CN109413097A - 一种非法外联检测方法、装置、设备及存储介质 - Google Patents
一种非法外联检测方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN109413097A CN109413097A CN201811458648.8A CN201811458648A CN109413097A CN 109413097 A CN109413097 A CN 109413097A CN 201811458648 A CN201811458648 A CN 201811458648A CN 109413097 A CN109413097 A CN 109413097A
- Authority
- CN
- China
- Prior art keywords
- host
- request message
- message
- redirection
- external connection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明公开了一种非法外联检测方法,应用于部署于内网链路上的探针设备,该方法包括以下步骤:在监测到内网链路上存在第一主机发起的对HTTP业务服务器的第一请求报文时,如果确定第一主机符合非法外联检测条件,则生成重定向请求报文,重定向请求报文至少包含指向部署在互联网的外网监听服务器的http重定向信息;将重定向请求报文发送给第一主机,以使外网监听服务器在接收到第一主机发送的第二请求报文时,确定第一主机为非法外联主机。应用本发明实施例所提供的技术方案,减少了对内网网络环境及内网正常业务的运行的影响,提高了内网安全性。本发明还公开了一种非法外联检测装置、设备及存储介质,具有相应技术效果。
Description
技术领域
本发明涉及计算机应用技术领域,特别是涉及一种非法外联检测方法、装置、设备及存储介质。
背景技术
随着计算机技术的快速发展,网络的发展速度越来越快,网络的安全性受到越来越高的关注。出于安全考虑,企事业单位会对员工的上网行为进行监控及限制。在有些场景下,如生产网、办公网、专网等,因安全规范或防泄密等要求,会禁止内网主机连接互联网,需要上网的数据往往会通过前置机或堡垒机之类的安全交换设备进行数据交换。还有些场景会配置统一上网环境,内网主机在经过验证后可依靠统一出口进行上网,在出口存在监听或管控。除上述上网方式外,内网一些主机可能存在非法外联行为。
外联,是指从内网连接到互联网。非法外联,是指未授权的设备通过非法架设第三方上网通道(如私接WIFI、移动热点、私自代理服务器等),连入互联网。非法外联行为容易因暴露面直接暴露到互联网而被利用,给内网带来安全隐患。
目前,对于非法外联的检测主要是通过在内网链路上部署扫描服务器,在外网(互联网)上部署监听服务器,扫描服务器对内网全部主机发起伪造的源IP的扫描探测包,伪造的源IP为监听服务器的IP地址,主机收到扫描探测包后,向伪造的源IP回复报文,如果有非法通道,则会传递到监听服务器中,监听服务器根据访问信息来识别哪些主机为非法外联主机。
这种方法存在一定的缺点,扫描服务器主动向内网全部主机发送扫描探测包,会占用内网带宽,而且存在被误报为攻击的可能,如使用ARP探测方式,容易形成ARP风暴,影响内网网络环境及内网正常业务的运行。
发明内容
本发明的目的是提供一种非法外联检测方法、装置、设备及存储介质,以减少对内网网络环境及内网正常业务的运行的影响,提高内网安全性。
为解决上述技术问题,本发明提供如下技术方案:
一种非法外联检测方法,应用于探针设备,所述探针设备部署于内网链路上,所述方法包括:
在监测到所述内网链路上存在第一主机发起的对HTTP业务服务器的第一请求报文时,确定所述第一主机是否符合非法外联检测条件;
如果是,则生成重定向请求报文,所述重定向请求报文至少包含指向部署在互联网的外网监听服务器的http重定向信息;
将所述重定向请求报文发送给所述第一主机,以使所述外网监听服务器在接收到所述第一主机发送的第二请求报文时,确定所述第一主机为非法外联主机。
在本发明的一种具体实施方式中,在确定所述第一主机符合非法外联检测条件时,在所述生成重定向请求报文之前,还包括:
构造第一重置报文;
将所述第一重置报文发送给所述HTTP业务服务器,以使所述HTTP业务服务器结束同所述第一主机的会话。
在本发明的一种具体实施方式中,所述生成重定向请求报文,包括:
截取所述HTTP业务服务器返回的基于所述第一请求报文的响应报文;
对所述响应报文进行修改,生成重定向请求报文。
在本发明的一种具体实施方式中,在所述将所述重定向请求报文发送给所述第一主机之后,还包括:
如果监测到所述内网链路上存在所述第一主机发起的所述第二请求报文,则将所述第二请求报文做丢弃处理,或者,构造第二重置报文,将所述第二重置报文发送给所述第一主机,以使所述第一主机结束同所述外网监听服务器的会话。
在本发明的一种具体实施方式中,所述http重定向信息至少包括所述外网监听服务器的链接地址和所述第一主机的标识。
一种非法外联检测装置,应用于探针设备,所述探针设备部署于内网链路上,所述装置包括:
是否检测确定模块,用于在监测到所述内网链路上存在第一主机发起的对HTTP业务服务器的第一请求报文时,确定所述第一主机是否符合非法外联检测条件;如果是,则触发重定向请求报文生成模块;
所述重定向请求报文生成模块,用于生成重定向请求报文,所述重定向请求报文至少包含指向部署在互联网的外网监听服务器的http重定向信息;
重定向请求报文发送模块,用于将所述重定向请求报文发送给所述第一主机,以使所述外网监听服务器在接收到所述第一主机发送的第二请求报文时,确定所述第一主机为非法外联主机。
在本发明的一种具体实施方式中,还包括重置报文发送模块,用于:
在确定所述第一主机符合非法外联检测条件时,在所述生成重定向请求报文之前,构造第一重置报文;
将所述第一重置报文发送给所述HTTP业务服务器,以使所述HTTP业务服务器结束同所述第一主机的会话。
在本发明的一种具体实施方式中,所述重定向请求报文生成模块,具体用于:
截取所述HTTP业务服务器返回的基于所述第一请求报文的响应报文;
对所述响应报文进行修改,生成重定向请求报文。
在本发明的一种具体实施方式中,还包括第二请求报文处理模块,用于:
在所述将所述重定向请求报文发送给所述第一主机之后,如果监测到所述内网链路上存在所述第一主机发起的所述第二请求报文,则将所述第二请求报文做丢弃处理,或者,构造第二重置报文,将所述第二重置报文发送给所述第一主机,以使所述第一主机结束同所述外网监听服务器的会话。
一种探针设备,所述探针设备部署于内网链路上,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现上述任一项所述非法外联检测方法的步骤。
一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述任一项所述非法外联检测方法的步骤。
应用本发明实施例所提供的技术方案,部署于内网链路的探针设备在监测到内网链路上存在第一主机发起的对HTTP业务服务器的第一请求报文时,如果确定第一主机符合非法外联检测条件,则生成重定向请求报文,该重定向请求报文至少包含指向部署在互联网的外网监听服务器的http重定向信息,将重定向请求报文发送给第一主机,这样外网监听服务器在接收到第一主机发送的第二请求报文时,可以确定第一主机为非法外联主机。通过探针设备在主机发起对HTTP业务服务器的访问请求时对主机进行非法外联检测,避免大量发包和流量占用,减少了对内网网络环境及内网正常业务的运行的影响,提高了内网安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例中一种非法外联检测方法的实施流程图;
图2为本发明实施例中主机正常访问HTTP业务服务器过程示意图;
图3为本发明实施例中对主机进行非法外联检测过程示意图;
图4为本发明实施例中一种非法外联检测装置的结构示意图;
图5为本发明实施例中一种探针设备的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面结合附图和具体实施方式对本发明作进一步的详细说明。显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的核心是提供一种非法外联检测方法,该方法应用于探针设备,该探针设备部署于内网链路上。探针设备为一种旁路部署方式的流量采集设备,一般用于态势感知产品进行采集分析,能识别流量访问中的五元组信息、应用/协议信息等。态势感知是一种基于环境的、动态的、整体地洞悉安全风险的能力,是以安全大数据为基础,从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式,最终是为了决策与行动,是安全能力的落地。现指带感知能力的安全防护设备。在本发明实施例中,探针设备具体可以为态势感知探针设备。
参见图1所示,为本发明实施例所提供的一种非法外联检测方法的实施流程图,该方法可以包括以下步骤:
S110:在监测到内网链路上存在第一主机发起的对HTTP业务服务器的第一请求报文时,确定第一主机是否符合非法外联检测条件。
如图2所示,在实际应用环境下,内网中可以有多个主机,如第一主机和第二主机,主机在有工作需要时,可以向内部的HTTP业务服务器发起http请求,如线条1所示,http请求经过内网核心设备,如核心交换机或者网关等到达HTTP业务服务器,如线条2所示,HTTP业务服务器根据http请求情况做出响应,如线条3所示,响应流量经过内网核心设备到达发起访问的主机,如线条4所示。即图2中线条1、2、3、4示出了主机正常访问HTTP业务服务器的过程。
在本发明实施例中,HTTP业务服务器为使用http协议的服务器,如OA服务器,或者其他办公系统服务器。探针设备部署于内网链路上,可以与内网核心设备连接,采集内网链路上的请求流量,如图2所示。
当第一主机向HTTP业务服务器发起第一请求报文时,第一请求报文将通过内网核心设备转发,探针设备在内网核心设备上即可监测到该第一请求报文。探针设备在监测到内网链路上存在第一主机发起的对HTTP业务服务器的第一请求报文时,可以先确定第一主机是否符合非法外联检测条件。第一主机为内网中任意一个主机。
可以根据实际情况预先设定非法外联检测条件,如针对第一主机,如果在设定时长内未对其进行过非法外联检测,即可认为第一主机符合非法外联检测条件,或者,检测到第一主机非授权主机即认为第一主机符合非法外联检测条件,或者,在上述两种情况均满足的情况下,认为第一主机符合非法外联检测条件。
如果确定第一主机符合非法外联检测条件,则继续执行步骤S120的操作,对第一主机进行非法外联检测。如果确定第一主机不符合非法外联检测条件,则不做任何操作,以避免影响第一主机的正常业务的运行。
S120:生成重定向请求报文。
重定向请求报文至少包含指向部署在互联网的外网监听服务器的http重定向信息。
在本发明实施例中,在监测到内网链路上存在第一主机发起的对HTTP业务服务器的第一请求报文,且确定第一主机符合非法外联检测条件时,可以生成重定向请求报文。重定向请求报文中至少包含指向外网监听服务器的http重定向信息。外网监听服务器部署于互联网中,如图2所示。http重定向信息至少包括外网监听服务器的链接地址和第一主机的标识,如第一主机的内网IP地址、第一主机的定位标识等。
其中,重定向请求报文的URL及协议版本信息等,均要与第一主机发起的第一请求报文中的一致。在重定向请求报文的头部可以增加Location字段,字段内容可为:http://www.test.com/test.php?ID=态势感知唯一标识&IP=第一主机的内网IP地址&mac=第一主机的定位标识,http://www.test.com/test.php为外网监听服务器的链接地址,态势感知唯一标识可以根据实际情况进行设定,针对不同态势感知环境可以设定不同ID。重定向请求报文可以设置为临时重定向,如设置返回状态码为302,避免影响主机其他时间的正常工作。
在实际应用中,探针设备可以直接嵌入到网络的防火墙等设备中,这样在监测到第一请求报文,且确定第一主机符合非法外联检测条件时,可以先阻断内网核心设备将第一请求报文转发给HTTP业务服务器,直接构造一个重定向请求报文。或者,不阻断内网核心设备将第一请求报文转发给HTTP业务服务器,而是截取HTTP业务服务器返回的基于第一请求报文的响应报文,对响应报文进行修改,生成重定向请求报文。这样可以避免第一主机接收到HTTP业务服务器返回的正常的响应报文,而影响非法外联检测的进行。
S130:将重定向请求报文发送给第一主机,以使外网监听服务器在接收到第一主机发送的第二请求报文时,确定第一主机为非法外联主机。
在步骤S120,生成的重定向请求报文中至少包含指向外网监听服务器的http重定向信息。将重定向请求报文通过内网核心设备发送给第一主机。
第一主机接收到重定向请求报文后,如果其具有到互联网的非法通道,则在检测到重定向链接地址为外网地址时,会直接通过该非法通道访问互联网,发起对重定向链接地址,即外网监听服务器的访问请求。外网监听服务器如果接收到第一主机发送的第二请求报文,则表明第一主机是通过非法通道连接的互联网,可以确定第一主机为非法外联主机。同时,外网监听服务器通过解析第二请求报文,可以获得第一主机的标识等信息,从而确定第一主机具体为内网的哪个主机。外网监听服务器在确定第一主机为非法外联主机后,可以输出告警信息。或者将告警信息下发到预设的态势感知平台,在平台上关联告警。以使运维人员及时对非法外联主机进行处理。
如果第一主机没有到互联网的非法通道,则在检测到重定向链接地址为外网地址时,发起的对重定向链接地址,即外网监听服务器的访问请求会经过内网核心设备,不会通过独立的出口出去。
在本发明的一种具体实施方式中,探针设备将重定向请求报文发送给第一主机之后,如果监测到内网链路上存在第一主机发起的第二请求报文,则将第二请求报文做丢弃处理,或者,构造第二重置报文,将第二重置报文发送给第一主机,以使第一主机结束同外网监听服务器的会话。
在本发明实施例中,第一主机没有到互联网的非法通道,其接收到重定向请求报文后,发起对外网监听服务器的第二请求报文会经过内网核心设备。探针设备通过内网核心设备可以监测到该第二请求报文。如果监测到该第二请求报文,探针设备可以将第二请求报文做丢弃处理,或者,可以构造第二重置报文,该第二重置报文无需三次握手或重置会话,将第二重置报文发送给第一主机,以使第一主机结束同外网监听服务器的会话,避免误判。
第一主机的办公人员因无法访问到HTTP业务服务器,会重新刷新请求,探针设备监测到该访问请求后,确定刚对第一主机执行过非法外联检测,第一主机不符合非法外联检测条件,不再进行重定向,该访问请求可以正常到达HTTP业务服务器,从而第一主机正常进行业务。
应用本发明实施例所提供的方法,部署于内网链路的探针设备在监测到内网链路上存在第一主机发起的对HTTP业务服务器的第一请求报文时,如果确定第一主机符合非法外联检测条件,则生成重定向请求报文,该重定向请求报文至少包含指向部署在互联网的外网监听服务器的http重定向信息,将重定向请求报文发送给第一主机,这样外网监听服务器在接收到第一主机发送的第二请求报文时,可以确定第一主机为非法外联主机。通过探针设备在主机发起对HTTP业务服务器的访问请求时对主机进行非法外联检测,避免大量发包和流量占用,减少了对内网网络环境及内网正常业务的运行的影响,提高了内网安全性。
在本发明的一个实施例中,在确定第一主机符合非法外联检测条件时,在生成重定向请求报文之前,该方法还可以包括以下步骤:
步骤一:构造第一重置报文;
步骤二:将第一重置报文发送给HTTP业务服务器,以使HTTP业务服务器结束同第一主机的会话。
为便于描述,将上述两个步骤结合起来进行说明。
探针设备在确定第一主机符合非法外联检测条件时,可以构造第一重置报文,即reset数据报文,该第一重置报文无需三次握手或重建会话,其源IP为第一主机的IP,目的IP为HTTP业务服务器的IP。通过内网核心设备将第一重置报文发送给HTTP业务服务器,HTTP业务服务器接收到第一重置报文后,结束同第一主机的会话,避免长连接占用,同时可以避免第一主机接收到正常的响应报文。
如图3所示,第一主机发起对HTTP业务服务器的第一请求报文,第一请求报文经过内网核心设备到达HTTP业务服务器,如图3中线条1、2所示,探针设备监测到内网链路上存在第一请求报文,构造第一重置报文,将第一重置报文经过内网核心设备发送给HTTP业务服务器,如图3中线条3、4所示,HTTP业务服务器结束同第一主机的会话,探针设备生成重定向请求报文,并通过内网核心设备发送给第一主机,如图3中线条5、6所示,如果第一主机具有非法外联通道,则在接收到重定向请求报文后,将通过非法外联通道到达互联网对外网监听服务器进行访问,如图3中线条7、8所示,外网监听服务器接收到第一主机的访问请求,即可确定第一主机为非法外联主机。至此完成非法外联检测。
在实际应用中,一个外网监听服务器可以对应多个态势感知环境,在重定向请求报文中附带态势感知环境的ID等标识来区分即可。
相应于上面的方法实施例,本发明实施例还提供了一种非法外联检测装置,应用于探针设备,探针设备部署于内网链路上,下文描述的一种非法外联检测装置与上文描述的一种非法外联检测方法可相互对应参照。
参见图4所示,该装置包括以下模块:
是否检测确定模块410,用于在监测到内网链路上存在第一主机发起的对HTTP业务服务器的第一请求报文时,确定第一主机是否符合非法外联检测条件;如果是,则触发重定向请求报文生成模块420;
重定向请求报文生成模块420,用于生成重定向请求报文,重定向请求报文至少包含指向部署在互联网的外网监听服务器的http重定向信息;
重定向请求报文发送模块430,用于将重定向请求报文发送给第一主机,以使外网监听服务器在接收到第一主机发送的第二请求报文时,确定第一主机为非法外联主机。
应用本发明实施例所提供的装置,部署于内网链路的探针设备在监测到内网链路上存在第一主机发起的对HTTP业务服务器的第一请求报文时,如果确定第一主机符合非法外联检测条件,则生成重定向请求报文,该重定向请求报文至少包含指向部署在互联网的外网监听服务器的http重定向信息,将重定向请求报文发送给第一主机,这样外网监听服务器在接收到第一主机发送的第二请求报文时,可以确定第一主机为非法外联主机。通过探针设备在主机发起对HTTP业务服务器的访问请求时对主机进行非法外联检测,避免大量发包和流量占用,减少了对内网网络环境及内网正常业务的运行的影响,提高了内网安全性。
在本发明的一种具体实施方式中,还包括重置报文发送模块,用于:
在确定第一主机符合非法外联检测条件时,在生成重定向请求报文之前,构造第一重置报文;
将第一重置报文发送给HTTP业务服务器,以使HTTP业务服务器结束同第一主机的会话。
在本发明的一种具体实施方式中,重定向请求报文生成模块420,具体用于:
截取HTTP业务服务器返回的基于第一请求报文的响应报文;
对响应报文进行修改,生成重定向请求报文。
在本发明的一种具体实施方式中,还包括第二请求报文处理模块,用于:
在将重定向请求报文发送给第一主机之后,如果监测到内网链路上存在第一主机发起的第二请求报文,则将第二请求报文做丢弃处理,或者,构造第二重置报文,将第二重置报文发送给第一主机,以使第一主机结束同外网监听服务器的会话。
相应于上面的方法实施例,本发明实施例还提供了一种探针设备,探针设备部署于内网链路上,如图5所示,包括:
存储器510,用于存储计算机程序;
处理器520,用于执行计算机程序时实现上述非法外联检测方法的步骤。
相应于上面的方法实施例,本发明实施例还提供了一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现上述非法外联检测方法的步骤。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的技术方案及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以对本发明进行若干改进和修饰,这些改进和修饰也落入本发明权利要求的保护范围内。
Claims (11)
1.一种非法外联检测方法,其特征在于,应用于探针设备,所述探针设备部署于内网链路上,所述方法包括:
在监测到所述内网链路上存在第一主机发起的对HTTP业务服务器的第一请求报文时,确定所述第一主机是否符合非法外联检测条件;
如果是,则生成重定向请求报文,所述重定向请求报文至少包含指向部署在互联网的外网监听服务器的http重定向信息;
将所述重定向请求报文发送给所述第一主机,以使所述外网监听服务器在接收到所述第一主机发送的第二请求报文时,确定所述第一主机为非法外联主机。
2.根据权利要求1所述的方法,其特征在于,在确定所述第一主机符合非法外联检测条件时,在所述生成重定向请求报文之前,还包括:
构造第一重置报文;
将所述第一重置报文发送给所述HTTP业务服务器,以使所述HTTP业务服务器结束同所述第一主机的会话。
3.根据权利要求1所述的方法,其特征在于,所述生成重定向请求报文,包括:
截取所述HTTP业务服务器返回的基于所述第一请求报文的响应报文;
对所述响应报文进行修改,生成重定向请求报文。
4.根据权利要求1所述的方法,其特征在于,在所述将所述重定向请求报文发送给所述第一主机之后,还包括:
如果监测到所述内网链路上存在所述第一主机发起的所述第二请求报文,则将所述第二请求报文做丢弃处理,或者,构造第二重置报文,将所述第二重置报文发送给所述第一主机,以使所述第一主机结束同所述外网监听服务器的会话。
5.根据权利要求1至4之中任一项所述的方法,其特征在于,所述http重定向信息至少包括所述外网监听服务器的链接地址和所述第一主机的标识。
6.一种非法外联检测装置,其特征在于,应用于探针设备,所述探针设备部署于内网链路上,所述装置包括:
是否检测确定模块,用于在监测到所述内网链路上存在第一主机发起的对HTTP业务服务器的第一请求报文时,确定所述第一主机是否符合非法外联检测条件;如果是,则触发重定向请求报文生成模块;
所述重定向请求报文生成模块,用于生成重定向请求报文,所述重定向请求报文至少包含指向部署在互联网的外网监听服务器的http重定向信息;
重定向请求报文发送模块,用于将所述重定向请求报文发送给所述第一主机,以使所述外网监听服务器在接收到所述第一主机发送的第二请求报文时,确定所述第一主机为非法外联主机。
7.根据权利要求6所述的装置,其特征在于,还包括重置报文发送模块,用于:
在确定所述第一主机符合非法外联检测条件时,在所述生成重定向请求报文之前,构造第一重置报文;
将所述第一重置报文发送给所述HTTP业务服务器,以使所述HTTP业务服务器结束同所述第一主机的会话。
8.根据权利要求6所述的装置,其特征在于,所述重定向请求报文生成模块,具体用于:
截取所述HTTP业务服务器返回的基于所述第一请求报文的响应报文;
对所述响应报文进行修改,生成重定向请求报文。
9.根据权利要求6所述的装置,其特征在于,还包括第二请求报文处理模块,用于:
在所述将所述重定向请求报文发送给所述第一主机之后,如果监测到所述内网链路上存在所述第一主机发起的所述第二请求报文,则将所述第二请求报文做丢弃处理,或者,构造第二重置报文,将所述第二重置报文发送给所述第一主机,以使所述第一主机结束同所述外网监听服务器的会话。
10.一种探针设备,其特征在于,所述探针设备部署于内网链路上,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至5任一项所述非法外联检测方法的步骤。
11.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至5任一项所述非法外联检测方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811458648.8A CN109413097A (zh) | 2018-11-30 | 2018-11-30 | 一种非法外联检测方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811458648.8A CN109413097A (zh) | 2018-11-30 | 2018-11-30 | 一种非法外联检测方法、装置、设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109413097A true CN109413097A (zh) | 2019-03-01 |
Family
ID=65456779
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811458648.8A Pending CN109413097A (zh) | 2018-11-30 | 2018-11-30 | 一种非法外联检测方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109413097A (zh) |
Cited By (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110120948A (zh) * | 2019-05-06 | 2019-08-13 | 四川英得赛克科技有限公司 | 基于无线和有线数据流相似性分析的非法外联监测方法 |
| CN110365793A (zh) * | 2019-07-30 | 2019-10-22 | 北京华赛在线科技有限公司 | 违规外联监测方法、装置、系统及存储介质 |
| CN110417821A (zh) * | 2019-09-09 | 2019-11-05 | 北京华赛在线科技有限公司 | 一种联网检测方法和系统 |
| CN110569172A (zh) * | 2019-09-11 | 2019-12-13 | 贵州电网有限责任公司 | 一种业务层级的性能监控系统 |
| CN110768999A (zh) * | 2019-10-31 | 2020-02-07 | 杭州迪普科技股份有限公司 | 一种设备非法外联的检测方法及装置 |
| CN111131203A (zh) * | 2019-12-12 | 2020-05-08 | 杭州迪普科技股份有限公司 | 一种外联监控方法及装置 |
| CN111130931A (zh) * | 2019-12-17 | 2020-05-08 | 杭州迪普科技股份有限公司 | 一种违规外联设备的检测方法及装置 |
| CN111130930A (zh) * | 2019-12-16 | 2020-05-08 | 杭州迪普科技股份有限公司 | 双网卡检测方法和装置 |
| CN111385376A (zh) * | 2020-02-24 | 2020-07-07 | 杭州迪普科技股份有限公司 | 一种终端的非法外联监测方法、装置、系统及设备 |
| CN111970234A (zh) * | 2020-06-30 | 2020-11-20 | 浙江远望信息股份有限公司 | 一种基于Cookie的NAT私网接入违规外联设备的取证方法 |
| CN112104590A (zh) * | 2019-06-18 | 2020-12-18 | 浙江宇视科技有限公司 | 一种检测私网内网络设备私接公网的方法及系统 |
| CN112702234A (zh) * | 2020-12-22 | 2021-04-23 | 杭州迪普科技股份有限公司 | 一种多网络连接设备的识别方法及装置 |
| CN112738095A (zh) * | 2020-12-29 | 2021-04-30 | 杭州迪普科技股份有限公司 | 一种检测非法外联的方法、装置、系统、存储介质及设备 |
| CN113328972A (zh) * | 2020-02-28 | 2021-08-31 | 浙江宇视科技有限公司 | 设备监测方法、装置、设备及存储介质 |
| CN113328974A (zh) * | 2020-02-28 | 2021-08-31 | 浙江宇视科技有限公司 | 视频专网监测方法、装置、设备及存储介质 |
| CN114363059A (zh) * | 2021-12-31 | 2022-04-15 | 深信服科技股份有限公司 | 一种攻击识别方法、装置及相关设备 |
| CN114401119A (zh) * | 2021-12-27 | 2022-04-26 | 中国电信股份有限公司 | 一种内外网互联的检测方法、装置、系统及可读存储介质 |
| CN114448678A (zh) * | 2021-12-31 | 2022-05-06 | 南方电网数字电网研究院有限公司 | 非法外联监控系统和方法 |
| CN116938570A (zh) * | 2023-07-27 | 2023-10-24 | 北京天融信网络安全技术有限公司 | 一种检测方法、装置、存储介质及电子设备 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101902440A (zh) * | 2009-05-27 | 2010-12-01 | 北京启明星辰信息技术股份有限公司 | 一种阻断tcp连接的方法和装置 |
| CN107276979A (zh) * | 2017-04-26 | 2017-10-20 | 浙江远望信息股份有限公司 | 一种自动检测终端设备内外网互联行为的方法 |
| CN107733706A (zh) * | 2017-09-30 | 2018-02-23 | 北京北信源软件股份有限公司 | 一种无代理的违规外联监测方法和系统 |
-
2018
- 2018-11-30 CN CN201811458648.8A patent/CN109413097A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101902440A (zh) * | 2009-05-27 | 2010-12-01 | 北京启明星辰信息技术股份有限公司 | 一种阻断tcp连接的方法和装置 |
| CN107276979A (zh) * | 2017-04-26 | 2017-10-20 | 浙江远望信息股份有限公司 | 一种自动检测终端设备内外网互联行为的方法 |
| CN107733706A (zh) * | 2017-09-30 | 2018-02-23 | 北京北信源软件股份有限公司 | 一种无代理的违规外联监测方法和系统 |
Non-Patent Citations (1)
| Title |
|---|
| 刘丽华,付晓东: "《JSP程序设计案例教程》", 30 April 2011 * |
Cited By (27)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110120948A (zh) * | 2019-05-06 | 2019-08-13 | 四川英得赛克科技有限公司 | 基于无线和有线数据流相似性分析的非法外联监测方法 |
| CN112104590B (zh) * | 2019-06-18 | 2023-03-24 | 浙江宇视科技有限公司 | 一种检测私网内网络设备私接公网的方法及系统 |
| CN112104590A (zh) * | 2019-06-18 | 2020-12-18 | 浙江宇视科技有限公司 | 一种检测私网内网络设备私接公网的方法及系统 |
| CN110365793A (zh) * | 2019-07-30 | 2019-10-22 | 北京华赛在线科技有限公司 | 违规外联监测方法、装置、系统及存储介质 |
| CN110417821B (zh) * | 2019-09-09 | 2021-11-02 | 北京华赛在线科技有限公司 | 一种联网检测方法和系统 |
| CN110417821A (zh) * | 2019-09-09 | 2019-11-05 | 北京华赛在线科技有限公司 | 一种联网检测方法和系统 |
| CN110569172A (zh) * | 2019-09-11 | 2019-12-13 | 贵州电网有限责任公司 | 一种业务层级的性能监控系统 |
| CN110569172B (zh) * | 2019-09-11 | 2023-04-07 | 贵州电网有限责任公司 | 一种业务层级的性能监控系统 |
| CN110768999A (zh) * | 2019-10-31 | 2020-02-07 | 杭州迪普科技股份有限公司 | 一种设备非法外联的检测方法及装置 |
| CN111131203A (zh) * | 2019-12-12 | 2020-05-08 | 杭州迪普科技股份有限公司 | 一种外联监控方法及装置 |
| CN111131203B (zh) * | 2019-12-12 | 2022-06-28 | 杭州迪普科技股份有限公司 | 一种外联监控方法及装置 |
| CN111130930A (zh) * | 2019-12-16 | 2020-05-08 | 杭州迪普科技股份有限公司 | 双网卡检测方法和装置 |
| CN111130931B (zh) * | 2019-12-17 | 2022-04-26 | 杭州迪普科技股份有限公司 | 一种违规外联设备的检测方法及装置 |
| CN111130931A (zh) * | 2019-12-17 | 2020-05-08 | 杭州迪普科技股份有限公司 | 一种违规外联设备的检测方法及装置 |
| CN111385376A (zh) * | 2020-02-24 | 2020-07-07 | 杭州迪普科技股份有限公司 | 一种终端的非法外联监测方法、装置、系统及设备 |
| CN111385376B (zh) * | 2020-02-24 | 2022-12-23 | 杭州迪普科技股份有限公司 | 一种终端的非法外联监测方法、装置、系统及设备 |
| CN113328974A (zh) * | 2020-02-28 | 2021-08-31 | 浙江宇视科技有限公司 | 视频专网监测方法、装置、设备及存储介质 |
| CN113328972A (zh) * | 2020-02-28 | 2021-08-31 | 浙江宇视科技有限公司 | 设备监测方法、装置、设备及存储介质 |
| CN113328972B (zh) * | 2020-02-28 | 2023-02-28 | 浙江宇视科技有限公司 | 设备监测方法、装置、设备及存储介质 |
| CN111970234A (zh) * | 2020-06-30 | 2020-11-20 | 浙江远望信息股份有限公司 | 一种基于Cookie的NAT私网接入违规外联设备的取证方法 |
| CN112702234A (zh) * | 2020-12-22 | 2021-04-23 | 杭州迪普科技股份有限公司 | 一种多网络连接设备的识别方法及装置 |
| CN112738095A (zh) * | 2020-12-29 | 2021-04-30 | 杭州迪普科技股份有限公司 | 一种检测非法外联的方法、装置、系统、存储介质及设备 |
| CN114401119A (zh) * | 2021-12-27 | 2022-04-26 | 中国电信股份有限公司 | 一种内外网互联的检测方法、装置、系统及可读存储介质 |
| CN114363059A (zh) * | 2021-12-31 | 2022-04-15 | 深信服科技股份有限公司 | 一种攻击识别方法、装置及相关设备 |
| CN114448678A (zh) * | 2021-12-31 | 2022-05-06 | 南方电网数字电网研究院有限公司 | 非法外联监控系统和方法 |
| CN116938570A (zh) * | 2023-07-27 | 2023-10-24 | 北京天融信网络安全技术有限公司 | 一种检测方法、装置、存储介质及电子设备 |
| CN116938570B (zh) * | 2023-07-27 | 2024-05-28 | 北京天融信网络安全技术有限公司 | 一种检测方法、装置、存储介质及电子设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109413097A (zh) | 一种非法外联检测方法、装置、设备及存储介质 | |
| KR101544322B1 (ko) | 시각화를 이용한 악성 코드 탐지 시스템과 방법 | |
| CN101212482B (zh) | 使用网络端点资源的方法和安全系统 | |
| Alzahrani et al. | Generation of DDoS attack dataset for effective IDS development and evaluation | |
| CN103095778A (zh) | Web应用防火墙和web应用安全防护方法 | |
| US9660833B2 (en) | Application identification in records of network flows | |
| US9350754B2 (en) | Mitigating a cyber-security attack by changing a network address of a system under attack | |
| CN110365793A (zh) | 违规外联监测方法、装置、系统及存储介质 | |
| US9379952B2 (en) | Monitoring NAT behaviors through URI dereferences in web browsers | |
| JP2017534198A (ja) | ドメイン名システムのトンネリング、流出及び侵入を識別する装置及び方法 | |
| CN107493576B (zh) | 用于确定无线接入点的安全信息的方法与设备 | |
| CN107623685B (zh) | 快速检测SYN Flood攻击的方法及装置 | |
| CN109474575A (zh) | 一种dns隧道的检测方法及装置 | |
| CN102315992A (zh) | 非法外联检测方法 | |
| CN105681133A (zh) | 一种检测dns服务器是否防网络攻击的方法 | |
| CN107888605A (zh) | 一种物联网云平台流量安全分析方法和系统 | |
| WO2017067443A1 (zh) | 一种安全域名系统及其故障处理方法 | |
| CN108809892A (zh) | 一种ip白名单生成方法和装置 | |
| CN102739684A (zh) | 一种基于虚拟IP地址的Portal认证方法及服务器 | |
| CN103516693A (zh) | 鉴别钓鱼网站的方法与装置 | |
| US9385993B1 (en) | Media for detecting common suspicious activity occurring on a computer network using firewall data and reports from a network filter device | |
| CN110351237A (zh) | 用于数控机床的蜜罐方法及装置 | |
| CN102917360B (zh) | 一种Zigbee协议漏洞的检测装置及方法 | |
| Yaibuates et al. | ICMP based malicious attack identification method for DHCP | |
| CN103634289B (zh) | 通信屏蔽装置及通信屏蔽方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190301 |
|
| RJ01 | Rejection of invention patent application after publication |