一种网络接入设备外联监控告警方法技术

本发明专利技术公开了一种网络接入设备外联监控告警方法，属于网络安全检测技术领域，该告警方法具体步骤如下：(1)构建感知系统对各终端进行实时感知；(2)多终端依据令牌进行抢占竞争；(3)终端对链路外联进行探测分析；本发明专利技术能够不限定于DHCP设备，实现了第一时间感知链路层变化并进行探测，保证了探测的实时性，实现了确保终端能收到应答报文处理方法，同时考虑到内网多终端并发检测的可能性，实现了内网终端之间的探测令牌协议，可确保仅有限数量的终端进行探测，并将探测到的异常链路公告到内网，供所有终端共享，通过“先锁定、后探测、再解锁”的防御策略，确保终端不会发生外联事件。确保终端不会发生外联事件。确保终端不会发生外联事件。

【技术实现步骤摘要】
一种网络接入设备外联监控告警方法


[0001]本专利技术涉及网络安全检测
，尤其涉及一种网络接入设备外联监控告警方法。

技术介绍

[0002]许多保密网必须保证物理隔离，严格禁止网内的任何计算机设备非法外联。为此，必须设置实时检测、告警、阻断和锁定系统。现有产品中多为在终端上安装软件进行定时轮询式的外联探测；关于网络接入设备的非法外联技术，主要有两类：一类是基于旁路技术的监听、分析产品；一类是是基于DHCP进行IP设置和探测的产品，采用终端上的软件进行定时轮询式的探测方法，显然式“有缝隙”的。不能完全杜绝外联事故发生。况且，终端上的探测软件也存在被破坏或删除、阻止、挂起等风险，可靠性不强；
[0003]经检索，中国专利号CN112887264A公开了一种针对NAT接入设备的违规外联检测方法，该专利技术虽然解决了NAT接入设备无法有效的全面的进行违规外联检测的问题，但是无法及时阻断和锁定。在实践中效果比较有限，无法起到保护内网物理隔离的左右，仅具备告警功能；此外，现有的网络接入设备外联监控告警方法局限于检测开启DHCP服务的网络设备，况且，即使是DHCP服务器，也存在IP池占满的情况；其次，由于它需要先探测出内网中的DHCP服务的设备，然后构造探测报文进行外联探测，实时性不强；为此，我们提出一种网络接入设备外联监控告警方法。

技术实现思路

[0004]本专利技术的目的是为了解决现有技术中存在的缺陷，而提出的一种网络接入设备外联监控告警方法。
[0005]为了实现上述目的，本专利技术采用了如下技术方案：
[0006]一种网络接入设备外联监控告警方法，该告警方法具体步骤如下：
[0007](1)构建感知系统对各终端进行实时感知：构建链路层事件感知系统,并将各组终端与该系统通信连接，之后通过该系统对各终端链路层进行感知判断；
[0008](2)多终端依据令牌进行抢占竞争：内网所有终端通过ARP广播进行通讯，同时各终端依据建立的令牌协议进行竞争探测，同时探测终端通过ARP广播公告到所有终端；
[0009](3)终端对链路外联进行探测分析：竞争优胜的终端确定需要探测的链路，同时根据802.3协议规范，构造探测报文序列，并驱动自身终端网卡发送这些报文进行探测分析。
[0010]作为本专利技术的进一步方案，步骤(1)中所述感知判断具体步骤如下：
[0011]步骤一：插入操作系统内核模块，并过滤网卡驱动对象，同时对各终端链路层信息进行实时采集，并对是否发生新增链路事件或链路层变化事件进行判断；
[0012]步骤二：若发生新增链路或链路层变化时，首先锁定该链路，防止发生外联事故，之后探测该链路是否外联，若没有外联，则解锁该链路，恢复正常通讯，若存在外联，则告警并锁定整个系统。
[0013]作为本专利技术的进一步方案，步骤一中所述终端信息具体包括所有网卡的Attach以及Dettach、网线插拔、Wifi网络接通与断开、手机USB接通、手机热点接通以及交换机或网关接入；
[0014]步骤一中所述新增链路具体包括网卡Attach事件、插拔网线事件、Wifi接通事件、手机热点接通事件以及手机USB接通事件；
[0015]步骤一中所述链路层变化事件具体包括交换机或网关连入终端、交换机或网关连入内网交换机以及网内出现新的MAC地址。
[0016]作为本专利技术的进一步方案，步骤(2)中所述竞争探测具体步骤如下：
[0017]第一步：终端感知到新增链路或链路变化时，根据该链路的MAC特征和自身MAC生成探测令牌，同时规定该探测令牌可使用次数X，并通过ARP广播到所有终端；
[0018]第二步：各组终端收到探测令牌时，与自身已经拥有的探测令牌进行比较，如果链路相同，则根据令牌竞争协议判断自身是否“优胜”，如果优胜，则进行通过ARP广播到所有终端，如果不是优胜，则保持沉默；
[0019]第三步：当终端每使用探测令牌探测一次时，X减少1，当X最终计数为0时，该终端探测令牌自行销毁。
[0020]作为本专利技术的进一步方案，步骤(3)中所述探测分析具体步骤如下：
[0021]S1：该终端通过操作系统内核驱动对象获取自身网卡MAC地址，通过解析ARP包获取链路对端节点的MAC地址；
[0022]S2：以该终端自身硬件特征信息为内容，并以链路对端MAC为目的MAC，之后依据获取的内容以及目的MAC构造探测UDP包，经加密后发生到链路对端；
[0023]S3：链路对端设备收到该UDP包后，根据该UDP包的目的IP投递到下一级网关，若该链路中不存在相关互联网网关，则该探测UDP包将被丢弃，若该链路中存在相关互联网网关，则该探测UDP包将被逐级转发，同时事前部署在互联网上的告警服务器实时监测该UDP包；
[0024]S4：当告警服务器监测到探测UDP报文，则解密后发出告警，并以约定的加密方式发出应答报文，应答报文回到链路的链路对端MAC设备，将本终端的临时IP以ARP广播告知链路对端MAC设备，使链路对端MAC设备将探测UDP的应答报文转发到本终端；
[0025]S5：该终端收到应答报文，证明该链路存在外联链路，则对整个系统进行锁定处理并告警，同时通过ARP广播公告到所有终端，其余终端收到广播时，检查自身是否存在该链路，若存在，则立即锁定并告警，若不存在，则沉默。
[0026]作为本专利技术的进一步方案，S5中所述锁定处理包括锁定网卡和锁定系统两种方式，锁定网卡是预备性防御措施，锁定系统是正式的事故现场锁定手段，锁定处理直到获取管理员授权后才会进行解锁。
[0027]相比于现有技术，本专利技术的有益效果在于：
[0028]该网络接入设备外联监控告警方法相较于以往单一的告警方法，本专利技术通过链路层事件感知系统对各终端链路层信息进行实时采集，并对是否发生新增链路事件或链路层变化事件进行判断，若发生新增链路或链路层变化时，首先锁定该链路，之后生成探测令牌，并通过ARP广播到所有终端，当各组终端收到探测令牌时，与自身已经拥有的探测令牌进行比较，优胜的终端构建探测UDP包，并将其加密后发生到链路对端，当链路对端设备收
到该UDP包后，根据该UDP包的目的IP进行逐级转发，告警服务器实时监测该UDP包，当监测到探测UDP报文后，以约定的加密方式发出应答报文，应答报文回到链路的链路对端MAC设备，将本终端的临时IP以ARP广播告知链路对端MAC设备，使链路对端MAC设备将应答报文转发到本终端，若本终端收到应答报文，证明该链路存在外联链路，则对整个系统进行锁定处理并告警，同时通过ARP广播公告到所有终端，其余终端收到广播时，检查自身是否存在该链路，若存在，则立即锁定并告警，能够不限定于DHCP设备，实现了第一时间感知链路层变化并进行探测，保证了探测的实时性，实现了确保终端能收到应答报文处理方法，同时考虑到内网多终端并发检测的可能性，实现了内网终端之间的探测令牌协议，可确保仅有限数量的终端进行探测，并将探测到的异常链路公告到内网，本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种网络接入设备外联监控告警方法，其特征在于，该告警方法具体步骤如下：(1)构建感知系统对各终端进行实时感知：构建链路层事件感知系统,并将各组终端与该系统通信连接，之后通过该系统对各终端链路层进行感知判断；(2)多终端依据令牌进行抢占竞争：内网所有终端通过ARP广播进行通讯，同时各终端依据建立的令牌协议进行竞争探测，同时探测终端通过ARP广播公告到所有终端；(3)终端对链路外联进行探测分析：竞争优胜的终端确定需要探测的链路，同时根据802.3协议规范，构造探测报文序列，并驱动自身终端网卡发送这些报文进行探测分析。2.根据权利要求1所述的一种网络接入设备外联监控告警方法，其特征在于，步骤(1)中所述感知判断具体步骤如下：步骤一：插入操作系统内核模块，并过滤网卡驱动对象，同时对各终端链路层信息进行实时采集，并对是否发生新增链路事件或链路层变化事件进行判断；步骤二：若发生新增链路或链路层变化时，首先锁定该链路，防止发生外联事故，之后探测该链路是否外联，若没有外联，则解锁该链路，恢复正常通讯，若存在外联，则告警并锁定整个系统。3.根据权利要求2所述的一种网络接入设备外联监控告警方法，其特征在于，步骤一中所述终端信息具体包括所有网卡的Attach以及Dettach、网线插拔、Wifi网络接通与断开、手机USB接通、手机热点接通以及交换机或网关接入；步骤一中所述新增链路具体包括网卡Attach事件、插拔网线事件、Wifi接通事件、手机热点接通事件以及手机USB接通事件；步骤一中所述链路层变化事件具体包括交换机或网关连入终端、交换机或网关连入内网交换机以及网内出现新的MAC地址。4.根据权利要求1所述的一种网络接入设备外联监控告警方法，其特征在于，步骤(2)中所述竞争探测具体步骤如下：第一步：终端感知到新增链路或链路变化时，根据该链路的MAC特征和自身MAC生成探测令牌，同时规定该探测令牌可使用次...

【专利技术属性】
技术研发人员：陈谦，关芳芳，陈朝晖，
申请(专利权)人：陈谦，
类型：发明
国别省市：