一种终端的非法外联监测方法、装置及系统与流程

本申请涉及数据处理，尤其是一种终端的非法外联监测方法、装置及系统。

背景技术：

1、随着国家网络信息化的推进，公安信息网、视频传输网等网络布局越来越庞大，网络资产错综复杂，网络间跨层级、跨部门的应用访问以及由此带来的不同网络间的数据交互给内网的安全管理带来巨大挑战。随着国家互联网技术的迅速发展，用户通过手机、电脑等终端设备随时随地都能进行互联网访问，在获得方便的同时，也给内网的安全访问带来了风险，如果用户的不正当操作导致在内网进行了互联网连接，从而使内网系统直接暴露在互联网，可能会导致非法入侵、数据泄漏等安全风险。

2、通过建设非法外联监测系统可以实现对终端的互联网访问行为进行监测，但目前常用的非法外联监测解决方案，如流量解析识别方式、网络报文探测方式、终端上安装探测客户端方式等，都存在很大的局限性：

3、1、网络流量分析方法，对网络流量进行采集分析，通过规则算法进行非法外联行为识别，因为网络结构复杂多变，全流量采集和解析不仅落地困难，而且对资源要求高，监测的准确性不仅依赖流量采集和分析质量，还依赖规则和算法的准确性；

4、2、网络报文探测方法，给被监测终端发篡改过的请求报文，让终端把响应报文回给指定的互联网地址，需要全网扫描，通过篡改网络请求报文的探测方法只能给同局域网内的设备网卡发送探测报文，也只有该网卡会响应报文，所以只能探测到单网卡非法外联行为，无法发现多网卡非法外联行为(即一个网卡接着内网，另一个网卡连着互联网)；

5、3、终端上安装客户端程序，周期性地给预设地址发请求报文，通过报文响应情况来判定是否非法外联，需要在所有终端上都进行安装，实施难度高、成本大、维护困难，而且周期性探测的方式，存在非法外联时正好未能被及时探测发现的问题。

技术实现思路

1、本申请的目的在于克服现有技术不足之处，提供一种终端的非法外联监测方法、装置及系统。

2、第一方面，提供了一种终端的非法外联监测方法，包括：

3、获取响应报文，其中，所述响应报文为内网终端访问内网web应用时，web应用所返回的响应报文；

4、在响应报文的html中插入js脚本，其中，所述js脚本用于触发访问互联网响应服务；

5、将插入js脚本的响应报文返回至终端，以使终端自动执行js脚本，并尝试请求互联网响应服务；

6、响应于终端浏览器上的js脚本成功收到互联网响应服务的响应报文，则判定终端存在非法外联行为。

7、进一步的，还包括：响应于终端存在非法外联行为，则接收上报信息，并将上报信息转发至非法外联监测服务，以使非法外联监测服务生成告警信息。

8、进一步的，所述js脚本的执行步骤为：

9、主动调用互联网响应服务的api接口；

10、响应于接收到调用成功的状态码，则判断状态码是否为200；

11、响应于状态码是200，则判定终端存在非法外联路径；

12、响应于终端存在非法外联路径，则调用非法外联监测服务的api接口；

13、将判定结果通过api方式进行上报。

14、进一步的，所述告警信息包括时间、事件和终端的ip地址。

15、第二方面，提供了一种终端的非法外联监测装置，包括：

16、获取模块，用于获取响应报文，其中，所述响应报文为内网终端访问内网web应用时，web应用所返回的响应报文；

17、js脚本插入模块，用于在响应报文的html中插入js脚本，其中，所述js脚本用于触发访问互联网响应服务；

18、返回模块，用于将插入js脚本的响应报文返回至终端，以使终端自动执行js脚本，并尝试请求互联网响应服务；

19、判定模块，用于响应于终端浏览器上的js脚本成功收到互联网响应服务的响应报文，则判定终端存在非法外联行为。

20、进一步的，还包括：

21、接收和转发模块，用于响应于终端存在非法外联行为，则接收上报信息，并将上报信息转发至非法外联监测服务，以使非法外联监测服务生成告警信息。

22、第三方面，提供了一种一种终端的非法外联监测系统，包括：

23、互联网响应服务，用于提供接收调用的api接口，以探测终端是否存在非法外联行为；

24、安全接入代理服务，用于对web应用进行访问代理，并在返回至终端的响应报文中插入js脚本，以使终端自动尝试调用互联网响应服务的api接口；

25、非法外联监测服务，用于接收非法外联探测结果数据，并生成告警信息进行展示；

26、其中，非法外联监测服务和安全接入代理服务均连接到内网交换机上，被监测的终端也连接在内网交换机上，内网交换机还连接有web应用服务器，互联网响应服务部署在互联网上。

27、进一步的，所述互联网响应服务的api接口被终端成功调用后，能够响应一个200的状态码给终端，若终端收到互联网响应服务响应的200的状态码，则判定当前终端存在非法外联行为。

28、第四方面，提供了一种计算机可读存储介质，所述计算机可读介质存储用于设备执行的程序代码，该程序代码包括用于执行如第一方面中的任意一种实现方式中方法的步骤。

29、第五方面，提供了一种电子设备，所述电子设备包括处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序或指令，所述程序或指令被所述处理器执行时实现如第一方面中的任意一种实现方式中的方法的步骤。

30、本申请具有如下有益效果：通过在终端浏览器中嵌入一段js脚本，通过该js脚本来探测终端是否存在互联网访问通路，使得本申请的监测方法更加轻量，不需要消耗很多的计算资源，部署和维护的成本较低，准确性更高，并且能够发现多网卡非法外联行为，监测更加全面，而且无需在终端上安装客户端程序，从而能够降低实施成本，部署和维护更加方便。

技术特征：

1.一种终端的非法外联监测方法，其特征在于，包括：

2.根据权利要求1所述的终端的非法外联监测方法，其特征在于，还包括：响应于终端存在非法外联行为，则接收上报信息，并将上报信息转发至非法外联监测服务，以使非法外联监测服务生成告警信息。

3.根据权利要求2所述的终端的非法外联监测方法，其特征在于，所述js脚本的执行步骤为：

4.根据权利要求2所述的终端的非法外联监测方法，其特征在于，所述告警信息包括时间、事件和终端的ip地址。

5.一种终端的非法外联监测装置，其特征在于，包括：

6.根据权利要求5所述的终端的非法外联监测装置，其特征在于，还包括：

7.一种终端的非法外联监测系统，其特征在于，包括：

8.根据权利要求7所述的终端的非法外联监测系统，其特征在于，所述互联网响应服务的api接口被终端成功调用后，能够响应一个200的状态码给终端，若终端收到互联网响应服务响应的200的状态码，则判定当前终端存在非法外联行为。

9.一种计算机可读存储介质，其特征在于，所述计算机可读介质存储用于设备执行的程序代码，该程序代码包括用于执行如权利要求1-4中任一项所述方法的步骤。

10.一种电子设备，其特征在于，所述电子设备包括处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序或指令，所述程序或指令被所述处理器执行时实现如权利要求1-4中任一项所述的方法的步骤。

技术总结
本申请涉及数据处理技术领域，公开了一种终端的非法外联监测方法、装置及系统，该方法包括：获取响应报文，其中，所述响应报文为内网终端访问内网web应用时，web应用所返回的响应报文；在响应报文的html中插入js脚本，其中，所述js脚本用于触发访问互联网响应服务；将插入js脚本的响应报文返回至终端，以使终端自动执行js脚本，并尝试请求互联网响应服务；响应于终端浏览器上的js脚本成功收到互联网响应服务的响应报文，则判定终端存在非法外联行为，本申请的方法不需要消耗很多的计算资源，部署和维护的成本较低，准确性更高，并且能够发现多网卡非法外联行为，监测更加全面，而且无需在终端上安装客户端程序，从而能够降低实施成本。

技术研发人员：盛华峰,张震宇,王燕华,林章峰,霍庆明,史俊华
受保护的技术使用者：杭州熙羚信息技术有限公司
技术研发日：
技术公布日：2024/1/13