(19)中华人民共和国国家知识产权局
(12)发明专利申请
(10)申请公布号 (43)申请公布日 (21)申请号 201710944207.8
(22)申请日 2017.09.30
(71)申请人 北京北信源软件股份有限公司
地址 100008 北京市海淀区中关村南大街
34号中关村科技发展大厦C座1602室
(72)发明人 林皓 宋美玉 钟力 毕永东
冯艳 何建萌
(51)Int.Cl.
H04L 12/24(2006.01)
H04L 29/06(2006.01)
(54)发明名称一种无代理的违规外联监测方法和系统(57)摘要本发明提供一种无代理的违规外联监测方法,包括:当内网终端主机访问业务网站网页时,JS代码随网页一起经过浏览器被下载到终端主机;JS代码从终端主机访问外网监测服务器;一旦外网监测服务器收到来自JS代码的访问数据,就立刻进行违规外联报警,同时将访问数据中的外网IP地址返回JS代码;JS代码将终端主机的外网IP地址和内网IP地址一起发送到内网监测服务器;一旦内网监测服务器收到JS代码发来的数据,就立刻进行违规外联报警。本发明还提供一种无代理的违规外联监测系统,包括内网监测模块、外网监测模块以及JS代码。通过本发明的方法和系统,可以在不安装代理客户端的终端主机 上实现违规外联行为监测。权利要求书1页 说明书4页 附图3页CN 107733706 A 2018.02.23
C N 107733706
A
1.一种无代理的违规外联监测方法,分为以下步骤:
S1:当内网终端主机访问业务网站网页时,JS代码随网页一起经过浏览器被下载到终端主机;
S2:JS代码从终端主机访问外网监测服务器;
S3:一旦外网监测服务器收到来自JS代码的访问数据,就立刻进行违规外联报警,同时将访问数据中的终端主机外网IP地址返回JS代码;
S4:JS代码将终端主机的外网IP地址和内网IP地址一起发送到内网监测服务器;
S5:一旦内网监测服务器收到JS代码发来的数据,就立刻进行违规外联报警。
2.如权利要求1所述的违规外联监测方法,其特征在于,在所述步骤S1之前,需在内网安装部署内网监测服务器,在外网安装部署外网监测服务器,同时在内网业务网站上嵌入JS代码。
3.一种无代理的违规外联监测系统,包括内网监测模块、外网监测模块和JS代码,其特征在于:
内网监测模块,安装运行在内网服务器上,用于在内网监测违规外联行为并产生报警信息;
外网监测模块,安装运行在外网服务器上,用于在外网监测违规外联行为并产生报警信息;
JS代码,嵌入在内网业务网站中,用于探测内网终端主机有无违规连接外网的网络通道。
4.如权利要求3所述的违规外联监测系统,其特征在于,所述内网监测模块一旦收到JS 代码发来的数据,就立刻产生报警信息。
5.如权利要求3所述的违规外联监测系统,其特征在于,所述外网监测模块一旦收到JS 代码发来的访问数据,就立刻产生报警信息,同时将访问数据中的终端主机外网IP地址返回JS代码。
6.如权利要求3所述的违规外联监测系统,其特征在于,所述JS代码在内网终端主机访问业务网站时,会随网页一起经过浏览器被下载到所述终端主机。
7.如权利要求3所述的违规外联监测系统,其特征在于,所述JS代码还包括:在被下载到终端主机后,就会立刻运行并访问外网监测模块。
8.如权利要求3所述的违规外联监测系统,其特征在于,进一步地,所述JS代码一旦获得从外网监测模块返回的终端主机外网IP地址,就会将终端主机的外网IP地址和内网IP地址一起发送到内网监测模块。
9.如权利要求4或5所述的违规外联监测系统,其特征在于,所述报警信息分为内网报警信息和外网报警信息,所述内网报警信息包含终端主机的内网IP地址、外网IP地址和主机属性数据,所述外网报警信息包含终端主机的外网IP地址和主机属性数据。
权 利 要 求 书1/1页CN 107733706 A
一种无代理的违规外联监测方法和系统
技术领域
[0001]本发明属于信息安全领域,涉及内网终端主机的违规外联监测技术,尤其涉及一种无代理的违规外联监测方法和系统。
背景技术
[0002]随着互联网技术的不断发展和普及,各类终端设备层出不穷,越来越多的桌面终端和多元化的私有终端接入企业内网已成为未来发展的必然趋势。在某些企业或者单位的网络环境中,往往都是直连网,并不允许网内的电脑同时连接内网和互联网。但有些员工在内网中私自搭建子网,在子网中连接互联网,出现员工违规外联的现象,这会给企业网带来很大的安全风险。
[0003]目前,违规外联监测技术往往需要依赖代理客户端,即通过在接通内网的终端主机和服务器上分别安装客户端程序和服务端程序,并且在管理中心部署违规外联在线监测管理系统。然而,在没有代理客户端的内网中,往往难以监测到子网中的违规外联行为。过去,曾经出现了一种利用源地址欺骗的无代理违规外联监测方法,但由于存在一些网络攻击属性而被终端主机安全软件拦截,造成监测失效的可能性很大,监测结果不准确。[0004]为此,本发明提供了一种无需在终端主机设备上安装代理客户端便能监测违规外联的方法和系统,利用特制的JavaScript脚本程序,无须在终端主机安装,即可实现准确的违规外联监测。
发明内容
[0005]本发明的目的是提供一种无代理的违规外联监测方法和系统,对企业或组织内网环境中的违规外联行为进行监测。通过特制的JavaScript脚本程序随网页被下载到终端主机浏览器中运行,实现对终端主机违规网络通信通道的探测。
[0006]本发明提供的一种无代理的违规外联监测方法,分为以下步骤:S1:当内网终端主机访问业务网站网页时,JS代码随网页一起经过浏览器被下载到终端主机;
S2:JS代码从终端主机访问外网监测服务器;
S3:一旦外网监测服务器收到来自JS代码的访问数据,就立刻进行违规外联报警,同时将访问数据中的终端主机外网IP地址返回JS代码;
S4:JS代码将终端主机的外网IP地址和内网IP地址一起发送到内网监测服务器;
S5:一旦内网监测服务器收到JS代码发来的数据,就立刻进行违规外联报警。[0007]在所述步骤S1之前,需在内网安装部署内网监测服务器,在外网安装部署外网监测服务器,同时在内网业务网站上嵌入JS代码。
[0008]进一步地,当所述步骤S2中JS代码访问外网监测服务器失败时,说明终端主机不存在违规外联的网络通信通道,没有违规外联行为。
[0009]另外,本发明还提供了一种无代理的违规外联监测系统,所述系统包括内网监测
模块、外网监测模块和JS代码,其中,
内网监测模块,安装运行在内网服务器上,用于在内网监测违规外联行为并产生报警信息;
外网监测模块,安装运行在外网服务器上,用于在外网监测违规外联行为并产生报警信息;
JS代码,嵌入在内网业务网站中,用于探测内网终端主机有无违规连接外网的网络通道。
[0010]所述JS代码随网页一起经过浏览器被下载到终端主机后,将访问外网监测服务器,若访问成功,说明终端主机存在与外网监测服务器的网络连接通道,也就可以证明终端主机出现了违规外联行为;反之,若访问失败,则说明终端主机没有与外网监测服务器的网络连接通道,也就可以证明终端主机未出现违规外联行为。
[0011]所述外网监测模块一旦收到JS代码发来的访问数据,就说明存在违规外联行为,随即产生报警信息,同时提取访问数据中的源IP地址,该源IP地址就是终端主机的外网IP 地址,并将外网IP地址返回JS代码。
[0012]进一步地,所述JS代码一旦获得从外网监测模块返回的终端主机外网IP地址,就将终端主机的外网IP地址和内网IP地址一起发送到内网监测模块。JS代码在终端主机的浏览器中被解析执行,能够轻易获得终端主机的内网IP地址。
[0013]若所述内网监测模块一旦收到JS代码发来的数据,说明发现存在违规外联通信通道,随即产生报警信息。
[0014]所述报警信息分为内网报警信息和外网报警信息,所述内网报警信息包含终端主机的内网IP地址、外网IP地址和主机属性数据,所述外网报警信息包含终端主机的外网IP 地址和主机属性数据。这里,主机属性数据包括终端主机所属单位/部门、使用用户等信息。[0015]通过本发明提供的方法和系统,可以在不安装代理客户端的终端主机上实现准确的违规外联行为监测,为违规外联监测提供了一种更简便的手段。
附图说明
[0016]图1为本发明的一种无代理违规外联监测系统的应用部署图;
图2为本发明的一种无代理违规外联监测方法的流程图;
图3为本发明实施例提供的一种无代理违规外联监测方法的流程图;
图4为本发明的一种无代理违规外联监测系统的结构示意图。
具体实施方式
[0017]下面结合附图并通过具体实施方式来进一步说明本发明的技术方案。
[0018]图1为本发明较佳的一种无代理违规外联监测系统的应用部署图。如图1所示,显示了本发明的应用模型。在内网中安装部署内网监测服务器,在外网中安装部署外网监测服务器,并在内网业务网站嵌入JS代码。
[0019]图2为本发明的一种无代理违规外联监测方法的流程图,如图2所示,该方法流程图包括以下步骤:
步骤S201,当内网终端主机访问业务网站网页时,JS代码随网页一起经过浏览器被下
载到终端主机;
步骤S202,JS代码从终端主机访问外网监测服务器;
步骤S203,一旦外网监测服务器收到来自JS代码的访问数据,就立刻进行违规外联报警,同时将访问数据中的终端主机外网IP地址返回JS代码;
步骤S204,JS代码将终端主机的外网IP地址和内网IP地址一起发送到内网监测服务器;
步骤S205,一旦内网监测服务器收到JS代码发来的数据,就立刻进行违规外联报警。[0020]在所述步骤S201之前,需在内网安装部署内网监测服务器,在外网安装部署外网监测服务器,同时在内网业务网站上嵌入JS代码。
[0021]图3为本发明实施例提供的一种无代理违规外联监测方法的流程图,如图3所示,该实施例提供的方法流程图包括以下步骤:
步骤S301,在内网安装部署内网监测服务器,在外网安装部署外网监测服务器,同时在内网业务网站上嵌入JS代码;
步骤S302,终端机访问业务网站时, JS代码随网页一起经浏览器被下载到终端主机;
步骤S303,JS代码尝试访问外网监测服务器;
步骤S304,判断JS是否能成功访问外网监测服务器,若JS代码成功访问外网监测服务器,进入步骤S305;反之,则监测过程结束;
步骤S305,外网监测服务器产生报警信息,并将所述终端主机的外网IP地址返回JS代码;
上述JS代码成功访问外网监测服务器时,外网监测服务器通过socket连接获取外网IP 地址。
[0022]步骤S306,JS代码将所述终端机的外网IP地址和内网IP地址发送给内网监测服务器;
步骤S307,内网检测服务器收到JS代码发送的数据,内网检测服务器产生报警信息。[0023]图4为本发明的一种无代理违规外联监测的系统结构示意图,如图4所示,该系统包括内网监测模块、外网监测模块和JS代码,其中,
内网监测模块401,安装运行在内网服务器上,用于在内网监测违规外联行为并产生报警信息;
外网监测模块402,安装运行在外网服务器上,用于在外网监测违规外联行为并产生报警信息;
JS代码403,嵌入在内网业务网站中,用于探测内网终端主机有无违规连接外网的网络通道。
[0024]所述JS代码随网页一起经过浏览器被下载到终端主机后,将尝试访问外网监测服务器,若访问成功,则说明出现违规外联行为;反之,若访问失败,则说明未出现违规外联行为,此时监测过程结束。
[0025]另外,所述外网监测模块一旦收到JS代码发来的访问数据,就立刻产生报警信息,同时将访问数据中的终端主机外网IP地址返回JS代码。
[0026]进一步地,所述JS代码一旦获得从外网监测模块返回的终端主机外网IP地址,就将终端主机的外网IP地址和内网IP地址一起发送到内网监测模块。
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议