络区域的url集,对探测结果进行判断,主要判断标准为如果url请求都有返回,且返回码都小于预知(如500),则认定为同时联通双网络区域,实现了对终端多种违规互联行为的检测,可同时检测终端多种违规互联的行为(包括代理互联、多网卡互联、辅助ip(下文简称其英文名secondaryip)互联等)。
发包探测引擎较为轻量级,能够快速发现绝大多数的双网互联问题,可以检测代理互联、多网卡互联、secondaryip互联等违规行为。以下介绍本发明提供的检测设备的实施方式三、四、五中包括的另一中检测逻辑,其称为路由检测引擎,该路由检测引擎对于多网卡和secondaryip互联检测效果更好,可作为发包探测引擎的补充,与发包探测引擎协同检测代理互联场景。
图17为本发明实施例提供的一种终端双网络互联的检测方法的实施方式三的流程图,请参阅图7,在实施方式三中,检测方法还包括:
s108:当所述终端设置未设置代理服务器时;或当未接收到所述第一网络区域之外的网络区域返回的url时;或当接收到所述第一网络区域之外的网络区域返回的url且所述url的返回码大于等于所述返回码阈值时,获取所述终端的ip信息以及路由信息。
本发明的检测设备中包含了路由表检测所需要的策略配置(参见表2)。针对表2中所述的4项配置分别说明如下:网络区域a/b的特征,用以识别网卡联通网络区域a/b的特征,一般建议使用dns集或模糊匹配的网关网段作为判断特征;例外网卡名称,由于一般企业内均有vpn等类似在两个网络区域间建设隧道的合法设置,建议提取特征设置为例外;检测开关,用于总体控制是否开启该引擎。
s109:根据所述ip信息以及路由信息确定所述终端的联通状态。
图18为步骤s109的具体流程图,请参阅图18,该步骤包括:
s501:获取预先设定的ip阈值、路由阈值以及例外网卡名称。
s502:根据所述ip信息确定出所述终端的活动ip数量;
s503:当所述活动ip数量小于所述ip阈值时,所述终端的联通状态为非双网络互联;
s504:当所述活动ip数量大于等于所述ip阈值时,根据所述路由信息判断所述终端是否存在默认路由或静态路由;
s505:当判断为是时,确定所述默认路由或静态路由指向的网卡名称;
s506:用于当所述网卡名称与所述例外网卡名称匹配时,所述终端的联通状态为非双网络互联。
也即,在该方法中,首先判断检测活动ip数量:
a、如果活动ip数量大于或等于2,则转到判断排除例外网卡;
b、如果活动ip数量小于2,则终端的联通状态为非双网络互联。
判断排除例外网卡时,若至少存在一条默认路由或静态路由,且其指向的网卡名称匹配到例外网卡名称,则终端的联通状态为非双网络互联。
图19为本发明实施例提供的一种终端双网络互联的检测方法的实施方式四的流程图,请参阅图19,该检测方法还包括:
s110:当所述默认路由或静态路由指向的网卡名称与所述例外网卡名称不匹配时,根据所述路由信息提取多条本地路由;
s111:确定所述本地路由对应的网卡信息。在路由表中,只包含匹配该路由的硬件编号,例如表3所示的ipv4路由表所示,通向网络目标202.101.23.85使用硬件id为16的设备,经过查询计算机硬件设备id,可知硬件id为16的设备为网卡a。为了建立每一条路由与对应网络连接信息(ip、网关、dns)的关系,需要查询每一条路由对应的硬件id号,通过硬件id号查询到网卡信息,根据网卡信息查询到该网络连接是否活动、ip\dns\网关信息等。表3所示的路由表中没有默认路由,第一条路由为指向网络a区域的静态路由,第二条路由为指向网络b区域的静态路由,二者构成了双网络区域互联。
s112:根据所述网卡信息从所述本地路由中筛选出多条有效的本地路由。在具体的实施方式中,路由表中可能还含有失效路由,需要进行进一步甄别,可采取ping网关等操作步骤,来确保排除失效路由。
s113:根据所述有效的本地路由以及预先设定的双网络dns集,确定出所述终端的联通状态。
图20为步骤s113的具体流程图,请参阅图20,该步骤包括:
s601:当所述多条有效的本地路由为多条静态路由时,获取所述多条静态路由对应的特征;
s602:比对所述两个网络区域对应的特征集以及所述多条静态路由对应的特征;
s603:当所述多条静态路由对应的特征属于两个网络区域对应的特征集时,所述终端的联通状态为双网络互联。
也即,判断两条静态路由是否构成双网络互联时:若存在静态路由,且静态路由有的含有网络区域a的特征,有的含有网络区域b的特征,如果任意两条静态路由可匹配到两个网络区域的网关网段,则视为双网互联状态。
图21为步骤s113的实施方式二的具体流程图,请参阅图21,实施方式二中,该班长还包括:
s701:当所述多条有效的本地路由为静态路由以及默认路由时,获取所述本地路由对应的特征;
s702:比对所述两个网络区域对应的特征集以及所述本地路由对应的特征;
s703:当所述静态路由对应的特征与所述默认路由对应的特征属于两个网络区域对应的特征集时,所述终端的联通状态为双网络互联。
也即,判断静态路由与默认路由是否构成双网络互联时,若存在静态路由,并且存在默认路由,且存在某一条跃点数最小的默认路由(路由表中跃点数最小的默认路由可能不唯一)与某一条静态路由,满足:二者通过接口查找到指向的网卡中,有一个含有网络区域a的特征,另一个含有网络区域b的特征,则视为双网络区域互联(典型违规样例如下述的表4、表5)。在表4中,第一条路由为指向网络a区域的默认路由,第二条路由为指向网络b区域的静态路由,二者构成了双网络互联。在表5中,第一条和第二条路由都是跃点数最小的默认路由,第一条路由为指向网络a区域的默认路由,第三条路由为指向网络b区域的静态路由,二者构成了双网络互联。
如上的实施方式三、四、五中,检测方法中增加了路由表检测引擎,通过对计算机所处的网络环境信息进行提取、对网络环境进行预判断,进行ip梳理判断、路由表信息进行梳理,对判断结果进行梳理、输出,主要判断标准为如果存在两个以上ip且存在能够同时生效的路由分别能够联通与两个网络区域,则认定为同时联通双网络区域。
在本发明提供的检测方法的实施方式一、二中仅包括了发包探测引擎,虽然其较为轻量级,能够快速发现绝大多数的双网互联问题,特别是能发现代理访问互联的违规情况。然而如果(1)终端设置的静态路由表碰巧未包含探测url集,则存在漏报问题;(2)或者两网络区域的dns相同,则很难通过发包探测引擎检查secondaryip违规的场景。因此,本发明的实施方式三、四、五中增加了路由检测引擎,进一步提升检测效果。
在多网卡互联场景中,需要同时启用两块网卡,并构造两个网络连接;在secondaryip互联违规场景下,需要在同一个网络连接中通过tcp/ip高级设置配置两个以上ip和相应网关。但由于多个网络连接/ip同时活跃时仅有一个网络连接起作用,路由默认仅走一块网卡/ip,其他网卡/ip无流量,因此无论哪种配置均需要增加路由,改变默认只走一块网卡/ip的情况。如果需要把小部分网段的路由指到另一个网卡/ip,其他网段访问保持默认网卡不变,只需要增加一条或几条指向另一块网卡/ip的静态路由(例如表5中的第三条);如果需要分别一部分网段指向一块网卡/ip,另一部分网段指向另一块网卡/ip,那么需要分别配置单独的路由(例如表3以及表4中的第1、2条)。
在本发明的其他实施方式中,在检测出终端的连通状态之后,还可新增违规处理流程,针对终端同时连接不通网络区域的行为记录日志并进一步处理(例如切断网络连接),形成一整套自动化检测处理全流程。
应当注意,尽管在附图中以特定顺序描述了本发明方法的操作,但是,这并非要求或者暗示必须按照该特定顺序来执行这些操作,或是必须执行全部所示的操作才能实现期望的结果。附加地或备选地,可以省略某些步骤,将多个步骤合并为一个步骤执行,和/或将一个步骤分解为多个步骤执行。
下面结合附图,以具体实施例详细说明本发明的技术方案。图25为具体实施例中终端双网络互联的检测方法的整体流程图,在该具体实施例中,策略更新主要负责从策略管理服务器获取相关策略更新,发包探测引擎主要实现对终端是否通过代理服务器同时联通不同网络区域的检测;路由表检测引擎模块主要实现对终端是否通过多网卡或secondaryip方式同时联通不同网络区域的检测。在本发明的基础上还可新增违规处理流程,针对终端同时连接不通网络区域的行为记录日志并进一步处理(例如切断网络连接),形成一整套自动化检测处理全流程。
图26为本发明提供的具体实施例的发包探测引擎流程图,请参阅图26,发包探测引擎的具体实现逻辑如下:
(1)、循环检测(循环检测时间间隔可配置,考虑到访问硬件的io开销和连接网络的网络延迟,推荐为1分钟)。检测周期开始跳转至(2);
(2)、检测开始后,判断终端是否有网卡处于活动状态,如果处于活动状态,则执行(3)。如果没有活动网卡,则结束检测,跳转至路由表检测引擎;
(3)、获取终端本地活动网卡的所有dns地址列表,剔除例外网卡(如企业vpn虚拟网卡)的dns地址,形成本地dns列表,跳转至(4);
(4)、比较本地dns列表和策略中的“网络区域a的dns集”以及“网络区域b的dns集”。如果本地dns列表全都属于一个网络区域dns,则说明终端处于单网络物理联通环境,跳转至(5)。如果本地dns列表属于不同网络区域,则结束检测,跳转至路由表检测引擎;
(5)、继续检测代理设置情况,如果有设置代理,则通过引擎调用代理访问另一网络区域网站的页面,没有返回或者返回码为500以上(服务器内部错误)时属于未联通,如果返回码为500以下,则说明终端处于双网互联状态,跳转至(6)。如果不符合上述特征,则结束检测,跳转至路由表检测引擎;
(6)、记录网络互联结果输出。
发包探测引擎结束,跳转至路由表检测引擎。
图27为本发明提供的具体实施例的路由检测引擎流程图,请参阅图27,路由检测引擎的具体实现逻辑如下:
(1)、判断检测活动ip数量:
a、如果活动ip数量大于或等于2,则转到判断(2);
b、如果活动ip数量小于2,则结束检测。
(2)、判断排除例外网卡:
a、若至少存在一条默认路由或静态路由,且其指向的网卡名称匹配到例外网卡名称,则结束检测;
b、否则,转到判断(3);
(3)、检测路由表,判断是否存在双网络互联,图28为本发明提供的具体实施例的两条默认路由构成双网络互联场景的流程图,路由检测子逻辑流程图如下:
a、提取本地所有路由,网络目标和网络掩码全0的为默认路由,其他路由均为非默认路由的路由,跳转至b。
b、在路由表中,只包含匹配该路由的硬件编号,例如表3中通向网络目标202.101.23.85使用硬件id为16的设备,经过查询计算机硬件设备id,可知硬件id为16的设备为网卡a。为了建立每一条路由与对应网络连接信息(ip、网关、dns)的关系,需要查询每一条路由对应的硬件id号,通过硬件id号查询到网卡信息,根据网卡信息查询到该网络连接是否活动、ip\dns\网关信息等(对应后结果参见表3、表4、表5),跳转至c。
c、路由表中可能还含有失效路由,需要进行进一步甄别,可采取ping网关等操作步骤,来确保排除失效路由,跳转至d。
d、判断两条静态路由构成双网络互联:若存在静态路由,且静态路由有的含有网络区域a的特征,有的含有网络区域b的特征,如果任意两条静态路由可匹配到两个网络区域的网关网段,则视为双网互联状态,跳转至f。不符合上述特征时,跳转至e。
e、静态路由与默认路由构成双网络互联:若存在静态路由,并且存在默认路由,且存在某一条跃点数最小的默认路由(路由表中跃点数最小的默认路由可能不唯一)与某一条静态路由,满足:二者通过接口查找到指向的网卡中,有一个含有网络区域a的特征,另一个含有网络区域b的特征,则视为双网络区域互联(典型违规样例参见表4、表5),跳转至f。不符合上述特征时,跳转至g。
f、双网络区域互联状态提取终端路由信息,结束检测。
g、其他路由情况视为非双网络区域互联情况,结束检测。
如上所述,本实施例提供了一种终端双网络互联的检测方案,通过两个检测引擎的实时检测,可以在终端侧有效发现代理互联、多网卡互联、secondaryip互联等多种网络违规互联行为,且具有以下优势:
1、相对于传统基于各类扫描协议的包探测方案,本发明的发包探测引擎:
(1)从上端集中式、被动扫描式发现,转变为下端分布式、主动检测发现的模式。因为在终端侧检测,所以不必在每个网络区域中部署单独的探测服务器,而且减小了对网络环境的依赖,提高了检测的准确率。
(2)采用基于tcp可靠传输协议的http应用协议检测,避免了复杂场景下,ping、syslog包探测等简单不可靠协议可能出现的误漏报。
2、相对于传统基于c/s终端的本地检测方案。本发明的路由检测引擎:
(1)采用在终端侧部署轻量级脚本循环检查的方式,既节省了终端的计算资源,又可以实时检测、记录违规行为。
(2)采用最直接的路由表检测方法,避免终端违规互联行为种类众多,每种新型网卡都需要单独研究的问题,特别是在员工刻意规避等复杂场景下,能有效检测发现问题。
3、两个检测引擎互相辅助、互为补充,能够高效发现用户双网络互联的行为,有效避免用户通过各类技术手段绕过。被检测引擎判断为同时连接多网络区域的终端,程序自动记录日志并采取处理措施(如禁用网卡)。
对于一个技术的改进可以很明显地区分是硬件上的改进(例如,对二极管、晶体管、开关等电路结构的改进)还是软件上的改进(对于方法流程的改进)。然而,随着技术的发展,当今的很多方法流程的改进已经可以视为硬件电路结构的直接改进。设计人员几乎都通过将改进的方法流程编程到硬件电路中来得到相应的硬件电路结构。因此,不能说一个方法流程的改进就不能用硬件实体模块来实现。例如,可编程逻辑器件(programmablelogicdevice,pld)(例如现场可编程门阵列(fieldprogrammablegatearray,fpga))就是这样一种集成电路,其逻辑功能由用户对器件编程来确定。由设计人员自行编程来把一个数字系统“集成”在一片pld上,而不需要请芯片制造厂商来设计和制作专用的集成电路芯片。而且,如今,取代手工地制作集成电路芯片,这种编程也多半改用“逻辑编译器(logiccompiler)”软件来实现,它与程序开发撰写时所用的软件编译器相类似,而要编译之前的原始代码也得用特定的编程语言来撰写,此称之为硬件描述语言(hardwaredescriptionlanguage,hdl),而hdl也并非仅有一种,而是有许多种,如abel(advancedbooleanexpressionlanguage)、ahdl(alterahardwaredescriptionlanguage)、confluence、cupl(cornelluniversityprogramminglanguage)、hdcal、jhdl(javahardwaredescriptionlanguage)、lava、lola、myhdl、palasm、rhdl(rubyhardwaredescriptionlanguage)等,目前最普遍使用的是vhdl(very-high-speedintegratedcircuithardwaredescriptionlanguage)与verilog2。本领域技术人员也应该清楚,只需要将方法流程用上述几种硬件描述语言稍作逻辑编程并编程到集成电路中,就可以很容易得到实现该逻辑方法流程的硬件电路。
控制器可以按任何适当的方式实现,例如,控制器可以采取例如微处理器或处理器以及存储可由该(微)处理器执行的计算机可读程序代码(例如软件或固件)的计算机可读介质、逻辑门、开关、专用集成电路(applicationspecificintegratedcircuit,asic)、可编程逻辑控制器和嵌入微控制器的形式,控制器的例子包括但不限于以下微控制器:arc625d、atmelat91sam、microchippic18f26k20以及siliconelabsc8051f320,存储器控制器还可以被实现为存储器的控制逻辑的一部分。
本领域技术人员也知道,除了以纯计算机可读程序代码方式实现控制器以外,完全可以通过将方法步骤进行逻辑编程来使得控制器以逻辑门、开关、专用集成电路、可编程逻辑控制器和嵌入微控制器等的形式来实现相同功能。因此这种控制器可以被认为是一种硬件部件,而对其内包括的用于实现各种功能的装置也可以视为硬件部件内的结构。或者甚至,可以将用于实现各种功能的装置视为既可以是实现方法的软件模块又可以是硬件部件内的结构。
上述实施例阐明的系统、装置、模块或单元,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。
为了描述的方便,描述以上装置时以功能分为各种单元分别描述。当然,在实施本申请时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到本申请可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如rom/ram、磁碟、光盘等,包括若干指令用以使得一台计算机系统(可以是个人计算机,服务器,或者网络系统等)执行本申请各个实施例或者实施例的某些部分所述的方法。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本申请可用于众多通用或专用的计算机系统环境或配置中。例如:个人计算机、服务器计算机、手持系统或便携式系统、平板型系统、多处理器系统、基于微处理器的系统、置顶盒、可编程的消费电子系统、网络pc、小型计算机、大型计算机、包括以上任何系统或系统的分布式计算环境等等。
本申请可以在由计算机执行的计算机可执行指令的一般上下文中描述,例如程序模块。一般地,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本申请,在这些分布式计算环境中,由通过通信网络而被连接的远程处理系统来执行任务。在分布式计算环境中,程序模块可以位于包括存储系统在内的本地和远程计算机存储介质中。
虽然通过实施例描绘了本申请,本领域普通技术人员知道,本申请有许多变形和变化而不脱离本申请的精神,希望所附的权利要求包括这些变形和变化而不脱离本申请的精神。
- 还没有人留言评论。精彩留言会获得点赞!