一种基于诱导数据包的违规外联监测方法及系统与流程

1.本发明涉及网络技术领域，更具体地，涉及一种基于诱导数据包的违规外联监测方法及系统。


背景技术：

2.基于计算机网络的信息安全是重要，针对企业和敏感行业的公司内部网络，一般是禁止终端电脑在使用内部网络的同时接入互联网的，这种行为会给内部网络带来安全隐患，如黑客入侵、病毒传播、数据泄露等。
3.针对该情况，目前有相关的无客户端违规串网发现技术，一般只能通过通mac地址生产商信息识别违规串网路由器设备或通过电脑终端违规外联检查技术来发现内网中存在违规串网路由器设备，但仍需要人工进行排查违规串网设备的所在位置，执行相关处理措施，而在现今网络安全建设环境中更需可对违规串网路由器设备，终端电脑违规外联发现，并自动告警违规终端的技术方案。
4.因此，亟需一种基于诱导数据包的违规外联监测方法及系统。


技术实现要素：

5.本发明为克服上述现有技术中无法准确发现违规外联设备并自动告警的缺陷，提出一种基于诱导数据包的违规外联监测方法及系统。
6.本发明的首要目的是为解决上述技术问题，本发明的技术方案如下：本发明第一方面提出一种基于诱导数据包的违规外联监测方法，包括以下步骤：检测设备采集全局域网内的数据包；解析所述数据包识别出所述全局域网内的路由器；检测设备向所述路由器根据预设的时间长度定时发送外联请求数据包，所述外联请求数据包的ip地址为预设在违规外联监控服务器的外网ip地址；根据检测设备与互联网违规外联监控服务器的tcp通信连接情况判定所述路由器是否存在违规外联。
7.进一步的，检测设备通过流量镜像采集全局域网内的数据包。
8.进一步的，所述解析所述数据包识别出所述全局域网内的路由器具体为：利用资产识别技术解析所述数据包，得到全局域网内网资产的网络信息，所述网络信息包括：mac地址、tcp协议、网络端口信息；根据所述网络信息识别出网络中的路由器。
9.进一步的，根据检测设备与互联网违规外联监控服务器的tcp通信连接情况判定所述路由器是否存在违规外联具体过程为：若检测设备与互联网违规外联监控服务器建立正常的tcp通信，则判定该路由器存在违规串网； 若检测设备访问中断，无法与互联网违规外联监控服务器建立正常的tcp通信，则判定该路由器不存在违规串网。
10.进一步的，若路由器存在违规串网，则所违规外联监控服务器即时向网络管理员发送告警信息。
11.本发明第二方面提出一种基于诱导数据包的违规外联监测系统，包括：检测设备、违规外联监控服务器、内部网络交换机、路由器、联网设备，所述检测设备通过镜像口与内部网络交换机通信连接，所述内部网络交换机、联网设备均与路由器通信连接，所述路由器通过互联网与违规外联监控服务器连接。
12.进一步的，所述检测设备用于采集全局域网内的数据包，解析所述数据包识别出所述全局域网内的路由器，并向识别出的路由器根据预设的时间长度定时发送外联请求数据包。
13.进一步的，所述外联请求数据包的ip地址为预设在违规外联监控服务器的外网ip地址。
14.进一步的，所述内部网络交换机用于给局域网子网络提供连接端口。
15.进一步的，所述路由器用于连接两个或多个网络的硬件设备，在网络间起网关的作用，能够读取每一个网络数据包中的地址，然后决定网络数据包的传送方式，所述路由器能够连接若干个联网设备。
16.与现有技术相比，本发明技术方案的有益效果是：本发明利用检测设备、违规外联监控服务器、内部网络交换机、路由器、联网设备构建监测系统，利用检测采集全局域网内的数据包进而解析是识别出局域网内的路由器，通过周期性的路由器发送违规外联请求包，根据检测设备与互联网违规外联监控服务器的tcp通信连接情况判定所述路由器是否存在违规外联，并在存在违规外联时自动告警。
附图说明
17.图1为本发明一种基于诱导数据包的违规外联监测方法流程图。
18.图2为本发明一种基于诱导数据包的违规外联监测系统框图。
具体实施方式
19.为了能够更清楚地理解本发明的上述目的、特征和优点，下面结合附图和具体实施方式对本发明进行进一步的详细描述。需要说明的是，在不冲突的情况下，本技术的实施例及实施例中的特征可以相互组合。
20.在下面的描述中阐述了很多具体细节以便于充分理解本发明，但是，本发明还可以采用其他不同于在此描述的其他方式来实施，因此，本发明的保护范围并不受下面公开的具体实施例的限制。
21.实施例1如图1所示，本发明第一方面提出一种基于诱导数据包的违规外联监测方法，包括以下步骤：s1检测设备采集全局域网内的数据包；需要说明的是，在本发明中，所述检测设备可利用线束通过检测设备镜像口与内部网络交换机连接，检测设备通过设备镜像口采集全局域网内的数据包。
22.s2解析所述数据包识别出所述全局域网内的路由器；
需要说明的是，通过解析获取的数据包，也就是对获取内部网络流量信息进行分析，并通过现有的资产识别技术和私网发现技术得到网络信息，例如：mac地址、tcp协议、网络端口信息，根据网络信息识别出局域网中的路由器。
23.s3检测设备向所述路由器根据预设的时间长度定时发送外联请求数据包，所述外联请求数据包的ip地址为预设在违规外联监控服务器的外网ip地址；需要说明的是，在识别出局域网中的路由器后，检测设备根据预设的时间长度定时（即周期性的发送）发送外联请求数据包，例如检测设备可以每一秒或每10秒发送1次外联请求数据包给识别出的路由器，需要说明的是，外联请求数据包的ip地址为预设在违规外联监控服务器的外网ip地址。
24.s4根据检测设备与互联网违规外联监控服务器的tcp通信连接情况判定所述路由器是否存在违规外联。
25.需要说明的是，在实际的局域网环境中，如果路由器不存在违规外联，则检测检测设备无法与互联网违规外联监控服务器建立正常的tcp通信，请求无法跳转从而中断访问，当一个路由器具有互联网访问能力，检测检测设备可以与互联网违规外联监控服务器的tcp通信，则该路由器存在违规外联，当存在违规外联情况时，违规外联监控服务器可即时向网络管理员发送告警信息，如发送告警邮件等。
26.实施例2如图2所示，基于上述实施例本发明第二方面提出一种基于诱导数据包的违规外联监测系统，包括：检测设备、违规外联监控服务器、内部网络交换机、路由器、联网设备，所述检测设备通过镜像口与内部网络交换机通信连接，所述内部网络交换机、联网设备均与路由器通信连接，所述路由器通过互联网与违规外联监控服务器连接。所述内部网络交换机用于给局域网子网络提供连接端口。所述路由器用于连接两个或多个网络的硬件设备，在网络间起网关的作用，能够读取每一个网络数据包中的地址，然后决定网络数据包的传送方式，所述路由器能够连接若干个联网设备。
27.在一个具体的实施例中，所述检测设备可利用线束通过检测设备镜像口与内部网络交换机连接，检测设备通过设备镜像口采集全局域网内的数据包，解析所述数据包识别出所述全局域网内的路由器，并向识别出的路由器根据预设的时间长度定时发送外联请求数据包。需要说明的是，所述外联请求数据包的ip地址为预设在违规外联监控服务器的外网ip地址。
28.通过解析获取的数据包，也就是对获取内部网络流量信息进行分析，并通过现有的资产识别技术和私网发现技术得到网络信息，例如：mac地址、tcp协议、网络端口信息，根据网络信息识别出局域网中的路由器。
29.在识别出局域网中的路由器后，检测设备根据预设的时间长度定时（即周期性的发送）发送外联请求数据包，例如检测设备可以每一秒或每10秒发送1次外联请求数据包给识别出的路由器，需要说明的是，外联请求数据包的ip地址为预设在违规外联监控服务器的外网ip地址。
30.在实际的局域网环境中，如果路由器不存在违规外联，则检测检测设备无法与互联网违规外联监控服务器建立正常的tcp通信，请求无法跳转从而中断访问，当一个路由器具有互联网访问能力，检测设备可以与互联网违规外联监控服务器的tcp通信，则该路由器
存在违规外联，当存在违规外联情况时，违规外联监控服务器可即时向网络管理员发送告警信息，如发送告警邮件等。
31.显然，本发明的上述实施例仅仅是为清楚地说明本发明所作的举例，而并非是对本发明的实施方式的限定。对于所属领域的普通技术人员来说，在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明权利要求的保护范围之内。