專利名稱:非法外聯(lián)檢測方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種對內(nèi)網(wǎng)計算機(jī)的非法外聯(lián)行為進(jìn)行檢測的非法外聯(lián)檢測方法�����。
背景技術(shù):
計算機(jī)和網(wǎng)絡(luò)技術(shù)的發(fā)展�,為終端電腦提供了豐富的網(wǎng)絡(luò)和設(shè)備互聯(lián)的手段。終端用戶不僅可以直接通過有線網(wǎng)絡(luò)實(shí)現(xiàn)與其他電腦或hternet互聯(lián)����;也可以通過多種無線連接方式,例如無線局域網(wǎng)�、紅外線、藍(lán)牙等實(shí)現(xiàn)網(wǎng)絡(luò)和設(shè)備的互聯(lián)���;還可以通過終端提供的豐富的外設(shè)接口����,例如USB接口���、COM 口�����、LPT 口��、Modem等多種接口���,實(shí)現(xiàn)終端與外設(shè)�����、 終端與終端、或終端與網(wǎng)絡(luò)的互聯(lián)��。除此之外�����,在以上物理連接的基礎(chǔ)上�����,還有PPOE虛擬撥號��、各類VPN供選擇�����,作為安全的互連互通的可選方式。而在一些涉密內(nèi)網(wǎng)����,由于內(nèi)網(wǎng)的計算機(jī)存在多種網(wǎng)絡(luò)連接方式,且缺少有效的技術(shù)監(jiān)控手段���,因此有大量內(nèi)網(wǎng)計算機(jī)違規(guī)進(jìn)行網(wǎng)絡(luò)外聯(lián)���。這些非法網(wǎng)絡(luò)外聯(lián)會導(dǎo)致如下嚴(yán)重問題1)機(jī)密信息泄漏用戶通過非法外聯(lián)的計算機(jī),主動或被動地外發(fā)內(nèi)部涉密資料�����,給組織造成重大損失���;2)引入安全問題非法外聯(lián)計算機(jī)的存在為病毒���、木馬攻擊內(nèi)網(wǎng)提供了理想的通道,病毒或木馬可以借助終端用戶違禁使用U盤����、擅自撥號進(jìn)行互聯(lián)網(wǎng)訪問、隨意瀏覽網(wǎng)站、隨意下載網(wǎng)站軟件的過程中����,乘虛而入,攻入內(nèi)網(wǎng)�,嚴(yán)重威脅到內(nèi)網(wǎng)的穩(wěn)定運(yùn)行和內(nèi)網(wǎng)中內(nèi)部數(shù)據(jù)的安全。為了對非法外聯(lián)的計算機(jī)進(jìn)行有效檢測��,目前存在如下的檢測方法�。在“一種封閉網(wǎng)絡(luò)內(nèi)檢測計算機(jī)非法外聯(lián)的方法”(申請?zhí)?00910081606. 1)中公開了一種封閉網(wǎng)絡(luò)內(nèi)檢測計算機(jī)非法外聯(lián)的方法,包括在所述網(wǎng)絡(luò)內(nèi)的任意一臺計算機(jī)上設(shè)置內(nèi)網(wǎng)網(wǎng)卡和外網(wǎng)網(wǎng)卡作為監(jiān)測機(jī)��,并分別設(shè)置相應(yīng)的內(nèi)網(wǎng)地址和非內(nèi)網(wǎng)地址����,在所述外網(wǎng)網(wǎng)卡連接的路由器端口設(shè)置與所述非內(nèi)網(wǎng)地址相同網(wǎng)段的端口地址�����;所述監(jiān)測機(jī)通過所述內(nèi)網(wǎng)網(wǎng)卡和外網(wǎng)網(wǎng)卡向網(wǎng)絡(luò)內(nèi)發(fā)送探測報文��,并接收相應(yīng)的響應(yīng)報文�,如果網(wǎng)絡(luò)內(nèi)存在沒有向所述外網(wǎng)網(wǎng)卡發(fā)送響應(yīng)報文的計算機(jī),則將判斷出該計算機(jī)為非法外聯(lián)主機(jī)���。這種檢測方法依賴網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)�,如果在內(nèi)網(wǎng)中設(shè)置了防火墻等過濾設(shè)備,則探測報文會被過濾設(shè)備屏蔽��,在這種環(huán)境下就不能正確檢測非法外聯(lián)的主機(jī)��。在“一種內(nèi)網(wǎng)計算機(jī)非法外聯(lián)的檢測方法”(申請?zhí)?00510096094. 8)中公開了一種內(nèi)網(wǎng)計算機(jī)非法外聯(lián)的檢測方法�。該發(fā)明的目的是要提供一種內(nèi)網(wǎng)計算機(jī)非法外聯(lián)的檢測方法,通過在各個涉密網(wǎng)主機(jī)上的DNS服務(wù)器輪詢各個具有典型代表性的網(wǎng)站地址的方式���,來確定涉密網(wǎng)主機(jī)能否與外部網(wǎng)絡(luò)進(jìn)行非法互聯(lián)����。這種檢測方法沒有對計算機(jī)的網(wǎng)絡(luò)外聯(lián)方式進(jìn)行檢測����,只是通過DNS服務(wù)器的輪詢來檢測是否在外聯(lián),當(dāng)內(nèi)網(wǎng)計算機(jī)禁止 DNS協(xié)議���,且通過代理主機(jī)的方式外聯(lián)網(wǎng)絡(luò)時�����,現(xiàn)有檢測方法不能準(zhǔn)確檢測出非法外聯(lián)的行為��。
發(fā)明內(nèi)容
鑒于上述技術(shù)問題�,本發(fā)明提供一種能夠?qū)?nèi)網(wǎng)計算機(jī)非法外聯(lián)行為進(jìn)行準(zhǔn)確檢測的非法外聯(lián)檢測方法。本發(fā)明所涉及的非法外聯(lián)檢測方法����,包括以下步驟定義步驟,在管理服務(wù)器中預(yù)先定義檢測策略��,并設(shè)置需要應(yīng)用檢測策略的終端設(shè)備�;檢測步驟,所述終端設(shè)備根據(jù)從所述管理服務(wù)器下載的所述檢測策略對內(nèi)網(wǎng)計算機(jī)的非法外聯(lián)進(jìn)行檢測����;告警步驟,當(dāng)判斷為所述內(nèi)網(wǎng)計算機(jī)存在非法外聯(lián)行為時����,所述終端設(shè)備向所述管理服務(wù)器發(fā)出告警信息�����; 以及響應(yīng)步驟�����,所述管理服務(wù)器根據(jù)告警信息,執(zhí)行響應(yīng)措施��。在上述的非法外聯(lián)檢測方法中�,其中,所述檢測步驟包括第一構(gòu)造發(fā)送步驟�����,逐一查詢內(nèi)網(wǎng)計算機(jī)中的網(wǎng)絡(luò)適配器信息��,并根據(jù)查詢到的所述適配器的網(wǎng)絡(luò)參數(shù)�,構(gòu)造連通性探測包,并發(fā)送給外網(wǎng)主機(jī)����;查詢步驟,當(dāng)所有的所述網(wǎng)絡(luò)適配器查詢完畢時����,查詢所述內(nèi)網(wǎng)計算機(jī)上是否設(shè)置有上網(wǎng)的代理方式;第二構(gòu)造發(fā)送步驟��,當(dāng)設(shè)置有所述上網(wǎng)的代理方式時�����,并根據(jù)查詢到的所述上網(wǎng)的代理方式的網(wǎng)絡(luò)參數(shù),構(gòu)造連通性探測包���,并發(fā)送給所述外網(wǎng)主機(jī)����;以及判斷步驟�����,當(dāng)所述終端設(shè)備接收到來自所述外網(wǎng)主機(jī)的針對所述連通性探測包的回應(yīng)包時�����,判斷內(nèi)網(wǎng)計算機(jī)存在非法外聯(lián)行為����。在上述的非法外聯(lián)檢測方法中,所述網(wǎng)絡(luò)適配器信息包括設(shè)備名����;所述適配器的網(wǎng)絡(luò)參數(shù)包括ip地址�、掩碼和網(wǎng)關(guān)。在上述的非法外聯(lián)檢測方法中���,所述連通性探測包包括http探測包和ping探測包�。在上述的非法外聯(lián)檢測方法中,所述上網(wǎng)的代理方式的網(wǎng)絡(luò)參數(shù)包括所述終端設(shè)備的主機(jī)ip和端口信息����。在上述的非法外聯(lián)檢測方法中,所述響應(yīng)措施包括控制臺告警��、郵件告警��、阻斷網(wǎng)絡(luò)和重啟機(jī)器�����。在上述的非法外聯(lián)檢測方法中���,所述終端設(shè)備為多臺�。在上述的非法外聯(lián)檢測方法中�,所述終端設(shè)備、所述管理服務(wù)器和所述控制臺構(gòu)成的內(nèi)網(wǎng)安全管理系統(tǒng)支持多級部署方式�����,根據(jù)網(wǎng)絡(luò)的規(guī)模和管理級別而劃分為N級��,其中,N為大于1的整數(shù)�����。在上述的非法外聯(lián)檢測方法中��,所述終端設(shè)備之間�、所述終端設(shè)備和所述管理服務(wù)器之間的數(shù)據(jù)通信采用ssl加密和壓縮的通信方式。在上述的非法外聯(lián)檢測方法中��,所述管理服務(wù)器和控制臺之間采用https的加密通信方式�����。在本發(fā)明的非法外聯(lián)檢測方法中�,通過自動識別計算機(jī)內(nèi)可用的網(wǎng)絡(luò)連接參數(shù), 并根據(jù)識別的網(wǎng)絡(luò)參數(shù)進(jìn)行非法外聯(lián)檢測��,而且����,采用主動構(gòu)造各類網(wǎng)絡(luò)協(xié)議探測數(shù)據(jù)包, 對外部網(wǎng)絡(luò)主機(jī)進(jìn)行連通性探測�,并根據(jù)探測結(jié)果來檢測計算機(jī)是否是非法外聯(lián)的方式。根據(jù)本發(fā)明的非法外聯(lián)檢測方法��,能夠?qū)τ嬎銠C(jī)內(nèi)網(wǎng)的各種可能的外聯(lián)方式進(jìn)行了全面檢測�,提高了檢測精度和正確性。解決了現(xiàn)有檢測方法對網(wǎng)絡(luò)拓?fù)涞囊蕾?,解決了現(xiàn)有檢測方法在上網(wǎng)的代理方式下不能正確檢測的問題。
當(dāng)結(jié)合附圖考慮時���,通過參照下面的詳細(xì)描述�,能夠更完整更好地理解本發(fā)明以及容易得知其中許多伴隨的優(yōu)點(diǎn)����,但此處所說明的附圖用來提供對本發(fā)明的進(jìn)一步理解, 構(gòu)成本申請的一部分���,本發(fā)明的示意性實(shí)施例及其說明用于解釋本發(fā)明����,并不構(gòu)成對本發(fā)明的不當(dāng)限定�����,其中
圖1是非法外聯(lián)檢測系統(tǒng)的部署示意圖��。圖2是非法外聯(lián)檢測系統(tǒng)的框圖���。圖3是內(nèi)非法外聯(lián)檢測方法的流程圖��。圖4是本發(fā)明的非法外聯(lián)檢測方法的終端設(shè)備所執(zhí)行的檢測步驟的流程圖���。
具體實(shí)施例方式圖1是非法外聯(lián)檢測系統(tǒng)的部署示意圖����,如圖1所示��,非法外聯(lián)檢測系統(tǒng)包括多臺終端設(shè)備100�����、管理服務(wù)器200和控制臺300��。圖2是非法外聯(lián)檢測系統(tǒng)的框圖���。如圖2所示���,多臺終端設(shè)備的各臺終端設(shè)備100 上安裝有代理程序,可以從管理服務(wù)器200下載檢測策略����,根據(jù)檢測策略來執(zhí)行非法外聯(lián)的檢測�����,并將檢測結(jié)果上報給管理服務(wù)器200����??梢园ńK端通信模塊110�����、終端控制模塊 120�����、非法外聯(lián)檢測引擎130�、告警模塊140。具體地����,終端通信模塊110用于終端設(shè)備和管理服務(wù)器、終端設(shè)備之間的通信處理�����,實(shí)現(xiàn)通信連接的建立、數(shù)據(jù)的收發(fā)����、通信加解密和斷點(diǎn)續(xù)傳等;終端控制模塊120是終端設(shè)備的核心部件��,負(fù)責(zé)對終端設(shè)備內(nèi)部各模塊進(jìn)行統(tǒng)一管理����,其通過終端通信模塊接受檢測策略,并將檢測策略應(yīng)用非法外聯(lián)檢測引擎130����,此外,其還接受非法外聯(lián)檢測引擎 130的告警信息和狀態(tài)信息���,然后通過終端通信模塊110轉(zhuǎn)發(fā)給上級管理服務(wù)器���,而且,其還對終端設(shè)備的資源進(jìn)行統(tǒng)一監(jiān)控和管理����;非法外聯(lián)檢測引擎130自動識別計算機(jī)的網(wǎng)絡(luò)連接信息,根據(jù)識別的網(wǎng)絡(luò)連接構(gòu)造探測數(shù)據(jù)包,然后發(fā)送探測數(shù)據(jù)包給外網(wǎng)的主機(jī)����,并分析響應(yīng)數(shù)據(jù)來判斷該計算機(jī)是否非法外聯(lián);如果發(fā)現(xiàn)非法外聯(lián)���,則通知告警模塊140向管理服務(wù)器發(fā)出非法外聯(lián)的告警信息�����。本發(fā)明的終端設(shè)備能夠自動對計算機(jī)的各類網(wǎng)絡(luò)連接方式進(jìn)行識別,然后基于識別出的網(wǎng)絡(luò)連接方式�����,向外部網(wǎng)絡(luò)的主機(jī)發(fā)出網(wǎng)絡(luò)連通性探測包���,根據(jù)探測包的響應(yīng)結(jié)果來判斷內(nèi)網(wǎng)計算機(jī)是否是非法外聯(lián)�����。管理服務(wù)器200是系統(tǒng)的控制中心�����,其接受并處理下級終端設(shè)備的安全信息�����,制定并下發(fā)安全策略給終端設(shè)備��,同時接受和響應(yīng)來自控制臺300的管理指令����。具有檢測策略集中管理、資產(chǎn)管理�、認(rèn)證和授權(quán)、分析和報表��、告警信息接受和處理等功能�。如圖2所示,可以包括管理服務(wù)器通信模塊210���、管理服務(wù)器控制模塊220�����、非法外聯(lián)監(jiān)控模塊230�、 資產(chǎn)管理模塊對0���、策略管理模塊250�、認(rèn)證授權(quán)模塊沈0、注冊服務(wù)模塊270��、資源信息庫 280����。具體地,管理服務(wù)器通信模塊210用于終端設(shè)備和管理服務(wù)器��、管理服務(wù)器和控制臺之間的通信處理�����,實(shí)現(xiàn)通信連接的建立��、數(shù)據(jù)的收發(fā)�、通信加解密等功能���。管理服務(wù)器控制模塊220是管理服務(wù)器的核心部件�,負(fù)責(zé)對管理服務(wù)器內(nèi)部各模塊進(jìn)行統(tǒng)一管理��,其通過通信模塊將安全策略和控制命令下發(fā)給下級的終端設(shè)備��;另外,其還接受來自控制臺的用戶指令���,并根據(jù)用戶指令對其他模塊進(jìn)行管理和控制���;而且,其還對管理服務(wù)器中的任務(wù)實(shí)現(xiàn)進(jìn)行統(tǒng)一調(diào)度和管理�����。非法外聯(lián)監(jiān)控模塊230接受下級終端設(shè)備上報的非法外聯(lián)告警信息��,然后根據(jù)安全策略執(zhí)行相應(yīng)的響應(yīng)措施�����;這些響應(yīng)措施包括控制臺告警�、郵件告警、阻斷網(wǎng)絡(luò)和重啟機(jī)器等���。
資產(chǎn)管理模塊240實(shí)現(xiàn)對網(wǎng)絡(luò)內(nèi)的資產(chǎn)執(zhí)行集中統(tǒng)一管理�����,主要包括資產(chǎn)的分組管理��、資產(chǎn)導(dǎo)入導(dǎo)出等功能�����。策略管理模塊250實(shí)現(xiàn)對系統(tǒng)內(nèi)安全策略執(zhí)行集中統(tǒng)一的管理���,主要包括策略的制定����、策略分發(fā)����、策略監(jiān)控等功能。認(rèn)證授權(quán)模塊沈0實(shí)現(xiàn)統(tǒng)一的用戶認(rèn)證和基于角色的權(quán)限管理功能��。注冊服務(wù)模塊270負(fù)責(zé)對系統(tǒng)中所有資源信息進(jìn)行統(tǒng)一管理�,維護(hù)資源信息庫 280中的內(nèi)容。資源信息庫280用于存儲每個終端的地址信息����、配置信息�����、安全策略等各種資源?�?刂婆_300是用戶交互的界面�,接收用戶的指令,轉(zhuǎn)發(fā)給管理服務(wù)器處理�����,同時接受并呈現(xiàn)來自管理服務(wù)器的信息�����??刂婆_300是具有瀏覽器、例如IE瀏覽器功能的計算機(jī)設(shè)備����,控制臺300可以單獨(dú)設(shè)置,也可以設(shè)置在終端設(shè)備100或管理服務(wù)器200上�����。如圖2 所示���,控制臺300包括控制臺通信模塊310����、控制臺控制模塊320、展現(xiàn)模塊330����、人機(jī)交互模塊;340?��?刂婆_通信模塊310負(fù)責(zé)管理服務(wù)器200和控制臺300之間的通信處理���,實(shí)現(xiàn)通信連接的建立、數(shù)據(jù)的收發(fā)���、通信加解密等功能��??刂婆_控制模塊320負(fù)責(zé)對其他模塊執(zhí)行集中統(tǒng)一的管理�����,實(shí)現(xiàn)任務(wù)的統(tǒng)一調(diào)度��、數(shù)據(jù)集中分派等功能�。展現(xiàn)模塊330實(shí)現(xiàn)報表等多種方式的數(shù)據(jù)表現(xiàn)。人機(jī)交互模塊340負(fù)責(zé)和管理者交互��,實(shí)現(xiàn)人機(jī)交互����,提供圖形化的管理界面。終端設(shè)備100和管理服務(wù)器器200之間的數(shù)據(jù)通信支持ssl加密����,確保數(shù)據(jù)的機(jī)密性;對傳輸?shù)臄?shù)據(jù)進(jìn)行壓縮����,減少了對網(wǎng)絡(luò)帶寬的占用;控制臺300和管理服務(wù)器200之間則采用https的加密通信方式��,保證系統(tǒng)的通信安全圖3是本發(fā)明的非法外聯(lián)檢測方法的一例流程圖����。如圖3所示,包括以下步驟定義步驟S310�����,在管理服務(wù)器200中預(yù)先定義檢測策略�����,并設(shè)置需要應(yīng)用檢測策略的終端設(shè)備100。檢測步驟S320�����,終端設(shè)備100根據(jù)從管理服務(wù)器200下載的檢測策略對內(nèi)網(wǎng)計算機(jī)的非法外聯(lián)進(jìn)行檢測�����。告警步驟S330�����,當(dāng)判斷為內(nèi)網(wǎng)計算機(jī)存在非法外聯(lián)行為時�����,終端設(shè)備100向管理服務(wù)器200發(fā)出告警信息��。響應(yīng)步驟S340�����,管理服務(wù)器200根據(jù)告警信息,執(zhí)行響應(yīng)措施�����。圖4是本發(fā)明的非法外聯(lián)檢測方法的終端設(shè)備所執(zhí)行的檢測步驟的流程圖����。如圖 4所示���,檢測步驟包括以下步驟第一構(gòu)造發(fā)送步驟S410���,逐一查詢內(nèi)網(wǎng)計算機(jī)中的網(wǎng)絡(luò)適配器信息,并根據(jù)查詢到的適配器的網(wǎng)絡(luò)參數(shù)���,構(gòu)造連通性探測包�,并發(fā)送給外網(wǎng)主機(jī)�����。例如查詢計算機(jī)中一個網(wǎng)絡(luò)適配器的信息��,主要包括設(shè)備名等信息�,根據(jù)設(shè)備名獲得該適配器的網(wǎng)絡(luò)參數(shù),包括 ip地址、掩碼和網(wǎng)關(guān)等信息��,并根據(jù)該適配器的網(wǎng)絡(luò)參數(shù)�,構(gòu)造網(wǎng)絡(luò)連通性探測數(shù)據(jù)包(例如http探測包和ping探測包等),并發(fā)送給外部網(wǎng)絡(luò)的主機(jī)����。接著判斷是否還有網(wǎng)絡(luò)適配器,如果有則重新執(zhí)行S410���,否則執(zhí)行查詢步驟S420�。查詢步驟S420�,當(dāng)所有的網(wǎng)絡(luò)適配器查詢完畢時,查詢內(nèi)網(wǎng)計算機(jī)上是否設(shè)置有上網(wǎng)的代理方式���。如果有�,則進(jìn)入第二構(gòu)造發(fā)送步驟S430�,如果沒有則進(jìn)入判斷步驟S440。第二構(gòu)造發(fā)送步驟S430��,當(dāng)設(shè)置有上網(wǎng)的代理方式時�,并根據(jù)查詢到的上網(wǎng)的代理方式的網(wǎng)絡(luò)參數(shù),構(gòu)造連通性探測包�,并發(fā)送給外網(wǎng)主機(jī)��。這里�,上網(wǎng)的代理方式的網(wǎng)絡(luò)參數(shù)包括終端設(shè)備主機(jī)ip和端口等信息�。判斷步驟S440,當(dāng)終端設(shè)備接收到來自外網(wǎng)主機(jī)的針對連通性探測包的回應(yīng)包時���,判斷內(nèi)網(wǎng)計算機(jī)存在非法外聯(lián)行為。如果沒有來自外網(wǎng)主機(jī)的針對連通性探測包的回應(yīng)包時��,則不進(jìn)行告警步驟��,結(jié)束此次檢測�����。本發(fā)明的非法外聯(lián)檢測系統(tǒng)支持多級部署的方式�,在大規(guī)模網(wǎng)絡(luò)部署時,可以根據(jù)網(wǎng)絡(luò)的規(guī)模和管理級別而劃分為N(N> 1)級�,其中在中心節(jié)點(diǎn)設(shè)立全網(wǎng)范圍的管理中心,制定并下發(fā)統(tǒng)一的全網(wǎng)安全策略和檢測策略���。這些策略通過同步與復(fù)制的機(jī)制����,在同級或下級管理中心間保持一致。下級管理中心上策略的變更也都會上傳給上級管理中心��,在上級管理中心可以瀏覽任何一個下級管理中心的策略應(yīng)用情況����,適用于大規(guī)模網(wǎng)絡(luò)環(huán)境的部署應(yīng)用。由于采用分散控制�����,可靠性高���,降低了各節(jié)點(diǎn)服務(wù)器的負(fù)荷����。終端設(shè)備和終端設(shè)備之間�,終端設(shè)備和管理服務(wù)器之間的數(shù)據(jù)通信支持加密和壓縮;控制臺和管理服務(wù)器之間則采用https的加密通信方式�����,保證系統(tǒng)的通信安全�����。本發(fā)明的對內(nèi)網(wǎng)計算機(jī)進(jìn)行非法外聯(lián)檢測的非法外聯(lián)檢測方法,用于解決現(xiàn)有檢測技術(shù)中存在檢測不全面和不準(zhǔn)確的問題�����。通過本發(fā)明對內(nèi)網(wǎng)計算機(jī)的各種網(wǎng)絡(luò)連接方式進(jìn)行自動識別���,然后通過檢測到的可用網(wǎng)絡(luò)連接方式主動對外部網(wǎng)絡(luò)的主機(jī)進(jìn)行網(wǎng)絡(luò)連通性探測�,根據(jù)探測結(jié)果來確定內(nèi)網(wǎng)計算機(jī)是否能與外部網(wǎng)絡(luò)進(jìn)行非法互聯(lián)�����。本方法對計算機(jī)所在的各類網(wǎng)絡(luò)連接環(huán)境進(jìn)行全面識別���,并在此基礎(chǔ)上結(jié)合主動檢測的方式,能準(zhǔn)確�、全面地檢測出內(nèi)網(wǎng)非法外聯(lián)的計算機(jī)。采用本方法能根本上解決對內(nèi)網(wǎng)計算機(jī)非法外聯(lián)的檢測問題��。本方法可以應(yīng)用在網(wǎng)絡(luò)安全管理�����、入侵檢測和服務(wù)器保護(hù)等各類設(shè)備中��。本發(fā)明對計算機(jī)內(nèi)各種可能的外聯(lián)方式進(jìn)行了全面檢測,提高了檢測精度和正確性�。解決了現(xiàn)有檢測方法對網(wǎng)絡(luò)拓?fù)涞囊蕾嚕鉀Q了現(xiàn)有檢測方法在代理方式下不能正確檢測的問題��。如上所述��,對本發(fā)明的實(shí)施例進(jìn)行了詳細(xì)地說明�����,但是只要實(shí)質(zhì)上沒有脫離本發(fā)明的發(fā)明點(diǎn)及效果可以有很多的變形�,這對本領(lǐng)域的技術(shù)人員來說是顯而易見的。因此��,這樣的變形例也全部包含在本發(fā)明的保護(hù)范圍之內(nèi)�����。
權(quán)利要求
1.一種非法外聯(lián)檢測方法�,用于對內(nèi)網(wǎng)計算機(jī)的非法外聯(lián)行為進(jìn)行檢測,包括以下步驟定義步驟����,在管理服務(wù)器中預(yù)先定義檢測策略,并設(shè)置需要應(yīng)用檢測策略的終端設(shè)備��;檢測步驟,所述終端設(shè)備根據(jù)從所述管理服務(wù)器下載的所述檢測策略對內(nèi)網(wǎng)計算機(jī)的非法外聯(lián)進(jìn)行檢測��;告警步驟�,當(dāng)判斷為所述內(nèi)網(wǎng)計算機(jī)存在非法外聯(lián)行為時,所述終端設(shè)備向所述管理服務(wù)器發(fā)出告警信息�����;以及響應(yīng)步驟�����,所述管理服務(wù)器根據(jù)告警信息���,執(zhí)行響應(yīng)措施。
2.根據(jù)權(quán)利要求1所述的非法外聯(lián)檢測方法��,其中���,所述檢測步驟包括第一構(gòu)造發(fā)送步驟����,逐一查詢內(nèi)網(wǎng)計算機(jī)中的網(wǎng)絡(luò)適配器信息��,并根據(jù)查詢到的所述適配器的網(wǎng)絡(luò)參數(shù),構(gòu)造連通性探測包���,并發(fā)送給外網(wǎng)主機(jī)���;查詢步驟,當(dāng)所有的所述網(wǎng)絡(luò)適配器查詢完畢時����,查詢所述內(nèi)網(wǎng)計算機(jī)上是否設(shè)置有上網(wǎng)的代理方式;第二構(gòu)造發(fā)送步驟�,當(dāng)設(shè)置有所述上網(wǎng)的代理方式時,并根據(jù)查詢到的所述上網(wǎng)的代理方式的網(wǎng)絡(luò)參數(shù)�,構(gòu)造連通性探測包,并發(fā)送給所述外網(wǎng)主機(jī)����;以及判斷步驟,當(dāng)所述終端設(shè)備接收到來自所述外網(wǎng)主機(jī)的針對所述連通性探測包的回應(yīng)包時��,判斷內(nèi)網(wǎng)計算機(jī)存在非法外聯(lián)行為�����。
3.根據(jù)權(quán)利要求2所述的非法外聯(lián)檢測方法,其中�����, 所述網(wǎng)絡(luò)適配器信息包括設(shè)備名���;所述適配器的網(wǎng)絡(luò)參數(shù)包括ip地址����、掩碼和網(wǎng)關(guān)�。
4.根據(jù)權(quán)利要求3所述的非法外聯(lián)檢測方法,其中��, 所述連通性探測包包括http探測包和ping探測包����。
5.根據(jù)權(quán)利要求2所述的非法外聯(lián)檢測方法,其中����,所述上網(wǎng)的代理方式的網(wǎng)絡(luò)參數(shù)包括所述終端設(shè)備的主機(jī)ip和端口信息���。
6.根據(jù)權(quán)利要求1至5中任一項(xiàng)所述的非法外聯(lián)檢測方法��,其中�����, 所述響應(yīng)措施包括控制臺告警�����、郵件告警���、阻斷網(wǎng)絡(luò)和重啟機(jī)器��。
7.根據(jù)權(quán)利要求6所述的非法外聯(lián)檢測方法��,其中�����, 所述終端設(shè)備為多臺��。
8.根據(jù)權(quán)利要求6所述的非法外聯(lián)檢測方法����,其中���,所述終端設(shè)備����、所述管理服務(wù)器和控制臺構(gòu)成的非法外聯(lián)檢測系統(tǒng)支持多級部署方式,根據(jù)網(wǎng)絡(luò)的規(guī)模和管理級別而劃分為N級����,其中,N為大于1的整數(shù)���。
9.根據(jù)權(quán)利要求6所述的非法外聯(lián)檢測方法����,其中�����,所述終端設(shè)備之間�、所述終端設(shè)備和所述管理服務(wù)器之間的數(shù)據(jù)通信采用ssl加密和壓縮的通信方式。
10.根據(jù)權(quán)利要求6所述的非法外聯(lián)檢測方法��,其中���, 所述管理服務(wù)器和控制臺之間采用https的加密通信方式。
全文摘要
本發(fā)明公開了一種對內(nèi)網(wǎng)計算機(jī)的非法外聯(lián)行為進(jìn)行檢測的非法外聯(lián)檢測方法,包括定義步驟S310�,在管理服務(wù)器中預(yù)先定義檢測策略,并設(shè)置需要應(yīng)用檢測策略的終端設(shè)備�;檢測步驟S320,所述終端設(shè)備根據(jù)從所述管理服務(wù)器下載的所述檢測策略對內(nèi)網(wǎng)計算機(jī)的非法外聯(lián)進(jìn)行檢測�;告警步驟S330,當(dāng)判斷為所述內(nèi)網(wǎng)計算機(jī)存在非法外聯(lián)行為時�,所述終端設(shè)備向所述管理服務(wù)器發(fā)出告警信息;以及響應(yīng)步驟S340�,所述管理服務(wù)器根據(jù)告警信息,執(zhí)行響應(yīng)措施�。根據(jù)本發(fā)明的非法外聯(lián)檢測方法,能夠?qū)τ嬎銠C(jī)內(nèi)網(wǎng)的各種可能的外聯(lián)方式進(jìn)行全面檢測��,提高了檢測精度和正確性�。
文檔編號G06F21/00GK102315992SQ201110324828
公開日2012年1月11日 申請日期2011年10月21日 優(yōu)先權(quán)日2011年10月21日
發(fā)明者曾勇, 許元進(jìn) 申請人:北京海西賽虎信息安全技術(shù)有限公司