CN114244570A - 终端非法外联监测方法、装置、计算机设备和存储介质 - Google Patents
终端非法外联监测方法、装置、计算机设备和存储介质 Download PDFInfo
- Publication number
- CN114244570A CN114244570A CN202111368956.3A CN202111368956A CN114244570A CN 114244570 A CN114244570 A CN 114244570A CN 202111368956 A CN202111368956 A CN 202111368956A CN 114244570 A CN114244570 A CN 114244570A
- Authority
- CN
- China
- Prior art keywords
- terminal
- monitored
- intranet
- response message
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 49
- 238000012544 monitoring process Methods 0.000 title claims abstract description 46
- 230000004044 response Effects 0.000 claims abstract description 150
- 238000001514 detection method Methods 0.000 claims abstract description 145
- 238000004891 communication Methods 0.000 claims abstract description 107
- 238000012806 monitoring device Methods 0.000 claims abstract description 10
- 238000004590 computer program Methods 0.000 claims description 27
- 238000010586 diagram Methods 0.000 description 8
- 230000002159 abnormal effect Effects 0.000 description 7
- 238000005516 engineering process Methods 0.000 description 5
- 230000006399 behavior Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 230000006835 compression Effects 0.000 description 1
- 238000007906 compression Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请涉及一种网络监测方法、装置、计算机设备和存储介质。所述方法包括:向内网中的待监测终端发送检测报文,以使待监测终端将检测报文的源地址修改为预设外网服务器的通信地址,并将检测报文转发至预设外网服务器,并接收由预设外网服务器返回的响应报文;响应报文的源地址为预设外网服务器以检测报文中的内网设备的通信地址构造得到;若内网设备能够接收到来自待监测终端发送的响应报文,则确定待监测终端为非法外联的终端,采用本方法不需要在终端安装网络监测软件,而是可以利用任一网络设备的开放端口向待监测终端发送检测报文来判断该待监测终端是否存在非法外联,提高了网络监测的效率。
Description
技术领域
本发明涉及数据处理领域,特别是涉及一种网络监测方法、装置、计算机设备和存储介质。
背景技术
随着网络技术的迅速发展,给社会提供便捷的同时也带来了威胁,许多不法分子利用网络进行信息窃取、破坏等活动。因此,在军队、银行以及政府机关中,往往需要将内部网络和外部网络进行严密隔离,从而防止被攻击,保证内部网络的信息安全。通过设置网络边界安全防护设备如防火墙可以达到隔离外部网络的目的,但是在这种情况下内部网络中的网络设备仍然可以通过私接行动热点、手机热点等不被允许的方式接入外部网络,这种行为都被称为非法外联。而这种非法外联的方式往往绕过了网络边界安全防护措施,对内部的信息安全构成了极大威胁,容易造成文件盗窃、黑客入侵、机密资料外传等情况。
在传统技术中,通常需要在所有内部网络设备上安装检测客户端,实时检测每个设备是否连接到外网,一旦发现当前终端非法外联,则将当前终端的详细信息上报至非法外联监控服务器,让网络管理员发现非法外联行为。然而,这需要所有被监测的网络设备安装检测客户端,对于新进入网络未安装检测客户端的设备或者由于用户不知情卸载了检测客户端的设备,会导致遗漏对部分终端的监测,从而无法对内网中所有终端进行全面监测,增加了内部网络信息泄露的风险。
发明内容
基于此,有必要针对上述技术问题,提供一种网络监测方法、装置、计算机设备和存储介质。
一种网络监测方法,所述方法包括:向内网中的待监测终端发送检测报文,以使所述待监测终端将所述检测报文的源地址修改为预设外网服务器的通信地址,并将所述检测报文转发至预设外网服务器,并接收由所述预设外网服务器返回的响应报文;所述响应报文的源地址为所述预设外网服务器以所述检测报文中的内网设备的通信地址构造得到;若所述内网设备能够接收到来自所述待监测终端发送的所述响应报文,则确定所述待监测终端为非法外联的终端。
在其中一个实施例中,还包括:所述向内网中的所述待监测终端发送检测报文,之前包括:获取待监测终端的设备特征信息,并基于所述设备特征信息向所述待监测终端发送网络连接请求;根据所述网络连接请求与所述待监测终端建立通信连接。
在其中一个实施例中,所述向所述待监测终端发送检测报文之后,还包括:记录所述待监测终端的通信地址;所述若所述内网设备能够接收到来自所述待监测终端发送的所述响应报文,则确定所述待监测终端为非法外联的终端之前,还包括:在将接收到任一报文之后,基于记录的所述待监测终端的通信地址确定所述报文是否为所述响应报文。
在其中一个实施例中,所述方法还包括:若确定了所述待监测终端为非法外联终端,向管理服务器发出非法外联的告警信息,以指示所述管理服务器生成与所述告警信息对应的响应措施。
在其中一个实施例中,所述方法还包括:若确定了所述待监测终端为非法外联终端,向管理服务器发出非法外联的告警信息,以指示所述管理服务器生成与所述告警信息对应的响应措施。
在其中一个实施例中,若所述内网设备未接收到来自所述待监测终端发送的所述响应报文,则确定所述待监测终端为合法终端。
一种网络检测方法,所述方法应用于外网服务器,包括:接收到待监测终端发送的检测报文后,从所述检测报文中解析出内网设备的通信地址;构造源地址为所述内网设备的通信地址的响应报文,并将所述响应报文返回至所述待监测终端,以指示所述待监测终端将所述响应报文转发至所述内网设备,由内网设备基于所述响应报文确定所述待监测终端为非法外联的终端。
一种网络检测装置,所述装置应用于内网设备,包括:发送模块,用于向内网中的待监测终端发送检测报文,以使所述待监测终端将所述检测报文的源地址修改为预设外网服务器的通信地址,并将所述检测报文转发至预设外网服务器,并接收由所述预设外网服务器返回的响应报文;所述响应报文的源地址为所述预设外网服务器以所述检测报文中的内网设备的通信地址构造得到;确定模块,用于若所述内网设备能够接收到来自所述待监测终端发送的所述响应报文,则确定所述待监测终端为非法外联的终端。
一种网络监测装置,所述装置应用于外网服务器,包括:解析模块,用于接收到待监测终端发送的检测报文后,从所述检测报文中解析出内网设备的通信地址;返回模块,用于构造源地址为所述内网设备的通信地址的响应报文,并将所述响应报文返回至所述待监测终端,以指示所述待监测终端将所述响应报文转发至所述内网设备,由内网设备基于所述响应报文确定所述待监测终端为非法外联的终端。
一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现以下步骤:向内网中的待监测终端发送检测报文,以使所述待监测终端将所述检测报文的源地址修改为预设外网服务器的通信地址,并将所述检测报文转发至预设外网服务器,并接收由所述预设外网服务器返回的响应报文;所述响应报文的源地址为所述预设外网服务器以所述检测报文中的内网设备的通信地址构造得到;若所述内网设备能够接收到来自所述待监测终端发送的所述响应报文,则确定所述待监测终端为非法外联的终端。
一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现以下步骤:
接收到待监测终端发送的检测报文后,从所述检测报文中解析出内网设备的通信地址;构造源地址为所述内网设备的通信地址的响应报文,并将所述响应报文返回至所述待监测终端,以指示所述待监测终端将所述响应报文转发至所述内网设备,由内网设备基于所述响应报文确定所述待监测终端为非法外联的终端。
一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现以下步骤:向内网中的待监测终端发送检测报文,以使所述待监测终端将所述检测报文的源地址修改为预设外网服务器的通信地址,并将所述检测报文转发至预设外网服务器,并接收由所述预设外网服务器返回的响应报文;所述响应报文的源地址为所述预设外网服务器以所述检测报文中的内网设备的通信地址构造得到;若所述内网设备能够接收到来自所述待监测终端发送的所述响应报文,则确定所述待监测终端为非法外联的终端。
一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现以下步骤:
接收到待监测终端发送的检测报文后,从所述检测报文中解析出内网设备的通信地址;构造源地址为所述内网设备的通信地址的响应报文,并将所述响应报文返回至所述待监测终端,以指示所述待监测终端将所述响应报文转发至所述内网设备,由内网设备基于所述响应报文确定所述待监测终端为非法外联的终端。
上述网络监测方法、装置、计算机设备和存储介质,内网设备向待监测终端发送检测报文,以使待监测终端将检测报文的源地址修改为预设外网服务器的通信地址,并将检测报文转发至预设外网服务器,并接收由预设外网服务器返回的响应报文;响应报文的源地址为预设外网服务器以检测报文中的内网设备的通信地址构造得到;若内网设备能够接收到来自待监测终端发送的响应报文,则确定待监测终端为非法外联的终端,不需要在终端安装网络监测软件,而是可以利用任一网络设备的开放端口向待监测终端发送检测报文来判断该待监测终端是否存在非法外联,从而使所有内网中的终端能够被全面监测,降低了内部网络信息泄露的风险。
附图说明
图1为一个实施例中网络监测方法的应用环境图;
图2为一个实施例中网络监测方法的流程示意图;
图3为一个实施例中检测报文发送步骤的流程示意图;
图4为另一个实施例中非法外联判断方法的流程示意图;
图5为另一实施例中网络监测方法的流程示意图;
图6为一个实施例中网络监测装置的结构框图;
图7为另一个实施例中网络监测装置的结构框图;
图8为一个实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
本申请提供的网络监测方法,可以应用于如图1所示的应用环境中。其中,内网设备102通过内网与待监测终端104进行通信,待监测终端104可以通过网络与外网服务器106相连接,也可以不与外网服务器106相连接。内网设备102向内网中的待监测终端104发送检测报文;待监测终端104将检测报文的源地址修改为外网服务器的通信地址,并将检测报文转发至外网服务器106,并接收由外网服务器106返回的响应报文;其中响应报文的源地址为外网服务器106以检测报文中的内网设备的通信地址构造得到;若内网设备102能够接收到来自待监测终端104发送的响应报文,则确定待监测终端104为非法外联的终端。其中,内网设备102可以是内网中的交换机、路由器等转发设备,也可以是内网服务器等设备。待监测终端104包括但不限于电脑、智能手机、平板电脑、便携式可穿戴设备等,即任何可在终端由用户操作的或机器自动操作的设备;外网服务器106可以用独立的服务器或者多个网络服务器组成的服务器组或基于云计算(Cloud Computing)的由大量计算机或网络服务器构成的云。
在一个实施例中,如图2所示,提供了一种网络监测方法,以该方法应用于图1中的内网设备102为例进行说明,包括以下步骤:
S202,向内网中的待监测终端发送检测报文,以使待监测终端将检测报文的源地址修改为预设外网服务器的通信地址,并将检测报文转发至预设外网服务器,并接收由预设外网服务器返回的响应报文;该响应报文的源地址为预设外网服务器以检测报文中的内网设备的通信地址构造得到。
其中,检测报文是内网设备为了检测待监测终端是否从内网中连接到外网而构造出的报文。根据该检测报文在传输过程中使用的协议可以将检测报文分为超文本传输协议报文,用户数据报协议报文等。
内网设备将检测报文发送给内网中的待监测终端后,待监测终端可以根据常用网络软件的报文特征以及报文类型构造检测报文,以便在对终端的调整尽量少的情况下完成对终端非法外联的监测。以某一软件为例,某软件中的报文是使用超文本传输协议进行传输的,某一软件中的报文中最后四个字节的内容可以随意修改,因此可以将内网设备的通信地址填充在百度软件的报文的最后四个字节,得到检测报文,此时该检测报文中的源地址为内网设备的通信地址,目标地址为待监测终端的通信地址。例如,假定内网中的待监测设备A的网际协议地址为192.168.1.4,外网服务器的网际协议地址为50.155.13.78,内网设备的网际协议地址192.168.1.2,并且使用检测报文的第一字段为源端口字段来负载待测设备A的地址信息。
为了使内网中的待监测终端在接收到内网设备发送的检测报文后,能够在与外网服务器连接的情况下,将该检测报文发送给与其相连接的外网服务器,可以通过将检测报文中的源地址修改为预设外网服务器的通信地址来实现。在一可选实施例中,待监测终端可以利用通信地址源路由欺骗技术,将检测报文的源通信地址修改为预设外网服务器的通信地址。
具体地,内网设备在构造检测报文之后,将检测报文发送至待监测终端,待监测终端会将检测报文的源地址修改为外网服务器的通信地址,如果待监测终端与预设的外网服务器相连接,则待监测终端在接收到该检测报文后,基于检测报文的源通信地址将其转发至预设外网服务器,外网服务器接收到待监测终端的检测报文后,会将与检测报文相对应的响应报文的源地址修改为发送该检测报文的内网设备的通信地址,并将构造后的响应报文发送给内网中的待监测终端,内网中的待监测终端收到改造后的响应报文后,根据响应报文中的内网设备的通信地址,将响应报文发往内网设备。如果待监测终端不能连接到预设外网服务器,则待监测终端无法对检测报文进行转发,可能会直接丢包处理,此时,对于待监测终端而言,无法接收到来自预设外网服务器的响应报文。
在一实施例中,为了提高对待监测终端的网络监测的准确性,会利用多个不同的内网设备对待监测终端的网络连接状态进行监测,具体地,当接收到异常终端的检测指令时,多个内网设备分别构造检测报文,并将检测报文发送给待监测终端,待监测终端将检测报文中的源通信地址修改为预设外网服务器的通信地址,以使该待监测终端在与预设外网服务器连接的情况下,将多个检测报文发送给预设外网服务器;内网设备根据是否接收到由待监测终端转发的响应报文来判断该待监测终端是否存在非法外联;根据多个内网设备的判断结果综合判断该待监测终端是否存在非法外联
S204,若内网设备能够接收到来自待监测终端发送的响应报文,则确定待监测终端为非法外联的终端。
其中,非法外联是指是指从内网中的终端从内网连接到外网,其中,内网可以指公司内部的局域网、广域网、城域网和VPN网络等;外网是可以指互联网。在内外网隔离的网络通信系统中,为了避免引入互联网的安全威胁,比如病毒、拒绝服务攻击等,内网一般不允许和外网连接。然而,内网中的一些终端设备会通过非法架设第三方上网通道进入互联网,例如私接移动热点,私自代理服务器等。
本申请实施例中,内网设备可以基于待监测终端的端口号和通信地址等信息,确定接收到的响应报文是否来自待监测终端,如果内网设备接收到来自待监测终端的响应报文后,则可以确定待监测终端为非法外联的终端。
具体地,若内网设备能够接收到响应报文,则可根据响应报文中的源地址以及发送报文的端口号来判断该响应报文是否由待监测终端发出,若内网设备判断该响应报文是由内网中的待监测终端发出的,则可以说明待监测终端能够与外网连接,从而判定该终端进行了非法外联。
上述网络监测方法中,向内网中的待监测终端发送检测报文,以使待监测终端将检测报文的源地址修改为预设外网服务器的通信地址,并将检测报文转发至预设外网服务器,并接收由预设外网服务器返回的响应报文;响应报文的源地址为预设外网服务器以检测报文中的内网设备的通信地址构造得到;若内网设备能够接收到来自待监测终端发送的响应报文,则确定待监测终端为非法外联的终端,不需要在终端安装网络监测软件,而是可以利用任一网络设备的开放端口向待监测终端发送检测报文来判断该待监测终端是否存在非法外联,从而使所有内网中的终端能够被全面监测,降低了内部网络信息泄露的风险。
在一个实施例中,如图3所示,向内网中的待监测终端发送检测报文,之前包括:
S302,获取待监测终端的设备特征信息,并基于设备特征信息向待监测终端发送网络连接请求。
其中,设备特征信息是指能够区分待监测终端与其他终端的标识信息,例如,待监测终端的通信地址,其中通信地址可以是物理地址或网际协议地址。
内网设备在对非法外联的终端进行监测之前,从管理服务器中获取各个内网终端的网络状态报告,其中网络状态报告包括内网中的终端发送的历史监控信息与历史发送报文信息,管理服务器根据各个内网终端的网络状态报告判断内网终端是否有异常,当存在异常情况的内网终端时,向内网设备发送监控指令,其中监控指令中包含异常情况的内网终端的设备标识。
其中,管理服务器还用于监控内网设备对待监测终端的监测过程。若内网设备在发送检测报文的过程中因为异常原因丢包,导致监控流程失败,管理端服务器可以重新向内网设备发送监测指令,以使内网设备重新向待监测终端发送检测报文。在一可选实施例中,内网设备和管理服务器之间的数据通信可以采用安全套接字协议加密和压缩的通信方式。
具体地,内网设备接收到管理服务器的监控指令,获取待监测终端的设备特征信息,并基于设备特征信息向待监测终端发送网络连接请求。
S304,根据网络连接请求与待监测终端建立通信连接。
具体地,待监测终端响应内网设备发送的网络连接请求,并向内网设备发送网络连接请求响应。内网设备根据该网络连接请求响应与待监测终端建立通信连接通道。在本实施例中,内网设备可以根据内网终端的网络状态报告对内网中网络状态报告异常的终端进行网络监测,并与待监测终端建立连接通道,监控粒度细且覆盖率高,有效并精准地进行网络问题的排查,提高了网络监控的效率。
在一实施例中,如图4所示,向待监测终端发送检测报文之后,还包括:
S402,记录待监测终端的通信地址。
具体地,内网设备向待监测终端发送检测报文之后,将待监测终端的通信地址以及内网设备发出检测报文的端口号记录在存储器中。
若内网设备能够接收到来自待监测终端发送的响应报文,则确定待监测终端为非法外联的终端之前,还包括:
S404,在将接收到任一报文之后,基于记录的待监测终端的通信地址确定报文是否为响应报文。
具体地,内网设备在向待监测终端发送检测报文之后,对接收到的任意报文进行解析,得出报文发送端的源地址以及内网设备接收报文的端口号,若接收到的报文的发送端源地址与S402记录的待监测终端的通信地址一致以及内网设备接收报文的端口号与内网设备发送检测报文的端口号一致时,则可以确定待监测终端为非法外联的终端。
在另一可选实施例中,若接收到的报文的发送端源地址与S402记录的待监测终端的通信地址不一致或者内网设备接收报文的端口号与内网设备发送检测报文的端口号不一致时,则认定该待监测终端不存在私自连接外网的情况,即该待监测终端为合法终端。
在一实施例中,该网络监测方法还包括:若确定了待监测终端为非法外联终端,向管理服务器发出非法外联的告警信息,以指示管理服务器生成与告警信息对应的响应措施。
具体地,当内网设备确定了待监测终端为非法外联的终端后,向管理服务器发出非法外联的告警信息和响应措施。其中告警信息包括向控制台发送告警信息,邮件告警信息等,响应措施包括阻断待监测终端与外网连接和重启机器。
在本实施例中,内网设备向内网中的待监测终端发送检测报文,从而能够自动对内网中的终端设备进行监测,并且能够在发现待监测终端存在网络连接问题后及时预警,对非法外联的网络问题采用响应措施,有效并精准地进行网络问题的排查,提高了网络监控的效率。
在一个实施例中,如图5所示,提供了一种网络监测方法,以该方法应用于图1中的外网服务器106为例进行说明,包括以下步骤:
S502,接收到待监测终端发送的检测报文后,从检测报文中解析出内网设备的通信地址。
由于待监测终端将检测报文的源地址构造成内网设备的通信地址,外网服务器接收到待监测终端发送的检测报文后,从该检测报文中解析出内网设备的通信地址,用于构造响应报文。
S504,构造源地址为内网设备的通信地址的响应报文,并将响应报文返回至待监测终端,以指示待监测终端将响应报文转发至内网设备,由内网设备基于响应报文确定待监测终端为非法外联的终端。
外网服务器根据检测报文中的解析出的内网设备的通信地址,并将检测报文中的内容封装在响应报文中,该响应报文以外网服务器的通信地址为源地址,以待监测终端的通信地址为目的地址,将该响应报文返回至待监测终端,为了使待监测终端在接收到该响应报文后能够将其转发至内网设备,外网服务器利用地址欺骗技术将该响应报文的源地址修改为内网设备的通信地址,以使待监测终端接收到该响应报文后,依据该响应报文中的内网设备的通信地址将响应报文发送给发送检测报文的内网设备,内网设备会基于记录的待监测终端的通信地址确定该报文是否为与检测报文相对应的响应报文,以此来判定待监测终端是否为合法终端。
在本实施例中,上述网络监测方法中,外网服务器接收到待监测终端发送的检测报文后,从检测报文中解析出内网设备的通信地址,并构造源地址为内网设备的通信地址的响应报文,并将响应报文返回至待监测终端,以指示待监测终端将响应报文转发至内网设备,由内网设备基于响应报文确定待监测终端为非法外联的终端,该方法不需要在终端安装网络监测软件,而是可以利用任一网络设备的开放端口向待监测终端发送检测报文来判断该待监测终端是否存在非法外联,从而使所有内网中的终端能够被全面监测,降低了内部网络信息泄露的风险。
在一个实施例中,提供了一种网络监测方法,以内网设备为内网服务器为例,该方法的步骤包括:
S1,内网服务器从管理端服务器中获取历史网络状态监控报告,并从历史网络状态监控报告中挑选出有过异常连接历史记录的待监测终端,并向该待监测终端发送网络连接请求;
S2,内网服务器与待监测终端建立连接通道之后,获取待监测终端的设备标识信息,并记录在存储器中;
S3,内网服务器构造检测报文,并将检测报文通过连接通道发送给待监测终端设备;
S4,待监测终端在接收到检测报文之后,将检测报文中的源地址由待监测终端的通信地址修改为预设外网服务器的通信地址,并基于预设外网服务器的通信地址将该检测报文发送给预设外网服务器;
S5,外网服务器接收到检测报文后,会构造与检测报文相对应的响应报文,首先将检测报文中的数据内容封装在响应报文中,并将响应报文发送给待监测终端,并利用路由欺骗技术将响应报文的源地址修改为内网服务器的通信地址,以指示待监测终端接收到响应报文后将其转发给内网服务器;
S6,若内网服务器能够接收到来自待监测终端发送的响应报文,则确定该待监测终端为非法外联的终端;若内网设备未接收到来自待监测终端发送的响应报文,则确定待监测终端为合法终端。
应该理解的是,虽然图2-5的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,图2-5中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
在一个实施例中,如图6所示,提供了一种网络监测装置600,所述装置应用于内网设备,包括:发送模块602和确定模块604,其中:
发送模块602,用于向内网中的待监测终端发送检测报文,以使所述待监测终端将所述检测报文的源地址修改为预设外网服务器的通信地址,并将所述检测报文转发至预设外网服务器,并接收由所述预设外网服务器返回的响应报文;所述响应报文的源地址为所述预设外网服务器以所述检测报文中的内网设备的通信地址构造得到。
确定模块604,用于若所述内网设备能够接收到来自所述待监测终端发送的所述响应报文,则确定所述待监测终端为非法外联的终端。
上述网络监测装置,向内网中的待监测终端发送检测报文,以使待监测终端将检测报文的源地址修改为预设外网服务器的通信地址,并将检测报文转发至预设外网服务器,并接收由预设外网服务器返回的响应报文;响应报文的源地址为预设外网服务器以检测报文中的内网设备的通信地址构造得到;若内网设备能够接收到来自待监测终端发送的响应报文,则确定待监测终端为非法外联的终端,不需要在终端安装网络监测软件,而是可以利用任一网络设备的开放端口向待监测终端发送检测报文来判断该待监测终端是否存在非法外联,提高了网络监测的效率。
在一个实施例中,发送模块602还用于获取待监测终端的设备特征信息,并基于所述设备特征信息向所述待监测终端发送网络连接请求;根据所述网络连接请求与所述待监测终端建立通信连接。
在一个实施例中,发送模块602还用于获取待监测终端的设备特征信息,并基于所述设备特征信息向所述待监测终端发送网络连接请求;确定模块604还用于在接收到任一报文之后,基于记录的所述待监测终端的通信地址确定所述报文是否为所述响应报文。
在一个实施例中,网络监测装置600还用于若确定了所述待监测终端为非法外联终端,向管理服务器发出非法外联的告警信息,以指示所述管理服务器生成与所述告警信息对应的响应措施。
在一个实施例中,网络监测装置600还用于若所述内网设备未接收到来自所述待监测终端发送的所述响应报文,则确定所述待监测终端为合法终端。
在一个实施例中,如图7所示,提供了一种网络监测装置700,所述装置应用于外网服务器,包括:解析模块702和返回模块704,其中:
解析模块702,用于接收到待监测终端发送的检测报文后,从所述检测报文中解析出内网设备的通信地址。
返回模块704,用于构造源地址为所述内网设备的通信地址的响应报文,并将所述响应报文返回至所述待监测终端,以便所述待监测终端将所述响应报文转发至所述内网设备,由内网设备基于所述响应报文确定所述待监测终端为非法外联的终端。
上述网络监测方法中,外网服务器接收到待监测终端发送的检测报文后,从检测报文中解析出内网设备的通信地址,并构造源地址为内网设备的通信地址的响应报文,并将响应报文返回至待监测终端,以指示待监测终端将响应报文转发至内网设备,由内网设备基于响应报文确定待监测终端为非法外联的终端,该方法不需要在终端安装网络监测软件,而是可以利用任一网络设备的开放端口向待监测终端发送检测报文来判断该待监测终端是否存在非法外联,提高了网络监测的效率。
关于网络监测装置的具体限定可以参见上文中对于网络监测方法的限定,在此不再赘述。上述网络监测装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是服务器,其内部结构图可以如图8所示。该计算机设备包括通过系统总线连接的处理器、存储器和网络接口。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储历史网络监控数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种网络监测方法。
本领域技术人员可以理解,图8中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现以下步骤:向内网中的待监测终端发送检测报文,以使所述待监测终端将所述检测报文的源地址修改为预设外网服务器的通信地址,并将所述检测报文转发至预设外网服务器,并接收由所述预设外网服务器返回的响应报文;所述响应报文的源地址为所述预设外网服务器以所述检测报文中的内网设备的通信地址构造得到;若所述内网设备能够接收到来自所述待监测终端发送的所述响应报文,则确定所述待监测终端为非法外联的终端。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:获取待监测终端的设备特征信息,并基于所述设备特征信息向所述待监测终端发送网络连接请求;根据所述网络连接请求与所述待监测终端建立通信连接。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:记录所述待监测终端的通信地址;在接收到任一报文之后,基于记录的所述待监测终端的通信地址确定所述报文是否为所述响应报文。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:若确定了所述待监测终端为非法外联终端,向管理服务器发出非法外联的告警信息,以指示所述管理服务器生成与所述告警信息对应的响应措施。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:若所述内网设备未接收到来自所述待监测终端发送的所述响应报文,则确定所述待监测终端为合法终端。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:接收到待监测终端发送的检测报文后,从所述检测报文中解析出内网设备的通信地址;构造源地址为所述内网设备的通信地址的响应报文,并将所述响应报文返回至所述待监测终端,以指示所述待监测终端将所述响应报文转发至所述内网设备,由内网设备基于所述响应报文确定所述待监测终端为非法外联的终端。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现以下步骤:向内网中的待监测终端发送检测报文,以使所述待监测终端将所述检测报文的源地址修改为预设外网服务器的通信地址,并将所述检测报文转发至预设外网服务器,并接收由所述预设外网服务器返回的响应报文;所述响应报文的源地址为所述预设外网服务器以所述检测报文中的内网设备的通信地址构造得到;若所述内网设备能够接收到来自所述待监测终端发送的所述响应报文,则确定所述待监测终端为非法外联的终端。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:获取待监测终端的设备特征信息,并基于所述设备特征信息向所述待监测终端发送网络连接请求;根据所述网络连接请求与所述待监测终端建立通信连接。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:获取待监测终端的设备特征信息,并基于所述设备特征信息向所述待监测终端发送网络连接请求;根据所述网络连接请求与所述待监测终端建立通信连接。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:记录所述待监测终端的通信地址;在接收到任一报文之后,基于记录的所述待监测终端的通信地址确定所述报文是否为所述响应报文。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:若确定了所述待监测终端为非法外联终端,向管理服务器发出非法外联的告警信息,以指示所述管理服务器生成与所述告警信息对应的响应措施。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:若所述内网设备未接收到来自所述待监测终端发送的所述响应报文,则确定所述待监测终端为合法终端。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:接收到待监测终端发送的检测报文后,从所述检测报文中解析出内网设备的通信地址;构造源地址为所述内网设备的通信地址的响应报文,并将所述响应报文返回至所述待监测终端,以指示所述待监测终端将所述响应报文转发至所述内网设备,由内网设备基于所述响应报文确定所述待监测终端为非法外联的终端。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-Only Memory,ROM)、磁带、软盘、闪存或光存储器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或外部高速缓冲存储器。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random Access Memory,SRAM)或动态随机存取存储器(Dynamic Random Access Memory,DRAM)等。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种网络监测方法,其特征在于,所述方法应用于内网设备,包括:
向内网中的待监测终端发送检测报文,以使所述待监测终端将所述检测报文的源地址修改为预设外网服务器的通信地址,并将所述检测报文转发至预设外网服务器,并接收由所述预设外网服务器返回的响应报文;所述响应报文的源地址为所述预设外网服务器以所述检测报文中的内网设备的通信地址构造得到;
若所述内网设备能够接收到来自所述待监测终端发送的所述响应报文,则确定所述待监测终端为非法外联的终端。
2.根据权利要求1所述的方法,其特征在于,所述向内网中的所述待监测终端发送检测报文,之前包括:
获取待监测终端的设备特征信息,并基于所述设备特征信息向所述待监测终端发送网络连接请求;
根据所述网络连接请求与所述待监测终端建立通信连接。
3.根据权利要求1所述的方法,其特征在于,所述向所述待监测终端发送检测报文之后,还包括:
记录所述待监测终端的通信地址;
所述若所述内网设备能够接收到来自所述待监测终端发送的所述响应报文,则确定所述待监测终端为非法外联的终端之前,还包括:
在接收到任一报文之后,基于记录的所述待监测终端的通信地址确定所述报文是否为所述响应报文。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
若确定了所述待监测终端为非法外联终端,向管理服务器发出非法外联的告警信息,以指示所述管理服务器生成与所述告警信息对应的响应措施。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
若所述内网设备未接收到来自所述待监测终端发送的所述响应报文,则确定所述待监测终端为合法终端。
6.一种网络检测方法,其特征在于,所述方法应用于外网服务器,包括:
接收到待监测终端发送的检测报文后,从所述检测报文中解析出内网设备的通信地址;
构造源地址为所述内网设备的通信地址的响应报文,并将所述响应报文返回至所述待监测终端,以指示所述待监测终端将所述响应报文转发至所述内网设备,由内网设备基于所述响应报文确定所述待监测终端为非法外联的终端。
7.一种网络监测装置,其特征在于,所述装置应用于内网设备,包括:
发送模块,用于向内网中的待监测终端发送检测报文,以使所述待监测终端将所述检测报文的源地址修改为预设外网服务器的通信地址,并将所述检测报文转发至预设外网服务器,并接收由所述预设外网服务器返回的响应报文;所述响应报文的源地址为所述预设外网服务器以所述检测报文中的内网设备的通信地址构造得到;
确定模块,用于若所述内网设备能够接收到来自所述待监测终端发送的所述响应报文,则确定所述待监测终端为非法外联的终端。
8.一种网络监测装置,其特征在于,所述装置应用于外网服务器,包括:
解析模块,用于接收到待监测终端发送的检测报文后,从所述检测报文中解析出内网设备的通信地址;
返回模块,用于构造源地址为所述内网设备的通信地址的响应报文,并将所述响应报文返回至所述待监测终端,以指示所述待监测终端将所述响应报文转发至所述内网设备,由内网设备基于所述响应报文确定所述待监测终端为非法外联的终端。
9.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至6中任一项所述的方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至6中任一项所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111368956.3A CN114244570B (zh) | 2021-11-18 | 2021-11-18 | 终端非法外联监测方法、装置、计算机设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111368956.3A CN114244570B (zh) | 2021-11-18 | 2021-11-18 | 终端非法外联监测方法、装置、计算机设备和存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114244570A true CN114244570A (zh) | 2022-03-25 |
| CN114244570B CN114244570B (zh) | 2023-12-22 |
Family
ID=80749943
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111368956.3A Active CN114244570B (zh) | 2021-11-18 | 2021-11-18 | 终端非法外联监测方法、装置、计算机设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114244570B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114584395A (zh) * | 2022-04-18 | 2022-06-03 | 南京硕茂电子科技有限公司 | 一种基于网络安全的大数据安全防护系统及方法 |
| CN114785721A (zh) * | 2022-04-12 | 2022-07-22 | 中国南方电网有限责任公司 | 一种网络违规操作识别系统、方法和装置 |
| CN115987675A (zh) * | 2022-12-30 | 2023-04-18 | 北京明朝万达科技股份有限公司 | 违规外联检测方法、装置、移动终端及存储介质 |
| CN116938570A (zh) * | 2023-07-27 | 2023-10-24 | 北京天融信网络安全技术有限公司 | 一种检测方法、装置、存储介质及电子设备 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010177839A (ja) * | 2009-01-28 | 2010-08-12 | Hitachi Software Eng Co Ltd | 組織外ネットワーク接続端末検出システム |
| US20190058730A1 (en) * | 2017-08-18 | 2019-02-21 | eSentire, Inc. | System and method to spoof a tcp reset for an out-of-band security device |
| CN109922058A (zh) * | 2019-02-27 | 2019-06-21 | 江西网是科技有限公司 | 一种防止非法访问内网的内网保护方法 |
| CN111130931A (zh) * | 2019-12-17 | 2020-05-08 | 杭州迪普科技股份有限公司 | 一种违规外联设备的检测方法及装置 |
| CN111385376A (zh) * | 2020-02-24 | 2020-07-07 | 杭州迪普科技股份有限公司 | 一种终端的非法外联监测方法、装置、系统及设备 |
| CN111885217A (zh) * | 2020-07-21 | 2020-11-03 | 深信服科技股份有限公司 | 一种数据通信方法、装置、设备及存储介质 |
| CN111917697A (zh) * | 2020-03-17 | 2020-11-10 | 北京融汇画方科技有限公司 | 基于非客户端模式主动检查在线违规外联技术 |
| CN112104618A (zh) * | 2020-08-27 | 2020-12-18 | 深信服科技股份有限公司 | 一种信息确定方法、信息确定设备和计算机可读存储介质 |
-
2021
- 2021-11-18 CN CN202111368956.3A patent/CN114244570B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010177839A (ja) * | 2009-01-28 | 2010-08-12 | Hitachi Software Eng Co Ltd | 組織外ネットワーク接続端末検出システム |
| US20190058730A1 (en) * | 2017-08-18 | 2019-02-21 | eSentire, Inc. | System and method to spoof a tcp reset for an out-of-band security device |
| CN109922058A (zh) * | 2019-02-27 | 2019-06-21 | 江西网是科技有限公司 | 一种防止非法访问内网的内网保护方法 |
| CN111130931A (zh) * | 2019-12-17 | 2020-05-08 | 杭州迪普科技股份有限公司 | 一种违规外联设备的检测方法及装置 |
| CN111385376A (zh) * | 2020-02-24 | 2020-07-07 | 杭州迪普科技股份有限公司 | 一种终端的非法外联监测方法、装置、系统及设备 |
| CN111917697A (zh) * | 2020-03-17 | 2020-11-10 | 北京融汇画方科技有限公司 | 基于非客户端模式主动检查在线违规外联技术 |
| CN111885217A (zh) * | 2020-07-21 | 2020-11-03 | 深信服科技股份有限公司 | 一种数据通信方法、装置、设备及存储介质 |
| CN112104618A (zh) * | 2020-08-27 | 2020-12-18 | 深信服科技股份有限公司 | 一种信息确定方法、信息确定设备和计算机可读存储介质 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114785721A (zh) * | 2022-04-12 | 2022-07-22 | 中国南方电网有限责任公司 | 一种网络违规操作识别系统、方法和装置 |
| CN114584395A (zh) * | 2022-04-18 | 2022-06-03 | 南京硕茂电子科技有限公司 | 一种基于网络安全的大数据安全防护系统及方法 |
| CN114584395B (zh) * | 2022-04-18 | 2024-03-01 | 东方魂数字科技(北京)有限公司 | 一种基于网络安全的大数据安全防护系统及方法 |
| CN115987675A (zh) * | 2022-12-30 | 2023-04-18 | 北京明朝万达科技股份有限公司 | 违规外联检测方法、装置、移动终端及存储介质 |
| CN115987675B (zh) * | 2022-12-30 | 2024-03-19 | 北京明朝万达科技股份有限公司 | 违规外联检测方法、装置、移动终端及存储介质 |
| CN116938570A (zh) * | 2023-07-27 | 2023-10-24 | 北京天融信网络安全技术有限公司 | 一种检测方法、装置、存储介质及电子设备 |
| CN116938570B (zh) * | 2023-07-27 | 2024-05-28 | 北京天融信网络安全技术有限公司 | 一种检测方法、装置、存储介质及电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114244570B (zh) | 2023-12-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN114244570B (zh) | 终端非法外联监测方法、装置、计算机设备和存储介质 | |
| US10440049B2 (en) | Network traffic analysis for malware detection and performance reporting | |
| US10873594B2 (en) | Test system and method for identifying security vulnerabilities of a device under test | |
| CN103607399B (zh) | 基于暗网的专用ip网络安全监测系统及方法 | |
| US9356959B2 (en) | System and method for monitoring network traffic | |
| CN110768999B (zh) | 一种设备非法外联的检测方法及装置 | |
| CN108521408B (zh) | 抵抗网络攻击方法、装置、计算机设备及存储介质 | |
| US20030084321A1 (en) | Node and mobile device for a mobile telecommunications network providing intrusion detection | |
| US20030145225A1 (en) | Intrusion event filtering and generic attack signatures | |
| US20030145226A1 (en) | Integrated intrusion detection services | |
| US11870792B2 (en) | Abnormal traffic analysis apparatus, abnormal traffic analysis method, and abnormal traffic analysis program | |
| US20210352104A1 (en) | Detecting malicious activity in a cluster | |
| US10375076B2 (en) | Network device location information validation for access control and information security | |
| US10320804B2 (en) | Switch port leasing for access control and information security | |
| US10375099B2 (en) | Network device spoofing detection for information security | |
| US10992643B2 (en) | Port authentication control for access control and information security | |
| US11190515B2 (en) | Network device information validation for access control and information security | |
| CN108769016B (zh) | 一种业务报文的处理方法及装置 | |
| US20050259657A1 (en) | Using address ranges to detect malicious activity | |
| US20220263861A1 (en) | Detecting botnets | |
| CN114499915A (zh) | 一种虚拟节点与蜜罐结合的诱捕攻击方法、装置及系统 | |
| CN117938635A (zh) | 基于icmp协议的故障检测方法、装置和计算机设备 | |
| CN111654474B (zh) | 一种安全检测的方法和装置 | |
| CN115484110A (zh) | Ddos处理方法、装置、电子设备和存储介质 | |
| CN113596060A (zh) | 一种网络安全应急响应方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |