CN115189909A - 基于网络环境变化对违规连接互联网行为的防护方法 - Google Patents

基于网络环境变化对违规连接互联网行为的防护方法 Download PDF

Info

Publication number
CN115189909A
CN115189909A CN202210570389.8A CN202210570389A CN115189909A CN 115189909 A CN115189909 A CN 115189909A CN 202210570389 A CN202210570389 A CN 202210570389A CN 115189909 A CN115189909 A CN 115189909A
Authority
CN
China
Prior art keywords
network
entering
internet connection
network environment
judging whether
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210570389.8A
Other languages
English (en)
Inventor
蒋行杰
傅如毅
范闻天
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhejiang Yuanwang Information Co ltd
Original Assignee
Zhejiang Yuanwang Information Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhejiang Yuanwang Information Co ltd filed Critical Zhejiang Yuanwang Information Co ltd
Priority to CN202210570389.8A priority Critical patent/CN115189909A/zh
Publication of CN115189909A publication Critical patent/CN115189909A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提出了一种基于网络环境变化对违规连接互联网行为的防护方法,包括以下步骤:S1.监听终端设备的流量数据包;S2.判断流量数据包是否为ARP广播包,若是,则进入步骤S3;否则,进入步骤S4;S3.判断当前配置是否变更,若是,则进入步骤S5;否则,进入步骤S6;S4.判断是否为可信任IP,若是,则返回步骤S1;否则,进入步骤S5;S5.开启网络访问控制;S6.通知应用层客户端,进行违规连接互联网行为的探测;S7.判断接收结果是否超时,若超时,则进入步骤S9;否则,进入步骤S8;S8.判断是否违规,若违规,则开启防护;若未违规,则关闭网络控制,并将IP记入临时可信任IP名单,然后返回步骤S1。该方法能够准确发现内外网互联行为,并迅速防护。

Description

基于网络环境变化对违规连接互联网行为的防护方法
【技术领域】
本发明涉及信息安全的技术领域,特别是一种基于网络环境变化对违规连接互联网行为的防护方法。
【背景技术】
据近些年安全事件统计情况发现,内网上各类违规接入、非法互联、信息泄露等行为愈演愈烈,埋下了众多安全隐患,现提出一种基于网络环境变化对违规连接互联网行为的防护方法。
【发明内容】
本发明的目的就是解决现有技术中的问题,提出一种基于网络环境变化对违规连接互联网行为的防护方法,能够准确发现内外网互联行为,并迅速防护。
为实现上述目的,本发明提出了一种基于网络环境变化对违规连接互联网行为的防护方法,包括以下步骤:
S1.监听终端设备的流量数据包,然后进入步骤S2;
S2.判断流量数据包是否为ARP广播包,若是,则进入步骤S3;否则,进入步骤S4;
S3.判断当前配置是否变更,若是,则进入步骤S5;否则,进入步骤S6;
S4.判断是否为可信任IP,若是,则返回步骤S1;否则,进入步骤S5;
S5.开启网络访问控制,阻断当前网卡网络通信,然后进入步骤S6;
S6.通知应用层客户端,进行违规连接互联网行为的探测,等待探测结果,然后进入步骤S7;
S7.判断接收结果是否超时,若超时,则进入步骤S9;否则,进入步骤S8;
S8.判断是否违规,若违规,则开启防护;若未违规,则进入步骤S9;
S9.关闭网络控制,并将IP记入临时可信任IP名单,然后返回步骤S1。
作为优选,步骤S2中,NDIS中间层驱动抓取到ARP广播包后,若判定终端设备的网络状态发生了变化,进入步骤S3;否则,进入步骤S4。
作为优选,步骤S3中,通过记录设备的未违规配置判断当前配置是否变更;当发生网络状态变化时,如若当前配置与记录的未违规配置一致,则不优先开启网络访问控制,进入步骤S6做探测通知,若探测为违规,则开启防护,每次探测更新一次未违规配置。
作为优选,开机时判断当前配置与记录的未违规配置是否一致,若一致,则进入步骤S6;如若不一致,则进入步骤S5。
作为优选,所述未违规配置包括未违规IP、MAC、设备器名称。
作为优选,步骤S4中,还设置有“观察者”模式,在“观察者”模式下,当非可信任IP请求时,不做防护动作,直接进入步骤S6进行后续的探测,若经步骤S8判定为未违规,则除将该IP记入临时可信任IP名单外,同时写入IP文件;若S8判定为违规,则开启防护动作,并查询IP文件中是否存在该IP,存在则删除;“观察者”模式结束后,IP文件的记录名单合并至配置的临时可信任IP名单。
作为优选,步骤S4中,针对开机情况增加黑名单,对于黑名单内的IP直接进行阻断。
作为优选,步骤S7中,通过设置超时机制判断终端设备是否处于长时间控制状态,当应用层客户端在预设时间内未返回探测结果时,关闭网络控制。
作为优选,所述临时可信任IP名单有消亡机制。
作为优选,步骤S6中,记录未违规时的路由情况,探测时先进行路由探测,若路由发生变化,则继续进行后续探测;若路由未发生变化,则直接放开防护。
本发明的有益效果:
准确性:采用的ARP广播包判断,从原理上保证了内外网互联行为发现的准确性,能够实现零误报。
速度快:相比应用层防护控制,基于驱动层中间件的抓包判断、控制,防护更加迅速,更加安全。
影响低:通过“观察者”模式、可信任IP、为违规配置等记录,最大程度的减少对终端设备的网络影响。
本发明的特征及优点将通过实施例结合附图进行详细说明。
【附图说明】
图1是本发明基于网络环境变化对违规连接互联网行为的防护方法的流程图。
【具体实施方式】
参阅图1,本发明提出了一种基于网络环境变化对违规连接互联网行为的防护方法,包括以下步骤:
S1.监听终端设备的流量数据包,然后进入步骤S2;
S2.判断流量数据包是否为ARP广播包:当NDIS中间层驱动抓取到ARP 广播包后,判定终端设备的网络状态发生了变化,进入步骤S3;否则,进入步骤S4;
S3.判断当前配置是否变更,若是,则进入步骤S5;否则,进入步骤S6;
进一步地,步骤S3中,通过记录设备的未违规配置判断当前配置是否变更,所述未违规配置包括未违规IP、MAC、设备器名称;当发生网络状态变化时,如若当前配置与记录的未违规配置一致,则不优先开启网络访问控制,进入步骤S6做探测通知,若探测为违规,则开启防护,每次探测更新一次未违规配置。
进一步地,步骤S3中,开机时判断当前配置与记录的未违规配置是否一致,若一致,则进入步骤S6;如若不一致,则进入步骤S5。
S4.判断是否为可信任IP,若是,则返回步骤S1;否则,进入步骤S5;
进一步地,步骤S4中,还设置有“观察者”模式,在“观察者”模式下,当非可信任IP请求时,不做防护动作,直接进入步骤S6进行后续的探测,若经步骤S8判定为未违规,则除将该IP记入临时可信任IP名单外,同时写入IP文件;若S8判定为违规,则开启防护动作,并查询IP文件中是否存在该IP,存在则删除;“观察者”模式结束后,IP文件的记录名单合并至配置的临时可信任IP名单。
更进一步地,步骤S4中,针对开机情况增加黑名单,对于黑名单内的IP 直接进行阻断。
S5.开启网络访问控制,阻断当前网卡网络通信,然后进入步骤S6;
S6.通知应用层客户端,进行违规连接互联网行为的探测,等待探测结果,然后进入步骤S7;进一步地,步骤S6中,记录未违规时的路由情况,探测时先进行路由探测,若路由发生变化,则继续进行后续探测;若路由未发生变化,则直接放开防护。
S7.判断接收结果是否超时:通过设置超时机制判断终端设备是否处于长时间控制状态,当应用层客户端在预设时间内未返回探测结果时,进入步骤S9;否则,进入步骤S8;
S8.判断是否违规,若违规,则开启防护;若未违规,则进入步骤S9;
S9.关闭网络控制,并将IP记入临时可信任IP名单,然后返回步骤S1,其中,所述临时可信任IP名单有消亡机制。
网络环境变化可分为两种情况:
1、终端设备更改IP、插拔网线等一系列配置变动造成的网络状态变化;
2、在不改变终端设备网络配置的情况下,更换网关、路由的配置。
在用户终端修改任意配置,导致的网络环境变化后,终端设备会发出ARP 广播包,内容为ARP request,senderip:0.0.0.0,该包为使用IP的准备包,告知网段内设备,本机将使用该IP,并进行IP是否有冲突的判断,只有该ARP包完成后,该IP实质性才可使用,因此可通过该包进行判断网络状态的变化。
实施例1
NDIS中间层驱动抓取该ARP广播包后,判定主机网络状态发生变化时,开启网络访问控制,阻断当前网卡网络通信,并通知应用层客户端,进行违规连接互联网行为的探测,如若违规,则开启防护,否则关闭网络控制,为了防止设备处于长时间控制状态,设置超时机制,如若应用层客户端长时间未返回,则关闭网络控制。
考虑部分终端设备网络环境变化频繁,为不导致用户频繁断网,可记录设备的未违规IP、MAC、设备器名称等配置,当发生网络状态变化时,如若当前配置与记录的未违规配置一致,则不优先开启网络访问控制,仅做探测通知,若探测为违规,则开启防护,并且每次探测更新一次未违规配置。
为实现开机防护,同时防止开机后网络访问控制时间过久,开机时判断当前配置与记录的未违规配置是否一致,若一致则不进行控制,如若不一致,进行开启网络控制。
实施例2
在实施例1的基础上,考虑到内网环境相对干净、简单,可划分出信任IP,而其余IP,则为未知的不信任IP。在设备中记录可信任IP范围,该范围内的IP,按上述方案进行防护。非可信任IP范围的IP与终端设备进行通信时,基于不信任的原则,无论当前配置是否变更,直接进行网络控制,并发起违规探测请求,若未发现违规,则将该IP加入临时信任名单,下次访问时,按信任名单内IP处理,临时信任名单有消亡机制。
针对该场景,防止在探测时,防护导致的断网时间过长,记录未违规时的路由情况,探测时先进行路由探测,若路由发生变化,则继续进行后续探测,若未发生变化,直接放开防护。
由于存在外部网络管理人员,对网络环境划分不精准的情况,会导致未划分设备范围频繁被管控的问题,且为了方便管理人员配置,针对上述方案,定义”观察者”模式。“观察者”模式下,非可信任IP请求时,不做防护动作,仅进行后续的探测,若未违规,除将IP记录临时信任名单外,同时写入IP文件,若违规,则开启防护动作,并查询IP文件中是否存在该IP,存在则删除。“观察者”模式结束后,IP记录名单可合并至配置的临时可信任IP名单。
针对开机情况,增加黑名单,黑名单内的IP直接进行阻断,防止部分特殊 IP,在设备开机时逃出管控。
上述实施例是对本发明的说明,不是对本发明的限定,任何对本发明简单变换后的方案均属于本发明的保护范围。

Claims (10)

1.基于网络环境变化对违规连接互联网行为的防护方法,其特征在于:包括以下步骤:
S1.监听终端设备的流量数据包,然后进入步骤S2;
S2.判断流量数据包是否为ARP广播包,若是,则进入步骤S3;否则,进入步骤S4;
S3.判断当前配置是否变更,若是,则进入步骤S5;否则,进入步骤S6;
S4.判断是否为可信任IP,若是,则返回步骤S1;否则,进入步骤S5;
S5.开启网络访问控制,阻断当前网卡网络通信,然后进入步骤S6;
S6.通知应用层客户端,进行违规连接互联网行为的探测,等待探测结果,然后进入步骤S7;
S7.判断接收结果是否超时,若超时,则进入步骤S9;否则,进入步骤S8;
S8.判断是否违规,若违规,则开启防护;若未违规,则进入步骤S9;
S9.关闭网络控制,并将IP记入临时可信任IP名单,然后返回步骤S1。
2.如权利要求1所述的基于网络环境变化对违规连接互联网行为的防护方法,其特征在于:步骤S2中,NDIS中间层驱动抓取到ARP广播包后,若判定终端设备的网络状态发生了变化,进入步骤S3;否则,进入步骤S4。
3.如权利要求1所述的基于网络环境变化对违规连接互联网行为的防护方法,其特征在于:步骤S3中,通过记录设备的未违规配置判断当前配置是否变更;当发生网络状态变化时,如若当前配置与记录的未违规配置一致,则不优先开启网络访问控制,进入步骤S6做探测通知,若探测为违规,则开启防护,每次探测更新一次未违规配置。
4.如权利要求3所述的基于网络环境变化对违规连接互联网行为的防护方法,其特征在于:开机时判断当前配置与记录的未违规配置是否一致,若一致,则进入步骤S6;如若不一致,则进入步骤S5。
5.如权利要求3或4所述的基于网络环境变化对违规连接互联网行为的防护方法,其特征在于:所述未违规配置包括未违规IP、MAC、设备器名称。
6.如权利要求1所述的基于网络环境变化对违规连接互联网行为的防护方法,其特征在于:步骤S4中,还设置有“观察者”模式,在“观察者”模式下,当非可信任IP请求时,不做防护动作,直接进入步骤S6进行后续的探测,若经步骤S8判定为未违规,则除将该IP记入临时可信任IP名单外,同时写入IP文件;若S8判定为违规,则开启防护动作,并查询IP文件中是否存在该IP,存在则删除;“观察者”模式结束后,IP文件的记录名单合并至配置的临时可信任IP名单。
7.如权利要求1所述的基于网络环境变化对违规连接互联网行为的防护方法,其特征在于:步骤S4中,针对开机情况增加黑名单,对于黑名单内的IP直接进行阻断。
8.如权利要求1所述的基于网络环境变化对违规连接互联网行为的防护方法,其特征在于:步骤S7中,通过设置超时机制判断终端设备是否处于长时间控制状态,当应用层客户端在预设时间内未返回探测结果时,关闭网络控制。
9.如权利要求1所述的基于网络环境变化对违规连接互联网行为的防护方法,其特征在于:所述临时可信任IP名单有消亡机制。
10.如权利要求1所述的基于网络环境变化对违规连接互联网行为的防护方法,其特征在于:步骤S6中,记录未违规时的路由情况,探测时先进行路由探测,若路由发生变化,则继续进行后续探测;若路由未发生变化,则直接放开防护。
CN202210570389.8A 2022-05-24 2022-05-24 基于网络环境变化对违规连接互联网行为的防护方法 Pending CN115189909A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210570389.8A CN115189909A (zh) 2022-05-24 2022-05-24 基于网络环境变化对违规连接互联网行为的防护方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210570389.8A CN115189909A (zh) 2022-05-24 2022-05-24 基于网络环境变化对违规连接互联网行为的防护方法

Publications (1)

Publication Number Publication Date
CN115189909A true CN115189909A (zh) 2022-10-14

Family

ID=83513697

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210570389.8A Pending CN115189909A (zh) 2022-05-24 2022-05-24 基于网络环境变化对违规连接互联网行为的防护方法

Country Status (1)

Country Link
CN (1) CN115189909A (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016034122A1 (zh) * 2014-09-05 2016-03-10 烽火通信科技股份有限公司 CPE设备基于Linux实现公网接入用户数限制的系统及方法
CN110691083A (zh) * 2019-09-26 2020-01-14 杭州安恒信息技术股份有限公司 一种基于进程的外联阻断方法
CN111683162A (zh) * 2020-06-09 2020-09-18 福建健康之路信息技术有限公司 一种基于流量识别的ip地址管理方法和装置
CN114124884A (zh) * 2021-11-15 2022-03-01 北京天地和兴科技有限公司 一种局域网ip地址滥用检测装置及方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016034122A1 (zh) * 2014-09-05 2016-03-10 烽火通信科技股份有限公司 CPE设备基于Linux实现公网接入用户数限制的系统及方法
CN110691083A (zh) * 2019-09-26 2020-01-14 杭州安恒信息技术股份有限公司 一种基于进程的外联阻断方法
CN111683162A (zh) * 2020-06-09 2020-09-18 福建健康之路信息技术有限公司 一种基于流量识别的ip地址管理方法和装置
CN114124884A (zh) * 2021-11-15 2022-03-01 北京天地和兴科技有限公司 一种局域网ip地址滥用检测装置及方法

Similar Documents

Publication Publication Date Title
US9749337B2 (en) System and apparatus for rogue VoIP phone detection and managing VoIP phone mobility
CN108881211B (zh) 一种违规外联检测方法及装置
TWI234707B (en) Method and system for responding to a computer intrusion
US20050283831A1 (en) Security system and method using server security solution and network security solution
US7581004B2 (en) System and method for alerting on open file-share sessions on a user's electronic device
JP2011527472A (ja) ウェブページ改竄防止設備、ウェブページ改竄防止方法及びそのシステム
KR20000054538A (ko) 네트워크 침입탐지 시스템 및 방법 그리고 그 방법을기록한 컴퓨터로 읽을 수 있는 기록매체
WO2021144859A1 (ja) 侵入経路分析装置および侵入経路分析方法
KR20010105490A (ko) 해커감지 및 추적시스템
KR100424723B1 (ko) 미행 메커니즘 기반의 전산망 보안 관리 장치 및 방법
CN115189909A (zh) 基于网络环境变化对违规连接互联网行为的防护方法
CN112187699B (zh) 一种文件失窃的感知方法及系统
CN116015885A (zh) 一种安全防护控制方法、装置及设备
CN113660291B (zh) 智慧大屏显示信息恶意篡改防护方法及装置
CN115688100A (zh) 一种放置诱饵文件的方法、装置、设备及介质
CN111881384B (zh) 违规外联的取证方法、系统和存储介质
KR100976602B1 (ko) 파일 전송 보안 방법 및 장치
KR20070008804A (ko) 호스트 기반의 보안 시스템 및 그를 이용한 보안 서비스제공 방법
CN111859473A (zh) 基于空间检测的外接式终端防护设备及防护系统
KR101997181B1 (ko) Dns관리장치 및 그 동작 방법
CN113194013B (zh) 一种终端设备接入网络的控制方法、装置和存储介质
CN113141367B (zh) 一种终端设备接入网络的控制方法、装置和存储介质
CN114465746B (zh) 一种网络攻击控制方法及系统
CN114826674B (zh) 一种arp阻断的实现方法、系统及存储介质
KR102658384B1 (ko) 사내용 모바일 보안 에이전트 사이버공격 대응 방법 및 장치

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB03 Change of inventor or designer information

Inventor after: Jiang Xingjie

Inventor after: Fu Ruyi

Inventor after: Fan Wentian

Inventor before: Jiang Xingjie

Inventor before: Fu Ruyi

Inventor before: Fan Wentian

CB03 Change of inventor or designer information