非客户端模式被动检查离线非法外联技术的制作方法

本发明属于信息安全领域，涉及一种非客户端模式被动检查离线非法外联技术。

背景技术：

政府、军队、各企事业单位的办公系统已经实现了网络化。这些重要的信息系统中存储着大量机密的信息，一旦泄露会对企事业单位甚至国家安全造成严重的损害。为了提高内网的安全性，一些信息安全要求较高的单位，禁止内部网络与互联网等外部网络连接，采取物理隔离的方式进行控制。但在实际的工作中，由于一些用户的安全意识淡薄，会经常有意无意的非法外联。极易增加跳板攻击和非法入侵的风险。

目前已有的外联检测手段有两种方式：1）不安装代理客户端，需要内外网同时在线才能进行监测是否存在非法外联的发生。2）安装代理客户度端，通过客户端向外发送外联数据包进行外网探测。客户端则需要每台电脑安装插件进行检查，或多或少存在兼容性问题。

为此，本发明提供了一种基于非客户端模式被动检查离线非法外联技术，能够检查终端在离开内部网络后再接入到内网后能够准确的发现非法外联现象的发生和定位。

技术实现要素：

本设计发明一种基于非客户端模式被动检查离线非法外联技术。通过特定的javascript脚本程序被终端访问的浏览器加载到本地去核查dns服务器解析外网访问痕迹。

本发明提供的一种基于非客户端模式被动检查离线非法外联技术方法，分为以下步骤：

步骤1内网终端连接到互联网；

步骤2内网终端又接入到内网，在访问业务网站时随着浏览器将javascript脚本程序加载到本地；

步骤3javascript脚本程序通过读取内网终端浏览器cooike模拟打开其访问的外网地址向dns进行请求解析；

步骤4解析完成后，自动分析是否可以解析外网地址到外联检测系统；

步骤5当解析到外网地址后javascript脚本程序将内网地址和外网访问痕迹上报到内部非法外联检测服务器；

步骤6收到检测信息后，立即进行非法外联告警；

通过本发明提供的方法和系统，可以在不安装代理客户端的终端主机上实现准确的非法外联行为监测，为非法外联监测提供了一种更简便的手段。

附图说明

图1为本发明的一种基于非客户端模式被动检查离线非法外联系统的应用部署图；

图2为本发明的一种基于非客户端模式被动检查离线非法外联监测的流程图；

图3为本发明实施方式提供的一种非客户端模式被动检查离线非法外联监测的流程图；

图4为本发明的一种非客户端模式被动检查离线非法外联检测系统的结构示意图。

具体实施方式

下面结合附图对本发明做进一步说明：

根据图3步骤11内网部署一套非法外联监测系统；

根据图3步骤12内网dns解析系统将外网域名解析到外联监测系统；

根据图3步骤13内网业务网站加载javascript脚本程序；

根据图3步骤14终端离开内部网络连接到互联网；

根据图3步骤15内网终端又接入到内网，访问业务网站随着浏览器将javascript脚本程序加载到本地；

根据图3步骤16javascript脚本程序通过读取内网终端浏览器cooike模拟打开其访问的外网地址向dns服务器发起解析请求；

根据图3步骤17解析完成后，自动分析是否可以解析到外网地址；

根据图3步骤18如果没有解析到，则认为没有非法外联的发生；

根据图3步骤19当解析到外联监测系统，则认为非法外联发生。同时将javascript脚本程序将内网地址和外网访问痕迹上报到内部监测服务器；

根据图3步骤20收到检测信息后，立即进行对该终端进行非法外联告警；

根据图3步骤21将相关信息归类结束。

以上所述，为本发明较佳的实施举例，但本发明的保护范围并不局限于此，应当指出的是，对本领域的普通技术员来说在本发明技术范围内，可轻易的想到的修改、等同替换、改进等，均应涵盖在本发明保护范围之内。因此，本发明的保护范围应该以所附权利要求为准。

本发明的优点

本发明与以往的的外联检测手段相比，能在未安装客户端代理软件的前提下，检测终端离开内网后的非法外联行为进行细致的监测。更好的无感知的将终端离开内网之后的非法外联进行监测，有效的避免了跳板攻击，信息泄露等网络安全事件的发生。

技术特征：

1.一种基于非客户端模式被动检查离线非法外联技术，通过特定的javascript脚本程序被终端访问的浏览器加载到本地去核查dns服务器解析外网访问痕迹，分为以下步骤：

步骤1内网终端连接到互联网；

步骤2内网终端又接入到内网，在访问业务网站时随着浏览器将javascript脚本程序加载到本地；

步骤3javascript脚本程序通过读取内网终端浏览器cooike模拟打开其访问的外网地址向提前配置好的dns进行请求解析；

步骤4解析完成后，自动分析是否可以解析外网地址到非法外联服务器；

步骤5当解析到外网地址后javascript脚本程序将内网地址和外网访问痕迹上报到内部非法外联检测服务器；

步骤6收到检测信息后，立即进行非法外联告警。

2.如权利要求1所述的非客户端模式被动检查离线违规外联技术，其特征在于需要在内网部署检测服务器，配置内网web服务的镜像流量以及内网具备dns服务器。

3.如权利要求2所述，其特征为曾违规外联的内网终端，再次接入网络，访问业务时，自动追溯js检查代码，该代码会模拟访问外网域名，根据dns内嵌的访问外网域名指定为内网探测服务器，一旦内网探测服务器同时收到外网域名访问信息，则视为该终端访问过互联网。

技术总结
本发明提供一种基于非客户端模式被动检查离线非法外联技术，终端在非客户端模式下离开内部网络，非法连接外网，可以通过特定的JavaScript脚本程序，将终端访问的外网信息向预先定制的DNS服务器发起请求，当解析互联网网站收到非法外联服务地址后，则判断其访问过互联网，并将终端IP/MAC及外联地址发送到外联检测服务器。

技术研发人员：刘正海;李京飞;李强;刘超;史宗亚;李善良
受保护的技术使用者：北京融汇画方科技有限公司
技术研发日：2020.03.31
技术公布日：2020.11.10