(19)国家知识产权局
(12)发明专利申请
(10)申请公布号 (43)申请公布日 (21)申请号 202210158467.3
(22)申请日 2022.02.21
(71)申请人 北京北信源软件股份有限公司
地址 100081 北京市海淀区中关村南大街
34号中关村科技发展大厦C座1602室
(72)发明人 林皓 袁杨洋 杨华 杨泳
牟永鹏 于世刚
(74)专利代理机构 北京路浩知识产权代理有限
公司 11002
专利代理师 张睿
(51)Int.Cl.
H04L 9/40(2022.01)
H04L 12/46(2006.01)
H04L 65/611(2022.01)
H04L 101/622(2022.01)
(54)发明名称
及系统
(57)摘要
本发明提供一种多网络互联的网络违规外
联检测方法、装置及系统,方法包括:获取待检测
VLAN ID信息和IP地址信息,得到实测数据;根据
实测数据与预设的正常数据的对比结果,确定可
疑数据包;提取可疑数据包中的二层MAC地址;构
建检测数据包,将检测数据包发送至外部告警服
务器;外部告警服务器在接收到检测数据包后,
判定存在多网络互联的网络违规外联行为。通过
捕获可疑数据包,并构建检测数据包,将检测数
据包发送至外部告警服务器,基于外部告警服务
器接收到检测数据包与否,检测多网络互联的网
络违规外联行为,使得违规外联检测场景的覆盖
更加全面。权利要求书2页 说明书9页 附图3页CN 114584352 A 2022.06.03
C N 114584352
A
1.一种多网络互联的网络违规外联检测方法,其特征在于,包括:
获取待检测网络内传输的有用数据包,提取并分析所述有用数据包内VLAN ID信息和IP地址信息,得到实测数据;
根据所述实测数据与预设的正常数据的对比结果,确定可疑数据包;
提取所述可疑数据包中的二层MAC地址;
根据所述二层MAC地址、所述可疑数据包内VLAN ID信息和IP地址信息以及预设的真实网络数据,构建检测数据包,并将所述检测数据包发送至外部告警服务器;
其中,所述外部告警服务器用于在接收到所述检测数据包后,判定存在多网络互联的网络违规外联行
为。
2.根据权利要求1所述的一种多网络互联的网络违规外联检测方法,其特征在于,所述有用数据包为包含IP地址信息的二层广播数据包或组播数据包。
3.根据权利要求1所述的一种多网络互联的网络违规外联检测方法,其特征在于,根据所述二层MAC地址、所述可疑数据包内VLAN ID信息和IP地址信息以及预设的真实网络数据,构建检测数据包,包括:
以检测网口真实MAC地址为源MAC地址,以所述二层MAC地址为目的MAC地址,以所述可疑数据包内VLAN ID信息作为检测数据包的VLAN ID信息,以检测设备管理口IP地址为IP源地址,以外部告警服务器的IP地址为IP目的地址,生成格式内容;
根据所述待检测网络正常连通的IP地址段、所述可疑数据包对应的可疑IP地址段、所述二层MAC地址、所述可疑数据包内VLAN ID信息和IP地址信息以及加密防伪数据,生成数据内容;
基于所述格式内容和所述数据内容,构建得到检测数据包。
4.根据权利要求1所述的一种多网络互联的网络违规外联检测方法,其特征在于,根据所述实测数据与预设的正常数据的对比结果,确定可疑数据包,包括:
获取待检测网络中正常连通的IP地址段以及所述正常连通的IP地址段关联的VLANID 信息,作为正常数据;
将所述实测数据中的IP地址信息与所述正常数据中所述VLAN ID信息对应的正常连通的IP地址段进行比较;
若所述IP地址信息在所述正常连通的IP地址段以外,则将所述有用数据包作为可疑数据包。
5.一种多网络互联的网络违规外联检测装置,其特征在于,包括:
第一处理模块,用于获取待检测网络内传输的有用数据包,提取并分析所述有用数据包内VLAN ID信息和IP地址信息,得到实测数据;
第二处理模块,用于根据所述实测数据与预设的正常数据的对比结果,确定可疑数据包;
第三处理模块,用于提取所述可疑数据包中的二层MAC地址;
第四处理模块,用于根据所述二层MAC地址、可疑数据包内VLANID信息和IP地址信息以及预设的真实网络数据,构建检测数据包,并将所述检测数据包发送至外部告警服务器;其中,所述外部告警服务器用于在接收到所述检测数据包后,判定存在多网络互联的网络违规外联行为。
6.一种多网络互联的网络违规外联检测系统,其特征在于,包括:检测设备和外部告警服务器,所述检测设备部署于待检测网络内并与所述待检测网络内的交换机连接,所述外部告警服务器部署于外部网络中;
所述检测设备用于获取待检测网络内传输的有用数据包,提取并分析所述有用数据包内VLAN ID信息和IP地址信息,得到实测数据;根据所述实测数据与预设的正常数据的对比结果,确定可疑数据包;提取所述可疑数据包中的二层MAC地址;根据所述二层MAC地址、可疑数据包内VLAN ID信息和IP地址信息以及预设的真实网络数据,构建检测数据包,并将所述检测数据包发送至外部告警服务器;
所述外部告警服务器用于在接收到所述检测数据包后,判定存在多网络互联的网络违规外联行为。
7.根据权利要求6所述的一种多网络互联的网络违规外联检测系统,其特征在于,所述检测设备与所述待检测网络内交换机的TRUNK接口连接。
8.一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至4任一项所述多网络互联的网络违规外联检测方法的步骤。
9.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至4任一项所述多网络互联的网络违规外联检测方法的步骤。
10.一种计算机程序产品,包括计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至4任一项所述多网络互联的网络违规外联检测方法的步骤。
多网络互联的网络违规外联检测方法、装置及系统
技术领域
[0001]本发明涉及网络信息安全技术领域,尤其涉及一种多网络互联的网络违规外联检测方法、装置及系统。
背景技术
[0002]当前,在对网络信息安全具有较高要求的网络环境中,普遍要求禁止终端设备的内外网互联,即违规外联行为。为检测违规外联行为,常通过对被检测终端安装检测软件,实时监测发现违规;还可以通过伪造源地址的方式进行违规外联检测,具体通过在网络中部署检测设备,通过伪造源地址为外部告警地址的数据包,发送给被检测终端,使其回复响应,若被测终端能回复响应到外部告警地址,则说明终端同时连通了内、外部网络。[0003]然而,上述传统的违规外联检测方法,仅关注了主动的终端违规,未关注因网络配置错误而出现网络串线形成的多网互联,进而在二层联通,形成网络整体违规外联的情形。[0004]因而,现有的违规外联检测方法对违规外联的场景覆盖不够全面。
发明内容
[0005]本发明提供一种多网络互联的网络违规外联检测方法、装置及系统,用以解决现有技术中违规外联检测方法对违规外联的场景覆盖不够全面的缺陷,实现对多网络互联的网络违规外联行为进行全面的检测。
[0006]第一方面,本发明提供一种多网络互联的网络违规外联检测方法,该方法包括:[0007]获取待检测网络内传输的有用数据包,提取并分析所述有用数据包内VLAN ID信息和IP地址信息,得到实测数据;
[0008]根据所述实测数据与预设的正常数据的对比结果,确定可疑数据包;
[0009]提取所述可疑数据包中的二层MAC地址;
[0010]根据所述二层MAC地址、所述可疑数据包内VLAN ID信息和IP地址信息以及预设的真实网络数据,构建检测数据包,并将所述检测数据包发送至外部告警服务器;
[0011]其中,所述外部告警服务器用于在接收到所述检测数据包后,判定存在多网络互联的网络违规外联行为。
[0012]根据本发明提供的一种多网络互联的网络违规外联检测方法,所述有用数据包为包含IP地址信息的二层广播数据包或组播数据包。
[0013]根据本发明提供的一种多网络互联的网络违规外联检测方法,根据所述二层MAC 地址、所述可疑数据包内VLAN ID信息和IP地址信息以及预设的真实网络数据,构建检测数据包,包括:
[0014]以检测网口真实MAC地址为源MAC地址,以所述二层MAC地址为目的MAC地址,以所述可疑数据包内VLAN ID信息作为检测数据包的VLAN ID信息,以检测设备管理口IP地址为IP源地址,以外部告警服务器的IP地址为IP目的地址,生成格式内容;
[0015]根据所述待检测网络正常连通的IP地址段、所述可疑数据包对应的可疑IP地址
段、所述二层MAC地址、可疑数据包内VLAN ID信息和IP地址信息以及加密防伪数据,生成数据内容;
[0016]基于所述格式内容和所述数据内容,构建得到检测数据包。
[0017]根据本发明提供的一种多网络互联的网络违规外联检测方法,根据所述实测数据与预设的正常数据的对比结果,确定可疑数据包,包括:
[0018]获取待检测网络中正常连通的IP地址段以及所述正常连通的IP地址段关联的VLAN ID信息,作为正常数据;
[0019]将所述实测数据中的IP地址信息与所述正常数据中所述VLAN ID信息对应的正常连通的IP地址段进行比较;
[0020]若所述IP地址信息在所述正常连通的IP地址段以外,则将所述有用数据包作为可疑数据包。
[0021]第二方面,本发明还提供一种多网络互联的网络违规外联检测装置,该装置包括:[0022]第一处理模块,用于获取待检测网络内传输的有用数据包,提取并分析所述有用数据包内VLAN ID信息和IP地址信息,得到实测数据;
[0023]第二处理模块,用于根据所述实测数据与预设的正常数据的对比结果,确定可疑数据包;
[0024]第三处理模块,用于提取所述可疑数据包中的二层MAC地址;
[0025]第四处理模块,用于根据所述二层MAC地址、可疑数据包内VLAN ID信息和IP地址信息以及预设的真实网络数据,构建检测数据包,并将所述检测数据包发送至外部告警服务器;其中,所述外部告警服务器用于在接收到所述检测数据包后,判定存在多网络互联的网络违规外联行为。
[0026]第三方面,本发明还提供一种多网络互联的网络违规外联检测系统,该系统包括:检测设备和外部告警服务器,所述检测设备部署于待检测网络内并与所述待检测网络内的交换机连接,所述外部告警服务器部署于外部网络中;
[0027]所述检测设备用于获取待检测网络内传输的有用数据包,提取并分析所述有用数据包内VLAN ID信息和IP地址信息,得到实测数据;根据所述实测数据与预设的正常数据的对比结果,确定可疑数据包;提取所述可疑数据包中的二层MAC地址;根据所述二层MAC地址、可疑数据包内VLAN ID信息和IP地址信息以及预设的真实网络数据,构建检测数据包,并将所述检测数据包发送至外部告警服务器;
[0028]所述外部告警服务器用于在接收到所述检测数据包后,判定存在多网络互联的网络违规外联行为。
[0029]根据本发明提供的一种多网络互联的网络违规外联检测系统,所述检测设备与所述待检测网络内交换机的TRUNK接口连接。
[0030]第四方面,本发明还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述任一种所述多网络互联的网络违规外联检测方法的步骤。
[0031]第五方面,本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述任一种所述多网络互联的网络违规外联检测方法的步骤。
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议