一种内外网互联的检测方法、装置、系统及可读存储介质与流程

1.本发明涉及网络信息安全技术领域，特别是涉及一种内外网互联的检测方法、装置、系统及可读存储介质。


背景技术：

2.出于网络与信息安全考虑，常采用网络隔离的方式进行网络规划，从而通过网络隔离提供基础安全防护措施。未授权、审核的网络间互联行为，极易导致隔离防护措施失效。比如，同时具备有线网卡和无线网卡的终端设备，很容易出现网络间的互联行为。
3.对于内外网互联行为的检测，现有要么基于网络层的通信协议进行扫描实现网络互联检测，要么使用全流量进行网络流量分析实现网络互联检测。前者主要是在网络层使用互联网控制消息协议(internet control message protocol，icmp)，在内网发送篡改过原地址的icmp请求回显报文来检测被测主机存在内外网互联的情况，但由于网络设备、网络防护设备的部署，极易阻断篡改后的icmp请求回显报文向被测主机的发送，导致扫描失败率高，从而无法精确检测出内外网互联。此外，后者需要增设的全流量分析设备来对全网流量进行分析，存在检测成本高，需对原网络结构进行适应性调整的问题。
4.如此一来，如何在兼顾检测成本的同时，提高内外网互联检测效率成为急需解决的技术问题。


技术实现要素：

5.本发明提供了一种内外网互联的检测方法、装置、系统及可读存储介质，用于在兼顾检测成本的同时，提高内外网互联检测效率。
6.第一方面，本发明实施例提供了一种内外网互联的检测方法，包括：
7.获取至少一个待测主机通过浏览器访问内网服务器的http流量；
8.若所述http流量中包括特定资源，则将用于获取外网资源的请求加入所述http流量，获得修改后的请求；
9.若检测到外网主机监听到所述修改后的请求，则确定所述至少一个待测主机存在内外网互联的行为。
10.在其中一种可能的实现方式中，将用于获取外网资源的请求加入所述http流量，获得修改后的请求，包括：
11.将所述http流量的原地址修改为用于获得外网资源的所述外网主机的地址，获得修改后的请求。
12.在其中一种可能的实现方式中，将用于获取外网资源的请求加入所述http流量，获得修改后的请求，包括：
13.启动部署在所述内网服务器上的检测代码，将用于获取外网资源的请求加入所述http流量，获得修改后的请求。
14.在其中一种可能的实现方式中，将用于获取外网资源的请求加入所述http流量，
获得修改后的请求，还包括：
15.将用于唯一标识各所述待测主机的令牌信息加入所述http流量，获得加入的请求，所述令牌信息具体为包括相应所述待测主机的终端ip地址和当前时间的加密信息；
16.将所述加入后的请求作为所述修改后的请求。
17.在其中一种可能的实现方式中，在确定所述至少一个待测主机存在内外网互联的行为之后，所述方法还包括：
18.若检测到所述外网主机能够解密所述加密信息，则将确定所述至少一个待测主机存在内外网互联的行为作为有效检测结果；
19.将所述有效检测结果登记入库。
20.第二方面，本发明实施例还提供了一种内外网互联的检测装置，包括：
21.获取单元，用于获取至少一个待测主机通过浏览器访问内网服务器的http流量；
22.获得单元，用于若所述http流量中包括特定资源，则将用于获取外网资源的请求加入所述http流量，获得修改后的请求；
23.确定单元，用于若检测到外网主机监听到所述修改后的请求，则确定所述至少一个待测主机存在内外网互联的行为。
24.在其中一种可能的实现方式中，所述获得单元用于：
25.将所述http请求的原地址修改为用于获得外网资源的所述外网主机的地址，获得修改后的请求。
26.在其中一种可能的实现方式中，所述获得单元用于：
27.启动部署在所述内网服务器上的检测代码，将用于获取外网资源的请求加入所述http流量，获得修改后的请求。
28.在其中一种可能的实现方式中，所述获得单元还用于：
29.将用于唯一标识各所述待测主机的令牌信息加入所述http流量，获得加入的请求，所述令牌信息具体为包括相应所述待测主机的终端ip地址和当前时间的加密信息；
30.将所述加入后的请求作为所述修改后的请求。
31.在其中一种可能的实现方式中，在所述检测单元确定所述至少一个待测主机存在内外网互联的行为之后，所述检测单元还用于：
32.若检测到所述外网主机能够解密所述加密信息，则将确定所述至少一个待测主机存在内外网互联的行为作为有效检测结果；
33.将所述有效检测结果登记入库。
34.第三方面，本发明实施例还提供了一种检测系统，包括：
35.检测终端、至少一个待测主机、内网服务器和外网主机，所述至少一个待测主机分别与所述检测终端和所述内网服务器连接；其中：所述检测终端被配置为：
36.获取所述至少一个待测主机通过浏览器访问所述内网服务器的http流量；
37.若所述http流量中包括特定资源，则将用于获取外网资源的请求加入所述http流量，获得修改后的请求；
38.若检测到所述外网主机能够监听到所述修改后的请求，则确定所述至少一个待测主机存在内外网互联的行为。
39.第四方面，本发明实施例还提供了一种检测装置，所述检测装置包括处理器，所述
处理器用于执行存储器中存储的计算机程序时实现如上面任一项所述的内外网互联的检测方法的步骤。
40.第五方面，本发明实施例还提供了一种可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现如上面任一项所述的内外网互联的检测方法的步骤。
41.本发明的有益效果如下：
42.本发明提供了一种内外网互联的检测方法、装置、系统及可读存储介质，首先，检测终端获取至少一个待测主机通过浏览器访问内网服务器的http流量，然后，检测该http流量中是否包括有特定资源，比如，图片、脚本等，若该http流量中包括特定资源，则将用于获取外网资源的请求加入该http流量中，从而获得修改后的请求，然后，检测终端将该修改后的请求发送至各待测主机，然后，通过检测终端检测外网主机是否监听到该修改后的请求，若外网主机监听到该修改后的请求，即相应的待测主机可以成功访问到外网主机，则确定相应的待测主机存在内外网互联的行为。由于web应用中，任一台联网主机总是要进行http请求，无论网络设备或网络防护设备怎么设置，对待测主机发起的http请求总是被允许的。本发明基于http协议这一普遍应用的应用层协议来进行内外网互联的检测，在降低检测成本的同时，避免了网络设备或网络防护设备对检测的阻断，提高了内外网互联的检测效率。
附图说明
43.图1为本发明实施例提供的一种内外网互联的检测方法所适用的检测系统的其中一种结构示意图；
44.图2为本发明实施例提供的一种内外网互联的检测方法的方法流程图；
45.图3为本发明实施例提供的一种内外网互联的检测方法中步骤s102的方法流程图；
46.图4为本发明实施例提供的一种内外网互联的检测方法中在步骤s103之后的方法流程图；
47.图5为本发明实施例提供的一种内外网互联的检测装置的其中一种结构示意图。
具体实施方式
48.本发明的说明书和权利要求书及上述附图中的“第一”、“第二”等是用于区别不同对象，而不是用于描述特定顺序。此外，术语“包括”以及它们的任何变形，意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元，而是可选地还包括没有列出的步骤或单元，或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。
49.在本文中提及“实施例”意味着，结合实施例描述的特定特征、结构或特性可以包含在本发明的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例，也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是，本文所描述的实施例可以与其它实施例相结合。
50.为了更好的理解上述技术方案，下面通过附图以及具体实施例对本发明技术方案做详细的说明，应当理解本发明实施例以及实施例中的具体特征是对本发明技术方案的详
细的说明，而不是对本发明技术方案的限定，在不冲突的情况下，本发明实施例以及实施例中的技术特征可以相互结合。
51.在相关技术中，为了保证网络信息安全，常需要对内外网互联行为进行检测。在采用网络层的icmp协议进行网络互联检测时，需要在内网发送篡改过原地址的icmp请求回显报文，触发被检测机器向外网监听主机发送回显应答报文，如果外网监听主机收到相关协议报文，则证明被检测及其存在内外网互联的情况。但是由于网络设备普遍对转发篡改报文进行了限制，如设置了单播反向路由查找技术(unicast reverse path forwarding，urpf)，扫描报文将无法发送到被测机器，此外，网络中网络防护设备的存在也会导致扫描失败。比如，防火墙禁用了icmp等业务上非必要的协议或禁止来访报文等。所以，采用网络层的icmp协议进行网络互联检测存在扫描失败率高，进而降低网络互联的检测效率。
52.在采用全流量分析设备对全网流量进行分析实现网络互联检测时，由于所需的全流量分析设备费用昂贵，且需要破坏原网络结构来部署，从而导致检测成本高。
53.鉴于此，本发明实施例提供了一种内外网互联的检测方法、装置、系统及可读存储介质，用于在兼顾检测成本的同时，提高内外网互联检测效率。
54.在介绍本发明实施例提供的内外网互联的检测方法之前，对该内外网互联的检测方法所适用的检测系统进行简要的说明。如图1所示为检测系统的其中一种结构示意图，结合图1所示，该检测系统包括检测终端1、至少一个待测主机2、内网服务器3和外网主机4，该至少一个待测主机2可以是一个，还可以是多个，各自部署在内网；其中，用户在各待测主机2上通过浏览器访问应用系统时，浏览器可以向相应的内网服务器3发起超文本传输协议(hyper text transfer protocol，http)请求以访问该内网服务器3；检测端劫持待测主机2通过浏览器访问内网服务器3的内网http流量，在该内网http流量中增加对外网资源的请求，若外网主机4监听到了相关请求，则该待测主机2存在内外网互联的行为，从而实现了对待测主机2的内外网互联的检测。对于图1检测系统中各个部分之间的详细交互过程可以参照下文相关部分的描述，在此不做详述。
55.如图2所示，本发明实施例提供了一种内外网互联的检测方法，该检测方法包括：
56.s101：获取至少一个待测主机通过浏览器访问内网服务器的http流量；
57.在具体实施过程中，至少一个待测主机可以是一个，还可以是多个，在此不做限定。各待测主机可以是内网中的任一被检测主机。以对至少一个待测主机中的任一个待测主机进行内外网互联检测为例，用户在该待测主机上通过浏览器访问应用系统时，浏览器向相应的内网服务器发起http请求，检测终端可以通过劫持该待测主机通过浏览器访问内网服务器的http流量，从而获得到该http流量。
58.s102：若所述http流量中包括特定资源，则将用于获取外网资源的请求加入所述http流量，获得修改后的请求；
59.在具体实施过程中，在检测终端获取待测主机通过浏览器访问内网服务器的http流量之后，可以检测该http流量中是否包括特定资源，该特定资源可以是图片、脚本等；若该http流量中包括特定资源，则可以将用于获取外网资源的请求加入该http流量，从而获得修改后的请求，相应地，该修改后的请求为增加了用于获取外网资源的请求。这样的话，在检测终端将该修改后的请求发送至相应的待测主机之后，待测主机可以根据该修改后的请求向外网主机发起访问，以获得外网资源。
60.s103：若检测到外网主机监听到所述修改后的请求，则确定所述至少一个待测主机存在内外网互联的行为。
61.在具体实施过程中，若检测终端检测到外网主机监听到该修改后的请求，即检测终端检测到该待测主机可以成功访问外网主机，则确定该待测主机存在内外网互联的行为。由于web应用中，任一台联网主机总是要进行http请求，无论网络设备或网络防护设备怎么设置，对待测主机发起的http请求总是被允许的。本发明实施例基于http协议这一普遍应用的应用层协议来进行内外网互联的检测，在降低检测成本的同时，避免了网络设备或网络防护设备对检测的阻断，提高了内外网互联的检测效率。
62.在本发明实施例中，可以有以下两种实现方式，将用于获取外网资源的请求加入该http流量，但又不仅限于以下两种实现方式。
63.在第一种实现方式中，步骤s102：若所述http流量中包括特定资源，则将用于获取外网资源的请求加入所述http流量，获得修改后的请求，包括：
64.将所述http流量的原地址修改为用于获得外网资源的所述外网主机的地址，获得修改后的请求。
65.在具体实施过程中，在检测终端获取到http流量之后，检测该http流量中是否包括特定资源，若该http流量中包括特定资源，可以将该http流量的原地址修改为用于获得外网资源的外网主机的地址，其中，该http流量的原地址为内网服务器的地址，将该http流量的原地址由内网服务器的地址修改为用于获得外网资源的外网主机的地址，从而将用于获取外网资源的请求加入该http流量；然后，检测终端将该修改后的请求发送至待测主机，由于该http流量中包括特定资源，可以触发待测主机通过浏览器主动渲染该修改后的请求，向外网主机发送修改后的请求。如此一来，实现了对待测主机的内外网互联的主动检测。
66.在第二种实现方式中，步骤s102：若所述http流量中包括特定资源，则将用于获取外网资源的请求加入所述http流量，获得修改后的请求，包括：
67.启动部署在所述内网服务器上的检测代码，将用于获取外网资源的请求加入所述http流量，获得修改后的请求。
68.在具体实施过程中，在检测终端获取到http流量之后，检测该http流量中是否包括特定资源，若该http流量中包括特定资源，可以启动部署在内网服务器上的检测代码。可以预先在内网服务器上部署检测代码，可以是针对所有http流量中部分高频使用且必须的web服务来部署检测代码，比如，通过修改web系统代码，在内网必须访问的网站上部署检测代码，在外网部署监测环境，这样的话，用户在访问内网部署有检测代码的web服务时，若检测到外网监听到该修改后的请求，则确定该待测主机存在内外网互联的行为。对于第二种实现方式类似于“钓鱼式执法”，通过被动检测，实现了对待测主机内外网互联的行为检测。此外，可以结合长时间的监控，实现检测的广泛覆盖。在具体实施过程中，采用第二种实现方式来进行待测主机的内外网互联的行为检测，整个方案经济实用，且避免了网络设备以及网络防护设备对检测的阻断，提高了内外网互联的检测效率。
69.在本发明实施例中，如图3所示，步骤s102：若所述http流量中包括特定资源，则将用于获取外网资源的请求加入所述http流量，获得修改后的请求，还包括：
70.s201：将用于唯一标识各所述待测主机的令牌信息加入所述http流量，获得加入
的请求，所述令牌信息具体为包括相应所述待测主机的终端ip地址和当前时间的加密信息；
71.s202：将所述加入后的请求作为所述修改后的请求。
72.在具体实施过程中，步骤s201至步骤s202的具体实现过程如下：
73.首先，将用于唯一标识各待测主机的令牌信息加入该http流量，获得加入的请求，该令牌信息具体为包括相应待测主机的终端ip地址和当前时间的加密信息；比如，在采用第一种实现方式将用于获取外网资源的请求加入该http流量时，该令牌信息可以是对“终端ip地址：当前时间”的组合进行加密后所生成的信息；再比如，在第二种实现方式将用于获取外网资源的请求加入该http流量时，该令牌信息可以是对“终端ip地址：用户名：当前时间”的组合进行加密后所生成的信息；当然，对于组合中各个参数之间的先后顺序并不做限定，可以根据实际应用需要来设置。在获得加入的请求之后，将该加入的请求作为修改后的请求。也就是说，在修改后的请求中，请求外网资源时加上该令牌信息作为参数，后续便于检测终端识别出发生内外网互联的行为的待测主机的终端ip地址以及发生互联时的时间，从而提高了用户的使用体验。
74.在本发明实施例中，如图4所示，在步骤s103：若检测到外网主机监听到所述修改后的请求，则确定所述至少一个待测主机存在内外网互联的行为之后，所述方法还包括：
75.s301：若检测到所述外网主机能够解密所述加密信息，则将确定所述至少一个待测主机存在内外网互联的行为作为有效检测结果；
76.s302：将所述有效检测结果登记入库。
77.在具体实施过程中，步骤s301至步骤s302的具体实现过程如下：
78.首先，在确定待测主机存在内外网互联的行为之后，检测终端检测外网主机是否能够解密该加密信息，若检测到该外网主机能够解密该加密信息，则可以将确定该待测主机存在内外网互联的行为作为有效检测结果；然后，将该有效检测结果登记入库；此外，若检测到该外网主机不能解密该加密信息，则将该检测结果丢弃，相应地无需登记入库，从而在精简了内存的同时，保证了检测的有效性。
79.基于同一发明构思，如图5所示，本发明实施例提供了一种内外网互联的检测装置，该检测装置包括：
80.获取单元10，用于获取至少一个待测主机通过浏览器访问内网服务器的http流量；
81.获得单元20，用于若所述http流量中包括特定资源，则将用于获取外网资源的请求加入所述http流量，获得修改后的请求；
82.检测单元30，用于若检测到外网主机监听到所述修改后的请求，则确定所述至少一个待测主机存在内外网互联的行为。
83.在本发明实施例中，所述获得单元20用于：
84.将所述http请求的原地址修改为用于获得外网资源的所述外网主机的地址，获得修改后的请求。
85.在本发明实施例中，所述获得单元20用于：
86.启动部署在所述内网服务器上的检测代码，将用于获取外网资源的请求加入所述http流量，获得修改后的请求。
87.在本发明实施例中，所述获得单元20还用于：
88.将用于唯一标识各所述待测主机的令牌信息加入所述http流量，获得加入的请求，所述令牌信息具体为包括相应所述待测主机的终端ip地址和当前时间的加密信息；
89.将所述加入后的请求作为所述修改后的请求。
90.在本发明实施例中，在所述检测单元30确定所述至少一个待测主机存在内外网互联的行为之后，所述检测单元30还用于：
91.若检测到所述外网主机能够解密所述加密信息，则将确定所述至少一个待测主机存在内外网互联的行为作为有效检测结果；
92.将所述有效检测结果登记入库。
93.在具体实施过程中，由于内外网互联的检测装置所要解决的技术问题同前述内外网互联的检测方法，对于检测装置的具体实现过程可以参照前述部分的描述，在此不再赘述。
94.基于同一发明构思，仍结合图1所示，本发明实施例提供了检测系统，该检测系统包括：
95.检测终端1、至少一个待测主机2、内网服务器3和外网主机4，所述至少一个待测主机2分别与所述检测终端1和所述内网服务器3连接；其中：所述检测终端1被配置为：
96.获取所述至少一个待测主机2通过浏览器访问所述内网服务器3的http流量；
97.若所述http流量中包括特定资源，则将用于获取外网资源的请求加入所述http流量，获得修改后的请求；
98.若检测到所述外网主机4能够监听到所述修改后的请求，则确定所述至少一个待测主机2存在内外网互联的行为。
99.在本发明实施例中，检测终端1被配置为：
100.将所述http流量的原地址修改为用于获得外网资源的所述外网主机4的地址，获得修改后的请求。
101.在本发明实施例中，检测终端1被配置为：
102.启动部署在所述内网服务器3上的检测代码，将用于获取外网资源的请求加入所述http流量，获得修改后的请求。
103.在本发明实施例中，检测终端1还被配置为：
104.将用于唯一标识各所述待测主机2的令牌信息加入所述http流量，获得加入的请求，所述令牌信息具体为包括相应所述待测主机2的终端ip地址和当前时间的加密信息；
105.将所述加入后的请求作为所述修改后的请求。
106.在本发明实施例中，在确定所述至少一个待测主机2存在内外网互联的行为之后，检测终端1还被配置为：
107.若检测到所述外网主机4能够解密所述加密信息，则将确定所述至少一个待测主机2存在内外网互联的行为作为有效检测结果；
108.将所述有效检测结果登记入库。
109.在具体实施过程中，由于检测系统所要解决的技术问题同前述内外网互联的检测方法，对于检测系统的具体实现过程可以参照前述部分的描述，在此不再赘述。
110.基于同一发明构思，本发明实施例还提供了一种控制装置，所述处理装置包括处
理器，所述处理器用于执行存储器中存储的计算机程序时实现如上面任一项所述的大数据组件的管理方法的步骤。
111.基于同一发明构思，本发明实施例还提供了一种可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现如上面任一项所述的大数据组件的管理方法的步骤。
112.本发明的有益效果如下：
113.本发明提供了一种内外网互联的检测方法、装置、系统及可读存储介质，首先，检测终端获取至少一个待测主机通过浏览器访问内网服务器的http流量，然后，检测该http流量中是否包括有特定资源，比如，图片、脚本等，若该http流量中包括特定资源，则将用于获取外网资源的请求加入该http流量中，从而获得修改后的请求，然后，检测终端将该修改后的请求发送至各待测主机，然后，通过检测终端检测外网主机是否监听到该修改后的请求，若外网主机监听到该修改后的请求，即相应的待测主机可以访问到外网主机，则确定相应的待测主机存在内外网互联的行为。由于web应用中，任一台联网主机总是要进行http请求，无论网络设备或网络防护设备怎么设置，对待测主机发起的http请求总是被允许的。本发明采用http协议这一普遍应用的应用层协议来进行内外网互联的检测，在降低检测成本的同时，避免了网络设备或网络防护设备对检测的阻断，提高了内外网互联的检测效率。
114.本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
115.本发明是参照根据本发明的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
116.这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
117.这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
118.显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。