CN110290154A - 一种非法外联检测设备、方法与存储介质 - Google Patents
一种非法外联检测设备、方法与存储介质 Download PDFInfo
- Publication number
- CN110290154A CN110290154A CN201910666935.6A CN201910666935A CN110290154A CN 110290154 A CN110290154 A CN 110290154A CN 201910666935 A CN201910666935 A CN 201910666935A CN 110290154 A CN110290154 A CN 110290154A
- Authority
- CN
- China
- Prior art keywords
- external connection
- checked
- illegal external
- measurement equipment
- real
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
- H04W12/122—Counter-measures against attacks; Protection against rogue devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/71—Hardware identity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种非法外联检测设备、方法与存储介质,属于网络安全领域。本发明实施例通过至少一个网卡对待检测设备的有线网流量和无线网流量进行实时采集,并通过处理器对采集得到的流量数据进行分析得到当前网络连接信息,基于预设白名单进行检测判断当前待检测设备是否存在非法外联事件;将上述功能集成于一个非法外联检测设备上,无需提前布置即可对待检测设备、网络进行快速抽查,提高了非法外联检测设备的便携性,同时对待检测设备的有线网络与无线网络流量进行采集分析,实现了对待检测实施网络非法外联情况的全面检查。
Description
技术领域
本发明涉及网络安全领域,具体涉及一种非法外联检测设备、方法与存储介质。
背景技术
随着各类公司、企业、政府部门等对网络使用的需求不断增长,网络安全问题受到越来越高的关注。同时,国家政策对工业控制系统的网络安全等级提出了相关要求,其中企业工控系统所在的生产控制大区的合规要求之一是要进行区域隔离防护,不允许非法外联的行为。因此,对这些企业、公司的网络安全检查中,对非法外联进行检测是必要环节。
企业工控系统网络中的非法外联情况常见有几下几种:
①工控系统所在的网络未进行区域隔离或区域隔离有遗漏,导致存在非法外联的路径。
②工控系统所在的网络对用户的监管不严,存在用户私接3G、4G等上网卡或通过手机WIFI热点上网的行为,人为的开启了非法外联的路径。
对于这些非法外联情况,目前常用的检测手段有工控系统网络中部署监控程序、内网中部署流量探针等,如对比文件(CN109587175A一种非法外联处理方法及系统)中,需要在终端上部署监控程序,并与认证设备建立连接,由于部署的终端监控程序和认证设备众多,这种方式不利于监管机构进行快速抽查;对比文件(CN109413097A一种非法外联检测方法、装置、设备及存储介质)中,需要在内网部署探针设备,在外网部署监听服务器,该方法不利于监管机构进行快速抽查,同时无法检测到通过上网卡绕开内网探针的非法外联行为。
因此现有技术在非法外联检测上,存在着需要提前在内网或外网部署相关程序、探针,检测类型不全面,检测设备便携度差,不利于监管机构进行快速抽查等问题。
发明内容
本发明实施例提供一种非法外联检测设备、方法、计算机设备及存储媒介,能够解决非法外联检测设备便携性较差、全面性不足及不利于快速抽查的缺陷,所述技术方案如下:
一方面,提供了一种非法外联检测设备,包括:
至少一个网卡,通过与待检测设备对应的流量镜像口连接,实时采集有线网流量和对所述待检测设备进行实时监听,以实时采集无线网流量;
处理器,与所述至少一个网卡连接;所述处理器用于获取所述有线网流量以及所述无线网流量,对所获得的流量进行解析以得到所述待检测设备的网络连接信息,并基于所述网络连接信息以及预设白名单检测所述待检测设备是否存在实时非法外联事件。
可选的,所述设备,还包括:
可移动存储器,通过与所述待检测设备连接,用于采集历史无线网信息;其中,历史无线网信息包括热点连接记录,或上网卡插拔记录中的至少一种;
接口,与所述可移动存储器适配且与所述处理器连接;其中,所述非法外联检测设备通过所述接口读取所述历史无线网信息;所述处理器对所述历史无线网信息进行解析以得到所述待检测设备的历史网络连接信息,并基于所述历史网络连接信息以及所述预设白名单检测所述待检测设备是否存在历史非法外联事件。
可选的,所述处理器还用于在检测出所述待检测设备存在非法外联事件时,确定非法外联路径。
一方面,提供了一种非法外联检测方法,包括:
获取实时有线网流量和实时无线网流量;
对所述实时有线网流量以及所述实时无线网流量进行解析,以得到所述待检测设备的网络连接信息;
根据所述网络连接信息以及预设白名单,检测所述待检测设备是否存在实时非法外联事件。
可选的,所述获取实时有线网流量和实时无线网流量,包括:
通过网卡与待检测设备对应的流量镜像口连接,采集所述实时有线网流量;
通过网卡对所述待检测设备进行实时监听,采集所述实时无线网流量。
可选的,所述对所述实时有线网流量以及所述实时无线网流量进行解析,以得到所述待检测设备的网络连接信息,包括:
对所述实时有线网流量进行解析,以得到所述实时有线网流量中的IP地址;
对所述实时无线网流量进行解析,以得到所述实时无线网流量中的MAC地址。
可选的,所述根据所述网络连接信息以及预设白名单,检测所述待检测设备是否存在实时非法外联事件,包括:
判断所得到的IP地址是否存在于所述白名单的IP地址中;
当所得到的IP地址在所述白名单的IP地址中不存在时,确定所述待检测设备存在实时有线非法外联事件;
判断所得到的MAC地址是否存在于所述白名单的MAC地址中;
当所得到的MAC地址在所述白名单的MAC地址中不存在时,确定所述待检测设备存在实时无线非法外联事件。
可选的,所述非法外联检测方法,还包括:
获取历史无线网信息;
对所述历史无线网信息进行解析,以得到所述待检测设备的历史网络连接信息;
基于所述历史网络连接信息以及所述预设白名单检测所述待检测设备是否存在历史非法外联事件。
可选的,所述获取历史无线网信息包括:
通过可移动存储器与所述待检测设备连接,采集所述历史无线网信息;
通过与所述可移动存储器适配的接口从所述可移动存储器中获得所述历史无线网信息。
可选的,所述历史无线网信息,还包括:通过采集所述待检测设备的热点连接记录所获取到的热点名称和MAC地址,以及通过采集所述待检测设备的上网卡的插拔记录所获取到的所述上网卡的名称和设备类型。
可选的,上述任一非法外联检测方法,还包括:
非法外联的验证步骤;其中,所述非法外联的验证步骤包括:
通过所述网卡对所述待验证非法外联事件中的网络连接信息进行连接,以判断所述待验证非法外联事件中的网络连接信息是否能够连通;
当所述待验证非法外联事件中的网络连接信息能够连通时,确定所述待检测设备存在非法外联事件。
可选的,所述当所述待验证非法外联事件中的网络连接信息能够连通时,确定所述待检测设备存在非法外联事件的步骤之后,还包括:
获取所述待检测设备的非法外联的访问路径的步骤。
一方面,提供一种计算机设备,所述计算机设备包括处理器和存储器,所述存储器中存储有至少一条指令或程序,所述指令或程序由所述处理器加载并执行以实现上述任一所述的非法外联检测方法。
一方面,一种计算机可读存储介质,所述存储介质存储有至少一条指令或程序,所述至少一条指令由计算机加载并执行以实现上述任一所述的非法外联检测方法。
本发明实施例提供的实施例,具有如下优点:
本发明实施例中,通过至少一个网卡对待检测设备的有线网流量和无线网流量进行实时采集,并通过处理器对采集得到的流量数据进行分析得到当前网络连接信息,基于预设白名单进行检测判断当前待检测设备是否存在非法外联事件;将上述功能集成于一个非法外联检测设备上,无需提前布置即可对待检测设备、网络进行快速抽查,提高了非法外联检测设备的便携性,同时对待检测设备的有线网络与无线网络流量进行采集分析,实现了对待检测实施网络非法外联情况的全面检查。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的非法外联检测设备的应用场景示意图;
图2为本发明实施例提供的非法外联检测设备的一种结构示意图;
图3为本发明实施例提供的非法外联检测设备的一种结构示意图;
图4为本发明实施例提供的非法外联检测方法的一种流程示意图;
图5为本发明实施例提供的非法外联检测方法的一种流程示意图;
图6为本发明实施例提供的计算机设备的示意图;
具体实施方式
下面将结合附图对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
此外,下面所描述的本发明不同实施方式中所涉及的技术特征只要彼此之间未构成冲突就可以相互结合。
本申请提供了一种非法外联检测设备、方法、计算机设备及存储介质。
本申请实施例提供一种非法外联检测设备,通过该设备对待检测工程系统网络中的待检测设备进行非法外联检测,从而得到该工程系统网络的非法外联检测结果,有助于评估该工程系统网络的安全性。
参阅图1,图1是本申请实施例提供的非法外联检测设备的应用场景示意图,某待检测工程系统150中分别有待检测设备110、120、130,通过非法外联检测设备100对这些待检测设备进行检测。
参阅图2,图2是本申请实施例提供的非法外联检测设备的一种结构示意图。本申请实施例提供的一种非法外联检测设备具体如下:
包括:至少一个网卡210,通过与待检测设备对应的流量镜像口连接,实时采集有线网流量以及对待检测设备进行实时监听,以实时采集无线网流量;
处理器220,与该设备的至少一个网卡210连接;用于获取网卡采集到的有线网流量以及无线网流量,对所获得的流量进行解析以得到待检测设备的网络连接信息,并基于网络连接信息以及预设白名单检测所述待检测设备是否存在实时非法外联事件。
可选的,根据上述非法外联检测设备,还包括:可移动存储器,通过与待检测设备连接,用于采集历史无线网信息;其中,历史无线网信息包括热点连接记录,或上网卡插拔记录中的至少一种;
接口,与可移动存储器适配且与处理器220连接;其中,非法外联检测设备通过接口读取历史无线网信息;处理器对历史无线网信息进行解析以得到待检测设备的历史网络连接信息,并基于历史网络连接信息以及预设白名单检测待检测设备是否存在历史非法外联事件。
可选的,根据上述非法外联检测设备,处理器还用于在检测出待检测设备存在非法外联事件时,确定非法外联路径。
参阅图3,图3是本申请实施例提供的非法外联检测设备的一种结构及功能示意图。图3示出了一种非法外联检测设备300,具体如下:
该非法外联检测设备300内设置有两个网卡,分别是Intel网卡310、无线网卡320;
通过Intel网卡310与待检测设备对应的流量镜像口连接,实时采集有线网流量;
例如,使用基于数据平面开发套件DPDK(Data Plane Development Kit)的流量采集技术,通过将非法外联检测设备300上的Intel网卡310和待检测设备如工控网核心交换机的镜像口连接,采集实时的有线网流量;
通过无线网卡320对待检测设备进行实时监听,以实时采集无线网流量;
例如,使用抓包工具,将无线网卡设置为监听模式,捕获802.11协议的无线流量。
处理器330,与Intel网卡310、无线网卡320连接,用于获取抓取到的有线网流量以及无线网流量,对所获得的流量进行解析以得到待检测设备的网络连接信息,并基于网络连接信息以及预设白名单检测待检测设备是否存在实时非法外联事件。
可选的,所述非法外联检测设备300,还包括:
安全U盘350,用于与待检测设备连接采集历史无线网信息;
其中,历史无线网信息包括热点连接记录,或上网卡插拔记录中的至少一种;
接口340,与安全U盘350适配且与处理器330连接;其中,非法外联检测设备300通过接口340读取历史无线网信息;处理器330对历史无线网信息进行解析以得到待检测设备的历史网络连接信息,并基于历史网络连接信息以及预设白名单检测待检测设备是否存在历史非法外联事件。
可选的,该非法外联检测设备300包含接口340,通过接口340与安全U盘330的连接进行数据传输。
可选的,安全U盘350分为只读程序区、只读数据区和隐藏区;
只读程序区:用于放置检测应用程序;
只读数据区:用于放置日志文件,在只读状态,只有检测应用程序有写入权限;
隐藏区:放置一些序列号、KEY等其他数据;
检测应用程序实现对待检测设备的WIFI热点连接记录采集、上网卡插拔记录采集的功能,并将采集到的信息存储到日志文件。
非法外联检测设备300可通过接口340从安全U盘350的只读数据区读取日志文件的数据。
例如,将安全U盘350插入待检测设备,通过运行检测应用程序,采集待检测设备WIFI热点连接记录,获取待检测设备连接过的WIFI热点的名称和MAC地址历史记录,将数据写入日志文件;并通过应用程序,采集待检测设备的上网卡的插拔记录,将上网卡的名称和设备类型写入日志文件。
将安全U盘350插入接口340,读取日志文件。获取WIFI热点的名称和MAC地址历史记录,若存在非白名单MAC地址,记录为非法外联事件。获取3G或4G等上网卡的插拔记录,记录为非法外联事件。
采用安全U盘350采集待检测设备的历史外联信息,可防止被U盘病毒交叉感染,提高检查工作的安全性。
可选的,该非法外联检测设备,还能够通过网卡进行主动探测,对非法外联判断结果进行验证;
通过网卡对待验证非法外联事件中的网络连接信息进行连接,以判断待验证非法外联事件中的网络连接信息是否能够连通;
当待验证非法外联事件中的网络连接信息能够连通时,确定待检测设备存在非法外联事件。
例如:经Intel网卡,验证非法外联事件中的IP地址是否可连通,若可连通,记录当前非法外联信息;
经无线网卡,验证非法外联事件中的WIFI热点是否可连通,若可连通,记录当前非法外联信息。
可选的,所述处理器330还用于在检测出待检测设备存在非法外联事件时,确定非法外联路径。
可选的,所述非法外联检测设备是一种便携式设备,可以是加固的便携式笔记本电脑,在上面集成Intel网卡和无线网卡,外置安全U盘;同时,在该非法外联检测设备上集成实时非法外联分析系统、历史非法外联分析系统和非法外联验证系统,以实现对非法外联事件的实时分析与历史分析,并对分析结果进行验证,从而得到最终的非法外联检测结果。
本申请实施例提供一种非法外联检测方法,该方法的执行主体可以是本申请实施例提供的非法外联检测设备,或者集成了该检测方法的检测设备,其中该非法外联检测方法可以采用硬件或者软件的方式实现。其中,检测设备可以是智能手机、平板电脑、掌上电脑、笔记本电脑、或者台式电脑等设备。
参阅图4,如图4为本申请实施例提供的非法外联的检测方法的流程示意图,具体包括如下步骤:
步骤401,预设白名单;
示例性的,在系统中设定网络白名单,包括白名单的IP地址网段信息、白名单的WIFI热点名称和MAC地址信息。
步骤402,获取实时有线网流量和实时无线网流量;
步骤403,对实时有线网流量以及实时无线网流量进行解析,以得到待检测设备的网络连接信息;
步骤404,根据网络连接信息以及预设白名单,检测待检测设备是否存在实时非法外联事件。
可选的,上述获取实时有线网流量和实时无线网流量,包括:
通过网卡与待检测设备对应的流量镜像口连接,采集实时有线网流量;
通过网卡对所述待检测设备进行实时监听,采集实时无线网流量。
可选的,上述非法外联检测方法中对实时有线网流量以及实时无线网流量进行解析,以得到待检测设备的网络连接信息,包括:
对实时有线网流量进行解析,以得到实时有线网流量中的IP地址;
对实时无线网流量进行解析,以得到实时无线网流量中的MAC地址。
可选的,上述非法外联检测方法中,根据网络连接信息以及预设白名单,检测待检测设备是否存在实时非法外联事件,包括:
判断所得到的IP地址是否存在于白名单的IP地址中;
当所得到的IP地址在白名单的IP地址中不存在时,确定待检测设备存在实时有线非法外联事件;
判断所得到的MAC地址是否存在于白名单的MAC地址中;
当所得到的MAC地址在白名单的MAC地址中不存在时,确定待检测设备存在实时无线非法外联事件。
可选的,上述非法外联检测方法还包括对待检测设备的历史无线网连接信息进行检测,如图5所示,具体步骤如下:
步骤501,获取历史无线网信息;
步骤502对历史无线网信息进行解析,以得到待检测设备的历史网络连接信息;
步骤503,基于历史网络连接信息以及预设白名单检测待检测设备是否存在历史非法外联事件。
可选的,上述历史无线网信息包括:
通过可移动存储器与待检测设备连接,采集历史无线网信息;
通过与可移动存储器适配的接口从可移动存储器中获得历史无线网信息。
可选的,上述历史无线网信息,还包括:通过采集待检测设备的热点连接记录所获取到的热点名称和MAC地址,以及通过采集待检测设备的上网卡的插拔记录所获取到的上网卡的名称和设备类型。
可选的,上述任一项非法外联检测方法还包括非法外联的验证:非法外联的验证步骤具体包括:
通过网卡对待验证非法外联事件中的网络连接信息进行连接,以判断待验证非法外联事件中的网络连接信息是否能够连通;
当待验证非法外联事件中的网络连接信息能够连通时,确定待检测设备存在非法外联事件。
可选的,当待验证非法外联事件中的网络连接信息能够连通时,确定待检测设备存在非法外联事件的步骤之后,还包括:
获取待检测设备的非法外联的访问路径的步骤。
图6示出了本申请一个示例性实施例提供的计算机设备的结构框图。该计算机设备包括:处理器610和存储器620。该计算机设备可以图1实施例中的处理终端140。
处理器610可以是中央处理器(英文:central processing unit,CPU),网络处理器(英文:network processor,NP)或者CPU和NP的组合。处理器还可以进一步包括硬件芯片。上述硬件芯片可以是专用集成电路(英文:application-specific integratedcircuit,ASIC),可编程逻辑器件(英文:programmable logic device,PLD)或其组合。上述PLD可以是复杂可编程逻辑器件(英文:complex programmable logic device,CPLD),现场可编程逻辑门阵列(英文:field-programmable gate array,FPGA),通用阵列逻辑(英文:generic array logic,GAL)或其任意组合。
存储器620通过总线或其它方式与处理器610相连,存储器620中存储有至少一条指令、至少一段程序、代码集或指令集,上述至少一条指令、至少一段程序、代码集或指令集由处理器加载并执行以实现上述实施例中由处理终端执行的非法外联检测方法。
存储器620可以为易失性存储器(英文:volatile memory),非易失性存储器(英文:non-volatile memory)或者它们的组合。易失性存储器可以为随机存取存储器(英文:random-access memory,RAM),例如静态随机存取存储器(英文:static random accessmemory,SRAM),动态随机存取存储器(英文:dynamic random access memory,DRAM)。非易失性存储器可以为只读存储器(英文:read only memory image,ROM),例如可编程只读存储器(英文:programmable read only memory,PROM),可擦除可编程只读存储器(英文:erasable programmable read only memory,EPROM),电可擦除可编程只读存储器(英文:electrically erasable programmable read-only memory,EEPROM)。非易失性存储器也可以为快闪存储器(英文:flash memory),磁存储器,例如磁带(英文:magnetic tape),软盘(英文:floppy disk),硬盘。非易失性存储器也可以为光盘。
本申请实施例还提供一种计算机可读存储介质,该存储介质中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行以实现如上述任一实施例所述的非法外联检测方法。
显然,上述实施例仅仅是为清楚地说明所作的举例,而并非对实施方式的限定。对于所属领域的普通技术人员来说,在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。而由此所引伸出的显而易见的变化或变动仍处于本发明创造的保护范围之中。
Claims (14)
1.一种非法外联检测设备,其特征在于,包括:
至少一个网卡,通过与待检测设备对应的流量镜像口连接,实时采集有线网流量和对所述待检测设备进行实时监听,以实时采集无线网流量;
处理器,与所述至少一个网卡连接;所述处理器用于获取所述有线网流量以及所述无线网流量,对所获得的流量进行解析以得到所述待检测设备的网络连接信息,并基于所述网络连接信息以及预设白名单检测所述待检测设备是否存在实时非法外联事件。
2.根据权利要求1所述的设备,其特征在于,还包括:
可移动存储器,通过与所述待检测设备连接,用于采集历史无线网信息;其中,所述历史无线网信息包括热点连接记录,或上网卡插拔记录中的至少一种;
接口,与所述可移动存储器适配且与所述处理器连接;其中,所述非法外联检测设备通过所述接口读取所述历史无线网信息;所述处理器对所述历史无线网信息进行解析以得到所述待检测设备的历史网络连接信息,并基于所述历史网络连接信息以及所述预设白名单检测所述待检测设备是否存在历史非法外联事件。
3.根据权利要求1或2所述的设备,其特征在于,所述处理器还用于在检测出所述待检测设备存在非法外联事件时,确定非法外联路径。
4.一种非法外联的检测方法,其特征在于,包括:
获取实时有线网流量和实时无线网流量;
对所述实时有线网流量以及所述实时无线网流量进行解析,以得到所述待检测设备的网络连接信息;
根据所述网络连接信息以及预设白名单,检测所述待检测设备是否存在实时非法外联事件。
5.根据权利要求4所述的方法,其特征在于,所述获取实时有线网流量和实时无线网流量,包括:
通过网卡与待检测设备对应的流量镜像口连接,采集所述实时有线网流量;
通过网卡对所述待检测设备进行实时监听,采集所述实时无线网流量。
6.根据权利要求5所述的方法,其特征在于,所述对所述实时有线网流量以及所述实时无线网流量进行解析,以得到所述待检测设备的网络连接信息,包括:
对所述实时有线网流量进行解析,以得到所述实时有线网流量中的IP地址;
对所述实时无线网流量进行解析,以得到所述实时无线网流量中的MAC地址。
7.根据权利要求6所述的方法,其特征在于,所述根据所述网络连接信息以及预设白名单,检测所述待检测设备是否存在实时非法外联事件,包括:
判断所得到的IP地址是否存在于所述白名单的IP地址中;
当所得到的IP地址在所述白名单的IP地址中不存在时,确定所述待检测设备存在实时有线非法外联事件;
判断所得到的MAC地址是否存在于所述白名单的MAC地址中;
当所得到的MAC地址在所述白名单的MAC地址中不存在时,确定所述待检测设备存在实时无线非法外联事件。
8.根据权利要求4所述的方法,其特征在于,所述方法还包括:
获取历史无线网信息;
对所述历史无线网信息进行解析,以得到所述待检测设备的历史网络连接信息;
基于所述历史网络连接信息以及所述预设白名单检测所述待检测设备是否存在历史非法外联事件。
9.根据权利要求8所述的方法,其特征在于,所述获取历史无线网信息包括:
通过可移动存储器与所述待检测设备连接,采集所述历史无线网信息;
通过与所述可移动存储器适配的接口从所述可移动存储器中获得所述历史无线网信息。
10.根据权利要求9所述的方法,其特征在于,所述历史无线网信息,还包括:
通过采集所述待检测设备的热点连接记录所获取到的热点名称和MAC地址,以及通过采集所述待检测设备的上网卡的插拔记录所获取到的所述上网卡的名称和设备类型。
11.根据权利要求4-10中任一项所述的方法,其特征在于,所述方法还包括非法外联的验证步骤;其中,所述非法外联的验证步骤包括:
通过所述网卡对所述待验证非法外联事件中的网络连接信息进行连接,以判断所述待验证非法外联事件中的网络连接信息是否能够连通;
当所述待验证非法外联事件中的网络连接信息能够连通时,确定所述待检测设备存在非法外联事件。
12.根据权利要求11所述的方法,其特征在于,所述当所述待验证非法外联事件中的网络连接信息能够连通时,确定所述待检测设备存在非法外联事件的步骤之后,还包括:
获取所述待检测设备的非法外联的访问路径的步骤。
13.一种计算机设备,其特征在于,所述计算机设备包括处理器和存储器,所述存储器中存储有至少一条指令或程序,所述至少一条指令或程序由所述处理器加载并执行以实现如权利要求4至12中任一所述的非法外联检测方法。
14.一种计算机可读存储介质,其特征在于,所述存储介质中存储有至少一条指令或程序,所述指令或程序由处理器加载并执行以实现权利要求4至12中任一所述的非法外联检测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910666935.6A CN110290154A (zh) | 2019-07-23 | 2019-07-23 | 一种非法外联检测设备、方法与存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910666935.6A CN110290154A (zh) | 2019-07-23 | 2019-07-23 | 一种非法外联检测设备、方法与存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110290154A true CN110290154A (zh) | 2019-09-27 |
Family
ID=68023918
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910666935.6A Pending CN110290154A (zh) | 2019-07-23 | 2019-07-23 | 一种非法外联检测设备、方法与存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110290154A (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111935167A (zh) * | 2020-08-20 | 2020-11-13 | 北京华赛在线科技有限公司 | 用于工控的违规外联检测方法、装置、设备及存储介质 |
| CN112039836A (zh) * | 2020-06-30 | 2020-12-04 | 浙江远望信息股份有限公司 | 一种非法网络出口的监测识别方法、系统及设备 |
| CN112073381A (zh) * | 2020-08-13 | 2020-12-11 | 中国电子科技集团公司第三十研究所 | 一种连接互联网设备接入内网检测方法 |
| CN112383417A (zh) * | 2020-11-02 | 2021-02-19 | 杭州安恒信息安全技术有限公司 | 一种终端安全外联检测方法、系统、设备及可读存储介质 |
| CN112822683A (zh) * | 2020-12-31 | 2021-05-18 | 四川英得赛克科技有限公司 | 一种利用移动网络进行非法外联的检测方法 |
| CN114448678A (zh) * | 2021-12-31 | 2022-05-06 | 南方电网数字电网研究院有限公司 | 非法外联监控系统和方法 |
| CN115051867A (zh) * | 2022-06-22 | 2022-09-13 | 深信服科技股份有限公司 | 一种非法外联行为的检测方法、装置、电子设备及介质 |
| CN115190108A (zh) * | 2022-07-12 | 2022-10-14 | 北京天融信网络安全技术有限公司 | 一种检测被监控设备的方法、装置、介质及电子设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106302501A (zh) * | 2016-08-27 | 2017-01-04 | 浙江远望信息股份有限公司 | 一种实时发现跨网络通信行为的方法 |
| US20170206619A1 (en) * | 2016-01-19 | 2017-07-20 | Korea Internet & Security Agency | Method for managing violation incident information and violation incident management system and computer-readable recording medium |
| CN107707571A (zh) * | 2017-11-15 | 2018-02-16 | 江苏神州信源系统工程有限公司 | 一种管理网络外联的方法和装置 |
| CN109768971A (zh) * | 2018-12-27 | 2019-05-17 | 江苏博智软件科技股份有限公司 | 一种基于网络流量实时检测工控主机状态的方法 |
| CN109982359A (zh) * | 2019-04-29 | 2019-07-05 | 四川英得赛克科技有限公司 | 一种采用多无线热点监测技术的无线热点监测装置及其方法 |
-
2019
- 2019-07-23 CN CN201910666935.6A patent/CN110290154A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20170206619A1 (en) * | 2016-01-19 | 2017-07-20 | Korea Internet & Security Agency | Method for managing violation incident information and violation incident management system and computer-readable recording medium |
| CN106302501A (zh) * | 2016-08-27 | 2017-01-04 | 浙江远望信息股份有限公司 | 一种实时发现跨网络通信行为的方法 |
| CN107707571A (zh) * | 2017-11-15 | 2018-02-16 | 江苏神州信源系统工程有限公司 | 一种管理网络外联的方法和装置 |
| CN109768971A (zh) * | 2018-12-27 | 2019-05-17 | 江苏博智软件科技股份有限公司 | 一种基于网络流量实时检测工控主机状态的方法 |
| CN109982359A (zh) * | 2019-04-29 | 2019-07-05 | 四川英得赛克科技有限公司 | 一种采用多无线热点监测技术的无线热点监测装置及其方法 |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112039836A (zh) * | 2020-06-30 | 2020-12-04 | 浙江远望信息股份有限公司 | 一种非法网络出口的监测识别方法、系统及设备 |
| CN112073381A (zh) * | 2020-08-13 | 2020-12-11 | 中国电子科技集团公司第三十研究所 | 一种连接互联网设备接入内网检测方法 |
| CN112073381B (zh) * | 2020-08-13 | 2021-12-17 | 中国电子科技集团公司第三十研究所 | 一种连接互联网设备接入内网检测方法 |
| CN111935167A (zh) * | 2020-08-20 | 2020-11-13 | 北京华赛在线科技有限公司 | 用于工控的违规外联检测方法、装置、设备及存储介质 |
| CN112383417A (zh) * | 2020-11-02 | 2021-02-19 | 杭州安恒信息安全技术有限公司 | 一种终端安全外联检测方法、系统、设备及可读存储介质 |
| CN112383417B (zh) * | 2020-11-02 | 2022-08-23 | 杭州安恒信息安全技术有限公司 | 一种终端安全外联检测方法、系统、设备及可读存储介质 |
| CN112822683A (zh) * | 2020-12-31 | 2021-05-18 | 四川英得赛克科技有限公司 | 一种利用移动网络进行非法外联的检测方法 |
| CN112822683B (zh) * | 2020-12-31 | 2023-04-07 | 四川英得赛克科技有限公司 | 一种利用移动网络进行非法外联的检测方法 |
| CN114448678A (zh) * | 2021-12-31 | 2022-05-06 | 南方电网数字电网研究院有限公司 | 非法外联监控系统和方法 |
| CN115051867A (zh) * | 2022-06-22 | 2022-09-13 | 深信服科技股份有限公司 | 一种非法外联行为的检测方法、装置、电子设备及介质 |
| CN115051867B (zh) * | 2022-06-22 | 2024-04-09 | 深信服科技股份有限公司 | 一种非法外联行为的检测方法、装置、电子设备及介质 |
| CN115190108A (zh) * | 2022-07-12 | 2022-10-14 | 北京天融信网络安全技术有限公司 | 一种检测被监控设备的方法、装置、介质及电子设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110290154A (zh) | 一种非法外联检测设备、方法与存储介质 | |
| CN108363662A (zh) | 一种应用程序测试方法、存储介质及终端设备 | |
| KR100966073B1 (ko) | 단말 사용자 관리 장치 및 방법 | |
| CN108965296A (zh) | 一种用于智能家居设备的漏洞检测方法及检测装置 | |
| CN104486320B (zh) | 基于蜜网技术的内网敏感信息泄露取证系统及方法 | |
| CN107800663A (zh) | 流量离线文件的检测方法及装置 | |
| CN109388963A (zh) | 一种移动终端用户隐私数据防护方法和装置 | |
| CN114611132A (zh) | 移动应用软件的隐私合规检测方法和隐私合规检测装置 | |
| CN105721406A (zh) | 一种获取ip黑名单的方法和装置 | |
| CN107707571A (zh) | 一种管理网络外联的方法和装置 | |
| CN114500039A (zh) | 基于安全管控的指令下发方法及系统 | |
| CN107948287A (zh) | 基于物联网的医疗服务真实性验证方法 | |
| CN105207831B (zh) | 操作事件的检测方法和装置 | |
| CN106060048A (zh) | 一种网络资源访问方法和装置 | |
| CN106161373A (zh) | 一种安全防护信息提示方法、安全监控装置以及系统 | |
| CN106850562A (zh) | 一种恶意外设检测系统及方法 | |
| CN112783942B (zh) | 基于区块链的数据采集质量核验方法及系统及装置及介质 | |
| CN108173823A (zh) | 页面防抓取方法及装置 | |
| CN114595761A (zh) | 一种网络数据智能分发服务系统 | |
| CN113922977A (zh) | 基于移动端的反作弊方法和系统 | |
| CN109246737B (zh) | 云手机自动回收方法与系统 | |
| CN108156052A (zh) | 一种设备稳定性测试的方法及系统 | |
| CN117677540A (zh) | 异常探测装置、安全系统以及异常通知方法 | |
| CN111787112A (zh) | 一种基于邮件内容的安全审计方法 | |
| CN107766720A (zh) | 对应用程序进行审计的系统、方法、装置及测试设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190927 |