CN1176421C - 内联网计算机与因特网未授权连接监测系统及方法 - Google Patents

内联网计算机与因特网未授权连接监测系统及方法 Download PDF

Info

Publication number
CN1176421C
CN1176421C CNB021042888A CN02104288A CN1176421C CN 1176421 C CN1176421 C CN 1176421C CN B021042888 A CNB021042888 A CN B021042888A CN 02104288 A CN02104288 A CN 02104288A CN 1176421 C CN1176421 C CN 1176421C
Authority
CN
China
Prior art keywords
internet
network server
network
intranet
packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CNB021042888A
Other languages
English (en)
Other versions
CN1367434A (zh
Inventor
云 高
高云
徐征然
付念东
赵海峰
姚志武
卢晓山
吴海波
孔志奎
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Computer Virus Prevention Service
Beijing Venus Information Security Technology Co Ltd
Beijing Venus Information Technology Co Ltd
Original Assignee
SHANGHAI COMPUTER VIRUS PREVENTION SERVICE
BEIJING QIMING XINGCHEN INFORMATION TECHNOLOGY Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by SHANGHAI COMPUTER VIRUS PREVENTION SERVICE, BEIJING QIMING XINGCHEN INFORMATION TECHNOLOGY Co Ltd filed Critical SHANGHAI COMPUTER VIRUS PREVENTION SERVICE
Priority to CNB021042888A priority Critical patent/CN1176421C/zh
Publication of CN1367434A publication Critical patent/CN1367434A/zh
Application granted granted Critical
Publication of CN1176421C publication Critical patent/CN1176421C/zh
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Abstract

一种内联网计算机与因特网未授权连接监测系统,它包括:在与因特网隔离的支持TCP/IP协议的内联网中设置的内网服务器,用于发送探测网络数据包到内联网内的目标计算机;连接在因特网上的外网服务器,用于接收目标计算机对探测网络数据包的应答包,根据事先获取的内联网的IP地址等配置信息和收到应答包来判断被监测的目标计算机是否接入因特网。它能够达到无论内联网计算机通过哪一种方式接入因特网,都能被网络发现,实时探测出被监控网段上所有存在未授权外联的计算机的IP地址的效果。

Description

内联网计算机与因特网未授权连接监测系统及方法
技术领域
本发明涉及计算机网络安全领域,具体地说,是在一个要求与因特网隔离的内联网上监测内联网上是否有计算机与因特网进行未授权连接的系统。此外,本发明还公开了其监测方法。
背景技术
对于有机密数据或运行关键服务的内联网,一般采取一定的措施来保证内联网的安全,就是尽量与不受信任的因特网隔离开,避免受到外部的因特网的攻击,或者数据泄露。这种安全措施根据保密的程度,采用的方法有:
1、使用物理隔离的方法,也就是使内联网与因特网没有物理线路的连接。
2、在网络的边界安装防火墙等访问控制设备。防火墙的作用是设置一定的访问权限,只有访问权限之内的用户才能够通过防火墙进行访问,如果不在访问权限之内,就被防火墙挡住。
这两种方法的缺点是:内联网用户可能通过调制解调器拨号等方法直接连入因特网,来破坏内联网与因特网物理隔绝性,或避开访问控制的权限要求。如图1所示。正常的内联网是使用防火墙作为访问控制设备来控制局域网内机器与不受信任的广域网上的机器的通讯,所有进出局域网的通讯都需要等到防火墙的授权。防火墙保证了局域网免受来自广域网的攻击,保护内联网内的中重要服务的正常运行,防止机密数据被泄漏。图1右侧线路下面的器件就是一个防火墙,图1底下的一排线路是内联网及网上的用户,上面的结构表示因特网,防火墙上面的是一个路由器,图1左侧表示一台内联网的计算机通过一台调制解调器拨号直接接入因特网,这时,因特网通过该计算机与内联网的通讯将没有任何访问控制机制,防火墙就失去了其应有的作用。因特网上可以发起对该计算机的攻击,如果攻击成功,还可以进一步对整个内联网进行攻击。
为了监测和防止这种违反安全策略直接与因特网相连的情况出现,采用的方式一般有两种方式:
一是在集团的电话程控交换机上禁止因特网服务提供商的拨入电话号码,这种方法的缺点是因特网服务提供商是在不断变化的,其电话号码也可能不断变化,不大可能禁止所有的因特网服务提供商拨入电话号码。加上随着技术的发展,现在接入因特网方法越来越多,可以使用无线上网卡或手机上网的方式,集团的电话程控交换机就无能为力了。
另一种方法是使用一台计算机控制调制解调器给所有怀疑的集团电话拨号,根据被拨号电话的反应来判断该电话是否被用于进行拨号。这种方法的缺点除了上述的接入因特网的方法不一定使用集团的电话外,还会影响对被探测电话的使用者。根据检索结果,还未见有使用网络方法来监测内联网上计算机直接与因特网相连的产品、设备和方法。
发明内容
本发明的目的是提供一种内联网计算机与因特网未授权连接监测系统及方法,无论内联网计算机通过哪一种方式接入因特网,都能被网络发现,实时探测出被监控网段上所有存在未授权外联的计算机的IP地址。
为实现上述目的,本发明的解决方案是:一种内联网计算机与因特网未授权连接监测系统,它包括:
在与因特网隔离的支持TCP/IP协议的内联网中设置内网服务器,内网服务器用于发送探测网络数据包到内联网内的目标计算机;
连接在因特网上的外网服务器,用于接收目标计算机对探测网络数据包的应答包,根据事先获取的内联网的IP地址和收到应答包来判断被监测的目标计算机是否入因特网:外网服务器根据获取的内联网的IP地址信息,和目标计算机返回的探测网络数据包的应答数据包来判断目标计算机是否直接与因特网相连:外网服务器如果收不到任何应答数据包则表示该计算机没有直接与因特网相连;如果收到应答数据包,则判断是否是通过授权的路由进行应答,如果是,则该计算机没有与因特网相连,如果不是,则可断定其与因特网相连;
其中,该探测网络数据包结构为:在其IP帧头中,源IP地址使用外网服务器绑定的IP地址,目的IP地址为内联网内目标计算机的IP地址;该数据包中可以附带其它信息。
本发明的内联网计算机与因特网未授权连接监测方法包括:
a、内网服务器连接于内联网,外网服务器连接在因特网上,外网服务器于绑定在本机配置的因特网IP地址上进行探测。内网服务器事先获取外网服务器绑定的IP地址信息,外网服务器事先获取内联网的IP地址信息;
b、内网服务器按获取的上述配置信息构造探测网络数据包;
c、内网服务器向目标计算机发送上述探测网络数据包;
d、外网服务器根据事先获取内联网的IP地址信息,和目标主机返回的探测网络数据包的应答数据包来判断目标计算机是否直接与因特网相连:外网服务器如果收不到任何应答数据包则表示该计算机没有直接与因特网相连;如果收到应答数据包,则判断是否是通过授权的路由进行应答,如果是,则该计算机没有与因特网相连,如果不是,则可断定其与因特网相连。
由于本发明中,内网服务器向目标计算机发送的是特殊构造的探测网络数据包,其IP帧头中,源地址不是内网服务器发送网络接口上的IP地址,而是外网服务器绑定的IP地址,这对于内联网来说是一个外部地址,目标计算机如果正在接入因特网,该计算机就至少有两个网络接口,根据RFC的要求,对这个网络数据包进行应答时,将选择接入因特网的那个接口进行应答,从而该应答暴露了其正在接入因特网。或者说,由于本发明使用网络的方法来监测被怀疑的目标计算机,使用网络的方法使得不论被探测的目标计算机使用何种接入方式都可以准确地得知是否与已接入因特网,不管被探测的计算机是使用集团电话、手机、无线上网卡还是使用另一个网卡接入因特网,都能被网络发现,达到了实时探测出被监控网段上所有存在未授权外联的计算机的IP地址的效果。另外,本发明不用增加额外的硬件配置。
附图说明
图1是内联网中一台计算机利用调制解调器拨号绕开防火墙访问控制的示意图;
图2是系统应用网络结构示意图;
图3为特殊构造的IP帧结构图;
图4为本发明的方法流程图。
具体实现方式
图2是系统应用网络结构示意图。图2的上部是一个因特网,下部是内联网,因特网与内联网是隔离的,在因特网和内联网之间有防火墙。图中的内联网是一个从中心交换机到部门交换机到部门Hub到计算机的分层结构。本发明的内联网计算机与因特网未授权连接监测系统,包括一个内网服务器和一个外网服务器。内网服务器设置在支持TCP/IP协议的内联网中的任何位置,用于发送探测网络数据包到内联网内的目标计算机,图2中可以看到。同时图2中可以看到外网服务器连接在因特网上,用于接收目标计算机对探测网络数据包的应答包,根据事先获取的内联网IP地址等配置信息和收到应答包来判断被监测的目标计算机是否接入因特网。
其监测流程如图4所示,具体如下:
(1)内网服务器连接于内联网,外网服务器连接在因特网上,外网服务器绑定在本机配置的因特网IP地址上进行探测。内网服务器事先获取外网服务器绑定的IP地址;外网服务器事先获取内联网的IP地址等配置信息。
(2)内网服务器按上述配置信息构造探测网络数据包。图3为特殊构造的探测网络数据包帧结构。正常的数据包帧结构包括IP报头、TCP报头两部分,IP报头又包括4位版本号、4位报头长度、8位服务类型、16位总长度、16位标识等等,TCP报头有包括6位源端口、16位目的端口、32位序列号等等,如图3所示。特殊构造的探测网络数据包帧结构与正常的数据包帧结构的区别仅在于:其IP报头中,源地址不是内网服务器发送网络接口上的IP地址,而是(1)中获取的外网服务器绑定的IP地址,目的IP地址为内联网内目标计算机的IP地址。当目标主机收到该探测数据包后,目标计算机应答时是按IP帧头的源地址应答,而源地址不是内网服务器发送网络接口上的IP地址,而是外网服务器绑定的IP地址,这对于内联网来说是一个外部地址,目标计算机如果正在接入因特网,该计算机就至少有两个网络接口,根据RFC的要求,对这个网络数据包进行应答时,将选择接入因特网的那个接口进行应答,从而该应答暴露了其正在接入因特网。
(3)内网服务器向目标计算机发送上述探测网络数据包,使用发送原始包的方法来发送就可以。
(4)发送正常的网络数据包,被探测的目标计算机的应答都是正常的,应答数据包不会含有其是否正在接入因特网的任何信息。因发送的是特殊构造探测网络数据包,如果是正常的计算机,其应答数据包将通过防火墙和路由器到达外网服务器,或被防火墙拒绝通过,在该网络是物理隔绝的情况下,应答数据包被网络丢弃;如果目标计算机正在接入因特网,该计算机有两个网络接口,将选择接入因特网的那个接口进行应答。这样,外网服务器就可以根据事先获取的内联网的IP地址等配置信息,和返回的探测网络数据包的应答数据包来判断目标计算机是否直接与因特网相连:外网服务器如果收不到任何应答数据包则表示该计算机没有直接与因特网相连;如果收到应答数据包,则判断是否是通过授权的路由进行应答,如果是,则该计算机没有与因特网相连,如果不是,则可断定其与因特网相连。
另外,还可以在监测到内联网的计算机与因特网未授权连接的情况下,记录下开始连接和结束连接的时间。并对探测到的未授权外联的信息进行统计分析,总结出未授权外联发生的时间分布规律和IP分布规律,对企业的管理提供事实上的依据。
本发明对内网服务器和外网服务器的要求是:内网服务器采用可以发送原始TCP/IP数据包的服务器,只有可以发送原始TCP/IP数据包的服务器才能够任意修改网络数据包的IP报头中的源地址;外网服务器采用可以接收原始TCP/IP数据包的服务器,只有这种服务器才能接收任意修改的网络数据包IP报头中的源地址。内网服务器和外网服务器可以安装在同一台物理计算机上,或是不同的物理计算机上。

Claims (7)

1、一种内联网计算机与因特网未授权连接监测系统,它包括:
在与因特网隔离的支持TCP/IP协议的内联网中设置内网服务器,用于发送探测网络数据包到内联网内的目标计算机;同时,还有一个连接在因特网上的外网服务器,用于接收目标计算机对探测网络数据包的应答包,根据事先获取的内联网的IP地址和收到应答包来判断被监测的目标计算机是否接入因特网:外网服务器根据获取的内联网的IP地址信息,和目标计算机返回的探测网络数据包的应答数据包来判断目标计算机是否直接与因特网相连:外网服务器如果收不到任何应答数据包则表示该计算机没有直接与因特网相连;如果收到应答数据包,则判断是否是通过授权的路由进行应答,如果是,则该计算机没有与因特网相连,如果不是,则可断定其与因特网相连;
其中,该探测网络数据包结构为:在其IP帧头中,源IP地址使用外网服务器绑定的IP地址,目的IP地址为内联网内目标计算机的IP地址;该数据包中可以附带其它信息。
2、如权利要求1所述的内联网计算机与因特网未授权连接监测系统,其特征在于:内网服务器可连在内联网的任意位置。
3、如权利要求1所述的内联网计算机与因特网未授权连接监测系统,其特征在于:内网服务器采用可以发送原始TCP/IP数据包的服务器。
4、如权利要求1所述的内联网计算机与因特网未授权连接监测系统,其特征在于:外网服务器采用可以接收原始TCP/IP数据包的服务器。
5、如权利要求1所述的内联网计算机与因特网未授权连接监测系统,其特征在于:内网服务器和外网服务器可以安装在同一台物理计算机上,或是不同的物理计算机上。
6、一种内联网计算机与因特网未授权连接监测方法,它包括:
a、内网服务器连接于内联网,外网服务器连接在因特网上,并且于绑定在本机配置的因特网IP地址上进行探测工作,内网服务器事先获取外网服务器绑定的IP地址信息,外网服务器事先获取内联网的IP地址信息;
b、内网服务器按已获取外网服务器绑定的IP地址信息,构造探测网络数据包:在IP帧头中,源IP地址使用外网服务器绑定的IP地址,目的IP地址为内联网内目标计算机的IP地址,数据包中可以附带其它信息;
c、内网服务器向目标计算机发送该构造的探测网络数据包;
d、外网服务器根据获取的内联网的IP地址信息,和目标计算机返回的探测网络数据包的应答数据包来判断目标计算机是否直接与因特网相连:外网服务器如果收不到任何应答数据包则表示该计算机没有直接与因特网相连;如果收到应答数据包,则判断是否是通过授权的路由进行应答,如果是,则该计算机没有与因特网相连,如果不是,则可断定其与因特网相连。
7、如权利要求6所述的内联网计算机与因特网未授权连接监测方法,其特征在于:在步骤c中,内网服务器使用发送原始包的方法发送上述探测网络数据包。
CNB021042888A 2002-03-04 2002-03-04 内联网计算机与因特网未授权连接监测系统及方法 Expired - Fee Related CN1176421C (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CNB021042888A CN1176421C (zh) 2002-03-04 2002-03-04 内联网计算机与因特网未授权连接监测系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CNB021042888A CN1176421C (zh) 2002-03-04 2002-03-04 内联网计算机与因特网未授权连接监测系统及方法

Publications (2)

Publication Number Publication Date
CN1367434A CN1367434A (zh) 2002-09-04
CN1176421C true CN1176421C (zh) 2004-11-17

Family

ID=4740066

Family Applications (1)

Application Number Title Priority Date Filing Date
CNB021042888A Expired - Fee Related CN1176421C (zh) 2002-03-04 2002-03-04 内联网计算机与因特网未授权连接监测系统及方法

Country Status (1)

Country Link
CN (1) CN1176421C (zh)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1315308C (zh) * 2004-08-05 2007-05-09 北京航空航天大学 一种在互联网上传输实时多媒体数据的方法
US7748047B2 (en) * 2005-04-29 2010-06-29 Verizon Business Global Llc Preventing fraudulent internet account access
CN101282328B (zh) * 2007-04-02 2011-07-06 北京下午茶科技有限公司 互联网内网Web服务的访问方法
CN101136797B (zh) * 2007-09-28 2012-11-21 深圳市利谱信息技术有限公司 内外网物理连通的检测、通断控制方法
CN101286978B (zh) * 2008-05-22 2011-08-31 上海交通大学 语义完整的tcp连接隔离与控制方法和系统
CN103441864A (zh) * 2013-08-12 2013-12-11 江苏华大天益电力科技有限公司 一种终端设备违规外联的监测方法
CN107959596A (zh) * 2017-11-17 2018-04-24 北京锐安科技有限公司 一种基于网络系统的监测网络的方法以及网络系统
CN108616389B (zh) * 2018-04-10 2021-09-17 深信服科技股份有限公司 基于云服务器的网络评估方法、设备、存储介质及装置
CN109450921B (zh) * 2018-11-29 2021-08-10 北京北信源信息安全技术有限公司 网络状态监控方法、装置、存储介质及服务器
CN110166315A (zh) * 2019-04-17 2019-08-23 浙江远望信息股份有限公司 一种对广播域内是否存在能连接互联网线路的探测方法
CN112202749B (zh) * 2020-09-24 2023-07-14 深信服科技股份有限公司 违规外连检测方法、检测设备、联网终端及存储介质

Also Published As

Publication number Publication date
CN1367434A (zh) 2002-09-04

Similar Documents

Publication Publication Date Title
US7127510B2 (en) Access chain tracing system, network system, and storage medium
US20170257339A1 (en) Logical / physical address state lifecycle management
US6775657B1 (en) Multilayered intrusion detection system and method
US7213265B2 (en) Real time active network compartmentalization
EP2767056B1 (en) A method and a system to detect malicious software
US20100169975A1 (en) Systems, methods, and devices for detecting security vulnerabilities in ip networks
US20030188190A1 (en) System and method of intrusion detection employing broad-scope monitoring
US20100125663A1 (en) Systems, methods, and devices for detecting security vulnerabilities in ip networks
JP2003527793A (ja) ネットワークにおける、自動的な侵入検出及び偏向のための方法
US20100262688A1 (en) Systems, methods, and devices for detecting security vulnerabilities in ip networks
US20040221178A1 (en) Firewall system and method via feedback from broad-scope monitoring for intrusion detection
CN106850690B (zh) 一种蜜罐构造方法及系统
Kumar et al. Distributed denial-of-service (ddos) threat in collaborative environment-a survey on ddos attack tools and traceback mechanisms
US11888882B2 (en) Network traffic correlation engine
EP3952240A1 (en) Blockchain-based network security system and processing method
CN1176421C (zh) 内联网计算机与因特网未授权连接监测系统及方法
MXPA05002559A (es) Sistema y metodo para monitorear redes inalambricas de forma remota.
CN101933057A (zh) 用于远程控制和查看的移动系统和方法
CN109587122B (zh) 基于WAF系统功能实现自我保障Web子系统安全的系统及方法
Yoon Using whitelisting to mitigate DDoS attacks on critical internet sites
Zulkifli et al. Live Forensics Method for Analysis Denial of Service (DOS) Attack on Routerboard
US7469418B1 (en) Deterring network incursion
CN113098906A (zh) 微蜜罐在现代家庭中的应用方法
CN112272172A (zh) 一种物联网视频监控安全管理系统
Lee et al. Automated Intrusion Detection Using NFR: Methods and Experiences.

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
ASS Succession or assignment of patent right

Owner name: SHANGHAI QIMING XINGCHEN INFORMATION TECHNOLOGY C

Free format text: FORMER OWNER: NONE

Effective date: 20030618

C41 Transfer of patent application or patent right or utility model
TA01 Transfer of patent application right

Effective date of registration: 20030618

Address after: 100081 No. 12 South Street, No. 188, Beijing, Zhongguancun

Applicant after: Beijing Qiming Xingchen Information Technology Co., Ltd.

Co-applicant after: Shanghai Computer Virus Prevention Service

Address before: 100081, Beijing Zhongguancun 12 South Street, integrated technology building, 3-4 floor

Applicant before: Beijing Qiming Xingchen Information Technology Co., Ltd.

C14 Grant of patent or utility model
GR01 Patent grant
C56 Change in the name or address of the patentee
CP01 Change in the name or title of a patent holder

Address after: 3-4 floor, general science and technology building, 12 South Street, Zhongguancun, Beijing, zip code: 100081

Co-patentee after: Shanghai Computer Virus Prevention Service

Patentee after: Beijing Kai Ming Star Information Technology Limited by Share Ltd

Address before: 3-4 floor, general science and technology building, 12 South Street, Zhongguancun, Beijing, zip code: 100081

Co-patentee before: Shanghai Computer Virus Prevention Service

Patentee before: Beijing Kai Ming Star Information Technology Co., Ltd.

C56 Change in the name or address of the patentee

Owner name: BEIJING QIMINGXINGCHEN INFORMATION TECHNOLOGY CO.,

Free format text: FORMER NAME: BEIJING QIMING XINGCHEN INFORMATION TECHNOLOGY CO. LTD.

ASS Succession or assignment of patent right

Owner name: BEIJING QIMINGXINCHEN INFORMATION SECURITY TECHNOL

Free format text: FORMER OWNER: SHANGHAI QIMINGXINGCHEN INFORMATION TECHNOLOGY CO., LTD

C41 Transfer of patent application or patent right or utility model
COR Change of bibliographic data

Free format text: CORRECT: ADDRESS; FROM: 100081 3-4/F, ZONGHEKEJI HOUSE, NO.12, ZHONGGUANCUN SOUTH AVENUE, BEIJING CITY TO: 100193 QIMINGXINGCHEN BUILDING, BUILDING 21, ZHONGGUANCUN SOFTWARE PARK, NO.8, DONGBEIWANG WEST ROAD, HAIDIAN DISTRICT, BEIJING CITY

TR01 Transfer of patent right

Effective date of registration: 20100507

Address after: 100193 Beijing city Haidian District Dongbeiwang qimingxingchenmansionproject Building No. 21 West Road No. 8 Zhongguancun Software Park

Co-patentee after: Beijing Venusense Information Security Technology Co., Ltd.

Patentee after: Beijing Venus Information Technology Co., Ltd.

Co-patentee after: Shanghai Computer Virus Prevention Service

Address before: 100081, Beijing Zhongguancun 12 South Street, integrated technology building, 3-4 floor

Co-patentee before: Shanghai Computer Virus Prevention Service

Patentee before: Beijing Venus Information Technology Co., Ltd.

C17 Cessation of patent right
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20041117

Termination date: 20140304