This application provides an illegal outreach detection method and device, including: acquiring message; acquiring message is the message to be sent by the device or received by the device; detecting whether the source IP address or destination IP address of the message hit the pre-configured white list; the white list records the accessible IP address; if not Hit, then get the page title of the page requested by the pre-configured URL address, and detect whether the page title obtained is consistent with the pre-configured page title corresponding to the URL address; if consistent, determine that the device has illegal outreach. The method provided in this application can be used to detect the illegal outreach of terminal equipment.
【技术实现步骤摘要】
一种违规外联检测方法及装置
本申请涉及计算机通信领域,尤其涉及一种违规外联检测方法及装置。
技术介绍
违规外联是指终端设备访问了不允许访问的网络地址。例如,企业的员工的终端设备只允许在内网环境中工作,不允许将计算机接入外网。如果员工的终端设备访问外网,该终端设备就发生违规外联。当公司内网的终端设备发生违规外联,来自于外网的攻击就可能非法窃取公司内网的敏感数据,使得公司内网产生重大风险。因此,如何检测终端设备是否发生违规外联成为亟待解决的问题。
技术实现思路
有鉴于此,本申请提供一种违规外联的检测方法及装置,用以实现内网终端设备违规外联检测。具体地,本申请是通过如下技术方案实现的:根据本申请的第一方面,提供一种违规外联检测方法,所述方法应用于终端设备,所述方法包括:获取报文;获取到的报文是本设备待发送的报文或本设备接收到的报文;检测报文的源IP地址或者目的IP地址是否命中预配置的白名单;所述白名单记录了可访问的IP地址;若未命中,则获取预配置的URL地址所请求的页面的页面标题,并检测获取到页面标题与该URL地址对应的预配置页面标题是否一致;若一致,确定本设备发生违规外联。可选的,所述获取预配置的URL地址所请求的页面的页面标题,包括:发送与所述预配置的URL地址对应的页面获取请求;接收针对该页面获取请求返回的页面数据,获取该页面数据的页面标题。可选的,当确定本终端设备发生违规外联后,所述方法还包括以下至少之一:生成违规外联事件上传管理服务器;所述违规外联事件至少包括该报文的源IP地址、目的IP地址、源端口和目的端口,处理该报文的违规进程路径,本设备对应的用户标识 ...
【技术保护点】
1.一种违规外联检测方法,其特征在于,所述方法应用于终端设备,所述方法包括:获取报文;获取到的报文是本设备待发送的报文或本设备接收到的报文;检测报文的源IP地址或者目的IP地址是否命中预配置的白名单;所述白名单记录了可访问的IP地址;若未命中,则获取预配置的URL地址所请求的页面的页面标题,并检测获取到页面标题与该URL地址对应的预配置页面标题是否一致;若一致,确定本设备发生违规外联。
【技术特征摘要】
1.一种违规外联检测方法,其特征在于,所述方法应用于终端设备,所述方法包括:获取报文;获取到的报文是本设备待发送的报文或本设备接收到的报文;检测报文的源IP地址或者目的IP地址是否命中预配置的白名单;所述白名单记录了可访问的IP地址;若未命中,则获取预配置的URL地址所请求的页面的页面标题,并检测获取到页面标题与该URL地址对应的预配置页面标题是否一致;若一致,确定本设备发生违规外联。2.根据权利要求1所述的方法,其特征在于,所述获取预配置的URL地址所请求的页面的页面标题,包括:发送与所述预配置的URL地址对应的页面获取请求;接收针对该页面获取请求返回的页面数据,获取该页面数据的页面标题。3.根据权利要求1所述的方法,其特征在于,当确定本终端设备发生违规外联后,所述方法还包括以下至少之一:生成违规外联事件上传管理服务器;所述违规外联事件至少包括该报文的源IP地址、目的IP地址、源端口和目的端口,处理该报文的违规进程路径,本设备对应的用户标识和违规外联发生的时间;进行违规外联处理;所述违规外联处理至少包括如下一种或者几种的组合:向用户展示违规外联提示信息;切断本设备的网络;断开违规外联时的链接;关闭发生违规外联的进程;重启本设备。4.根据权利要求1所述的方法,其特征在于,所述方法还包括:周期性地检查本设备是否通过代理服务器访问网络资源;如果是,执行以下一种或者几种操作的组合:向管理服务器发出违规外联代理事件;所述违规代理事件至少包括:本地IP地址,代理服务器IP地址及端口、本设备对应的用户标识和违规代理发生的时间;进行违规代理处理;所述违规代理处理至少包括如下一种或者几种的组合:向用户展示提示信息,以提示本终端设备开启了代理;切断所述终端设备的网络连接,重启本设备。5.根据权利要求1所述的方法,其特征在于,所述方法还包括:当获取到目的地址或者源地址是白名单未包含的IP地址的ICMP报文时,丢弃该ICMP报文。6.一种违规外联检测装置,其特征在于...
【专利技术属性】
技术研发人员:罗治华,白彦芳,张克彬,
申请(专利权)人:杭州盈高科技有限公司,
类型:发明
国别省市:浙江,33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。