发明内容
基于此,有必要针对上述技术问题,提供一种能够提高信息安全性的非法外联监控系统和方法。
第一方面,本申请提供了一种内网外联监控系统。所述系统包括:
监控终端设备和内网支撑维稳平台,所述监控终端设备与所在内网的各内网终端以及所述内网支撑维稳平台通信连接;
所述监控终端设备,用于从所述内网支撑维稳平台获取网连检测策略,根据所述网连检测策略接收连接至内网的连接信息和识别所述内网终端的已有连接信息,对所述连接信息进行合规性检测,获得合规性检测结果,根据所述已有连接信息向所述内网支撑维稳平台发送探测数据包,获取所述内网支撑维稳平台返回的探测响应,并根据所述合规性检测结果和所述探测响应确定是否存在非法外联;
所述内网支撑维稳平台,用以配置所述网连检测策略,并存储对应的内网的各所述内网终端的终端信息,并接收所述监控终端设备发送的探测数据包,根据所述终端信息向所述监控终端设备返回探测响应。
在其中一个实施例中,所述监控终端设备包括:终端控制模块,以及与所述终端控制模块通信连接的非法外联检测引擎、及终端通信模块;
所述终端控制模块,用于通过所述终端通信模块从所述内网支撑维稳平台获取所述网连检测策略,并将所述网连检测策略部署到所述非法外联检测引擎;
所述非法外联检测引擎,用于根据所述网连检测策略,接收连接至内网的连接信息和识别所述内网终端的已有连接信息,对所述连接信息进行合规性检测,获得合规性检测结果,根据所述已有连接信息向所述内网支撑维稳平台发送探测数据包,获取所述内网支撑维稳平台返回的探测响应,并根据所述合规性检测结果和所述探测响应确定是否存在非法外联。
在其中一个实施例中,所述非法外联检测引擎,每间隔预设时间段,识别所述内网终端的已有连接信息,根据所述已有连接信息向所述内网支撑维稳平台发送探测数据包。
在其中一个实施例中,所述监控终端设备还包括:与所述终端控制模块通信连接的健康检测模块;
所述内网支撑维稳平台,还用以配置健康检测策略;
所述终端控制模块,用于通过所述终端通信模块从所述内网支撑维稳平台获取所述健康检测策略,并将所述健康检测策略部署到所述健康检测模块;
所述健康检测模块,用于根据所述健康监测策略,对所述内网终端的终端状态信息进行健康合规性检查,所述终端状态信息包括桌面状态、系统软件状态、以及网络连接状态,获得健康合规性检查结果,并根据所述健康合规性检查结果确定是否允许所述内网终端进入下一步的外网连接。
在其中一个实施例中,所述非法外联检测引擎,还用于在接收到所述连接信息,或者根据所述探测响应确定存在非法外联时,发出告警信息;
所述终端控制模块,还用于通过所述终端通信模块向内网监控人员发出非法外联的所述告警信息。
在其中一个实施例中,所述内网支撑维稳平台包括:内网控制模块,与所述内网控制模块连接的内网通信模块、储存管理模块、监控策略模块及信息处理模块;
所述储存管理模块,用以存储对应的内网的各所述内网终端的终端信息;
所述监控策略模块,用以配置所述网连检测策略以及所述健康监测策略;
所述内网控制模块,用于将所述网连检测策略以及所述健康监测策略,通过所述内网通信模块同步至所述监控终端设备,并通过所述内网通信模块接收所述监控终端设备发送的探测数据包,并将获得的探测响应通过所述内网通信模块返回给所述监控终端设备;
所述信息处理模块,用于根据存储的内网的各所述内网终端的终端信息,确定对应的所述探测响应。
在其中一个实施例中,所述终端信息包括:绑定的内网终端的设备型号、IP地址以及MAC地址;所述探测数据包包括:所述内网终端的当前设备型号、当前IP地址以及当前MAC地址;
所述信息处理模块,用于在所述当前设备型号、当前IP地址以及当前MAC地址,与绑定的内网终端的设备型号、IP地址以及MAC地址相一致时,确定所述探测响应为无非法外联。
在其中一个实施例中,所述内网控制模块,还用于通过所述内网通信模块接收所述监控终端设备发送的非法外联的所述告警信息。
在其中一个实施例中,本申请还提供了一种内网外联监控方法,所述方法包括:
接收连接至所在内网的连接信息,对所述连接信息进行合规性检测,获得合规性检测结果;
识别所在内网的各内网终端的已有连接信息;
根据所述已有连接信息向所述内网支撑维稳平台发送探测数据包,获取所述内网支撑维稳平台返回的探测响应;
根据所述合规性检测结果和所述探测响应确定是否存在非法外联。
在其中一个实施例中,所述方法还包括:
获取所在内网的各所述内网终端的终端状态信息,所述终端状态信息包括桌面状态、系统软件状态、以及网络连接状态;
对终端状态信息进行健康合规性检查,获得健康合规性检查结果;
根据所述健康合规性检查结果确定是否允许所述内网终端进入下一步的外网连接。
上述非法外联监控系统和方法,用户终端若由于接入USB网卡或无线网卡而接入外部非法网络后,通常会被篡改MAC地址,或IP地址。监控终端获取到内网平台发送的外联检测指令时,会获取用户终端当前连接的网络信息,对用户终端进行合规性检测,合规性检测可以用于检测网络信息是否对应为外部非法网络,当网络信息能通过合规性检测时,表明该网络信息不是外部非法网络,监控终端授权使用户终端连接内网。相当于只有在用户终端没被篡改IP地址和MAC地址时,才能接入内网,在一定程度上能够提高信息安全性。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
在一个实施例中,如图1所示,提供了一种内网外联监控系统,该系统包括监控终端设备10和内网支撑维稳平台20,监控终端设备10与所在内网的各内网终端以及内网支撑维稳平台20通信连接;监控终端设备10,用于从内网支撑维稳平台20获取网连检测策略,根据网连检测策略接收连接至内网的连接信息和识别内网终端的已有连接信息,对连接信息进行合规性检测,获得合规性检测结果,根据已有连接信息向内网支撑维稳平台20发送探测数据包,获取内网支撑维稳平台20返回的探测响应,并根据合规性检测结果和探测响应确定是否存在非法外联;内网支撑维稳平台20,用以配置网连检测策略,并存储对应的内网的各内网终端的终端信息,并接收监控终端设备10发送的探测数据包,根据终端信息向监控终端设备10返回探测响应。
其中,监控终端设备10是可以用于对各内网终端进行监测的计算机设备,可以设置至少一个。内网终端是内网用户所使用的计算机设备。内网支撑维稳平台20是和各监控终端设备10、内网终端通信连接的服务器。监控终端设备10、各内网终端和内网支撑维稳平台20之间可以通过有线或无线的方式通信连接。
内网支撑维稳平台20预先存储有网连检测策略,网连检测策略是根据内网终端连接外部网络的各种情况所设置的相应的检测方法,网连检测策略包括当内网终端连接通过USB网卡和无线网卡等方式连接外部网络时,对应的检测方法。
为了使监控终端设备10能够及时监测到内网终端的网络异常连接情况,监控终端设备10可以从内网支撑维稳平台20下载获取网连检测策略,根据网连检测策略接收连接至内网的连接信息,和识别内网终端的已有连接信息,对连接信息进行合规性检测。其中,连接信息是指内网终端当前连接的网络连接信息。在一个实施例中,连接信息包括无线网卡或USB网卡插入内网终端时连接至内网的网络连接信息。已有连接信息是内网终端历史连接过的,经过监控终端设备10认证的网络连接信息。在一个实施例中,已有连接信息包括无线网卡或USB网卡插入内网终端时历史连接过内网,且经过监控终端认证的网络连接信息。
合规性检测是可以对连接信息的合法性进行检测的一种检测方式,在一个实施例中,合规性检测可以是对连接信息地址进行检测,当连接信息地址属于合法的连接信息地址,则监控终端设备10初步认为该连接信息正常,能通过合规性检测。合规性检测结果是对连接信息进行合规性检测之后得到的检测分析结果,是对连接信息的初步判断结果。在一个实施例中,若合规性检测是对连接信息地址进行检测,则合规性检测结果包括连接信息地址的检测分析结果。
探测数据包是监控终端设备10根据内网终端的已有连接信息所识别生成的数据包,探测数据包主要包括当前内网终端的至少一个已有连接信息。监控终端基于识别的已有连接信息时,将根据该部分已有连接信息向内网支撑维稳平台20发送探测数据包。内网支撑维稳平台20在获取到探测数据包之后,会做出响应,生成探测响应并发送给监控终端设备10,探测响应包括该连接信息是否为已有连接信息。监控终端根据合规性检测结果和探测响应进行分析,可以确定是否存在非法外联。具体地,当合规性检测结果为正常时,表明该连接信息为非法外联的可能性较低,进一步结合探测响应分析,若探测响应确定该连接信息为已有连接信息,则监控终端设备10确定该连接至内网的连接信息不存在非法外联。当合规性检测结果为异常时,表明该连接信息为非法外联的可能性较高,进一步结合探测响应分析,则监控终端设备10确定该连接至内网的连接信息存在非法外联。
上述内网外联监控系统,监控终端设备从内网支撑维稳平台获取网连检测策略后,根据网连检测策略接收连接至内网的连接信息,对其进行合规性检测,得到合规性检测结果。合规性检测结果是对连接信息的初步判断结果,可以初步确定该连接信息是否正常或合法。同时,监控终端设备通过识别内网终端的已有连接信息,根据已有连接信息向内网支撑维稳平台发送探测数据包,得到相应的探测响应。结合获得的合规性检测结果,根据探测响应可以进一步准确判断该是否存在非法外联,在一定程度上能够提高信息安全性。
请继续参见图1,在一个实施例中,监控终端设备10包括:终端终端控制模块13,以及与终端终端控制模块13通信连接的非法外联检测引擎11、及终端通信模块14;终端终端控制模块13,用于通过终端通信模块14从内网支撑维稳平台20获取网连检测策略,并将网连检测策略部署到非法外联检测引擎11;非法外联检测引擎11,用于根据网连检测策略,接收连接至内网的连接信息和识别内网终端的已有连接信息,对连接信息进行合规性检测,获得合规性检测结果,根据已有连接信息向内网支撑维稳平台20发送探测数据包,获取内网支撑维稳平台20返回的探测响应,并根据合规性检测结果和探测响应确定是否存在非法外联。
其中,监控终端设备10包括终端终端控制模块13、非法外联检测引擎11和终端通信模块14,终端终端控制模块13与非法外联检测引擎11、终端通信模块14之间通信连接。终端终端控制模块13是监控终端设备10的核心控制部件,用于通过终端通信模块14从内网支撑维稳平台20获取网连检测策略,并将网连检测策略部署到非法外联检测引擎11中。非法外联检测引擎11是监控终端设备10为了检测非法外联而专门设置。非法外联检测引擎11,用于根据网连检测策略,接收连接至内网的连接信息和识别内网终端的已有连接信息,对连接信息进行合规性检测,获得合规性检测结果,根据已有连接信息向内网支撑维稳平台20发送探测数据包,获取内网支撑维稳平台20返回的探测响应,并根据合规性检测结果和探测响应确定是否存在非法外联。即,非法外联检测引擎11和终端终端控制模块13是监控终端设备10中确定是否存在非法外联的主要部件。
具体地,在一个实施例中,非法外联检测引擎11,每间隔预设时间段,识别内网终端的已有连接信息,根据已有连接信息向内网支撑维稳平台20发送探测数据包。其中,预设时间段是在监控终端设备10中预先设置好的,非法外联检测引擎11每间隔预设时间段,识别内网终端的已有连接信息。根据已有连接信息向内网支撑维稳平台20发送探测数据包。
本实施例中,通过终端控制模块获取网连检测策略,将网连检测策略部署到非法外联引擎上,使非法外联引擎能根据网连检测策略,对连接信息进行合规性检测,并根据已有连接信息向内网支撑维稳平台发送探测数据包,从而得到并根据合规性检测结果和探测响应确定是否存在非法外联。
请参见图1,在一个实施例中,监控终端设备10还包括:与终端终端控制模块13通信连接的健康检测模块12;内网支撑维稳平台20,还用以配置健康检测策略;终端终端控制模块13,用于通过终端通信模块14从内网支撑维稳平台20获取健康检测策略,并将健康检测策略部署到健康检测模块12;健康检测模块12,用于根据健康监测策略,对内网终端的终端状态信息进行健康合规性检查,终端状态信息包括桌面状态、系统软件状态、以及网络连接状态,获得健康合规性检查结果,并根据健康合规性检查结果确定是否允许内网终端进入下一步的外网连接。
其中,内网支撑维稳平台20,还用以配置健康检测策略,健康检测策略是对内网终端进行健康合规性检查的检测策略。先由内网支撑维稳平台20发送给监控终端设备10,监控终端设备10接收到后再根据该健康检测策略对内网终端进行健康合规性检查。
具体地,监控终端设备10还包括健康检测模块12,健康检测模块12与终端终端控制模块13通信连接。健康检测模块12是对内网终端的终端状态信息进行健康合规性检查的模块,其中,终端状态信息包括内网终端的桌面状态、系统软件状态和网络连接状态。
健康合规性检查是对内网终端的终端状态信息进行的合规性检查,对于不同的终端状态信息,将得到对应的健康合规性检查结果。具体地,在一个实施例中,对桌面状态的健康合规性检查结果至少包括检查桌面是否弹出垃圾广告。当桌面状态的健康合规性检查结果中显示没有弹出垃圾广告时,确定该项健康合规性检查结果为正常。在一个实施例中,对系统软件的健康合规性检查结果至少包括检查系统软件是否有木马病毒等。当系统软件的健康合规性检查结果中显示没有木马病毒时,确定该项健康合规性检查结果为正常。在一个实施例中,对网络连接状态的健康合规性检查结果至少包括检查网络连接地址是否合法。
在获得各终端状态信息对应的健康合规性检查结果时,若各项健康合规性检查结果均正常,则监控终端设备10确定允许内网终端进入下一步的外网连接。若存在至少一项健康合规性检查结果不正常,则监控终端设备10确定不允许内网终端进入下一步的外网连接,从而可以在非法外联检测引擎11检测到非法外联之前,提前阻断可能为非法外联的网络连接到内网。
本实施例中,监控终端设备通过终端控制模块从内网支撑维稳平台获取健康检测策略,使健康检测模块基于该健康监测策略对内网终端的终端状态信息进行健康合规性检查,得到健康合规性检查结果,从而确定是否允许内网终端进入下一步的外网连接,可以提前阻断可能为非法外联的网络连接到内网。
对于上述各内网外联监控系统,在一个实施例中,非法外联检测引擎,还用于在接收到连接信息,或者根据探测响应确定存在非法外联时,发出告警信息;终端控制模块,还用于通过终端通信模块向内网监控人员发出非法外联的告警信息。
其中,非法外联检测引擎,在接收到连接信息,或者根据探测响应确定存在非法外联时,向内网终端发出告警信息。同时,终端控制模块还通过终端通信模块向内网监控人员发出非法外联的告警信息。
本实施例中,通过非法外联检测引擎,在接收到连接信息,或者根据探测响应确定存在非法外联时,发出告警信息,从而对内网终端用户和监控人员起到及时提醒的作用。
对于上述各内网外联监控系统,如图1所示,在一个实施例中,内网支撑维稳平台20包括:内网控制模块22,与内网控制模块22连接的内网通信模块21、储存管理模块23、监控策略模块24及信息处理模块25。储存管理模块23,用以存储对应的内网的各内网终端的终端信息。监控策略模块24,用以配置网连检测策略以及健康监测策略;内网控制模块22,用于将网连检测策略以及健康监测策略,通过内网通信模块21同步至监控终端设备10,并通过内网通信模块21接收监控终端设备10发送的探测数据包,并将获得的探测响应通过内网通信模块21返回给监控终端设备10。在一个实施例中,内网控制模块22,还用于通过内网通信模块21接收监控终端设备10发送的非法外联的告警信息。信息处理模块25,用于根据存储的内网的各内网终端的终端信息,确定对应的探测响应。
终端信息是指内网终端相关的设备信息。具体地,在一个实施例中,终端信息包括:绑定的内网终端的设备型号、IP地址以及MAC地址;探测数据包包括:内网终端的当前设备型号、当前IP地址以及当前MAC地址;信息处理模块25,用于在当前设备型号、当前IP地址以及当前MAC地址,与绑定的内网终端的设备型号、IP地址以及MAC地址相一致时,确定探测响应为无非法外联。
在本实施例中,通过将内网终端的当前设备型号、当前IP地址以及当前MAC地址等,与已绑定的内网终端的设备型号、IP地址以及MAC地址进行比对,只有相一致时,信息处理模块才确定探测响应为无非法外联。
对于内网外联监控方法的限定,请参见上述各内网外联监控系统的实施例,此处不作赘述。
在一个实施例中,如图2所示,提供了一种内网外联监控方法,以该方法应用于图1中的内网外联监控系统为例进行说明,包括以下步骤:
步骤202,接收连接至所在内网的连接信息,对所述连接信息进行合规性检测,获得合规性检测结果。
步骤204,识别所在内网的各内网终端的已有连接信息。
步骤206,根据所述已有连接信息向所述内网支撑维稳平台发送探测数据包,获取所述内网支撑维稳平台返回的探测响应。
步骤208,根据所述合规性检测结果和所述探测响应确定是否存在非法外联。
上述内网外联监控方法中,监控终端设备从内网支撑维稳平台获取网连检测策略后,根据网连检测策略接收连接至内网的连接信息,对其进行合规性检测,得到合规性检测结果。合规性检测结果是对连接信息的初步判断结果,可以初步确定该连接信息是否正常或合法。同时,监控终端设备通过识别内网终端的已有连接信息,根据已有连接信息向内网支撑维稳平台发送探测数据包,得到相应的探测响应。结合获得的合规性检测结果,根据探测响应可以进一步准确判断该是否存在非法外联,在一定程度上能够提高信息安全性。
在一个实施例中,内网外联监控方法,还包括:获取所在内网的各所述内网终端的终端状态信息,所述终端状态信息包括桌面状态、系统软件状态、以及网络连接状态;对终端状态信息进行健康合规性检查,获得健康合规性检查结果;根据所述健康合规性检查结果确定是否允许所述内网终端进入下一步的外网连接。
本实施例中,监控终端设备通过终端控制模块从内网支撑维稳平台获取健康检测策略,使健康检测模块基于该健康监测策略对内网终端的终端状态信息进行健康合规性检查,得到健康合规性检查结果,从而确定是否允许内网终端进入下一步的外网连接,可以提前阻断可能为非法外联的网络连接到内网。
在一个具体实施例中,如图3所示,内网外联监控方法,包括S1-S5,其中:
S1:预先在监控终端设备上安装非法外联检测引擎,随后在计算机内网中部署内网支撑维稳平台;
S2:在内网支撑保障平台中存储所有被监控的内网计算机的型号、IP地址和MAC地址之间的绑定信息,同时对被监控的绑定信息进行同步管理;
S3:预定非法外联检测引擎每次间隔预设时间段,自动识别计算机的网络连接信息,同时健康检测模块对本地办公终端中包括的桌面、系统软件及网络连接唯一性在内的各项指标进行合规性检测;
S4:根据S3中的合规性检测,以分析响应信息来判断该计算机是否非法外联,其中,若是非法外联时,则通过告警发送单元向内网监控人员发出非法外联的告警信息,若不是非法外联时,内网连接成功;
S5:内网支撑保障平台中的监控策略模块每隔设定时长尝试连接非法外联检测引擎,并判断监控终端设备的监控状态。
本实施例中,内网支撑维稳平台中的监控策略模块每间隔预设时间段尝试连接非法外联检测引擎;其中,若非法外联连接成功时,同步断开被监控的内网计算机的网络连接,并定时检测对方是否被关闭,当发现对方被关闭时对对方进行再次启动。
应该理解的是,虽然如上所述的各实施例所涉及的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,如上所述的各实施例所涉及的流程图中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是终端,其内部结构图可以如图4所示。该计算机设备包括通过系统总线连接的处理器、存储器、通信接口、显示屏和输入装置。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的通信接口用于与外部的终端进行有线或无线方式的通信,无线方式可通过WIFI、移动蜂窝网络、NFC(近场通信)或其他技术实现。该计算机程序被处理器执行时以实现一种内网外联监控方法。该计算机设备的显示屏可以是液晶显示屏或者电子墨水显示屏,该计算机设备的输入装置可以是显示屏上覆盖的触摸层,也可以是计算机设备外壳上设置的按键、轨迹球或触控板,还可以是外接的键盘、触控板或鼠标等。
本领域技术人员可以理解,图4中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,还提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现上述各方法实施例中的步骤。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述各方法实施例中的步骤。
在一个实施例中,提供了一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现上述各方法实施例中的步骤。
需要说明的是,本申请所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于分析的数据、存储的数据、展示的数据等),均为经用户授权或者经过各方充分授权的信息和数据。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-OnlyMemory,ROM)、磁带、软盘、闪存、光存储器、高密度嵌入式非易失性存储器、阻变存储器(ReRAM)、磁变存储器(Magnetoresistive Random Access Memory,MRAM)、铁电存储器(Ferroelectric Random Access Memory,FRAM)、相变存储器(Phase Change Memory,PCM)、石墨烯存储器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或外部高速缓冲存储器等。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random Access Memory,SRAM)或动态随机存取存储器(Dynamic RandomAccess Memory,DRAM)等。本申请所提供的各实施例中所涉及的数据库可包括关系型数据库和非关系型数据库中至少一种。非关系型数据库可包括基于区块链的分布式数据库等,不限于此。本申请所提供的各实施例中所涉及的处理器可为通用处理器、中央处理器、图形处理器、数字信号处理器、可编程逻辑器、基于量子计算的数据处理逻辑器等,不限于此。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本申请专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请的保护范围应以所附权利要求为准。