[发明专利]一种连接互联网设备接入内网检测方法

说明书

本发明公开了一种连接互联网设备接入内网检测方法，包括：利用随机数产生器产生探测随机数和验证随机数；基于探测随机数和DHCP协议构造探测报文和回复报文，内网终端利用探测报文和回复报文探测所有开启DHCP服务的网络设备，生成探测结果列表；基于验证随机数和TCP/IP协议构造互联网通信验证报文，内网终端通过所述探测结果列表中的网络设备向取证服务器发送互联网通信验证报文进行通信验证。本发明的方法不会造成内网终端实际外联，其安全性、可靠性更高，成本更低，用户使用体验更好，由此实现了对连接互联网设备接入内网的高可靠检测。

技术领域

本发明涉及内网安全技术领域，尤其是一种连接互联网设备接入内网检测方法。

背景技术

内网安全涵盖多个方面，比如数据防泄漏、终端安全和网络安全等。企业内网无时无刻不在面临各种威胁，非法外联就是其中一种。针对内部网络的非法外联检测，企业一般会部署终端安全产品，一旦内部终端非法接入互联网，这类产品立即对终端进行阻断，禁止访问外网，确保内网安全。同时企业机构也会采用多种安全防护手段(如防火墙、网闸、安全网关、中间机等)来保证内部网络的物理独立性。

目前主流的终端安全产品主要采用普通的UDP、TCP通信协议检测终端与互联网常用地址的通信状态，来判断是否发生外联，这种方式由于局限于实际运用场景，仅对于即时发生的非法外联能够有效地发现并阻拦，但对于非即时发生或者间接发生的外联入侵行为缺少有效的检测手段，例如交换机连接到互联网，但并未发生外联访问的行为，而在这种情况下黑客完全有能力将病毒侵入企业内网。针对这种事件，以上手段无法有效地发现。

所以，网络设备(交换机、路由器)的非法外联作为非法外联行为最典型的一种，因其影响范围广、造成的损失大，是内网非法外联检测的重点。但目前始终缺乏有效的、系统的技术手段用于非法外联行为进行检测和取证，以及安全事件的回溯、追踪和责任认定。

发明内容

本发明所要解决的技术问题是：针对上述存在的问题，提供一种连接互联网设备接入内网检测方法。

本发明采用的技术方案如下：

一种连接互联网设备接入内网检测方法，包括如下步骤：

利用随机数产生器产生探测随机数和验证随机数；

基于探测随机数和DHCP协议构造探测报文和回复报文，内网终端利用探测报文和回复报文探测所有开启DHCP服务的网络设备，生成探测结果列表；

基于验证随机数和TCP/IP协议构造互联网通信验证报文，内网终端通过所述探测结果列表中的网络设备向取证服务器发送互联网通信验证报文进行通信验证。

在一些实施例中，所述内网终端利用探测报文和回复报文探测所有开启DHCP服务的网络设备，生成探测结果列表的方法，包括如下子步骤：

内网终端遍历与内网关联的网络设备，设置回复报文过滤条件，并开启回复报文接收线程；

内网终端在内网环境中广播探测报文，并等待接收回复报文；

内网终端周期性地通过回复报文接收线程接收回复报文；

内网终端从接收的回复报文中解析出探测随机数，并通过校对探测随机数识别出开启DHCP服务的网络设备；

内网终端将开启DHCP服务的网络设备保存到探测结果列表中。

在一些实施例中，所述内网终端通过所述探测结果列表中的网络设备向取证服务器发送互联网通信验证报文进行通信验证的方法，包括如下子步骤：

内网终端通过所述探测结果列表中的网络设备向取证服务器发送互联网通信验证报文；

取证服务器接收互联网通信验证报文；