內聯網計算機與網際網路未授權連接監測系統及方法

2023-09-23 06:42:25 1

專利名稱：內聯網計算機與網際網路未授權連接監測系統及方法
技術領域：
本發明涉及計算機網絡安全領域，具體地說，是在一個要求與網際網路隔離的內聯網上監測內聯網上是否有計算機與網際網路進行未授權連接的系統。此外，本發明還公開了其監測方法。
2、在網絡的邊界安裝防火牆等訪問控制設備。防火牆的作用是設置一定的訪問權限，只有訪問權限之內的用戶才能夠通過防火牆進行訪問，如果不在訪問權限之內，就被防火牆擋住。
這兩種方法的缺點是內聯網用戶可能通過數據機撥號等方法直接連入網際網路，來破壞內聯網與網際網路物理隔絕性，或避開訪問控制的權限要求。如

圖1所示。正常的內聯網是使用防火牆作為訪問控制設備來控制區域網內機器與不受信任的廣域網上的機器的通訊，所有進出區域網的通訊都需要等到防火牆的授權。防火牆保證了區域網免受來自廣域網的攻擊，保護內聯網內的中重要服務的正常運行，防止機密數據被洩漏。圖1右側線路下面的器件就是一個防火牆，圖1底下的一排線路是內聯網及網上的用戶，上面的結構表示網際網路，防火牆上面的是一個路由器，圖1左側表示一臺內聯網的計算機通過一臺數據機撥號直接接入網際網路，這時，網際網路通過該計算機與內聯網的通訊將沒有任何訪問控制機制，防火牆就失去了其應有的作用。網際網路上可以發起對該計算機的攻擊，如果攻擊成功，還可以進一步對整個內聯網進行攻擊。
為了監測和防止這種違反安全策略直接與網際網路相連的情況出現，採用的方式一般有兩種方式一是在集團的電話程控交換機上禁止網際網路服務提供商的撥入電話號碼，這種方法的缺點是網際網路服務提供商是在不斷變化的，其電話號碼也可能不斷變化，不大可能禁止所有的網際網路服務提供商撥入電話號碼。加上隨著技術的發展，現在接入網際網路方法越來越多，可以使用無線上網卡或手機上網的方式，集團的電話程控交換機就無能為力了。
另一種方法是使用一臺計算機控制數據機給所有懷疑的集團電話撥號，根據被撥號電話的反應來判斷該電話是否被用於進行撥號。這種方法的缺點除了上述的接入網際網路的方法不一定使用集團的電話外，還會影響對被探測電話的使用者。根據檢索結果，還未見有使用網絡方法來監測內聯網上計算機直接與網際網路相連的產品、設備和方法。
為實現上述目的，本發明的解決方案是一種內聯網計算機與網際網路未授權連接監測系統，它包括在與網際網路隔離的支持TCP/IP協議的內聯網中設置的內網伺服器，用於發送欺騙的探測網絡數據到內聯網內的目標計算機；連接在網際網路上的外網伺服器，用於接收目標計算機對探測網絡數據的應答，根據是否收到應答來判斷被監測的目標計算機是否接入網際網路或與網際網路斷開。
其中，探測網絡數據其IP幀頭中，源IP位址使用外網伺服器綁定的IP位址，目的IP位址為內聯網內目標計算機的IP位址。
本發明的內聯網計算機與網際網路未授權連接監測方法包括a、內網伺服器連接於內聯網，外網伺服器綁定於與網際網路相連的一個IP位址，事先獲取內網伺服器的MAC地址和外網伺服器綁定的IP位址；b、內網伺服器按獲取的上述配置信息偽造探測網絡數據；c、內網伺服器向目標計算機發送上述探測網絡數據；d、外網伺服器根據返回的探測網絡數據的應答數據來判斷目標計算機是否直接與網際網路相連外網伺服器如果收不到任何應答數據則表示該計算機沒有直接與網際網路相連；如果收到應答數據，則判斷是否是通過授權的路由進行應答，如果是，則該計算機沒有與網際網路相連，如果不是，則可斷定其與網際網路相連。
由於本發明中，內網伺服器向目標計算機發送的是偽造的探測網絡數據，其IP幀頭中，源地址不是內網伺服器發送網絡接口上的IP位址，而是外網伺服器綁定的IP位址，這對於內聯網來說是一個外部地址，目標計算機如果正在接入網際網路，該計算機就至少有兩個網絡接口，根據RFC的要求，對這個網絡數據進行應答時，將選擇接入網際網路的那個接口進行應答，從而該應答暴露了其正在接入網際網路。或者說，由於本發明使用網絡的方法來監測被懷疑的目標計算機，使用網絡的方法使得不論被探測的目標計算機使用何種接入方式都可以準確地得知是否與已接入網際網路，不管被探測的計算機是使用集團電話、手機、無線上網卡還是使用另一個網卡接入網際網路，都能被網絡發現，達到了實時探測出被監控網段上所有存在未授權外聯的計算機的IP位址的效果。另外，本發明不用增加額外的硬體配置。
圖2是系統應用網絡結構示意圖。
圖3為偽造的IP幀結構圖。
圖4為本發明的方法流程圖。
其監測流程如圖4所示，具體如下(1)外網伺服器綁定於與網際網路相連的一個IP位址，事先獲取內網伺服器的MAC地址和外網伺服器綁定的IP位址。這些都是必要的配置信息。
(2)內網伺服器按上述配置信息偽造探測網絡數據。圖3為偽造的探測網絡數據幀結構。正常的數據幀結構包括IP報頭、TCP報頭兩部分，IP報頭又包括4位版本號、4位報頭長度、8位服務類型、16位總長度、16位標識等等，TCP報頭有包括6位源埠、16位目的埠、32位序列號等等，如圖3所示。偽造的探測網絡數據幀結構與正常的數據幀結構的區別僅在於其IP報頭中，源地址不是內網伺服器發送網絡接口上的IP位址，而是(1)中獲取的外網伺服器綁定的IP位址，目的IP位址為內聯網內目標計算機的IP位址。該探測網絡數據為IP協議數據，封裝在以太協議中。在該幀結構中，以太幀頭都是正常的，其中源MAC地址，是使用發送網絡接口的MAC地址，而目的MAC地址則根據RFC的規定，如果是在同一子網中，則直接使用目標計算機網絡接口的MAC地址，如果不再同一子網中，則使用默認路由器的MAC地址，再由路由器中轉繼續往下找目的計算機。關於MAC地址這一部分在圖3中未示，但與一般的幀結構沒有區別。這樣，當內網伺服器向目標計算機發送探測網絡數據時，就能夠按MAC地址找到目標計算機。但目標計算機應答時是按IP幀頭的源地址應答，而源地址不是內網伺服器發送網絡接口上的IP位址，而是外網伺服器綁定的IP位址，這對於內聯網來說是一個外部地址，目標計算機如果正在接入網際網路，該計算機就至少有兩個網絡接口，根據RFC的要求，對這個網絡數據進行應答時，將選擇接入網際網路的那個接口進行應答，從而該應答暴露了其正在接入網際網路。
(3)內網伺服器向目標計算機發送上述探測網絡數據，使用發送原始包的方法來發送就可以。
(4)發送正常的網絡數據，被探測的目標計算機的應答都是正常的，應答數據不會含有其是否正在接入網際網路的任何信息。因發送的是偽造探測網絡數據，如果是正常的計算機，其應答數據將通過防火牆和路由器到達外網伺服器，或被防火牆拒絕通過，在該網絡是物理隔絕的情況下，應答數據被網絡丟棄；如果目標計算機正在接入網際網路，該計算機有兩個網絡接口，將選擇接入網際網路的那個接口進行應答。這樣，外網伺服器就可以根據返回的探測網絡數據的應答數據來判斷目標計算機是否直接與網際網路相連外網伺服器如果收不到任何應答數據則表示該計算機沒有直接與網際網路相連；如果收到應答數據，則判斷是否是通過授權的路由進行應答，如果是，則該計算機沒有與網際網路相連，如果不是，則可斷定其與網際網路相連。
另外，還可以在監測到內聯網的計算機與網際網路未授權連接的情況下，記錄下開始連接和結束連接的時間。並對探測到的未授權外聯的信息進行統計分析，總結出未授權外聯發生的時間分布規律和IP分布規律，對企業的管理提供事實上的依據。
本發明對內網伺服器和外網伺服器的要求是內網伺服器採用可以發送原始TCP/IP數據的伺服器，只有可以發送原始TCP/IP數據的伺服器才能夠任意修改網絡數據的IP報頭中的源地址；外網伺服器採用可以接收原始TCP/IP數據的伺服器，只有這種伺服器才能接收任意修改的網絡數據IP報頭中的源地址。內網伺服器和外網伺服器可以安裝在同一臺物理計算機上，或是不同的物理計算機上。
權利要求
1.一種內聯網計算機與網際網路未授權連接監測系統，它包括在與網際網路隔離的支持TCP/IP協議的內聯網中設置的內網伺服器，用於發送欺騙的探測網絡數據到內聯網內的目標計算機；連接在網際網路上的外網伺服器，用於接收目標計算機對探測網絡數據的應答，根據是否收到應答來判斷被監測的目標計算機是否接入網際網路或與網際網路斷開。
2.如權利要求1所述的內聯網計算機與網際網路未授權連接監測系統，其特徵在於所述的探測網絡數據是這樣的結構在其IP幀頭中，源IP位址使用外網伺服器綁定的IP位址，目的IP位址為內聯網內目標計算機的IP位址。
3.如權利要求1或2所述的內聯網計算機與網際網路未授權連接監測系統，其特徵在於內網伺服器可連在內聯網的任意位置。
4.如權利要求1或2所述的內聯網計算機與網際網路未授權連接監測系統，其特徵在於內網伺服器採用可以發送原始TCP/IP數據的伺服器。
5.如權利要求1或2所述的內聯網計算機與網際網路未授權連接監測系統，其特徵在於外網伺服器採用可以接收原始TCP/IP數據的伺服器。
6.如權利要求1或2所述的內聯網計算機與網際網路未授權連接監測系統，其特徵在於內網伺服器和外網伺服器可以安裝在同一臺物理計算機上，或是不同的物理計算機上。
7.一種內聯網計算機與網際網路未授權連接監測方法，它包括a、內網伺服器連接於內聯網，外網伺服器綁定於與網際網路相連的一個IP位址，事先獲取內網伺服器的MAC地址和外網伺服器綁定的IP位址；b、內網伺服器按獲取的上述配置信息偽造探測網絡數據；c、內網伺服器向目標計算機發送上述探測網絡數據；d、外網伺服器根據返回的探測網絡數據的應答數據來判斷目標計算機是否直接與網際網路相連外網伺服器如果收不到任何應答數據則表示該計算機沒有直接與網際網路相連；如果收到應答數據，則判斷是否是通過授權的路由進行應答，如果是，則該計算機沒有與網際網路相連，如果不是，則可斷定其與網際網路相連。
8.如權利要求7所述的內聯網計算機與網際網路未授權連接監測方法，其特徵在於在步驟b中，採用如下方法偽造探測網絡數據在IP幀頭中，源IP位址使用外網伺服器綁定的IP位址，目的IP位址為內聯網內目標計算機的IP位址；探測網絡數據封裝在以太協議中，其以太幀頭是正常的，其中源MAC地址，是使用內網伺服器發送網絡接口的MAC地址，而目的MAC地址如果是在同一子網中，則直接使用目標計算機網絡接口的MAC地址，如果不再同一子網中，則使用默認路由器的MAC地址。
9.如權利要求7所述的內聯網計算機與網際網路未授權連接監測方法，其特徵在於在步驟c中，內網伺服器使用發送原始包的方法發送上述探測網絡數據包。
全文摘要
一種內聯網計算機與網際網路未授權連接監測系統,它包括:在與網際網路隔離的支持TCP/IP協議的內聯網中設置的內網伺服器,用於發送欺騙的探測網絡數據到內聯網內的目標計算機;連接在網際網路上的外網伺服器,用於接收目標計算機對探測網絡數據的應答,根據是否收到應答來判斷被監測的目標計算機是否接入網際網路或與網際網路斷開。它能夠達到無論內聯網計算機通過哪一種方式接入網際網路,都能被網絡發現,實時探測出被監控網段上所有存在未授權外聯的計算機的IP位址的效果。
文檔編號G06F11/08GK1367434SQ02104288
公開日2002年9月4日 申請日期2002年3月4日 優先權日2002年3月4日
發明者高雲, 徐徵然, 付念東, 趙海峰, 姚志武, 盧曉山, 吳海波, 孔志奎 申請人:北京啟明星辰信息技術有限公司