本发明专利技术公开了基于HTTP的违规外联检测技术,包括探测服务器、通知服务器、内部网络交换器、违规外联设备和互联网取证服务器,所述互联网取证服务器通过互联网连接违规外联设备,所述违规外联设备通过线束连接内部网络交换器,所述内部网络交换器在通过线束连接通知服务器,所述探测服务器通过流量镜像端口链接内部网络交换机从而获取流量信息,在互联网部署取证服务器,网络交换机,是一个扩大网络的器材,能为子网络中提供更多的连接端口,以便连接更多的连接服务器;本基于HTTP的违规外联检测技术具有对终端电脑违规外联发现,并自动告警违规终端入网阻断处理的优点。警违规终端入网阻断处理的优点。警违规终端入网阻断处理的优点。
【技术实现步骤摘要】
基于HTTP的违规外联检测技术
[0001]本专利技术涉及互联网
,具体为基于HTTP的违规外联检测技术。
技术介绍
[0002]在针对企业和敏感行业的公司内部网络,是禁止终端电脑在使用内部网络的同时接入互联网的,这种行为会给内部网络带来黑客入侵,病毒传播和数据泄露等一系列严重的安全事件。
[0003]针对该情况,目前有相关的无客户端违规外联发现技术,使用ICMP或TCP发包进行探测,通过终端电脑回应报文到互联网或特定网卡进行判断,但存在非常大的缺陷,首先ICMP回应报文只能同网卡回应,而一般违规外联是有双网卡的,内部网络一个网卡,互联网一个网卡,ICMP回应报文会返回到过来的网卡上,所以很难探测到互联网网卡的存在,而TCP是通过伪造互联网的syn请求进行探测,实际上网络环境中存在大量的NAT,经过NAT后,是无法回应syn请求的,这种方式只能是所有终端电脑都是公网IP的场景下才能实现,而目前IPv4耗尽的情况下,是没有过多的公网IP分配的,所以该方式在现实环境中局限性太大。
技术实现思路
[0004]本专利技术的目的在于提供基于HTTP的违规外联检测技术,具有对终端电脑违规外联发现,并自动告警违规终端入网阻断处理的优点,解决了现有技术中的问题。
[0005]为实现上述目的,本专利技术提供如下技术方案:基于HTTP的违规外联检测技术,包括探测服务器、通知服务器、内部网络交换器、违规外联设备和互联网取证服务器,互联网取证服务器通过互联网连接违规外联设备,违规外联设备通过线束连接内部网络交换器,内部网络交换器在通过网络连接通知服务器,内部网络交换器在通过镜像网络连接探测服务器。
[0006]优选的,所述探测服务器和通知服务器,探测服务器通过镜像交换机的流量。
[0007]优选的,所述在互联网取证服务器,并部署B域名,违规外联设备在内网进行访问网站业务时,会产生http业务数据,该数据报文会镜像到探测服务器,探测服务器发现http报文数据时,按报文的请求,伪造302跳转B域名报文,并发送给违规外联设备。
[0008]优选的,所述内部网络交换机,是一个扩大网络的器材,能为子网络中提供更多的连接端口,以便连接更多的连接服务器。
[0009]优选的,所述违规外联设备接收到302跳转B域名报文时,浏览器会触发跳转,访问部署在互联网的取证服务器B域名,在取证服务器发现存在设备访问B域名时,再次向违规外联设备发送302跳转,使其访问在内部网络的通知服务器,通知服务器在接收到访问时,即认定访问对象出现了违规外联,保存数据,并向管理员发出通知。
[0010]与现有技术相比,本专利技术的有益效果如下:1.本基于HTTP的违规外联检测技术采用内部网络部署探测服务器和通知服务器,探测服务器通过镜像交换机的流量.在互联网部署取证服务器,并部署B域名,违规外联设
备在内网进行访问网站业务时,会产生http业务数据,该数据报文会镜像到探测服务器,探测服务器发现http报文数据时,按报文的请求,伪造302跳转B域名报文,并发送给违规外联设备,违规外联设备接收到302跳转B域名报文时,浏览器会触发跳转,访问部署在互联网的取证服务器B域名,在取证服务器发现存在设备访问B域名时,再次向违规外联设备发送302跳转,使其访问在内部网络的通知服务器,通知服务器在接收到访问时,即认定访问对象出现了违规外联,保存数据,并向管理员发出通知。
附图说明
[0011]图1为本专利技术基于HTTP的违规外联检测技术的整体结构连接示意图。
具体实施方式
[0012]下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例,基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。
[0013]在本专利技术的描述中,需要理解的是,术语“上”、“下”、“前”、“后”、“左”、“右”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本专利技术和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本专利技术的限制。
[0014]实施例1:请参阅图1,基于HTTP的违规外联检测技术,包括探测服务器、通知服务器、内部网络交换器、违规外联设备和互联网取证服务器,互联网取证服务器通过互联网连接违规外联设备,违规外联设备通过线束连接内部网络交换器,内部网络交换器在通过线束连接通知服务器,内部网络交换器在通过镜像网络连接探测服务器,采用HTTP劫持技术探测设备是否外联的方式,首先在内部网络旁路部署探测服务器,通过流量镜像,获取内部网络流量信息,通常情况下,出现违规外联的设备必然使用浏览器访问内部或互联网内容,在流量获取到设备访问内部http服务后,探测服务器伪造目的地址数据进行回应,并在http数据报文上对链接进行302跳转,设备原先访问A域名经过302跳转后,会再次请求由探测服务器指定的B域名,而B域名则是取证服务器。
[0015]具体的,采用内部网络部署探测服务器和通知服务器,内部服务器通过镜像交换机的流量,在互联网部署取证服务器,并部署B域名,违规外联设备在内网进行访问网站业务时,会产生http业务数据,该数据报文会镜像到探测服务器,探测服务器发现http报文数据时,按报文的请求,伪造302跳转B域名报文,并发送给违规外联设备,违规外联设备接收到302跳转B域名报文时,浏览器会触发跳转,访问部署在互联网的取证服务器B域名,在取证服务器发现存在设备访问B域名时,再次向违规外联设备发送302跳转,使其访问在内部网络的通知服务器,通知服务器在接收到访问时,即认定访问对象出现了违规外联,保存数据,并向管理员发出通知。
[0016]工作原理:本专利技术基于HTTP的违规外联检测技术,首先在内部网络旁路部署探测服务器,通过流量镜像,获取内部网络流量信息,通常情况下,出现违规外联的设备必然使
用浏览器访问内部或互联网内容,在流量获取到设备访问内部http服务后,探测服务器伪造目的地址数据进行回应,并在http数据报文上对链接进行302跳转,设备原先访问A域名经过302跳转后,会再次请求由探测服务器指定的B域名,而B域名则是取证服务器。如果设备不存在违规外联,会无法跳转从而中断访问,如果设备存在外联的情况,会自动访问部署在互联网的取证服务器。如果部署在互联网的取证服务器接收到对应的违规外联设备访问时,证明该设备存在违规外联,同时取证服务器的http对违规外联的设备请求同样进行302跳转,使其再次重新访问内部网络的通知服务器,通知服务器只用于接收存在违规外联设备的访问,当该设备访问通知服务器时,设备的IP信息将记录在通知服务器上,并向管理员发出告警信息。
[0017]以上显示和描述了本专利技术的基本原理和主要特征和本专利技术的优点,对于本领域技术人员而言,显然本专利技术不限于上述示范本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.基于HTTP的违规外联检测技术,包括探测服务器、通知服务器、内部网络交换器、违规外联设备和互联网取证服务器,其特征在于:所述互联网取证服务器通过互联网连接违规外联设备,所述违规外联设备通过线束连接内部网络交换器,所述内部网络交换器在通过线束连接通知服务器,所述探测服务器通过流量镜像端口链接内部网络交换机从而获取流量信息。2.根据权利要求1所述的基于HTTP的违规外联检测技术,其特征在于:所述探测服务器通过镜像交换机的流量,在互联网部署取证服务器。3.根据权利要求1所述的基于HTTP的违规外联检测技术,其特征在于:所述互联网取证服务器,并部署B域名,违规外联设备在内网进行访问网站业务时,会产生http业务数据,该数据报文会镜像到探...
【专利技术属性】
技术研发人员:陈志荣,李汉群,罗智超,刘乐,
申请(专利权)人:广州世安信息技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。