CN1332312C - 利用一台内联网计算机实现封闭网络连接状态监测方法 - Google Patents
利用一台内联网计算机实现封闭网络连接状态监测方法 Download PDFInfo
- Publication number
- CN1332312C CN1332312C CNB031151566A CN03115156A CN1332312C CN 1332312 C CN1332312 C CN 1332312C CN B031151566 A CNB031151566 A CN B031151566A CN 03115156 A CN03115156 A CN 03115156A CN 1332312 C CN1332312 C CN 1332312C
- Authority
- CN
- China
- Prior art keywords
- monitoring
- computer
- intranet
- monitoring objective
- return results
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Abstract
本发明公开了一种利用一台内联网计算机实现封闭网络连接状态监测方法,该方法利用一台内联网计算机作为监测计算机,连接到内联网交换机上,在该交换机上还连接有一路由器;由监测计算机向其它内联网计算机发送探测包,并根据返回的结果来判定监测计算机的网络连接状态。本方法适用于内外网严格物理隔离、内联网实行多层严格安全防护的应用环境,单点部署、全局监测,实现对内联网的网络状态进行全面和快速的监测,可有效发现采用多种手段外联到因特网和专用网的行为。
Description
技术领域
本发明涉及一种计算机应用技术,尤其涉及一种利用一台内联网计算机实现封闭网络连接状态监测方法。
背景技术
边界安全是网络安全的要素之一。在计算机系统应用中,往往采用以防火墙(Firewall)为代表的边界安全技术,在内联网与因特网连接处构造安全边界,形成相对封闭的安全域。随着社会信息化的深入,各类有线和无线的因特网接入手段越来越多,接入方式越来越灵活,内部员工可轻易地外联到因特网,越过防火墙的安全壁垒,从而打破了安全域的封闭性,对内联网的安全形成了很大的威胁。所以监测分析内联网中计算机的网络连接状态并发现其中正在发生的非法外联、IP资源滥用等行为就显得格外重要。
现有的网络连接状态监测方法主要有如下几种:
监测方法一:其系统结构如图1所示。在内部员工的个人计算机上安装监测软件,通过监测软件监测或限制调制解调器等外联设备的使用,从而实现对每台内联网计算机的网络连接状态进行监测的目的。这种结构是一种分布式部署、集中管理的系统结构,它一般由监管中心和监测引擎两大部分组成:监管中心安装在监测计算机上,主要实现集中监测信息和管理的作用;而监测引擎则安装在每台被监测的计算机上,以监测本地主机的网络连接状态,并向监管中心上报监测信息。虽然该方法较容易被实现,但是,该方法存在以下几个主要问题:1、在多台计算机上部署和维护复杂,易造成员工对抗监测软件;2、难于适应多样化的网络接入手段;3、只能检测拨号/非拨号/断线等三个连接状态,难以分析其他外联状态;4、需要采购较多的使用许可,投资较大。
监测方法二:其系统结构如图2所示。在内联网设置内网服务器,用于发送探测包到内联网内的监测目标机;在因特网设置外网服务器,用于接收监测目标机对探测包的应答,根据是否收到应答来判定监测目标机是否接入因特网。该方法由于发送的探测包为IP欺骗包(Fake IP Packet),技术兼容性差,存在如下几个主要问题:1、要求内部网防火墙和网关不能设置IP欺骗包阻断,从而严重影响了内部网的安全性;2、部分因特网服务提供商,在防火墙和网关中采用了IP欺骗包阻断技术,会导致上述欺骗包无法通过,造成漏报;3、典型的微软Windows操作系统拨号时,如果设置共享,也会造成上述欺骗包无法通过,造成漏报;4、由于设置在因特网上的外网服务器无法接收来自其他封闭专用网上的网络数据包,无法检测外联到专用网(如间谍网)上的情况,造成漏报;5、只能监测是否非法外联,难以分析其他状态,无法检测监测目标机拨掉网线再外联的情况,造成漏报。
监测方法三:其系统结构如图3所示。设立一台监测计算机,具有内联网地址和因特网地址,向检测监测目标机分别发送不同源地址的探测包,根据检测监测目标机对不同源地址的探测包的应答来判定监测目标机是否非法外联。该方法的好处是可以检测出多种连接状态。但是,监测方法三要求计算机能够上网,不能用于要求严格内外网物理隔离的应用环境。
发明内容
针对上述监测方法存在的问题,本发明提供一种在内外网严格物理隔离、内联网实行多层严格安全防护的应用环境下,实现单点部署和全局监测,并适用于多种外联手段的利用一台内联网计算机实现封闭网络连接状态监测方法。
为了解决上述问题,本发明采用如下技术方案:该监测方法至少包括以下步骤:
第一步,设立一台计算机为监测计算机,连接到内联网交换机上,并在内联网交换机上连接一台路由器;在内联网交换机上进行设置,使监测计算机能直接与所有监测目标机进行正常的通讯;在路由器上进行设置,使监测计算机能通过路由器与所有监测目标机进行正常的通讯;
第二步,确定一台内联网计算机为监测目标机,由监测计算机对该监测目标机执行第三步至第五步;
第三步,由监测计算机通过交换机向监测目标机发送广播探测包,收集返回的数据包;
第四步,由监测计算机通过路由器向监测目标机发送IP探测包,收集返回的数据包;
第五步,根据第三步和第四步的返回结果对监测目标机的网络连接状态作出判定,完成对一台监测目标机的监测;
第六步,判定是否还有其它监测目标机,如有,则返回到第二步对下一监测目标机进行监测;如无,则监测结束。
第三步的返回结果为“无响应”,第四步的返回结果为任意结果,判定监测目标机处于“关机或连接断开”状态。
第三步的返回结果为“响应”,第四步的返回结果为“正常”,判定监测目标机处于“开机,未非法外联”状态。
第三步的返回结果为“响应”,第四步的返回结果为“超时”,判定监测目标机处于“开机,非法外联”状态。
第三步的返回结果为“响应”,第四步的返回结果为“异常”,判定监测目标机处于“网关设置异常”状态。
本发明由于采用了以上技术方案,使其与现有技术相比,具有以下明显的优点和积极效果:
1、适用于内外网严格物理隔离、内联网实行多层严格安全防护的应用环境
本发明的方法只要求设立一台内联网计算机作为监测计算机,发送的探测包是标准的数据包,对应用环境要求低,可用于内外网严格物理隔离、内联网实行多层严格安全防护的应用环境。
2、监测多种外联
本发明的方法发送的探测包是标准的数据包,可以监测多种外联。可以有效地识别到其他封闭专用网的外联。可以有效地识别到断线的状态,从而为故意拨掉网线外联这种情况的检测提供事件基础。
3、便于部署、便于维护
以前一些网络连接状态监测方法往往要求在员工的个人计算机上安装监测引擎,通过监测引擎监测或限制调制解调器的使用。该方法要求在内联网每台计算机上安装软件,部署和维护起来都很复杂。而且,该方法容易造成员工的不信任,从而导致员工对抗监测软件。
本发明的方法实现了单点部署和全局监测,仅需要设立一台内联网计算机作为监测计算机,就可以实现对多台计算机的监测。显然,本发明的方法便于部署、便于维护,不易造成员工的抵触。
本发明的方法也不要求具有因特网固定的IP地址、或拨号到因特网,只需要在内联网进行设置。本发明的方法也不要求内联网防火墙和网关开放IP欺骗包,对内联网安全性没有影响,易于为网管所接受。因此,本发明的方法部署和维护相对容易。
4、易于扩充实现多种状态监测
本发明的方法发送的探测包是标准的数据包,可以在实现外联监测基础上进行逐步扩充,进一步实现网卡物理地址、IP逻辑地址、逻辑名称、操作系统指纹等状态监测。
附图说明
图1为现有技术监测方法一的系统结构示意图。
图2为现有技术监测方法二的系统结构示意图。
图3为现有技术监测方法三的系统结构示意图。
图4为本发明利用一台内联网计算机实现封闭网络连接状态监测方法的系统结构示意图。
图5为本发明利用一台内联网计算机实现封闭网络连接状态监测方法的流程示意图。
具体实施方式
请参见图4,本发明利用一台内联网计算机实现封闭网络连接状态监测方法的系统结构如图4所示。确定一台计算机为监测计算机,连接到内联网交换机上,在该内联网交换机上还连接有一路由器;在内联网交换机上进行设置,使监测计算机能直接与所有监测目标机进行正常的通讯;在路由器上进行设置,使监测计算机能通过路由器与所有监测目标机进行正常的通讯;由监测计算机对各监测目标机实施实时的监控。与现有监测方法的结构不同之处是,在每个监测目标机中不需要安装任何附加的软件,而只需要设立一台连接到内联网交换机上的监测计算机,即可实现对各监测目标机的监控。
请参见图5,本发明利用一台内联网计算机实现封闭网络连接状态监测方法可具体描述如:
第一步,设立一台计算机为监测计算机,连接到内联网交换机上,并在内联网交换机上连接一台路由器;在内联网交换机上进行设置,使监测计算机能直接与所有监测目标机进行正常的通讯;在路由器上进行设置,使监测计算机能通过路由器与所有监测目标机进行正常的通讯;
第二步,确定一台内联网计算机为监测目标机,由监测计算机对该监测目标机执行第三步至第五步;
第三步,由监测计算机通过交换机向监测目标机发送广播探测包,收集返回的数据包;
第四步,由监测计算机通过路由器向监测目标机发送IP探测包,收集返回的数据包;
第五步,根据第三步和第四步的返回结果对监测目标机的网络连接状态作出判定,完成对一台监测目标机的监测;该判定根据下述网络连接状态判定依据表作出:
网络连接状态判定依据表
第三步结果 | 第四步结果 | 监测目标机连接状态 |
无响应 | - | 关机或连接断开 |
响应 | 正常 | 开机,未非法外联 |
响应 | 超时 | 开机,非法外联 |
响应 | 异常 | 网关设置异常 |
各种网络连接状态的判定结果进一步分述如下:
1、如果第三步的返回结果为“无响应”,第四步的返回结果为任意结果,则判定监测目标机处于“关机或连接断开”状态。
2、如果第三步的返回结果为“响应”,第四步的返回结果为“正常”,则判定监测目标机处于“开机,未非法外联”状态。
3、如果第三步的返回结果为“响应”,第四步的返回结果为“超时”,则判定监测目标机处于“开机,非法外联”状态。
4、如果第三步的返回结果为“响应”,第四步的返回结果为“异常”,则判定监测目标机处于“网关设置异常”状态。
第六步,监测计算机在对所确定的一台监测目标机完成其网络连接状态的判定后,接着判定是否还有其它监测目标机,如有,则返回到第二步对下一监测目标机进行监测;如无,则监测结束。
Claims (5)
1、一种利用一台内联网计算机实现封闭网络连接状态监测方法,其特征在于,该方法包括以下步骤:
第一步,设立一台计算机为监测计算机,连接到内联网交换机上,并在内联网交换机上连接一台路由器;在内联网交换机上进行设置,使监测计算机能直接与所有监测目标机进行正常的通讯;在路由器上进行设置,使监测计算机能通过路由器与所有监测目标机进行正常的通讯;
第二步,确定一台内联网计算机为监测目标机,由监测计算机对该监测目标机执行第三步至第五步;
第三步,由监测计算机通过交换机向监测目标机发送广播探测包,收集返回的数据包;
第四步,由监测计算机通过路由器向监测目标机发送IP探测包,收集返回的数据包;
第五步,根据第三步和第四步的返回结果对监测目标机的网络连接状态作出判定,完成对一台监测目标机的监测;
第六步,判定是否还有其它监测目标机,如有,则返回到第二步对下一监测目标机进行监测;如无,则监测结束。
2、根据权利要求1所述的利用一台内联网计算机实现封闭网络连接状态监测方法,其特征在于:第三步的返回结果为“无响应”,第四步的返回结果为任意结果,判定监测目标机处于“关机或连接断开”状态。
3、根据权利要求1所述的利用一台内联网计算机实现封闭网络连接状态监测方法,其特征在于:第三步的返回结果为“响应”,第四步的返回结果为“正常”,判定监测目标机处于“开机,未非法外联”状态。
4、根据权利要求1所述的利用一台内联网计算机实现封闭网络连接状态监测方法,其特征在于:第三步的返回结果为“响应”,第四步的返回结果为“超时”,判定监测目标机处于“开机,非法外联”状态。
5、根据权利要求1所述的利用一台内联网计算机实现封闭网络连接状态监测方法,其特征在于:第三步的返回结果为“响应”,第四步的返回结果为“异常”,判定监测目标机处于“网关设置异常”状态。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNB031151566A CN1332312C (zh) | 2003-01-24 | 2003-01-24 | 利用一台内联网计算机实现封闭网络连接状态监测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNB031151566A CN1332312C (zh) | 2003-01-24 | 2003-01-24 | 利用一台内联网计算机实现封闭网络连接状态监测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN1447240A CN1447240A (zh) | 2003-10-08 |
CN1332312C true CN1332312C (zh) | 2007-08-15 |
Family
ID=28050404
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNB031151566A Expired - Fee Related CN1332312C (zh) | 2003-01-24 | 2003-01-24 | 利用一台内联网计算机实现封闭网络连接状态监测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN1332312C (zh) |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN100384142C (zh) * | 2004-10-22 | 2008-04-23 | 中国人民解放军国防科学技术大学 | 基于多视图的域间路由异常检测方法 |
CN101136797B (zh) * | 2007-09-28 | 2012-11-21 | 深圳市利谱信息技术有限公司 | 内外网物理连通的检测、通断控制方法 |
CN101521578B (zh) * | 2009-04-03 | 2011-09-07 | 北京邮电大学 | 一种封闭网络内检测计算机非法外联的方法 |
TWI477117B (zh) * | 2011-10-06 | 2015-03-11 | Av Tech Corp | 網路連線狀態檢測系統及其方法 |
CN102761788A (zh) * | 2012-07-30 | 2012-10-31 | 山东泰信电子股份有限公司 | 数字电视终端安全使用互联网的方法 |
US11228514B2 (en) | 2016-09-01 | 2022-01-18 | CloudMinds (Shanghai) Robotics Co., LTD | Network diagnosis method, cloud intelligent robot, network device and private network |
CN109450921B (zh) * | 2018-11-29 | 2021-08-10 | 北京北信源信息安全技术有限公司 | 网络状态监控方法、装置、存储介质及服务器 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
GB2350033B (en) * | 1999-05-11 | 2001-12-05 | 3Com Corp | A program of elements for interrogating devices in a network |
-
2003
- 2003-01-24 CN CNB031151566A patent/CN1332312C/zh not_active Expired - Fee Related
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
GB2350033B (en) * | 1999-05-11 | 2001-12-05 | 3Com Corp | A program of elements for interrogating devices in a network |
Non-Patent Citations (3)
Title |
---|
中小学路由器的选择 余胜泉,中国计算机用户,第2002/22期 2002 * |
交换机对路由器形成的威胁 兆霁(编译),今日电子,第1996/05期 1996 * |
交换机对路由器形成的威胁 兆霁(编译),今日电子,第1996/05期 1996;中小学路由器的选择 余胜泉,中国计算机用户,第2002/22期 2002 * |
Also Published As
Publication number | Publication date |
---|---|
CN1447240A (zh) | 2003-10-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101572701B (zh) | 针对DNS服务器的抗DDoS安全网关系统 | |
CN103944915B (zh) | 一种工业控制系统威胁检测防御装置、系统及方法 | |
CN101087196B (zh) | 多层次蜜网数据传输方法及系统 | |
CN100384153C (zh) | 一种基于IPv6的网络性能分析报告系统及实现方法 | |
CN103152222B (zh) | 一种基于主机群特征检测速变攻击域名的方法 | |
CN107800709B (zh) | 一种生成网络攻击检测策略的方法及装置 | |
CN101176331A (zh) | 计算机网络入侵检测系统和方法 | |
CN106992955A (zh) | Apt防火墙 | |
Lee et al. | Abnormal behavior-based detection of Shodan and Censys-like scanning | |
CN106302450A (zh) | 一种基于ddos攻击中恶意地址的检测方法及装置 | |
CN108270722A (zh) | 一种攻击行为检测方法和装置 | |
CN109951419A (zh) | 一种基于攻击链攻击规则挖掘的apt入侵检测方法 | |
CN1332312C (zh) | 利用一台内联网计算机实现封闭网络连接状态监测方法 | |
CN101540681A (zh) | 一种监测计算机网络联接状态的方法及系统 | |
CN1917514A (zh) | 一种分域溯源式全局网络安全体系的构建方法 | |
Al-Shareeda et al. | Sadetection: Security mechanisms to detect slaac attack in ipv6 link-local network | |
CN100372296C (zh) | 具有二级决策内核的网络入侵检测系统及其报警优化方法 | |
Kanlayasiri et al. | A rule-based approach for port scanning detection | |
Hwang et al. | NetShield: Protocol anomaly detection with datamining against DDoS attacks | |
CN107835153B (zh) | 一种脆弱性态势数据融合方法 | |
KR20140078329A (ko) | 내부망 타겟 공격 대응 장치 및 방법 | |
CN1416059A (zh) | 利用一台计算机实现网络连接状态监测方法 | |
Neelakantan et al. | A threat-aware signature based intrusion-detection approach for obtaining network-specific useful alarms | |
JP2005284523A (ja) | 不正侵入検出システム及び方法並びに不正侵入検出用プログラム | |
Tang et al. | Honids: Enhancing honeypot system with intrusion detection models |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
C19 | Lapse of patent right due to non-payment of the annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |