违规外联检测方法、装置、设备及存储介质与流程

本发明涉及网络安全领域，尤其涉及一种违规外联检测方法、装置、设备及存储介质。

背景技术：

随着计算机网络技术的发展，计算机及网络泄密案件正逐年增加，信息安全现状非常严峻。为降低网络安全风险，企事业单位一般都会进行违规外联检测。

现有技术中的违规外联检测方案主要包括基于终端安装客户端agent方式，网络侧主动探测技术以及被动流量劫持技术等。其中，终端安装agent方式由于可以直接提取违规外联主机的关键信息，直接定位违规外联主机用户而具有天然的优势。但相当多的企业更倾向于采用对终端影响比较小的网络侧主动探测方案或在工业控制网络等敏感网络中直接采用被动流量识别劫持方式以检测违规外联主机用户，这两种方式对企业终端以及网络的影响均可以忽略。

上述采用基于网络侧主动探测或被动流量识别劫持的方式进行违规外联检测并进一步进行违规外联定位取证时，主要是通过违规外联检测中发现的ip(internetprotocol)地址以及mac(mediaaccesscontrol)地址来识别用户。但是，若企业内网为动态分配ip地址的网络，则使用违规外联检测到的ip地址就无法准确定位出发生违规外联操作的用户。另外，mac地址尽管可以唯一标识一个主机网卡，但由于违规外联检测装置与发生违规外联的主机之间为网络二层隔离，其违规外联检测出的mac地址通常都是网关的mac地址，因此也无法准确判断取得的mac地址是否是违规外联用户的mac地址。

技术实现要素：

本发明提供一种违规外联检测方法、装置、设备及存储介质，用以解决上述技术问题，准确定位违规外联用户。

本发明提供的一种违规外联检测方法，包括：

根据获取的违规外联的主机ip地址，获取所述主机ip地址对应的主机用户信息；

当所述主机用户信息中包含用户标识信息时，根据所述用户标识信息定位违规外联用户，和/或，当所述主机用户信息中包含与账户登录相关联的第一类用户行为信息时，根据所述第一类用户行为信息确定主机用户登录的帐户信息，根据所述帐户信息定位违规外联用户。

其中，上述违规外联检测方法中，所述第一类用户行为信息至少包括如下任一种：

即时通讯工具登录信息、邮件收\发记录、手机号码、访问网站cookie信息以及内网业务系统登录信息。

其中，上述违规外联检测方法中，所述用户标识信息至少包括操作系统主机名和/或mac地址。

其中，上述违规外联检测方法，还包括：

当所述主机用户信息中未包含用户标识信息和第一类用户行为信息时，若所述主机用户信息中包含与账户登录无关联的第二类用户行为信息，则根据所述第二类用户行为信息中任两个或两个以上的信息定位违规外联用户。

其中，上述违规外联检测方法中，所述第二类用户行为信息至少包括如下任两种信息：

主机用户访问数据库服务器信息、主机用户打印任务信息、主机用户上传\下载记录信息、主机用户dns(domainnamesystem，域名系统)解析记录信息、主机用户vpn服务器使用信息、主机用户网页浏览记录信息。

其中，上述违规外联检测方法，还包括：

通过内网或专用网核心交换机配置流量镜像功能，存储各个主机ip地址对应的主机用户信息。

本发明还提供一种违规外联检测装置，包括主机用户信息获取模块，所述装置还包括：第一定位模块和/或第二定位模块：

主机用户信息获取模块，用于根据获取的违规外联的主机ip地址，获取所述主机ip地址对应的主机用户信息；

第一定位模块，用于当所述主机用户信息中包含用户标识信息时，根据所述用户标识信息定位违规外联用户；

第二定位模块，用于当所述主机用户信息中包含与账户登录相关联的第一类用户行为信息时，根据所述第一类用户行为信息确定主机用户登录的帐户信息，根据所述帐户信息定位违规外联用户。

其中，上述违规外联检测装置，还包括：

第三定位模块，用于当所述主机用户信息中未包含用户标识信息和第一类用户行为信息时，若所述主机用户信息中包含与账户登录无关联的第二类用户行为信息，则根据所述第二类用户行为信息中任两个或两个以上的信息定位违规外联用户。

其中，上述违规外联检测装置，还包括：

存储模块，用于通过内网或专用网核心交换机配置流量镜像功能，存储各个主机ip地址对应的主机用户信息。

本发明还提供一种违规外联检测设备，包括：处理器、存储器以及存储在所述存储器上并可在所述处理器上运行的计算机程序；

其中，所述处理器运行所述计算机程序时实现上述的违规外联检测方法。

本发明还提供一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序可被执行上述的违规外联检测方法。

本发明摒弃了单纯基于ip地址以及mac地址来定位违规外联用户的方案，在发生违规外联时，利用违规外联的主机ip地址的主机用户信息为违规外联用户画像，准确定位违规外联主机用户，解决了网络侧主动探测与被动流量劫持方案发现违规外联无法准确定位违规外联用户的问题。与传统的违规外联检测方案相比，本发明无需通过读取事件日志，浏览器日志等信息发现主机用户的各种行为，不需要占用客户端或内网业务服务资源，从而减少了对内网或专用网以及终端的影响。而且，在不改变现有的网络结构，不影响现有的网络通信环境下，还与现有的旁路部署违规外联监测设备能够兼容，升级维护也比较简单，且客户无感知。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种违规外联检测方法的流程图；

图2为本发明实施例提供的一种违规外联检测方法的详细流程图；

图3为本发明实施例提供的一种违规外联检测装置的结构示意图；

图4为本发明实施例提供的另一种违规外联检测装置的结构示意图；

图5为本发明实施例提供的违规外联检测设备的结构示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

为使本发明的技术方案更加清楚，以下结合附图对本发明的实施例进行详细说明。

图1为本发明实施例提供的一种违规外联检测方法的流程图。如图1所示，本实施例的方法包括如下步骤：

步骤101、根据获取的违规外联的主机ip地址，获取该主机ip地址对应的主机用户信息。

该步骤中，获取的违规外联的主机ip地址，可以是预先获取或者实时获取到的，而获取违规外联的主机ip地址的方式可以包括多种方式。例如，可以是利用传统的违规外联检测装置基于网络侧主动探测或被动流量识别劫持的方式进行违规外联检测，以获取到违规外联主机ip地址。利用传统的违规外联检测装置获取违规外联主机ip地址时，可以将执行本发明实施例的违规外联检测方法的装置旁路部署在内网或专用网络中的交换机的端口上进行流量镜像。这样，无需改变现有的内网或专用网络的结构，也不影响现有的通信环境，从而可以与现有的旁路部署违规外联监测设备相兼容。

其中，主机ip地址对应的主机用户信息可用于表征主机用户特征，可以包括主机用户的标识以及主机用户的行为信息，主要用于定位违规外联的用户。而获取违规外联的主机ip地址对应的主机用户信息的方式可以有多种。例如，可以在检测到违规外联操作之前，通过内网或专用网核心交换机配置流量镜像功能，存储各个主机ip地址对应的主机用户信息。这样当发生违规外联时，就可以从已存储的各个主机ip地址对应的主机用户信息中，查询到违规外联的主机ip地址对应的主机用户信息。又如，可以在检测到违规外联操作之后，将违规外联的主机ip地址对应的主机作为重点监控对象，开始实时监控该违规外联的主机ip地址对应的主机，从而获取到该违规外联的主机ip地址对应的主机用户信息。具体地，通过内网或专用网络核心交换机配置流量镜像功能，存储各个主机ip地址对应的主机用户信息，相当于为各个主机用户构建了用户画像库，可用于定位任意主机ip地址对应的主机用户。可以将主机ip地址对应的主机用户信息实时存储至内网或专用网络中的服务器上，或管理设备上。本发明实施例中主机ip地址对应的主机用户信息可以包括如下任一组或多组信息：

基本操作系统类型、windows主机名、工作组信息，以及mac(mediaaccesscontroladdress，媒体存取控制位址)地址。其中，该mac地址为用户的真实mac地址，例如通过netbios(networkbasicinput/outputsystem，网上基本输入输出系统)协议解析获取的mac地址。由于这一组信息主要表征为主机硬件信息，而主机硬件信息可直接指示出用户，即这一组信息属于上文所描述的主机用户的标识信息。

即时通讯工具登录信息，其中包含用户登录的帐户信息，例如用户登录的qq号码。

邮件收\发记录信息，其中可以包括发件人地址、收件人地址、邮件附件名称等信息。邮件所属的邮箱可以是内网或专用网邮箱，或者是外网邮箱。

主机用户的手机号码，为了保证手机号码为主机用户的真实手机号码，尝试在流量中发现主机用户手机号码，例如，可以在内网业务系统中发现主机用户的手机号码，或者是非内网业务的外部app应用中发现主机用户的手机号码。

内网业务系统登录信息，其中可以包括主机用户访问数据库服务器的信息，登录名称以及执行的sql(structuredquerylanguage，结构化查询语言)语句等。

用户访问网站cookie信息，主要用于尝试还原用户访问业务系统帐号信息。

用户打印任务信息，其中可以包含打印用户名，打印文件名等。

文件上传\下载记录信息，其中可以包含上传或下载的文件名称。

用户vpn(virtualprivatenetwork，虚拟专用网络)服务器使用信息，其中可以包含topvpn服务器地址以及服务器所属区域信息。

用户dns解析记录信息，其中可以包括访问域名与ip地址的映射；

用户网页浏览记录信息，可以包括topn(最多的n条记录)访问域名。

从上述描述可知，以上这多组信息主要表征了主机用户的操作信息，而主机用户的操作信息与用户自身行为相关，即这些信息指示出了属于用户特有的个人行为信息。

步骤102、当主机用户信息中包含用户标识信息时，根据用户标识信息定位违规外联用户，和/或当主机用户信息中包含与账户登录相关联的第一类用户行为信息时，根据第一类用户行为信息确定主机用户登录的帐户信息，根据帐户信息定位违规外联用户。上述步骤102表示，定位违规外联用户的方式至少有三种。

第一种定位方式是，当主机用户信息中包含用户标识信息时，可以仅根据用户标识信息定位违规外联用户，这是因为，在本实施例中，用户标识信息可以唯一地标识一个主机用户的信息。例如，操作系统主机名和/或用户的mac地址。用户的mac地址为真实mac地址。当查询到违规外联的ip地址对应的主机用户信息中包括了用户标识信息时，即可将该用户标识信息指示的用户，定位为违规外联用户。可见，这种方式，无需通过读取违规外联主机的事件日志，浏览器日志等信息，就可以快速准确定位出违规外联用户。

第二种定位方式是，当主机用户信息中包含与账户登录相关联的第一类用户行为信息时，可以仅根据第一类用户行为信息确定主机用户登录的帐户信息，根据帐户信息定位违规外联用户。本发明实施例中，与账户登录相关联的第一类用户行为信息表示，通过第一类用户行为信息可以获知主机用户登录某一应用或服务器的操作。由于登录操作与主机用户的帐户直接关联，因此可以通过第一类用户行为信息确定主机用户登录过的帐户信息，由此帐户信息可以定位违规外联用户。

本实施例中，与账户登录相关联的第一类用户行为信息至少包括如下任一种：

即时通讯工具登录信息、邮件收\发记录、手机号码、访问网站cookie信息以及内网业务系统登录信息。

其中，当主机用户信息包括即时通讯工具登录信息时，可以利用即时通讯工具登录信息中登录账户的历史记录，确定主机用户登录的帐户信息，该帐户信息指示的用户即为违规外联用户。

当主机用户信息包括邮件收\发记录时，可以通过邮件发送记录中的发件人地址，或邮件收取记录中的收件人地址解析获取到主机用户使用的邮箱帐户信息，该邮箱账户信息指示的用户即为违规外联用户。例如，主机用户使用pop协议的各种邮箱的收\发送邮件的记录，均可以准确定位出违规外联用户。

当主机用户信息包括主机用户的手机号码时，该手机号码指示的用户即为违规外联用户。正如步骤101中描述的，该主机用户信息中的手机号码，为用户流量中发现的手机号码。这样，通过该手机号码所指示出的用户才可能是真正的违规外联用户。

当主机用户信息包括访问网站cookie信息时，访问网站cookie信息指示的用户访问业务系统或其他网站的帐号信息所对应的用户即为违规外联用户。

当主机用户信息包括内网业务系统登录信息时，根据该内网业务系统登录信息可以确定主机用户登录内网业务系统的帐户信息，该帐户信息指示的用户即为违规外联用户。

在实践中，每台主机上可能存在多用户使用的情况，因此，根据违规外联的主机ip地址所查询到的第一类用户行为信息可能确定出多个主机用户。此时，需要从这多个主机用户中准确定位出违规外联用户。例如，获取到主机用户使用的邮箱帐户信息有多个时，可以将不同的邮箱账户收\发邮件的时间，分别与发生违规外联的时间相匹配。查找收\发邮件的时间与发生违规外联的时间最接近的邮箱账户，该邮箱帐户所指示的用户即为违规外联用户。由上述描述可见，第二种定位方式无需通过读取事件日志，浏览器日志等信息，即可根据违规外联的主机ip地址上的主机用户信息发现主机用户的各种行为，为违规外联用户画像，准确定位违规外联主机用户。且这种方式不需要占用客户端或内网业务服务资源，可以减少对内网或专用网以及终端的影响。且这种方式，在现有的网络结构基上，对违规外联监测设备进行软件升级即可，维护也比较简单，不会对用户造成任何影响，且达到了客户无感知的效果。

第三种定位方式是，当主机用户信息中包含用户标识信息和第一类用户行为信息时，根据用户标识信息初步定位违规外联用户，再根据第一类用户行为信息确定主机用户登录的帐户信息，根据帐户信息最终定位违规外联用户。第三种定位方式适用于主机用户信息中包括多用户标识信息的情况。这是因为根据主机用户信息中的用户标识信息只能确定出可能发生违规外联操作的用户集合，即初步定位违规外联用户的范围。此时，根据主机用户信息中包含的第一类用户行为信息，可以确定属于违规外联用户的特有的个人行为信息。这样，在初始定位的违规外联用户的范围内，即可根据第一类用户行为信息，准确地定位出其中一个用户为违规外联用户。而第三种定位方式与前两种定位方式相比，其所达到的效果相同，且加强了精准定位违规外联用户的效果。

另外，但实际应用中，主机用户信息中可能不包括用户标识或第一类用户行为信息，此时，可以查询主机用户在帐户登录以外的其他各方面的行为信息，即与账户登录无关联的第二类用户行为信息。所查询到的第二类用户行为信息的内容越丰富越好，这样即可结合多角度的第二类用户行为信息估测出违规外联用户的特征，最终准确定位出违规外联用户。

例如，第二类用户行为信息至少包括如下任两种信息：

主机用户访问数据库服务器信息、主机用户打印任务信息、主机用户上传\下载记录信息、主机用户dns解析记录信息、主机用户vpn服务器使用信息以及主机用户网页浏览记录信息。

其中，主机用户访问数据库服务器信息可以包括登录名称以及执行sql(structuredquerylanguage)语句记录等，用于指示出违规外联用户在访问服务器方面的行为特征。

主机用户打印历史记录，可以包括发送打印任务主机名称、打印用户名以及打印文件名称，用于指示出违规外联用户执行打印任务方面的行为特征。

主机用户上传\下载记录信息，可以包括上传\下载的文件名称，用于指示出违规外联用户执行文件传输方面的行为特征。

主机用户dns解析记录信息,可以包括访问域名与ip地址的映射，用于指示出违规外联用户访问域名方面的行为特征。

主机用户vpn服务器使用信息,包含topvpn服务器地址以及服务器所属区域信息，用于指示出违规外联用户使用vpn业务方面的行为特征。

主机用户网页浏览记录信息，可包括topn访问域名，用于指示出违规外联用户网页浏览操作方面的行为特征。

当第二类用户行为信息包含上述多种信息时，即可以从多方向指示出违规外联用户的行为特征，从而综合这些行为特征估测出发生违规外联操作的主机用户。

当然，查询到主机用户的第二类用户行为信息时，也可能无法成功定位违规外联用户。但是考虑到所查询到的第二类用户行为信息仍然可以表征出违规外联用户的一些具体行为特征。因此，可以将所查询到的第二类用户行为信息作为本次违规外联用户的违规证据，并进行存储。这样，当再次发现违规外联操作时，即可将已存储的违规外联用户的违规证据，与再次发现违规外联的主机ip地址的主机用户信息相结合，用于定位违规外联用户。

从上述描述可以看出，本实施例摒弃了单纯基于ip地址以及mac地址来定位违规外联用户的方案，采用主机用户流量中应用层信息即为上文中的主机用户信息来为违规外联的主机用户画像，从而准确定位出违规外联的用户,解决了网络侧主动探测与被动流量劫持方案发现违规外联无法准确定位违规外联用户的问题。与传统的违规外联检测方案相比，本实施例无需通过读取事件日志，浏览器日志等信息发现主机用户的各种行为，不需要占用客户端或内网业务服务资源，从而减少了对内网或专用网以及终端的影响。而且，在不改变现有的网络结构，不影响现有的网络通信环境下，还与现有的旁路部署违规外联监测设备能够兼容，升级维护也比较简单，且客户无感知。

图2为本发明实施例提供的一种违规外联检测方法的详细流程图。如图2所示，本实施例的方法包括如下步骤：

步骤201、获取违规外联的主机ip地址。

上述步骤201中获取违规外联主机ip地址的方式可以包含多种方式。例如，可以是基于网络侧主动探测或被动流量识别劫持的方式进行违规外联检测，从而获取到违规外联主机ip地址。这样，可以与现有技术中的违规外联检测方案相兼容，即在不更改现有违规外联检测方案的基础上，完善对违规外联用户的定位操作，达到准确定位违规外联用户的效果。

步骤202、通过上述主机ip地址，查询发生违规外联操作时刻的前一天的主机用户信息。

上述步骤202中查询主机用户信息时，主要用于确定违规外联主机在违规外联之前，即主机遵循安全策略使用内网或专网时的主机用户信息。因此，在实践中，并不限于查询发生违规外联操作时刻的前一天的主机用户信息。例如，可以查询发生违规外联操作时刻的前半个小时、前一周，或前一个月内的主机用户信息均可。

步骤203a、判断所查询到的主机用户信息中是否包含windows主机名或mac地址，如果是，则进入步骤203b,否则进入步骤204a。

其中，主机用户信息中包含的mac地址为主机用户的真实mac地址。例如，通过netbios协议解析获取的mac地址。

步骤203b、使用windows主机名或mac地址直接定位违规外联用户，结束本流程。

步骤204a、判断主机用户信息中是否包含qq登录信息，如果是，则进入步骤204b,否则进入步骤205a。

步骤204b、使用登录qq号码的历史记录定位违规外联用户，结束本流程。

其中，通过登录qq号码的历史记录，可以确定该主机上的违规外联用户。

步骤205a、判断主机用户信息中是否包含邮件发送和/或收取记录，如果是，则进入步骤205b,否则进入步骤206a。

步骤205b、通过邮件发送记录中的发件人地址或邮件收取记录中的收件人地址定位违规外联用户，结束本流程。

其中，可以根据发件人地址或收件人地址解析获取到邮箱帐户信息，即违规外联用户。

步骤206a、判断主机用户信息中是否包含手机号码，如果是，则进入步骤206b,否则进入步骤207a。

步骤206b、使用手机号码直接定位违规外联用户，结束本流程。

其中，主机用户信息中包含的手机号码的来源可以包括多种来源。例如，可以存储在内网业务系统中的手机号码，即使用内网或专网的业务系统时，业务系统认证过的手机号码。又如，非内网业务的外部app应用中存储的手机号码，即使用外部app应用时登录账号绑定的手机号码，或者登录外部app应用使用的手机号码等。

步骤207a、判断主机用户信息中是否包含内网业务系统登录的账户信息，如果是，则进入步骤207b,否则进入步骤208。

步骤207b、使用内网业务系统登录帐户定位违规外联用户，结束本流程。

在实践中，每台主机可能有多个用户使用，因此，主机用户信息中可能包括多个qq登录信息、多个邮箱帐户的邮件发送和/或收取记录、多个手机号码，或者内网业务系统登录的多个账户信息等。此时，定位违规外联用户时，可以根据发生违规外联的时间准确地定位出违规外联用户。例如，将多个qq登录信息或内网业务系统的帐户的登录时间分别与发生违规外联的时间相匹配，将登录时间与发生违规外联时间最接近的qq号码确定为违规外联用户。将多个手机号码使用业务系统或者app的时间分别与发生违规外联的时间相匹配，将使用业务系统或者app的时间与发生违规外联时间最接近的手机号码确定为违规外联用户。

由于上述步骤203至步骤207的操作主要用于定位违规外联用户，而步骤203至步骤207之前并不存在特定的关联关系。因此，上述步骤203至步骤207的执行顺序不限于固定的先后顺序，可以随机调整。例如，可以执行步骤204的操作，再执行步骤205的操作，再执行步骤207的操作，再执行步骤203的操作，最后执行步骤206的操作。即先判断主机用户信息中是否包括qq登录信息。当不包含qq登录信息时，再判断主机用户信息中是否包含邮件发送和/或收取记录。当不包含邮件发送和/或收取记录时，再判断主机用户信息中是否包含内网业务系统登录的账户信息。当不包含内网业务系统登录的账户信息时，再判断主机用户信息中是否包含windows主机名或mac地址。当不包含windows主机名或mac地址时，再判断主机用户信息中是否包含手机号码。当不包含手机号码时，进入步骤208。步骤208、获取主机用户信息中与帐户登录无关联的第二类用户行为信息，通过第二类用户行为信息综合定位出违规外联用户，判断是否成功定位违规外联用户，如果是，结束本流程，否则存储第二类用户行为信息，用于记录本次违规外联用户的违规证据，结束本流程。

其中，主机用户信息中的第二类用户行为信息至少包括如下任一种：

主机用户打印历史记录，可以包括发送打印任务主机名称、打印用户名以及打印文件名称；

主机用户访问数据库服务器信息，包括登录名称以及执行sql语句记录等；

主机用户上传\下载记录信息，可以包括上传\下载的文件名称；

主机用户dns解析记录信息,可以包括访问域名与ip地址的映射；

域名访问排名记录；

主机用户vpn服务器使用信息,包含topvpn服务器地址以及服务器所属区域信息；

主机用户网页浏览记录信息，可包括topn访问域名。

其中，通过上述第二类用户行为信息综合定位违规外联主机用户时，可以结合上述的两种或两种以上的信息。例如，第二类用户行为信息中包含主机用户上传\下载的文件名称和vpn服务使用记录时，可以先根据vpn服务使用记录确定用户使用的虚拟网络，再根据主机上传\下载文件名称，将使用此虚拟网络上传或下载文件名称的用户确定为违规外联用户。

当根据第二类用户行为信息无法成功定位违规外联用户时，第二类用户行为信息也可以作为本次违规外联用户的违规证据。这样，当再次发现违规外联操作时，即可根据已存储的违规外联用户的违规证据判断是否为同一用户进行的违规外联操作，以达到辅助定位违规外联用户的效果。

可见，本实施例摒弃了单纯基于ip地址以及mac地址来定位违规外联用户的方案，直接利用主机用户信息(即主机用户流量中应用层信息)为违规外联主机用户画像，从而准确定位出违规外联的用户。

图3为本发明实施例提供的一种违规外联检测装置的结构示意图。如图3所示的装置，可以对应于部署在内网或专用网中的旁路镜像服务器，该旁路镜像服务器通过设置相应程序具有执行上述图1或图2所示的实施例的方法流程功能，该装置包括：主机用户信息获取模块100、第一定位模块200和第二定位模块300，其中，主机用户信息获取模块100，用于根据获取的违规外联的主机ip地址，获取该主机ip地址对应的主机用户信息；第一定位模块200，用于当主机用户信息中包含用户标识信息时，根据用户标识信息定位违规外联用户；第二定位模块300，用于当主机用户信息中包含与账户登录相关联的第一类用户行为信息时，根据第一类用户行为信息确定主机用户登录的帐户信息，根据帐户信息定位违规外联用户。

需要说明的，上述图3所示仅为一种违规外联检测装置的结构示意图。在实践中，还有一种违规外联检测装置可以只包括上述主机用户信息获取模块100和第一定位模块200。另有一种违规外联检测装置则可以只包括上述主机用户信息获取模块100和第二定位模块300。

其中，本实施例所涉及的用户标识信息至少包括操作系统主机名和/或mac地址。本实施例所涉及的第一类用户行为信息至少包括如下任一种：

即时通讯工具登录信息、邮件收\发记录、手机号码、访问网站cookie信息以及内网业务系统登录信息。

在实践中，主机用户信息中可能未包含用户标识信息和第一类用户行为信息，此时，可以结合主机用户信息中的其他信息定位违规外联用户。例如，主机用户信息中包含第二类用户行为信息，也就是与帐户登录无关的用户行为。例如，第二类用户行为信息可以包括如下任一种或多种信息：

主机用户访问数据库服务器信息、主机用户打印任务信息、主机用户上传\下载文件记录信息、主机用户dns解析记录信息主机用户vpn服务器使用信息以及主机用户网页浏览记录信息。

从上述信息的描述可以看出，这些信息无法直接指示出主机用户的标识，或者指示出主机用户登录的帐户信息，但其可以从多角度描述主机用户的行为，从而获取违规外联用户的特征，最终定位违规外联用户。此时，违规外联检测装置在包括上述主机用户信息获取模块100、第一定位模块200和第二定位模块300的基础上。还可以增加第三定位模块(图3中未示出)，用于当主机用户信息中未包含用户标识信息和第一类用户行为信息时，若确定主机用户信息中包含与账户登录无关联的第二类用户行为信息，则根据第二类用户行为信息中任两个或两个以上的信息定位违规外联用户。

另外，上述主机用户信息获取模块100，获取违规外联的主机ip地址对应的主机用户信息的方式可以包括多种方式。例如，可以获取发生违规外联操作之前，违规外联的主机ip地址对应的主机用户信息。由于此主机用户信息可表征出该违规外联主机用户特征，包括主机用户的标识以及主机用户的行为信息，从而用于定位违规外联的用户。因此，获取发生违规外联操作之前，违规外联的主机ip地址对应的主机用户信息时，需要在未发生违规外联时，实时获取各个主机ip地址对应的主机用户信息并存储。这样当发生违规外联时，就可以从已存储的各个主机ip地址对应的主机用户信息中，查询到违规外联的主机ip地址对应的主机用户信息。采用这种预先存储各个主机ip地址对应的主机用户信息的方式时，可以在上述图3所示违规外联检测装置的架构基础上，增加存储模块400。此时，违规外联检测装置的结构如图4所示。该存储模块400，用于通过内网或专用网核心交换机配置流量镜像功能，存储各个主机ip地址对应的主机用户信息。另外，上述主机用户信息获取模块100，还可以在检测到违规外联的主机ip地址以后，开始监控该违规外联的主机ip地址，并在监控过程中实时获取该违规外联的主机ip地址对应的主机用户信息即可。此时可以将实时获取到的违规外联的主机ip地址对应的主机用户信息进行缓存，或者将获取到的违规外联的主机ip地址对应的主机用户信息直接存储至指定位置，用于定位违规外联用户。

本发明实施例中的装置模块可用于执行上述违规外联检测方法实施例的步骤，其工作原理及达到的效果类似，不再赘述。

图5为本发明实施例提供的违规外联检测设备的结构示意图，如图5所示，该设备500包括：处理器5001、存储器5002以及存储在存储器5002上并可在处理器5001上运行的计算机程序。

其中，处理器5001运行计算机程序时实现上述任一方法实施例提供的违规外联检测方法。该违规外联监测设备可以为连接在内网或专用网交换机端口上镜像流量的一台或多台服务器。

本发明实施例还提供一种计算机可读存储介质，该可读存储介质如：rom/ram、磁碟、光盘等，计算机可读存储介质存储有计算机程序，所述计算机程序可被终端设备、计算机或服务器等硬件设备执行上述的违规外联检测方法的步骤。

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。