一种非法外联路由的检测方法和系统技术方案

本申请提出一种非法外联路由的检测方法，包括S1、获取指向外网服务域名的DNS请求及发送该请求的终端；S2、如果内网DNS服务不能解析外网域名，则在第一时间内向终端送达DNS响应消息;S3、在第二时间内，获取发给终端的所有DNS响应消息，并记录DNS响应消息中应答IP；获取终端发起的连接请求，判断连接请求是否指向应答IP，如果没有则记录异常一次；S4、在第三时间内，重复执行S1‑S3；如果异常次数比例超过预定阈值，则判定终端存在非法路由。通过本发明专利技术，基于对内网侧流量的监控，能做到以零侵入的方式，来持续监测终端IP在外网侧的违规外联行为，并且规避现有的主被动监测方式存在的不足。

【技术实现步骤摘要】

本专利技术涉及网络安全领域，尤其涉及一种非法外联路由的检测方法和系统。

技术介绍

1、为保护信息安全，避免机密信息的泄露，在政企内网中经常存在禁止办公电脑访问互联网的需求。相应的，工业界存在多种方法对网络中终端进行违规外联检查，外联检查的方法大致分为两类：

2、（1）基于终端代理的检查。此种方法要求在终端上安装代理，记录设备网络的变化和外联行为，并针对违规行为进行告警。

3、（2）基于网络流量的检查。包括主动监测方式和被动检测方式。主动检测，通过内网接口向终端发送icmp或tcpsyn包，并伪造源地址为互联网ip，并在互联网设备上配置此ip，如果收到应答即为存在违规路由。但是现代操作系统默认会打开反向路由过滤（rp_filter,reverse path filter)，终端会忽略这些非法请求，造成这种监测方法普遍失效。

4、被动监测方式为在内网业务中选择被普遍访问的url为监测点，当终端浏览器访问的时候，监测设备向终端发送重定向响应或者直接注入有监测能力的html/javascript，让监测代码在终端浏览器运行，并尝本文档来自技高网...

【技术保护点】

1.一种非法外联路由的检测方法，其特征在于，包括：

2.根据权利要求1所述的检测方法，其特征在于，在S1中，镜像内网流量，分析数据包。

3.根据权利要求1所述的检测方法，其特征在于，第一时间小于内网DNS服务向终端送达空响应的时间。

4.根据权利要求3所述的检测方法，其特征在于，第一时间为10ms。

5.根据权利要求1所述的检测方法，其特征在于，第二时间大于内网DNS服务向终端送达响应的时间。

6.根据权利要求1所述的检测方法，其特征在于，第二时间为50ms。

7.根据权利要求1所述的检测方法，其特征在于，还包括，在...

【技术特征摘要】

1.一种非法外联路由的检测方法，其特征在于，包括：

2.根据权利要求1所述的检测方法，其特征在于，在s1中，镜像内网流量，分析数据包。

3.根据权利要求1所述的检测方法，其特征在于，第一时间小于内网dns服务向终端送达空响应的时间。

4.根据权利要求3所述的检测方法，其特征在于，第一时间为10ms。

5.根据权利要求1所述的检测方法，其特征在于，第二时间大于内网dns服务向终端送达响应的时间。

6.根据权利要求1所述的检测方法，其特征在于，第二时间为50ms。

7.根据权利要求1所述的检测方法，其特征在于，还包...

【专利技术属性】
技术研发人员：田勇，时旭华，
申请(专利权)人：北京月德道未科技有限公司，
类型：发明
国别省市：