本發(fā)明涉及內(nèi)網(wǎng)信息安全管理的技術(shù)領(lǐng)域，特別涉及一種實(shí)時(shí)發(fā)現(xiàn)跨網(wǎng)絡(luò)通信行為的方法。

背景技術(shù)：

信息技術(shù)的快速發(fā)展大力推動(dòng)了計(jì)算機(jī)網(wǎng)絡(luò)與信息系統(tǒng)在政府及企事業(yè)單位的廣泛應(yīng)用，為辦公及生產(chǎn)建設(shè)的電子化、自動(dòng)化、信息化提供了堅(jiān)實(shí)保障。政府辦公內(nèi)網(wǎng)(公安、檢察院、法院、財(cái)稅、電力等領(lǐng)域)中網(wǎng)絡(luò)環(huán)境龐大而又復(fù)雜，網(wǎng)絡(luò)傳輸?shù)母黝悢?shù)據(jù)中很多甚至關(guān)系到國(guó)家機(jī)密文件，需要嚴(yán)格保密，決不允許泄露。

內(nèi)網(wǎng)信息的安全管理，首先要監(jiān)測(cè)發(fā)現(xiàn)內(nèi)網(wǎng)中存在的各種安全事件和風(fēng)險(xiǎn)，風(fēng)險(xiǎn)只有做到可知才能可控，利用各種監(jiān)測(cè)方式和手段，對(duì)內(nèi)網(wǎng)中計(jì)算機(jī)非法接入外網(wǎng)行為應(yīng)當(dāng)?shù)谝粫r(shí)間發(fā)現(xiàn)之后給予相應(yīng)防護(hù)手段，及時(shí)處置，將風(fēng)險(xiǎn)帶來的危害降到最低。違規(guī)外聯(lián)就是檢測(cè)內(nèi)網(wǎng)安全管理技術(shù)手段之一，當(dāng)發(fā)現(xiàn)內(nèi)網(wǎng)計(jì)算機(jī)非法接入外網(wǎng)，確定違規(guī)外聯(lián)之后進(jìn)行網(wǎng)絡(luò)阻斷和警告防護(hù)動(dòng)作，同時(shí)獲取違規(guī)外聯(lián)實(shí)質(zhì)的數(shù)據(jù)證據(jù)保存到本機(jī)硬盤和外聯(lián)服務(wù)器上以做證據(jù)舉證。為了保障內(nèi)網(wǎng)信息的安全，通過違規(guī)外聯(lián)檢測(cè)技術(shù)，實(shí)時(shí)監(jiān)管內(nèi)網(wǎng)計(jì)算機(jī)非法接入外網(wǎng)的情況，有必要提出一種實(shí)時(shí)發(fā)現(xiàn)跨網(wǎng)絡(luò)通信行為的方法。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明的目的在于克服上述現(xiàn)有技術(shù)的不足，提供一種實(shí)時(shí)發(fā)現(xiàn)跨網(wǎng)絡(luò)通信行為的方法，其旨在解決現(xiàn)有技術(shù)中內(nèi)網(wǎng)中計(jì)算機(jī)非法接入外網(wǎng)而造成重要數(shù)據(jù)等信息泄漏，存在跨網(wǎng)絡(luò)通信的技術(shù)問題。

為實(shí)現(xiàn)上述目的，本發(fā)明提出了一種實(shí)時(shí)發(fā)現(xiàn)跨網(wǎng)絡(luò)通信行為的方法，其基于外聯(lián)服務(wù)器、外網(wǎng)域名站點(diǎn)的連通，來及時(shí)發(fā)現(xiàn)違規(guī)外聯(lián)的終端設(shè)備，包括以下步驟：

第一步、在外網(wǎng)部署一個(gè)外聯(lián)服務(wù)器，并在外聯(lián)服務(wù)器上部署違規(guī)外聯(lián)功能程序，在內(nèi)網(wǎng)的終端設(shè)備上，部署一個(gè)終端程序，并配置相應(yīng)的監(jiān)管防護(hù)策略，所述的監(jiān)管防護(hù)策略內(nèi)包含外網(wǎng)域名站點(diǎn)地址及關(guān)鍵字信息；

第二步、系統(tǒng)重新啟動(dòng)之后，終端程序驅(qū)動(dòng)客戶端根據(jù)配置的監(jiān)管防護(hù)策略，對(duì)系統(tǒng)進(jìn)行一次網(wǎng)絡(luò)安全檢查，客戶端使用自有防火墻阻斷范圍配置IP，進(jìn)行網(wǎng)絡(luò)外聯(lián)檢測(cè)，如果發(fā)生外聯(lián)，則一直阻斷其網(wǎng)絡(luò)，如果未發(fā)生外聯(lián)，則放開阻斷；

第三步、啟動(dòng)實(shí)施監(jiān)管防護(hù)，通過違規(guī)外聯(lián)功能程序?qū)?nèi)網(wǎng)的終端設(shè)備開始監(jiān)管，并通過違規(guī)外聯(lián)檢測(cè)手段進(jìn)行違規(guī)外聯(lián)檢測(cè)，若未發(fā)生違規(guī)外聯(lián)，則一直啟動(dòng)實(shí)施監(jiān)管防護(hù)，并進(jìn)行違規(guī)外聯(lián)檢測(cè)，直至終端設(shè)備停止運(yùn)行，若發(fā)生違規(guī)外聯(lián)，則轉(zhuǎn)至第四步；

第四步、當(dāng)發(fā)現(xiàn)內(nèi)網(wǎng)終端設(shè)備違規(guī)外聯(lián)時(shí)，監(jiān)管防護(hù)策略即時(shí)響應(yīng)防護(hù)動(dòng)作，阻斷網(wǎng)絡(luò)，阻止其外聯(lián)行為，違規(guī)外聯(lián)功能程序?qū)⑼饴?lián)數(shù)據(jù)信息及時(shí)上傳外聯(lián)服務(wù)器和本終端設(shè)備保存，方便查詢驗(yàn)證。

作為優(yōu)選，所述的第三步中的違規(guī)外聯(lián)檢測(cè)包括外聯(lián)服務(wù)器連通檢測(cè)和外網(wǎng)域名站點(diǎn)連通檢測(cè)。

作為優(yōu)選，所述的外聯(lián)服務(wù)器連通檢測(cè)的機(jī)制為：違規(guī)外聯(lián)客戶端向外聯(lián)服務(wù)器的地址與端口發(fā)送外聯(lián)確認(rèn)數(shù)據(jù)，外聯(lián)服務(wù)器接收并且認(rèn)證數(shù)據(jù)，在完成違規(guī)外聯(lián)認(rèn)證之后，違規(guī)外聯(lián)功能程序會(huì)發(fā)送確認(rèn)數(shù)據(jù)包返回違規(guī)外聯(lián)的客戶端，確認(rèn)發(fā)生違規(guī)外聯(lián)，同時(shí)將接收確認(rèn)違規(guī)外聯(lián)連通信檢測(cè)的數(shù)據(jù)保存到外聯(lián)服務(wù)器數(shù)據(jù)庫(kù)，方便查詢驗(yàn)證。

作為優(yōu)選，所述的外網(wǎng)域名站點(diǎn)連通檢測(cè)機(jī)制為：對(duì)域名站點(diǎn)進(jìn)行解析獲取到IP地址，發(fā)送HTTP請(qǐng)求包到該IP地址，返回請(qǐng)求數(shù)據(jù)，根據(jù)返回?cái)?shù)據(jù)和監(jiān)管防護(hù)策略內(nèi)的信息進(jìn)行比對(duì)，來確認(rèn)是否發(fā)生違規(guī)外聯(lián)，為防止誤識(shí)別，通過關(guān)鍵字來確認(rèn)信息。

作為優(yōu)選，所述的第三步中的違規(guī)外聯(lián)檢測(cè)手段包括周期性掃描檢查法、網(wǎng)絡(luò)變化觸發(fā)檢查法、流量數(shù)據(jù)分析觸發(fā)檢查法。

作為優(yōu)選，所述的周期性掃描檢查法的機(jī)制為：每間隔1分鐘，對(duì)外網(wǎng)服務(wù)器和外網(wǎng)域名站點(diǎn)進(jìn)行連通性檢測(cè)。

作為優(yōu)選，所述的網(wǎng)絡(luò)變化觸發(fā)檢查法的機(jī)制為：當(dāng)發(fā)生網(wǎng)線拔插、修改IP地址等行為時(shí)，立即對(duì)外網(wǎng)服務(wù)器與外網(wǎng)域名站點(diǎn)進(jìn)行連通性檢測(cè)。

作為優(yōu)選，所述的流量數(shù)據(jù)分析觸發(fā)檢查法的機(jī)制為：實(shí)時(shí)分析當(dāng)前網(wǎng)絡(luò)的數(shù)據(jù)包信息，如果發(fā)現(xiàn)異常IP，則即時(shí)進(jìn)行違規(guī)外聯(lián)檢查，所述的異常IP為監(jiān)管防護(hù)策略配置范圍之外的IP地址。

作為優(yōu)選，所述的第一步中的外網(wǎng)域名站點(diǎn)包括百度、新浪、淘寶。

本發(fā)明的有益效果：與現(xiàn)有技術(shù)相比，本發(fā)明提供的一種實(shí)時(shí)發(fā)現(xiàn)跨網(wǎng)絡(luò)通信行為的方法，通過外聯(lián)服務(wù)器、外網(wǎng)域名站點(diǎn)的連通，及時(shí)發(fā)現(xiàn)違規(guī)外聯(lián)的計(jì)算機(jī)設(shè)備，在檢查過程中，外聯(lián)服務(wù)器連通檢測(cè)和外網(wǎng)域名站點(diǎn)連通檢測(cè)，同時(shí)支持HTTP代理；具有響應(yīng)快的特點(diǎn)：網(wǎng)絡(luò)變化動(dòng)作捕獲，即時(shí)響應(yīng)網(wǎng)絡(luò)變化行為；數(shù)據(jù)流量分析，捕獲異常IP，即時(shí)響應(yīng)數(shù)據(jù)異常行為；還具有發(fā)現(xiàn)準(zhǔn)確的特點(diǎn)：連通外聯(lián)服務(wù)器，在服務(wù)器保存外聯(lián)數(shù)據(jù)信息，以便即時(shí)查詢；在本機(jī)保存外聯(lián)站點(diǎn)數(shù)據(jù)片段，以便即時(shí)查詢，提高了內(nèi)網(wǎng)信息的安全管理和內(nèi)網(wǎng)信息的安全，防止信息泄漏，將危害降到最低。

本發(fā)明的特征及優(yōu)點(diǎn)將通過實(shí)施例結(jié)合附圖進(jìn)行詳細(xì)說明。

【附圖說明】

圖1是本發(fā)明實(shí)施例一種實(shí)時(shí)發(fā)現(xiàn)跨網(wǎng)絡(luò)通信行為的方法的流程示意圖。

【具體實(shí)施方式】

為使本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚明了，下面通過附圖中及實(shí)施例，對(duì)本發(fā)明進(jìn)行進(jìn)一步詳細(xì)說明。但是應(yīng)該理解，此處所描述的具體實(shí)施例僅僅用以解釋本發(fā)明，并不用于限制本發(fā)明的范圍。此外，在以下說明中，省略了對(duì)公知結(jié)構(gòu)和技術(shù)的描述，以避免不必要地混淆本發(fā)明的概念。

參閱圖1，本發(fā)明實(shí)施例提供一種實(shí)時(shí)發(fā)現(xiàn)跨網(wǎng)絡(luò)通信行為的方法，其基于外聯(lián)服務(wù)器、外網(wǎng)域名站點(diǎn)的連通，來及時(shí)發(fā)現(xiàn)違規(guī)外聯(lián)的終端設(shè)備，包括以下步驟：

第一步、在外網(wǎng)部署一個(gè)外聯(lián)服務(wù)器，并在外聯(lián)服務(wù)器上部署違規(guī)外聯(lián)功能程序，在內(nèi)網(wǎng)的終端設(shè)備上，部署一個(gè)終端程序，并配置相應(yīng)的監(jiān)管防護(hù)策略，所述的監(jiān)管防護(hù)策略內(nèi)包含外網(wǎng)域名站點(diǎn)地址及關(guān)鍵字信息。

其中，第一步中的外網(wǎng)域名站點(diǎn)包括百度、新浪、淘寶。

第二步、系統(tǒng)重新啟動(dòng)之后，終端程序驅(qū)動(dòng)客戶端根據(jù)配置的監(jiān)管防護(hù)策略，對(duì)系統(tǒng)進(jìn)行一次網(wǎng)絡(luò)安全檢查，客戶端使用自有防火墻阻斷范圍配置IP，進(jìn)行網(wǎng)絡(luò)外聯(lián)檢測(cè)，如果發(fā)生外聯(lián)，則一直阻斷其網(wǎng)絡(luò)，如果未發(fā)生外聯(lián)，則放開阻斷。

第三步、啟動(dòng)實(shí)施監(jiān)管防護(hù)，通過違規(guī)外聯(lián)功能程序?qū)?nèi)網(wǎng)的終端設(shè)備開始監(jiān)管，并通過違規(guī)外聯(lián)檢測(cè)手段進(jìn)行違規(guī)外聯(lián)檢測(cè)，若未發(fā)生違規(guī)外聯(lián)，則一直啟動(dòng)實(shí)施監(jiān)管防護(hù)，并進(jìn)行違規(guī)外聯(lián)檢測(cè)，直至終端設(shè)備停止運(yùn)行，若發(fā)生違規(guī)外聯(lián)，則轉(zhuǎn)至第四步。

具體地，違規(guī)外聯(lián)檢測(cè)包括外聯(lián)服務(wù)器連通檢測(cè)和外網(wǎng)域名站點(diǎn)連通檢測(cè)。

其中，外聯(lián)服務(wù)器連通檢測(cè)的機(jī)制為：違規(guī)外聯(lián)客戶端向外聯(lián)服務(wù)器的地址與端口發(fā)送外聯(lián)確認(rèn)數(shù)據(jù)，外聯(lián)服務(wù)器接收并且認(rèn)證數(shù)據(jù)，在完成違規(guī)外聯(lián)認(rèn)證之后，違規(guī)外聯(lián)功能程序會(huì)發(fā)送確認(rèn)數(shù)據(jù)包返回違規(guī)外聯(lián)的客戶端，確認(rèn)發(fā)生違規(guī)外聯(lián)，同時(shí)將接收確認(rèn)違規(guī)外聯(lián)連通信檢測(cè)的數(shù)據(jù)保存到外聯(lián)服務(wù)器數(shù)據(jù)庫(kù)，方便查詢驗(yàn)證；

外網(wǎng)域名站點(diǎn)連通檢測(cè)機(jī)制為：對(duì)域名站點(diǎn)進(jìn)行解析獲取到IP地址，發(fā)送HTTP請(qǐng)求包到該IP地址，返回請(qǐng)求數(shù)據(jù)，根據(jù)返回?cái)?shù)據(jù)和監(jiān)管防護(hù)策略內(nèi)的信息進(jìn)行比對(duì)，來確認(rèn)是否發(fā)生違規(guī)外聯(lián)，為防止誤識(shí)別，通過關(guān)鍵字來確認(rèn)信息。

進(jìn)一步地，違規(guī)外聯(lián)檢測(cè)手段包括周期性掃描檢查法、網(wǎng)絡(luò)變化觸發(fā)檢查法、流量數(shù)據(jù)分析觸發(fā)檢查法。

其中，周期性掃描檢查法的機(jī)制為：每間隔1分鐘，對(duì)外網(wǎng)服務(wù)器和外網(wǎng)域名站點(diǎn)進(jìn)行連通性檢測(cè)；

網(wǎng)絡(luò)變化觸發(fā)檢查法的機(jī)制為：當(dāng)發(fā)生網(wǎng)線拔插、修改IP地址等行為時(shí)，立即對(duì)外網(wǎng)服務(wù)器與外網(wǎng)域名站點(diǎn)進(jìn)行連通性檢測(cè)；

流量數(shù)據(jù)分析觸發(fā)檢查法的機(jī)制為：實(shí)時(shí)分析當(dāng)前網(wǎng)絡(luò)的數(shù)據(jù)包信息，如果發(fā)現(xiàn)異常IP，則即時(shí)進(jìn)行違規(guī)外聯(lián)檢查，所述的異常IP為監(jiān)管防護(hù)策略配置范圍之外的IP地址。

第四步、當(dāng)發(fā)現(xiàn)內(nèi)網(wǎng)終端設(shè)備違規(guī)外聯(lián)時(shí)，監(jiān)管防護(hù)策略即時(shí)響應(yīng)防護(hù)動(dòng)作，阻斷網(wǎng)絡(luò)，阻止其外聯(lián)行為，違規(guī)外聯(lián)功能程序?qū)⑼饴?lián)數(shù)據(jù)信息及時(shí)上傳外聯(lián)服務(wù)器和本終端設(shè)備保存，方便查詢驗(yàn)證。

本發(fā)明工作過程：

本發(fā)明一種實(shí)時(shí)發(fā)現(xiàn)跨網(wǎng)絡(luò)通信行為的方法在工作過程中，終端設(shè)備(如計(jì)算機(jī))上部署一個(gè)終端程序，并配置監(jiān)管防護(hù)策略，當(dāng)開啟終端設(shè)備系統(tǒng)運(yùn)行時(shí)，終端程序驅(qū)動(dòng)客戶端根據(jù)配置的監(jiān)管防護(hù)策略，對(duì)系統(tǒng)進(jìn)行一次網(wǎng)絡(luò)安全檢查，若客戶端使用自有防火墻阻斷范圍配置外的IP地址，則阻斷網(wǎng)絡(luò)，否則啟動(dòng)實(shí)施監(jiān)管防護(hù)，一旦客戶端外聯(lián)，違規(guī)外聯(lián)功能程序通過違規(guī)外聯(lián)檢測(cè)手段進(jìn)行違規(guī)外聯(lián)檢測(cè)，確認(rèn)為違規(guī)外聯(lián)時(shí)，監(jiān)管防護(hù)策略即時(shí)響應(yīng)防護(hù)動(dòng)作，阻斷網(wǎng)絡(luò)，阻止其外聯(lián)行為，違規(guī)外聯(lián)功能程序?qū)⑼饴?lián)數(shù)據(jù)信息及時(shí)上傳外聯(lián)服務(wù)器和本終端設(shè)備保存，方便查詢驗(yàn)證，提高了內(nèi)網(wǎng)信息的安全管理，防止信息泄漏，將危害降至最低。

以上所述僅為本發(fā)明的較佳實(shí)施例而已，并不用以限制本發(fā)明，凡在本發(fā)明的精神和原則之內(nèi)所作的任何修改、等同替換或改進(jìn)等，均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。