一种终端非法外联的识别方法、装置、设备及存储介质

技术领域

本发明实施例涉及信息安全技术，尤其涉及一种终端非法外联的识别方法、装置、设备及存储介质。

背景技术

随着网络的日益发展，网络的安全问题越来越突出。目前往往将注意力集中在来自于外部的攻击，所以花大力气和重金部署网络边界的安全产品，例如防火墙、入侵检测系统(IDS，Intrusion Detection Systems)等。然而，来自于网络内部的非法操作所造成的安全问题同样不可忽视。

其中，最典型的就是内网用户的非法外联。内网用户如果私自访问外网，则可能会引发信息安全问题，造成重要数据外泄。

发明内容

本发明实施例提供了一种终端非法外联的识别方法、装置、设备及存储介质，可以避免重要数据的泄露，可以保证局域网内的数据安全。

第一方面，本发明实施例提供了一种终端非法外联的识别方法，包括：

获取目标终端上报的地址解析协议ARP信息；

将所述ARP信息与局域网中纳管的终端的信息进行对比，基于对比结果确定所述目标终端是否非法外联。

第二方面，本发明实施例提供了一种终端非法外联方法，包括：

目标终端采集ARP信息，并将所述ARP信息上报给服务端；

服务端获取所述ARP信息；

所述服务端将所述ARP信息与局域网中需要纳管的终端的信息进行对比，基于对比结果确定所述目标终端是否非法外联。

第三方面，本发明实施例提供了一种终端非法外联的识别装置，包括：

获取模块，用于获取目标终端的地址解析协议ARP信息；

确定模块，用于将ARP信息与局域网中纳管的终端的信息进行对比，基于对比结果确定所述目标终端是否非法外联。

第四方面，本发明实施例提供了一种电子设备，包括：

一个或多个处理器；

存储装置，用于存储一个或多个程序，

当所述一个或多个程序被所述一个或多个处理器执行，使得所述一个或多个处理器实现本发明实施例提供的方法。

第五方面，本发明实施例提供了一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现本发明实施例提供的方法。

本发明实施例提供的技术方案，通过获取目标终端上报的ARP信息，通过将ARP信息与局域网中纳管的终端的信息进行对比，基于对比结果判断目标终端是否非法外联，可以对局域网中终端非法访问外部网络的高危行为进行监控，可以减少局域网通过内部终端造成的重要数据的泄露，可以保证局域网内的数据安全。

附图说明

图1是本发明实施例提供的一种终端外联的识别方法流程图；

图2是本发明实施例提供的一种终端外联的识别方法流程图；

图3是本发明实施例提供的一种终端外联的识别方法流程图；

图4a是本发明实施例提供的一种终端外联的识别方法流程图；

图4b是本发明实施例提供的一种终端外联的识别方法流程图；

图5是本发明实施例提供的一种终端外联的识别装置结构框图；

图6是本发明实施例提供的一种终端外联的识别系统结构示意图；

图7是本发明实施例提供的一种电子设备的结构示意图。

具体实施方式

下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是，此处所描述的具体实施例仅仅用于解释本发明，而非对本发明的限定。另外还需要说明的是，为了便于描述，附图中仅示出了与本发明相关的部分而非全部结构。

图1是本发明实施例提供的一种终端非法外联的识别方法流程图，所述方法可以由终端非法外联的识别装置来执行，所述装置可以由软件和/或硬件来实现所述装置可以配置在服务端，所述方法可以应用于局域网中对终端的非法外联进行监控的场景中。

如图1所示，本发明实施例提供的技术方案包括：

S110：获取目标终端上报的地址解析协议ARP信息。

在本发明实施例中，可选的，获取目标终端的地址解析协议ARP信息之前还可以包括：将局域网中纳管的终端的信息进行存储。纳管的终端的信息包括纳管的终端MAC地址以及IP地址，纳管的终端的信息还可以包括终端中硬盘序列号、责任人等信息，可以将纳管的终端的信息存储至数据库进行管控，便于确定终端是否是局域网内的合法终端。

在本发明实施例中，目标终端上报的信息包括访问对端的IP地址以及MAC地址，可以理解为目标终端访问的对端设备的IP地址以及MAC地址。可选的，可以在目标终端上安装认证客户端，通过认证客户端采集、记录目标终端的地址解析协议(Address ResolutionProtocol，ARP)信息，例如可以包括访问对端的IP地址、MAC地址、时间等，目标终端将ARP信息上报给服务端。具体的，当目标终端在线时，将ARP信息实时上报给服务端，当目标终端不在线时，将ARP信息进行缓存，当目标终端再次在线时，将缓存的ARP信息上报给服务端。服务端获取目标终端上报的ARP信息。

S120：将所述ARP信息与局域网中纳管的终端的信息进行对比，基于对比结果确定终端是否非法外联。

在本发明实施例中，局域网中纳管的终端可以认为是局域网中的合法终端。

在本发明实施例的一个实施方式中，可选的，所述将所述ARP信息与局域网中纳管的终端的信息进行对比，基于对比结果确定终端是否非法外联，包括：将获取的ARP信息中访问对端的介质访问控制MAC地址以及网络协议IP地址与局域网中纳管的终端的信息进行对比；若纳管的终端的信息中不包含所述ARP信息中的MAC地址以及IP地址，判断终端非法外联。若纳管的终端的信息中包含APP信息中的MAC地址以及IP地址，则判断终端没有非法外联。

其中，由于ARP信息中包含访问对端的MAC地址以及IP地址，若纳管的终端的信息中不包含ARP信息中的MAC地址以及IP地址，则表明终端访问的访问对端并不在纳管范围内，则表明终端访问的访问对端并不合法，则表明终端访问了外部网络，从而表明终端非法外联。若纳管的终端的信息中包含了ARP信息中的MAC地址以及IP地址，则表明终端访问的访问对端在纳管范围，则表明终端访问的访问对端在局域网络内，从而表明终端没有非法外联。

由此，通过将ARP信息中的MAC地址以及IP地址，与纳管的终端的信息进行对比，若纳管的终端的信息中不包含ARP信息中的MAC地址以及IP地址，判断终端非法外联，可以减少局域网通过终端造成的数据的泄露。

相关技术中，随着信息化技术日新月异的发展，传统网络部署方案在信息安全管理和控制方面存在很大的不足，已经无法控制终端通过网络、外部存储介质等方式进行非法数据传播。为了防止关键信息和核心数据的泄露和传播，需要有一种全新的、适应当前网络状况的网络部署和管理方案，以应对当前愈加严重的信息非法传播。

相关技术中的一种可以识别终端非法外联避免信息非法传播的方法需要对局域网内所有终端，交换机纳入管控，记录其资产信息，并在每个局域网内终端上安装监控客户端，同时需侦听交换机linkup/linkdown事件，才能实现对终端的非法连接外部网络进行识别。其中，交换机软硬件故障会对识别终端非法外联造成一定影响。为了保证局域网内数据安全，降低安全损失，保证效益，本发明实施例提供的方法，无需对交互机的事件进行监听，并不会受到交换机的硬性，可以保证局域网内数据安全，降低安全损失，保证效益。

本发明实施例提供的技术方案，通过获取目标终端上报的ARP信息，通过将ARP信息与局域网中纳管的终端的信息进行对比，基于对比结果判断目标终端是否非法外联，可以对局域网中终端非法访问外部网络的高危行为进行监控，可以减少局域网通过内部终端造成的重要数据的泄露，可以保证局域网内的数据安全。

图2是本发明实施例提供的一种终端非法外联的识别方法流程图，在本实施例中，可选的，本发明实施例提供的技术方案包括：

将局域网中纳管的终端的信息进行存储；其中，所述终端的信息包括终端的IP地址以及MAC地址。

可选的，本发明实施例提供的方法还可以包括：

若判断所述终端非法外联，产生报警信息。

可选的，本发明实施例提供的方法还可以包括：

若判断所述目标终端非法外联，产生报警信息。

可选的，所述将所述ARP信息与局域网中纳管的终端的信息进行对比，基于对比结果确定所述目标终端是否非法外联，包括：

将获取的ARP信息中访问对端的介质访问控制MAC地址以及网络协议IP地址，与局域网中纳管的终端的信息进行对比；

若纳管的终端的信息中不包含所述ARP信息中的MAC地址以及IP地址，判断所述目标终端非法外联。

如图2所示，本发明实施例提供的技术方案包括：

S210：将局域网中纳管的终端的信息进行存储；其中，所述终端的信息包括终端的IP地址以及MAC地址。

S220：获取目标终端上报的地址解析协议ARP信息。

S230：将获取的ARP信息中访问对端的介质访问控制MAC地址以及网络协议IP地址，与局域网中纳管的终端的信息进行对比。

S240：判断纳管的终端的信息中是否包含所述ARP信息中的MAC地址以及IP地址。

若是，执行S250以及S260，若否，执行S270。

其中，S210-S240的介绍可以参考上述实施例的介绍。

S250：判断所述目标终端非法外联，产生报警信息。

在本发明实施例中，服务端若判断目标终端非法外联，产生报警信息，并将报警信息进行发送或者展示。其中，报警信息的形式并不限制。由此，通过终端非法外联时，产生报警信息可以提醒责任人进行维护，从而保证局域网的数据安全。

S260：判断所述目标终端非法外联，阻断所述目标终端的非法连接。

在本发明实施例中，具体的，若服务端判断目标终端非法外联，可以向目标终端发送阻断指令，以使终端基于该指令切换与访问对端的连接，从而保证切换非法连接，从而保证局域网中的数据安全。

S270：判断所述目标终端没有非法外联，结束流程。

在上述实施例的基础上，还可以对局域网内纳管的交换机的信息进行存储，通过对交换机信息的监听判断是否终端是否非法外联，例如，若通过交换机的信息判断终端访问接入的端口并不正确，则判断终端非法外联。其中，纳管的交换机的信息包括交换机的IP地址，端口等。通过对纳管的交换机的信息进行存储，可以准确记录端口和终端的映射，防止乱用交换机的端口。

图3是本发明实施例提供的一种终端非法外联的识别方法流程图，所述方法可以由终端非法外联的识别装置来执行，所述装置可以由软件和/或硬件来实现，所述装置可以配置在终端，所述方法可以应用于局域网中对终端的非法外联进行监控的场景中。

如图3所示，本发明实施例提供的技术方案包括：

S310：采集ARP信息，其中，ARP信息中包含访问对端MAC地址以及IP地址。

在本发明实施例中，可以在目标终端上安装认证客户端，通过认证客户端采集、记录目标终端的地址解析协议(Address Resolution Protocol，ARP)信息，例如可以包括访问对端的IP地址、MAC地址、时间等。具体的，当目标终端在线时，将ARP信息实时上报给服务端，当目标终端不在线时，将ARP信息进行缓存，当目标终端再次在线时，将缓存的ARP信息上报给服务端。其中，认证客户端可以采集目标终端的IP地址、MAC地址、硬盘序列号、终端访问网络的ARP信息，并可以对采集的信息进行上报。

S320：将所述ARP信息上传至服务端。

具体的，当目标终端在线时，将ARP信息实时上报给服务端，当目标终端不在线时，将ARP信息进行缓存，当目标终端再次在线时，将缓存的ARP信息上报给服务端。其中，目标终端在线可以理解为目标终端与识别非法外联的服务端连接正常，目标终端不在线可以理解为目标终端与识别非法外联的服务端断开。

本发明实施例提供的技术方案，目标终端通过采集ARP信息，并上报给服务端，可以使服务端基于该ARP信息判断终端是否非法外联，从而保证局域网内的数据安全。

图4a是本发明实施例提供的一种终端非法外联的识别方法流程图，所述方法可以由终端和服务端共同来执行，如图4a所示，本发明实施例提供的技术方案包括：

S410：目标终端采集ARP信息，并将所述ARP信息上报给服务端；

S420：服务端获取所述ARP信息；

S430：所述服务端将所述ARP信息与局域网中需要纳管的终端的信息进行对比，基于对比结果确定所述目标终端是否非法外联。

其中，S410-S420可以参考上述实施例的介绍。

可选的，所述目标终端采集ARP信息，包括：

在所述目标终端安装认证客户端，并通过所述认证客户端采集ARP信息；

相应的，将所述ARP信息上报给服务端，包括：

若所述目标终端在线，实时将ARP信息上报给服务端；

若所述目标终端不在线，将所述ARP信息进行缓存，并当所述目标终端再次在线时，将缓存的ARP信息上报给服务端。

在本发明实施例中，认证客户端可以具有采集ARP信息的功能。

可选的，所述将所述ARP信息与局域网中纳管的终端的信息进行对比，基于对比结果确定所述目标终端是否非法外联，包括：

将获取的ARP信息中访问对端的介质访问控制MAC地址以及网络协议IP地址，与局域网中纳管的终端的信息进行对比；

若纳管的终端的信息中不包含所述ARP信息中的MAC地址以及IP地址，判断所述目标终端非法外联。

可选的，所述方法还可以包括：服务端将局域网中纳管的终端的信息进行存储；其中，所述终端的信息包括终端的IP地址以及MAC地址。

可选的，所述方法还包括：

服务端若判断所述目标终端非法外联，阻断所述目标终端的非法连接。

可选的，所述方法还包括：

若判断所述目标终端非法外联，产生报警信息。

其中，本发明实施例提供的方法还可以参考图4b。

本发明实施例提供的技术方案，目标终端通过采集ARP信息，并上报给服务端，服务端通过将ARP信息与局域网中纳管的终端的信息进行对比，基于对比结果判断目标终端是否非法外联，可以对局域网中终端非法访问外部网络的高危行为进行监控，可以精准得知终端是否连接外部网络，可以减少局域网通过内部终端造成的重要数据的泄露，可以保证局域网内的数据安全。

图5是本发明实施例提供的一种终端非法外联的识别装置结构框图，如图5所示，所述装置包括：获取模块510和确定模块520。

其中，获取模块510，用于获取目标终端的地址解析协议ARP信息；

确定模块520，用于将ARP信息与局域网中纳管的终端的信息进行对比，基于对比结果确定所述目标终端是否非法外联。

可选的，所述将所述ARP信息与局域网中纳管的终端的信息进行对比，基于对比结果确定所述目标终端是否非法外联，包括：

将获取的ARP信息中访问对端的介质访问控制MAC地址以及网络协议IP地址，与局域网中纳管的终端的信息进行对比；

若纳管的终端的信息中不包含所述ARP信息中的MAC地址以及IP地址，判断所述目标终端非法外联。

可选的，所述装置还包括存储模块，用于将局域网中纳管的终端的信息进行存储；其中，所述终端的信息包括终端的IP地址以及MAC地址。

可选的，所述装置还包括阻断模块，用于若判断所述目标终端非法外联，阻断所述目标终端的非法连接。

可选的，所述装置还包括报警模块，用于若判断所述目标终端非法外联，产生报警信息。

上述装置可执行本发明任意实施例所提供的方法，具备执行方法相应的功能模块和有益效果。

图6是本发明实施例提供的一种终端非法外联的识别系统，所述系统包括目标终端610和服务端620。

目标终端610，用于采集ARP信息，并将所述ARP信息上报给服务端620；

服务端620，用于获取所述ARP信息；

服务端620，用于将所述ARP信息与局域网中需要纳管的终端的信息进行对比，基于对比结果确定目标终端610是否非法外联。

可选的，目标终端610，用于安装认证客户端，并通过所述认证客户端采集ARP信息；

相应的，目标终端610，用于：

若在线，实时将ARP信息上报给服务端620；

若不在线，将所述ARP信息进行缓存，并当再次在线时，将缓存的ARP信息上报给服务端620。

图7是本发明实施例提供的一种电子设备结构示意图，如图7所示，该设备包括：

一个或多个处理器710，图7中以一个处理器710为例；

存储器720；

所述设备还可以包括：输入装置730和输出装置740。

所述设备中的处理器710、存储器720、输入装置730和输出装置740可以通过总线或者其他方式连接，图7中以通过总线连接为例。

存储器720作为一种非暂态计算机可读存储介质，可用于存储软件程序、计算机可执行程序以及模块，如本发明实施例中的一种终端非法外联的识别方法对应的程序指令/模块(例如，附图5所示的获取模块510和确定模块520)。处理器710通过运行存储在存储器720中的软件程序、指令以及模块，从而执行计算机设备的各种功能应用以及数据处理，即实现上述方法实施例的一种终端非法外联的识别方法，即：

获取目标终端上报的地址解析协议ARP信息；

将所述ARP信息与局域网中纳管的终端的信息进行对比，基于对比结果确定所述目标终端是否非法外联。

存储器720可以包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需要的应用程序；存储数据区可存储根据计算机设备的使用所创建的数据等。此外，存储器720可以包括高速随机存取存储器，还可以包括非暂态性存储器，例如至少一个磁盘存储器件、闪存器件、或其他非暂态性固态存储器件。在一些实施例中，存储器720可选包括相对于处理器710远程设置的存储器，这些远程存储器可以通过网络连接至终端设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

输入装置730可用于接收输入的数字或字符信息，以及产生与计算机设备的用户设置以及功能控制有关的键信号输入。输出装置740可包括输出接口等。

本发明实施例提供了一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现如本发明实施例提供的一种终端非法外联的识别方法：

获取目标终端上报的地址解析协议ARP信息；

将所述ARP信息与局域网中纳管的终端的信息进行对比，基于对比结果确定所述目标终端是否非法外联。

可以采用一个或多个计算机可读的介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。

计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括——但不限于——电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。

计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括——但不限于——无线、电线、光缆、RF等等，或者上述的任意合适的组合。

可以以一种或多种程序设计语言或其组合来编写用于执行本发明操作的计算机程序代码，所述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++，还包括常规的过程式程序设计语言—诸如”C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中，远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机，或者，可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。

注意，上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解，本发明不限于这里所述的特定实施例，对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此，虽然通过以上实施例对本发明进行了较为详细的说明，但是本发明不仅仅限于以上实施例，在不脱离本发明构思的情况下，还可以包括更多其他等效实施例，而本发明的范围由所附的权利要求范围决定。