非客户端模式被动检查离线非法外联技术

非客户端模式被动检查离线非法外联技术

　　技术领域

　　本发明属于信息安全领域，涉及一种非客户端模式被动检查离线非法外联技术。

　　背景技术

　　政府、军队、各企事业单位的办公系统已经实现了网络化。这些重要的信息系统中存储着大量机密的信息，一旦泄露会对企事业单位甚至国家安全造成严重的损害。为了提高内网的安全性，一些信息安全要求较高的单位，禁止内部网络与互联网等外部网络连接，采取物理隔离的方式进行控制。但在实际的工作中，由于一些用户的安全意识淡薄，会经常有意无意的非法外联。极易增加跳板攻击和非法入侵的风险。

　　目前已有的外联检测手段有两种方式：1）不安装代理客户端，需要内外网同时在线才能进行监测是否存在非法外联的发生。2）安装代理客户度端，通过客户端向外发送外联数据包进行外网探测。客户端则需要每台电脑安装插件进行检查，或多或少存在兼容性问题。

　　为此，本发明提供了一种基于非客户端模式被动检查离线非法外联技术，能够检查终端在离开内部网络后再接入到内网后能够准确的发现非法外联现象的发生和定位。

　　发明内容

　　本设计发明一种基于非客户端模式被动检查离线非法外联技术。通过特定的JavaScript脚本程序被终端访问的浏览器加载到本地去核查DNS服务器解析外网访问痕迹。

　　本发明提供的一种基于非客户端模式被动检查离线非法外联技术方法，分为以下步骤：

　　步骤1内网终端连接到互联网；

　　步骤2内网终端又接入到内网，在访问业务网站时随着浏览器将JavaScript脚本程序加载到本地；

　　步骤3 JavaScript脚本程序通过读取内网终端浏览器Cooike模拟打开其访问的外网地址向dns进行请求解析；

　　步骤4 解析完成后，自动分析是否可以解析外网地址到外联检测系统；

　　步骤5 当解析到外网地址后JavaScript脚本程序将内网地址和外网访问痕迹上报到内部非法外联检测服务器；

　　步骤6 收到检测信息后，立即进行非法外联告警；

　　通过本发明提供的方法和系统，可以在不安装代理客户端的终端主机上实现准确的非法外联行为监测，为非法外联监测提供了一种更简便的手段。

　　附图说明

　　图1为本发明的一种基于非客户端模式被动检查离线非法外联系统的应用部署图；

　　图2为本发明的一种基于非客户端模式被动检查离线非法外联监测的流程图；

　　图3为本发明实施方式提供的一种非客户端模式被动检查离线非法外联监测的流程图；

　　图4为本发明的一种非客户端模式被动检查离线非法外联检测系统的结构示意图。

　　具体实施方式

　　下面结合附图对本发明做进一步说明：

　　根据图3步骤11内网部署一套非法外联监测系统；

　　根据图3步骤12内网DNS解析系统将外网域名解析到外联监测系统；

　　根据图3步骤13内网业务网站加载JavaScript脚本程序；

　　根据图3步骤14终端离开内部网络连接到互联网；

　　根据图3步骤15内网终端又接入到内网，访问业务网站随着浏览器将JavaScript脚本程序加载到本地；

　　根据图3步骤16 JavaScript脚本程序通过读取内网终端浏览器Cooike模拟打开其访问的外网地址向DNS服务器发起解析请求；

　　根据图3步骤17解析完成后，自动分析是否可以解析到外网地址；

　　根据图3步骤18如果没有解析到，则认为没有非法外联的发生；

　　根据图3步骤19当解析到外联监测系统，则认为非法外联发生。同时将JavaScript脚本程序将内网地址和外网访问痕迹上报到内部监测服务器；

　　根据图3步骤20收到检测信息后，立即进行对该终端进行非法外联告警；

　　根据图3步骤21将相关信息归类结束。

　　以上所述，为本发明较佳的实施举例，但本发明的保护范围并不局限于此，应当指出的是，对本领域的普通技术员来说在本发明技术范围内，可轻易的想到的修改、等同替换、改进等，均应涵盖在本发明保护范围之内。因此，本发明的保护范围应该以所附权利要求为准。

　　本发明的优点

　　本发明与以往的的外联检测手段相比，能在未安装客户端代理软件的前提下，检测终端离开内网后的非法外联行为进行细致的监测。更好的无感知的将终端离开内网之后的非法外联进行监测，有效的避免了跳板攻击，信息泄露等网络安全事件的发生。