CN101540681A - 一种监测计算机网络联接状态的方法及系统 - Google Patents
一种监测计算机网络联接状态的方法及系统 Download PDFInfo
- Publication number
- CN101540681A CN101540681A CN200810072031A CN200810072031A CN101540681A CN 101540681 A CN101540681 A CN 101540681A CN 200810072031 A CN200810072031 A CN 200810072031A CN 200810072031 A CN200810072031 A CN 200810072031A CN 101540681 A CN101540681 A CN 101540681A
- Authority
- CN
- China
- Prior art keywords
- computer
- monitored
- client
- outer net
- monitored computer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种监测计算机网络联接状态的方法及系统,主要是在被监测计算机上安装客户端;被监测计算机的客户端定时向外网发送连接测试包,若连接成功,则判定该被监测计算机已接入外网;被监测计算机的客户端从本机网卡抓取数据包进行分析,若抓取的数据包为来自外网的数据包,则判定该被监测计算机已接入外网。本方法的安全性、及时性大大提高,可操作性强,监控效果明显,成本低。
Description
技术领域
本发明涉及计算机网络安全技术领域,具体地说是指一种监测计算机网络联接状态的方法及系统。
背景技术
监测计算机是否接入互联网,对于那些拥有涉密计算机及网络的党政军部门、拥有内部网络的公司、团体保证内部资料信息不通过互联网外泄是非常有必要的。现有技术一般是采用指定一台内联网中的计算机为监控主机,利用该主机向内联网中的其它计算机发送ICMP探测包来判断网络连接性况,发送ARP包获取MAC地址来判断是否有非授权计算机接入。
这种方法具有很大的局限性,这是因为:一,当被监控计算机离开监控主机的网络在其它位置通过其它方式接入互联网时将失去监控,当非授权计算机和监控主机不在同一个网段内时,发送ARP包获取不到真正的MAC地址;二,监控主机向被监测计算机发送数据包的时间间隔不能太长,否则被监控计算机可以在两次发送数据包之间的时间间隔里面完成外联,该时间间隔也不能太短,否则网络带宽被大量占用,容易导致网络堵塞;三,计算机的防火墙已经对这些数据包探测进行了拒绝,导致这些监控方法已经不能使用。
例如,中国专利申请02137578.X号公开了一种“利用一台计算机实现网络连接状态监测方法,该方法利用一台与外部网连接的计算机作为监测计算机,监测计算机安装有包括监管中心和监测引擎的监测系统,在监测计算机上配置内联网地址IPIn、外部网地址IPOut和路由,使监测计算机可访问所有内联网地址和外部网地址,监测计算机通过向其它内联网内的监测目标机发送检测数据包并根据返回的结果判断其网络连接状态。
再如,中国专利申请02104288.8公开了一种“内联网计算机与因特网未授权连接监测系统及方法”,它包括:在与因特网隔离的支持TCP/IP协议的内联网中设置的内网服务器,用于发送欺骗的探测网络数据到内联网内的目标计算机;连接在因特网上的外网服务器,用于接收目标计算机对探测网络数据的应答,根据是否收到应答来判断被监测的计算机是否接入因特网。
发明内容
本发明提供一种监测计算机网络联接状态的方法,其主要目的在于克服现有监测方法中当被监测计算机离开监控主机所在的内部网时将失去监控的缺点。
本发明采用如下技术方案:
一种监测计算机网络联接状态的方法,包括:在被监测计算机上安装客户端;被监测计算机的客户端定时向外网发送连接测试包,若连接成功,则判定该被监测计算机已接入外网;被监测计算机的客户端从本机网卡抓取数据包进行分析,若抓取的数据包为来自外网的数据包,则判定该被监测计算机已接入外网。
前述一种监测计算机网络联接状态的方法,还包括:被监测计算机位于内部网中,被监测计算机的客户端采集被监测计算机的MAC地址,用一台连接于该内部网的计算机作为扫描计算机,通过该扫描计算机定时扫描该内部网中的各被监测计算机,若被监测计算机没有正确应答或其客户端返回的MAC地址未被授权时,则判断该计算机为非授权接入内部网的计算机。
进一步地,所述扫描计算机发现有非授权接入内部网的计算机时,对该计算机进行ARP攻击,并向连接于外网中的一监测服务器发送警报。
前述一种监测计算机网络联接状态的方法,该被监测计算机的客户端采集被监测计算机的计算机用户信息、单位信息、主板系列号、硬盘系列号,所述被监测计算机的客户端判定该被监测计算机接入外网时,向连接于外网中的一监测服务器发送警报和该被监测计算机的计算机用户信息、单位信息、主板系列号、硬盘系列号。
该被监测计算机的客户端发送警报后,自动断开该被监测计算机与外网的连接,或自动关闭该被监测计算机,和/或被监测计算机的客户端向所述监测服务器发送警报后,由该监测服务器通过一短信发送平台将该警报以短信方式发送给监测人员的移动通信设备。
前述一种监测计算机网络联接状态的方法,该被监测计算机的客户端判定该被监测计算机接入外网时,形成上网日志,并对上网过程进行截屏,记录该被监测计算机的CPU序列号和硬盘序列号。
前述一种监测计算机网络联接状态的方法,其客户端在被监测计算机启动后自动以后台隐藏方式运行。
一种监测计算机网络联接状态系统,包括被监测计算机,该被监测计算机安装有网卡并通过网卡连接到内部网,该被监测计算机上安装有客户端,该客户端包括外网连接测试模块、网卡嗅探模块和警报发送模块,外网连接测试模块通过定时地向外网网站发送连接测试包的方式判定被监测计算机是否接入外网,网卡嗅探模块通过抓取并分析网卡接收的数据包判定被监测计算机是否接入外网,警报发送模块在被监测计算机接入外网时发送警报信息;还包括一连接于外网中的监测服务器,用于接收所述客户端警报发送模块发送的警报。
前述一种监测计算机网络联接状态系统,其客户端还包括信息采集模块,用于采集被监测计算机的MAC地址、计算机用户信息、单位信息、主板系列号和硬盘系列号,所述警报发送模块发送的警报信息包括上述信息采集模块采集的信息。
所述内部网连接有一扫描计算机,该扫描计算机定时扫描该内部网中的各被监测计算机,若被监测计算机没有正确应答或其客户端返回的MAC地址未被授权时,则判断该计算机为非授权接入内部网的计算机。
前述一种监测计算机网络联接状态系统,其客户端还包括强制断网/关机模块,用于在被监测计算机接入外网时强制断网/关机。
前述一种监测计算机网络联接状态系统,其监测服务器连接有一短信发送平台,该短信发送平台根据监测服务器发送的信息向监测人员的移动通信设备发送警报短信。
由上述对本发明结构的描述可知,和现有技术相比,本发明具有如下优点:
一,本发明采用主动跟被动相结合的监控方式,主动指的是客户端间断的连接外网,若能连上,表示已经接入了互联网;被动指的是程序在网卡上嗅探所有进入该网卡的数据包,如果解析数据包有外网发送进来的,同样表示已经接入了互联网。这两种方式结合起来,若用户恰好在两次连接外网的过程中接入外网,那依据被动方式,网卡可以嗅探到外网数据包;若用户接入外网但是暂时还什么都没有做,那依据主动的方式可以发现用户已经接入了外网。因此,依靠主动方式跟被动方式相结合,可以应对各种违规接入外网的情况,防止涉密信息尽可能短的跟外网的环境接触。
二,无论被监测计算机处于何种位置,只要被监测计算机开机,就处于被监控之中,不论被监测计算机在任何时间上网都可被监测到。
附图说明
图1为本发明系统结构示意图;
图2为本发明被监测计算机安装的客户端的工作流程图;
图3为本发明系统结构原理框图。
具体实施方式
下面参照附图说明本发明的具体实施方式。
参照图1和图3,一种监测计算机网络联接状态的系统,其主要结构包括:以单机形式存在的被监测计算机1或被监测内部网10中的被监测计算机101均安装有用于监测其是否连入外网的客户端11,被监测内部网10连接有用于监测该被监测内部网10是否有非授权接入的计算机的扫描计算机2,监测服务器4连接到互联网3,短信发送平台5与监测服务器4连接。
参照图3,被监测计算机101的客户端11包括外网连接测试模块112、网卡嗅探模块114和警报发送模块113,外网连接测试模块112通过定时地向外网网站发送连接测试包的方式判定被监测计算机101是否接入外网,网卡嗅探模块114通过抓取并分析网卡12接收的数据包判定被监测计算机101是否接入外网,警报发送模块113在被监测计算机101接入外网时发送警报信息。监测服务器4用于接收所述客户端11警报发送模块113发送的警报。
该客户端11还包括信息采集模块111和强制断网/关机模块。信息采集模块111用于采集被监测计算机101的MAC地址、计算机用户信息、单位信息、主板系列号和硬盘系列号,所述警报发送模块113发送的警报信息包括上述信息采集模块111采集的信息。强制断网/关机模块115用于在被监测计算机101接入外网时强制断网或关机。
描计算机2定时扫描该内部网10中的各被监测计算机,若被监测计算机没有正确应答或其客户端返回的MAC地址未被授权时,则判断该计算机为非授权接入内部网的计算机。
客户端11在被监测计算机101系统启动后自动以后台隐藏方式运行。该客户端11的工作流程也就是监测网络联接状态的方法,参照图2,客户端11定时向外网网站发送连接测试包(步骤S1),若连接成功(步骤S2),则判定该被监测计算机101已接入外网(步骤S5),若连接不成功,则表示未连接外网,返回步骤S1继续循环执行;客户端11从本机网卡12抓取数据包进行分析(步骤S3),若抓取的数据包为来自外网的数据包(步骤S4),则判定该被监测计算机101已接入外网(步骤S5),若非来自外网的数据包,则表示未连接外网,返回步骤S1继续循环执行。
该被监测计算机101的客户端11采集被监测计算机101的计算机用户信息、单位信息、主板系列号、硬盘系列号。当客户端判定该被监测计算机101接入外网时(步骤S5),则向连接于外网中的监测服务器4发送警报和该被监测计算机101的计算机用户信息、单位信息、主板系列号、硬盘系列号(步骤S6),然后自动断开该被监测计算机101与外网的连接,或自动关闭该被监测计算机101(步骤S7)。该监测服务器接4到警报后,通过短信发送平台5将该警报以短信方式发送给监测人员的移动通信设备。
该被监测计算机101的客户端判定该被监测计算机101接入外网时,形成上网日志,并对上网过程进行截屏,记录该被监测计算机的CPU序列号和硬盘序列号,以作为该被监测计算机101非法接入外网的证据。
另外,被监测计算机101的客户端采集被监测计算机101的MAC地址,扫描计算机2定时扫描该被监测内部网10中的各被监测计算机101,若被监测计算机101没有正确应答或其客户端返回的MAC地址未被授权时,则判断该计算机为非授权接入内部网的计算机,则对该计算机进行ARP攻击,并向连接于外网中的监测服务器4发送警报,该监测服务器接4到警报后,通过短信发送平台5将该警报以短信方式发送给监测人员的移动通信设备。
以单机形式存在的被监测计算机1的客户端的相应工作流程同上。
所述客户端软件采用svcHost技术加载程序,报警时穿透防火墙,不会被阻挡,也没有提示框。
上述仅为本发明的具体实施方式,但本发明的设计构思并不局限于此,凡利用此构思对本发明进行非实质性的改动,均应属于侵犯本发明保护范围的行为。
Claims (12)
1、一种监测计算机网络联接状态的方法,其特征在于包括:
在被监测计算机上安装客户端;
被监测计算机的客户端定时向外网发送连接测试包,若连接成功,则判定该被监测计算机已接入外网;
被监测计算机的客户端从本机网卡抓取数据包进行分析,若抓取的数据包为来自外网的数据包,则判定该被监测计算机已接入外网。
2、如权利要求1所述的一种监测计算机网络联接状态的方法,其特征在于还包括:被监测计算机位于内部网中,被监测计算机的客户端采集被监测计算机的MAC地址,用一台连接于该内部网的计算机作为扫描计算机,通过该扫描计算机定时扫描该内部网中的各被监测计算机,若被监测计算机没有正确应答或其客户端返回的MAC地址未被授权时,则判断该计算机为非授权接入内部网的计算机。
3、如权利要求2所述的一种监测计算机网络联接状态的方法,其特征在于:所述扫描计算机发现有非授权接入内部网的计算机时,对该计算机进行ARP攻击,并向连接于外网中的一监测服务器发送警报。
4、如权利要求1所述的一种监测计算机网络联接状态的方法,其特征在于:所述被监测计算机的客户端采集被监测计算机的计算机用户信息、单位信息、主板系列号、硬盘系列号,所述被监测计算机的客户端判定该被监测计算机接入外网时,向连接于外网中的一监测服务器发送警报和该被监测计算机的计算机用户信息、单位信息、主板系列号、硬盘系列号。
5、如权利要求4所述的一种监测计算机网络联接状态的方法,其特征在于:所述被监测计算机的客户端发送警报后,自动断开该被监测计算机与外网的连接,或自动关闭该被监测计算机,和/或被监测计算机的客户端向所述监测服务器发送警报后,由该监测服务器通过一短信发送平台将该警报以短信方式发送给监测人员的移动通信设备。
6、如权利要求1所述的一种监测计算机网络联接状态的方法,其特征在于:所述被监测计算机的客户端判定该被监测计算机接入外网时,形成上网日志,并对上网过程进行截屏,记录该被监测计算机的CPU序列号和硬盘序列号。
7、如权利要求1所述的一种监测计算机网络联接状态的方法,其特征在于:所述客户端在被监测计算机启动后自动以后台隐藏方式运行。
8、一种监测计算机网络联接状态系统,包括被监测计算机,该被监测计算机安装有网卡并通过网卡连接到内部网,其特征在于:
该被监测计算机上安装有客户端,该客户端包括外网连接测试模块、网卡嗅探模块和警报发送模块,外网连接测试模块通过定时地向外网网站发送连接测试包的方式判定被监测计算机是否接入外网,网卡嗅探模块通过抓取并分析网卡接收的数据包判定被监测计算机是否接入外网,警报发送模块在被监测计算机接入外网时发送警报信息;
还包括一连接于外网中的监测服务器,用于接收所述客户端警报发送模块发送的警报。
9、如权利要求8所述的一种监测计算机网络联接状态系统,其特征在于:所述客户端还包括信息采集模块,用于采集被监测计算机的MAC地址、计算机用户信息、单位信息、主板系列号和硬盘系列号,所述警报发送模块发送的警报信息包括上述信息采集模块采集的信息。
10、如权利要求8所述的一种监测计算机网络联接状态系统,其特征在于:所述内部网连接有一扫描计算机,该扫描计算机定时扫描该内部网中的各被监测计算机,若被监测计算机没有正确应答或其客户端返回的MAC地址未被授权时,则判断该计算机为非授权接入内部网的计算机。
11、如权利要求8所述的一种监测计算机网络联接状态系统,其特征在于:所述客户端还包括强制断网/关机模块,用于在被监测计算机接入外网时强制断网/关机。
12、如权利要求8所述的一种监测计算机网络联接状态系统,其特征在于:所述监测服务器连接有一短信发送平台,该短信发送平台根据监测服务器发送的信息向监测人员的移动通信设备发送警报短信。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200810072031A CN101540681A (zh) | 2008-10-28 | 2008-10-28 | 一种监测计算机网络联接状态的方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200810072031A CN101540681A (zh) | 2008-10-28 | 2008-10-28 | 一种监测计算机网络联接状态的方法及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN101540681A true CN101540681A (zh) | 2009-09-23 |
Family
ID=41123685
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN200810072031A Pending CN101540681A (zh) | 2008-10-28 | 2008-10-28 | 一种监测计算机网络联接状态的方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101540681A (zh) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103001968A (zh) * | 2012-12-14 | 2013-03-27 | 温州电力局 | 一种网络监测系统及方法 |
CN103500095A (zh) * | 2013-09-27 | 2014-01-08 | 太仓苏易信息科技有限公司 | 屏幕截图监控系统 |
CN103581936A (zh) * | 2012-07-20 | 2014-02-12 | 百度在线网络技术(北京)有限公司 | 在移动终端中用于确定网络状态的方法、装置和设备 |
CN103957133A (zh) * | 2014-04-22 | 2014-07-30 | 北京联时空网络通信设备有限公司 | 一种日志监测方法及装置 |
CN104133749A (zh) * | 2014-07-23 | 2014-11-05 | 浪潮电子信息产业股份有限公司 | 一种服务器的硬盘掉盘及硬盘乱序的验证方法 |
CN107612698A (zh) * | 2017-08-08 | 2018-01-19 | 北京中海闻达信息技术有限公司 | 一种商用密码检测方法、装置与系统 |
CN109547271A (zh) * | 2019-01-06 | 2019-03-29 | 广州泳泳信息科技有限公司 | 一种基于大数据的网络状态实时监控警报系统 |
CN110768969A (zh) * | 2019-10-14 | 2020-02-07 | 深圳Tcl数字技术有限公司 | 基于网络数据监控的测试方法、装置及可读存储介质 |
-
2008
- 2008-10-28 CN CN200810072031A patent/CN101540681A/zh active Pending
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103581936A (zh) * | 2012-07-20 | 2014-02-12 | 百度在线网络技术(北京)有限公司 | 在移动终端中用于确定网络状态的方法、装置和设备 |
CN103581936B (zh) * | 2012-07-20 | 2018-11-23 | 百度在线网络技术(北京)有限公司 | 在移动终端中用于确定网络状态的方法、装置和设备 |
CN103001968A (zh) * | 2012-12-14 | 2013-03-27 | 温州电力局 | 一种网络监测系统及方法 |
CN103500095A (zh) * | 2013-09-27 | 2014-01-08 | 太仓苏易信息科技有限公司 | 屏幕截图监控系统 |
CN103957133A (zh) * | 2014-04-22 | 2014-07-30 | 北京联时空网络通信设备有限公司 | 一种日志监测方法及装置 |
CN104133749A (zh) * | 2014-07-23 | 2014-11-05 | 浪潮电子信息产业股份有限公司 | 一种服务器的硬盘掉盘及硬盘乱序的验证方法 |
CN107612698A (zh) * | 2017-08-08 | 2018-01-19 | 北京中海闻达信息技术有限公司 | 一种商用密码检测方法、装置与系统 |
CN109547271A (zh) * | 2019-01-06 | 2019-03-29 | 广州泳泳信息科技有限公司 | 一种基于大数据的网络状态实时监控警报系统 |
CN110768969A (zh) * | 2019-10-14 | 2020-02-07 | 深圳Tcl数字技术有限公司 | 基于网络数据监控的测试方法、装置及可读存储介质 |
CN110768969B (zh) * | 2019-10-14 | 2023-10-17 | 深圳Tcl数字技术有限公司 | 基于网络数据监控的测试方法、装置及可读存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101540681A (zh) | 一种监测计算机网络联接状态的方法及系统 | |
US8331904B2 (en) | Apparatus and a security node for use in determining security attacks | |
US7316031B2 (en) | System and method for remotely monitoring wireless networks | |
Ganame et al. | A global security architecture for intrusion detection on computer networks | |
JP2003228552A (ja) | 不正侵入検出を提供するモバイル通信ネットワークのためのモバイル機器 | |
CN102035793B (zh) | 僵尸网络检测方法、装置以及网络安全防护设备 | |
CN111431864A (zh) | 车联网监控系统、方法、装置及可读存储介质 | |
JP2003527793A (ja) | ネットワークにおける、自動的な侵入検出及び偏向のための方法 | |
CN101087196A (zh) | 多层次蜜网数据传输方法及系统 | |
EP2850803A1 (en) | Integrity monitoring to detect changes at network device for use in secure network access | |
CN101257678A (zh) | 一种实现移动终端软件安全检测的方法、终端及系统 | |
JPWO2006006217A1 (ja) | 不正接続検知システム及び不正接続検知方法 | |
CN105681272A (zh) | 一种移动终端钓鱼WiFi的检测与抵御方法 | |
CN110191102B (zh) | 一种非法外联综合监控系统及其方法 | |
Schmoyer et al. | Wireless intrusion detection and response: a classic study using main-in-the-middle attack | |
CN107864128B (zh) | 基于网络行为的扫描检测方法、装置、可读存储介质 | |
CN109587156A (zh) | 异常网络访问连接识别与阻断方法、系统、介质和设备 | |
CN101034976B (zh) | Ip连接安全系统中的入侵检测设备 | |
CN112565300B (zh) | 基于行业云黑客攻击识别与封堵方法、系统、装置及介质 | |
CN103139219B (zh) | 基于可信交换机的生成树协议的攻击检测方法 | |
CN102469098A (zh) | 信息安全防护主机 | |
CN1176421C (zh) | 内联网计算机与因特网未授权连接监测系统及方法 | |
CN106209867B (zh) | 一种高级威胁防御方法及系统 | |
CN105049444A (zh) | 对浏览器用户登录进行控制的方法和客户端 | |
CN1332312C (zh) | 利用一台内联网计算机实现封闭网络连接状态监测方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C12 | Rejection of a patent application after its publication | ||
RJ01 | Rejection of invention patent application after publication |
Open date: 20090923 |