基于非客户端模式被动检查在线违规外联技术的制作方法

本发明属于信息安全领域，涉及一种基于非客户端模式被动检查在线违规外联技术。

背景技术：

近年来随着信息技术的迅速发展和网络中有效安全机制的缺乏，内部漏洞对重要资源造成的的威胁远远大于从互联网穿越防火墙造成的入侵，而传统的防护技术如防火墙、ids等均无法有效地进行防范。

国内多数单位办公内网和互联网物理隔离，用于隔绝互联网不安全属性对内部重要业务数据产生的威胁，为规避内部员工私自连接互联网的行为，越来越多的单位部署了桌面终端管理软件防止违规外联，但随着长时间的使用，网内存在未安装/无法安装桌面终端管理软件的终端，由此产生的违规外联防不胜防，且存在检测漏洞。同时大多数单位总部对下属单位的违规外联防护力度无法统筹有效的监管，无督促手段，当发生违规外联产生的安全事件时才后知后觉。

目前，违规外联行为检测技术主要基于服务器/客户端架构，对客户端程序有较强的依赖性，即通过在网络监控范围内的终端设备安装客户端，并且在网络中部署违规外联检测管理服务器，通过配置策略，实现违规外联行为检测发现功能。但是，在实际的网络环境中，终端类型较为复杂，且存在“特殊”终端无法安装客户端，则会出现管理漏洞，导致所制定违规外联防御策略形同虚设。

因此，本发明提供一种基于非客户端模式被动检查在线违规外联技术，无须在终端主机部署客户端，实现违规外联行为检测功能。

技术实现要素：

本发明主要研究内网非客户端模式被动检查在线违规外联行为技术，结合实际信息化现状、网络现状、使用习惯等多方面因素考虑，研究出最为切合现有网络环境，符合现有使用习惯，不对网络造成影响的非客户端违规外联检测技术。

本发明所提供的非客户端模式被动检查在线违规外联检测技术，具体实现步骤如下所述：

步骤1:在内部网络环境部署违规外联检测服务器，外部公网部署取证平台；

步骤2:通过镜像流量技术，将内网业务应用系统流量引至内网违规外联检测服务器，并对业务应用系统制定违规外联检测策略，启用违规外联嗅探功能；

步骤3:内网终端访问被监控业务应用系统时，违规外联嗅探模块跟随被访问页面回传至访问主机浏览器；

步骤4:违规外联嗅探模块从内终端访问公网取证平台服务器；

步骤5:公网取证平台服务器未收到来自违规外联嗅探模块检测专用协议通讯请求时，表示终端主机未存在违规外联通信通道，没有产生违规外联行为；

步骤6:公网取证平台服务器收到来自违规外联嗅探模块检测专用协议通讯请求时，秒级产生违规外联告警，并将检测结果回馈给内网违规外联检测服务器，同时将该终端主机ip/mac、设备id等信息记录至公网取证平台；

步骤7:内网违规外联检测服务器收到违规外联嗅探模块传送的检测结果，立刻产生违规外联告警。

本发明的优点

通过本发明可以实现非客户端环境下实现在线违规外联检查，有效规避过度依赖客户端的困境。另内网违规外联服务器会对当前内网环境内终端赋值唯一id，公网取证平台收到违规外联嗅探模块发送的报文中会携带该终端id，从而确认违规外联终端的唯一性，杜绝抵赖行为。

替代方案

本发明替代方案，通过部署内网违规外联检测proxy代理服务器和外网取证平台，各内网终端主机浏览器中配置proxy代理服务器，服务器地址指向内网违规外联proxy代理服务器，proxy代理服务器配置违规外检测策略，配合外网取证平台，从而实现非客户端模式被动检查在线违规外联行为。具体实现步骤如下：

步骤1:部署内网违规外联检测代理服务器和外网取证平台；

步骤2:将内网络浏览器代理服务器指向内网违规外联检测代理服务器ip地址；

步骤3:内网终端通过浏览器使用违规外联代理服务器访问业务应用系统时，实时检测是否存在违规外联行为；

步骤4:违规外联检测策略从内终端访问公网取证平台服务器；

步骤5:公网取证平台未收到来自违规外联检测策略数据包时，表示终端主机未存在违规外联通信通道，没有产生违规外联行为；

步骤6:公网取证平台收到来自违规外联策略数据包时，秒级产生违规外联告警，并将检测结果回馈给内网违规外联检测服务器，同时将该终端主机ip/mac、设备id等信息记录至公网取证平台；

步骤7:内网违规外联检测服务器收到违规外联嗅探模块传送的检测结果，立刻产生违规外联告警。

本发明的关键点和保护点

本发明创造的关键点和保护点是：

1）通过镜像流量技术，将内网业务应用系统流量引至内网违规外联检测服务器，并对业务应用系统制定违规外联检测策略，启用违规外联嗅探功能；

2）违规外联嗅探模块定义私有通讯协议，与外部公网违规外联检测平台实现信息交互，从而实现违规外联检测准确性。

说明书附图

图1为本发明的一种基于非客户端模式被动检查在线违规外联系统的应用部署图；

图2为本发明的一种基于非客户端模式被动检查在线非法外联监测的流程图；

图3为本发明的一种非客户端模式被动检查在线非法外联检测系统的结构示意图。

技术特征：

1.本发明所提供的非客户端模式被动检查在线违规外联检测技术，实现步骤如下：

步骤1:在内部网络环境部署违规外联检测服务器，外部公网部署取证平台；

步骤2:通过镜像流量技术，将内网业务应用系统流量引至内网违规外联检测服务器，并对业务应用系统制定违规外联检测策略，启用违规外联嗅探功能；

步骤3:内网终端访问被监控业务应用系统时，违规外联嗅探模块portal页面引导并追注代码，无需在现有业务应用系统中修改代码；

步骤4:违规外联嗅探模块从内终端访问公网取证平台服务器；

步骤5:公网取证平台服务器未收到来自违规外联嗅探模块检测数据时，表示终端主机没有违规外联信道，没有违规外联行为；

步骤6:公网取证平台服务器收到来自违规外联嗅探模块检测数据时，秒级产生违规外联告警，并将检测结果回传给内网违规外联检测服务器，同时将该终端主机ip/mac、设备id等信息记录至公网取证平台；

步骤7:内网违规外联检测服务器收到违规外联嗅探模块传送的检测结果，立刻产生违规外联告警。

2.如权利要求书中1所述的非客户端模式被动检查在线违规外联检测技术，其特征是在内部网络环境部署违规外联检测服务器，外部公网部署取证平台，启用违规外联嗅探功能，违规外联嗅探模块实现portal页面引导并追注代码，无需在现有业务应用系统中修改代码。

3.非客户端模式被动检查在线违规外联检测技术实现，有内网违规外联检测违规模块、外部公网取证平台、违规外联嗅探模块组成，其特征是：

内网违规外联检测模块：部署在内网环境，制定违规外联检测策略，启用违规外联嗅探功能，在内网中被动检查违规外联行为并产生告警；

外部公网取证平台：部署在外部公网环境，实时获取违规外联嗅探模块通讯请求，同时记录违规外联终端主机ip/mac、使用人、终端设备id等属性信息；

违规外联嗅探模块：随着终端系统业务访问请求，portal引导并追注代码，用于检测内网终端是否存违规连接外部公网的隐蔽通信通道。

4.如权利要求书3所述非客户端被动检查在线违规外联技术，其特征是，在内网终端主机访问被监控业务系统时，违规外联嗅探模块会追注代码，随着终端系统业务回复访问请求，违规外联嗅探模块追注代码加载至终端主机时，会立刻执行违规外联检测模块。

5.如权利要求书3所述非客户端被动检查在线违规外联技术，其特征是，违规外联嗅探模块收到外部公网取证平台返回的专用协议回复，则会把违规外联属性数据发送到内网违规外联检测服务器。

6.如权利要求书3或5所述的非客户端被动检查在线违规外联技术，其特征是，违规外联告警信息包包内网违规外联告警和外网公网平台违规外联告警，告警信息中包含终端主机ip地址、mac地址、设备id、违规外联出口公网ip、违规外联时间属性数据。

技术总结
本发明所提供的非客户端模式被动检查在线违规外联技术，技术实现是：通过镜像流量技术，将业务应用系统流量引至内网违规外联服务器，并启用违规外联嗅探功能；当内网终端访问此业务应用系统时，嗅探模块portal引导并追注代码；嗅探模块通过私有通讯协议与外部公网取证平台进行通讯；通讯成功，则记录此终端属性信息，且产生违规外联告警；同时嗅探模块将此终端属性信息回传内网违规外联检测服务器，并立即产生违规外联告警。通过本发明技术可以实现，在非客户端的终端主机设备实现违规外联检测。

技术研发人员：刘正海;刘超;及晨鸣;及晨明;李京飞;李强;王献奎
受保护的技术使用者：北京融汇画方科技有限公司
技术研发日：2020.03.31
技术公布日：2020.11.10