一种网络边界违规互联检测方法及系统与流程

本发明属于网络安全；尤其涉及一种网络边界违规互联检测方法及系统。

背景技术：

1、非法互联，指设备(终端)在非用户授权的情况下，与非该设备业务网段发生了网络连接关系，电力行业通常都有着严格的违规外联考核需求，同时这些行业也都有着严格的外联防护方案，每一台办公终端都装着互联检测与防护客户端，当终端产生违规互联事件时第一时间告警并阻断网络。但是不是总有外协人员使用私人电脑接入内网，无意中造成“违规互联”事件；诸如电力系统的一区网络和二区网络、内网中的开发网与生产网。虽然都是隔离内网，但不同的安全级别要求需要隔离网络之间物理隔离。但往往有一线员工有意或无意的会将两个隔离网络互联，造成安全风险；终端用户使用网络过程中，可能会误将内网网络接口误接互联网接口，虽终端未直接外联互联网，但此时网络已具备外联能力，若内网终端配置互联网ip地址，则可直接访问互联网，未规避该风险；为规范互联网数据传输行为，往往设置单位或集团的统一互联网出口，出口处进行严格的数据审计。此时若下级部门私设互联网出口，将导致互联网数据无法监管，造成数据泄露风险。

2、现有技术针对非法互联的检测，主要依赖于安全检测设备和流量分析设备。其中，安全检测设备，基于设备的数据响应报文进行非法互联行为检测，其检测效率、检测准确率均较差；流量分析设备只能分析设备流量，但不能基于设备行为建模监控，预警能力不强；综上所述，如何有效地解决检测终端对应的非法互联等问题，是目前本领域技术人员急需解决的技术问题。

技术实现思路

1、本发明要解决的技术问题是：提供一种网络边界违规互联检测方法及系统，以解决现有技术针对非法互联的检测，主要依赖于安全检测设备和流量分析设备存在检测效率、检测准确率均较差及预警能力不强等技术问题。

2、本发明技术方案：

3、一种网络边界违规互联检测系统，所述系统包括：

4、内网违规互联检测设备：旁路部署在用户内网网络中，通过主动扫描及被动流量欺骗方式，向内网中的被检测设备注入互联网探测指令，检测网络内终端的违规外联情况；

5、内网违规互联边缘探测器：内网违规互联边缘探测器在网络接入层进行设备感知与外联探测；

6、互联网外联监测服务器：部署于互联网，用于接受内网终端违规外联时的探测请求，当发现内网设备外联联通监测服务器，或者终端设备使用非法互联网出口访问监测服务器时，第一时间通过邮件及短信方式进行告警，通知管理员处置。

7、内网违规互联检测设备对内网终端进行设备识别及网络定位。

8、内网违规互联边缘探测器使用soho架构设计。

9、所述违规互联检测系统分别部署在两个相互隔离的a网和b网中；

10、a网中的违规互联边缘探测器旁路部署在用户内网网络中，设备通过主动扫描和被动流量欺骗方式，向内网中的被检测设备注入互联网探测指令，检测网络内终端的违规互联情况；同时，内网违规互联检测设备具备对内网终端进行设备识别和网络定位；

11、b网中的违规互联检测设备用于接受a网中终端违规互联时的探测请求，当发现a网中的设备联通b网中违规互联检测设备时，第一时间通过邮件及短信方式进行告警。

12、一种网络边界违规互联检测系统的检测方法，包括基于指令扫描的跨网互联检测方法，具体包括：

13、步骤1、互联网外联监测服务器接收控制台下发的信息,解析信息中a网终端的地址范围；

14、步骤2、对a网地址范围内的终端进行在线探测,过滤不在线的ip地址；

15、步骤3、构造udp或icmp探测报文,探测报文源地址为b网检测取证服务器的ip地址，探测报文payload中附带a网被探测终端设备信息；

16、步骤4、对在线的a网终端设备发送探测包；

17、步骤5、若a网终端具备b网联通能力时，将对探测报文进行回复，将a网中连接b网终端的设备信息发送至b网检测取证服务器。

18、一种网络边界违规互联检测系统的检测方法，包括跨网互联设备检测与取证方法，具体包括：

19、步骤6、b网中检测取证服务器接收跨网互联探测响应数据包；

20、步骤7、解析响应数据包,从数据包中获取a网终端的相关数据；

21、步骤8、根据解析出来的内容,判断跨网互联终端的所处网络、终端源ip及终端mac信息；

22、步骤9、对跨网互联的终端,进行邮件或短信告警；

23、步骤10、将b网中检测取证服务器中发现的外联终端数据导入a网检测服务器，通过数据匹配，完整获取a网中跨网互联终端的ip、mac、主机名、操作系统、设备类型及接入位置信息。

24、本发明的有益效果：

25、本发明违规互联检测系统由内网违规互联监测设备、内网违规互联边缘探测器和互联网外联监测服务器组成。

26、内网违规互联监测设备通过主动扫描、被动流量欺骗等方式，向内网中的被检测设备注入互联网探测指令，检测网络内终端的违规外联情况。

27、内网违规外联检测设备具备对内网终端进行设备识别、网络定位等特性，便于管理员掌握外联设备详细信息，第一时间定位设备进行处置。

28、内网违规互联边缘探测器工作时，内网违规互联边缘探测器在网络接入层进行设备感知与外联探测，大大提升设备或网络违规互联的发现及时性。

29、互联网外联监测服务器部署于互联网，用于接受内网终端违规外联时的探测请求，当发现内网设备外联联通监测服务器，或者终端设备使用非法互联网出口访问监测服务器时，第一时间通过邮件、短信等方式进行告警，通知管理员及时处置。

30、解决了现有技术针对非法互联的检测，主要依赖于安全检测设备和流量分析设备存在检测效率、检测准确率均较差及预警能力不强等技术问题。

技术特征：

1.一种网络边界违规互联检测系统，其特征在于:所述系统包括：

2.根据权利要求1所述的一种网络边界违规互联检测系统，其特征在于: 内网违规互联检测设备对内网终端进行设备识别及网络定位。

3.根据权利要求1所述的一种网络边界违规互联检测系统，其特征在于: 内网违规互联边缘探测器使用soho架构设计。

4.如权利要求1所述的一种网络边界违规互联检测系统的检测方法，其特征在于:所述违规互联检测系统分别部署在两个相互隔离的a网和b网中；

5.根据权利要求4所述的一种网络边界违规互联检测系统的检测方法，其特征在于:包括基于指令扫描的跨网互联检测方法，具体包括：

6.根据权利要求4所述的一种网络边界违规互联检测系统的检测方法，其特征在于:包括跨网互联设备检测与取证方法，具体包括：

技术总结
本发明公开了一种网络边界违规互联检测方法及系统，系统包括：内网违规互联检测设备：旁路部署在用户内网网络中，通过主动扫描及被动流量欺骗方式，向内网中的被检测设备注入互联网探测指令，检测网络内终端的违规外联情况；内网违规互联边缘探测器：内网违规互联边缘探测器在网络接入层进行设备感知与外联探测；互联网外联监测服务器：部署于互联网，用于接受内网终端违规外联时的探测请求，当发现内网设备外联联通监测服务器，或者终端设备使用非法互联网出口访问监测服务器时，第一时间通过邮件及短信方式进行告警，通知管理员处置；解决了现有技术针对非法互联的检测存在检测效率、检测准确率均较差及预警能力不强等技术问题。

技术研发人员：余云昊,杨逸岳,陈善锋,田翰霖,狄查美玲,罗扶华,张博达
受保护的技术使用者：贵州电网有限责任公司
技术研发日：
技术公布日：2024/1/13