CN114584352A - 多网络互联的网络违规外联检测方法、装置及系统 - Google Patents
多网络互联的网络违规外联检测方法、装置及系统 Download PDFInfo
- Publication number
- CN114584352A CN114584352A CN202210158467.3A CN202210158467A CN114584352A CN 114584352 A CN114584352 A CN 114584352A CN 202210158467 A CN202210158467 A CN 202210158467A CN 114584352 A CN114584352 A CN 114584352A
- Authority
- CN
- China
- Prior art keywords
- network
- data packet
- address
- detection
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 144
- 238000000034 method Methods 0.000 claims abstract description 55
- 238000005259 measurement Methods 0.000 claims abstract description 13
- 230000006399 behavior Effects 0.000 claims description 24
- 238000004590 computer program Methods 0.000 claims description 19
- 238000012545 processing Methods 0.000 claims description 14
- 230000008569 process Effects 0.000 description 11
- 238000004891 communication Methods 0.000 description 9
- 239000000284 extract Substances 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 238000002955 isolation Methods 0.000 description 4
- 238000007689 inspection Methods 0.000 description 3
- 230000002159 abnormal effect Effects 0.000 description 2
- 230000007547 defect Effects 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 230000002349 favourable effect Effects 0.000 description 1
- 238000005242 forging Methods 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000013450 outlier detection Methods 0.000 description 1
- 238000012216 screening Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种多网络互联的网络违规外联检测方法、装置及系统,方法包括:获取待检测网络内的有用数据包,提取并分析有用数据包内VLAN ID信息和IP地址信息,得到实测数据;根据实测数据与预设的正常数据的对比结果,确定可疑数据包;提取可疑数据包中的二层MAC地址;构建检测数据包,将检测数据包发送至外部告警服务器;外部告警服务器在接收到检测数据包后,判定存在多网络互联的网络违规外联行为。通过捕获可疑数据包,并构建检测数据包,将检测数据包发送至外部告警服务器,基于外部告警服务器接收到检测数据包与否,检测多网络互联的网络违规外联行为,使得违规外联检测场景的覆盖更加全面。
Description
技术领域
本发明涉及网络信息安全技术领域,尤其涉及一种多网络互联的网络违规外联检测方法、装置及系统。
背景技术
当前,在对网络信息安全具有较高要求的网络环境中,普遍要求禁止终端设备的内外网互联,即违规外联行为。为检测违规外联行为,常通过对被检测终端安装检测软件,实时监测发现违规;还可以通过伪造源地址的方式进行违规外联检测,具体通过在网络中部署检测设备,通过伪造源地址为外部告警地址的数据包,发送给被检测终端,使其回复响应,若被测终端能回复响应到外部告警地址,则说明终端同时连通了内、外部网络。
然而,上述传统的违规外联检测方法,仅关注了主动的终端违规,未关注因网络配置错误而出现网络串线形成的多网互联,进而在二层联通,形成网络整体违规外联的情形。
因而,现有的违规外联检测方法对违规外联的场景覆盖不够全面。
发明内容
本发明提供一种多网络互联的网络违规外联检测方法、装置及系统,用以解决现有技术中违规外联检测方法对违规外联的场景覆盖不够全面的缺陷,实现对多网络互联的网络违规外联行为进行全面的检测。
第一方面,本发明提供一种多网络互联的网络违规外联检测方法,该方法包括:
获取待检测网络内传输的有用数据包,提取并分析所述有用数据包内VLAN ID信息和IP地址信息,得到实测数据;
根据所述实测数据与预设的正常数据的对比结果,确定可疑数据包;
提取所述可疑数据包中的二层MAC地址;
根据所述二层MAC地址、所述可疑数据包内VLAN ID信息和IP地址信息以及预设的真实网络数据,构建检测数据包,并将所述检测数据包发送至外部告警服务器;
其中,所述外部告警服务器用于在接收到所述检测数据包后,判定存在多网络互联的网络违规外联行为。
根据本发明提供的一种多网络互联的网络违规外联检测方法,所述有用数据包为包含IP地址信息的二层广播数据包或组播数据包。
根据本发明提供的一种多网络互联的网络违规外联检测方法,根据所述二层MAC地址、所述可疑数据包内VLAN ID信息和IP地址信息以及预设的真实网络数据,构建检测数据包,包括:
以检测网口真实MAC地址为源MAC地址,以所述二层MAC地址为目的MAC地址,以所述可疑数据包内VLAN ID信息作为检测数据包的VLAN ID信息,以检测设备管理口IP地址为IP源地址,以外部告警服务器的IP地址为IP目的地址,生成格式内容;
根据所述待检测网络正常连通的IP地址段、所述可疑数据包对应的可疑IP地址段、所述二层MAC地址、可疑数据包内VLAN ID信息和IP地址信息以及加密防伪数据,生成数据内容;
基于所述格式内容和所述数据内容,构建得到检测数据包。
根据本发明提供的一种多网络互联的网络违规外联检测方法,根据所述实测数据与预设的正常数据的对比结果,确定可疑数据包,包括:
获取待检测网络中正常连通的IP地址段以及所述正常连通的IP地址段关联的VLAN ID信息,作为正常数据;
将所述实测数据中的IP地址信息与所述正常数据中所述VLAN ID信息对应的正常连通的IP地址段进行比较;
若所述IP地址信息在所述正常连通的IP地址段以外,则将所述有用数据包作为可疑数据包。
第二方面,本发明还提供一种多网络互联的网络违规外联检测装置,该装置包括:
第一处理模块,用于获取待检测网络内传输的有用数据包,提取并分析所述有用数据包内VLAN ID信息和IP地址信息,得到实测数据;
第二处理模块,用于根据所述实测数据与预设的正常数据的对比结果,确定可疑数据包;
第三处理模块,用于提取所述可疑数据包中的二层MAC地址;
第四处理模块,用于根据所述二层MAC地址、可疑数据包内VLAN ID信息和IP地址信息以及预设的真实网络数据,构建检测数据包,并将所述检测数据包发送至外部告警服务器;其中,所述外部告警服务器用于在接收到所述检测数据包后,判定存在多网络互联的网络违规外联行为。
第三方面,本发明还提供一种多网络互联的网络违规外联检测系统,该系统包括:检测设备和外部告警服务器,所述检测设备部署于待检测网络内并与所述待检测网络内的交换机连接,所述外部告警服务器部署于外部网络中;
所述检测设备用于获取待检测网络内传输的有用数据包,提取并分析所述有用数据包内VLAN ID信息和IP地址信息,得到实测数据;根据所述实测数据与预设的正常数据的对比结果,确定可疑数据包;提取所述可疑数据包中的二层MAC地址;根据所述二层MAC地址、可疑数据包内VLAN ID信息和IP地址信息以及预设的真实网络数据,构建检测数据包,并将所述检测数据包发送至外部告警服务器;
所述外部告警服务器用于在接收到所述检测数据包后,判定存在多网络互联的网络违规外联行为。
根据本发明提供的一种多网络互联的网络违规外联检测系统,所述检测设备与所述待检测网络内交换机的TRUNK接口连接。
第四方面,本发明还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述任一种所述多网络互联的网络违规外联检测方法的步骤。
第五方面,本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述任一种所述多网络互联的网络违规外联检测方法的步骤。
第六方面,本发明还提供一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现如上述任一种所述多网络互联的网络违规外联检测方法的步骤。
本发明提供的多网络互联的网络违规外联检测方法、装置及系统,通过捕获待检测网络内的可疑数据包,并基于可疑数据包的二层MAC地址及其他关键信息构建检测数据包,将检测数据包发送至外部告警服务器,基于外部告警服务器接收到检测数据包与否,判断是否存在多网络互联的网络违规外联行为,使得违规外联检测场景的覆盖更加全面。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明提供的多网络互联的网络违规外联检测方法的流程示意图;
图2是本发明提供的多网络互联的网络违规外联检测装置的结构示意图;
图3是本发明提供的多网络互联的网络违规外联检测系统的结构示意图;
图4是本发明提供的电子设备的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
考虑到传统的违规外联检测方法,虽然能发现终端的违规外联行为,但一方面,其主要面向终端检测,另一方面,现有方法依赖于大量被检测终端的检测软件的安装,或依赖于终端普遍开启或支持了能够伪造并能响应回包的网络协议或端口。
然而,网络管理员等网络运维人员,在网络配置过程中,可能存在有意或无意识的将原本隔离的多个网络,由于错误配置使得其在链路层连通的情况。在上述多个已连通的网络中任一网络内,只要构造目的MAC为可外联网络转发设备的数据包,即可经由该设备转发,实现外联行为。
实质上,网络整体已经形成多网互联及违规外联场景,此种场景明确是违规外联的场景,但非终端自身主动构建的,如多网卡外联的方式。
此时,由于网络中的终端尚不知道网络已跨网连通或未配置相应的其他网络IP和路由,故现有的违规外联检测方法,无论是终端软件主动探测,还是检测设备主动发伪造扫描包反弹,检测结果都无法发现该终端外联,也无法发现该网络整体存在的跨网络违规外联情况。为此,本实施例提供一种多网络互联的网络违规外联检测方法、装置及系统。
下面结合图1-图3描述本发明提供的多网络互联的网络违规外联检测方法、装置及系统。
图1示出了本发明实施例提供的多网络互联的网络违规外联检测方法,该方法包括:
步骤101:获取待检测网络内传输的有用数据包,提取并分析有用数据包内VLANID信息和IP地址信息,得到实测数据。
该步骤中,有用数据包可以是包含IP地址信息的二层广播数据包或组播数据包,比如可以是包含IP地址信息的DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)广播包、SSDP(Simple Service Discovery Protocol,简单服务发现协议)及IGMP(Internet Group Management Protocol,互联网组管理协议)组播包、ARP(AddressResolution Protocol,地址解析协议)广播包等各种能够在二层环境被广播或组播的数据包,以广泛提取二层网络中该数据包关联的IP地址。
步骤102:根据实测数据与预设的正常数据的对比结果,确定可疑数据包。
在本实施例中,根据实测数据与预设的正常数据的对比结果,确定可疑数据包的过程,具体可以通过如下方式实现:
首先,获取待检测网络中正常连通的IP地址段以及该正常连通的IP地址段关联的VLAN(Virtual Local Area Network,虚拟局域网)ID信息,作为正常数据;该过程为获取并配置待检测网络内正常的VLAN IP关系(即正常连通的IP地址段与对应VLAN ID信息的关联关系)的过程。
然后,将实测数据中的IP地址信息与正常数据中的VLAN ID信息对应的正常连通的IP地址段进行比较;该过程可以确定当前数据包是否属于本网络,若属于本网络,则说明该数据包为正常数据包,需要将其丢弃并继续捕包。
最后,若IP地址信息在正常连通的IP地址段以外,即该数据包包含的IP地址信息不属于预先配置的正常VLAN ID信息对应的IP地址段,也就是说该数据包可能是由其他网络发送,继而经过多网络间存在的二层连通路径通过广播或组播到达待检测网络中的,本质并不属于本网络,则将该有用数据包作为可疑数据包。
步骤103:提取可疑数据包中的二层MAC(Media Access Control,媒体存取控制)地址。
假设提取的二层MAC地址,为另一跨网络连接到待检测网络中的转发设备的接口MAC地址。由于二层通信中上述协议的数据包广播或组播的特性,导致其在跨网络环境下,被广播到了检测设备的检测网口。此时,可以构造检测数据包进行多网络互联检测。
步骤104:根据二层MAC地址、可疑数据包内VLAN ID信息和IP地址信息以及预设的真实网络数据,构建检测数据包,并将检测数据包发送至外部告警服务器;
其中,外部告警服务器用于在接收到检测数据包后,判定存在多网络互联的网络违规外联行为。
需要说明的是,本实施例提到的预设的真实网络数据,主要包括检测网口真实MAC地址、检测设备管理口IP地址、外部告警服务器的IP地址以及待检测网络正常连通的IP地址段。
在本实施例中,根据二层MAC地址、可疑数据包内VLAN ID信息和IP地址信息以及预设的真实网络数据,构建检测数据包的过程,具体可以包括:
首先,以检测网口真实MAC地址为源MAC地址,以二层MAC地址为目的MAC地址,以可疑数据包内VLAN ID信息作为检测数据包的VLAN ID信息,以检测设备管理口IP地址为IP源地址,以外部告警服务器的IP地址为IP目的地址,生成格式内容;
然后,根据待检测网络正常连通的IP地址段、可疑数据包对应的可疑IP地址段、二层MAC地址、可疑数据包内VLAN ID信息和IP地址信息以及加密防伪数据,生成数据内容;
最后,基于格式内容和数据内容,构建得到检测数据包。
可以理解的是,本实施例中检测数据包为自定义协议数据包,其中数据包源MAC为检测网口真实MAC,目的MAC为可能归属于另一网络中转发设备的接口MAC,同时,按可疑数据包的VLAN ID信息,填充检测数据包二层帧的VLAN ID信息,以保证检测数据包能在可疑数据包所在VLAN(即广播域)内通信。IP源地址为检测设备管理口IP地址,IP目的地址为处于外部网络中的告警服务器地址。
应用层数据中,包含了以下需要向告警服务器上报的信息:检测发现的VLAN ID信息、VLAN ID信息对应的待检测网络中正常连通的IP地址段、可能为另一网络的IP地址段信息、被检测的可能位于另一网络的转发设备的MAC地址、被检测的可能位于另一网络的转发设备的IP地址以及基于上述上报信息生成的加密防伪数据。
上述检测数据包经检测设备的检测口发送至交换机的TRUNK口,由于检测数据包中的目的地址为可疑设备的接口MAC地址,若可疑设备确实为另一网络中的转发设备,则该可疑设备将收取该检测数据包,并在解析到目的IP地址非自身,而是外部告警服务器的IP地址时,将检测数据包转发至位于外部网络中的外部告警服务器上,所以在外部告警服务器接收到检测数据包后,则说明从待检测网络可以到达外部告警服务器所在网络,即可以判定存在多网络互联的违规外联行为。
之后,还可以解密并校验检测数据包中的数据包内容,解密校验通过后,则可以记录数据包的上报数据信息,便于违规检测取证,同时,外部告警服务器上记录的二层MAC地址、IP地址对应的设备,即为到达外部网络的过程中,所经过的与待检测网络发生互联串线的网络中的数据包转发设备,从而可以快速确定转发设备信息。
需要说明的是,在实际应用过程中,本实施例将检测设备与交换机的TRUNK口连接,形成TRUNK链路,可以保证包含任意VLAN ID信息的有用数据包,都能到达检测设备的检测口,可以使检测口检测的数据更加全面。
由此可见,本发明实施例提供的多网络互联的网络违规外联检测方法,能够检测到在网络管理员、运维人员有意或无意情况下造成的多网络互联,进而导致网络整体可违规外联的情况或场景。弥补了现有的违规外联检测方法,依赖于对本网络内终端的持续检测,而当终端未进行内外网互联即违规外联时,依据现有方法无法检测终端及网络整体是否具有违规外联行为的不足。从网络整体违规外联检测的角度上,能够发现潜在的更大范围违规场景和行为。
在实际应用过程中,上述方法可用于内部违规外联行为检查、网络异常连通性检查、网络配置有效性检查等场景,可以提高网络环境的安全性,及时有效发现违规外联情况并调查取证,有助于网络环境的安全度提升。
下面对本发明提供的多网络互联的网络违规外联检测装置进行描述,下文描述的多网络互联的网络违规外联检测装置与上文描述的多网络互联的网络违规外联检测方法可相互对应参照。
图2示出了本发明实施例提供的多网络互联的网络违规外联检测装置,该装置包括:
第一处理模块201,用于获取待检测网络内传输的有用数据包,提取并分析有用数据包内VLAN ID信息和IP地址信息,得到实测数据;
第二处理模块202,用于根据实测数据与预设的正常数据的对比结果,确定可疑数据包;
第三处理模块203,用于提取可疑数据包中的二层MAC地址;
第四处理模块204,用于根据二层MAC地址、可疑数据包内VLAN ID信息和IP地址信息以及预设的真实网络数据,构建检测数据包,并将检测数据包发送至外部告警服务器;其中,外部告警服务器用于在接收到检测数据包后,判定存在多网络互联的网络违规外联行为。
需要说明的是,本实施例中有用数据包为包含IP地址信息的二层广播数据包或组播数据包。
在示例性实施例中,上述第四处理模块204,具体可以用于:以检测网口真实MAC地址为源MAC地址,以二层MAC地址为目的MAC地址,以可疑数据包内VLAN ID信息作为检测数据包的VLAN ID信息,以检测设备管理口IP地址为IP源地址,以外部告警服务器的IP地址为IP目的地址,生成格式内容;根据待检测网络正常连通的IP地址段、可疑数据包对应的可疑IP地址段、二层MAC地址、可疑数据包内VLAN ID信息和IP地址信息以及加密防伪数据,生成数据内容;基于格式内容和数据内容,构建得到检测数据包。
在示例性实施例中,上述第二处理模块202,具体可以用于:获取待检测网络中正常连通的IP地址段以及正常连通的IP地址段关联的VLAN ID信息,作为正常数据;将实测数据中的IP地址信息与正常数据中VLAN ID信息对应的正常连通的IP地址段进行比较;若IP地址信息在正常连通的IP地址段以外,则将有用数据包作为可疑数据包。
图3示出了本发明实施例提供的多网络互联的网络违规外联检测系统,该系统包括:检测设备301和外部告警服务器302,检测设备部署于待检测网络内并与待检测网络内的交换机连接,外部告警服务器302部署于外部网络中;
检测设备301用于获取待检测网络内传输的有用数据包,提取并分析有用数据包内VLAN ID信息和IP地址信息,得到实测数据;根据实测数据与预设的正常数据的对比结果,确定可疑数据包;提取可疑数据包中的二层MAC地址;根据二层MAC地址、可疑数据包内VLAN ID信息和IP地址信息以及预设的真实网络数据,构建检测数据包,并将检测数据包发送至外部告警服务器302;
外部告警服务器302用于在接收到检测数据包后,判定存在多网络互联的网络违规外联行为。
在实际应用过程中,首先需要确认待检测网络内正常连通的IP地址段及其关联的VLAN ID信息,具体可以向网络管理员获取或直接查看检测设备连接的交换机的配置,获取并确认需要检测的本网络内的VLAN IP分配关系,并将该信息配置于检测设备301中;使得检测设备301能够确认本网络内正常数据包的VLAN及IP地址段的关联关系,便于后续甄别可能不归属于本网段的异常VLAN IP数据包,即可疑数据包。同时,配置外部告警服务器302的IP地址信息到检测设备301的配置中,并配置与交换机TRUNK口相连接的检测设备网口为检测网口。
在违规外联检测前,需要启用检测设备301上的检测网口、不配置IP,并通过网线与交换机的TRUNK接口连接,由于TRUNK接口具有不区分VLAN ID而传输的特性,使得在检测网口能够获取到待检测网络内传输的任意VLAN的二层广播或组播数据包,以尽可能获取本网络全面的数据包。
外部告警服务器302在部署过程中,主要部署到需要检测从本网络内是否能够连通的外部网络环境中。
参见附图3,以内网(即待检测网络)中存在内部隔离网络A和内部可外联网络B为例,其中,检测设备301部署于内部隔离网络A中,并通过TRUNK方式与内部隔离网络A中的第一交换机303连接,该内部隔离网络A中还部署有终端A1、终端A2和终端A3等多个终端设备,内部隔离网络A中的第一交换机303可以通过网络串线连通路径与内部可外联网络B中的第二交换机304通信,该内部可外联网络B中部署有终端B1和终端B2等多个终端设备,同时,该内部外联网络B中还存在可外联的转发设备305,该转发设备305可以与外部网络中的外部告警服务器302连接,此时,该内网存在多网络互联情形。
在开启检测设备301的违规外联检测功能后,检测设备301将从所配置的检测网口捕获可能被交换机广播或组播的各类有用数据包,包括但不限于ARP、IGMP等数据包,并分析、提取有用数据包中的VLAN ID信息和IP地址信息,得到实测数据。
将实测数据中VLAN ID信息对应的IP地址信息,与预先配置的正常数据中该VLANID信息对应的IP地址段进行比较。若有用数据包中VLAN ID信息对应的IP地址信息,从属于预先配置的正常数据中该VLAN ID信息对应的IP地址段内,则说明该有用数据包为本网络内的正常数据包,则丢弃该数据包不检测。否则,判定该有用数据包为可疑数据包。
检测设备301从该可疑数据包中提取对应的二层MAC地址,利用预先定义的数据包格式,构造检测数据包。
其中,目的IP为预先配置的外部告警服务器302的IP地址;目的MAC为要检测的可能为其他网络中的转发设备的MAC地址。
数据部分为本网络的网段信息(即正常连通的IP地址段)、可能为其他跨网络连通本网络的网段信息(即可疑IP地址段)、可能为其他跨网络连通本网络的转发设备的MAC地址信息(即二层MAC地址信息)、可疑数据包内VLAN ID信息、IP地址信息以及检测数据包的私有加密标记信息。
之后,检测设备301将构造的检测数据包通过检测网口发送至与其连接的第一交换机303,第一交换机303经第二交换机304发送至转发设备305,转发设备305收取该检测数据包,并在解析到目的IP地址非自身时,将该检测数据包转发到位于外部网络中的外部告警服务器302,若该外部告警服务器302接收到检测数据包,则说明存在多网络互联的违规外联行为。
用户还可以登录外部网络环境中的外部告警服务器302,查看所记录的检测网络信息、跨网段连通网络的网段信息及跨网段连通网络中存在的可转发数据包到外部网络的转发设备的IP地址信息、MAC地址信息以及该次检测的上报时间。
用户可以进一步根据上述信息,排查内网内的网络连接情况以及相关转发设备筛网IP地址信息、MAC地址信息。从而锁定多网络连通的位置及违规外联发生所依赖的转发设备。
图3示出的仅是本实施例提供的多网络互联的网络违规外联检测系统在实际应用中的一般实施场景,在本实施例提供的系统架构及所实现功能的基础上,所做的简单调整,比如该系统所支持协议的扩展、增加,均应受本发明保护。
图4示例了一种电子设备的实体结构示意图,如图4所示,该电子设备可以包括:处理器(processor)410、通信接口(Communications Interface)420、存储器(memory)430和通信总线440,其中,处理器410,通信接口420,存储器430通过通信总线440完成相互间的通信。处理器410可以调用存储器430中的逻辑指令,以执行多网络互联的网络违规外联检测方法,该方法包括:获取待检测网络内传输的有用数据包,提取并分析有用数据包内VLANID信息和IP地址信息,得到实测数据;根据实测数据与预设的正常数据的对比结果,确定可疑数据包;提取可疑数据包中的二层MAC地址;根据二层MAC地址、可疑数据包内VLAN ID信息和IP地址信息以及预设的真实网络数据,构建检测数据包,并将检测数据包发送至外部告警服务器;其中,外部告警服务器用于在接收到检测数据包后,判定存在多网络互联的网络违规外联行为。
此外,上述的存储器430中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明还提供一种计算机程序产品,所述计算机程序产品包括计算机程序,计算机程序可存储在非暂态计算机可读存储介质上,所述计算机程序被处理器执行时,计算机能够执行上述各方法所提供的多网络互联的网络违规外联检测方法,该方法包括:获取待检测网络内传输的有用数据包,提取并分析有用数据包内VLAN ID信息和IP地址信息,得到实测数据;根据实测数据与预设的正常数据的对比结果,确定可疑数据包;提取可疑数据包中的二层MAC地址;根据二层MAC地址、可疑数据包内VLAN ID信息和IP地址信息以及预设的真实网络数据,构建检测数据包,并将检测数据包发送至外部告警服务器;其中,外部告警服务器用于在接收到检测数据包后,判定存在多网络互联的网络违规外联行为。
又一方面,本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各方法提供的多网络互联的网络违规外联检测方法,该方法包括:获取待检测网络内传输的有用数据包,提取并分析有用数据包内VLAN ID信息和IP地址信息,得到实测数据;根据实测数据与预设的正常数据的对比结果,确定可疑数据包;提取可疑数据包中的二层MAC地址;根据二层MAC地址、可疑数据包内VLANID信息和IP地址信息以及预设的真实网络数据,构建检测数据包,并将检测数据包发送至外部告警服务器;其中,外部告警服务器用于在接收到检测数据包后,判定存在多网络互联的网络违规外联行为。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种多网络互联的网络违规外联检测方法,其特征在于,包括:
获取待检测网络内传输的有用数据包,提取并分析所述有用数据包内VLAN ID信息和IP地址信息,得到实测数据;
根据所述实测数据与预设的正常数据的对比结果,确定可疑数据包;
提取所述可疑数据包中的二层MAC地址;
根据所述二层MAC地址、所述可疑数据包内VLAN ID信息和IP地址信息以及预设的真实网络数据,构建检测数据包,并将所述检测数据包发送至外部告警服务器;
其中,所述外部告警服务器用于在接收到所述检测数据包后,判定存在多网络互联的网络违规外联行为。
2.根据权利要求1所述的一种多网络互联的网络违规外联检测方法,其特征在于,所述有用数据包为包含IP地址信息的二层广播数据包或组播数据包。
3.根据权利要求1所述的一种多网络互联的网络违规外联检测方法,其特征在于,根据所述二层MAC地址、所述可疑数据包内VLAN ID信息和IP地址信息以及预设的真实网络数据,构建检测数据包,包括:
以检测网口真实MAC地址为源MAC地址,以所述二层MAC地址为目的MAC地址,以所述可疑数据包内VLAN ID信息作为检测数据包的VLAN ID信息,以检测设备管理口IP地址为IP源地址,以外部告警服务器的IP地址为IP目的地址,生成格式内容;
根据所述待检测网络正常连通的IP地址段、所述可疑数据包对应的可疑IP地址段、所述二层MAC地址、所述可疑数据包内VLAN ID信息和IP地址信息以及加密防伪数据,生成数据内容;
基于所述格式内容和所述数据内容,构建得到检测数据包。
4.根据权利要求1所述的一种多网络互联的网络违规外联检测方法,其特征在于,根据所述实测数据与预设的正常数据的对比结果,确定可疑数据包,包括:
获取待检测网络中正常连通的IP地址段以及所述正常连通的IP地址段关联的VLANID信息,作为正常数据;
将所述实测数据中的IP地址信息与所述正常数据中所述VLAN ID信息对应的正常连通的IP地址段进行比较;
若所述IP地址信息在所述正常连通的IP地址段以外,则将所述有用数据包作为可疑数据包。
5.一种多网络互联的网络违规外联检测装置,其特征在于,包括:
第一处理模块,用于获取待检测网络内传输的有用数据包,提取并分析所述有用数据包内VLAN ID信息和IP地址信息,得到实测数据;
第二处理模块,用于根据所述实测数据与预设的正常数据的对比结果,确定可疑数据包;
第三处理模块,用于提取所述可疑数据包中的二层MAC地址;
第四处理模块,用于根据所述二层MAC地址、可疑数据包内VLANID信息和IP地址信息以及预设的真实网络数据,构建检测数据包,并将所述检测数据包发送至外部告警服务器;其中,所述外部告警服务器用于在接收到所述检测数据包后,判定存在多网络互联的网络违规外联行为。
6.一种多网络互联的网络违规外联检测系统,其特征在于,包括:检测设备和外部告警服务器,所述检测设备部署于待检测网络内并与所述待检测网络内的交换机连接,所述外部告警服务器部署于外部网络中;
所述检测设备用于获取待检测网络内传输的有用数据包,提取并分析所述有用数据包内VLAN ID信息和IP地址信息,得到实测数据;根据所述实测数据与预设的正常数据的对比结果,确定可疑数据包;提取所述可疑数据包中的二层MAC地址;根据所述二层MAC地址、可疑数据包内VLAN ID信息和IP地址信息以及预设的真实网络数据,构建检测数据包,并将所述检测数据包发送至外部告警服务器;
所述外部告警服务器用于在接收到所述检测数据包后,判定存在多网络互联的网络违规外联行为。
7.根据权利要求6所述的一种多网络互联的网络违规外联检测系统,其特征在于,所述检测设备与所述待检测网络内交换机的TRUNK接口连接。
8.一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至4任一项所述多网络互联的网络违规外联检测方法的步骤。
9.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至4任一项所述多网络互联的网络违规外联检测方法的步骤。
10.一种计算机程序产品,包括计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至4任一项所述多网络互联的网络违规外联检测方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210158467.3A CN114584352B (zh) | 2022-02-21 | 2022-02-21 | 多网络互联的网络违规外联检测方法、装置及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210158467.3A CN114584352B (zh) | 2022-02-21 | 2022-02-21 | 多网络互联的网络违规外联检测方法、装置及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114584352A true CN114584352A (zh) | 2022-06-03 |
| CN114584352B CN114584352B (zh) | 2023-07-07 |
Family
ID=81775202
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210158467.3A Active CN114584352B (zh) | 2022-02-21 | 2022-02-21 | 多网络互联的网络违规外联检测方法、装置及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114584352B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117896287A (zh) * | 2024-03-15 | 2024-04-16 | 北方健康医疗大数据科技有限公司 | 一种主机网络安全隔离有效性检测方法、系统及装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017054705A1 (zh) * | 2015-09-28 | 2017-04-06 | 北京奇虎科技有限公司 | 一种局域网内基于物理位置的终端监控方法及系统 |
| CN106656991A (zh) * | 2016-10-28 | 2017-05-10 | 上海百太信息科技有限公司 | 一种网络威胁检测系统及检测方法 |
| CN107995192A (zh) * | 2017-12-01 | 2018-05-04 | 贵州电网有限责任公司 | 一种网络边界违规内联的检测与阻断系统 |
| CN112910735A (zh) * | 2021-01-30 | 2021-06-04 | 山东兆物网络技术股份有限公司 | 发现内网设备违规外联的综合检测方法及系统 |
| CN113821411A (zh) * | 2021-09-24 | 2021-12-21 | 北京鼎普科技股份有限公司 | 防范终端计算机违规外联保障涉密内网的方法及系统 |
-
2022
- 2022-02-21 CN CN202210158467.3A patent/CN114584352B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017054705A1 (zh) * | 2015-09-28 | 2017-04-06 | 北京奇虎科技有限公司 | 一种局域网内基于物理位置的终端监控方法及系统 |
| CN106656991A (zh) * | 2016-10-28 | 2017-05-10 | 上海百太信息科技有限公司 | 一种网络威胁检测系统及检测方法 |
| CN107995192A (zh) * | 2017-12-01 | 2018-05-04 | 贵州电网有限责任公司 | 一种网络边界违规内联的检测与阻断系统 |
| CN112910735A (zh) * | 2021-01-30 | 2021-06-04 | 山东兆物网络技术股份有限公司 | 发现内网设备违规外联的综合检测方法及系统 |
| CN113821411A (zh) * | 2021-09-24 | 2021-12-21 | 北京鼎普科技股份有限公司 | 防范终端计算机违规外联保障涉密内网的方法及系统 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117896287A (zh) * | 2024-03-15 | 2024-04-16 | 北方健康医疗大数据科技有限公司 | 一种主机网络安全隔离有效性检测方法、系统及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114584352B (zh) | 2023-07-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103442008B (zh) | 一种路由安全检测系统及检测方法 | |
| US7167922B2 (en) | Method and apparatus for providing automatic ingress filtering | |
| US8055768B2 (en) | Network including snooping | |
| US8000698B2 (en) | Detection and management of rogue wireless network connections | |
| EP1999898B1 (en) | Logical group endpoint discovery for data communication network | |
| EP1906591A2 (en) | Method, device and system for detecting layer 2 loop | |
| CN111130931B (zh) | 一种违规外联设备的检测方法及装置 | |
| CN101595678A (zh) | 用于发现电信网络的物理拓扑的方法 | |
| CN103746885A (zh) | 一种面向下一代防火墙的测试系统和测试方法 | |
| CN101411156A (zh) | 对网络入侵者的自动阻止 | |
| CN112910735A (zh) | 发现内网设备违规外联的综合检测方法及系统 | |
| JP4259183B2 (ja) | 情報処理システム、情報処理装置、プログラム、及び通信ネットワークにおける通信の異常を検知する方法 | |
| CN108574673A (zh) | 应用于网关的arp报文攻击检测方法及装置 | |
| CN114584352B (zh) | 多网络互联的网络违规外联检测方法、装置及系统 | |
| CN112118258B (zh) | 在蜜罐场景下获取攻击者信息的系统及方法 | |
| US8724506B2 (en) | Detecting double attachment between a wired network and at least one wireless network | |
| Bouzida et al. | Detecting and reacting against distributed denial of service attacks | |
| CN112153027B (zh) | 仿冒行为识别方法、装置、设备及计算机可读存储介质 | |
| US20060185009A1 (en) | Communication apparatus and communication method | |
| US20120096548A1 (en) | Network attack detection | |
| JP4863310B2 (ja) | Ip衛星通信システムおよび不正パケット侵入防御方法 | |
| CN117499267B (zh) | 网络设备的资产测绘方法、设备及存储介质 | |
| James | Network Automation Methodology for Detecting Rogue Switch | |
| CN111431913B (zh) | 路由器通告防护机制存在性检测方法及装置 | |
| CN117857115A (zh) | 违规外联检测方法、系统、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| EE01 | Entry into force of recordation of patent licensing contract | ||
| EE01 | Entry into force of recordation of patent licensing contract |
Application publication date: 20220603 Assignee: CHINA TECHNOLOGY EXCHANGE Co.,Ltd. Assignor: BEIJING VRV SOFTWARE Corp.,Ltd. Contract record no.: X2023110000147 Denomination of invention: Network violation detection method, device, and system for multi network interconnection Granted publication date: 20230707 License type: Exclusive License Record date: 20231201 |
|
| PE01 | Entry into force of the registration of the contract for pledge of patent right | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: Network violation detection method, device, and system for multi network interconnection Effective date of registration: 20231206 Granted publication date: 20230707 Pledgee: CHINA TECHNOLOGY EXCHANGE Co.,Ltd. Pledgor: BEIJING VRV SOFTWARE Corp.,Ltd. Registration number: Y2023110000520 |