CN1416059A - 利用一台计算机实现网络连接状态监测方法 - Google Patents
利用一台计算机实现网络连接状态监测方法 Download PDFInfo
- Publication number
- CN1416059A CN1416059A CN 02137578 CN02137578A CN1416059A CN 1416059 A CN1416059 A CN 1416059A CN 02137578 CN02137578 CN 02137578 CN 02137578 A CN02137578 A CN 02137578A CN 1416059 A CN1416059 A CN 1416059A
- Authority
- CN
- China
- Prior art keywords
- monitoring
- network connection
- computer
- return results
- objective machine
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种利用一台计算机实现网络连接状态监测方法,该方法利用一台与外部网连接的计算机作为监测计算机,监测计算机安装有包括监管中心和监测引擎的监测系统,在监测计算机上配置内联网地址IPIn、外部网地址IPOut和路由,使监测计算机可通过IPIn访问所有的内联网地址,可通过IPOut访问所有的外部网地址;监测计算机通过向其它内联网内的监测目标机发送检测数据包并根据返回的结果来判定其网络连接状态。本方法便于部署、便于维护,适用于对多种外联手段的监测,可识别五种网络连接状态,从而可以实现对内联网的网络连接状况进行全面、有效的监测。
Description
技术领域
本发明涉及一种计算机应用技术,尤其涉及一种利用一台计算机实现网络连接状态监测方法。
背景技术
边界安全是网络安全的要素之一。计算机系统应用中,往往采用以防火墙(Firewall)为代表的边界安全技术,在内联网与外部网连接处构造安全边界,形成相对封闭的安全域。随着社会信息化的深入,各类有线和无线的外部网接入手段越来越多,接入方式越来越灵活,内部员工可轻易地外联到外部网,越过防火墙的安全壁垒,从而打破了安全域的封闭性,对内联网的安全形成了很大的威胁。所以监测分析内联网中计算机的网络连接状态并发现其中正在发生的非法外联、IP资源滥用等行为就显得格外重要。
现有的网络连接状态监测方法往往要求在内部员工的个人计算机上安装监测软件,通过监测软件监测或限制调制解调器等外联设备的使用,从而实现对每台内联网计算机实现网络连接状态监测的目的。采用类似方法的网络连接状态监测系统的原理如图1所示,这种结构是一种分布式部署、集中管理的系统结构,它一般由监管中心和监测引擎两大部分组成:监管中心安装在监测计算机上,主要实现集中监测信息和管理的作用;而监测引擎则安装在每台被监测的计算机上,以监测本地主机的网络连接状态,并向监管中心上报监测信息。虽然该方法较容易被实现,但是,该方法会存在四个主要的问题:一是在多台计算机上部署和维护复杂,易造成员工对抗监测软件;二是很难适应多样化的网络接入手段;三是只能检测拨号/非拨号/断线等三个连接状态,难以分析其他外联状态;四是需要采购较多的使用许可,投资可能较大。
发明内容
针对上述监测方法存在的问题,本发明提供一种可实现单点部署和全局监测,并适用于多种外联手段的利用一台计算机实现网络连接状态监测方法。
为了解决上述问题,本发明采用如下技术方案:该监测方法至少包括以下步骤:
第一步:确定内联网中的一台与外网连接的计算机为监测计算机,在监测计算机中安装有包括监管中心和监测引擎的监测系统,在监测计算机上配置内联网地址IPIn、外部网地址IPOut和路由,使监测计算机可通过IPIn访问所有的内联网地址,通过外部网地址IPOut访问所有的外部网地址,另设监测目标机的IP地址为IPDst;
第二步:设源地址为IPIn,目标地址为IPDst,向监测目标机发送ICMP Echo数据包,收集返回的ICMP Echo Reply数据包;
第三步:设源地址为IPOut,目标地址为IPDst,向监测目标机发送ICMP Echo数据包,收集返回的ICMP Echo Reply数据包,设置返回包的源地址为IPReplySrc:
第四步:根据第二步和第三步的返回结果对监测目标机的网络连接状态作出判断,完成对一台监测目标机的监测;
第五步:判断是否还有其它监测目标机,如有,则返回到第一步对下一监测目标机进行监测;如无,则监测结束。
在所述的第二步和第三步中,以收到返回包为“正常”,无法收到返回包为“超时”,发送出错为“异常”。
第二步和第三步的返回结果都为“超时”,判断监测目标机处于“关机或连接断开”状态。
第二步的返回结果为“超时”,第三步的返回结果为“正常”,判断监测目标机处于“开机,非法外联”状态。
第二步的返回结果为“正常”,第三步的返回结果为“超时”,判断监测目标机处于“开机,不能外联”状态。
第二步的返回结果为“正常”,第三步的返回结果为“正常,IPReplySrc<>IPDst”,判断监测目标机处于“开机,通过内联网外联”状态。
第二步的返回结果为“正常”,第三步的返回结果为“正常,IPReplySrc=IPDst”,判断监测目标机处于“开机,非法外联”状态。
第二步的返回结果为“异常”,第三步为任意结果,判断监测目标机处于“网关设置异常”状态。
在所述的第二步中,若监测计算机与监测目标机处于同一网段,也可以采用发送ARP Request数据包,收集返回的ARP Response数据包。
本发明由于采用了以上技术方案,使其与现有技术相比,具有以下明显的优点和积极效果:
1、便于部署、便于维护
现有技术的网络连接状态监测方法要求在员工的个人计算机上安装监测引擎,通过监测引擎监测或限制调制解调器的使用。该方法要求在内联网每台计算机上安装软件,部署和维护起来都很复杂。而且,该方法容易造成员工的不信任,从而导致员工对抗监测软件。
本发明的方法实现了单点部署、全局监测,在每个监测目标机中不需要安装任何附加的软件,而只需部署一台与外部网可连通的内部网计算机作为监测计算机,就可以实现对多个网段、多台计算机的监测。显然,本发明的方法便于部署,便于维护,不易造成员工的抵触。
2、适用于多种外联手段
随着社会信息化的深入,各类有线和无线的外部网接入手段越来越多,接入方式越来越灵活。现有技术的网络连接状态监测方法往往都只实现通过电话线和调制解调器的拨号监测,检测能力有限。本发明的方法与硬件和驱动软件无关,可以适用于多种外联手段。
3、可检测出五种网络连接状态
本发明的方法可有效地识别连接断开、不能外联、通过内联网外联、非法外联、网关设置异常等五种网络连接状态。
结合监测目标机的原有状态和现有状态,还可以进一步判断出监测目标机的状态变迁情况,衍生出如开始外联、停止外联等安全事件。
附图说明
图1为现有监测方法的结构原理示意图。
图2为本发明利用一台计算机实现网络连接状态监测方法结构原理示意图。
图3为本发明利用一台计算机实现网络连接状态监测方法的实现结构原理示意图。
图4为本发明利用一台计算机实现网络连接状态监测方法流程示意图。
具体实施方式
请参见图2,本发明利用一台计算机实现网络连接状态监测方法采用的系统结构如图2所示,在网络中设立一台计算机作为监测计算机,在监测计算机上安装监测系统,监测系统同时具备监管中心和监测引擎的作用,监测计算机对各监测目标机实施实时的监控,与图1所示的现有监测方法的结构不同之处是,在每个监测目标机中不需要安装任何附加的软件,而只需要设立一台与外部网可连通的内部网计算机作为监测计算机。
请先参见图4,本发明利用一台计算机实现网络连接状态监测方法可具体描述如:
第一步,确定内联网中的一台与外网连接的计算机为监测计算机,在监测计算机中安装有包括监管中心和监测引擎的监测系统,在监测计算机上配置内联网地址IPIn、外部网地址IPOut和路由,使监测计算机可通过IPIn访问所有的内联网地址,通过外部网地址IPOut访问所有的外部网地址,另设监测目标机的IP地址为IPDst;
第二步,设源地址为IPIn,目标地址为IPDst,向监测目标机发送ICMP Echo数据包;收集返回的ICMP Echo Reply数据包;
第三步,设源地址为IPOut,目标地址为IPDst,向监测目标机发送ICMP Echo数据包;收集返回的ICMP Echo Reply数据包,设置返回包的源地址为IPReplySrc;
第四步,根据第二步和第三步的返回结果对监测目标机的网络连接状态作出判断,完成对一台监测目标机的监测;该判断根据下述网络连接状态判断依据表作出:网络连接状态判断依据表
第二步结果 | 第三步结果 | 监测目标机连接状态 |
超时 | 超时 | 关机或连接断开 |
超时 | 正常 | 开机,非法外联 |
正常 | 超时 | 开机,不能外联 |
正常 | 正常,IPReplySrc<>IPDst | 开机,通过内联网外联 |
正常 | 正常,IPReplySrc=IPDst | 开机,非法外联 |
异常 | 任意结果 | 网关设置异常 |
在第二步结果和第三步结果中,以收到返回包为“正常”,无法收到返回包为“超时”,发送出错为“异常”。
各种网络连接状态的判断结果进一步分述如下:
1、如果第二步和第三步的返回结果都为“超时”,则判断监测目标机处于“关机或连接断开”状态。
2、如果第二步的返回结果为“超时”,第三步的返回结果为“正常”,则判断监测目标机处于“开机,非法外联”状态。
3、如果第二步的返回结果为“正常”,第三步的返回结果为“超时”,则判断监测目标机处于“开机,不能外联”状态。
4、如果第二步的返回结果为“正常”,第三步的返回结果为“正常,IPReplySrc<>IPDst”,则判断监测目标机处于“开机,通过内联网外联”状态。
5、如果第二步的返回结果为“正常”,第三步的返回结果为“正常,IPReplySrc=IPDst”,则判断监测目标机处于“开机,非法外联”状态。
6、如果第二步的返回结果为“异常”,第三步为任意结果,则判断监测目标机处于“网关设置异常”状态。
第五步:监测计算机在对所确定的一台监测目标机完成其网络连接状态的判断后,接着判断是否还有其它监测目标机,如有,则返回到第一步对下一监测目标机进行监测;如无,则监测结束。
在第二步中,若监测计算机与监测目标机处于同一网段,也可以采用发送ARPRequest数据包,收集返回的ARP Response数据包。
请再参见图3,在具体实现上,监测计算机与内联网连接,同时通过专线或拨号线路与外部Internet网连接,利用本发明的方法步骤便可以实现对内联网的监测目标机的网络连接状态进行监测分析,从而发现通过多种外联方式进行非法外联的行为。
Claims (9)
1、一种利用一台计算机实现网络连接状态监测方法,其特征在于,
该方法至少包括以下方法,
第一步,确定内联网中的一台与外网连接的计算机为监测计算机,在监测计算机中安装有包括监管中心和监测引擎的监测系统,在监测计算机上配置内联网地址IPIn、外部网地址IPOut和路由,使监测计算机可通过IPIn访问所有的内联网地址,通过外部网地址IPOut访问所有的外部网地址,另设监测目标机的IP地址为IPDst;
第二步,设源地址为IPIn,目标地址为IPDst,向监测目标机发送ICMP Echo数据包;收集返回的ICMP Echo Reply数据包;
第三步,设源地址为IPOut,目标地址为IPDst,向监测目标机发送ICMP Echo数据包;收集返回的ICMP Echo Reply数据包,设置返回包的源地址为IPReplySrc;
第四步,根据第二步和第三步的返回结果对监测目标机的网络连接状态作出判断,完成对一台监测目标机的监测;
第五步,判断是否还有其它监测目标机,如有,则返回到第一步对下一监测目标机进行监测;如无,则监测结束。
2、根据权利要求1所述的利用一台计算机实现网络连接状态监测方法,其特征在于:在所述的第二步和第三步中,以收到返回包为“正常”,无法收到返回包为“超时”,发送出错为“异常”。
3、根据权利要求1所述的利用一台计算机实现网络连接状态监测方法,其特征在于:第二步和第三步的返回结果都为“超时”,判断监测目标机处于“关机或连接断开”状态。
4、根据权利要求1所述的利用一台计算机实现网络连接状态监测方法,其特征在于:第二步的返回结果为“超时”,第三步的返回结果为“正常”,判断监测目标机处于“开机,非法外联”状态。
5、根据权利要求1所述的利用一台计算机实现网络连接状态监测方法,其特征在于:第二步的返回结果为“正常”,第三步的返回结果为“超时”,判断监测目标机处于“开机,不能外联”状态。
6、根据权利要求1所述的利用一台计算机实现网络连接状态监测方法,其特征在于:第二步的返回结果为“正常”,第三步的返回结果为“正常,IPReplySrc<>IPDst”,判断监测目标机处于“开机,通过内联网外联”状态。
7、根据权利要求1所述的利用一台计算机实现网络连接状态监测方法,其特征在于:第二步的返回结果为“正常”,第三步的返回结果为“正常,IPReplySrc=IPDst”,判断监测目标机处于“开机,非法外联”状态。
8、根据权利要求1所述的利用一台计算机实现网络连接状态监测方法,其特征在于:第二步的返回结果为“异常”,第三步为任意结果,判断监测目标机处于“网关设置异常”状态。
9、根据权利要求1所述的利用一台计算机实现网络连接状态监测方法,其特征在于:在所述的第二步中,若监测计算机与监测目标机处于同一网段,也可以采用发送ARP Request数据包,收集返回的ARP Response数据包。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 02137578 CN1416059A (zh) | 2002-10-23 | 2002-10-23 | 利用一台计算机实现网络连接状态监测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 02137578 CN1416059A (zh) | 2002-10-23 | 2002-10-23 | 利用一台计算机实现网络连接状态监测方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN1416059A true CN1416059A (zh) | 2003-05-07 |
Family
ID=4749038
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN 02137578 Pending CN1416059A (zh) | 2002-10-23 | 2002-10-23 | 利用一台计算机实现网络连接状态监测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN1416059A (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2008009236A1 (fr) * | 2006-07-12 | 2008-01-24 | Huawei Technologies Co., Ltd. | Procédé et système de mise en oeuvre de segment de réseau à connexion directe |
CN101136797B (zh) * | 2007-09-28 | 2012-11-21 | 深圳市利谱信息技术有限公司 | 内外网物理连通的检测、通断控制方法 |
CN103001968A (zh) * | 2012-12-14 | 2013-03-27 | 温州电力局 | 一种网络监测系统及方法 |
CN107317729A (zh) * | 2017-07-11 | 2017-11-03 | 浙江远望信息股份有限公司 | 一种基于icmp协议的多种网络互联的主动探测方法 |
CN108833412A (zh) * | 2018-06-20 | 2018-11-16 | 国网湖北省电力公司咸宁供电公司 | 一种违规外联内网终端监管方法 |
CN109645988A (zh) * | 2018-11-02 | 2019-04-19 | 杭州妞诺科技有限公司 | 便携式的脑电信号监测方法及系统 |
-
2002
- 2002-10-23 CN CN 02137578 patent/CN1416059A/zh active Pending
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2008009236A1 (fr) * | 2006-07-12 | 2008-01-24 | Huawei Technologies Co., Ltd. | Procédé et système de mise en oeuvre de segment de réseau à connexion directe |
CN101136797B (zh) * | 2007-09-28 | 2012-11-21 | 深圳市利谱信息技术有限公司 | 内外网物理连通的检测、通断控制方法 |
CN103001968A (zh) * | 2012-12-14 | 2013-03-27 | 温州电力局 | 一种网络监测系统及方法 |
CN107317729A (zh) * | 2017-07-11 | 2017-11-03 | 浙江远望信息股份有限公司 | 一种基于icmp协议的多种网络互联的主动探测方法 |
CN108833412A (zh) * | 2018-06-20 | 2018-11-16 | 国网湖北省电力公司咸宁供电公司 | 一种违规外联内网终端监管方法 |
CN109645988A (zh) * | 2018-11-02 | 2019-04-19 | 杭州妞诺科技有限公司 | 便携式的脑电信号监测方法及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108616534B (zh) | 一种基于区块链防护物联网设备DDoS攻击的方法及系统 | |
CN101267313B (zh) | 泛洪攻击检测方法及检测装置 | |
CN1303786C (zh) | 用于在群集中进行故障解决的方法和系统 | |
CN101572701B (zh) | 针对DNS服务器的抗DDoS安全网关系统 | |
CN101087196B (zh) | 多层次蜜网数据传输方法及系统 | |
CN101567815B (zh) | 域名服务器dns放大攻击的有效检测与抵御方法 | |
Li et al. | Large-scale IP traceback in high-speed Internet: Practical techniques and theoretical foundation | |
US8806632B2 (en) | Systems, methods, and devices for detecting security vulnerabilities in IP networks | |
US20100125663A1 (en) | Systems, methods, and devices for detecting security vulnerabilities in ip networks | |
CN1384639A (zh) | 分布式网络动态安全保护系统 | |
CN1968271A (zh) | 通信网络中识别和禁止蠕虫的方法和装置 | |
CN1492328A (zh) | 用于检测tcp syn洪水式攻击的统计方法 | |
CN1794661A (zh) | 一种基于IPv6的网络性能分析报告系统及实现方法 | |
CN1643876A (zh) | 用于降低网络入侵检测系统的误报率的方法和系统 | |
CN1829953A (zh) | 用于显示网络安全性事故的方法和系统 | |
CN1767452A (zh) | 用于检测网络中的网络异常的方法和系统 | |
CN100342692C (zh) | 入侵检测装置和入侵检测系统 | |
CN101282340A (zh) | 网络攻击处理方法及处理装置 | |
CN1175621C (zh) | 一种检测并监控恶意用户主机攻击的方法 | |
CN1750480A (zh) | 一种内网计算机非法外联的检测方法 | |
CN101018119A (zh) | 基于硬件的与操作系统无关的服务器网络安全集中管理系统 | |
CN1492336A (zh) | 基于数据仓库的信息安全审计方法 | |
CN1416059A (zh) | 利用一台计算机实现网络连接状态监测方法 | |
CN100377534C (zh) | 一种网络蠕虫检测系统及方法 | |
CN1152517C (zh) | 防范网络攻击的方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
WD01 | Invention patent application deemed withdrawn after publication |