一种终端的非法外联监测方法、装置、系统及设备与流程

本申请涉及数据处理领域，具体涉及一种终端的非法外联监测方法、装置、系统及设备。

背景技术：

随着网络技术的迅速发展，给社会提供便捷的同时也带来了威胁，许多不法分子利用网络进行信息窃取、破坏等活动。因此，在银行中，往往需要将内部网络和外部网络进行严密隔离，从而防止被攻击，保证内部网络的信息安全。通过设置网络边界安全防护设备如防火墙可以达到隔离外部网络的目的，但是在这种情况下内部网络中的网络设备仍然可以通过私接wifi、手机热点等不被允许的方式接入外部网络，这种行为都被称为非法外联。

而这种非法外联的方式往往绕过了网络边界安全防护措施，对内部的信息安全构成了极大威胁，容易造成文件盗窃、黑客入侵、机密资料外传等情况。

在现有技术中，通常需要在所有内部网络设备上安装检测客户端，实时检测每个设备是否连接到外网，一旦发现当前终端非法外联，则将当前终端的详细信息上报至非法外联监控服务器，让网络管理员发现非法外联行为。然而，这需要所有被监测的网络设备安装检测客户端，对于新进入网络未安装检测客户端的设备或者由于用户不知情卸载了检测客户端的设备，都将无法检测设备是否非法外联，无法确定内部网络是否非法接入外部网络，对内部网络的信息安全造成威胁。

技术实现要素：

有鉴于此，本申请提供了一种终端的非法外联监测方法、装置及设备，能够对存在非法外联的终端进行监测，无需在终端安装特定的客户端软件，即可实现非法外联的监测功能。

第一方面，为实现上述发明目的，本申请提供了一种终端的非法外联监测方法，所述方法包括：

内网设备向待监测终端发送源ip地址为预设外网服务器的ip地址的第一报文，以便所述待监测终端在与外网连接的情况下将所述第一报文转发至所述外网服务器，并由所述外网服务器向所述待监测终端返回源ip地址为内网设备的ip地址的第二报文；

如果所述内网设备接收到来自所述待监测终端的所述第二报文，则确定所述待监测终端为非法外联的终端。

一种可选的实施方式中，所述内网设备向待监测终端发送源ip地址为预设外网服务器的ip地址的第一报文之前，还包括：

所述内网设备构造携带自身的ip地址的第一报文，并将所述第一报文的源ip地址修改为预设外网服务器的ip地址。

一种可选的实施方式中，所述内网设备向待监测终端发送源ip地址为预设外网服务器的ip地址的第一报文之后，还包括：

记录所述待监测终端的ip地址；

相应的，所述如果所述内网设备接收到来自所述待监测终端的所述第二报文，则确定所述待监测终端为非法外联的终端之前，还包括：

所述内网设备在将接收到任一报文之后，基于记录的所述待监测终端的ip地址确定所述报文是否为所述第二报文。

一种可选的实施方式中，所述确定所述待监测终端为非法外联的终端之后，还包括：

所述内网设备将所述待监测终端的ip地址加入预设阻断列表中，以便对所述ip地址对应的流量进行阻断。

第二方面，本申请还提供了一种终端的非法外联监测方法，所述方法包括：

外网服务器在接收到来自待监测终端的第一报文后，从所述第一报文中解析出内网设备的ip地址；

所述外网服务器构造源ip地址为所述内网设备的ip地址的第二报文，并将所述第二报文返回至所述待监测终端，以便所述待监测终端将所述第二报文转发至所述内网设备，由内网设备基于所述第二报文确定所述待监测终端为非法外联的终端。

第三方面，本申请还提供了一种终端的非法外联监测装置，所述装置包括：

发送模块，用于向待监测终端发送源ip地址为预设外网服务器的ip地址的第一报文，以便所述待监测终端在与外网连接的情况下将所述第一报文转发至所述外网服务器，并由所述外网服务器向所述待监测终端返回源ip地址为内网设备的ip地址的第二报文；

确定模块，用于在所述内网设备接收到来自所述待监测终端的所述第二报文时，确定所述待监测终端为非法外联的终端。

第四方面，本申请还提供了一种终端的非法外联监测装置，所述装置包括：

解析模块，用于在接收到来自待监测终端的第一报文后，从所述第一报文中解析出内网设备的ip地址；

构造模块，用于构造源ip地址为所述内网设备的ip地址的第二报文

返回模块，用于将所述第二报文返回至所述待监测终端，以便所述待监测终端将所述第二报文转发至所述内网设备，并由内网设备基于所述第二报文确定所述待监测终端为非法外联的终端。

第五方面，本申请还提供了一种终端的非法外联监测系统，所述系统包括内网设备和外网服务器；

所述内网设备，用于向待监测终端发送第一报文；其中，所述第一报文携带所述内网设备的ip地址，且所述第一报文的源地址为所述外网服务器的ip地址；

所述外网服务器，用于在接收到所述待检测终端转发的所述第一报文后，将源ip地址为所述内网设备的ip地址的第二报文返回至所述待监测终端，以便由所述待监测终端将所述第二报文转发至所述内网设备；

所述内网设备，还用于在接收到所述第二报文后，确定所述待监测终端为非法外联的终端。

第六方面，本申请还提供了一种计算机可读存储介质，所述计算机可读存储介质中存储有指令，当所述指令在终端设备上运行时，使得所述终端设备执行如上述任一项所述的方法。

第七方面，本申请还提供了一种设备，包括：存储器，处理器，及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时，实现如上述任一项所述的方法。

本申请实施例提供的终端的非法外联监测方法中，首先，内网设备构造携带自身ip地址的第一报文，并将第一报文的源ip地址修改为预设外网服务器的ip地址，然后将第一报文发送至待监测终端，以便待监测终端将其转发至外网服务器。其次，外网服务器在接收到第一报文后，构造源ip地址为内网设备ip地址的第二报文，并将第二报文返回至待监测终端，由待监测终端将第二报文转发至内网设备。此时，内网设备接收到第二报文，则可以说明待监测终端能够与外网连接，确定其为非法外联的终端。

可见，本申请提供的终端的非法外联监测方法中不需要在终端安装用于收集流量的客户端软件，而是可以利用任一网络软件的开放端口实现报文转发功能即可，显然本申请提供终端的非法外联监测方法应用范围更广，监测到的非法外联终端更全面。

附图说明

为了更清楚地说明本申请实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本申请实施例提供的一种终端的非法外联监测方法的流程图；

图2为本申请实施例提供的一种终端的非法外联监测方法的数据交互图；

图3为本申请实施例提供的另一种终端的非法外联监测方法的流程图；

图4为本申请实施例提供的一种终端的非法外联监测装置的结构示意图；

图5为本申请实施例提供的另一种终端的非法外联监测装置的结构示意图；

图6为本申请实施例提供的一种终端的非法外联监测系统的结构示意图；

图7为本申请实施例提供的一种终端的非法外联监测设备的结构示意图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

由于内部网络中的终端可以通过wifi、手机热点等不被允许的方式私接外部网络，这种行为被称为非法外联。而非法外联的终端往往绕过了网络边界的安全防护措施，对内部网络构成了极大的安全威胁，因此，需要对非法外联的终端及时识别，以便造成更大损失。

目前的非法外联监测方法均是在终端上安装客户端软件，通过客户端软件采集终端流量等方式，识别非法外联的终端。但是，在终端上均安装该客户端软件存在一定的难度，例如，对于不被允许安装该客户端软件的机构，新入网的终端未来得及安装该客户端软件，由于不知情卸载了该客户端软件等，均导致仅基于客户端软件对非法外联终端进行监测存在困难。

为了使得非法外联终端的监测方法能够应用于各种场景，更全面的识别非法外联的终端，本申请提供了一种终端的非法外联监测方法，具体的，首先，内网设备构造携带自身ip地址的第一报文，并将第一报文的源ip地址修改为预设外网服务器的ip地址，然后将第一报文发送至待监测终端，以便待监测终端将其转发至外网服务器。其次，外网服务器在接收到第一报文后，构造源ip地址为内网设备ip地址的第二报文，并将第二报文返回至待监测终端，由待监测终端将第二报文转发至内网设备。此时，内网设备接收到第二报文，则可以说明待监测终端能够与外网连接，确定其为非法外联的终端。

可见，本申请提供的终端的非法外联监测方法中不需要在终端安装用于收集流量的客户端软件，而是可以利用任一网络软件的开放端口实现报文转发功能即可，显然本申请提供终端的非法外联监测方法应用范围更广，监测到的非法外联终端更全面。

以下为本申请提供的一种终端的非法外联监测方法，参考图1，为本申请实施例提供的一种终端的非法外联监测方法的流程图，该方法包括：

s101：内网设备向待监测终端发送源ip地址为预设外网服务器的ip地址的第一报文，以便所述待监测终端在与外网连接的情况下将所述第一报文转发至所述外网服务器，并由所述外网服务器向所述待监测终端返回源ip地址为内网设备的ip地址的第二报文。

本申请实施例中，内网设备可以是交换机、路由器等转发设备，也可以是内网服务器等设备。待监测终端通常为内网pc终端，如公安内网中的pc终端等。由于内网pc终端与外网建立连接可能对内网造成安全威胁，因此，本申请实施例对存在非法外联的终端进行监测，及时识别非法外联的终端，避免造成损失。

本申请实施例中，在对非法外联终端进行监测之前，首先由内网设备构造第一报文。具体的，内网设备构造携带自身的ip地址的第一报文，并将该第一报文的源ip地址修改为预设外网服务器的ip地址。

一种可选的实施方式中，内网设备可以根据常用网络软件的报文特征构造第一报文，以便在对终端的调整尽量少的情况下完成对终端非法外联的监测。以现有的一款360软件为例，360软件的报文中最后四个字节的内容可以随意修改，因此本申请实施例可以将内网设备的ip地址填充在360软件的报文的最后四个字节，得到第一报文。

另外，对于无法在现有报文中直接添加内容的情况，本申请实施例还可以通过构造两个报文且利用源端口携带内网设备的ip地址的方式实现。以爱奇艺软件为例，由于发送至爱奇艺软件的报文无法添加自定义的内容，因此本申请实施例可以将内网设备的ip地址的前两个字节放在第一个报文的源端口内，将内网设备的ip地址的后两个字节放在第二个报文的源端口内，这两个报文均为构造的第一报文。

值得注意的是，由于网络传输的不可靠性，由内网设备发送至待监测终端的两个第一报文的到达时间可能存在顺序颠倒，因此，可以尽量保证这两个第一报文的发送时间间隔尽可能大。

另外，为了监测待监测终端是否能够连接外网，需要将第一报文的源ip地址修改为预设外网服务器的ip地址。具体的，可以利用ip源路由欺骗技术，将第一报文的源ip地址修改为预设外网服务器的ip地址。

实际应用中，内网设备在构造第一报文之后，将第一报文发送至待监测终端。一种实现方式中，如果待监测终端能够连接外网，则待监测终端基于第一报文的源ip地址将其转发至外网服务器；如果待监测终端未连接外网，则待监测终端无法对第一报文进行转发，可能会直接丢包处理，此时，对于内网设备而言，无法接收到来自待监测终端的响应报文。

因此，本申请实施例可以通过内网设备是否接收到来自待监测终端返回的针对第一报文的响应报文，确定待监测终端是否能够连接外网，即确定待监测终端是否为非法外联终端。

实际应用中，外网服务器在接收到来自待监测终端的第一报文之后，从第一报文中解析出内网设备的ip地址，并将内网设备的ip地址作为源ip地址构造第二报文之后，将第二报文返回至待监测终端，以便于内网设备确定待监测终端是否为非法外联的终端。

s102：如果所述内网设备接收到来自所述待监测终端的所述第二报文，则确定所述待监测终端为非法外联的终端。

本申请实施例中，内网设备可以基于端口号和ip地址等信息，确定接收到的报文是否来自待监测终端，如果内网设备接收到来自待监测终端的第二报文后，则可以确定待监测终端为非法外联的终端。

本申请实施例提供的终端的非法外联监测方法中，首先，内网设备构造携带自身ip地址的第一报文，并将第一报文的源ip地址修改为预设外网服务器的ip地址，然后将第一报文发送至待监测终端，以便待监测终端将其转发至外网服务器。其次，外网服务器在接收到第一报文后，构造源ip地址为内网设备ip地址的第二报文，并将第二报文返回至待监测终端，由待监测终端将第二报文转发至内网设备。此时，内网设备接收到第二报文，则可以说明待监测终端能够与外网连接，确定其为非法外联的终端。可见，本申请实施例不需要在终端安装用于收集流量的客户端软件，而是可以利用任一网络软件的开放端口实现报文转发功能即可，显然本申请提供的终端的非法外联监测方法应用范围更广，监测到的非法外联终端更全面。

为了便于对本申请提供的终端的非法外联监测方法的进一步理解，本申请实施例提供了一种终端的非法外联监测方法，参考图2，为本申请实施例提供的一种终端的非法外联监测方法的数据交互图，该方法包括：

s201：内网设备构造携带自身的ip地址的第一报文，并将所述第一报文的源ip地址修改为预设外网服务器的ip地址。

内网设备在对非法外联的终端进行监测之前，首先构造携带内网设备的ip地址的第一报文。具体的，内网设备可以利用待监测终端上安装的常用网络软件，构造携带内网设备的ip地址，以便通过常用网络软件的开放端口发送至待监测终端，无需在待监测终端安装特定的客户端软件。

s202：内网设备向待监测终端发送第一报文。

内网设备将构造的第一报文发送至待监测终端，并记录内网设备发出该第一报文的端口号和待监测终端的ip地址。如果内网设备接收到来自该端口号的第二报文，或者来自记录的ip地址的第二报文，则可以确定待监测终端为非法外联的终端。

s203：如果待监测终端与外网连接，则待监测终端基于第一报文的源ip地址，将第一报文转发至外网服务器。

待监测终端能够连接外网时，在接收到源ip地址为预设外网服务器的ip地址的第一报文后，将该第一报文转发至外网服务器；而待监测终端不能连接外网时，在接收到源ip地址为预设外网服务器的ip地址的第一报文后，直接将其丢弃，因此，后续内网设备也不会接收到来自待监测终端的第二报文。

s204：外网服务器从第一报文中解析出内网设备的ip地址，并将内网设备的ip地址作为源ip地址构造第二报文。

一种可选的实施方式中，由于第一报文中携带内网设备的ip地址，因此外网服务器通过对第一报文的解析，可以得到内网设备的ip地址。另外，由于第一报文基于udp协议，而udp协议为不可靠传输协议，使用udp协议传输第一报文时，发送方可能会修改源端口，所以，外网服务器对接收到的第一报文需要进行源端口和目的端口的匹配，若均匹配成功，则继续判断第一报文的报文长度是否符合预设长度，如果第一报文的报文长度也匹配成功，则可以进行内容特征的提取，根据收到的报文次序，利用报文的目的端口的内容重组内网设备的ip地址，最终得到内网设备的ip地址。

本申请实施例中，在外网服务器得到内网设备的ip地址之后，可以内网设备的ip地址作为源ip地址构造第二报文。具体的，第二报文中可以封装有第一报文中的内容。

s205：外网服务器将第二报文返回至待监测终端。

s206：待监测终端基于第二报文的源ip地址，将第二报文转发至内网设备。

s207：内网设备在接收到第二报文之后，确定待监测终端为非法外联的终端。

s208：内网设备将待监测终端的ip地址加入预设阻断列表中，以便对所述ip地址对应的流量进行阻断。

由于非法外联的终端对内部网络可能造成安全威胁，因此需要对来自非法外联的终端的流量进行阻断。本申请实施例中，内网设备在确定待监测终端为非法外联的终端后，将该待监测终端的ip地址加入预设阻断列表中，由内网转发设备对预设阻断列表中记录的ip地址对应的终端的流量进行阻断，避免非法外联的终端对内部网络可能造成安全威胁。

一种可选的实施方式中，内网设备可以为内网转发设备，如交换机、路由器等，此种情况下，内网设备可以在将待监测终端的ip地址加入预设阻断列表后，直接对预设阻断列表中记录的ip地址对应的终端的流量进行阻断。

另一种可选的实施方式中，内网设备也可以为内网服务器，此种情况下，内网设备可以在预设阻断列表存在更新时，将预设阻断列表提交至内网转发设备，由内网转发设备对预设阻断列表中记录的ip地址对应的终端的流量进行阻断，避免非法外联的终端对内部网络可能造成安全威胁。

本申请实施例不需要在终端安装用于收集流量的客户端软件，而是可以利用终端任一网络软件的开放端口实现报文转发功能即可，显然本申请提供的终端的非法外联监测方法应用范围更广，监测到的非法外联终端更全面。

参考图3，为本申请实施例提供的另一种终端的非法外联监测方法的流程图，该方法应用于外网服务器，该方法包括：

s301：外网服务器在接收到来自待监测终端的第一报文后，从所述第一报文中解析出内网设备的ip地址。

s302：所述外网服务器构造源ip地址为所述内网设备的ip地址的第二报文，并将所述第二报文返回至所述待监测终端，以便所述待监测终端将所述第二报文转发至所述内网设备，由内网设备基于所述第二报文确定所述待监测终端为非法外联的终端。

本申请实施例中的s301和s302可参照上述实施例进行理解，在此不再赘述。

基于上述方法实施例，本申请还提供了一种终端的非法外联监测装置，参考图4，图4为本申请实施例提供的一种终端的非法外联监测装置的结构示意图，所述装置包括：

发送模块401，用于向待监测终端发送源ip地址为预设外网服务器的ip地址的第一报文，以便所述待监测终端在与外网连接的情况下将所述第一报文转发至所述外网服务器，并由所述外网服务器向所述待监测终端返回源ip地址为内网设备的ip地址的第二报文；

确定模块402，用于在所述内网设备接收到来自所述待监测终端的所述第二报文时，确定所述待监测终端为非法外联的终端。

本申请实施例提供的终端的非法外联监测装置能够实现以下功能：首先，构造携带自身ip地址的第一报文，并将第一报文的源ip地址修改为预设外网服务器的ip地址，然后将第一报文发送至待监测终端，以便待监测终端将其转发至外网服务器。其次，外网服务器在接收到第一报文后，构造源ip地址为内网设备ip地址的第二报文，并将第二报文返回至待监测终端，由待监测终端将第二报文转发至内网设备。此时，内网设备接收到第二报文，则可以说明待监测终端能够与外网连接，确定其为非法外联的终端。可见，本申请实施例不需要在终端安装用于收集流量的客户端软件，而是可以利用任一网络软件的开放端口实现报文转发功能即可，显然本申请提供的终端的非法外联监测装置应用范围更广，监测到的非法外联终端更全面。

另外，参考图5，为本申请实施例提供的另一种终端的非法外联监测装置的结构示意图，所述装置包括：

解析模块501，用于在接收到来自待监测终端的第一报文后，从所述第一报文中解析出内网设备的ip地址；

构造模块502，用于构造源ip地址为所述内网设备的ip地址的第二报文

返回模块503，用于将所述第二报文返回至所述待监测终端，以便所述待监测终端将所述第二报文转发至所述内网设备，并由内网设备基于所述第二报文确定所述待监测终端为非法外联的终端。

另外，本申请实施例还提供了一种终端的非法外联监测系统，参考图6，为本申请实施例提供的一种终端的非法外联监测系统的结构示意图，所述系统包括内网设备601和外网服务器602；

所述内网设备601，用于向待监测终端发送第一报文；其中，所述第一报文携带所述内网设备的ip地址，且所述第一报文的源地址为所述外网服务器的ip地址；

所述外网服务器602，用于在接收到所述待检测终端转发的所述第一报文后，将源ip地址为所述内网设备的ip地址的第二报文返回至所述待监测终端，以便由所述待监测终端将所述第二报文转发至所述内网设备；

所述内网设备601，还用于在接收到所述第二报文后，确定所述待监测终端为非法外联的终端。

另外，本申请实施例还提供了一种终端的非法外联监测设备，参见图7所示，可以包括：

处理器701、存储器702、输入装置703和输出装置704。终端的非法外联监测设备中的处理器701的数量可以一个或多个，图7中以一个处理器为例。在本发明的一些实施例中，处理器701、存储器702、输入装置703和输出装置704可通过总线或其它方式连接，其中，图7中以通过总线连接为例。

存储器702可用于存储软件程序以及模块，处理器701通过运行存储在存储器702的软件程序以及模块，从而执行终端的非法外联监测设备的各种功能应用以及数据处理。存储器702可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需的应用程序等。此外，存储器702可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。输入装置703可用于接收输入的数字或字符信息，以及产生与终端的非法外联监测设备的用户设置以及功能控制有关的信号输入。

具体在本实施例中，处理器701会按照如下的指令，将一个或一个以上的应用程序的进程对应的可执行文件加载到存储器702中，并由处理器701来运行存储在存储器702中的应用程序，从而实现上述终端的非法外联监测方法中的各种功能。

另外，本申请还提供了一种计算机可读存储介质，所述计算机可读存储介质中存储有指令，当所述指令在终端设备上运行时，使得所述终端设备执行上述的终端的非法外联监测方法。

可以理解的是，对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

以上对本申请实施例所提供的一种终端的非法外联监测方法、装置、系统及设备进行了详细介绍，本文中应用了具体个例对本申请的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本申请的方法及其核心思想；同时，对于本领域的一般技术人员，依据本申请的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本申请的限制。