一种基于JS缓存劫持技术发现内网设备违规外联的方法与流程

【】本发明涉及内网设备违规外联检测的，特别是一种基于js缓存劫持技术发现内网设备违规外联的。

背景技术

0、
背景技术：

1、很多政企机关单位为了信息安全规定内部网络禁止接入互联网。但是目前相关领域的检测技术有限。传统的检测方法是在终端电脑上安装监测软件以实现违规外联监测。但该方法中监测软件的安装覆盖率尤为重要，安装率较低时监测效果会大打折扣。为解决以上问题，有必要提出一种基于js缓存劫持技术发现内网设备违规外联的方法。

技术实现思路

0、
技术实现要素：

1、本发明的目的就是解决现有技术中的问题，提出一种基于js缓存劫持技术发现内网设备违规外联的方法，通过劫持流量中的js请求对访问相关服务器的终端设备进行违规外联检测，同时利用缓存技术达到不影响终端正常访问的目的，借助部署在互联网上告警平台，根据联通情况检测内网设备违规外联的情况，能在内网不依赖客户端软件进行违规外联检测，解决使用现有技术在部分场景下无法发现内网设备违规外联的问题。

2、为实现上述目的，本发明提出了一种基于js缓存劫持技术发现内网设备违规外联的方法，包括以下步骤：

3、s1：在互联网上部署告警服务器，用于接收违规外联告警；

4、s2：在内网核心交换旁部署探针设备，并配置管理口及镜像观察口，将核心交换上的所有流量镜像至探针设备的镜像观察口；

5、s3：探针设备从镜像观察口缓存流量中出现的js请求的响应数据；

6、s4：探针设备修改已缓存的js响应，在每个脚本的末尾增加script标签，内容为互联网告警服务器的url地址；

7、s5：探针设备匹配劫持镜像流量中出现的js请求，根据tcp/ip信息伪造响应头后将缓存中对应修改后的js脚本从管理口发送至请求发起的终端电脑；

8、s6：终端电脑收到并执行收到的修改后的js后，尝试连接js脚本中增加的script外链；

9、s7：若互联网告警服务器接收到告警接口的连接，则表示内网终端电脑能访问互联网，即存在违规外联行为。

10、作为优选，所述步骤s2的内网核心交换上设置有内网终端网络环境和网口状态实时检测插件，若发现终端电脑内网异常状态，将异常信息发送到内网核心进行醒目提示。

11、作为优选，所述步骤s3的探针设备上数据连接有双活存储设备，所述双活存储设备上设置有外置数据接口。

12、作为优选，所述步骤s4中的探针设备设置有自动检测周期。

13、作为优选，所述步骤s7互联网告警服务器接收到告警接口的连接，对终端电脑进行即时断网处理。

14、作为优选，所述步骤s2在内网核心交换上设置有历史操作记录数据库。

15、本发明的有益效果：本发明通过劫持流量中的js请求对访问相关服务器的终端设备进行违规外联检测，同时利用缓存技术达到不影响终端正常访问的目的，借助部署在互联网上告警平台，根据联通情况检测内网设备违规外联的情况，能在内网不依赖客户端软件进行违规外联检测，解决使用现有技术在部分场景下无法发现内网设备违规外联的问题。

16、本发明的特征及优点将通过实施例结合附图进行详细说明。

技术特征：

1.一种基于js缓存劫持技术发现内网设备违规外联的方法，其特征在于：包括以下步骤：

2.如权利要求1所述的一种基于js缓存劫持技术发现内网设备违规外联的方法，其特征在于：所述步骤s2的内网核心交换上设置有内网终端网络环境和网口状态实时检测插件，若发现终端电脑内网异常状态，将异常信息发送到内网核心进行醒目提示。

3.如权利要求1所述的一种基于js缓存劫持技术发现内网设备违规外联的方法，其特征在于：所述步骤s3的探针设备上数据连接有双活存储设备，所述双活存储设备上设置有外置数据接口。

4.如权利要求1所述的一种基于js缓存劫持技术发现内网设备违规外联的方法，其特征在于：所述步骤s4中的探针设备设置有自动检测周期。

5.如权利要求1所述的一种基于js缓存劫持技术发现内网设备违规外联的方法，其特征在于：所述步骤s7互联网告警服务器接收到告警接口的连接，对终端电脑进行即时断网处理。

6.如权利要求1所述的一种基于js缓存劫持技术发现内网设备违规外联的方法，其特征在于：所述步骤s2在内网核心交换上设置有历史操作记录数据库。

技术总结
本发明公开了一种基于JS缓存劫持技术发现内网设备违规外联的方法，通过劫持流量中的JS请求对访问相关服务器的终端设备进行违规外联检测，同时利用缓存技术达到不影响终端正常访问的目的，借助部署在互联网上告警平台，根据联通情况检测内网设备违规外联的情况，能在内网不依赖客户端软件进行违规外联检测，解决使用现有技术在部分场景下无法发现内网设备违规外联的问题。

技术研发人员：金张强,高炳权,范文天,郑煜凡,邵森龙,庞卓
受保护的技术使用者：浙江远望信息股份有限公司
技术研发日：
技术公布日：2024/2/1