一种网络接入设备外联监控告警方法与流程

1.本发明涉及网络安全检测技术领域，尤其涉及一种网络接入设备外联监控告警方法。


背景技术：

2.许多保密网必须保证物理隔离，严格禁止网内的任何计算机设备非法外联。为此，必须设置实时检测、告警、阻断和锁定系统。现有产品中多为在终端上安装软件进行定时轮询式的外联探测；关于网络接入设备的非法外联技术，主要有两类：一类是基于旁路技术的监听、分析产品；一类是是基于dhcp进行ip设置和探测的产品，采用终端上的软件进行定时轮询式的探测方法，显然式“有缝隙”的。不能完全杜绝外联事故发生。况且，终端上的探测软件也存在被破坏或删除、阻止、挂起等风险，可靠性不强；
3.经检索，中国专利号cn112887264a公开了一种针对nat接入设备的违规外联检测方法，该发明虽然解决了nat接入设备无法有效的全面的进行违规外联检测的问题，但是无法及时阻断和锁定。在实践中效果比较有限，无法起到保护内网物理隔离的左右，仅具备告警功能；此外，现有的网络接入设备外联监控告警方法局限于检测开启dhcp服务的网络设备，况且，即使是dhcp服务器，也存在ip池占满的情况；其次，由于它需要先探测出内网中的dhcp服务的设备，然后构造探测报文进行外联探测，实时性不强；为此，我们提出一种网络接入设备外联监控告警方法。


技术实现要素：

4.本发明的目的是为了解决现有技术中存在的缺陷，而提出的一种网络接入设备外联监控告警方法。
5.为了实现上述目的，本发明采用了如下技术方案：
6.一种网络接入设备外联监控告警方法，该告警方法具体步骤如下：
7.(1)构建感知系统对各终端进行实时感知：构建链路层事件感知系统,并将各组终端与该系统通信连接，之后通过该系统对各终端链路层进行感知判断；
8.(2)多终端依据令牌进行抢占竞争：内网所有终端通过arp广播进行通讯，同时各终端依据建立的令牌协议进行竞争探测，同时探测终端通过arp广播公告到所有终端；
9.(3)终端对链路外联进行探测分析：竞争优胜的终端确定需要探测的链路，同时根据802.3协议规范，构造探测报文序列，并驱动自身终端网卡发送这些报文进行探测分析。
10.作为本发明的进一步方案，步骤(1)中所述感知判断具体步骤如下：
11.步骤一：插入操作系统内核模块，并过滤网卡驱动对象，同时对各终端链路层信息进行实时采集，并对是否发生新增链路事件或链路层变化事件进行判断；
12.步骤二：若发生新增链路或链路层变化时，首先锁定该链路，防止发生外联事故，之后探测该链路是否外联，若没有外联，则解锁该链路，恢复正常通讯，若存在外联，则告警并锁定整个系统。
13.作为本发明的进一步方案，步骤一中所述终端信息具体包括所有网卡的attach以及dettach、网线插拔、wifi网络接通与断开、手机usb接通、手机热点接通以及交换机或网关接入；
14.步骤一中所述新增链路具体包括网卡attach事件、插拔网线事件、wifi接通事件、手机热点接通事件以及手机usb接通事件；
15.步骤一中所述链路层变化事件具体包括交换机或网关连入终端、交换机或网关连入内网交换机以及网内出现新的mac地址。
16.作为本发明的进一步方案，步骤(2)中所述竞争探测具体步骤如下：
17.第一步：终端感知到新增链路或链路变化时，根据该链路的mac特征和自身mac生成探测令牌，同时规定该探测令牌可使用次数x，并通过arp广播到所有终端；
18.第二步：各组终端收到探测令牌时，与自身已经拥有的探测令牌进行比较，如果链路相同，则根据令牌竞争协议判断自身是否“优胜”，如果优胜，则进行通过arp广播到所有终端，如果不是优胜，则保持沉默；
19.第三步：当终端每使用探测令牌探测一次时，x减少1，当x最终计数为0时，该终端探测令牌自行销毁。
20.作为本发明的进一步方案，步骤(3)中所述探测分析具体步骤如下：
21.s1：该终端通过操作系统内核驱动对象获取自身网卡mac地址，通过解析arp包获取链路对端节点的mac地址；
22.s2：以该终端自身硬件特征信息为内容，并以链路对端mac为目的mac，之后依据获取的内容以及目的mac构造探测udp包，经加密后发生到链路对端；
23.s3：链路对端设备收到该udp包后，根据该udp包的目的ip投递到下一级网关，若该链路中不存在相关互联网网关，则该探测udp包将被丢弃，若该链路中存在相关互联网网关，则该探测udp包将被逐级转发，同时事前部署在互联网上的告警服务器实时监测该udp包；
24.s4：当告警服务器监测到探测udp报文，则解密后发出告警，并以约定的加密方式发出应答报文，应答报文回到链路的链路对端mac设备，将本终端的临时ip以arp广播告知链路对端mac设备，使链路对端mac设备将探测udp的应答报文转发到本终端；
25.s5：该终端收到应答报文，证明该链路存在外联链路，则对整个系统进行锁定处理并告警，同时通过arp广播公告到所有终端，其余终端收到广播时，检查自身是否存在该链路，若存在，则立即锁定并告警，若不存在，则沉默。
26.作为本发明的进一步方案，s5中所述锁定处理包括锁定网卡和锁定系统两种方式，锁定网卡是预备性防御措施，锁定系统是正式的事故现场锁定手段，锁定处理直到获取管理员授权后才会进行解锁。
27.相比于现有技术，本发明的有益效果在于：
28.该网络接入设备外联监控告警方法相较于以往单一的告警方法，本发明通过链路层事件感知系统对各终端链路层信息进行实时采集，并对是否发生新增链路事件或链路层变化事件进行判断，若发生新增链路或链路层变化时，首先锁定该链路，之后生成探测令牌，并通过arp广播到所有终端，当各组终端收到探测令牌时，与自身已经拥有的探测令牌进行比较，优胜的终端构建探测udp包，并将其加密后发生到链路对端，当链路对端设备收
到该udp包后，根据该udp包的目的ip进行逐级转发，告警服务器实时监测该udp包，当监测到探测udp报文后，以约定的加密方式发出应答报文，应答报文回到链路的链路对端mac设备，将本终端的临时ip以arp广播告知链路对端mac设备，使链路对端mac设备将应答报文转发到本终端，若本终端收到应答报文，证明该链路存在外联链路，则对整个系统进行锁定处理并告警，同时通过arp广播公告到所有终端，其余终端收到广播时，检查自身是否存在该链路，若存在，则立即锁定并告警，能够不限定于dhcp设备，实现了第一时间感知链路层变化并进行探测，保证了探测的实时性，实现了确保终端能收到应答报文处理方法，同时考虑到内网多终端并发检测的可能性，实现了内网终端之间的探测令牌协议，可确保仅有限数量的终端进行探测，并将探测到的异常链路公告到内网，供所有终端共享，通过“先锁定、后探测、再解锁”的防御策略，确保终端不会发生外联事件。
附图说明
29.附图用来提供对本发明的进一步理解，并且构成说明书的一部分，与本发明的实施例一起用于解释本发明，并不构成对本发明的限制。
30.图1为本发明提出的一种网络接入设备外联监控告警方法的流程框图。
具体实施方式
31.参照图1，一种网络接入设备外联监控告警方法，该告警方法具体步骤如下：
32.构建感知系统对各终端进行实时感知：构建链路层事件感知系统,并将各组终端与该系统通信连接，之后通过该系统对各终端链路层进行感知判断。
33.具体的，链路层事件感知系统插入操作系统内核模块，并过滤网卡驱动对象，同时对各终端链路层信息进行实时采集，并对是否发生新增链路事件或链路层变化事件进行判断，若发生新增链路或链路层变化时，首先锁定该链路，防止发生外联事故，之后探测该链路是否外联，若没有外联，则解锁该链路，恢复正常通讯，若存在外联，则告警并锁定整个系统。
34.需要进一步说明的是，终端信息具体包括所有网卡的attach以及dettach、网线插拔、wifi网络接通与断开、手机usb接通、手机热点接通以及交换机或网关接入；新增链路具体包括网卡attach事件、插拔网线事件、wifi接通事件、手机热点接通事件以及手机usb接通事件；链路层变化事件具体包括交换机或网关连入终端、交换机或网关连入内网交换机以及网内出现新的mac地址。
35.多终端依据令牌进行抢占竞争：内网所有终端通过arp广播进行通讯，同时各终端依据建立的令牌协议进行竞争探测，同时探测终端通过arp广播公告到所有终端。
36.具体的，终端感知到新增链路或链路变化时，根据该链路的mac特征和自身mac生成探测令牌，同时规定该探测令牌可使用次数x，并通过arp广播到所有终端，当各组终端收到探测令牌时，与自身已经拥有的探测令牌进行比较，如果链路相同，则根据令牌竞争协议判断自身是否“优胜”，如果优胜，则进行通过arp广播到所有终端，如果不是优胜，则保持沉默，当终端每使用探测令牌探测一次时，x减少1，当x最终计数为0时，该终端探测令牌自行销毁。
37.终端对链路外联进行探测分析：竞争优胜的终端确定需要探测的链路，同时根据
802.3协议规范，构造探测报文序列，并驱动自身终端网卡发送这些报文进行探测分析。
38.具体的，竞争优胜的终端通过操作系统内核驱动对象获取自身网卡mac地址，通过解析arp包获取链路对端节点的mac地址，之后以该终端自身硬件特征信息为内容，并以链路对端mac为目的mac，之后依据获取的内容以及目的mac构造探测udp包，经加密后发生到链路对端，当链路对端设备收到该udp包后，根据该udp包的目的ip投递到下一级网关，若该链路中不存在相关互联网网关，则该探测udp包将被丢弃，若该链路中存在相关互联网网关，则该探测udp包将被逐级转发，同时事前部署在互联网上的告警服务器实时监测该udp包，之后当告警服务器监测到探测udp报文，则解密后发出告警，并以约定的加密方式发出应答报文，应答报文回到链路的链路对端mac设备，将本终端的临时ip以arp广播告知链路对端mac设备，使链路对端mac设备将探测udp的应答报文转发到本终端，若该终端收到应答报文，证明该链路存在外联链路，则对整个系统进行锁定处理并告警，同时通过arp广播公告到所有终端，其余终端收到广播时，检查自身是否存在该链路，若存在，则立即锁定并告警，若不存在，则沉默，能够不限定于dhcp设备，实现了第一时间感知链路层变化并进行探测，保证了探测的实时性，实现了确保终端能收到应答报文处理方法，同时考虑到内网多终端并发检测的可能性，实现了内网终端之间的探测令牌协议，可确保仅有限数量的终端进行探测，并将探测到的异常链路公告到内网，供所有终端共享，通过“先锁定、后探测、再解锁”的防御策略，确保终端不会发生外联事件。
39.需要进一步说明的是，锁定处理包括锁定网卡和锁定系统两种方式，锁定网卡是预备性防御措施，锁定系统是正式的事故现场锁定手段，锁定处理直到获取管理员授权后才会进行解锁。