CN114900377B - 一种基于诱导数据包的违规外联监测方法及系统 - Google Patents

一种基于诱导数据包的违规外联监测方法及系统 Download PDF

Info

Publication number
CN114900377B
CN114900377B CN202210830200.4A CN202210830200A CN114900377B CN 114900377 B CN114900377 B CN 114900377B CN 202210830200 A CN202210830200 A CN 202210830200A CN 114900377 B CN114900377 B CN 114900377B
Authority
CN
China
Prior art keywords
external connection
router
data packet
illegal
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210830200.4A
Other languages
English (en)
Other versions
CN114900377A (zh
Inventor
陈岸明
林群雄
李汉群
罗智超
刘乐
陈志荣
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guangzhou Shi'an Information Technology Co ltd
Original Assignee
Guangzhou Shi'an Information Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guangzhou Shi'an Information Technology Co ltd filed Critical Guangzhou Shi'an Information Technology Co ltd
Priority to CN202210830200.4A priority Critical patent/CN114900377B/zh
Publication of CN114900377A publication Critical patent/CN114900377A/zh
Application granted granted Critical
Publication of CN114900377B publication Critical patent/CN114900377B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/10Active monitoring, e.g. heartbeat, ping or trace-route

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • Cardiology (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于诱导数据包的违规外联监测方法及系统,方法包括以下步骤:检测设备采集全局域网内的数据包;解析所述数据包识别出所述全局域网内的路由器;检测设备向所述路由器根据预设的时间长度定时发送外联请求数据包,所述外联请求数据包的IP地址为预设在违规外联监控服务器的外网IP地址;根据检测设备与互联网违规外联监控服务器的TCP通信连接情况判定所述路由器是否存在违规外联。本发明能够准确发现违规外联设备并自动告警。

Description

一种基于诱导数据包的违规外联监测方法及系统
技术领域
本发明涉及网络技术领域,更具体地,涉及一种基于诱导数据包的违规外联监测方法及系统。
背景技术
基于计算机网络的信息安全是重要,针对企业和敏感行业的公司内部网络,一般是禁止终端电脑在使用内部网络的同时接入互联网的,这种行为会给内部网络带来安全隐患,如黑客入侵、病毒传播、数据泄露等。
针对该情况,目前有相关的无客户端违规串网发现技术,一般只能通过通MAC地址生产商信息识别违规串网路由器设备或通过电脑终端违规外联检查技术来发现内网中存在违规串网路由器设备,但仍需要人工进行排查违规串网设备的所在位置,执行相关处理措施,而在现今网络安全建设环境中更需可对违规串网路由器设备,终端电脑违规外联发现,并自动告警违规终端的技术方案。
因此,亟需一种基于诱导数据包的违规外联监测方法及系统。
发明内容
本发明为克服上述现有技术中无法准确发现违规外联设备并自动告警的缺陷,提出一种基于诱导数据包的违规外联监测方法及系统。
本发明的首要目的是为解决上述技术问题,本发明的技术方案如下:
本发明第一方面提出一种基于诱导数据包的违规外联监测方法,包括以下步骤:
检测设备采集全局域网内的数据包;
解析所述数据包识别出所述全局域网内的路由器;
检测设备向所述路由器根据预设的时间长度定时发送外联请求数据包,所述外联请求数据包的IP地址为预设在违规外联监控服务器的外网IP地址;
根据检测设备与互联网违规外联监控服务器的TCP通信连接情况判定所述路由器是否存在违规外联。
进一步的,检测设备通过流量镜像采集全局域网内的数据包。
进一步的,所述解析所述数据包识别出所述全局域网内的路由器具体为:
利用资产识别技术解析所述数据包,得到全局域网内网资产的网络信息,所述网络信息包括:MAC地址、tcp协议、网络端口信息;
根据所述网络信息识别出网络中的路由器。
进一步的,根据检测设备与互联网违规外联监控服务器的TCP通信连接情况判定所述路由器是否存在违规外联具体过程为:
若检测设备与互联网违规外联监控服务器建立正常的TCP通信,则判定该路由器存在违规串网; 若检测设备访问中断,无法与互联网违规外联监控服务器建立正常的TCP通信,则判定该路由器不存在违规串网。
进一步的,若路由器存在违规串网,则所违规外联监控服务器即时向网络管理员发送告警信息。
本发明第二方面提出一种基于诱导数据包的违规外联监测系统,包括:检测设备、违规外联监控服务器、内部网络交换机、路由器、联网设备,所述检测设备通过镜像口与内部网络交换机通信连接,所述内部网络交换机、联网设备均与路由器通信连接,所述路由器通过互联网与违规外联监控服务器连接。
进一步的,所述检测设备用于采集全局域网内的数据包,解析所述数据包识别出所述全局域网内的路由器,并向识别出的路由器根据预设的时间长度定时发送外联请求数据包。
进一步的,所述外联请求数据包的IP地址为预设在违规外联监控服务器的外网IP地址。
进一步的,所述内部网络交换机用于给局域网子网络提供连接端口。
进一步的,所述路由器用于连接两个或多个网络的硬件设备,在网络间起网关的作用,能够读取每一个网络数据包中的地址,然后决定网络数据包的传送方式,所述路由器能够连接若干个联网设备。
与现有技术相比,本发明技术方案的有益效果是:
本发明利用检测设备、违规外联监控服务器、内部网络交换机、路由器、联网设备构建监测系统,利用检测采集全局域网内的数据包进而解析是识别出局域网内的路由器,通过周期性的路由器发送违规外联请求包,根据检测设备与互联网违规外联监控服务器的TCP通信连接情况判定所述路由器是否存在违规外联,并在存在违规外联时自动告警。
附图说明
图1为本发明一种基于诱导数据包的违规外联监测方法流程图。
图2为本发明一种基于诱导数据包的违规外联监测系统框图。
具体实施方式
为了能够更清楚地理解本发明的上述目的、特征和优点,下面结合附图和具体实施方式对本发明进行进一步的详细描述。需要说明的是,在不冲突的情况下,本申请的实施例及实施例中的特征可以相互组合。
在下面的描述中阐述了很多具体细节以便于充分理解本发明,但是,本发明还可以采用其他不同于在此描述的其他方式来实施,因此,本发明的保护范围并不受下面公开的具体实施例的限制。
实施例1
如图1所示,本发明第一方面提出一种基于诱导数据包的违规外联监测方法,包括以下步骤:
S1检测设备采集全局域网内的数据包;
需要说明的是,在本发明中,所述检测设备可利用线束通过检测设备镜像口与内部网络交换机连接,检测设备通过设备镜像口采集全局域网内的数据包。
S2解析所述数据包识别出所述全局域网内的路由器;
需要说明的是,通过解析获取的数据包,也就是对获取内部网络流量信息进行分析,并通过现有的资产识别技术和私网发现技术得到网络信息,例如:MAC地址、tcp协议、网络端口信息,根据网络信息识别出局域网中的路由器。
S3检测设备向所述路由器根据预设的时间长度定时发送外联请求数据包,所述外联请求数据包的IP地址为预设在违规外联监控服务器的外网IP地址;
需要说明的是,在识别出局域网中的路由器后,检测设备根据预设的时间长度定时(即周期性的发送)发送外联请求数据包,例如检测设备可以每一秒或每10秒发送1次外联请求数据包给识别出的路由器,需要说明的是,外联请求数据包的IP地址为预设在违规外联监控服务器的外网IP地址。
S4根据检测设备与互联网违规外联监控服务器的TCP通信连接情况判定所述路由器是否存在违规外联。
需要说明的是,在实际的局域网环境中,如果路由器不存在违规外联,则检测检测设备无法与互联网违规外联监控服务器建立正常的TCP通信,请求无法跳转从而中断访问,当一个路由器具有互联网访问能力,检测检测设备可以与互联网违规外联监控服务器的TCP通信,则该路由器存在违规外联,当存在违规外联情况时,违规外联监控服务器可即时向网络管理员发送告警信息,如发送告警邮件等。
实施例2
如图2所示,基于上述实施例本发明第二方面提出一种基于诱导数据包的违规外联监测系统,包括:检测设备、违规外联监控服务器、内部网络交换机、路由器、联网设备,所述检测设备通过镜像口与内部网络交换机通信连接,所述内部网络交换机、联网设备均与路由器通信连接,所述路由器通过互联网与违规外联监控服务器连接。所述内部网络交换机用于给局域网子网络提供连接端口。所述路由器用于连接两个或多个网络的硬件设备,在网络间起网关的作用,能够读取每一个网络数据包中的地址,然后决定网络数据包的传送方式,所述路由器能够连接若干个联网设备。
在一个具体的实施例中,所述检测设备可利用线束通过检测设备镜像口与内部网络交换机连接,检测设备通过设备镜像口采集全局域网内的数据包,解析所述数据包识别出所述全局域网内的路由器,并向识别出的路由器根据预设的时间长度定时发送外联请求数据包。需要说明的是,所述外联请求数据包的IP地址为预设在违规外联监控服务器的外网IP地址。
通过解析获取的数据包,也就是对获取内部网络流量信息进行分析,并通过现有的资产识别技术和私网发现技术得到网络信息,例如:MAC地址、tcp协议、网络端口信息,根据网络信息识别出局域网中的路由器。
在识别出局域网中的路由器后,检测设备根据预设的时间长度定时(即周期性的发送)发送外联请求数据包,例如检测设备可以每一秒或每10秒发送1次外联请求数据包给识别出的路由器,需要说明的是,外联请求数据包的IP地址为预设在违规外联监控服务器的外网IP地址。
在实际的局域网环境中,如果路由器不存在违规外联,则检测检测设备无法与互联网违规外联监控服务器建立正常的TCP通信,请求无法跳转从而中断访问,当一个路由器具有互联网访问能力,检测设备可以与互联网违规外联监控服务器的TCP通信,则该路由器存在违规外联,当存在违规外联情况时,违规外联监控服务器可即时向网络管理员发送告警信息,如发送告警邮件等。
显然,本发明的上述实施例仅仅是为清楚地说明本发明所作的举例,而并非是对本发明的实施方式的限定。对于所属领域的普通技术人员来说,在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明权利要求的保护范围之内。

Claims (10)

1.一种基于诱导数据包的违规外联监测方法,其特征在于,包括以下步骤:
检测设备采集全局域网内的数据包;
解析所述数据包识别出所述全局域网内的路由器;
检测设备向所述路由器根据预设的时间长度定时发送外联请求数据包,所述外联请求数据包的IP地址为预设在违规外联监控服务器的外网IP地址;
根据检测设备与互联网违规外联监控服务器的TCP通信连接情况判定所述路由器是否存在违规外联。
2.根据权利要求1所述的一种基于诱导数据包的违规外联监测方法,其特征在于,检测设备通过流量镜像采集全局域网内的数据包。
3.根据权利要求1所述的一种基于诱导数据包的违规外联监测方法,其特征在于,所述解析所述数据包识别出所述全局域网内的路由器具体为:
利用资产识别技术解析所述数据包,得到全局域网内网资产的网络信息,所述网络信息包括:MAC地址、tcp协议、网络端口信息;
根据所述网络信息识别出网络中的路由器。
4.根据权利要求1所述的一种基于诱导数据包的违规外联监测方法,其特征在于,根据检测设备与互联网违规外联监控服务器的TCP通信连接情况判定所述路由器是否存在违规外联具体过程为:
若检测设备与互联网违规外联监控服务器建立正常的TCP通信,则判定该路由器存在违规串网;
若检测设备访问中断,无法与互联网违规外联监控服务器建立正常的TCP通信,则判定该路由器不存在违规串网。
5.根据权利要求4所述的一种基于诱导数据包的违规外联监测方法,其特征在于,若路由器存在违规串网,则所述违规 外联监控服务器即时向网络管理员发送告警信息。
6.一种基于诱导数据包的违规外联监测系统,其特征在于,包括:检测设备、违规外联监控服务器、内部网络交换机、路由器、联网设备,所述检测设备通过镜像口与内部网络交换机通信连接,所述内部网络交换机、联网设备均与路由器通信连接,所述路由器通过互联网与违规外联监控服务器连接,所述系统采用基于诱导数据包的违规外联监测方法,具体步骤为:
检测设备采集全局域网内的数据包;
解析所述数据包识别出所述全局域网内的路由器;
检测设备向所述路由器根据预设的时间长度定时发送外联请求数据包,所述外联请求数据包的IP地址为预设在违规外联监控服务器的外网IP地址;
根据检测设备与互联网违规外联监控服务器的TCP通信连接情况判定所述路由器是否存在违规外联。
7.根据权利要求6所述的一种基于诱导数据包的违规外联监测系统,其特征在于,所述检测设备用于采集全局域网内的数据包,解析所述数据包识别出所述全局域网内的路由器,并向识别出的路由器根据预设的时间长度定时发送外联请求数据包。
8.根据权利要求7所述的一种基于诱导数据包的违规外联监测系统,其特征在于,所述外联请求数据包的IP地址为预设在违规外联监控服务器的外网IP地址。
9.根据权利要求6所述的一种基于诱导数据包的违规外联监测系统,其特征在于,所述内部网络交换机用于给局域网子网络提供连接端口。
10.根据权利要求6所述的一种基于诱导数据包的违规外联监测系统,其特征在于,所述路由器用于连接两个或多个网络的硬件设备,在网络间起网关的作用,能够读取每一个网络数据包中的地址,然后决定网络数据包的传送方式,所述路由器能够连接若干个联网设备。
CN202210830200.4A 2022-07-15 2022-07-15 一种基于诱导数据包的违规外联监测方法及系统 Active CN114900377B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210830200.4A CN114900377B (zh) 2022-07-15 2022-07-15 一种基于诱导数据包的违规外联监测方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210830200.4A CN114900377B (zh) 2022-07-15 2022-07-15 一种基于诱导数据包的违规外联监测方法及系统

Publications (2)

Publication Number Publication Date
CN114900377A CN114900377A (zh) 2022-08-12
CN114900377B true CN114900377B (zh) 2022-09-30

Family

ID=82729298

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210830200.4A Active CN114900377B (zh) 2022-07-15 2022-07-15 一种基于诱导数据包的违规外联监测方法及系统

Country Status (1)

Country Link
CN (1) CN114900377B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113938305B (zh) * 2021-10-18 2024-04-26 杭州安恒信息技术股份有限公司 一种非法外联的判定方法、系统及装置

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000261483A (ja) * 1999-03-09 2000-09-22 Hitachi Ltd ネットワーク監視システム
CN107317729A (zh) * 2017-07-11 2017-11-03 浙江远望信息股份有限公司 一种基于icmp协议的多种网络互联的主动探测方法
CN107426208A (zh) * 2017-07-24 2017-12-01 郑州云海信息技术有限公司 一种监控网络非法外联的方法
CN110768999A (zh) * 2019-10-31 2020-02-07 杭州迪普科技股份有限公司 一种设备非法外联的检测方法及装置
CN111385376A (zh) * 2020-02-24 2020-07-07 杭州迪普科技股份有限公司 一种终端的非法外联监测方法、装置、系统及设备
CN111917701A (zh) * 2020-03-31 2020-11-10 北京融汇画方科技有限公司 基于非客户端模式被动检查在线违规外联技术

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8380828B1 (en) * 2010-01-21 2013-02-19 Adtran, Inc. System and method for locating offending network device and maintaining network integrity

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000261483A (ja) * 1999-03-09 2000-09-22 Hitachi Ltd ネットワーク監視システム
CN107317729A (zh) * 2017-07-11 2017-11-03 浙江远望信息股份有限公司 一种基于icmp协议的多种网络互联的主动探测方法
CN107426208A (zh) * 2017-07-24 2017-12-01 郑州云海信息技术有限公司 一种监控网络非法外联的方法
CN110768999A (zh) * 2019-10-31 2020-02-07 杭州迪普科技股份有限公司 一种设备非法外联的检测方法及装置
CN111385376A (zh) * 2020-02-24 2020-07-07 杭州迪普科技股份有限公司 一种终端的非法外联监测方法、装置、系统及设备
CN111917701A (zh) * 2020-03-31 2020-11-10 北京融汇画方科技有限公司 基于非客户端模式被动检查在线违规外联技术

Also Published As

Publication number Publication date
CN114900377A (zh) 2022-08-12

Similar Documents

Publication Publication Date Title
CN110445770B (zh) 网络攻击源定位及防护方法、电子设备及计算机存储介质
US7672283B1 (en) Detecting unauthorized wireless devices in a network
KR100777752B1 (ko) 서비스 불능 공격 검지 시스템 및 서비스 불능 공격 검지방법
US9125130B2 (en) Blacklisting based on a traffic rule violation
US7216365B2 (en) Automated sniffer apparatus and method for wireless local area network security
US20060037077A1 (en) Network intrusion detection system having application inspection and anomaly detection characteristics
US20070298720A1 (en) Detection and management of rogue wireless network connections
US20060198313A1 (en) Method and device for detecting and blocking unauthorized access
US7475420B1 (en) Detecting network proxies through observation of symmetric relationships
CN104540134B (zh) 无线访问节点检测方法、无线网络检测系统和服务器
KR20090087437A (ko) 트래픽 검출 방법 및 장치
JPH09269930A (ja) ネットワークシステムの防疫方法及びその装置
CN114006723B (zh) 基于威胁情报的网络安全预测方法、装置及系统
CN112738095A (zh) 一种检测非法外联的方法、装置、系统、存储介质及设备
Manna et al. Review of syn-flooding attack detection mechanism
BR102019020060A2 (pt) método para detecção de características de pontos de acesso, usando aprendizagem de máquina
CN114900377B (zh) 一种基于诱导数据包的违规外联监测方法及系统
JP4259183B2 (ja) 情報処理システム、情報処理装置、プログラム、及び通信ネットワークにおける通信の異常を検知する方法
US20040233849A1 (en) Methodologies, systems and computer readable media for identifying candidate relay nodes on a network architecture
KR20120132086A (ko) 비인가 ap 탐지 시스템 및 그의 탐지 방법
CN116939589A (zh) 一种基于校园无线网的学生上网监控系统
CN112231679A (zh) 一种终端设备验证方法、装置及存储介质
CN114301796B (zh) 预测态势感知的验证方法、装置及系统
KR101074198B1 (ko) 유해 트래픽 발생 호스트 격리 방법 및 시스템
CN107395643B (zh) 一种基于扫描探针行为的源ip保护方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant