CN107276979A - 一种自动检测终端设备内外网互联行为的方法 - Google Patents

一种自动检测终端设备内外网互联行为的方法 Download PDF

Info

Publication number
CN107276979A
CN107276979A CN201710281767.XA CN201710281767A CN107276979A CN 107276979 A CN107276979 A CN 107276979A CN 201710281767 A CN201710281767 A CN 201710281767A CN 107276979 A CN107276979 A CN 107276979A
Authority
CN
China
Prior art keywords
terminal device
request
extranet
intranet
browser
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201710281767.XA
Other languages
English (en)
Other versions
CN107276979B (zh
Inventor
傅如毅
姚龙飞
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhejiang Yuanwang Information Co Ltd
Original Assignee
Zhejiang Yuanwang Information Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhejiang Yuanwang Information Co Ltd filed Critical Zhejiang Yuanwang Information Co Ltd
Priority to CN201710281767.XA priority Critical patent/CN107276979B/zh
Publication of CN107276979A publication Critical patent/CN107276979A/zh
Application granted granted Critical
Publication of CN107276979B publication Critical patent/CN107276979B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明网络信息安全的技术领域,公开了一种自动检测终端设备内外网互联行为的方法,通过在交换机旁路部署网关设备实现终端设备内外网互联行为的监测。用户在终端设备访问任意应用系统时,网关设备会通过特定命令欺骗终端“应用系统已迁移”,同时告诉终端设备应用系统在互联网的某个服务器上,终端设备此时会向互联网服务器发起访问,一旦互联网服务器能够接收到此连接,即说明终端设备内外网互联,迅速报警,避免重要信息泄漏,加强了信息安全,防止出现互联网黑客入侵内网的情况,具有发现准确性高、入侵少、影响低的特点。

Description

一种自动检测终端设备内外网互联行为的方法
【技术领域】
本发明涉及网络信息安全的技术领域,特别涉及一种自动检测终端设备内外网互联行为的方法。
【背景技术】
互联网信息的飞速发展,给人们的生活带来方便快捷,但也随着信息化发展的不断深入,政府机关及企事业单位的内网面临的安全挑战也越来越严峻。据近些年安全事件统计情况发现,内网上各类违规接入、非法互联、信息泄露等行为愈演愈烈,埋下了众多安全隐患,尤其是内外网互联网行为,严重的甚至可能导致内网被互联网黑客、境外情报机构等直接入侵破坏,发生不可逆转的危害,为了解决以上问题,加强网络信息安全,有必要提出一种自动检测终端设备内外网互联行为的方法。
【发明内容】
本发明的目的在于克服上述现有技术的不足,提供一种自动检测终端设备内外网互联行为的方法,其旨在解决现有技术中内网上各类违规接入、非法互联、信息泄露频发,导致信息、情报等重要信息泄漏的技术问题。
为实现上述目的,本发明提出了一种自动检测终端设备内外网互联行为的方法,其基于在交换机旁路部署一网关设备,具体步骤如下:
S1、用户在终端设备上通过浏览器访问应用系统;
S2、浏览器向服务器发起TCP连接请求;
S3、网关设备捕获TCP连接请求,向浏览器发送一个资源重定向命令,并且告诉应用系统的新地址;
S4、浏览器接收到资源重定向命令,再次向应用系统的新地址发起访问请求,如果浏览器能请求到新地址,则转至步骤S5;如果浏览器不能请求到新地址,请求终止;
S5、互联网服务器收到请求后,网关设备从请求中捕获发起者的IP地址,从而定位该内外网互联的终端设备,并返回至一个无效资源,立即报警。
作为优选,所述的步骤S3的具体步骤如下:
1)网关设备捕获TCP连接请求;
2)驱动层协议过滤,并检测是否有HTTP协议存在,若有HTTP协议存在则转至步骤3);若没有HTTP协议存在则处理下一个数据包,如果没有流量所有数据包被处理完毕后停止工作;
3)对请求的数据包进行预处理;
4)网关设备检测预处理后的数据是否为图片资源请求,若是图片资源请求,则网关设备伪造应用系统向浏览器发送一个资源重定向命令;若不是图片资源请求则处理下一个数据包,如果没有流量所有数据包处理完毕后停止工作。
作为优选,所述的步骤S3中资源重定向命令为301重定向命令。
作为优选,所述的步骤S3中应用系统的新地址在互联网上。
本发明的有益效果:与现有技术相比,本发明提供的一种自动检测终端设备内外网互联行为的方法,通过在交换机旁路部署网关设备实现终端设备内外网互联行为的监测。用户在终端设备访问任意应用系统时,网关设备会通过特定命令欺骗终端“应用系统已迁移”,同时告诉终端设备应用系统在互联网的某个服务器上,终端设备此时会向互联网服务器发起访问,一旦互联网服务器能够接收到此连接,即说明终端设备内外网互联,迅速报警,避免重要信息泄漏,加强了信息安全,防止出现互联网黑客入侵内网的情况。本方法采用的技术路线从原理上保证了内外网互联行为发现的准确性,能够实现零误报,准确性高;相比客户端技术,基于流量分析和扫描的技术特性,对用户网络的侵入较少,对用户的影响降到最低;一个网页有大量资源构成,本方法仅对网页中的一个资源进行重定向,且一段时间内仅处理一次,对用户的应用不产生干扰,影响低。
本发明的特征及优点将通过实施例结合附图进行详细说明。
【附图说明】
图1是本发明实施例一种自动检测终端设备内外网互联行为的方法的流程图。
【具体实施方式】
为使本发明的目的、技术方案和优点更加清楚明了,下面通过附图及实施例,对本发明进行进一步详细说明。但是应该理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限制本发明的范围。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本发明的概念。
参阅图1,本发明实施例提供一种自动检测终端设备内外网互联行为的方法,其基于在交换机旁路部署一网关设备,具体步骤如下:
S1、用户在终端设备上通过浏览器访问应用系统。
S2、浏览器向服务器发起TCP连接请求。
S3、网关设备捕获TCP连接请求,向浏览器发送一个301重定向命令,并且告诉应用系统的新地址,所述的应用系统的新地址在互联网上。
其中,步骤S3的具体步骤如下:
1)网关设备捕获TCP连接请求。
2)驱动层协议过滤,并检测是否有HTTP协议存在,若有HTTP协议存在则转至步骤3);若没有HTTP协议存在则处理下一个数据包,如果没有流量所有数据包被处理完毕后停止工作。
3)对请求的数据包进行预处理。
4)网关设备检测预处理后的数据是否为图片资源请求,若是图片资源请求,则网关设备伪造应用系统向浏览器发送一个301重定向命令;若不是图片资源请求则处理下一个数据包,如果没有流量所有数据包处理完毕后停止工作。
S4、浏览器接收到资源重定向命令,再次向应用系统的新地址发起访问请求,如果浏览器能请求到新地址,则转至步骤S5;如果浏览器不能请求到新地址,请求终止。
S5、互联网服务器收到请求后,网关设备从请求中捕获发起者的IP地址,从而定位该内外网互联的终端设备,并返回至一个无效资源,立即报警。
在本发明实施例中,如果浏览器能请求到新地址,则表示终端设备内外网都连接,如果浏览器不能请求到新地址,则表示终端设备未连接外网。
本发明提供的一种自动检测终端设备内外网互联行为的方法,通过在交换机旁路部署网关设备实现终端设备内外网互联行为的监测。用户在终端设备访问任意应用系统时,网关设备会通过特定命令欺骗终端“应用系统已迁移”,同时告诉终端设备应用系统在互联网的某个服务器上,终端设备此时会向互联网服务器发起访问,一旦互联网服务器能够接收到此连接,即说明终端设备内外网互联,迅速报警,避免重要信息泄漏,加强了信息安全,防止出现互联网黑客入侵内网的情况。
本发明一种自动检测终端设备内外网互联行为的方法具有以下优点:
准确性高:采用的技术路线从原理上保证了内外网互联行为发现的准确性,能够实现零误报,准确性高。
入侵少:相比客户端技术,基于流量分析和扫描的技术特性,对用户网络的侵入较少,对用户的影响降到最低。
影响低:一个网页有大量资源构成,本方法仅对网页中的一个资源进行重定向,且一段时间内仅处理一次,对用户的应用不产生干扰。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换或改进等,均应包含在本发明的保护范围之内。

Claims (4)

1.一种自动检测终端设备内外网互联行为的方法,其基于在交换机旁路部署一网关设备,其特征在于:具体步骤如下:
S1、用户在终端设备上通过浏览器访问应用系统;
S2、浏览器向服务器发起TCP连接请求;
S3、网关设备捕获TCP连接请求,向浏览器发送一个资源重定向命令,并且告诉应用系统的新地址;
S4、浏览器接收到资源重定向命令,再次向应用系统的新地址发起访问请求,如果浏览器能请求到新地址,则转至步骤S5;如果浏览器不能请求到新地址,请求终止;
S5、互联网服务器收到请求后,网关设备从请求中捕获发起者的IP地址,从而定位该内外网互联的终端设备,并返回至一个无效资源,立即报警。
2.如权利要求1所述的一种自动检测终端设备内外网互联行为的方法,其特征在于:所述的步骤S3的具体步骤如下:
1)网关设备捕获TCP连接请求;
2)驱动层协议过滤,并检测请求的数据包是否有HTTP协议存在,若有HTTP协议存在则转至步骤3);若没有HTTP协议存在则处理下一个数据包,如果没有流量所有数据包被处理完毕后停止工作;
3)对请求的数据包进行预处理;
4)网关设备检测预处理后的数据是否为图片资源请求,若是图片资源请求,则网关设备伪造应用系统向浏览器发送一个资源重定向命令;若不是图片资源请求则处理下一个数据包,如果没有流量所有数据包处理完毕后停止工作。
3.如权利要求1所述的一种自动检测终端设备内外网互联行为的方法,其特征在于:所述的步骤S3中资源重定向命令为301重定向命令。
4.如权利要求1所述的一种自动检测终端设备内外网互联行为的方法,其特征在于:所述的步骤S3中应用系统的新地址在互联网上。
CN201710281767.XA 2017-04-26 2017-04-26 一种自动检测终端设备内外网互联行为的方法 Active CN107276979B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710281767.XA CN107276979B (zh) 2017-04-26 2017-04-26 一种自动检测终端设备内外网互联行为的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710281767.XA CN107276979B (zh) 2017-04-26 2017-04-26 一种自动检测终端设备内外网互联行为的方法

Publications (2)

Publication Number Publication Date
CN107276979A true CN107276979A (zh) 2017-10-20
CN107276979B CN107276979B (zh) 2021-03-05

Family

ID=60074025

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710281767.XA Active CN107276979B (zh) 2017-04-26 2017-04-26 一种自动检测终端设备内外网互联行为的方法

Country Status (1)

Country Link
CN (1) CN107276979B (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109413097A (zh) * 2018-11-30 2019-03-01 深信服科技股份有限公司 一种非法外联检测方法、装置、设备及存储介质
CN112153237A (zh) * 2019-06-27 2020-12-29 山东华软金盾软件股份有限公司 一种水印网关的保护方法及系统
CN112702234A (zh) * 2020-12-22 2021-04-23 杭州迪普科技股份有限公司 一种多网络连接设备的识别方法及装置
CN114401119A (zh) * 2021-12-27 2022-04-26 中国电信股份有限公司 一种内外网互联的检测方法、装置、系统及可读存储介质
CN116155549A (zh) * 2022-12-23 2023-05-23 武汉雨滴科技有限公司 终端外联检测方法、装置、电子设备及存储介质

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1744515A (zh) * 2005-09-26 2006-03-08 深圳市深信服电子科技有限公司 一种在网关、网桥上实现用户安全接入外网的方法
CN102769618A (zh) * 2012-07-18 2012-11-07 北京星网锐捷网络技术有限公司 Web访问处理方法、网络设备及通信系统
US20130205004A1 (en) * 2012-02-03 2013-08-08 TrueMaps LLC Apparatus and Method to Retrieve and Store Link Results for Later Viewing
CN104092593A (zh) * 2014-07-31 2014-10-08 王征 基于内外网识别器实现的智能终端自动识别的内外网自动接入系统及其接入方法
CN104243506A (zh) * 2013-06-06 2014-12-24 中兴通讯股份有限公司 浏览器重定向方法及装置
CN104580516A (zh) * 2015-01-24 2015-04-29 陈为人 基于web网站家庭网关系统的内外网切换方法和装置
CN106302501A (zh) * 2016-08-27 2017-01-04 浙江远望信息股份有限公司 一种实时发现跨网络通信行为的方法

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1744515A (zh) * 2005-09-26 2006-03-08 深圳市深信服电子科技有限公司 一种在网关、网桥上实现用户安全接入外网的方法
US20130205004A1 (en) * 2012-02-03 2013-08-08 TrueMaps LLC Apparatus and Method to Retrieve and Store Link Results for Later Viewing
CN102769618A (zh) * 2012-07-18 2012-11-07 北京星网锐捷网络技术有限公司 Web访问处理方法、网络设备及通信系统
CN104243506A (zh) * 2013-06-06 2014-12-24 中兴通讯股份有限公司 浏览器重定向方法及装置
CN104092593A (zh) * 2014-07-31 2014-10-08 王征 基于内外网识别器实现的智能终端自动识别的内外网自动接入系统及其接入方法
CN104580516A (zh) * 2015-01-24 2015-04-29 陈为人 基于web网站家庭网关系统的内外网切换方法和装置
CN106302501A (zh) * 2016-08-27 2017-01-04 浙江远望信息股份有限公司 一种实时发现跨网络通信行为的方法

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109413097A (zh) * 2018-11-30 2019-03-01 深信服科技股份有限公司 一种非法外联检测方法、装置、设备及存储介质
CN112153237A (zh) * 2019-06-27 2020-12-29 山东华软金盾软件股份有限公司 一种水印网关的保护方法及系统
CN112702234A (zh) * 2020-12-22 2021-04-23 杭州迪普科技股份有限公司 一种多网络连接设备的识别方法及装置
CN114401119A (zh) * 2021-12-27 2022-04-26 中国电信股份有限公司 一种内外网互联的检测方法、装置、系统及可读存储介质
CN116155549A (zh) * 2022-12-23 2023-05-23 武汉雨滴科技有限公司 终端外联检测方法、装置、电子设备及存储介质
CN116155549B (zh) * 2022-12-23 2023-12-29 武汉雨滴科技有限公司 终端外联检测方法、装置、电子设备及存储介质

Also Published As

Publication number Publication date
CN107276979B (zh) 2021-03-05

Similar Documents

Publication Publication Date Title
CN107276979A (zh) 一种自动检测终端设备内外网互联行为的方法
US8984630B2 (en) System and method for preventing web frauds committed using client-scripting attacks
US7730536B2 (en) Security perimeters
CN107317818B (zh) 一种基于dns劫持技术的网络曾联探测方法
CN111556061B (zh) 网络伪装方法、装置、设备及计算机可读存储介质
WO2017004947A1 (zh) 防止域名劫持的方法和装置
CN107493576B (zh) 用于确定无线接入点的安全信息的方法与设备
CN101873332B (zh) 一种基于代理服务器的web认证方法和设备
CN104253785B (zh) 危险网址识别方法、装置及系统
CN106302501A (zh) 一种实时发现跨网络通信行为的方法
CN108605227A (zh) 移动感知入侵检测系统
CN110830516B (zh) 一种网络访问方法、装置、网络控制设备及存储介质
CN105681259A (zh) 一种开放授权方法、装置及开放平台
Zulkifli et al. Live Forensics Method for Analysis Denial of Service (DOS) Attack on Routerboard
CN106888184A (zh) 移动终端支付类应用程序安全支付方法及装置
CN107172006B (zh) 检测无线网络恶意性的方法及装置
CN107707569A (zh) Dns请求处理方法及dns系统
CN104125213A (zh) 一种防火墙抗分布式拒绝服务ddos攻击的方法和装置
CN107360178A (zh) 一种使用白名单控制网络访问的方法
CN106789882A (zh) 一种域名请求攻击的防御方法及系统
Etemad et al. Real-time botnet command and control characterization at the host level
CN106506675A (zh) 一种页面重定向方法及装置
Doughty et al. Vulnerability analysis of ip cameras using arp poisoning
CN110198298A (zh) 一种信息处理方法、装置及存储介质
CN106817697B (zh) 一种用于设备认证的方法、装置和系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant