[发明专利]非法外联检测方法

说明书

技术领域

本发明涉及一种对内网计算机的非法外联行为进行检测的非法外联检测方法。

背景技术

计算机和网络技术的发展，为终端电脑提供了丰富的网络和设备互联的手段。终端用户不仅可以直接通过有线网络实现与其他电脑或Internet互联；也可以通过多种无线连接方式，例如无线局域网、红外线、蓝牙等实现网络和设备的互联；还可以通过终端提供的丰富的外设接口，例如USB接口、COM口、LPT口、Modem等多种接口，实现终端与外设、终端与终端、或终端与网络的互联。除此之外，在以上物理连接的基础上，还有PPOE虚拟拨号、各类VPN供选择，作为安全的互连互通的可选方式。

而在一些涉密内网，由于内网的计算机存在多种网络连接方式，且缺少有效的技术监控手段，因此有大量内网计算机违规进行网络外联。这些非法网络外联会导致如下严重问题：

1)机密信息泄漏

用户通过非法外联的计算机，主动或被动地外发内部涉密资料，给组织造成重大损失；

2)引入安全问题

非法外联计算机的存在为病毒、木马攻击内网提供了理想的通道，病毒或木马可以借助终端用户违禁使用U盘、擅自拨号进行互联网访问、随意浏览网站、随意下载网站软件的过程中，乘虚而入，攻入内网，严重威胁到内网的稳定运行和内网中内部数据的安全。

为了对非法外联的计算机进行有效检测，目前存在如下的检测方法。

在“一种封闭网络内检测计算机非法外联的方法”(申请号：200910081606.1)中公开了一种封闭网络内检测计算机非法外联的方法，包括：在所述网络内的任意一台计算机上设置内网网卡和外网网卡作为监测机，并分别设置相应的内网地址和非内网地址，在所述外网网卡连接的路由器端口设置与所述非内网地址相同网段的端口地址；所述监测机通过所述内网网卡和外网网卡向网络内发送探测报文，并接收相应的响应报文，如果网络内存在没有向所述外网网卡发送响应报文的计算机，则将判断出该计算机为非法外联主机。这种检测方法依赖网络拓扑结构，如果在内网中设置了防火墙等过滤设备，则探测报文会被过滤设备屏蔽，在这种环境下就不能正确检测非法外联的主机。

在“一种内网计算机非法外联的检测方法”(申请号：200510096094.8)中公开了一种内网计算机非法外联的检测方法。该发明的目的是要提供一种内网计算机非法外联的检测方法，通过在各个涉密网主机上的DNS服务器轮询各个具有典型代表性的网站地址的方式，来确定涉密网主机能否与外部网络进行非法互联。这种检测方法没有对计算机的网络外联方式进行检测，只是通过DNS服务器的轮询来检测是否在外联，当内网计算机禁止DNS协议，且通过代理主机的方式外联网络时，现有检测方法不能准确检测出非法外联的行为。

发明内容

鉴于上述技术问题，本发明提供一种能够对内网计算机非法外联行为进行准确检测的非法外联检测方法。

本发明所涉及的非法外联检测方法，包括以下步骤：定义步骤，在管理服务器中预先定义检测策略，并设置需要应用检测策略的终端设备；检测步骤，所述终端设备根据从所述管理服务器下载的所述检测策略对内网计算机的非法外联进行检测；告警步骤，当判断为所述内网计算机存在非法外联行为时，所述终端设备向所述管理服务器发出告警信息；以及响应步骤，所述管理服务器根据告警信息，执行响应措施。

在上述的非法外联检测方法中，其中，所述检测步骤包括：第一构造发送步骤，逐一查询内网计算机中的网络适配器信息，并根据查询到的所述适配器的网络参数，构造连通性探测包，并发送给外网主机；查询步骤，当所有的所述网络适配器查询完毕时，查询所述内网计算机上是否设置有上网的代理方式；第二构造发送步骤，当设置有所述上网的代理方式时，并根据查询到的所述上网的代理方式的网络参数，构造连通性探测包，并发送给所述外网主机；以及判断步骤，当所述终端设备接收到来自所述外网主机的针对所述连通性探测包的回应包时，判断内网计算机存在非法外联行为。

在上述的非法外联检测方法中，所述网络适配器信息包括设备名；所述适配器的网络参数包括ip地址、掩码和网关。

在上述的非法外联检测方法中，所述连通性探测包包括http探测包和ping探测包。

在上述的非法外联检测方法中，所述上网的代理方式的网络参数包括所述终端设备的主机ip和端口信息。

在上述的非法外联检测方法中，所述响应措施包括：控制台告警、邮件告警、阻断网络和重启机器。

在上述的非法外联检测方法中，所述终端设备为多台。