一种违规外联检测方法及装置制造方法及图纸

本申请提供一种违规外联检测方法及装置，包括：获取报文；获取到的报文是本设备待发送的报文或本设备接收到的报文；检测报文的源IP地址或者目的IP地址是否命中预配置的白名单；所述白名单记录了可访问的IP地址；若未命中，则获取预配置的URL地址所请求的页面的页面标题，并检测获取到页面标题与该URL地址对应的预配置页面标题是否一致；若一致，确定本设备发生违规外联。使用本申请提供的方法可以实现终端设备违规外联的检测。

An Outreach Detection Method and Device for Violation

This application provides an illegal outreach detection method and device, including: acquiring message; acquiring message is the message to be sent by the device or received by the device; detecting whether the source IP address or destination IP address of the message hit the pre-configured white list; the white list records the accessible IP address; if not Hit, then get the page title of the page requested by the pre-configured URL address, and detect whether the page title obtained is consistent with the pre-configured page title corresponding to the URL address; if consistent, determine that the device has illegal outreach. The method provided in this application can be used to detect the illegal outreach of terminal equipment.

【技术实现步骤摘要】
一种违规外联检测方法及装置
本申请涉及计算机通信领域，尤其涉及一种违规外联检测方法及装置。
技术介绍
违规外联是指终端设备访问了不允许访问的网络地址。例如，企业的员工的终端设备只允许在内网环境中工作，不允许将计算机接入外网。如果员工的终端设备访问外网，该终端设备就发生违规外联。当公司内网的终端设备发生违规外联，来自于外网的攻击就可能非法窃取公司内网的敏感数据，使得公司内网产生重大风险。因此，如何检测终端设备是否发生违规外联成为亟待解决的问题。
技术实现思路
有鉴于此，本申请提供一种违规外联的检测方法及装置，用以实现内网终端设备违规外联检测。具体地，本申请是通过如下技术方案实现的：根据本申请的第一方面，提供一种违规外联检测方法，所述方法应用于终端设备，所述方法包括：获取报文；获取到的报文是本设备待发送的报文或本设备接收到的报文；检测报文的源IP地址或者目的IP地址是否命中预配置的白名单；所述白名单记录了可访问的IP地址；若未命中，则获取预配置的URL地址所请求的页面的页面标题，并检测获取到页面标题与该URL地址对应的预配置页面标题是否一致；若一致，确定本设备发生违规外联。可选的，所述获取预配置的URL地址所请求的页面的页面标题，包括：发送与所述预配置的URL地址对应的页面获取请求；接收针对该页面获取请求返回的页面数据，获取该页面数据的页面标题。可选的，当确定本终端设备发生违规外联后，所述方法还包括以下至少之一：生成违规外联事件上传管理服务器；所述违规外联事件至少包括该报文的源IP地址、目的IP地址、源端口和目的端口，处理该报文的违规进程路径，本设备对应的用户标识和违规外联发生的时间；进行违规外联处理；所述违规外联处理至少包括如下一种或者几种的组合：向用户展示违规外联提示信息；断开违规外联时的链接，关闭发生违规外联的进程，重启本设备。可选的，所述方法还包括：周期性地检查本设备是否通过代理服务器访问网络资源；如果是，执行以下一种或者几种操作的组合：向管理服务器发出违规外联代理事件；所述违规代理事件至少包括：本地IP地址，代理服务器IP地址及端口、本设备对应的用户标识和违规代理发生的时间；进行违规代理处理；所述违规代理处理至少包括如下一种或者几种的组合：向用户展示提示信息，以提示本终端设备开启了代理；切断所述终端设备的网络连接，重启本设备。可选的，所述方法还包括：当获取到目的地址是白名单未包含的IP地址的ICMP报文时，丢弃该ICMP报文。根据本申请的第二方面，提供一种违规外联检测装置，所述装置应用于终端设备，所述装置包括：获取单元，用于获取报文；获取到的报文是本设备待发送的报文或本设备接收到的报文；第一检测单元，用于检测报文的源IP地址或者目的IP地址是否命中预配置的白名单；所述白名单记录了可访问的IP地址；第二检测单元，用于若未命中，则获取预配置的URL地址所请求的页面的页面标题，并检测获取到页面标题与该URL地址对应的预配置页面标题是否一致；确定单元，用于若一致，确定本设备发生违规外联。可选的，所述第二检测单元，在获取预配置的URL地址所请求的页面的页面标题时，具体用于发送与所述预配置的URL地址对应的页面获取请求；接收针对该页面获取请求返回的页面数据，获取该页面数据的页面标题。可选的，所述装置还包括：处理单元，用于执行以下至少之一：生成违规外联事件上传管理服务器；所述违规外联事件至少包括该报文的源IP地址、目的IP地址、源端口和目的端口，处理该报文的违规进程路径，本设备对应的用户标识和违规外联发生的时间；进行违规外联处理；所述违规外联处理至少包括如下一种或者几种的组合：向用户展示违规外联提示信息；断开违规外联时的链接，关闭发生违规外联的进程，重启本设备。可选的，所述装置还包括：检查单元，用于周期性地检查本设备是否通过代理服务器访问网络资源；如果是，执行以下一种或者几种操作的组合：向管理服务器发出违规外联代理事件；所述违规代理事件至少包括：本地IP地址，代理服务器IP地址及端口、本设备对应的用户标识和违规代理发生的时间；进行违规代理处理；所述违规代理处理至少包括如下一种或者几种的组合：向用户展示提示信息，以提示本终端设备开启了代理；切断所述终端设备的网络连接，重启本设备。可选的，所述装置还包括：丢弃单元，用于当获取到目的地址是白名单未包含的IP地址的ICMP报文时，丢弃该ICMP报文。本申请提供一种违规外联的检测方法，终端设备上安装的客户端可以获取报文；检测报文的源IP地址或者目的IP地址是否命中预配置的白名单；所述白名单记录了可访问的IP地址；若未命中，则获取预配置的URL地址所请求的页面的页面标题，并检测获取到页面标题与该URL地址对应的预配置页面标题是否一致；若一致，确定本设备发生违规外联。在采用白名单判断的基础上，进一步进行了页面标题的判断，在实现了违规外联检测的同时，还可以有效地防止误判的发生，大大提高了违规外联检测的准确性。附图说明图1是本申请一示例性实施例示出的一种相关的违规外联检测技术的组网架构图；图2是本申请一示例性实施例示出的一种违规外联检测方法的网络架构图；图3是本申请一示例性实施例示出的一种违规外联检测方法的流程图；图4是本申请一示例性实施例示出的一种终端设备的硬件结构图；图5是本申请一示例性实施例示出的一种违规外联检测装置的框图。具体实施方式这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。在本申请使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。应当理解，尽管在本申请可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本申请范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。参见图1，图1是相关违规外联检测技术的组网架构图。在该相关的检测违规外联的技术中，在内网配置有内网监测服务器，在外网中配置有外网监测服务器。当内网的终端访问内网的业务网站时，内网监测服务器可以将预配置的JS代码注入到向终端返回的访问数据中。当终端接收到该访问数据后，该JS代码会被下载到该终端上。JS(直译式脚本语言)代码尝试访问外网监测服务器。当JS代码可以访问到外网监测服务器，则确定该内网终端发生违规外联。然而，在上述检测违规外联的方法中，一方面，由于需要在内网和外网分别部署内网监测服务器和外网监测服务器，因而极大地提高了上述违规外联方案的实现成本；另一方面，当内网终端的数量较多时，对内网监测服务器和外网监测服务器的性能造成较大压力本文档来自技高网...

【技术保护点】
1.一种违规外联检测方法，其特征在于，所述方法应用于终端设备，所述方法包括：获取报文；获取到的报文是本设备待发送的报文或本设备接收到的报文；检测报文的源IP地址或者目的IP地址是否命中预配置的白名单；所述白名单记录了可访问的IP地址；若未命中，则获取预配置的URL地址所请求的页面的页面标题，并检测获取到页面标题与该URL地址对应的预配置页面标题是否一致；若一致，确定本设备发生违规外联。

【技术特征摘要】
1.一种违规外联检测方法，其特征在于，所述方法应用于终端设备，所述方法包括：获取报文；获取到的报文是本设备待发送的报文或本设备接收到的报文；检测报文的源IP地址或者目的IP地址是否命中预配置的白名单；所述白名单记录了可访问的IP地址；若未命中，则获取预配置的URL地址所请求的页面的页面标题，并检测获取到页面标题与该URL地址对应的预配置页面标题是否一致；若一致，确定本设备发生违规外联。2.根据权利要求1所述的方法，其特征在于，所述获取预配置的URL地址所请求的页面的页面标题，包括：发送与所述预配置的URL地址对应的页面获取请求；接收针对该页面获取请求返回的页面数据，获取该页面数据的页面标题。3.根据权利要求1所述的方法，其特征在于，当确定本终端设备发生违规外联后，所述方法还包括以下至少之一：生成违规外联事件上传管理服务器；所述违规外联事件至少包括该报文的源IP地址、目的IP地址、源端口和目的端口，处理该报文的违规进程路径，本设备对应的用户标识和违规外联发生的时间；进行违规外联处理；所述违规外联处理至少包括如下一种或者几种的组合：向用户展示违规外联提示信息；切断本设备的网络；断开违规外联时的链接；关闭发生违规外联的进程；重启本设备。4.根据权利要求1所述的方法，其特征在于，所述方法还包括：周期性地检查本设备是否通过代理服务器访问网络资源；如果是，执行以下一种或者几种操作的组合：向管理服务器发出违规外联代理事件；所述违规代理事件至少包括：本地IP地址，代理服务器IP地址及端口、本设备对应的用户标识和违规代理发生的时间；进行违规代理处理；所述违规代理处理至少包括如下一种或者几种的组合：向用户展示提示信息，以提示本终端设备开启了代理；切断所述终端设备的网络连接，重启本设备。5.根据权利要求1所述的方法，其特征在于，所述方法还包括：当获取到目的地址或者源地址是白名单未包含的IP地址的ICMP报文时，丢弃该ICMP报文。6.一种违规外联检测装置，其特征在于...

【专利技术属性】
技术研发人员：罗治华，白彦芳，张克彬，
申请(专利权)人：杭州盈高科技有限公司，
类型：发明
国别省市：浙江,33