一种非法外联检测方法、装置、设备及存储介质制造方法及图纸

本发明专利技术公开了一种非法外联检测方法，应用于部署于内网链路上的探针设备，该方法包括以下步骤：在监测到内网链路上存在第一主机发起的对HTTP业务服务器的第一请求报文时，如果确定第一主机符合非法外联检测条件，则生成重定向请求报文，重定向请求报文至少包含指向部署在互联网的外网监听服务器的http重定向信息；将重定向请求报文发送给第一主机，以使外网监听服务器在接收到第一主机发送的第二请求报文时，确定第一主机为非法外联主机。应用本发明专利技术实施例所提供的技术方案，减少了对内网网络环境及内网正常业务的运行的影响，提高了内网安全性。本发明专利技术还公开了一种非法外联检测装置、设备及存储介质，具有相应技术效果。

An Illegal Outreach Detection Method, Device, Equipment and Storage Media

The invention discloses an illegal outreach detection method, which is applied to probe devices deployed on Intranet links. The method comprises the following steps: when the first request message for HTTP service server initiated by the first host is detected on the intranet links, if the first host meets the condition of illegal outreach detection, the redirection request message is generated, and the redirection request message is sent to the HTTP service server. Include less HTTP redirection information to the external network monitoring server deployed on the Internet; send the redirection request message to the first host, so that when the external network monitoring server receives the second request message sent by the first host, it determines that the first host is an illegal external host. The technical scheme provided by the embodiment of the invention reduces the impact on the intranet network environment and the normal operation of the intranet, and improves the security of the intranet. The invention also discloses an illegal outreach detection device, equipment and storage medium, which has corresponding technical effects.

【技术实现步骤摘要】
一种非法外联检测方法、装置、设备及存储介质
本专利技术涉及计算机应用
，特别是涉及一种非法外联检测方法、装置、设备及存储介质。
技术介绍
随着计算机技术的快速发展，网络的发展速度越来越快，网络的安全性受到越来越高的关注。出于安全考虑，企事业单位会对员工的上网行为进行监控及限制。在有些场景下，如生产网、办公网、专网等，因安全规范或防泄密等要求，会禁止内网主机连接互联网，需要上网的数据往往会通过前置机或堡垒机之类的安全交换设备进行数据交换。还有些场景会配置统一上网环境，内网主机在经过验证后可依靠统一出口进行上网，在出口存在监听或管控。除上述上网方式外，内网一些主机可能存在非法外联行为。外联，是指从内网连接到互联网。非法外联，是指未授权的设备通过非法架设第三方上网通道(如私接WIFI、移动热点、私自代理服务器等)，连入互联网。非法外联行为容易因暴露面直接暴露到互联网而被利用，给内网带来安全隐患。目前，对于非法外联的检测主要是通过在内网链路上部署扫描服务器，在外网(互联网)上部署监听服务器，扫描服务器对内网全部主机发起伪造的源IP的扫描探测包，伪造的源IP为监听服务器的IP地址，主机收到扫描探测包后，向伪造的源IP回复报文，如果有非法通道，则会传递到监听服务器中，监听服务器根据访问信息来识别哪些主机为非法外联主机。这种方法存在一定的缺点，扫描服务器主动向内网全部主机发送扫描探测包，会占用内网带宽，而且存在被误报为攻击的可能，如使用ARP探测方式，容易形成ARP风暴，影响内网网络环境及内网正常业务的运行。
技术实现思路
本专利技术的目的是提供一种非法外联检测方法、装置、设备及存储介质，以减少对内网网络环境及内网正常业务的运行的影响，提高内网安全性。为解决上述技术问题，本专利技术提供如下技术方案：一种非法外联检测方法，应用于探针设备，所述探针设备部署于内网链路上，所述方法包括：在监测到所述内网链路上存在第一主机发起的对HTTP业务服务器的第一请求报文时，确定所述第一主机是否符合非法外联检测条件；如果是，则生成重定向请求报文，所述重定向请求报文至少包含指向部署在互联网的外网监听服务器的http重定向信息；将所述重定向请求报文发送给所述第一主机，以使所述外网监听服务器在接收到所述第一主机发送的第二请求报文时，确定所述第一主机为非法外联主机。在本专利技术的一种具体实施方式中，在确定所述第一主机符合非法外联检测条件时，在所述生成重定向请求报文之前，还包括：构造第一重置报文；将所述第一重置报文发送给所述HTTP业务服务器，以使所述HTTP业务服务器结束同所述第一主机的会话。在本专利技术的一种具体实施方式中，所述生成重定向请求报文，包括：截取所述HTTP业务服务器返回的基于所述第一请求报文的响应报文；对所述响应报文进行修改，生成重定向请求报文。在本专利技术的一种具体实施方式中，在所述将所述重定向请求报文发送给所述第一主机之后，还包括：如果监测到所述内网链路上存在所述第一主机发起的所述第二请求报文，则将所述第二请求报文做丢弃处理，或者，构造第二重置报文，将所述第二重置报文发送给所述第一主机，以使所述第一主机结束同所述外网监听服务器的会话。在本专利技术的一种具体实施方式中，所述http重定向信息至少包括所述外网监听服务器的链接地址和所述第一主机的标识。一种非法外联检测装置，应用于探针设备，所述探针设备部署于内网链路上，所述装置包括：是否检测确定模块，用于在监测到所述内网链路上存在第一主机发起的对HTTP业务服务器的第一请求报文时，确定所述第一主机是否符合非法外联检测条件；如果是，则触发重定向请求报文生成模块；所述重定向请求报文生成模块，用于生成重定向请求报文，所述重定向请求报文至少包含指向部署在互联网的外网监听服务器的http重定向信息；重定向请求报文发送模块，用于将所述重定向请求报文发送给所述第一主机，以使所述外网监听服务器在接收到所述第一主机发送的第二请求报文时，确定所述第一主机为非法外联主机。在本专利技术的一种具体实施方式中，还包括重置报文发送模块，用于：在确定所述第一主机符合非法外联检测条件时，在所述生成重定向请求报文之前，构造第一重置报文；将所述第一重置报文发送给所述HTTP业务服务器，以使所述HTTP业务服务器结束同所述第一主机的会话。在本专利技术的一种具体实施方式中，所述重定向请求报文生成模块，具体用于：截取所述HTTP业务服务器返回的基于所述第一请求报文的响应报文；对所述响应报文进行修改，生成重定向请求报文。在本专利技术的一种具体实施方式中，还包括第二请求报文处理模块，用于：在所述将所述重定向请求报文发送给所述第一主机之后，如果监测到所述内网链路上存在所述第一主机发起的所述第二请求报文，则将所述第二请求报文做丢弃处理，或者，构造第二重置报文，将所述第二重置报文发送给所述第一主机，以使所述第一主机结束同所述外网监听服务器的会话。一种探针设备，所述探针设备部署于内网链路上，包括：存储器，用于存储计算机程序；处理器，用于执行所述计算机程序时实现上述任一项所述非法外联检测方法的步骤。一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现上述任一项所述非法外联检测方法的步骤。应用本专利技术实施例所提供的技术方案，部署于内网链路的探针设备在监测到内网链路上存在第一主机发起的对HTTP业务服务器的第一请求报文时，如果确定第一主机符合非法外联检测条件，则生成重定向请求报文，该重定向请求报文至少包含指向部署在互联网的外网监听服务器的http重定向信息，将重定向请求报文发送给第一主机，这样外网监听服务器在接收到第一主机发送的第二请求报文时，可以确定第一主机为非法外联主机。通过探针设备在主机发起对HTTP业务服务器的访问请求时对主机进行非法外联检测，避免大量发包和流量占用，减少了对内网网络环境及内网正常业务的运行的影响，提高了内网安全性。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为本专利技术实施例中一种非法外联检测方法的实施流程图；图2为本专利技术实施例中主机正常访问HTTP业务服务器过程示意图；图3为本专利技术实施例中对主机进行非法外联检测过程示意图；图4为本专利技术实施例中一种非法外联检测装置的结构示意图；图5为本专利技术实施例中一种探针设备的结构示意图。具体实施方式为了使本
的人员更好地理解本专利技术方案，下面结合附图和具体实施方式对本专利技术作进一步的详细说明。显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。本专利技术的核心是提供一种非法外联检测方法，该方法应用于探针设备，该探针设备部署于内网链路上。探针设备为一种旁路部署方式的流量采集设备，一般用于态势感知产品进行采集分析，能识别流量访问中的五元组信息、应用/协议信息等。态势感知是一种基于环境的、动态的、整体地洞悉安全风险的能力，是以本文档来自技高网...

【技术保护点】
1.一种非法外联检测方法，其特征在于，应用于探针设备，所述探针设备部署于内网链路上，所述方法包括：在监测到所述内网链路上存在第一主机发起的对HTTP业务服务器的第一请求报文时，确定所述第一主机是否符合非法外联检测条件；如果是，则生成重定向请求报文，所述重定向请求报文至少包含指向部署在互联网的外网监听服务器的http重定向信息；将所述重定向请求报文发送给所述第一主机，以使所述外网监听服务器在接收到所述第一主机发送的第二请求报文时，确定所述第一主机为非法外联主机。

【技术特征摘要】
1.一种非法外联检测方法，其特征在于，应用于探针设备，所述探针设备部署于内网链路上，所述方法包括：在监测到所述内网链路上存在第一主机发起的对HTTP业务服务器的第一请求报文时，确定所述第一主机是否符合非法外联检测条件；如果是，则生成重定向请求报文，所述重定向请求报文至少包含指向部署在互联网的外网监听服务器的http重定向信息；将所述重定向请求报文发送给所述第一主机，以使所述外网监听服务器在接收到所述第一主机发送的第二请求报文时，确定所述第一主机为非法外联主机。2.根据权利要求1所述的方法，其特征在于，在确定所述第一主机符合非法外联检测条件时，在所述生成重定向请求报文之前，还包括：构造第一重置报文；将所述第一重置报文发送给所述HTTP业务服务器，以使所述HTTP业务服务器结束同所述第一主机的会话。3.根据权利要求1所述的方法，其特征在于，所述生成重定向请求报文，包括：截取所述HTTP业务服务器返回的基于所述第一请求报文的响应报文；对所述响应报文进行修改，生成重定向请求报文。4.根据权利要求1所述的方法，其特征在于，在所述将所述重定向请求报文发送给所述第一主机之后，还包括：如果监测到所述内网链路上存在所述第一主机发起的所述第二请求报文，则将所述第二请求报文做丢弃处理，或者，构造第二重置报文，将所述第二重置报文发送给所述第一主机，以使所述第一主机结束同所述外网监听服务器的会话。5.根据权利要求1至4之中任一项所述的方法，其特征在于，所述http重定向信息至少包括所述外网监听服务器的链接地址和所述第一主机的标识。6.一种非法外联检测装置，其特征在于，应用于探针设备，所述探针设备部署于内网链路上，所述装置包括：是否检测确定模块，用于在监测到所述内网链路上存在第一主机发起的对HTTP业务服务器的第一请...

【专利技术属性】
技术研发人员：吕晓滨，
申请(专利权)人：深信服科技股份有限公司，
类型：发明
国别省市：广东,44