CN114900377B - 一种基于诱导数据包的违规外联监测方法及系统 - Google Patents
一种基于诱导数据包的违规外联监测方法及系统 Download PDFInfo
- Publication number
- CN114900377B CN114900377B CN202210830200.4A CN202210830200A CN114900377B CN 114900377 B CN114900377 B CN 114900377B CN 202210830200 A CN202210830200 A CN 202210830200A CN 114900377 B CN114900377 B CN 114900377B
- Authority
- CN
- China
- Prior art keywords
- external connection
- router
- data packet
- illegal
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/10—Active monitoring, e.g. heartbeat, ping or trace-route
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- Cardiology (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于诱导数据包的违规外联监测方法及系统,方法包括以下步骤:检测设备采集全局域网内的数据包;解析所述数据包识别出所述全局域网内的路由器;检测设备向所述路由器根据预设的时间长度定时发送外联请求数据包,所述外联请求数据包的IP地址为预设在违规外联监控服务器的外网IP地址;根据检测设备与互联网违规外联监控服务器的TCP通信连接情况判定所述路由器是否存在违规外联。本发明能够准确发现违规外联设备并自动告警。
Description
技术领域
本发明涉及网络技术领域,更具体地,涉及一种基于诱导数据包的违规外联监测方法及系统。
背景技术
基于计算机网络的信息安全是重要,针对企业和敏感行业的公司内部网络,一般是禁止终端电脑在使用内部网络的同时接入互联网的,这种行为会给内部网络带来安全隐患,如黑客入侵、病毒传播、数据泄露等。
针对该情况,目前有相关的无客户端违规串网发现技术,一般只能通过通MAC地址生产商信息识别违规串网路由器设备或通过电脑终端违规外联检查技术来发现内网中存在违规串网路由器设备,但仍需要人工进行排查违规串网设备的所在位置,执行相关处理措施,而在现今网络安全建设环境中更需可对违规串网路由器设备,终端电脑违规外联发现,并自动告警违规终端的技术方案。
因此,亟需一种基于诱导数据包的违规外联监测方法及系统。
发明内容
本发明为克服上述现有技术中无法准确发现违规外联设备并自动告警的缺陷,提出一种基于诱导数据包的违规外联监测方法及系统。
本发明的首要目的是为解决上述技术问题,本发明的技术方案如下:
本发明第一方面提出一种基于诱导数据包的违规外联监测方法,包括以下步骤:
检测设备采集全局域网内的数据包;
解析所述数据包识别出所述全局域网内的路由器;
检测设备向所述路由器根据预设的时间长度定时发送外联请求数据包,所述外联请求数据包的IP地址为预设在违规外联监控服务器的外网IP地址;
根据检测设备与互联网违规外联监控服务器的TCP通信连接情况判定所述路由器是否存在违规外联。
进一步的,检测设备通过流量镜像采集全局域网内的数据包。
进一步的,所述解析所述数据包识别出所述全局域网内的路由器具体为:
利用资产识别技术解析所述数据包,得到全局域网内网资产的网络信息,所述网络信息包括:MAC地址、tcp协议、网络端口信息;
根据所述网络信息识别出网络中的路由器。
进一步的,根据检测设备与互联网违规外联监控服务器的TCP通信连接情况判定所述路由器是否存在违规外联具体过程为:
若检测设备与互联网违规外联监控服务器建立正常的TCP通信,则判定该路由器存在违规串网; 若检测设备访问中断,无法与互联网违规外联监控服务器建立正常的TCP通信,则判定该路由器不存在违规串网。
进一步的,若路由器存在违规串网,则所违规外联监控服务器即时向网络管理员发送告警信息。
本发明第二方面提出一种基于诱导数据包的违规外联监测系统,包括:检测设备、违规外联监控服务器、内部网络交换机、路由器、联网设备,所述检测设备通过镜像口与内部网络交换机通信连接,所述内部网络交换机、联网设备均与路由器通信连接,所述路由器通过互联网与违规外联监控服务器连接。
进一步的,所述检测设备用于采集全局域网内的数据包,解析所述数据包识别出所述全局域网内的路由器,并向识别出的路由器根据预设的时间长度定时发送外联请求数据包。
进一步的,所述外联请求数据包的IP地址为预设在违规外联监控服务器的外网IP地址。
进一步的,所述内部网络交换机用于给局域网子网络提供连接端口。
进一步的,所述路由器用于连接两个或多个网络的硬件设备,在网络间起网关的作用,能够读取每一个网络数据包中的地址,然后决定网络数据包的传送方式,所述路由器能够连接若干个联网设备。
与现有技术相比,本发明技术方案的有益效果是:
本发明利用检测设备、违规外联监控服务器、内部网络交换机、路由器、联网设备构建监测系统,利用检测采集全局域网内的数据包进而解析是识别出局域网内的路由器,通过周期性的路由器发送违规外联请求包,根据检测设备与互联网违规外联监控服务器的TCP通信连接情况判定所述路由器是否存在违规外联,并在存在违规外联时自动告警。
附图说明
图1为本发明一种基于诱导数据包的违规外联监测方法流程图。
图2为本发明一种基于诱导数据包的违规外联监测系统框图。
具体实施方式
为了能够更清楚地理解本发明的上述目的、特征和优点,下面结合附图和具体实施方式对本发明进行进一步的详细描述。需要说明的是,在不冲突的情况下,本申请的实施例及实施例中的特征可以相互组合。
在下面的描述中阐述了很多具体细节以便于充分理解本发明,但是,本发明还可以采用其他不同于在此描述的其他方式来实施,因此,本发明的保护范围并不受下面公开的具体实施例的限制。
实施例1
如图1所示,本发明第一方面提出一种基于诱导数据包的违规外联监测方法,包括以下步骤:
S1检测设备采集全局域网内的数据包;
需要说明的是,在本发明中,所述检测设备可利用线束通过检测设备镜像口与内部网络交换机连接,检测设备通过设备镜像口采集全局域网内的数据包。
S2解析所述数据包识别出所述全局域网内的路由器;
需要说明的是,通过解析获取的数据包,也就是对获取内部网络流量信息进行分析,并通过现有的资产识别技术和私网发现技术得到网络信息,例如:MAC地址、tcp协议、网络端口信息,根据网络信息识别出局域网中的路由器。
S3检测设备向所述路由器根据预设的时间长度定时发送外联请求数据包,所述外联请求数据包的IP地址为预设在违规外联监控服务器的外网IP地址;
需要说明的是,在识别出局域网中的路由器后,检测设备根据预设的时间长度定时(即周期性的发送)发送外联请求数据包,例如检测设备可以每一秒或每10秒发送1次外联请求数据包给识别出的路由器,需要说明的是,外联请求数据包的IP地址为预设在违规外联监控服务器的外网IP地址。
S4根据检测设备与互联网违规外联监控服务器的TCP通信连接情况判定所述路由器是否存在违规外联。
需要说明的是,在实际的局域网环境中,如果路由器不存在违规外联,则检测检测设备无法与互联网违规外联监控服务器建立正常的TCP通信,请求无法跳转从而中断访问,当一个路由器具有互联网访问能力,检测检测设备可以与互联网违规外联监控服务器的TCP通信,则该路由器存在违规外联,当存在违规外联情况时,违规外联监控服务器可即时向网络管理员发送告警信息,如发送告警邮件等。
实施例2
如图2所示,基于上述实施例本发明第二方面提出一种基于诱导数据包的违规外联监测系统,包括:检测设备、违规外联监控服务器、内部网络交换机、路由器、联网设备,所述检测设备通过镜像口与内部网络交换机通信连接,所述内部网络交换机、联网设备均与路由器通信连接,所述路由器通过互联网与违规外联监控服务器连接。所述内部网络交换机用于给局域网子网络提供连接端口。所述路由器用于连接两个或多个网络的硬件设备,在网络间起网关的作用,能够读取每一个网络数据包中的地址,然后决定网络数据包的传送方式,所述路由器能够连接若干个联网设备。
在一个具体的实施例中,所述检测设备可利用线束通过检测设备镜像口与内部网络交换机连接,检测设备通过设备镜像口采集全局域网内的数据包,解析所述数据包识别出所述全局域网内的路由器,并向识别出的路由器根据预设的时间长度定时发送外联请求数据包。需要说明的是,所述外联请求数据包的IP地址为预设在违规外联监控服务器的外网IP地址。
通过解析获取的数据包,也就是对获取内部网络流量信息进行分析,并通过现有的资产识别技术和私网发现技术得到网络信息,例如:MAC地址、tcp协议、网络端口信息,根据网络信息识别出局域网中的路由器。
在识别出局域网中的路由器后,检测设备根据预设的时间长度定时(即周期性的发送)发送外联请求数据包,例如检测设备可以每一秒或每10秒发送1次外联请求数据包给识别出的路由器,需要说明的是,外联请求数据包的IP地址为预设在违规外联监控服务器的外网IP地址。
在实际的局域网环境中,如果路由器不存在违规外联,则检测检测设备无法与互联网违规外联监控服务器建立正常的TCP通信,请求无法跳转从而中断访问,当一个路由器具有互联网访问能力,检测设备可以与互联网违规外联监控服务器的TCP通信,则该路由器存在违规外联,当存在违规外联情况时,违规外联监控服务器可即时向网络管理员发送告警信息,如发送告警邮件等。
显然,本发明的上述实施例仅仅是为清楚地说明本发明所作的举例,而并非是对本发明的实施方式的限定。对于所属领域的普通技术人员来说,在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明权利要求的保护范围之内。
Claims (10)
1.一种基于诱导数据包的违规外联监测方法,其特征在于,包括以下步骤:
检测设备采集全局域网内的数据包;
解析所述数据包识别出所述全局域网内的路由器;
检测设备向所述路由器根据预设的时间长度定时发送外联请求数据包,所述外联请求数据包的IP地址为预设在违规外联监控服务器的外网IP地址;
根据检测设备与互联网违规外联监控服务器的TCP通信连接情况判定所述路由器是否存在违规外联。
2.根据权利要求1所述的一种基于诱导数据包的违规外联监测方法,其特征在于,检测设备通过流量镜像采集全局域网内的数据包。
3.根据权利要求1所述的一种基于诱导数据包的违规外联监测方法,其特征在于,所述解析所述数据包识别出所述全局域网内的路由器具体为:
利用资产识别技术解析所述数据包,得到全局域网内网资产的网络信息,所述网络信息包括:MAC地址、tcp协议、网络端口信息;
根据所述网络信息识别出网络中的路由器。
4.根据权利要求1所述的一种基于诱导数据包的违规外联监测方法,其特征在于,根据检测设备与互联网违规外联监控服务器的TCP通信连接情况判定所述路由器是否存在违规外联具体过程为:
若检测设备与互联网违规外联监控服务器建立正常的TCP通信,则判定该路由器存在违规串网;
若检测设备访问中断,无法与互联网违规外联监控服务器建立正常的TCP通信,则判定该路由器不存在违规串网。
5.根据权利要求4所述的一种基于诱导数据包的违规外联监测方法,其特征在于,若路由器存在违规串网,则所述违规 外联监控服务器即时向网络管理员发送告警信息。
6.一种基于诱导数据包的违规外联监测系统,其特征在于,包括:检测设备、违规外联监控服务器、内部网络交换机、路由器、联网设备,所述检测设备通过镜像口与内部网络交换机通信连接,所述内部网络交换机、联网设备均与路由器通信连接,所述路由器通过互联网与违规外联监控服务器连接,所述系统采用基于诱导数据包的违规外联监测方法,具体步骤为:
检测设备采集全局域网内的数据包;
解析所述数据包识别出所述全局域网内的路由器;
检测设备向所述路由器根据预设的时间长度定时发送外联请求数据包,所述外联请求数据包的IP地址为预设在违规外联监控服务器的外网IP地址;
根据检测设备与互联网违规外联监控服务器的TCP通信连接情况判定所述路由器是否存在违规外联。
7.根据权利要求6所述的一种基于诱导数据包的违规外联监测系统,其特征在于,所述检测设备用于采集全局域网内的数据包,解析所述数据包识别出所述全局域网内的路由器,并向识别出的路由器根据预设的时间长度定时发送外联请求数据包。
8.根据权利要求7所述的一种基于诱导数据包的违规外联监测系统,其特征在于,所述外联请求数据包的IP地址为预设在违规外联监控服务器的外网IP地址。
9.根据权利要求6所述的一种基于诱导数据包的违规外联监测系统,其特征在于,所述内部网络交换机用于给局域网子网络提供连接端口。
10.根据权利要求6所述的一种基于诱导数据包的违规外联监测系统,其特征在于,所述路由器用于连接两个或多个网络的硬件设备,在网络间起网关的作用,能够读取每一个网络数据包中的地址,然后决定网络数据包的传送方式,所述路由器能够连接若干个联网设备。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210830200.4A CN114900377B (zh) | 2022-07-15 | 2022-07-15 | 一种基于诱导数据包的违规外联监测方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210830200.4A CN114900377B (zh) | 2022-07-15 | 2022-07-15 | 一种基于诱导数据包的违规外联监测方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114900377A CN114900377A (zh) | 2022-08-12 |
| CN114900377B true CN114900377B (zh) | 2022-09-30 |
Family
ID=82729298
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210830200.4A Active CN114900377B (zh) | 2022-07-15 | 2022-07-15 | 一种基于诱导数据包的违规外联监测方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114900377B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113938305B (zh) * | 2021-10-18 | 2024-04-26 | 杭州安恒信息技术股份有限公司 | 一种非法外联的判定方法、系统及装置 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2000261483A (ja) * | 1999-03-09 | 2000-09-22 | Hitachi Ltd | ネットワーク監視システム |
| CN107317729A (zh) * | 2017-07-11 | 2017-11-03 | 浙江远望信息股份有限公司 | 一种基于icmp协议的多种网络互联的主动探测方法 |
| CN107426208A (zh) * | 2017-07-24 | 2017-12-01 | 郑州云海信息技术有限公司 | 一种监控网络非法外联的方法 |
| CN110768999A (zh) * | 2019-10-31 | 2020-02-07 | 杭州迪普科技股份有限公司 | 一种设备非法外联的检测方法及装置 |
| CN111385376A (zh) * | 2020-02-24 | 2020-07-07 | 杭州迪普科技股份有限公司 | 一种终端的非法外联监测方法、装置、系统及设备 |
| CN111917701A (zh) * | 2020-03-31 | 2020-11-10 | 北京融汇画方科技有限公司 | 基于非客户端模式被动检查在线违规外联技术 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8380828B1 (en) * | 2010-01-21 | 2013-02-19 | Adtran, Inc. | System and method for locating offending network device and maintaining network integrity |
-
2022
- 2022-07-15 CN CN202210830200.4A patent/CN114900377B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2000261483A (ja) * | 1999-03-09 | 2000-09-22 | Hitachi Ltd | ネットワーク監視システム |
| CN107317729A (zh) * | 2017-07-11 | 2017-11-03 | 浙江远望信息股份有限公司 | 一种基于icmp协议的多种网络互联的主动探测方法 |
| CN107426208A (zh) * | 2017-07-24 | 2017-12-01 | 郑州云海信息技术有限公司 | 一种监控网络非法外联的方法 |
| CN110768999A (zh) * | 2019-10-31 | 2020-02-07 | 杭州迪普科技股份有限公司 | 一种设备非法外联的检测方法及装置 |
| CN111385376A (zh) * | 2020-02-24 | 2020-07-07 | 杭州迪普科技股份有限公司 | 一种终端的非法外联监测方法、装置、系统及设备 |
| CN111917701A (zh) * | 2020-03-31 | 2020-11-10 | 北京融汇画方科技有限公司 | 基于非客户端模式被动检查在线违规外联技术 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114900377A (zh) | 2022-08-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110445770B (zh) | 网络攻击源定位及防护方法、电子设备及计算机存储介质 | |
| US7672283B1 (en) | Detecting unauthorized wireless devices in a network | |
| KR100777752B1 (ko) | 서비스 불능 공격 검지 시스템 및 서비스 불능 공격 검지방법 | |
| US9125130B2 (en) | Blacklisting based on a traffic rule violation | |
| US7216365B2 (en) | Automated sniffer apparatus and method for wireless local area network security | |
| US20060037077A1 (en) | Network intrusion detection system having application inspection and anomaly detection characteristics | |
| US20070298720A1 (en) | Detection and management of rogue wireless network connections | |
| US20060198313A1 (en) | Method and device for detecting and blocking unauthorized access | |
| US7475420B1 (en) | Detecting network proxies through observation of symmetric relationships | |
| CN104540134B (zh) | 无线访问节点检测方法、无线网络检测系统和服务器 | |
| KR20090087437A (ko) | 트래픽 검출 방법 및 장치 | |
| JPH09269930A (ja) | ネットワークシステムの防疫方法及びその装置 | |
| CN114006723B (zh) | 基于威胁情报的网络安全预测方法、装置及系统 | |
| CN112738095A (zh) | 一种检测非法外联的方法、装置、系统、存储介质及设备 | |
| Manna et al. | Review of syn-flooding attack detection mechanism | |
| BR102019020060A2 (pt) | método para detecção de características de pontos de acesso, usando aprendizagem de máquina | |
| CN114900377B (zh) | 一种基于诱导数据包的违规外联监测方法及系统 | |
| JP4259183B2 (ja) | 情報処理システム、情報処理装置、プログラム、及び通信ネットワークにおける通信の異常を検知する方法 | |
| US20040233849A1 (en) | Methodologies, systems and computer readable media for identifying candidate relay nodes on a network architecture | |
| KR20120132086A (ko) | 비인가 ap 탐지 시스템 및 그의 탐지 방법 | |
| CN116939589A (zh) | 一种基于校园无线网的学生上网监控系统 | |
| CN112231679A (zh) | 一种终端设备验证方法、装置及存储介质 | |
| CN114301796B (zh) | 预测态势感知的验证方法、装置及系统 | |
| KR101074198B1 (ko) | 유해 트래픽 발생 호스트 격리 방법 및 시스템 | |
| CN107395643B (zh) | 一种基于扫描探针行为的源ip保护方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |