一种网络边界违规互联检测方法及系统技术方案

本发明专利技术公开了一种网络边界违规互联检测方法及系统，系统包括：内网违规互联检测设备：旁路部署在用户内网网络中，通过主动扫描及被动流量欺骗方式，向内网中的被检测设备注入互联网探测指令，检测网络内终端的违规外联情况；内网违规互联边缘探测器：内网违规互联边缘探测器在网络接入层进行设备感知与外联探测；互联网外联监测服务器：部署于互联网，用于接受内网终端违规外联时的探测请求，当发现内网设备外联联通监测服务器，或者终端设备使用非法互联网出口访问监测服务器时，第一时间通过邮件及短信方式进行告警，通知管理员处置；解决了现有技术针对非法互联的检测存在检测效率、检测准确率均较差及预警能力不强等技术问题。问题。问题。

【技术实现步骤摘要】
一种网络边界违规互联检测方法及系统


[0001]本专利技术属于网络安全
；尤其涉及一种网络边界违规互联检测方法及系统。

技术介绍

[0002]非法互联，指设备(终端)在非用户授权的情况下，与非该设备业务网段发生了网络连接关系，电力行业通常都有着严格的违规外联考核需求，同时这些行业也都有着严格的外联防护方案，每一台办公终端都装着互联检测与防护客户端，当终端产生违规互联事件时第一时间告警并阻断网络。但是不是总有外协人员使用私人电脑接入内网，无意中造成“违规互联”事件；诸如电力系统的一区网络和二区网络、内网中的开发网与生产网。虽然都是隔离内网，但不同的安全级别要求需要隔离网络之间物理隔离。但往往有一线员工有意或无意的会将两个隔离网络互联，造成安全风险；终端用户使用网络过程中，可能会误将内网网络接口误接互联网接口，虽终端未直接外联互联网，但此时网络已具备外联能力，若内网终端配置互联网IP地址，则可直接访问互联网，未规避该风险；为规范互联网数据传输行为，往往设置单位或集团的统一互联网出口，出口处进行严格的数据审计。此时若下级部门私设互联网出口，将导致互联网数据无法监管，造成数据泄露风险。
[0003]现有技术针对非法互联的检测，主要依赖于安全检测设备和流量分析设备。其中，安全检测设备，基于设备的数据响应报文进行非法互联行为检测，其检测效率、检测准确率均较差；流量分析设备只能分析设备流量，但不能基于设备行为建模监控，预警能力不强； 综上所述，如何有效地解决检测终端对应的非法互联等问题，是目前本领域技术人员急需解决的技术问题。

技术实现思路

[0004]本专利技术要解决的技术问题是：提供一种网络边界违规互联检测方法及系统，以解决现有技术针对非法互联的检测，主要依赖于安全检测设备和流量分析设备存在检测效率、检测准确率均较差及预警能力不强等技术问题。
[0005]本专利技术技术方案：一种网络边界违规互联检测系统，所述系统包括：内网违规互联检测设备：旁路部署在用户内网网络中，通过主动扫描及被动流量欺骗方式，向内网中的被检测设备注入互联网探测指令，检测网络内终端的违规外联情况；内网违规互联边缘探测器：内网违规互联边缘探测器在网络接入层进行设备感知与外联探测；互联网外联监测服务器：部署于互联网，用于接受内网终端违规外联时的探测请求，当发现内网设备外联联通监测服务器，或者终端设备使用非法互联网出口访问监测服务器时，第一时间通过邮件及短信方式进行告警，通知管理员处置。
[0006]内网违规互联检测设备对内网终端进行设备识别及网络定位。
[0007]内网违规互联边缘探测器使用SOHO架构设计。
[0008]所述违规互联检测系统分别部署在两个相互隔离的A网和B网中；A网中的违规互联边缘探测器旁路部署在用户内网网络中，设备通过主动扫描和被动流量欺骗方式，向内网中的被检测设备注入互联网探测指令，检测网络内终端的违规互联情况；同时，内网违规互联检测设备具备对内网终端进行设备识别和网络定位；B网中的违规互联检测设备用于接受A网中终端违规互联时的探测请求，当发现A网中的设备联通B网中违规互联检测设备时，第一时间通过邮件及短信方式进行告警。
[0009]一种网络边界违规互联检测系统的检测方法，包括基于指令扫描的跨网互联检测方法，具体包括：步骤1、互联网外联监测服务器接收控制台下发的信息,解析信息中A网终端的地址范围；步骤2、对A网地址范围内的终端进行在线探测,过滤不在线的IP地址；步骤3、构造UDP或ICMP探测报文,探测报文源地址为B网检测取证服务器的IP地址，探测报文payload中附带A网被探测终端设备信息；步骤4、对在线的A网终端设备发送探测包；步骤5、若A网终端具备B网联通能力时，将对探测报文进行回复，将A网中连接B网终端的设备信息发送至B网检测取证服务器。
[0010]一种网络边界违规互联检测系统的检测方法，包括跨网互联设备检测与取证方法，具体包括：步骤6、B网中检测取证服务器接收跨网互联探测响应数据包；步骤7、解析响应数据包,从数据包中获取A网终端的相关数据；步骤8、根据解析出来的内容,判断跨网互联终端的所处网络、终端源IP及终端MAC信息；步骤9、对跨网互联的终端,进行邮件或短信告警；步骤10、将B网中检测取证服务器中发现的外联终端数据导入A网检测服务器，通过数据匹配，完整获取A网中跨网互联终端的IP、MAC、主机名、操作系统、设备类型及接入位置信息。
[0011]本专利技术的有益效果：本专利技术违规互联检测系统由内网违规互联监测设备、内网违规互联边缘探测器和互联网外联监测服务器组成。
[0012]内网违规互联监测设备通过主动扫描、被动流量欺骗等方式，向内网中的被检测设备注入互联网探测指令，检测网络内终端的违规外联情况。
[0013]内网违规外联检测设备具备对内网终端进行设备识别、网络定位等特性，便于管理员掌握外联设备详细信息，第一时间定位设备进行处置。
[0014]内网违规互联边缘探测器工作时，内网违规互联边缘探测器在网络接入层进行设备感知与外联探测，大大提升设备或网络违规互联的发现及时性。
[0015]互联网外联监测服务器部署于互联网，用于接受内网终端违规外联时的探测请求，当发现内网设备外联联通监测服务器，或者终端设备使用非法互联网出口访问监测服务器时，第一时间通过邮件、短信等方式进行告警，通知管理员及时处置。
[0016]解决了现有技术针对非法互联的检测，主要依赖于安全检测设备和流量分析设备存在检测效率、检测准确率均较差及预警能力不强等技术问题。
附图说明
[0017]图1为本专利技术系统组成示意图；图2为本专利技术具体实施方式中A、B网组成示意图；图3为本专利技术检测方法中跨网互联检测流程图；图4为本专利技术检测方法中跨网互联设备检测与取证流程示意图。
具体实施方式
[0018]本专利技术违规互联检测系统包括内网违规互联监测设备、内网违规互联边缘探测器和互联网外联监测服务器。
[0019]内网违规互联检测设备是检测系统的核心，使用软硬一体化设计。旁路部署在用户内网网络中，设备通过主动扫描、被动流量欺骗等方式，向内网中的被检测设备注入互联网探测指令，检测网络内终端的违规外联情况。
[0020]同时，内网违规外联检测设备具备对内网终端进行设备识别、网络定位等特性，便于管理员掌握外联设备详细信息，第一时间定位设备进行处置。
[0021]内网违规互联边缘探测器：当用户对设施外（互）联场景有监管需求，同时用户网络中存在多个三层交换机（网关）时，需在每一个子网部署内网违规互联边缘探测器。
[0022]边缘探测器使用SOHO架构设计，设备仅路由器大小，受违规互联监测设备统一管理。设备即插即用，部署方便。
[0023]工作时，内网违规互联边缘探测器在网络接入层进行设备感知与外联探测，大大提升设备或网络违规互联的发现及时性。
[0024]互联网外联监测服务器部署于互联网，用于接受内网终端违规外联时的探测请求，当发现内网设备本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种网络边界违规互联检测系统，其特征在于:所述系统包括：内网违规互联检测设备：旁路部署在用户内网网络中，通过主动扫描及被动流量欺骗方式，向内网中的被检测设备注入互联网探测指令，检测网络内终端的违规外联情况；内网违规互联边缘探测器：内网违规互联边缘探测器在网络接入层进行设备感知与外联探测；互联网外联监测服务器：部署于互联网，用于接受内网终端违规外联时的探测请求，当发现内网设备外联联通监测服务器，或者终端设备使用非法互联网出口访问监测服务器时，第一时间通过邮件及短信方式进行告警，通知管理员处置。2.根据权利要求1所述的一种网络边界违规互联检测系统，其特征在于: 内网违规互联检测设备对内网终端进行设备识别及网络定位。3.根据权利要求1所述的一种网络边界违规互联检测系统，其特征在于: 内网违规互联边缘探测器使用SOHO架构设计。4.如权利要求1所述的一种网络边界违规互联检测系统的检测方法，其特征在于:所述违规互联检测系统分别部署在两个相互隔离的A网和B网中；A网中的违规互联边缘探测器旁路部署在用户内网网络中，设备通过主动扫描和被动流量欺骗方式，向内网中的被检测设备注入互联网探测指令，检测网络内终端的违规互联情况；同时，内网违规互联检测设备具备对内网终端进行设备识别和网络定位；B网中的违规互联检测设备用于接受A网中终端违规互联时的探测请求，当发现A网中的设备...

【专利技术属性】
技术研发人员：余云昊，杨逸岳，陈善锋，田翰霖，狄查美玲，罗扶华，张博达，
申请(专利权)人：贵州电网有限责任公司，
类型：发明
国别省市：