CN116915503A - 一种违规外联检测方法及装置、存储介质及电子设备 - Google Patents
一种违规外联检测方法及装置、存储介质及电子设备 Download PDFInfo
- Publication number
- CN116915503A CN116915503A CN202311157253.5A CN202311157253A CN116915503A CN 116915503 A CN116915503 A CN 116915503A CN 202311157253 A CN202311157253 A CN 202311157253A CN 116915503 A CN116915503 A CN 116915503A
- Authority
- CN
- China
- Prior art keywords
- data packet
- external connection
- illegal external
- address
- equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 37
- 238000000034 method Methods 0.000 claims abstract description 62
- 230000002776 aggregation Effects 0.000 claims description 60
- 238000004220 aggregation Methods 0.000 claims description 60
- 238000004891 communication Methods 0.000 claims description 35
- 230000000903 blocking effect Effects 0.000 abstract description 9
- 238000001914 filtration Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 4
- 230000001960 triggered effect Effects 0.000 description 2
- 230000006399 behavior Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000006870 function Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0245—Filtering by information in the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请提供了一种违规外联检测方法及装置、存储介质及电子设备,通过控制中心预先将第二违规外联策略发送至接入交换机中,以及将第一违规外联策略发送至不为哑终端设备的内网设备的过滤程序中,从而,当内网设备不为哑终端设备时,控制内网设备的过滤程序,对内网设备发送的数据包进行拦截并判断是否满足第一违规外联策略,当内网设备为哑终端设备时,控制与内网设备连接的接入交换机,对内网设备发送的数据包进行拦截并判断是否满足第二违规外联策略,若满足第一违规外联策略或第二违规外联策略,则确定出内网设备即将发生违规外联,并丢弃数据包,从而实现了对即将发生违规外联的内网设备进行违规外联检测并阻断,避免了企事业内部信息的泄露。
Description
技术领域
本申请涉及计算机技术领域,尤其涉及一种违规外联检测方法及装置、存储介质及电子设备。
背景技术
为了提高信息的安全性,有的企事业单位通常选择内网进行常规办公,然而,部分在企事业工作的员工可能保密意识较差,将企事业内部的设备与公共互联网连接,导致企事业内部的信息存在被泄密的风险,对企事业造成巨大的影响。
因此,如何提供一种能够对即将发生违规外联的内网设备进行违规外联检测的技术方案,是目前本领域人员亟需解决的技术问题。
发明内容
本申请提供了一种违规外联检测方法及装置、存储介质及电子设备,目的在于实现对即将发生违规外联的内网设备进行违规外联检测。
为了实现上述目的,本申请提供了以下技术方案:
一种违规外联检测方法,应用于违规外联检测系统,所述违规外联检测系统包括至少一个预先认证的内网设备、至少一个接入交换机、汇聚交换机和控制中心,每个预先认证的内网设备与其对应的接入交换机连接,每个接入交换机通过所述汇聚交换机与所述控制中心连接,所述方法包括:
针对每一个预先认证的内网设备,若所述内网设备不为哑终端设备,则控制预先安装于所述内网设备的过滤程序,对所述内网设备发送的数据包进行拦截,判断所述数据包是否满足所述过滤程序中的第一违规外联策略,若所述数据包满足所述第一违规外联策略,则确定出所述内网设备即将发生违规外联,并丢弃所述数据包,若所述数据包不满足所述第一违规外联策略,则将所述数据包发送至与所述内网设备连接的接入交换机,并控制与所述内网设备连接的接入交换机通过所述汇聚交换机,将所述数据包发送至所述数据包中的目的IP地址;所述过滤程序中的第一违规外联策略由所述控制中心预先发送得到;
针对每一个预先认证的内网设备,若所述内网设备为哑终端,则在所述内网设备向与其连接的接入交换机发送数据包时,控制与所述内网设备连接的接入交换机,对所述内网设备发送的数据包进行拦截,判断所述数据包是否满足所述接入交换机中的第二违规外联策略,若所述数据包满足所述第二违规外联策略,则确定出所述内网设备即将发生违规外联,并丢弃所述数据包,若所述数据包不满足所述第二违规外联策略,则将所述数据包发送至汇聚交换机,并控制所述汇聚交换机将所述数据包发送至所述数据包中的目的IP地址;所述接入交换机中的第二违规外联策略由所述控制中心预先发送得到。
上述的方法,可选的,所述将所述数据包发送至与所述内网设备连接的接入交换机之后,还包括:
控制与所述内网设备连接的接入交换机,对所述内网设备发送的数据包进行拦截,判断所述数据包是否满足所述接入交换机中的第二违规外联策略;
若所述数据包满足第二违规外联策略,则确定出所述内网设备即将发生违规外联,并丢弃所述数据包;
若所述数据包不满足第二违规外联策略,则将所述数据包发送至汇聚交换机,控制所述汇聚交换机将所述数据包发送至所述数据包中的目的IP地址。
上述的方法,可选的,所述将所述数据包发送至汇聚交换机之后,还包括:
控制所述汇聚交换机,对接入交换机发送的数据包进行拦截,判断所述数据包是否满足所述汇聚交换机中的第三违规外联策略;所述汇聚交换机中的第三违规外联策略由所述控制中心预先发送得到;
若所述数据包满足第三违规外联策略,则确定出所述内网设备即将发生违规外联,并丢弃所述数据包;
若所述数据包不满足第三违规外联策略,则将所述数据包发送至所述数据包中的目的IP地址。
上述的方法,可选的,所述判断所述数据包是否满足所述汇聚交换机中的第三违规外联策略,包括:
判断所述数据包中的源IP地址和目的IP地址是否均在所述汇聚交换机的IP地址白名单中;
若所述源IP地址和目的IP地址均在IP地址白名单中,则确定出所述数据包不满足所述汇聚交换机中的第三违规外联策略;
若所述源IP地址或所述目的IP地址不在IP地址白名单中,则确定出所述数据包满足所述汇聚交换机中的第三违规外联策略。
上述的方法,可选的,所述判断所述数据包是否满足所述接入交换机中的第二违规外联策略,包括:
判断所述数据包中的源IP地址和目的IP地址是否均在所述接入交换机的IP地址白名单中,且所述内网设备的MAC地址和通信目的设备的MAC地址是否均在所述接入交换机的MAC地址白名单中;
若所述数据包中的源IP地址和目的IP地址均在IP地址白名单中,且所述内网设备的MAC地址和通信目的设备的MAC地址均在MAC地址白名单中,则确定出所述数据包不满足所述接入交换机中的第二违规外联策略;
若所述数据包中的源IP地址或目的IP地址不在IP地址白名单中,或,所述内网设备的MAC地址或通信目的设备的MAC地址不在MAC地址白名单中,则确定出所述数据包满足所述接入交换机中的第二违规外联策略。
上述的方法,可选的,所述判断所述数据包是否满足所述过滤程序中的第一违规外联策略,包括:
判断所述数据包中的所述内网设备的MAC地址和通信目的设备的MAC地址是否均在所述过滤程序中的MAC地址白名单中;
若所述内网设备的MAC地址和通信目的设备的MAC地址均在MAC地址白名单中,则确定出所述数据包不满足所述过滤程序中的第一违规外联策略;
若所述内网设备的MAC地址或通信目的设备的MAC地址不在MAC地址白名单中,则确定出所述数据包满足所述过滤程序中的第一违规外联策略。
上述的方法,可选的,所述丢弃所述数据包之后,还包括:
生成违规外联告警信息,将所述违规外联告警信息发送至所述控制中心。
一种违规外联检测装置,应用于违规外联检测系统,所述违规外联检测系统包括至少一个预先认证的内网设备、至少一个接入交换机、汇聚交换机和控制中心,每个预先认证的内网设备与其对应的接入交换机连接,每个接入交换机通过所述汇聚交换机与所述控制中心连接,所述装置包括:
第一判断单元,用于针对每一个预先认证的内网设备,若所述内网设备不为哑终端设备,则控制预先安装于所述内网设备的过滤程序,对所述内网设备发送的数据包进行拦截,判断所述数据包是否满足所述过滤程序中的第一违规外联策略,若所述数据包满足所述第一违规外联策略,则确定出所述内网设备即将发生违规外联,并丢弃所述数据包,若所述数据包不满足所述第一违规外联策略,则将所述数据包发送至与所述内网设备连接的接入交换机,并控制与所述内网设备连接的接入交换机通过所述汇聚交换机,将所述数据包发送至所述数据包中的目的IP地址;所述过滤程序中的第一违规外联策略由所述控制中心预先发送得到;
第二判断单元,用于针对每一个预先认证的内网设备,若所述内网设备为哑终端,则在所述内网设备向与其连接的接入交换机发送数据包时,控制与所述内网设备连接的接入交换机,对所述内网设备发送的数据包进行拦截,判断所述数据包是否满足所述接入交换机中的第二违规外联策略,若所述数据包满足所述第二违规外联策略,则确定出所述内网设备即将发生违规外联,并丢弃所述数据包,若所述数据包不满足所述第二违规外联策略,则将所述数据包发送至汇聚交换机,并控制所述汇聚交换机将所述数据包发送至所述数据包中的目的IP地址;所述接入交换机中的第二违规外联策略由所述控制中心预先发送得到。
一种存储介质,所述存储介质存储有指令集,其中,所述指令集被处理器执行时实现如上述的违规外联检测方法。
一种电子设备,包括:
存储器,用于存储至少一组指令集;
处理器,用于执行所述存储器中存储的指令集,通过执行所述指令集实现如上述的违规外联检测方法。
与现有技术相比,本申请包括以下优点:
本申请提供了一种违规外联检测方法及装置、存储介质及电子设备,该方法通过控制中心预先将第二违规外联策略发送至与内网设备连接的接入交换机中,以及在不为哑终端设备的内网设备中预先安装过滤程序,并将第一违规外联策略发送至不为哑终端设备的内网设备的过滤程序中,从而,当内网设备不为哑终端设备时,控制预先安装于内网设备的过滤程序,对内网设备发送的数据包进行拦截,判断数据包是否满足过滤程序中的第一违规外联策略,若数据包满足第一违规外联策略,则确定出内网设备即将发生违规外联,并丢弃数据包,当内网设备为哑终端设备时,控制与内网设备连接的接入交换机,对内网设备发送的数据包进行拦截,判断数据包是否满足接入交换机中的第二违规外联策略,若数据包满足第二违规外联策略,则确定出内网设备即将发生违规外联,并丢弃数据包,从而实现了对即将发生违规外联的内网设备进行违规外联检测并阻断,即,实现了在发生数据泄漏之前,对内网设备进行隔离,进而避免了企事业内部信息的泄露。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请提供的一种违规外联检测系统的结构示意图;
图2为本申请提供的一种违规外联检测方法的方法流程图;
图3为本申请提供的一种违规外联检测方法的又一方法流程图;
图4为本申请提供的一种违规外联检测方法的又一方法流程图;
图5为本申请提供的一种违规外联检测方法的又一方法流程图;
图6为本申请提供的一种违规外联检测方法的又一方法流程图;
图7为本申请提供的一种违规外联检测方法的又一方法流程图;
图8为本申请提供的一种违规外联检测方法的示例图;
图9为本申请提供的一种违规外联检测装置的结构示意图;
图10为本申请提供的一种电子设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请可用于众多通用或专用的计算装置环境或配置中。例如:个人计算机、服务器计算机、手持设备或便携式设备、平板型设备、多处理器装置、包括以上任何装置或设备的分布式计算环境等等。
本实施例中,为了便于理解,对本申请涉及的相关名词进行说明如下:
汇聚交换机:用于级联一个或多个接入交换机。
接入交换机:用于PC或哑终端设备接入的交换机。
客户端软件(即过滤程序):安装到PC设备操作系统,收集PC设备网络运行状态,并阻断违规网络行为。
控制中心:采集和管理汇聚交换机、接入交换机和客户端软件。
参阅图1,本申请实施例提供了一种违规外联检测系统,包括:
至少一个预先认证的内网设备(即为图1中的已认证设备)、至少一个接入交换机、汇聚交换机和控制中心。
其中,每个预先认证的内网设备与其对应的接入交换机连接,每个接入交换机通过汇聚交换机与控制中心连接。
需要说明的是,内网设备和接入交换机可以是多对一的关系,也就是多个内网设备可以同时与同一个接入交换机相连。
需要说明的是,已认证设备可以正常访问接入交换机,即具备向接入交换机发送数据包的权限,待认证的内网设备(即为待认证设备)访问受限,也就是不具备向接入交换机发送数据包的权限。
需要说明的是,已禁用设备(即已禁用的内网设备)无法与接入交换机连接,非法哑终端无法与接入交换机连接,非法接入交换机无法与汇聚交换机连接。
本发明实施例提供了一种违规外联检测方法,该方法可以应用在如上述的违规外联检测系统,所述方法的方法流程图如图2所示,具体包括:
S201、针对每一个预先认证的内网设备,判断该内网设备是否为哑终端设备,若否,执行S202,若是,执行S203。
本实施例中,内网设备预先认证。
本实施例中,针对每一个预先认证的内网设备,判断该内网设备是否哑终端设备。
示例性的,哑终端可以是摄像头、网络打印机或网络电话等设备。
判断内网设备是否哑终端设备的具体过程请参见现有技术,此处不再赘述。
S202、控制预先安装于内网设备的过滤程序,对内网设备发送的数据包进行拦截,判断数据包是否满足过滤程序中的第一违规外联策略,若是,执行S204,若否,执行S205。
本实施例中,若内网设备不为哑终端设备,则控制预先安装于内网设备的过滤程序,对内网设备发送的数据包进行拦截,具体的,利用过滤程序中的驱动技术,对流经内网设备的数据包进行拦截,从而实现对内网设备发送的数据包进行拦截。
本实施例中,过滤程序在对数据包进行拦截后,判断数据包是否满足过滤程序中的第一违规外联策略,其中,过滤程序中的第一违规外联策略由控制中预先发送得到。可选的,控制中心通过SSH(Secure Shell,安全外壳协议)向内网设备中的过滤程序发送第一违规外联策略。
本实施例中,第一违规外联策略中包括MAC地址白名单。
过滤程序中的MAC地址白名单由控制中心下发。
其中,MAC地址白名单,由接入交换机学习到接入的内网设备的MAC地址后,上报至控制中心。
参阅图3,判断数据包是否满足过滤程序中的第一违规外联策略的过程,具体包括以下步骤:
S301、判断数据包中的内网设备的MAC地址和通信目的设备的MAC地址是否均在过滤程序中的MAC地址白名单中,若是,执行S302,若否,执行S303。
本实施例中,过滤程序中预先存储MAC地址白名单,其中,过滤程序中的MAC地址白名单由控制中心预先发送得到。
本实施例中,通过解析数据包,得到内网设备的MAC地址和通信目的设备的MAC地址,判断数据包中的内网设备的MAC地址和通信目的设备的MAC地址是否在过滤程序中的MAC地址白名单中,具体的,通过将内网设备的MAC地址和通信设备的MAC地址依次与过滤程序中的MAC地址白名单中的各个MAC地址进行比对,以实现判断内网设备的MAC地址和通信目的设备的MAC地址是否均在过滤程序中的MAC地址白名单中。
S302、确定出数据包不满足过滤程序中的第一违规外联策略。
本实施例中,若数据包中的内网设备的MAC地址和通信目的设备的MAC地址均在过滤程序中的MAC地址白名单中,则确定出数据包不满足过滤程序中的第一违规外联策略。
S303、确定出数据包满足过滤程序中的第一违规外联策略。
本实施例中,若数据包中的内网设备的MAC地址或通信目的设备的MAC地址不在过滤程序中的MAC地址白名单中,则确定出数据包满足过滤程序中的第一违规外联策略。
S203、在内网设备向与其连接的接入交换机发送数据包时,控制与内网设备连接的接入交换机,对内网设备发送的数据包进行拦截,判断数据包是否满足接入交换机中的第二违规外联策略,若是,则执行S204,若否,执行S206。
本实施例中,若内网设备为哑终端设备,则内网设备可以直接向与其连接的接入交换机发送数据包。
本实施例中,在内网设备向与其连接的接入交换机发送数据包时,控制与内网设备连接的接入交换机,对内网设备发送的数据包进行拦截。
在对数据包进行拦截后,判断数据包是否满足接入交换中的第二违规外联策略。
其中,接入交换机中预先存储第二违规外联策略,接入交换机中的第二违规外联策略由控制中心预先发送得到。
本实施例中,第二违规外联策略中包括IP地址白名单和MAC地址白名单。
接入交换机中的IP地址白名单和MAC地址由控制中心下发。
参阅图4,判断数据包是否满足接入交换机中的第二违规外联策略的过程,包括以下步骤:
S401、判断数据包中的源IP地址和目的IP地址是否均在所述接入交换机的IP地址白名单中,且内网设备的MAC地址和通信目的设备的MAC地址是否均在接入交换机的MAC地址白名单中,若是,执行S402,若否,执行S403。
本实施例中,接入交换机中预先存储IP地址白名单和MAC地址白名单,其中,接入交换机中的IP地址白名单和MAC地址白名单由控制中心预先发送得到。
本实施例中,通过解析数据包,得到源IP地址、目的IP地址、内网设备的MAC地址和通信目的设备的MAC地址,判断数据包中的源IP地址和目的IP地址是否均在接入交换机中的IP地址白名单中,且内网设备的MAC地址和通信目的设备的MAC地址是否在接入交换机中的MAC地址白名单中,具体的,通过分别将数据包中的源IP地址和目的地址,依次与接入交换机中的IP地址白名单中的各个IP地址进行比对,以实现判断数据包中的源IP地址和目的IP地址是否均在接入交换机中的IP地址白名单中,通过将内网设备的MAC地址和通信目的设备的MAC地址依次与接入交换机中的MAC地址白名单中的各个MAC地址进行比对,以实现判断内网设备的MAC地址和通信目的设备的MAC地址是否均在接入交换机中的MAC地址白名单中。
S402、确定出数据包不满足接入交换机中的第二违规外联策略。
本实施例中,若数据包中的源IP地址和目的IP地址均在接入交换机中的IP地址白名单中,且内网设备的MAC地址和通信目的设备的MAC地址均在接入交换机中的MAC地址白名单中,则确定出数据包不满足过滤程序中的第二违规外联策略。
S403、确定出数据包满足接入交换机中的第二违规外联策略。
本实施例中,若数据包中的源IP地址不在接入交换机中的IP地址白名单中,或,数据包中的目的地址不在接入交换机中的IP地址白名单中,或,内网设备的MAC地址不在接入交换机中的MAC地址白名单中,或,通信目的设备的MAC地址不在接入交换机中的MAC地址白名单中,则确定出数据包满足接入交换机中的第二违规外联策略。
S204、确定出内网设备即将发生违规外联,并丢弃数据包。
本实施例中,若数据包满足过滤程序中的第一违规外联策略,则确定出内网设备即将发生违规外联,并丢弃该数据包,以实现避免内网设备违规外联。
本实施例中,若数据包满足接入交换机中的第二违规外联策略,则确定出内网设备即将发生违规外联,并丢弃该数据包,以实现避免内网设备违规外联。
S205、将数据包发送至与内网设备连接的接入交换机,并控制与内网设备连接的接入交换机通过汇聚交换机,将数据包发送至数据包中的目的IP地址。
本实施例中,若数据包不满足过滤程序中的第一违规外联策略,则将数据包发送至与内网设备连接的接入交换机,并控制与内网设备连接的接入交换机通过汇聚交换机,将数据包发送至数据包中的目的IP地址。
具体的,控制与内网设备连接的接入交换机接收内网设备发送的数据包,并将数据包发送至汇聚交换机,汇聚交换机将数据包发送至数据包中的目的IP地址。
S206、将数据包发送至汇聚交换机,并控制汇聚交换机将数据包发送至数据包中的目的IP地址。
本实施例中,若数据包不满足接入交换机中的第二违规外联策略,则将数据包发送至汇聚交换机,并控制汇聚交换机将数据包发送至数据包中的目的IP地址。
本申请实施例提供的违规外联检测方法,通过控制中心预先将第二违规外联策略发送至与内网设备连接的接入交换机中,以及在不为哑终端设备的内网设备中预先安装过滤程序,并将第一违规外联策略发送至不为哑终端设备的内网设备的过滤程序中,从而,当内网设备不为哑终端设备时,控制预先安装于内网设备的过滤程序,对内网设备发送的数据包进行拦截,判断数据包是否满足过滤程序中的第一违规外联策略,若数据包满足第一违规外联策略,则确定出内网设备即将发生违规外联,并丢弃数据包,当内网设备为哑终端设备时,控制与内网设备连接的接入交换机,对内网设备发送的数据包进行拦截,判断数据包是否满足接入交换机中的第二违规外联策略,若数据包满足所述第二违规外联策略,则确定出内网设备即将发生违规外联,并丢弃数据包,从而实现了对即将发生违规外联的内网设备进行违规外联检测并阻断,即,实现了在发生数据泄漏之前,对内网设备进行隔离,进而避免了企事业内部信息的泄露。
参阅图5,本申请实施例还提供另一种违规外联检测方法,包括以下步骤:
S501、针对每一个预先认证的内网设备,判断该内网设备是否为哑终端设备,若否,执行S502,若是,执行S503。
本实施例中,步骤S501的具体实现过程请参见步骤S201,此处不再赘述。
S502、控制预先安装于内网设备的过滤程序,对内网设备发送的数据包进行拦截,判断数据包是否满足过滤程序中的第一违规外联策略,若是,执行S504,若否,执行S505。
本实施例中,步骤S502的具体实现过程请参见步骤S202,此处不再赘述。
S503、在内网设备向与其连接的接入交换机发送数据包时,控制与内网设备连接的接入交换机,对内网设备发送的数据包进行拦截,判断数据包是否满足接入交换机中的第二违规外联策略,若是,则执行S504,若否,执行S506。
本实施例中,步骤S503的具体实现过程请参见步骤S203,此处不再赘述。
S504、确定出内网设备即将发生违规外联,并丢弃数据包。
本实施例中,对于不为哑终端设备的内网设备,若数据包满足过滤程序中的第一违规外联策略,则确定出内网设备即将发生违规外联,并丢弃该数据包,以实现避免内网设备违规外联。若数据包不满足过滤程序中的第一违规外联策略,但是满足接入交换机中的第二违规外联策略,则同样确定出内网设备即将发生违规外联,并丢弃该数据包。
本实施例中,对于为哑终端设备的内网设备,若数据包满足接入交换机中的第二违规外联策略,则确定出内网设备即将发生违规外联,并丢弃该数据包,以实现避免内网设备违规外联。
S505、将数据包发送至与内网设备连接的接入交换机,并控制与内网设备连接的接入交换机,对内网设备发送的数据包进行拦截,判断数据包是否满足接入交换机中的第二违规外联策略,若是,执行S504,若否,执行S506。
本实施例中,若数据包不满足过滤程序中的第一违规外联策略,则将数据包发送至与内网设备连接的接入交换机。
在内网设备向与其连接的接入交换机发送数据包时,控制与内网设备连接的接入交换机,对内网设备发送的数据包进行拦截。
在对数据包进行拦截后,判断数据包是否满足接入交换中的第二违规外联策略,具体的判断过程请参见步骤S401-S403,此处不再赘述。
S506、将数据包发送至汇聚交换机,并控制汇聚交换机将数据包发送至数据包中的目的IP地址。
本实施例中,若数据包不满足接入交换机中的第二违规外联策略,则将数据包发送至汇聚交换机,并控制汇聚交换机将数据包发送至数据包中的目的IP地址。
本申请实施例提供的违规外联检测方法,通过控制中心预先将第二违规外联策略发送至与内网设备连接的接入交换机中,以及在不为哑终端设备的内网设备中预先安装过滤程序,并将第一违规外联策略发送至不为哑终端设备的内网设备的过滤程序中,从而,当内网设备不为哑终端设备时,控制预先安装于内网设备的过滤程序,对内网设备发送的数据包进行拦截,判断数据包是否满足过滤程序中的第一违规外联策略,若满足,则确定出内网设备即将发生违规外联,并丢弃数据包;若不满足,则控制与内网设备连接的接入交换机,对内网设备发送的数据包进行拦截,判断数据包是否满足接入交换机中的第二违规外联策略,若数据包满足所述第二违规外联策略,则确定出内网设备即将发生违规外联,并丢弃数据包。可见,本申请方案,可以实现对即将发生违规外联的内网设备进行二级违规外联检测并阻断,提高检测的准确度。
参阅图6,本申请实施例还提供另一种违规外联检测方法,包括以下步骤:
S601、针对每一个预先认证的内网设备,判断该内网设备是否为哑终端设备,若否,执行S602,若是,执行S603。
本实施例中,步骤S601的具体实现过程请参见步骤S201,此处不再赘述。
S602、控制预先安装于内网设备的过滤程序,对内网设备发送的数据包进行拦截,判断数据包是否满足过滤程序中的第一违规外联策略,若是,执行S604,若否,执行S605。
本实施例中,步骤S502的具体实现过程请参见步骤S202,此处不再赘述。
S603、在内网设备向与其连接的接入交换机发送数据包时,控制与内网设备连接的接入交换机,对内网设备发送的数据包进行拦截,判断数据包是否满足接入交换机中的第二违规外联策略,若是,则执行S604,若否,执行S606。
本实施例中,步骤S503的具体实现过程请参见步骤S203,此处不再赘述。
S604、确定出内网设备即将发生违规外联,并丢弃数据包。
本实施例中,对于不为哑终端设备的内网设备,若数据包满足过滤程序中的第一违规外联策略,则确定出内网设备即将发生违规外联,并丢弃该数据包,以实现避免内网设备违规外联。若数据包不满足过滤程序中的第一违规外联策略,但是满足接入交换机中的第二违规外联策略,则同样确定出内网设备即将发生违规外联,并丢弃该数据包。若数据包不满足过滤程序中的第一违规外联策略,以及不满足接入交换机中的第二违规外联策略,但是满足汇聚交换机中的第三违规外联策略,则同样确定出内网设备即将发生违规外联,并丢弃该数据包。
本实施例中,对于为哑终端设备的内网设备,若数据包满足接入交换机中的第二违规外联策略,则确定出内网设备即将发生违规外联,并丢弃该数据包,以实现避免内网设备违规外联。若数据包不满足接入交换机中的第二违规外联策略,但是满足汇聚交换机中的第三违规外联策略,则同样确定出内网设备即将发生违规外联,并丢弃该数据包。
S605、将数据包发送至与内网设备连接的接入交换机,并控制与内网设备连接的接入交换机,对内网设备发送的数据包进行拦截,判断数据包是否满足接入交换机中的第二违规外联策略,若是,执行S604,若否,执行S606。
本实施例中,若数据包不满足过滤程序中的第一违规外联策略,则将数据包发送至与内网设备连接的接入交换机。
在内网设备向与其连接的接入交换机发送数据包时,控制与内网设备连接的接入交换机,对内网设备发送的数据包进行拦截。
在对数据包进行拦截后,判断数据包是否满足接入交换中的第二违规外联策略,具体的判断过程请参见步骤S401-S403,此处不再赘述。
S606、将数据包发送至汇聚交换机,并控制汇聚交换机,对接入交换机发送的数据包进行拦截,判断数据包是否满足汇聚交换机中的第三违规外联策略,若是,执行S604,若否,执行S607。
本实施例中,若数据包不满足接入交换机中的第二违规外联策略,则将数据包发送至汇聚交换机,并控制汇聚交换机,对接入交换机发送的数据包进行拦截,判断数据包是否满足汇聚交换机中的第三违规外联策略。
其中,汇聚交换机中预先存储第三违规外联策略,汇聚交换机中的第三违规外联策略由控制中心预先发送得到。
本实施例中,第三违规外联策略中包括IP地址白名单。
参阅图7,判断数据包是否满足汇聚交换机中的第三违规外联策略的过程,包括以下步骤:
S701、判断数据包中的源IP地址和目的IP地址是否均在汇聚交换机的IP地址白名单中,若是,执行S702,若否,执行S703。
本实施例中,汇聚交换机中预先存储IP地址白名单,其中,汇聚交换机中的IP地址白名单由控制中心预先发送得到。
本实施例中,通过解析数据包,得到源IP地址和目的IP地址,判断数据包中的源IP地址和目的IP地址是否均在汇聚交换机中的IP地址白名单中,具体的,通过分别将数据包中的源IP地址和目的地址,依次与汇聚交换机中的IP地址白名单中的各个IP地址进行比对,以实现判断数据包中的源IP地址和目的IP地址是否均在汇聚交换机中的IP地址白名单中。
S702、确定出数据包不满足汇聚交换机中的第三违规外联策略。
本实施例中,若所源IP地址和目的IP地址均在IP地址白名单中,则确定出数据包不满足汇聚交换机中的第三违规外联策略。
S703、确定出数据包满足汇聚交换机中的第三违规外联策略。
本实施例中,若源IP地址或目的IP地址不在IP地址白名单中,则确定出数据包满足所述汇聚交换机中的第三违规外联策略。
S607、将数据包发送至数据包中的目的IP地址。
本实施例中,若数据包不满足汇聚交换机中的第三违规外联策略,则将数据包发送至数据包中的目的IP地址。
本申请实施例提供的违规外联检测方法,通过控制中心预先将第二违规外联策略发送至与内网设备连接的接入交换机中,预先将第三违规外联策略发送至汇聚交换机中,以及在不为哑终端设备的内网设备中预先安装过滤程序,并将第一违规外联策略发送至不为哑终端设备的内网设备的过滤程序中,从而,可以实现对不为哑终端的内网设备进行三级违规外联检测并阻断,可以实现对为哑终端的内网设备进行二级违规外联检测并阻断,进而提高检测的准确度。
上述本申请实施例提供的违规外联检测方法,在丢弃数据包之后,还可以生成违规外联告警信息,将违规外联告警信息发送至控制中心。
具体的,可以调用告警信息生成模板,生成违规外联告警信息,并将违规外联告警信息发送至控制中心。
本申请实施例中,通过生成违规外联告警信息,并将违规外联告警信息发送至控制中心,从而方面用户获取违规外联告警信息。
参阅图8,对上述提及的违规外联检测方法的具体实现过程进行举例说明如下:
1.根据当前系统网络设备数量,控制中心负责配置汇聚交换机和接入交换机IP防火墙配置(即上述提及的IP地址白名单)。
1.1完成汇聚交换机和接入交换机端口与VLAN ID之间的绑定。
1.2将VLAN ID与IP地址进行绑定,明确VLAN ID允许通过的IP列表和IP网段。
1.3控制中心将VLAN信息,IP配置和关联关系整合生成IP防火墙规则,并通过SSH协议下发给汇聚交换机和接入交换机。
2.汇聚交换机对流经当前端口的所有流量进行分析,验证数据包的IP(包括源IP地址和目的IP地址)是否满足IP防火墙规则。
2.1如果数据包在IP防火墙规则允许数据正常流通。
2.2如果数据包IP不满足IP防火墙规则,汇聚交换机端口阻断数据包通行,同时触发违规外联上报控制中心。
3.终端设备连通接入交换机,交换机读取当前设备的MAC地址并通过SNMP协议将当前接入交换机端口编号,端口状态,MAC地址上报给控制中心数据模块。
4.控制中心安全模块根据数据模块获取的端口信息和MAC地址信息生成MAC防火墙(即上述提及的MAC地址白名单),通过SSH协议下发到接入交换机和PC客户端。
5.接入交换机端口对流量数据包同时进行MAC和IP防火墙规则检查。
5.1获取数据包源MAC和目标MAC地址信息,同MAC防火墙规则进行比对,当源MAC地址或者目标MAC地址不在MAC防火墙规则里面,则阻断当前数据包通信,同时触发违规外联上报控制中心。
5.2获取数据包源IP地址和目标IP地址,同IP防火墙规则进行比对。当源IP地址或者目标IP地址不在IP防火墙规则里面的时候,阻断当前数据通信,同时触发违规外联上报控制中心。
5.3当数据包同时满足MAC和IP防火墙规则,接入交换机端口运行数据正常通信。
6.PC电脑终端设备安装客户端软件,通过MAC防火墙规则进行安全限制。
6.1Windows Boot启动过程中加载网络驱动程序,如果驱动启动失败则需重启设备。
6.2启动客户端同时与控制中心建立连接,在客户端与控制中心建立连接之前阻止正常数据通信,避免数据泄露。
6.3将客户端上的所有网卡与Ndis filter驱动建立绑定关系,使流经网卡的所有数据包都会交由Ndis filter进行处理。
6.4Nids filter进行解包获取当数据报的源MAC地址和目标MAC地址以及数据包类型,然后与客户端MAC白名单进行比对,如果源MAC地址或者目标MAC地址不满足MAC防火墙规则,则阻断当前数据包通信,同时触发违规外联上报控制中心。
7.哑终端设备直接连接接入交换机,接入交换机端口对当前哑终端设备数据包进行解包分析,判断是触发违规外联。
本申请实施例提供的违规外联检测方法,基于可信任终端的IP,MAC防火墙策略,在接入设备认证之前无法进行正常网络访问。在发生违规外联之前就将对设备数据包进行拦截,从而达到“事前阻断”的效果,并且通过将安全策略下发到交换机,在交换机层对数据进行连接数据检测和拦截,避免在整个系统中广播数据包进行违规检测带来的流量冗余和网络阻塞的情况,以及运用VLAN技术配置IP防火墙策略,将终端设备能够访问的网络访问尽量减小,防止跨网络的数据访问和泄露。
需要说明的是,虽然采用特定次序描绘了各指令,但是这不应当理解为要求这些指令以所示出的特定次序或以顺序次序执行来执行。在一定环境下,多任务和并行处理可能是有利的。
应当理解,本申请公开的方法实施方式中记载的各个步骤可以按照不同的顺序执行,和/或并行执行。此外,方法实施方式可以包括附加的步骤和/或省略执行示出的步骤。本申请公开的范围在此方面不受限制。
与图2所述的方法相对应,本申请实施例还提供了一种违规外联检测装置,应用于违规外联检测系统,用于对图2中方法的具体实现,其结构示意图如图9所示,具体包括:
第一判断单元901,用于针对每一个预先认证的内网设备,若所述内网设备不为哑终端设备,则控制预先安装于所述内网设备的过滤程序,对所述内网设备发送的数据包进行拦截,判断所述数据包是否满足所述过滤程序中的第一违规外联策略,若所述数据包满足所述第一违规外联策略,则确定出所述内网设备即将发生违规外联,并丢弃所述数据包,若所述数据包不满足所述第一违规外联策略,则将所述数据包发送至与所述内网设备连接的接入交换机,并控制与所述内网设备连接的接入交换机通过所述汇聚交换机,将所述数据包发送至所述数据包中的目的IP地址;所述过滤程序中的第一违规外联策略由所述控制中心预先发送得到;
第二判断单元902,用于针对每一个预先认证的内网设备,若所述内网设备为哑终端,则在所述内网设备向与其连接的接入交换机发送数据包时,控制与所述内网设备连接的接入交换机,对所述内网设备发送的数据包进行拦截,判断所述数据包是否满足所述接入交换机中的第二违规外联策略,若所述数据包满足所述第二违规外联策略,则确定出所述内网设备即将发生违规外联,并丢弃所述数据包,若所述数据包不满足所述第二违规外联策略,则将所述数据包发送至汇聚交换机,并控制所述汇聚交换机将所述数据包发送至所述数据包中的目的IP地址;所述接入交换机中的第二违规外联策略由所述控制中心预先发送得到。
本申请实施例提供的违规外联检测装置,通过控制中心预先将第二违规外联策略发送至与内网设备连接的接入交换机中,以及在不为哑终端设备的内网设备中预先安装过滤程序,并将第一违规外联策略发送至不为哑终端设备的内网设备的过滤程序中,从而,当内网设备不为哑终端设备时,控制预先安装于内网设备的过滤程序,对内网设备发送的数据包进行拦截,判断数据包是否满足过滤程序中的第一违规外联策略,若数据包满足第一违规外联策略,则确定出内网设备即将发生违规外联,并丢弃数据包,当内网设备为哑终端设备时,控制与内网设备连接的接入交换机,对内网设备发送的数据包进行拦截,判断数据包是否满足接入交换机中的第二违规外联策略,若数据包满足所述第二违规外联策略,则确定出内网设备即将发生违规外联,并丢弃数据包,从而实现了对即将发生违规外联的内网设备进行违规外联检测并阻断,即,实现了在发生数据泄漏之前,对内网设备进行隔离,进而避免了企事业内部信息的泄露。
在本申请的一个实施例中,基于前述方案,还可以配置为:
第三判断单元,用于控制与所述内网设备连接的接入交换机,对所述内网设备发送的数据包进行拦截,判断所述数据包是否满足所述接入交换机中的第二违规外联策略;
第一丢弃单元,用于若所述数据包满足第二违规外联策略,则确定出所述内网设备即将发生违规外联,并丢弃所述数据包;
第一发送单元。用于若所述数据包不满足第二违规外联策略,则将所述数据包发送至汇聚交换机,控制所述汇聚交换机将所述数据包发送至所述数据包中的目的IP地址。
在本申请的一个实施例中,基于前述方案,还可以配置为:
第四判断,用于控制所述汇聚交换机,对接入交换机发送的数据包进行拦截,判断所述数据包是否满足所述汇聚交换机中的第三违规外联策略;所述汇聚交换机中的第三违规外联策略由所述控制中心预先发送得到;
第二丢弃单元,用于若所述数据包满足第三违规外联策略,则确定出所述内网设备即将发生违规外联,并丢弃所述数据包;
第二发送单元,用于若所述数据包不满足第三违规外联策略,则将所述数据包发送至所述数据包中的目的IP地址。
在本申请的一个实施例中,基于前述方案,第四判断在判断所述数据包是否满足所述汇聚交换机中的第三违规外联策略时,具体用于:
判断所述数据包中的源IP地址和目的IP地址是否均在所述汇聚交换机的IP地址白名单中;
若所述源IP地址和目的IP地址均在IP地址白名单中,则确定出所述数据包不满足所述汇聚交换机中的第三违规外联策略;
若所述源IP地址或所述目的IP地址不在IP地址白名单中,则确定出所述数据包满足所述汇聚交换机中的第三违规外联策略。
在本申请的一个实施例中,基于前述方案,第二判断单元902在判断所述数据包是否满足所述接入交换机中的第二违规外联策略时,具体用于:
判断所述数据包中的源IP地址和目的IP地址是否均在所述接入交换机的IP地址白名单中,且所述内网设备的MAC地址和通信目的设备的MAC地址是否均在所述接入交换机的MAC地址白名单中;
若所述数据包中的源IP地址和目的IP地址均在IP地址白名单中,且所述内网设备的MAC地址和通信目的设备的MAC地址均在MAC地址白名单中,则确定出所述数据包不满足所述接入交换机中的第二违规外联策略;
若所述数据包中的源IP地址或目的IP地址不在IP地址白名单中,或,所述内网设备的MAC地址或通信目的设备的MAC地址不在MAC地址白名单中,则确定出所述数据包满足所述接入交换机中的第二违规外联策略。
在本申请的一个实施例中,基于前述方案,第一判断单元901在判断所述数据包是否满足所述过滤程序中的第一违规外联策略时,具体用于:
判断所述数据包中的所述内网设备的MAC地址和通信目的设备的MAC地址是否均在所述过滤程序中的MAC地址白名单中;
若所述内网设备的MAC地址和通信目的设备的MAC地址均在MAC地址白名单中,则确定出所述数据包不满足所述过滤程序中的第一违规外联策略;
若所述内网设备的MAC地址或通信目的设备的MAC地址不在MAC地址白名单中,则确定出所述数据包满足所述过滤程序中的第一违规外联策略。
在本申请的一个实施例中,基于前述方案,还可以配置为:
生成单元,用于生成违规外联告警信息,将所述违规外联告警信息发送至所述控制中心。
本申请实施例还提供了一种存储介质,所述存储介质存储有指令集,其中,在所述指令集运行时执行如上文任一实施例公开的违规外联检测方法。
本申请实施例还提供了一种电子设备,其结构示意图如图10所示,具体包括存储器1001,用于存储至少一组指令集;处理器1002,用于执行所述存储器中存储的指令集,通过执行所述指令集实现如上文任一实施例公开的违规外联检测方法。
尽管已经采用特定于结构特征和/或方法逻辑动作的语言描述了本主题,但是应当理解所附权利要求书中所限定的主题未必局限于上面描述的特定特征或动作。相反,上面所描述的特定特征和动作仅仅是实现权利要求书的示例形式。
虽然在上面论述中包含了若干具体实现细节,但是这些不应当被解释为对本申请公开的范围的限制。在单独的实施例的上下文中描述的某些特征还可以组合地实现在单个实施例中。相反地,在单个实施例的上下文中描述的各种特征也可以单独地或以任何合适的子组合的方式实现在多个实施例中。
以上描述仅为本申请公开的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本申请公开中所涉及的公开范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离上述公开构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本申请公开中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。
Claims (10)
1.一种违规外联检测方法,其特征在于,应用于违规外联检测系统,所述违规外联检测系统包括至少一个预先认证的内网设备、至少一个接入交换机、汇聚交换机和控制中心,每个预先认证的内网设备与其对应的接入交换机连接,每个接入交换机通过所述汇聚交换机与所述控制中心连接,所述方法包括:
针对每一个预先认证的内网设备,若所述内网设备不为哑终端设备,则控制预先安装于所述内网设备的过滤程序,对所述内网设备发送的数据包进行拦截,判断所述数据包是否满足所述过滤程序中的第一违规外联策略,若所述数据包满足所述第一违规外联策略,则确定出所述内网设备即将发生违规外联,并丢弃所述数据包,若所述数据包不满足所述第一违规外联策略,则将所述数据包发送至与所述内网设备连接的接入交换机,并控制与所述内网设备连接的接入交换机通过所述汇聚交换机,将所述数据包发送至所述数据包中的目的IP地址;所述过滤程序中的第一违规外联策略由所述控制中心预先发送得到;
针对每一个预先认证的内网设备,若所述内网设备为哑终端,则在所述内网设备向与其连接的接入交换机发送数据包时,控制与所述内网设备连接的接入交换机,对所述内网设备发送的数据包进行拦截,判断所述数据包是否满足所述接入交换机中的第二违规外联策略,若所述数据包满足所述第二违规外联策略,则确定出所述内网设备即将发生违规外联,并丢弃所述数据包,若所述数据包不满足所述第二违规外联策略,则将所述数据包发送至汇聚交换机,并控制所述汇聚交换机将所述数据包发送至所述数据包中的目的IP地址;所述接入交换机中的第二违规外联策略由所述控制中心预先发送得到。
2.根据权利要求1所述的违规外联检测方法,其特征在于,所述将所述数据包发送至与所述内网设备连接的接入交换机之后,还包括:
控制与所述内网设备连接的接入交换机,对所述内网设备发送的数据包进行拦截,判断所述数据包是否满足所述接入交换机中的第二违规外联策略;
若所述数据包满足第二违规外联策略,则确定出所述内网设备即将发生违规外联,并丢弃所述数据包;
若所述数据包不满足第二违规外联策略,则将所述数据包发送至汇聚交换机,控制所述汇聚交换机将所述数据包发送至所述数据包中的目的IP地址。
3.根据权利要求2所述的违规外联检测方法,其特征在于,所述将所述数据包发送至汇聚交换机之后,还包括:
控制所述汇聚交换机,对接入交换机发送的数据包进行拦截,判断所述数据包是否满足所述汇聚交换机中的第三违规外联策略;所述汇聚交换机中的第三违规外联策略由所述控制中心预先发送得到;
若所述数据包满足第三违规外联策略,则确定出所述内网设备即将发生违规外联,并丢弃所述数据包;
若所述数据包不满足第三违规外联策略,则将所述数据包发送至所述数据包中的目的IP地址。
4.根据权利要求3所述的违规外联检测方法,其特征在于,所述判断所述数据包是否满足所述汇聚交换机中的第三违规外联策略,包括:
判断所述数据包中的源IP地址和目的IP地址是否均在所述汇聚交换机的IP地址白名单中;
若所述源IP地址和目的IP地址均在IP地址白名单中,则确定出所述数据包不满足所述汇聚交换机中的第三违规外联策略;
若所述源IP地址或所述目的IP地址不在IP地址白名单中,则确定出所述数据包满足所述汇聚交换机中的第三违规外联策略。
5.根据权利要求2所述的违规外联检测方法,其特征在于,所述判断所述数据包是否满足所述接入交换机中的第二违规外联策略,包括:
判断所述数据包中的源IP地址和目的IP地址是否均在所述接入交换机的IP地址白名单中,且所述内网设备的MAC地址和通信目的设备的MAC地址是否均在所述接入交换机的MAC地址白名单中;
若所述数据包中的源IP地址和目的IP地址均在IP地址白名单中,且所述内网设备的MAC地址和通信目的设备的MAC地址均在MAC地址白名单中,则确定出所述数据包不满足所述接入交换机中的第二违规外联策略;
若所述数据包中的源IP地址或目的IP地址不在IP地址白名单中,或,所述内网设备的MAC地址或通信目的设备的MAC地址不在MAC地址白名单中,则确定出所述数据包满足所述接入交换机中的第二违规外联策略。
6.根据权利要求1所述的违规外联检测方法,其特征在于,所述判断所述数据包是否满足所述过滤程序中的第一违规外联策略,包括:
判断所述数据包中的所述内网设备的MAC地址和通信目的设备的MAC地址是否均在所述过滤程序中的MAC地址白名单中;
若所述内网设备的MAC地址和通信目的设备的MAC地址均在MAC地址白名单中,则确定出所述数据包不满足所述过滤程序中的第一违规外联策略;
若所述内网设备的MAC地址或通信目的设备的MAC地址不在MAC地址白名单中,则确定出所述数据包满足所述过滤程序中的第一违规外联策略。
7.根据权利要求1-6任意一项所述的违规外联检测方法,其特征在于,所述丢弃所述数据包之后,还包括:
生成违规外联告警信息,将所述违规外联告警信息发送至所述控制中心。
8.一种违规外联检测装置,其特征在于,应用于违规外联检测系统,所述违规外联检测系统包括至少一个预先认证的内网设备、至少一个接入交换机、汇聚交换机和控制中心,每个预先认证的内网设备与其对应的接入交换机连接,每个接入交换机通过所述汇聚交换机与所述控制中心连接,所述装置包括:
第一判断单元,用于针对每一个预先认证的内网设备,若所述内网设备不为哑终端设备,则控制预先安装于所述内网设备的过滤程序,对所述内网设备发送的数据包进行拦截,判断所述数据包是否满足所述过滤程序中的第一违规外联策略,若所述数据包满足所述第一违规外联策略,则确定出所述内网设备即将发生违规外联,并丢弃所述数据包,若所述数据包不满足所述第一违规外联策略,则将所述数据包发送至与所述内网设备连接的接入交换机,并控制与所述内网设备连接的接入交换机通过所述汇聚交换机,将所述数据包发送至所述数据包中的目的IP地址;所述过滤程序中的第一违规外联策略由所述控制中心预先发送得到;
第二判断单元,用于针对每一个预先认证的内网设备,若所述内网设备为哑终端,则在所述内网设备向与其连接的接入交换机发送数据包时,控制与所述内网设备连接的接入交换机,对所述内网设备发送的数据包进行拦截,判断所述数据包是否满足所述接入交换机中的第二违规外联策略,若所述数据包满足所述第二违规外联策略,则确定出所述内网设备即将发生违规外联,并丢弃所述数据包,若所述数据包不满足所述第二违规外联策略,则将所述数据包发送至汇聚交换机,并控制所述汇聚交换机将所述数据包发送至所述数据包中的目的IP地址;所述接入交换机中的第二违规外联策略由所述控制中心预先发送得到。
9.一种存储介质,其特征在于,所述存储介质存储有指令集,其中,所述指令集被处理器执行时实现如权利要求1-7任意一项所述的违规外联检测方法。
10.一种电子设备,其特征在于,包括:
存储器,用于存储至少一组指令集;
处理器,用于执行所述存储器中存储的指令集,通过执行所述指令集实现如权利要求1-7任意一项所述的违规外联检测方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311157253.5A CN116915503B (zh) | 2023-09-08 | 2023-09-08 | 一种违规外联检测方法及装置、存储介质及电子设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311157253.5A CN116915503B (zh) | 2023-09-08 | 2023-09-08 | 一种违规外联检测方法及装置、存储介质及电子设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN116915503A true CN116915503A (zh) | 2023-10-20 |
CN116915503B CN116915503B (zh) | 2023-11-14 |
Family
ID=88367026
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311157253.5A Active CN116915503B (zh) | 2023-09-08 | 2023-09-08 | 一种违规外联检测方法及装置、存储介质及电子设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116915503B (zh) |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103391216A (zh) * | 2013-07-15 | 2013-11-13 | 中国科学院信息工程研究所 | 一种违规外联报警及阻断方法 |
CN108881211A (zh) * | 2018-06-11 | 2018-11-23 | 杭州盈高科技有限公司 | 一种违规外联检测方法及装置 |
WO2020042856A1 (zh) * | 2018-08-27 | 2020-03-05 | 北京智芯微电子科技有限公司 | 安全审计系统及方法 |
CN113676490A (zh) * | 2021-09-14 | 2021-11-19 | 深信服科技股份有限公司 | 一种哑终端安全检测方法、装置、设备及可读存储介质 |
CN114598511A (zh) * | 2022-02-24 | 2022-06-07 | 广东电网有限责任公司 | 涉网网络实时监测系统 |
CN115987675A (zh) * | 2022-12-30 | 2023-04-18 | 北京明朝万达科技股份有限公司 | 违规外联检测方法、装置、移动终端及存储介质 |
CN116015721A (zh) * | 2022-11-30 | 2023-04-25 | 国网浙江省电力有限公司杭州供电公司 | 一种违规外联检测方法、系统、电子设备及介质 |
-
2023
- 2023-09-08 CN CN202311157253.5A patent/CN116915503B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103391216A (zh) * | 2013-07-15 | 2013-11-13 | 中国科学院信息工程研究所 | 一种违规外联报警及阻断方法 |
CN108881211A (zh) * | 2018-06-11 | 2018-11-23 | 杭州盈高科技有限公司 | 一种违规外联检测方法及装置 |
WO2020042856A1 (zh) * | 2018-08-27 | 2020-03-05 | 北京智芯微电子科技有限公司 | 安全审计系统及方法 |
CN113676490A (zh) * | 2021-09-14 | 2021-11-19 | 深信服科技股份有限公司 | 一种哑终端安全检测方法、装置、设备及可读存储介质 |
CN114598511A (zh) * | 2022-02-24 | 2022-06-07 | 广东电网有限责任公司 | 涉网网络实时监测系统 |
CN116015721A (zh) * | 2022-11-30 | 2023-04-25 | 国网浙江省电力有限公司杭州供电公司 | 一种违规外联检测方法、系统、电子设备及介质 |
CN115987675A (zh) * | 2022-12-30 | 2023-04-18 | 北京明朝万达科技股份有限公司 | 违规外联检测方法、装置、移动终端及存储介质 |
Non-Patent Citations (2)
Title |
---|
MOHAMED RAHOUTI DEL: "SDN Security Review: Threat Taxonomy, Implications, and Open Challenges", IEEE ACCESS, vol. 10 * |
黄曦;: "企业内部计算机终端管理系统的应用与探讨", 计算机光盘软件与应用, no. 21 * |
Also Published As
Publication number | Publication date |
---|---|
CN116915503B (zh) | 2023-11-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8683059B2 (en) | Method, apparatus, and computer program product for enhancing computer network security | |
US9407602B2 (en) | Methods and apparatus for redirecting attacks on a network | |
US8230505B1 (en) | Method for cooperative intrusion prevention through collaborative inference | |
US10554475B2 (en) | Sandbox based internet isolation in an untrusted network | |
US8060927B2 (en) | Security state aware firewall | |
US20190207984A1 (en) | Systems and methods for providing network security using a secure digital device | |
US11314614B2 (en) | Security for container networks | |
US11949654B2 (en) | Distributed offload leveraging different offload devices | |
US10193890B2 (en) | Communication apparatus to manage whitelist information | |
CN110391988B (zh) | 网络流量控制方法、系统及安全防护装置 | |
US20090119745A1 (en) | System and method for preventing private information from leaking out through access context analysis in personal mobile terminal | |
CN110971407B (zh) | 基于量子秘钥的物联网安全网关通信方法 | |
US20190036950A1 (en) | Network Device Spoofing Detection For Information Security | |
Scarfone et al. | Intrusion detection and prevention systems | |
KR20220125251A (ko) | 네트워크 인프라구조들을 위한 프로그래밍가능 스위칭 디바이스 | |
US9674143B2 (en) | Security control apparatus and method for cloud-based virtual desktop | |
US20200014692A1 (en) | Network Device Information Validation For Access Control and Information Security | |
Bian et al. | A survey on software-defined networking security | |
CN109905352B (zh) | 一种基于加密协议审计数据的方法、装置和存储介质 | |
CN116915503B (zh) | 一种违规外联检测方法及装置、存储介质及电子设备 | |
US20220337591A1 (en) | Controlling command execution in a computer network | |
CN114553577B (zh) | 一种基于多主机双隔离保密架构的网络交互系统及方法 | |
KR102628441B1 (ko) | 네트워크 보호 장치 및 그 방법 | |
US11960944B2 (en) | Interprocessor procedure calls | |
US11683196B2 (en) | Communication control device and non-transitory computer readable medium |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |