[发明专利]一种网络边界检测方法

说明书

本发明涉及一种网络边界的检测方法，包括：网卡抓包引擎、数据包分析模块、ARP探测模块和ICMP探测模块；数据包分析模块设置有数据包队列模块；ICMP探测模块设置有TTL探测。本发明的有益效果是：处理起来简单便捷、快速准确，能够有效的预知网络安全性能，提高了企业信息安全保护能力。

技术领域

本发明涉及一种网络边界的检测方法，属于网络技术安全领域。。

背景技术

目前，很多单位都设置有两个网络，一个是用来上网的可互联网的网络，一个是用来办公的内网网络；随着网络及信息技术的飞速发展,企业运营对网络的依赖日益加深,用户的网络及信息安全也正日益面临越来越多的风险:蠕虫、木马、间谍软件、恶意网页、垃圾邮件,融合多种渗透和破坏技术的复合式攻击,针对网络基础设施发起的拒绝服务攻击(DoS/DDoS),给企业的经营造成了巨大的破坏。同时新问题仍在不断涌现，网络安全威胁逐渐由网络层向应用层发展,由早期针对TCP/IP协议漏洞的攻击，转到利用TCP/IP数据包内容对操作系统和应用漏洞的攻击,给识别和控制这些威胁带来了新的困难。故此为安全起见，原则上办公网络和可连互联网的网络是不允许联通的，但在网管人员误操作下可能会发生内网网络和外网网络的发生物理连接的情况。而此时两个网络处于不同的网段，使用人员很难发现两个网络发生了网络连接，形成非法边界。

为此，如何提供一种网络边界的检测方法，是本发明研究的目的所在。

发明内容

本发明提供一种网络边界检测方法，解决了现有技术中内外网的非法连接，有效的保障了办公网络的安全性。

一种网络边界检测方法，包括：网卡抓包引擎、数据包分析模块、ARP探测模块和ICMP探测模块。

所述的数据包分析模块设置有数据包队列模块。

所述的ICMP探测模块设置有TTL探测。

过程分为以下几步：

步骤(1)：设置内网网络范围，设置内网IP地址范围，我们认为非设置内网范围的数据包均视为可疑数据包；

步骤(2)：启动网卡抓包引擎，抓取网络数据包；

步骤(3)：进入数据包分析模块，分析网络数据包，找出源IP地址不是内网范围的的数据包；同时进入数据包队列模块，把不是内网范围的IP地址放入可疑检测队列；

步骤(4)：启动ARP探测模块，在非法内网中找出一个可用的IP地址，该地址视为非法；

步骤(5)：进入ICMP探测模块，利用所述步骤(4)中IP地址进行TTL探测，如果可以探测通，说明发现的该IP地址所在的网络是一个非法网络边界。

本发明的有益效果是：处理起来简单便捷、快速准确，能够有效的预知网络安全性能，提高了企业信息安全保护能力。

具体实施方式

下面对本发明做进一步分析。

一种网络边界检测方法包括：网卡抓包引擎、数据包分析模块、ARP探测模块和ICMP探测模块；数据包分析模块设置有数据包队列模块；ICMP探测模块设置有TTL探测。内网检测方法所示：

步骤(1)：设置内网网络范围，设置内网IP地址范围，我们认为非设置内网范围的数据包均视为可疑数据包；

步骤(2)：启动网卡抓包引擎，抓取网络数据包；

步骤(3)：进入数据包分析模块，分析网络数据包，找出源IP地址不是内网范围的的数据包；同时进入数据包队列模块，把不是内网范围的IP地址放入可疑检测队列；

步骤(4)：启动ARP探测模块，在非法内网中找出一个可用的IP地址，该地址视为非法；