[发明专利]一种违规外联报警及阻断方法

权利要求书

1.一种违规外联实时报警及阻断方法，其步骤为：

1）内网主机客户端根据多种外联方式实时监控内网计算机的联网行为；

2）所述内网主机客户端采用libnet函数库向外网报警监控端主动发送加密报警数据包，探测所述内网计算机是否发生外联行为，并对违规外联行为进行报警；

3）所述内网主机客户端对收到报警的内网主机进行底层抓包得到所有流经每个主机上网卡的数据包，判断违规外联行为；

4）对已判断为违规外联行为的主机网卡实施阻断。

2.如权利要求1所述的违规外联实时报警及阻断方法，其特征在于，所述多种外联方式为以下的一种或者多种：通过普通电话线、ISDN综合业务数字网和ADSL方式的拨号上网以及无线上网。

3.如权利要求1所述的违规外联实时报警及阻断方法，其特征在于，向外网报警监控端发送XML统一格式的加密报警数据包。

4.如权利要求1或3所述的违规外联实时报警及阻断方法，其特征在于，对报警数据包进行数据加密。

5.如权利要求1所述的违规外联实时报警及阻断方法，其特征在于，所述内网主机客户端根据libpcap函数库接口遍历所在主机上的所有网卡信息，并在链路层截获流经网卡的数据包。

6.如权利要求1所述的违规外联实时报警及阻断方法，其特征在于，判断违规外联行为方法是：若发现流经某块网卡的数据包源IP是外网地址，则判断内网主机发生了外联，所述内网主机客户端对联接外网的网卡通信实施阻断。

7.如权利要求1所述的违规外联实时报警及阻断方法，其特征在于，所述监控包括多网卡并行监控：

1）连接内部网络设置中登记有合法网卡信息的服务器，判断是否连接内网；

2）获取成功连接到内网管理端服务器的内网的本地IP地址；

3）查询内网管理端服务器上登记的客户端合法IP数据库,根据所述客户端合法IP查询网口连接属性信息确定非授权连接到内网的网卡，并禁用该网卡；

4)运用libpcap机制实时监控客户端上的所有未禁用的网卡接收的数据，禁用发生违规外联行为的网卡。

8.如权利要求1所述的违规外联实时报警及阻断方法，其特征在于，所述监控包括脱离内网方式监控：

1）内网主机客户端软件自动连接内网管理端服务器，验证是否连接于内网主机所属的内网；

2）如果内网主机客户端不能成功与单位内部服务器建立连接，则客户端网线被拔或者客户端计算机脱离内网但其网卡的IP被更换，接入到其他的禁用网络；

3）在脱离内网的情况下，如果用户IP地址没有变动，网线正常接入计算机，则是内部网络通讯故障，客户端并没有进行违规外联；

4）在脱离内网的情况下，如果客户端网线拔出，则判断客户端作为单机使用，不行执行告警处理；

5）在脱离内网的情况下，如果客户端网卡IP地址被重新设置脱离内网，无法与内网管理端服务器及备份服务器进行通信，则可初步判定为客户端已接入包括互联网在内的其他外网；

6）如果外联探测成功，则发送报警信息到外网报警监控端并禁用外联网卡；如果外联探测不成功，则重新进行外联探测。

9.如权利要求1任意一项所述的违规外联实时报警及阻断方法，外网报警监控端对内网计算机违规外联的行为做日志记录，记录违规主机信息和违规行为。

10.如权利要求1-9任意一项所述的违规外联实时报警及阻断方法，其特征在于，

所述内网主机客户端将应用程序挂载到后台进程运行；

所述内网主机客户端通过修改内核程序，对客户端进程进行隐藏；

所述内网主机客户端采用文件保护机制，更改内网主机上的应用程序文件属性。