违规主机检测方法、装置和非易失性存储介质与流程

本发明涉及网络通信，具体而言，涉及一种违规主机检测方法、装置和非易失性存储介质。

背景技术：

1、内网主机违规连接互联网使得的主机中的恶意程序可以回连黑客的远控服务器，进而导致内网主机被黑客控制、信息泄密等安全事件。为防止内网主机违规连接互联网，对网络安全要求较高的单位要求进行内外网隔离，内网主机不能直接连接互联网。但仍有部分员工缺乏安全意识，使用双网卡或者usb无线网卡等方式访问互联网，带来安全风险隐患。目前主流的检测违规连接互联网方法是在主机上安装安全代理软件，缺点是内网主机数量多，安装工作量大，且安全代理软件能够被员工卸载，从而导致该方法失效。

2、针对上述的问题，目前尚未提出有效的解决方案。

技术实现思路

1、本发明实施例提供了一种违规主机检测方法、装置和非易失性存储介质，以至少解决现有技术中检测违规连接互联网的内网主机时检测装置位于外网导致检测方法存在漏洞的技术问题。

2、根据本发明实施例的一个方面，提供了一种违规主机检测方法，包括：发送内网主机列表至内部网络中的检测服务器，其中，内网主机列表包括内部网络中的至少一台目标主机，检测服务器的ip地址被伪造为互联网中存在的伪造地址；生成第一udp报文，其中，第一udp报文的源ip地址为伪造地址，第一udp报文的目的ip地址为内部网络中的目标主机的ip地址，第一udp报文的目的端口号为目标主机未使用的端口号；发送第一udp报文至目标主机，其中，目标主机接收到第一udp报文后基于控制报文协议icmp向伪造地址发送第一端口不可达报文，检测服务器在接收到第一端口不可达报文的情况下确定目标主机未连接外网，检测服务器在未接收到第一端口不可达报文的情况下确定内网主机列表中的目标主机违规连接外网。

3、可选地，还包括：将检测服务器的伪造地址通告至内部网络中的路由转发节点，其中，路由转发节点根据伪造地址修改路由。

4、可选地，发送内网主机列表至内部网络中的检测服务器之前，还包括：生成第二udp报文，其中，第二udp报文的源ip地址为扫描服务器在内部网络中的ip地址，第二udp报文的目的ip地址为目标主机的ip地址，第二udp报文的目的端口号为目标主机未使用的端口号；发送第二udp报文至目标主机；在接收到目标主机响应第二udp报文而发出的第二端口不可达报文的情况下，将目标主机添加到内网主机列表中。

5、根据本发明实施例的另一方面，还提供了一种违规主机检测方法，包括：扫描服务器发送内网主机列表至检测服务器，其中，内网主机列表包括至少一台目标主机，检测服务器的ip地址被伪造为互联网中存在的伪造地址，内部网络中包括扫描服务器、检测服务器和目标主机；扫描服务器生成第一udp报文，其中，第一udp报文的源ip地址为伪造地址，第一udp报文的目的ip地址为目标主机的ip地址，第一udp报文的目的端口号为目标主机未使用的端口号；扫描服务器发送第一udp报文至目标主机，其中，目标主机接收到第一udp报文后基于控制报文协议icmp向伪造地址发送第一端口不可达报文；检测服务器在接收到第一端口不可达报文的情况下，确定目标主机未连接外网；检测服务器在未接收到第一端口不可达报文的情况下，确定内网主机列表中的目标主机违规连接外网。

6、可选地，在扫描服务器发送内网主机列表至检测服务器之前，还包括：扫描服务器生成第二udp报文，其中，第二udp报文的源ip地址为扫描服务器在内部网络中的ip地址，第二udp报文的目的ip地址为目标主机的ip地址，第二udp报文的目的端口号为目标主机未使用的端口号；扫描服务器发送第二udp报文至目标主机；扫描服务器在接收到目标主机响应第二udp报文而发出的第二端口不可达报文的情况下，将目标主机添加到内网主机列表中。

7、可选地，确定内网主机列表中的目标主机违规连接外网之前，还包括：检测服务器接收扫描服务器发送的第一udp报文；检测服务器在预定时间阈值内没有收到目标主机响应第一udp报文而发出的第一端口不可达报文的情况下，确定未接收到第一端口不可达报文。

8、可选地，检测服务器在确定内网主机列表中的目标主机违规连接外网的情况下，还包括：检测服务器向防火墙发送阻断指令，其中，阻断指令用于阻止目标主机通过防火墙。

9、根据本发明实施例的另一方面，还提供了一种违规主机检测装置，包括：第一发送模块，用于发送内网主机列表至内部网络中的检测服务器，其中，内网主机列表包括内部网络中的至少一台目标主机，检测服务器的ip地址被伪造为互联网中存在的伪造地址；生成模块，用于生成第一udp报文，其中，第一udp报文的源ip地址为伪造地址，第一udp报文的目的ip地址为内部网络中的目标主机的ip地址，第一udp报文的目的端口号为目标主机未使用的端口号；第二发送模块，用于发送第一udp报文至目标主机，其中，目标主机接收到第一udp报文后基于控制报文协议icmp向伪造地址发送第一端口不可达报文，检测服务器在接收到第一端口不可达报文的情况下确定目标主机未连接外网，检测服务器在未接收到第一端口不可达报文的情况下确定内网主机列表中的目标主机违规连接外网。

10、根据本发明实施例的又一方面，还提供了一种非易失性存储介质，非易失性存储介质包括存储的程序，其中，在程序运行时控制非易失性存储介质所在设备执行上述任意一项违规主机检测方法。

11、根据本发明实施例的再一方面，还提供了一种计算机设备，计算机设备包括存储器和处理器，存储器用于存储程序，处理器用于运行存储器存储的程序，其中，程序运行时执行上述任意一项违规主机检测方法。

12、在本发明实施例中，采用在内网的主机上部署扫描服务器和检测服务器的方式，通过扫描服务器向内网主机发送源ip地址为伪造的互联网地址且目的端口号为内网主机未使用的端口号的第一udp报文，内网主机接收到第一udp报文后基于控制报文协议icmp将向伪造的互联网地址发送第一端口不可达报文，当内网主机没有连接互联网时，第一端口不可达报文将被发送至伪装为互联网地址的检测服务器，当内网主机连接互联网时，第一端口不可达报文将被发送至真实的互联网地址，检测服务器无法收到第一端口不可达报文，达到了检测违规连接互联网的内网主机且第一端口不可达报文丢失情况较少的目的，从而实现了减少检测违规连接互联网的内网主机方法漏洞的技术效果，进而解决了现有技术中检测违规连接互联网的内网主机时检测装置位于外网导致检测方法存在漏洞的技术问题。

技术特征：

1.一种违规主机检测方法，其特征在于，包括：

2.根据权利要求1所述的方法，其特征在于，还包括：将所述检测服务器的所述伪造地址通告至所述内部网络中的路由转发节点，其中，所述路由转发节点根据所述伪造地址修改路由。

3.根据权利要求1所述的方法，其特征在于，所述发送内网主机列表至内部网络中的检测服务器之前，还包括：

4.一种违规主机检测方法，其特征在于，包括：

5.根据权利要求4所述的方法，其特征在于，在所述扫描服务器发送内网主机列表至检测服务器之前，还包括：

6.根据权利要求4所述的方法，其特征在于，所述确定所述内网主机列表中的所述目标主机违规连接外网之前，还包括：

7.根据权利要求4至6中任意一项所述的方法，其特征在于，所述检测服务器在确定所述内网主机列表中的所述目标主机违规连接外网的情况下，还包括：

8.一种违规主机检测装置，其特征在于，包括：

9.一种非易失性存储介质，其特征在于，所述非易失性存储介质包括存储的程序，其中，在所述程序运行时控制所述非易失性存储介质所在设备执行权利要求1至7中任意一项所述违规主机检测方法。

10.一种计算机设备，其特征在于，所述计算机设备包括存储器和处理器，所述存储器用于存储程序，所述处理器用于运行所述存储器存储的程序，其中，所述程序运行时执行权利要求1至7中任意一项所述违规主机检测方法。

技术总结
本发明公开了一种违规主机检测方法、装置和非易失性存储介质。其中，该方法包括：发送内网主机列表至内网中的检测服务器，其中，内网主机列表包括内网中至少一台目标主机，检测服务器的IP地址被伪造为互联网中存在的伪造地址；生成第一UDP报文，其中，第一UDP报文的源IP地址为伪造地址、目的IP地址为目标主机的IP地址、目的端口号为目标主机未使用的端口号；发送第一UDP报文至目标主机，其中，目标主机接收到第一UDP报文后向伪造地址发送第一端口不可达报文，检测服务器在接收到第一端口不可达报文的情况下确定目标主机未连接外网。本发明解决了现有技术中检测违规连接互联网的内网主机时检测装置位于外网导致检测方法存在漏洞的技术问题。

技术研发人员：李玮
受保护的技术使用者：中国建设银行股份有限公司江苏省分行
技术研发日：
技术公布日：2024/1/13