CN112202749B - 违规外连检测方法、检测设备、联网终端及存储介质 - Google Patents
违规外连检测方法、检测设备、联网终端及存储介质 Download PDFInfo
- Publication number
- CN112202749B CN112202749B CN202011019838.7A CN202011019838A CN112202749B CN 112202749 B CN112202749 B CN 112202749B CN 202011019838 A CN202011019838 A CN 202011019838A CN 112202749 B CN112202749 B CN 112202749B
- Authority
- CN
- China
- Prior art keywords
- asset
- data packet
- detection
- data
- externally connected
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/12—Network monitoring probes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Abstract
本发明公开了一种空调器的控制方法,包括以下步骤:向待检测资产发送检测数据包,其中,所述检测数据包中的源IP地址为联网终端的IP地址,以使所述待检测资产接收到所述检测数据包时,向所述联网终端发送所述检测数据包对应的响应数据包;接收所述联网终端反馈的外连资产数据,并根据所述外连资产数据确定违规外连的风险资产,其中,所述联网终端根据所述响应数据包确定所述外连资产数据。本发明还公开了一种检测设备、联网终端及计算机可读存储介质,达成了提高数据安全性的效果。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及违规外连检测方法、检测设备、联网终端及计算机可读存储介质。
背景技术
在相关技术中,针对资产违规外连的行为安全检测,大部分都是通过对资产的行为日志或流量行为进行分析实现的。这样导致只能在资产已经发生违规外连接行为之后,才能检测到资产存在违规外连接风险。从而导致相关技术方案无法规避资产违规外连接,这样存在数据安全性较低的缺陷。
上述内容仅用于辅助理解本发明的技术方案,并不代表承认上述内容是现有技术。
发明内容
本发明的主要目的在于提供一种违规外连检测方法、检测设备、联网终端及计算机可读存储介质,旨在达成提升数据安全性的目的。
为实现上述目的,本发明提供一种违规外连检测方法,应用于检测设备,所述检测设备为内网设备,所述违规外连检测方法包括以下步骤:
向待检测资产发送检测数据包,其中,所述检测数据包中的源IP地址为联网终端的IP地址,以使所述待检测资产接收到所述检测数据包时,向取所述联网终端发送所述检测数据包对应的响应数据包;
接收所述联网终端反馈的外连资产数据,并根据所述外连资产数据确定违规外连的风险资产,其中,所述联网终端根据所述响应数据包确定所述外连资产数据。
可选地,所述向待检测资产发送检测数据包的步骤之前,还包括:
获取所述待检测资产对应的协议类型;
根据所述协议类型生成所述待检测资产对应的所述检测数据包。
可选地,所述根据所述协议类型生成所述待检测资产对应的所述检测数据包的步骤的包括:
根据所述协议类型生成初始检测数据包;
将所述初始检测数据包中的源IP地址修改为所述联网终端对应的IP地址,并将修改IP地址后的所述初始检测数据包作为所述检测数据包。
可选地,所述接收所述联网终端反馈的外连资产数据,并根据所述外连资产数据确定违规外连的风险资产的步骤之后,还包括:
确定所述风险资产对应的名称信息和/或用户信息;
输出所述名称信息和/或用户信息。
可选地,所述向待检测资产发送检测数据包的步骤之前,还包括:
输出资产选定界面,并通过所述资产选定界面接收资产选定指令;
根据所述资产选定指令确定目标资产;
向所述目标资产发送在线检测数据包;
接收所述目标资产的响应数据,并将所述响应数据对应的目标资产作为所述待检测资产。
可选地,所述接收所述联网终端反馈的外连资产数据的步骤之前,还包括:
向所述联网终端发送外连资产数据请求,以供所述联网终端在接收到所述外连资产数据请求时,反馈所述外连资产数据请求对应的外连资产数据。
此外,本发明还提供一种违规外连检测方法,应用于联网终端,所述违规外连检测方法包括以下步骤:
接收待检测资产发送的响应数据包;
根据所述响应数据包确定外连资产数据;
将所述外连资产数据发送至检测设备,以供所述检测设备根据所述外连资产数据确定违规外连的风险资产。
可选地,所述根据所述响应数据确定外连资产数据的步骤包括:
解析所述响应数据包,并根据解析结果获取所述响应数据包的关联数据;
将所述关联数据作为所述外连资产数据。
可选地,所述关联数据包括源IP,源端口,目的IP,目的端口,协议类型以及确认字符中的至少一个。
可选地,所述响应数据包为检测数据包的响应数据,所述联网终端根据接收到的数据包的同步序列号,识别所述检测数据对应的响应数据包。
此外,为实现上述目的,本发明还提供一种检测设备,所述检测设备包括:
发送模块,向待检测资产发送检测数据包,其中,所述检测数据包中的源IP地址为联网终端的IP地址,以使所述待检测资产接收到所述检测数据包时,向取所述联网终端发送所述检测数据包对应的响应数据包;
接收模块,接收所述联网终端反馈的外连资产数据,并根据所述外连资产数据确定违规外连的风险资产,其中,所述联网终端根据所述响应数据包确定所述外连资产数据。
此外,为实现上述目的,本发明还提供一种检测设备,所述检测设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的违规外连检测程序,所述违规外连检测程序被所述处理器执行时实现如上所述的违规外连检测方法的步骤。
此外,为实现上述目的,本发明还提供一种联网终端,其特征在于,所述联网终端包括:
接收模块,用于接收待检测资产发送的响应数据包;
确认模块,用于根据所述响应数据包确定外连资产数据;
发送模块,用于将所述外连资产数据发送至检测设备,以供所述检测设备根据所述外连资产数据确定违规外连的风险资产。
此外,为实现上述目的,本发明还提供一种联网终端,所述联网终端包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的违规外连检测程序,所述违规外连检测程序被所述处理器执行时实现如上所述的违规外连检测方法的步骤。
此外,为实现上述目的,本发明还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有违规外连检测程序,所述违规外连检测程序被处理器执行时实现如上所述的违规外连检测方法的步骤。
本发明实施例提出的一种违规外连检测方法、检测设备及计算机可读存储介质,先向待检测资产发送检测数据包,其中,所述检测数据包中的源IP地址为联网终端的IP地址,以使所述待检测资产接收到所述检测数据包时,向取所述联网终端发送所述检测数据包对应的响应数据包,然后接收所述联网终端反馈的外连资产数据,并根据所述外连资产数据确定违规外连的风险资产,其中,所述联网终端根据所述响应数据包确定所述外连资产数据。由于可以通过主动向待检测资产发送检测数据包的方式,检测待检测资产是否具备违规外连的能力,从而使得可以在数据泄露危险发生之前,发现具备违规外连的能力的风险资产,这样有利于管控数据泄露风险,从而提高了数据的安全性。
附图说明
图1是本发明实施例方案涉及的硬件运行环境的终端结构示意图;
图2为本发明违规外连检测方法的一实施例的流程示意图;
图3为本发明实施例涉及的网络系统的拓扑结构图;
图4为本发明规外连检测方法的另一实施例的流程示意图
图5为本发明规外连检测方法的又一实施例的流程示意图;
图6为本发明实施例涉及的检测设备的模块化简图;
图7为本发明实施例设定的联网终端的模块化简图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
由于在相关技术中,针对资产违规外连的行为安全检测,大部分都是通过对资产的行为日志或流量行为进行分析实现的。这样导致只能在资产已经发生违规外连接行为之后,才能检测到资产存在违规外连接风险。从而导致相关技术方案无法规避资产违规外连接,这样存在数据安全性较低的缺陷。
为解决上述缺陷,本发明实施提出一种违规外连检测方法,其主要解决方案应用于检测设备,所述检测设备为内网设备,包括以下步骤:
向待检测资产发送检测数据包,其中,所述检测数据包中的源IP地址为联网终端的IP地址,以使所述待检测资产接收到所述检测数据包时,向取所述联网终端发送所述检测数据包对应的响应数据包;
接收所述联网终端反馈的外连资产数据,并根据所述外连资产数据确定具备违规外连能力的风险资产,其中,所述联网终端根据所述响应数据包确定所述外连资产数据。
由于可以通过主动向待检测资产发送检测数据包的方式,检测待检测资产是否具备违规外连的能力,从而使得可以在数据泄露危险发生之前,发现具备违规外连的能力的风险资产,这样有利于管控数据泄露风险,从而提高了数据的安全性。
如图1所示,图1是本发明实施例方案涉及的硬件运行环境的终端结构示意图。
本发明实施例终端可以是PC机等检测设备。
如图1所示,该终端可以包括:处理器1001,例如CPU,网络接口1004,用户接口1003,存储器1005,通信总线1002。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard)、鼠标等,可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。存储器1005可以是高速RAM存储器,也可以是稳定的存储器(non-volatile memory),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
本领域技术人员可以理解,图1中示出的终端结构并不构成对终端的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,作为一种计算机存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及违规外连检测程序。
在图1所示的终端中,网络接口1004主要用于连接后台服务器,与后台服务器进行数据通信;处理器1001可以用于调用存储器1005中存储的违规外连检测程序,并执行以下操作:
向待检测资产发送检测数据包,其中,所述检测数据包中的源IP地址为联网终端的IP地址,以使所述待检测资产接收到所述检测数据包时,向取所述联网终端发送所述检测数据包对应的响应数据包;
接收所述联网终端反馈的外连资产数据,并根据所述外连资产数据确定具备违规外连能力的风险资产,其中,所述联网终端根据所述响应数据包确定所述外连资产数据。
进一步地,处理器1001可以调用存储器1005中存储的违规外连检测程序,还执行以下操作:
获取所述待检测资产对应的协议类型;
根据所述协议类型生成所述待检测资产对应的所述检测数据包。
进一步地,处理器1001可以调用存储器1005中存储的违规外连检测程序,还执行以下操作:
根据所述协议类型生成初始检测数据包;
将所述初始检测数据包中的的源IP地址修改为所述联网终端对应的IP地址,并将修改IP地址后的所述初始检测数据包作为所述检测数据包。
进一步地,处理器1001可以调用存储器1005中存储的违规外连检测程序,还执行以下操作:
确定所述风险资产对应的名称信息和/或用户信息;
输出所述名称信息和/或用户信息。
进一步地,处理器1001可以调用存储器1005中存储的违规外连检测程序,还执行以下操作:
输出资产选定界面,并通过所述资产选定界面接收资产选定指令;
根据所述资产选定指令确定目标资产;
向所述目标资产发送在线检测数据包;
接收所述目标资产的响应数据,并将所述响应数据对应的目标资产作为所述待检测资产。
进一步地,处理器1001可以调用存储器1005中存储的违规外连检测程序,还执行以下操作:
向所述联网终端发送外连资产数据请求,以供所述联网终端在接收到所述外连资产数据请求时,反馈所述外连资产数据请求对应的外连资产数据。
参照图2,在本发明违规外连检测方法的一实施例中,所述违规外连检测方法包括以下步骤:
步骤S1、向待检测资产发送检测数据包,其中,所述检测数据包中的源IP地址为联网终端的IP地址,以使所述待检测资产接收到所述检测数据包时,向取所述联网终端发送所述检测数据包对应的响应数据包;
步骤S2、接收所述联网终端反馈的外连资产数据,并根据所述外连资产数据确定违规外连的风险资产,其中,所述联网终端根据所述响应数据包确定所述外连资产数据。
在相关技术中,为了实现在保障企业获取团体的数据安全的同时,并且提示团体内成员数据交互的便携性,一般可以将团体成员对应的电子设备通过内网连接。即团体的电子资产通过内网连接。
但是在实际应用场景中,为了满足个人或者团体需求,不可避免的需要与外网建立连接。因此,许多内网与外网之间设置有防火墙,取证服务器等用于保障内网数据安全的设备。但是由于安全防护系统必然存在的安全漏洞,或者应为内网成员操作不当或者黑客攻击等客观原因,会导致内网的部分资产存在违规外连(Link Risk)现象。即在封闭网络中,通过某条链路或者某种方法使内网设备可以访问互联网。
在相关技术中,针对资产违规外连的行为安全检测,大部分都是通过对资产的行为日志或流量行为进行分析实现的。这样导致只能在资产已经发生违规外连接行为之后,才能检测到资产存在违规外连接风险。从而导致相关技术方案无法规避资产违规外连接,这样存在数据安全性较低的缺陷。
为解决相关技术存在的上述缺陷,本发明实施例提供一种违规外联检测方法。为使得本领域技术人员更好的理解本发明权利要求要求保护的范围,以下通过具体实施案例对本发明进行解释,可以理解的是,一下解释并不用于限定本发明。
在本实施例中,作为一种可选地实现方案,本实施例提供一种网络拓扑方案。参照图3,在该网络拓扑方案中,内网310内设置有检测设备311和资产312。其中,上述检测设备311与资产312之间通信连接。上述资产312还通过互联网与外网320的联网终端321通信连接。上述检测设备311也可以通过互联网与联网终端321通信连接。
在本实施例中,用户可以通过检测设备输出的交互界面启动违规外连检测。当违规外联检测启动后,检测设备被可以向待检测资产发送检测数据包。其中,上述待检测资产可以由用户选定,也可以有系统确定。
示例1,在一应用场景中,检测设备可以输出资产选择界面,从而在上述资产选择界面中选定上述待检测资产。
示例2,检测设备可以在检测到违规外联检测启动后,根据预设规则,自动选定内网中的部分资产作为上述待检测资产。其中,预设规则可以是根据预设优先级,选定预设个数的资产作为待检测资产,或者根据当前内网中每一资产的风险系数选定预设个数的资产作为待检测资产等。本实施例对此不作限定。
可选地,为提高检测效率,还可以在用户或者系统选定上述待检测资产后,先将用户或者系统选定的待检测资产作为目标资产,并向目标资产发送以普通数据包。其中,上述普通数据包可以是内网通信过程中,的基础握手包。当接收到目标资产的响应数据后,将接收到的响应数据对应的目标资产,作为最终的待检测资产,将为响应的目标资产,不作为上述待检测资产。即不对为响应的资产进行违规外联检测。
示例性地,检测设备可以先书输出一资产选定界面,其中,上述资产选定界面中可以显示内网对应的全部资产或者部分资产。进而通过所述资产选定界面接收用户下发资产选定指令,并根据所述资产选定指令确定目标资产。在确定目标资产后,向所述目标资产发送在线检测数据包,当目标资产响应该在线检测数据包后,将响应该在线检测数据包的目标资产作为待检测资产,为响应的则不作为待检测资产。
进一步地,在进行违规外联检测时,可以先基于预设的ACK(Acknowledgecharacter,确认字符)生成初始数据包,然后将上述初始数据包的源IP地址修改为联网终端的IP地址后,将上述初始数据包作为检测数据包。
可选地,在本实施例中,为提高违规外连检测方案的兼容性,在生成上述初始数据包之前,可以先获取每一待检测资产对应的网络协议,即获取每一待检测资产对应的协议类型。然后根据获取到的协议类型,生成与每一待检测资产一一对应的初始数据包。
当生成检测数据包后,可以将上述检测数据包发送至待检测资产。其中,待检测资产接收到上述检测数据包后,会响应上述检测数据包。由于已经将上述检测数据包的源IP修改为联网终端的IP地址,因此,上述待检测资产会将该检测数据包对应的响应数据包,发送至联网终端中,即该待检测资产在接收到检测数据包后,响应互联网的联网终端。
联网终端在接收到响应数据包后,联网终端根据该响应数据包进行违规外联资产取证,从而确定违规外连的风险资产对应的外连资产数据。并将该外连资产数据发送至该检测设备。
可选地,当联网终端确定外连资产数据后,可以主动发送至上述检测设备,也可以是在接收到检测设备发送的外连资产数据请求后,将外连资产数据作为外连资产数据请求的响应数据,发送至上述检测设备。其中,外连资产数据可以包括风险资产响应联网终端时,响应数据包的源IP,源端口,目的IP,目的端口,协议类型以及确认字符中的至少一个。
进一步地,检测设备可以接收联网终端发送的外连资产数据,进而根据外连资产数据确定内网资产中,具备违规外连能力的风险资产。
需要说明的是,在本实施例中,上述步骤S1和S2于检测设备中执行。
在本实施例公开的技术方案中,先向待检测资产发送检测数据包,其中,所述检测数据包中的源IP地址为联网终端的IP地址,以使所述待检测资产接收到所述检测数据包时,向取所述联网终端发送所述检测数据包对应的响应数据包,然后接收所述联网终端反馈的外连资产数据,并根据所述外连资产数据确定具备违规外连能力的风险资产,其中,所述联网终端根据所述响应数据包确定所述外连资产数据。由于可以通过主动向待检测资产发送检测数据包的方式,检测待检测资产是否具备违规外连的能力,从而使得可以在数据泄露危险发生之前,发现具备违规外连的能力的风险资产,这样有利于管控数据泄露风险,从而提高了数据的安全性。
可选地,参照图4,基于上述实施例,在另一实施例中,上述步骤S2之后,还包括:
步骤S3、确定所述风险资产对应的名称信息和/或用户信息;
步骤S4、输出所述名称信息和/或用户信息。
在本实施例中,当前确定风险资产后,可以获取上述风险资产对应的名称信息和/或用户信息。并输出上述名称信息和/或用户信息。以供用户根据输出上述名称信息和/或用户信息确定当前内网中具备违规外连能力的资产。
可选地,在确定风险资产后,还可以对风险资产执行预设的安全操作。其中,上述预设的安全操作包括切断风险资产的网络连接,限制风险资产的数据上传功能,和/或锁定上述风险资产。
参照图5,在本发明违规外连检测方法的又一实施例中,所述违规外联检测方法包括以下步骤:
步骤S10、接收待检测资产发送的响应数据包;
步骤S20、根据所述响应数据包确定外连资产数据;
步骤S30、将所述外连资产数据发送至检测设备,以供所述检测设备根据所述外连资产数据确定具备违规外连能力的风险资产。
在本实施例中,违规外联检测方法应用于联网终端。上述联网终端设置为取证服务器。取证服务器可以接收来自互联网的访问请求数据包。其中,取证服务器接收到的访问请求数据包包括待检测资产发送的响应数据包,以及其它终端发送的请求数据包。因此,取证服务器可以实时监听所有来自互联网的访问请求数据包,通过解析数据包得到数据包内的源IP,源端口,目的IP,目的端口,协议类型,同步序列号,ACK(Acknowledge character,确认字符)。进而过数据解析比对同步序列号的加密结果。区分合法有效的数据包和伪造攻击的数据包,伪造攻击的数据包将被丢弃。对于比对结果一致的数据包(即接收到的待检测资产发送的响应数据包)将其包内的数据统一格式化,以确定该资产对应的响应数据包的:源IP,源端口,目的IP,目的端口,协议类型,同步序列号,确认字符,以及该资产是否违规外连,违规外连的时间,以及违规外连使用的网络协议中的至少一个。即根据所述响应数据包确定外连资产数据。
进一步地,取证服务器可以主动将所述外连资产数据发送至检测设备,以供所述检测设备根据所述外连资产数据确定具备违规外连能力的风险资产。
也可以先将所述外连资产数据保存至数据库中,其中,该数据库包括但不限于Mysql(关系型数据库管理系统),Oracle Database(甲骨文数据库),Sqlsever(一种关系型数据库),mongodb(一种基于分布式文件存储的数据库)和/或elasticsearch(一种数据库)等。并在接收到检测设备发送的外连资产数据请求时,将数据库保存的外连资产数据发送至检测设备。
在本实施例公开的技术方案中,接收待检测资产发送的响应数据包,然后根据所述响应数据包确定外连资产数据,最后将所述外连资产数据发送至检测设备,以供所述检测设备根据所述外连资产数据确定具备违规外连能力的风险资产。这样使得检测设备可以在资产发生违规外连之前,发现具备违规外联能力的资产,从而达成了提高内网数据的安全性的效果。
此外,本发明实施例还提出一种检测设备,所述检测设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的违规外连检测程序,所述违规外连检测程序被所述处理器执行时实现如上各个实施例所述的违规外连检测方法的步骤。
参照图6,本发明实施例还提出一种检测设备60,所述检测设备60包括:
发送模块61,用于向待检测资产发送检测数据包,其中,所述检测数据包中的源IP地址为联网终端的IP地址,以使所述待检测资产接收到所述检测数据包时,向取所述联网终端发送所述检测数据包对应的响应数据包;
接收模块62,用于接收所述联网终端反馈的外连资产数据,并根据所述外连资产数据确定具备违规外连能力的风险资产,其中,所述联网终端根据所述响应数据包确定所述外连资产数据。
此外,本发明实施例还提出一种取证服务器,所述取证服务器包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的违规外连检测程序,所述违规外连检测程序被所述处理器执行时实现如上各个实施例所述的违规外连检测方法的步骤。
参照图7,本发明实施例还提出一种取证服务器70,所述取证服务器70包括:
接收模块71,用于接收待检测资产发送的响应数据包;
确认模块72,用于根据所述响应数据包确定外连资产数据;
发送模块73,用于将所述外连资产数据发送至检测设备,以供所述检测设备根据所述外连资产数据确定具备违规外连能力的风险资产。
此外,本发明实施例还提出一种计算机可读存储介质,所述计算机可读存储介质上存储有违规外连检测程序,所述违规外连检测程序被处理器执行时实现如上各个实施例所述的违规外连检测方法的步骤。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在如上所述的一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是服务器或者PC机等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (11)
1.一种违规外连检测方法,其特征在于,应用于检测设备,所述检测设备为内网设备,所述违规外连检测方法包括以下步骤:
输出资产选定界面,并通过所述资产选定界面接收资产选定指令;
根据所述资产选定指令确定目标资产;
向所述目标资产发送在线检测数据包;
接收所述目标资产的响应数据,并将所述响应数据对应的目标资产作为待检测资产;
获取所述待检测资产对应的协议类型;
根据所述协议类型生成初始检测数据包;
将所述初始检测数据包中的源IP地址修改为联网终端对应的IP地址,并将修改IP地址后的所述初始检测数据包作为检测数据包;
向所述待检测资产发送所述检测数据包,其中,所述检测数据包中的源IP地址为所述联网终端的IP地址,以使所述待检测资产接收到所述检测数据包时,向所述联网终端发送所述检测数据包对应的响应数据包;
向所述联网终端发送外连资产数据请求,以供所述联网终端在接收到所述外连资产数据请求时,反馈所述外连资产数据请求对应的外连资产数据;
接收所述联网终端反馈的所述外连资产数据,并根据所述外连资产数据确定违规外连的风险资产,其中,所述联网终端根据所述响应数据包确定所述外连资产数据。
2.如权利要求1所述的违规外连检测方法,其特征在于,所述接收所述联网终端反馈的所述外连资产数据,并根据所述外连资产数据确定违规外连的风险资产的步骤之后,还包括:
确定所述风险资产对应的名称信息和/或用户信息;
输出所述名称信息和/或用户信息。
3.一种违规外连检测方法,其特征在于,应用于联网终端,所述违规外连检测方法包括以下步骤:
接收待检测资产发送的响应数据包;
解析所述响应数据包,并根据解析结果获取所述响应数据包的关联数据;
其中,所述解析所述响应数据包,并根据解析结果获取所述响应数据包的关联数据的步骤包括:
解析所述响应数据包,得到所述响应数据包中的同步序列号的加密结果;
比对所述加密结果,以区分所述响应数据包中的合法有效数据包和伪造攻击数据包;
将所述加密结果比对不一致的所述伪造攻击数据包做丢弃处理,将加密结果比对一致的所述合法有效数据包内的数据统一格式化,以确定所述合法有效数据包的关联数据;
将所述关联数据作为外连资产数据;
将所述外连资产数据发送至检测设备,以供所述检测设备根据所述外连资产数据确定违规外连的风险资产。
4.如权利要求3所述的违规外连检测方法,其特征在于,所述关联数据包括源IP,源端口,目的IP,目的端口,协议类型以及确认字符中的至少一个。
5.如权利要求3所述的违规外连检测方法,其特征在于,在接收到所述检测设备发送的外连资产数据请求时,执行所述将所述外连资产数据发送至检测设备的步骤。
6.如权利要求3所述的违规外连检测方法,其特征在于,所述响应数据包为检测数据包的响应数据,所述联网终端根据接收到的数据包的同步序列号,识别所述检测数据对应的响应数据包。
7.一种检测设备,其特征在于,所述检测设备包括:
发送模块,获取待检测资产对应的协议类型;根据所述协议类型生成初始检测数据包;将所述初始检测数据包中的源IP地址修改为联网终端对应的IP地址,并将修改IP地址后的所述初始检测数据包作为检测数据包;向所述待检测资产发送所述检测数据包,其中,所述检测数据包中的源IP地址为所述联网终端的IP地址,以使所述待检测资产接收到所述检测数据包时,向所述联网终端发送所述检测数据包对应的响应数据包;向所述联网终端发送外连资产数据请求,以供所述联网终端在接收到所述外连资产数据请求时,反馈所述外连资产数据请求对应的外连资产数据;
接收模块,接收所述联网终端反馈的外连资产数据,并根据所述外连资产数据确定违规外连的风险资产,其中,所述联网终端根据所述响应数据包确定所述外连资产数据。
8.一种检测设备,其特征在于,所述检测设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的违规外连检测程序,所述违规外连检测程序被所述处理器执行时实现如权利要求1至2中任一项所述的违规外连检测方法的步骤。
9.一种联网终端,其特征在于,所述联网终端包括:
接收模块,用于接收待检测资产发送的响应数据包;
确认模块,用于解析所述响应数据包,并根据解析结果获取所述响应数据包的关联数据;其中,所述解析所述响应数据包,并根据解析结果获取所述响应数据包的关联数据的步骤包括:解析所述响应数据包,得到所述响应数据包中的同步序列号的加密结果;比对所述同步序列号的加密结果,以区分所述响应数据包中的合法有效数据包和伪造攻击数据包;将所述加密结果比对不一致的所述伪造攻击数据包做丢弃处理,将加密结果比对一致的所述合法有效数据包内的数据统一格式化,以确定所述合法有效数据包的关联数据;将所述关联数据作为外连资产数据;
发送模块,用于将所述外连资产数据发送至检测设备,以供所述检测设备根据所述外连资产数据确定违规外连的风险资产。
10.一种联网终端,其特征在于,所述联网终端包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的违规外连检测程序,所述违规外连检测程序被所述处理器执行时实现如权利要求3至6中任一项所述的违规外连检测方法的步骤。
11.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有违规外连检测程序,所述违规外连检测程序被处理器执行时实现如权利要求1至2或者3至6中任一项所述的违规外连检测方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011019838.7A CN112202749B (zh) | 2020-09-24 | 2020-09-24 | 违规外连检测方法、检测设备、联网终端及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011019838.7A CN112202749B (zh) | 2020-09-24 | 2020-09-24 | 违规外连检测方法、检测设备、联网终端及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112202749A CN112202749A (zh) | 2021-01-08 |
| CN112202749B true CN112202749B (zh) | 2023-07-14 |
Family
ID=74007275
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011019838.7A Active CN112202749B (zh) | 2020-09-24 | 2020-09-24 | 违规外连检测方法、检测设备、联网终端及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112202749B (zh) |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101436958A (zh) * | 2007-11-16 | 2009-05-20 | 太极计算机股份有限公司 | 抵御拒绝服务攻击的方法 |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1176421C (zh) * | 2002-03-04 | 2004-11-17 | 北京启明星辰信息技术有限公司 | 内联网计算机与因特网未授权连接监测系统及方法 |
| CN101521578B (zh) * | 2009-04-03 | 2011-09-07 | 北京邮电大学 | 一种封闭网络内检测计算机非法外联的方法 |
| CN107317729A (zh) * | 2017-07-11 | 2017-11-03 | 浙江远望信息股份有限公司 | 一种基于icmp协议的多种网络互联的主动探测方法 |
| CN107959596A (zh) * | 2017-11-17 | 2018-04-24 | 北京锐安科技有限公司 | 一种基于网络系统的监测网络的方法以及网络系统 |
| CN110768999B (zh) * | 2019-10-31 | 2022-01-25 | 杭州迪普科技股份有限公司 | 一种设备非法外联的检测方法及装置 |
| CN111131203B (zh) * | 2019-12-12 | 2022-06-28 | 杭州迪普科技股份有限公司 | 一种外联监控方法及装置 |
| CN111130931B (zh) * | 2019-12-17 | 2022-04-26 | 杭州迪普科技股份有限公司 | 一种违规外联设备的检测方法及装置 |
| CN111385376B (zh) * | 2020-02-24 | 2022-12-23 | 杭州迪普科技股份有限公司 | 一种终端的非法外联监测方法、装置、系统及设备 |
-
2020
- 2020-09-24 CN CN202011019838.7A patent/CN112202749B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101436958A (zh) * | 2007-11-16 | 2009-05-20 | 太极计算机股份有限公司 | 抵御拒绝服务攻击的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112202749A (zh) | 2021-01-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10091220B2 (en) | Platform for protecting small and medium enterprises from cyber security threats | |
| US9942220B2 (en) | Preventing unauthorized account access using compromised login credentials | |
| CN107209830B (zh) | 用于识别并抵抗网络攻击的方法 | |
| JP5029701B2 (ja) | 仮想マシン実行プログラム、ユーザ認証プログラムおよび情報処理装置 | |
| US9282114B1 (en) | Generation of alerts in an event management system based upon risk | |
| JP4405248B2 (ja) | 通信中継装置、通信中継方法及びプログラム | |
| CN111400722B (zh) | 扫描小程序的方法、装置、计算机设备和存储介质 | |
| US8219496B2 (en) | Method of and apparatus for ascertaining the status of a data processing environment | |
| CN105376245A (zh) | 一种基于规则的apt攻击行为的检测方法 | |
| CN102523218B (zh) | 一种网络安全防护方法、设备和系统 | |
| CN105939326A (zh) | 处理报文的方法及装置 | |
| CN113259392B (zh) | 一种网络安全攻防方法、装置及存储介质 | |
| CN113868659B (zh) | 一种漏洞检测方法及系统 | |
| CN114257413A (zh) | 基于应用容器引擎的反制阻断方法、装置和计算机设备 | |
| CN110602134B (zh) | 基于会话标签识别非法终端访问方法、装置及系统 | |
| US20150163238A1 (en) | Systems and methods for testing and managing defensive network devices | |
| CN112202749B (zh) | 违规外连检测方法、检测设备、联网终端及存储介质 | |
| CN104038474A (zh) | 互联网访问的检测方法及装置 | |
| CN108282443A (zh) | 一种爬虫行为识别方法和装置 | |
| KR100772177B1 (ko) | 보안 기능 시험을 위한 침입 탐지 이벤트 생성 방법 및장치 | |
| WO2017068714A1 (ja) | 不正通信制御装置および方法 | |
| CN113868670A (zh) | 一种漏洞检测流程检验方法及系统 | |
| JP3986871B2 (ja) | アンチプロファイリング装置およびアンチプロファイリングプログラム | |
| KR20170015178A (ko) | 소스 코드를 분석하여 보안 취약점과 웹쉘을 탐지하는 웹 서버 보안 시스템 및 그 방법 | |
| CN114884736B (zh) | 一种防爆破攻击的安全防护方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |