[go: up one dir, main page]

CN112073381B - 一种连接互联网设备接入内网检测方法 - Google Patents

一种连接互联网设备接入内网检测方法 Download PDF

Info

Publication number
CN112073381B
CN112073381B CN202010810392.3A CN202010810392A CN112073381B CN 112073381 B CN112073381 B CN 112073381B CN 202010810392 A CN202010810392 A CN 202010810392A CN 112073381 B CN112073381 B CN 112073381B
Authority
CN
China
Prior art keywords
intranet
message
detection
random number
communication verification
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010810392.3A
Other languages
English (en)
Other versions
CN112073381A (zh
Inventor
卿昱
黄云婷
刘飞
伍荣
王邦礼
倪琛
孙皓
彭正冲
阎松
孙远清
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
CETC 30 Research Institute
Original Assignee
CETC 30 Research Institute
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by CETC 30 Research Institute filed Critical CETC 30 Research Institute
Priority to CN202010810392.3A priority Critical patent/CN112073381B/zh
Publication of CN112073381A publication Critical patent/CN112073381A/zh
Application granted granted Critical
Publication of CN112073381B publication Critical patent/CN112073381B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/12Network monitoring probes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • H04L61/5014Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

本发明公开了一种连接互联网设备接入内网检测方法,包括:利用随机数产生器产生探测随机数和验证随机数;基于探测随机数和DHCP协议构造探测报文和回复报文,内网终端利用探测报文和回复报文探测所有开启DHCP服务的网络设备,生成探测结果列表;基于验证随机数和TCP/IP协议构造互联网通信验证报文,内网终端通过所述探测结果列表中的网络设备向取证服务器发送互联网通信验证报文进行通信验证。本发明的方法不会造成内网终端实际外联,其安全性、可靠性更高,成本更低,用户使用体验更好,由此实现了对连接互联网设备接入内网的高可靠检测。

Description

一种连接互联网设备接入内网检测方法
技术领域
本发明涉及内网安全技术领域,尤其是一种连接互联网设备接入内网检测方法。
背景技术
内网安全涵盖多个方面,比如数据防泄漏、终端安全和网络安全等。企业内网无时无刻不在面临各种威胁,非法外联就是其中一种。针对内部网络的非法外联检测,企业一般会部署终端安全产品,一旦内部终端非法接入互联网,这类产品立即对终端进行阻断,禁止访问外网,确保内网安全。同时企业机构也会采用多种安全防护手段(如防火墙、网闸、安全网关、中间机等)来保证内部网络的物理独立性。
目前主流的终端安全产品主要采用普通的UDP、TCP通信协议检测终端与互联网常用地址的通信状态,来判断是否发生外联,这种方式由于局限于实际运用场景,仅对于即时发生的非法外联能够有效地发现并阻拦,但对于非即时发生或者间接发生的外联入侵行为缺少有效的检测手段,例如交换机连接到互联网,但并未发生外联访问的行为,而在这种情况下黑客完全有能力将病毒侵入企业内网。针对这种事件,以上手段无法有效地发现。
所以,网络设备(交换机、路由器)的非法外联作为非法外联行为最典型的一种,因其影响范围广、造成的损失大,是内网非法外联检测的重点。但目前始终缺乏有效的、系统的技术手段用于非法外联行为进行检测和取证,以及安全事件的回溯、追踪和责任认定。
发明内容
本发明所要解决的技术问题是:针对上述存在的问题,提供一种连接互联网设备接入内网检测方法。
本发明采用的技术方案如下:
一种连接互联网设备接入内网检测方法,包括如下步骤:
利用随机数产生器产生探测随机数和验证随机数;
基于探测随机数和DHCP协议构造探测报文和回复报文,内网终端利用探测报文和回复报文探测所有开启DHCP服务的网络设备,生成探测结果列表;
基于验证随机数和TCP/IP协议构造互联网通信验证报文,内网终端通过所述探测结果列表中的网络设备向取证服务器发送互联网通信验证报文进行通信验证。
在一些实施例中,所述内网终端利用探测报文和回复报文探测所有开启DHCP服务的网络设备,生成探测结果列表的方法,包括如下子步骤:
内网终端遍历与内网关联的网络设备,设置回复报文过滤条件,并开启回复报文接收线程;
内网终端在内网环境中广播探测报文,并等待接收回复报文;
内网终端周期性地通过回复报文接收线程接收回复报文;
内网终端从接收的回复报文中解析出探测随机数,并通过校对探测随机数识别出开启DHCP服务的网络设备;
内网终端将开启DHCP服务的网络设备保存到探测结果列表中。
在一些实施例中,所述内网终端通过所述探测结果列表中的网络设备向取证服务器发送互联网通信验证报文进行通信验证的方法,包括如下子步骤:
内网终端通过所述探测结果列表中的网络设备向取证服务器发送互联网通信验证报文;
取证服务器接收互联网通信验证报文;
取证服务器对接收到的互联网通信验证报文进行解析和来源验证,若验证成功,则说明该网络设备发生了非法外联行为。
在一些实施例中,所述内网终端通过所述探测结果列表中的网络设备向取证服务器发送互联网通信验证报文进行通信验证前,所述内网终端要先对互联网通信验证报文进行加密;所述取证服务器对接收到的加密后的互联网通信验证报文先进行解密后,再进行解析和来源验证。
在一些实施例中,所述回复报文和互联网通信验证报文还包括探测到的网络设备的网络参数。
在一些实施例中,取证服务器若验证出发生了非法外联行为的网络设备,则进行事件取证并产生非法外联告警信息。
综上所述,由于采用了上述技术方案,本发明的有益效果是:
本发明基于探测随机数和DHCP协议构造探测报文和回复报文来发现内网环境中所有开启DHCP服务的网络设备(即不属于内网配置范围内的网络设备),然后基于验证随机数和TCP/IP协议构造互联网通信验证报文,并结合取证服务器来进行安全通信验证,并不会造成内网终端实际外联,其安全性、可靠性更高,成本更低,用户使用体验更好,由此实现了对连接互联网设备接入内网的高可靠检测。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本发明的连接互联网设备接入内网检测方法的流程框图。
图2为本发明实施例搭建的网络环境拓扑图。
图3为本发明实施例的连接互联网设备接入内网检测方法的工作流程图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明,即所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,本发明的一种连接互联网设备接入内网检测方法,包括:
S1,利用随机数产生器产生探测随机数和验证随机数;
S2,基于探测随机数和DHCP协议构造探测报文和回复报文,内网终端利用探测报文和回复报文探测所有开启DHCP服务的网络设备,生成探测结果列表;
S3,基于验证随机数和TCP/IP协议构造互联网通信验证报文,内网终端通过所述探测结果列表中的网络设备向取证服务器发送互联网通信验证报文进行通信验证。
也就是说,本发明基于探测随机数和DHCP协议构造探测报文和回复报文来发现内网环境中所有开启DHCP服务的网络设备(即不属于内网配置范围内的网络设备),然后基于验证随机数和TCP/IP协议构造互联网通信验证报文,并结合取证服务器来进行安全通信验证,并不会造成内网终端实际外联,其安全性、可靠性更高,成本更低,用户使用体验更好,由此实现了对连接互联网设备接入内网的高可靠检测。
在一些实施例中,所述回复报文和互联网通信验证报文还包括探测到的网络设备的网络参数。也就是说,所述回复报文包括探测到的网络设备的探测随机数,以及相应的网络参数;所述互联网通信验证报文包括验证随机数,以及探测到的网络设备的网络参数。
在一些实施例中,所述内网终端利用探测报文和回复报文探测所有开启DHCP服务的网络设备,生成探测结果列表的方法,包括如下子步骤:
S21,内网终端遍历与内网关联的网络设备,设置回复报文过滤条件,并开启回复报文接收线程;
S22,内网终端在内网环境中广播探测报文,并等待接收回复报文;
S23,内网终端周期性地通过回复报文接收线程接收回复报文;
S24,内网终端从接收的回复报文中解析出探测随机数,并通过校对探测随机数识别出开启DHCP服务的网络设备;
S25,内网终端将开启DHCP服务的网络设备保存到探测结果列表中。
通过上述过程可以看出,本实施例主要是通过设置回复报文过滤条件以及校对探测随机数来探测所有开启DHCP服务的网络设备。
在一些实施例中,所述内网终端通过所述探测结果列表中的网络设备向取证服务器发送互联网通信验证报文进行通信验证的方法,包括如下子步骤:
S311,内网终端通过所述探测结果列表中的网络设备向取证服务器发送互联网通信验证报文;
S312,取证服务器接收互联网通信验证报文;
S313,取证服务器对接收到的互联网通信验证报文进行解析和来源验证,若验证成功,则说明该网络设备发生了非法外联行为。
再进一步,为了安全的取证,可以对互联网通信验证报文进行加密。也就是说,所述内网终端通过所述探测结果列表中的网络设备向取证服务器发送互联网通信验证报文进行通信验证前,所述内网终端要先对互联网通信验证报文进行加密;所述取证服务器对接收到的加密后的互联网通信验证报文先进行解密后,再进行解析和来源验证。那么,所述内网终端通过所述探测结果列表中的网络设备向取证服务器发送互联网通信验证报文进行通信验证的方法,包括如下子步骤:
S321,内网终端要对互联网通信验证报文进行加密;
S322,内网终端通过所述探测结果列表中的网络设备向取证服务器发送加密的互联网通信验证报文;
S323,取证服务器接收加密的互联网通信验证报文;
S324,取证服务器对接收到的加密的互联网通信验证报文先进行解密,再对解密后的互联网通信验证报文进行解析和来源验证,若验证成功,则说明该网络设备发生了非法外联行为。
在一些实施例中,取证服务器若验证出发生了非法外联行为的网络设备,则进行事件取证并产生非法外联告警信息,从而能够快速通知管理员进行处理。
以下结合实施例对本发明的特征和性能作进一步的详细描述。
如图2所示为本发明实施提供的网络环境拓扑图,本发明实施例基于内网终端、网络设备以及取证服务器三位一体的检测机制,通过内网终端周期性探测网络设备,发生非法外联时,能准确有效地向取证服务器上报非法外联的行为。
按照图2所示结构搭建连接互联网设备接入内网检测测试验证环境:
(1)启动取证服务器,配置路由器并开启DHCP服务,确保图中互联网终端能够自动与取证服务器进行通信;
(2)配置内网终端,确保内网终端能够与交换机进行通信;
(3)连接图中虚线,将路由器与交换机通过网线直连,模拟连接互联网的网络环境。
基于上述搭建的连接互联网设备接入内网检测测试验证环境,如图3所示为本发明实施例提供的一种连接互联网设备接入内网检测方法的工作流程图,所述方法包括如下步骤:
(1)启动取证服务器,运行互联网设备接入内网检测监听进程;
(2)启动或重置监听周期,并利用随机数产生器产生探测随机数和验证随机数;
(3)遍历与内网关联的所有网络设备,开启所有网络设备的探测报文接收线程;
(4)内网终端依据探测随机数和DHCP协议构造探测报文和回复报文;
(5)内网终端利用探测报文和回复报文探测开启DHCP服务的网络设备(即不属于内网配置范围内的网络设备),生成探测结果列表:
(5.1)内网终端遍历与内网关联的网络设备,设置回复报文过滤条件,并开启回复报文接收线程;
(5.2)内网终端在内网环境中广播探测报文,并等待接收回复报文;
(5.3)内网终端周期性地通过回复报文接收线程接收回复报文;
(5.4)内网终端从接收的回复报文中解析出探测随机数,并通过校对探测随机数识别出开启DHCP服务的网络设备;
(5.5)将开启DHCP服务的网络设备保存到探测结果列表中。
(6)内网终端依据验证随机数和TCP/IP协议构造互联网通信验证报文;
(7)内网终端通过所述探测结果列表中的网络设备向取证服务器发送互联网通信验证报文进行通信验证:
(7.1)内网终端对互联网通信验证报文进行加密;
(7.2)内网终端通过所述探测结果列表中的网络设备向取证服务器发送加密的互联网通信验证报文;
(7.3)取证服务器接收加密的互联网通信验证报文;
(7.4)取证服务器对接收到的互联网通信验证报文进行解析和来源验证,若验证成功,则说明该网络设备发生了非法外联行为;
(8)取证服务器若验证出发生了非法外联行为的网络设备,则进行事件取证并产生非法外联告警信息,通知管理员进行处理。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。

Claims (5)

1.一种连接互联网设备接入内网检测方法,其特征在于,包括:
利用随机数产生器产生探测随机数和验证随机数;
基于探测随机数和DHCP协议构造探测报文和回复报文,内网终端利用探测报文和回复报文探测所有开启DHCP服务的网络设备,生成探测结果列表;
基于验证随机数和TCP/IP协议构造互联网通信验证报文,内网终端通过所述探测结果列表中的网络设备向取证服务器发送互联网通信验证报文进行通信验证;取证服务器对接收到的互联网通信验证报文进行解析和来源验证,若验证成功,则说明该网络设备发生了非法外联行为。
2.根据权利要求1所述的连接互联网设备接入内网检测方法,其特征在于,所述内网终端利用探测报文和回复报文探测所有开启DHCP服务的网络设备,生成探测结果列表的方法,包括如下子步骤:
内网终端遍历与内网关联的网络设备,设置回复报文过滤条件,并开启回复报文接收线程;
内网终端在内网环境中广播探测报文,并等待接收回复报文;
内网终端周期性地通过回复报文接收线程接收回复报文;
内网终端从接收的回复报文中解析出探测随机数,并通过校对探测随机数识别出开启DHCP服务的网络设备;
内网终端将开启DHCP服务的网络设备保存到探测结果列表中。
3.根据权利要求1所述的连接互联网设备接入内网检测方法,其特征在于,所述内网终端通过所述探测结果列表中的网络设备向取证服务器发送互联网通信验证报文进行通信验证前,所述内网终端要先对互联网通信验证报文进行加密;所述取证服务器对接收到的加密后的互联网通信验证报文先进行解密后,再进行解析和来源验证。
4.根据权利要求1-3任一项所述的连接互联网设备接入内网检测方法,其特征在于,所述回复报文和互联网通信验证报文还包括探测到的网络设备的网络参数。
5.根据权利要求1-3任一项所述的连接互联网设备接入内网检测方法,其特征在于,取证服务器若验证出发生了非法外联行为的网络设备,则进行事件取证并产生非法外联告警信息。
CN202010810392.3A 2020-08-13 2020-08-13 一种连接互联网设备接入内网检测方法 Active CN112073381B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010810392.3A CN112073381B (zh) 2020-08-13 2020-08-13 一种连接互联网设备接入内网检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010810392.3A CN112073381B (zh) 2020-08-13 2020-08-13 一种连接互联网设备接入内网检测方法

Publications (2)

Publication Number Publication Date
CN112073381A CN112073381A (zh) 2020-12-11
CN112073381B true CN112073381B (zh) 2021-12-17

Family

ID=73661556

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010810392.3A Active CN112073381B (zh) 2020-08-13 2020-08-13 一种连接互联网设备接入内网检测方法

Country Status (1)

Country Link
CN (1) CN112073381B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113783724A (zh) * 2021-08-27 2021-12-10 国网江苏省电力有限公司南通供电分公司 一种终端准入监控预警平台
CN114244566B (zh) * 2021-11-17 2023-12-22 广东电网有限责任公司 基于ip地址的非法外联检测方法、装置、计算机设备
CN115277254A (zh) * 2022-09-26 2022-11-01 安徽华云安科技有限公司 基于udp传输协议的网络服务隐藏方法和装置

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101257388A (zh) * 2008-04-08 2008-09-03 华为技术有限公司 非法外联检测方法、装置及系统
CN101521578A (zh) * 2009-04-03 2009-09-02 北京邮电大学 一种封闭网络内检测计算机非法外联的方法
CN101789906A (zh) * 2010-02-24 2010-07-28 杭州华三通信技术有限公司 用户接入认证的方法和系统
CN105432039A (zh) * 2013-07-26 2016-03-23 皇家Kpn公司 网络中的探测路由
CN107888419A (zh) * 2017-11-14 2018-04-06 广东电网有限责任公司电力科学研究院 一种交换机网络拓扑生成方法及装置
CN110290154A (zh) * 2019-07-23 2019-09-27 北京威努特技术有限公司 一种非法外联检测设备、方法与存储介质
CN110768999A (zh) * 2019-10-31 2020-02-07 杭州迪普科技股份有限公司 一种设备非法外联的检测方法及装置
CN111130931A (zh) * 2019-12-17 2020-05-08 杭州迪普科技股份有限公司 一种违规外联设备的检测方法及装置

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9742726B2 (en) * 2015-02-26 2017-08-22 Red Hat Israel, Ltd. Distributed dynamic host configuration protocol
CN105959282A (zh) * 2016-04-28 2016-09-21 杭州迪普科技有限公司 Dhcp攻击的防护方法及装置
TWI674777B (zh) * 2018-11-09 2019-10-11 財團法人資訊工業策進會 異常流量偵測裝置及其異常流量偵測方法

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101257388A (zh) * 2008-04-08 2008-09-03 华为技术有限公司 非法外联检测方法、装置及系统
CN101521578A (zh) * 2009-04-03 2009-09-02 北京邮电大学 一种封闭网络内检测计算机非法外联的方法
CN101789906A (zh) * 2010-02-24 2010-07-28 杭州华三通信技术有限公司 用户接入认证的方法和系统
CN105432039A (zh) * 2013-07-26 2016-03-23 皇家Kpn公司 网络中的探测路由
CN107888419A (zh) * 2017-11-14 2018-04-06 广东电网有限责任公司电力科学研究院 一种交换机网络拓扑生成方法及装置
CN110290154A (zh) * 2019-07-23 2019-09-27 北京威努特技术有限公司 一种非法外联检测设备、方法与存储介质
CN110768999A (zh) * 2019-10-31 2020-02-07 杭州迪普科技股份有限公司 一种设备非法外联的检测方法及装置
CN111130931A (zh) * 2019-12-17 2020-05-08 杭州迪普科技股份有限公司 一种违规外联设备的检测方法及装置

Also Published As

Publication number Publication date
CN112073381A (zh) 2020-12-11

Similar Documents

Publication Publication Date Title
CN112073381B (zh) 一种连接互联网设备接入内网检测方法
US11250687B2 (en) Network jamming detection and remediation
Maynard et al. Towards understanding man-in-the-middle attacks on IEC 60870-5-104 SCADA networks
CN108769073B (zh) 一种信息处理方法及设备
CN101283539B (zh) 网络安全设备
JP3824274B2 (ja) 不正接続検知システム及び不正接続検知方法
Jackson Intrusion detection system (IDS) product survey
Hui et al. Investigating current plc security issues regarding siemens s7 communications and TIA portal
CN104811449A (zh) 检测撞库攻击方法及系统
Mantere et al. Challenges of machine learning based monitoring for industrial control system networks
CN106713061B (zh) 监测攻击报文的方法、系统及装置
US11516229B2 (en) Control device and control system
CN114257413B (zh) 基于应用容器引擎的反制阻断方法、装置和计算机设备
Januário et al. Security challenges in SCADA systems over Wireless Sensor and Actuator Networks
CN108111303A (zh) 一种智能家庭网关的安全连接方法
CN102209006B (zh) 规则测试设备及方法
Paul et al. Towards the protection of industrial control systems–conclusions of a vulnerability analysis of profinet IO
Weerathunga et al. The importance of testing Smart Grid IEDs against security vulnerabilities
CN113660216B (zh) 口令攻击检测方法、装置、电子装置和存储介质
CN115622726A (zh) 基于opc ua的异常检测和恢复系统以及方法
Kim et al. Modbus monitoring for networked control systems of cyber-defensive architecture
CN109040137B (zh) 用于检测中间人攻击的方法、装置以及电子设备
CN114205169B (zh) 网络安全防御方法、装置及系统
US11057769B2 (en) Detecting unauthorized access to a wireless network
Robinson et al. A cyber-defensive industrial control system with redundancy and intrusion detection

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant