一种违规外联检测方法、装置、设备、存储介质制造方法及图纸

本申请公开了一种违规外联检测方法、装置、设备、存储介质，涉及网络安全领域，包括：获取通过内网终端主机产生的访问业务服务器的流量，对流量进行镜像处理，以得到镜像流量；对镜像流量进行目标代码插入处理，以得到目标流量；将目标流量发送至终端主机，以便利用目标流量访问外网监测服务器，并产生相应的访问结果；基于访问结果判断所述内网终端主机是否违规外联。本申请通过流量镜像把内网流量传至内网监测服务器，并利用特定的一套JS代码插入至被筛选过的HTTP响应流量中，提出一种通过插入动态的JavaScript脚本程序并随终端打开网页的同时被加载到终端主机浏览器中，实现对终端主机违规网络通信通道的探测，避免影响正常用户访问内网。户访问内网。户访问内网。

【技术实现步骤摘要】
一种违规外联检测方法、装置、设备、存储介质


[0001]本专利技术涉及网络安全
，特别涉及一种违规外联检测方法、装置、设备、存储介质。

技术介绍

[0002]随着互联网技术日益成熟，各种终端层出不穷，桌面终端、私有终端接入企业内网已成为未来发展的趋势。在很多单位或者研究院的内部网络环境中，多数采用单项直连网络，这种部署好处即是内部不能够访问外网，只能访问内部网络设备、OA服务器等，但是有些员工违反规定私自搭建局域网，也即子网，在子网中连接互联网，这就出现违规外联现象。上述情景，会给企业、单位带来很大的安全隐患，单位内部工作时常常会涉及到机密的信息，这些机密信息的泄露可能会给单位或企业带来灾难性的后果，对此，解决违规外联就是重中之重。目前，违规外联监测技术需要在PC端上安装一个客户端插件或软件，即通过在接通内网的PC终端和server服务器上分别安装客户端插件和部署违规外联在线监测管理系统。然而，在庞大流量的内网中，PC端与中心I/O通信需要强大的硬件作为基础，若硬件成本太高，企业难以承受，若硬件配置过低，流量接入过多导致服务器宕机，这就难以监测到子网中的违规外联行为。
[0003]现有JS技术通过使用流量镜像方式，对特定的流量包插入JS固定代码解决了违规外联问题，但其因采用流量镜像技术，分析内网HTTP响应包流量，并在其请求头中插入JS固定代码的解决方式，导致其仍存在JS技术缺陷，例如对大量HTTP响应包流量插入代码，导致了正常用户访问内网OA，Web服务器过慢，延长了等待时间；对HTTP响应包流量插入JS代码，对设备的性能要求高，需要堆叠硬件，导致成本高
[0004]综上，如何为了让企业、单位内网设备得到安全使用，规范员工网络使用，实现更可靠、更有效的对内网设备非法外联进行监控，确保对内网设备违规外联监控的精确度与实时性，并且确保对内网设备违规外联做出对应告警，从而保证了内网设备中内部信息的安全和保密性，降低成本是本领域有待解决的技术问题。

技术实现思路

[0005]有鉴于此，本专利技术的目的在于提供一种违规外联检测方法、装置、设备、存储介质，能够让企业、单位内网设备得到安全使用，规范员工网络使用，实现更可靠、更有效的对内网设备非法外联进行监控，确保对内网设备违规外联监控的精确度与实时性，并且确保对内网设备违规外联做出对应告警，从而保证了内网设备中内部信息的安全和保密性，降低成本。其具体方案如下：
[0006]第一方面，本申请公开了一种违规外联检测方法，包括：
[0007]获取通过内网终端主机产生的访问业务服务器的流量，对所述流量进行镜像处理，以得到镜像流量；
[0008]对所述镜像流量进行目标代码插入处理，以得到目标流量；
[0009]将所述目标流量发送至终端主机，以便利用所述目标流量访问外网监测服务器，并产生相应的访问结果；
[0010]基于所述访问结果判断所述内网终端主机是否违规外联。
[0011]可选的，所述对所述流量进行镜像处理，以得到镜像流量之后，还包括：
[0012]按照预设流量筛选规则对所述镜像流量进行筛选，以得到满足所述预设流量筛选规则的镜像流量。
[0013]可选的，所述利用所述目标流量访问外网监测服务器，并产生相应的访问结果，包括：
[0014]利用所述目标流量访问外网监测服务器，并产生访问成功结果和/或访问失败结果。
[0015]可选的，所述基于所述访问结果判断所述内网终端主机是否违规外联，包括：
[0016]若所述访问结果为访问失败结果，则判定所述内网终端主机不存在违规外联行为。
[0017]可选的，所述基于所述访问结果判断所述内网终端主机是否违规外联，包括：
[0018]若所述访问结果为访问成功结果，则判定所述内网终端主机存在违规外联行为。
[0019]可选的，所述若所述访问结果为访问成功结果，则判定所述内网终端主机存在违规外联行为之后，还包括：
[0020]生成外网告警信息，并提取记录所述镜像流量的内网IP地址与已访问成功的外网IP地址。
[0021]可选的，所述生成外网告警信息，包括：
[0022]生成包含终端主机的所述外网IP地址、所述内网IP地址以及外联次数的外网告警信息。
[0023]第二方面，本申请公开了一种违规外联检测装置，包括：
[0024]流量镜像模块，用于获取通过内网终端主机产生的访问业务服务器的流量，对所述流量进行镜像处理，以得到镜像流量；
[0025]流量获取模块，用于对所述镜像流量进行目标代码插入处理，以得到目标流量；
[0026]访问模块，用于将所述目标流量发送至终端主机，以便利用所述目标流量访问外网监测服务器，并产生相应的访问结果；
[0027]违规外联判断模块，用于基于所述访问结果判断所述内网终端主机是否违规外联。
[0028]第三方面，本申请公开了一种电子设备，包括：
[0029]存储器，用于保存计算机程序；
[0030]处理器，用于执行所述计算机程序，以实现前述公开的违规外联检测方法的步骤。
[0031]第四方面，本申请公开了一种计算机可读存储介质，用于存储计算机程序；其中，所述计算机程序被处理器执行时实现前述公开的违规外联检测方法的步骤。
[0032]由此可见，本申请公开了一种违规外联检测方法，包括：获取通过内网终端主机产生的访问业务服务器的流量，对所述流量进行镜像处理，以得到镜像流量；对所述镜像流量进行目标代码插入处理，以得到目标流量；将所述目标流量发送至终端主机，以便利用所述目标流量访问外网监测服务器，并产生相应的访问结果；基于所述访问结果判断所述内网
终端主机是否违规外联。可见，本申请通过流量镜像把内网流量传至内网监测服务器，并利用特定的一套JS代码插入至被筛选过的HTTP响应流量中，提出一种通过插入动态的JavaScript脚本程序并随终端打开网页的同时被加载到终端主机浏览器中，实现对终端主机违规网络通信通道的探测，避免影响正常用户访问内网，缩短等待时间，降低成本，实现更可靠、更有效的对内网设备非法外联进行监控，确保对内网设备违规外联监控的精确度与实时性，并且确保对内网设备违规外联做出对应告警，从而保证了内网设备中内部信息的安全和保密性。
附图说明
[0033]为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。
[0034]图1为本申请公开的一种违规外联检测方法流程图；
[0035]图2为本申请公开的一种基于动态JS技术的违规外联检测系统应用部署图；
[0036]图3为本申请公开的一种具体的违规外联检测方法流程图；
[0037]图4为本申请公开的一种违规外联检测装置结构示意图；本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种违规外联检测方法，其特征在于，包括：获取通过内网终端主机产生的访问业务服务器的流量，对所述流量进行镜像处理，以得到镜像流量；对所述镜像流量进行目标代码插入处理，以得到目标流量；将所述目标流量发送至终端主机，以便利用所述目标流量访问外网监测服务器，并产生相应的访问结果；基于所述访问结果判断所述内网终端主机是否违规外联。2.根据权利要求1所述的违规外联检测方法，其特征在于，所述对所述流量进行镜像处理，以得到镜像流量之后，还包括：按照预设流量筛选规则对所述镜像流量进行筛选，以得到满足所述预设流量筛选规则的镜像流量。3.根据权利要求1所述的违规外联检测方法，其特征在于，所述利用所述目标流量访问外网监测服务器，并产生相应的访问结果，包括：利用所述目标流量访问外网监测服务器，并产生访问成功结果和/或访问失败结果。4.根据权利要求1所述的违规外联检测方法，其特征在于，所述基于所述访问结果判断所述内网终端主机是否违规外联，包括：若所述访问结果为访问失败结果，则判定所述内网终端主机不存在违规外联行为。5.根据权利要求1所述的违规外联检测方法，其特征在于，所述基于所述访问结果判断所述内网终端主机是否违规外联，包括：若所述访问结果为访问成功结果，则判定所述内网终端主机存在违规外联行为。6.根据权利要...

【专利技术属性】
技术研发人员：李宏昆，范渊，
申请(专利权)人：杭州安恒信息技术股份有限公司，
类型：发明
国别省市：