一种设备非法外联的检测方法及系统

技术领域

本发明涉及设备非法外联检测技术领域，尤其涉及一种设备非法外联的检测方法及系统。

背景技术

当前，在一些具有较高网络安全要求的使用场景中，如企业、银行、政府和军队等对信息安全极为敏感的机构，通常仅使用内部局域网络来实现内部设备之间的通信功能。同时，为了防止病毒以及网络攻击从外部网络侵入，也会禁止内部设备与外部网络进行通信连接。

然而，由于在内部网络和外部网络之间缺乏行之有效的隔离措施和监控管理手段，处在内网中的内部主机依然可以通过调制解调器、双网卡等网络设备非法接入外部网络。由此，对内部网络的信息安全构成极大威胁，极易造成数据失密、黑客入侵等严重后果。

传统的网络安全产品不能够在众多的内部设备中准确地发现哪些设备正在进行非法外联，由此给对非法外联设备的准确监管工作带来难度，同时，网络的安全性较低。

发明内容

有鉴于此，本发明提供一种设备非法外联的检测方法及系统，至少部分解决现有技术中存在的技术问题。

根据本发明的一个方面，提供了一种设备非法外联的检测方法，包括：

检测设备发送检测信息至待测设备，其中，所述检测信息所对应的源地址为外网服务器地址，所述检测信息包括所述待测设备的设备标识；

所述待测设备根据所述检测信息生成检测响应信息，所述检测响应信息包括所述设备标识；

所述待测设备向所述外网服务器地址发送所述检测响应信息；

当所述外网服务器地址对应的外网服务器接收到所述待测设备发送的所述检测响应信息时，确定所述待测设备为非法外联设备，所述外网服务器根据所述设备标识确定所述非法外联设备的地址。

在本发明一种可能的实现方式中，所述检测信息具有标识信息，所述检测响应信息还包括所述标识信息；

所述外网服务器根据所述设备标识确定所述非法外联设备的地址，包括：

所述外网服务器获取所述标识信息所对应的解析规则；

所述外网服务器根据所述解析规则对所述检测响应信息进行解析，以得到所述非法外联设备的地址。

在本发明一种可能的实现方式中，所述检测设备发送检测信息至待测设备，包括：

所述检测设备获取原始信息；

所述检测设备将所述原始信息中的设定字段中的内容进行修改，以得到所述检测信息；

所述检测设备发送所述检测信息至所述待测设备；

所述响应检测信息由所述检测信息修改所述设定字段以外的内容得到。

在本发明一种可能的实现方式中，所述检测设备发送检测信息至待测设备，包括：

所述检测设备根据ICMP协议生成时间戳信息；

所述检测设备将所述时间戳信息的发起时间戳修改为所述待测设备的设备标识；

所述检测设备将所述时间戳信息所对应的源地址修改为外网服务器地址；

所述检测设备将修改完成后的所述时间戳信息发送至所述待测设备。

在本发明一种可能的实现方式中，在所述检测设备发送修改完成后的时间戳信息至所述待测设备之前，所述设备非法外联的检测方法还包括：

所述检测设备将所述时间戳信息中的标识符修改为所述标识信息。

在本发明一种可能的实现方式中，所述待测设备的设备标识与所述发起时间戳的数据形式相同。

在本发明一种可能的实现方式中，在检测设备发送检测信息至待测设备之前，所述设备非法外联的检测方法还包括：

所述检测设备获取至少一个所述待测设备的设备标识；

所述检测设备根据所述待测设备的设备标识及设备身份信息的对应关系，生成设备信息表。

在本发明一种可能的实现方式中，检测设备发送检测信息至待测设备包括：

所述检测设备根据所述设备信息表生成至少一个所述检测信息；

所述检测设备发送至少一个所述检测信息至对应的所述待测设备。

在本发明一种可能的实现方式中，所述外网服务器地址及所述设备标识均为设备的IPV4地址。

根据本发明的另一个方面，还提供了一种设备非法外联的系统，包括：

检测设备，用于发送所述检测信息至所述待测设备，其中，所述检测信息所对应的源地址为外网服务器地址，所述检测信息包括所述待测设备的设备标识；

外网服务器，用于获取所述待测设备根据所述检测信息生成的所述检测响应信息，所述检测响应信息包括所述设备标识；并当所述外网服务器地址对应的外网服务器接收到所述待测设备发送的所述检测响应信息时，确定所述待测设备为非法外联设备，所述外网服务器根据所述设备标识确定所述非法外联设备的地址。

本发明所提供的一种设备非法外联的检测方法及系统，检测设备向待检测设备发送一个源地址为外网服务器地址且包括设备标识的检测信息，待测设备可以根据检测信息生成一个包括设备标识的检测响应信息，且将该检测响应信息向外网服务器地址进行发送。由于待测设备都是内网设备，故而，若是待测设备没有非法外联，则待测设备向外网服务器地址发送的检测响应信息是无法发送出去的，同样，外网服务器也接收不到检测响应信息。一旦外网服务器收到了检测响应信息，则说明接收到的检测响应信息对应的待测设备进行了非法外联。

所以，当外网服务器地址对应的外网服务器接收到检测响应信息时，则可以判断出有待测设备为非法外联设备，并且外网服务器还可以根据检测响应信息中的设备标识来确定非法外联设备的地址。

由此，不仅可以检测出是否有设备进行非法外联，并且可以通过解析出来的地址来对非法外联的设备进行查找定位，由此可以便于对非法外联设备进行准确监管，以进一步提高网络的安全性。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。

图1为本发明一实施例中一种设备非法外联的检测方法的流程示意图；

图2为本发明另一实施例中一种设备非法外联的检测方法的流程示意图；

图3为本发明另一实施例中一种设备非法外联的检测方法的流程示意图；

图4为本发明另一实施例中一种设备非法外联的检测方法的流程示意图；

图5为本发明另一实施例中一种设备非法外联的检测方法的流程示意图；

图6为本发明另一实施例中一种设备非法外联的检测方法的流程示意图；

图7为本发明另一实施例中一种设备非法外联的检测方法的流程示意图；

图8为本发明另一实施例中一种设备非法外联的系统的使用状态示意图。

具体实施方式

下面结合附图对本发明实施例进行详细描述。

需说明的是，在不冲突的情况下，以下实施例及实施例中的特征可以相互组合；并且，基于本公开中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本公开保护的范围。

需要说明的是，下文描述在所附权利要求书的范围内的实施例的各种方面。应显而易见，本文中所描述的方面可体现于广泛多种形式中，且本文中所描述的任何特定结构及/或功能仅为说明性的。基于本公开，所属领域的技术人员应了解，本文中所描述的一个方面可与任何其它方面独立地实施，且可以各种方式组合这些方面中的两者或两者以上。举例来说，可使用本文中所阐述的任何数目个方面来实施设备及/或实践方法。另外，可使用除了本文中所阐述的方面中的一或多者之外的其它结构及/或功能性实施此设备及/或实践此方法。

根据本发明的一个方面，提供了一种设备非法外联的检测方法，如图1所示包括：

步骤S11：检测设备401发送检测信息至待测设备500，其中，检测信息所对应的源地址为外网服务器地址，检测信息包括待测设备500的设备标识；

步骤S12：待测设备500根据检测信息生成检测响应信息，检测响应信息包括设备标识；

步骤S13：待测设备500向外网服务器地址发送检测响应信息；以及

步骤S14：当外网服务器地址对应的外网服务器402接收到待测设备500发送的检测响应信息时，待测设备500为非法外联设备，外网服务器402根据设备标识确定非法外联设备的地址。

其中，由于检测信息所对应的源地址为外网服务器地址，故而能够使得待测设备500将外网服务器地址作为检测响应信息的目标发送地址进行发送。另外，设备标识与待测设备500之间唯一对应，由此使得外网服务器能够通过设备标识直接查找到对应的待测设备500。

由于待测设备500都是内网设备，故而，若是待测设备500没有非法外联，则其向外网服务器地址发送的检测响应信息是无法发送出去的，同样，外网服务器402也接收不到检测响应信息。一旦外网服务器402接收到了检测响应信息，则说明接收到的检测响应信息对应的待测设备500进行了非法外联。

具体的在众多的待测设备500发送检测响应信息后，如果其中的某台待测设备500可以与外部网络进行非法通信连接，则，由该台待测设备500向外网服务器地址发送的检测响应信息必然可以被对应的外网服务器402接收到，由此，一旦外网服务器402接收到检测响应信息，则可以直接判断出必然有待测服务器与外部网络进行连接，也即在众多的待测设备500中必然中存在非法外联设备。同时，可以通过检测响应信息中所携带的设备标识，来具体确认出每一台非法外联设备的地址，由于，非法外联设备的地址与每一台在内网中的待测设备500是唯一对应的，由此，可以准确快速的定位出具体的哪一台待测设备500是非法外联设备。

在本发明一种可能的实施方式中，如图2所示，检测信息具有标识信息，检测响应信息还包括标识信息；外网服务器402根据设备标识确定非法外联设备的地址，包括：

步骤S141：外网服务器402获取标识信息所对应的解析规则；

步骤S142：外网服务器402根据解析规则对检测响应信息进行解析，以得到非法外联设备的地址。

具体的，在本实施例中外网服务器402不仅可以接收处理由内网中的待测设备500发送的响应检测信息，并且还可以正常接收处理由外网中的设备所发送的信息。所以外网服务器402可以通过识别接收到的信息中是否有标识信息来判断接收到的信息是否为待测设备500发送的响应检测信息。如果，响应检测信息中不设置标识信息，则外网服务器402在进行识别接收到的信息是否为检测响应信息时，需要先将接收到的信息的内容全部解析出来，然后再通解析出来的内容来判断是否为响应检测信息。由此，通过设置标识信息，可以节省大部分信息解析的步骤以及无需通过解析出的全部内容来判断是否为响应检测信息的步骤。所以，外网服务器402通过标识信息可以更加快速的识别出接收到的信息是否为响应检测信息。通常为了能够更加快速的解析出标识信息的内容，在生成响应检测信息时，需要将标识信息放置在响应检测信息的头部位置，以便更加快速的被解析出来。

另外，设置与标识信息所对应的解析规则，使得用于解析响应检测信息的解析规则可以与常规的解析规则不同，该解析规则可以由工作人员自行设计确定。由此，可以保证当响应检测信息在外网环境中被截获后，不容易通过常规的解析规则解析出响应检测信息中的内容，由此，保证了响应检测信息中数据的安全性。

在本发明一种可能的实施方式中，如图3所示，检测设备401发送检测信息至待测设备500，包括：

步骤S111：检测设备401获取原始信息；

该原始信息可以由其他设备生成再发送给检测设备401，或者是直接由检测设备401生成。

步骤S112：检测设备401将原始信息中的设定字段中的内容进行修改，以得到检测信息；

具体的，检测设备401可以将原始信息中的第一设定字段的内容修改为设备标识，以此来使检测信息携带设备标识。并将原始信息所对应的源地址修改为外网服务器地址，由此，经过以上修改后得到检测信息。

步骤S113：检测设备401发送所述检测信息至待测设备500；响应检测信息由检测信息修改所述设定字段以外的内容得到。

通过将原始信息内的第一设定字段的内容修改为设备标识，并且，将检测信息所对应的源地址修改为外网服务器地址，来实现对设备标识以及外网服务器地址的携带。并且，设备标识以及外网服务器地址分别与对应的被修改的内容的数据形式相同，如都具有相同的字节数。由此，修改后得到的检测信息与原始信息在外部的数据形式上是一样的，仅是其内部携带的数据内容发生了变化。由此，在不解析出检测信息的内容的情况下，是无法判断出原始信息是否发生了改动的。也即，假如原始信息的数据形式为A，原始信息的数据内容为A

在本发明一种可能的实施方式中，如图4所示，检测设备401发送检测信息至待测设备500，包括：

步骤S1111：检测设备401根据ICMP协议生成时间戳信息；

步骤S1121：检测设备401将时间戳信息的发起时间戳修改为待测设备500的设备标识；

步骤S1131：检测设备401将时间戳信息所对应的源地址修改为外网服务器地址；以及

步骤S1151：检测设备401将修改完成后的时间戳信息发送至待测设备500。

由于，有ICMP协议生成的时间戳信息中的发起时间戳是可以由发起者(即检测设备)进行修改的，且接受者生成响应信息是直接对时间戳信息进行修改且不会对其中的发起时间戳进行改动，所以，将由ICMP协议生成的时间戳信息当做检测信息，可以更加容易的将设备标识以及外网服务器地址携带至时间戳信息中。便于本实施例中的方案的实现。

在本发明一种可能的实施方式中，如图5所示，在检测设备401发送修改完成后的时间戳信息至待测设备500之前，设备非法外联的检测方法还包括：

步骤S1141：检测设备401将时间戳信息中的标识符修改为标识信息。

通过将时间戳信息中原有的标识符修改为标识信息，也即将原始信息内的第二设定字段的内容修改为标识信息，如将标识符C修成标识信息D，以实现对标识信息的携带。由此，不仅满足了对标识符信息的携带要求，同时，整个检测信息以时间戳的格式存在更加隐蔽安全，不容易被发现，由此，也可以进一步提高待测设备500非法外联检测的成功率。

在本发明一种可能的实施方式中，待测设备500的设备标识与发起时间戳的数据形式相同。同时，标识符与标识信息的数据形式也要相同，也即将要加入的修改信息要与被修改部分的数据形式相同，由此，可以保证时间戳信息本身的合规性，也保证被修改后的时间戳信息与未被修改的时间戳信息一样顺利的完成通讯。

在本发明一种可能的实施方式中，如图6所示，在检测设备401发送检测信息至待测设备500之前，设备非法外联的检测方法还包括：

步骤S01：检测设备401获取至少一个待测设备500的设备标识；以及

步骤S02：检测设备401根据待测设备500的设备标识及设备身份信息的对应关系，生成设备信息表。

本实施例中的设备标识可以为待测设备500对应的IPV4地址，由此，可以实现待测设备500与设备标识的唯一对应关系。而在实际使用中，经常是在内网网络中会同时存在多台待测设备500，将这些待测设备500的IPV4地址与设备身份信息对应后生成设备信息表。由此，设备信息表中设备身份信息可以直观的显示出待测设备500的所属部门、使用人员信息以及设备的物理编号等实际信息，并且，每一条设备身份信息也与该待测设备500的IPV4地址唯一对应。

在检测设备401需要生成多台待测设备500对应的多个检测信息时，可以通过选中设备信息表中的对应的待测设备500的物理编号来对应选中待测设备500的IPV4地址，由此来批量生成多台待测设备500的检测信息。由此，可以更加便于操作人员更加方便操作检测设备401。同时，当后期检测出有非法外联的设备时，也可以根据非法外联的待测设备500的IPV4地址，在设备信息表中查找到对应的待测设备500的物理编号，由此可以更加便于工作人员及时查找到对应的待测设备500。

在本发明一种可能的实施方式中，如图7所示，检测设备401发送检测信息至待测设备500包括：

步骤S03：检测设备401根据设备信息表生成至少一个检测信息；以及

步骤S04：检测设备401发送至少一个检测信息至对应的待测设备500。

具体的，本实施例中可以根据设备信息表中的信息来对应生成多台设备的检测信息，由此可以便于对多台待测设备500进行批量检测，可以提高检测的效率。

在本发明一种可能的实施方式中，外网服务器地址及设备标识均为设备的IPV4地址。

根据本发明的另一个方面，还提供了一种设备非法外联的系统40，如图8所示包括：

检测设备401，用于发送检测信息至待测设备500，其中，检测信息所对应的源地址为外网服务器地址，检测信息包括待测设备500的设备标识；以及

外网服务器402，用于获取待测设备500根据检测信息生成的检测响应信息，检测响应信息包括设备标识；并当外网服务器地址对应的外网服务器402接收到待测设备500发送的检测响应信息时，确定待测设备500为非法外联设备，外网服务器402根据设备标识确定非法外联设备的地址。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。