一种基于网络代理自动发现无客户端违规外联监测方法与流程

1.本发明涉及信息安全技术领域，具体为一种基于网络代理自动发现无客户端违规外联监测方法。


背景技术：

2.随着互联网技术的不断发展和普及，各类终端设备层出不穷，越来越多的桌面终端和多元化的私有终端接入企业内网已成为未来发展的必然趋势。在某些企业或者单位的网络环境中，往往都是直连网，并不允许网内的电脑同时连接内网和互联网。但有些员工在内网中私自搭建子网，在子网中连接互联网，出现员工违规外联的现象，这会给企业网带来很大的安全风险；内网或专网网络之内违规外联行为的监测，已有的技术大多基于部署客户端程序的方式，通过在终端计算机上部署客户端程序，通过各种方式持续进行外联尝试，如果连接成功即可认定为违规外联，进而产生日志和告警或更多阻断动作，而一些不依赖客户端程序的方式，则依赖终端上部署的一些特定应用程序，或者依赖网关流量做协议劫持等，或依赖交换机镜像流量做流量分析。
3.现有技术中对于通过客户端监测违规外联的方式，最大的问题就是有些场景下不适合部署客户端，例如具有人员流动性的场合，每一次接入的计算机可能都是新的，在没有安装客户端的间隙，可能已经进行了违规外联，此时内网或专网网络则处于危险之中。


技术实现要素：

4.针对现有技术的不足，本发明提供了一种基于网络代理自动发现无客户端违规外联监测方法，解决了有些不适合部署客户端的场景下，每一次接入的计算机可能都是新的，在没有安装客户端的间隙，可能已经进行了违规外联，从而将内网或者专网网络处于危险之中的问题。
5.为实现以上目的，本发明通过以下技术方案予以实现：一种基于网络代理自动发现无客户端违规外联监测方法，其特征在于，包括以下步骤：步骤一：在内网或专网内部部署内网探针，使用udp协议监听0.0.0.0的llmnr的端口，即5355端口，并加入组播组224.0.0.252，监听组播内容，当内网违规计算机有网络活动时，会在局域网依据网络代理自动发现协议探测网络内的代理服务器，朝224.0.0.252的5355端口发包，请求代理服务器的ip地址；步骤二：内网探针收到这个请求，将内网探针的地址当作代理服务器的ip地址应答发出；步骤三：内网违规计算机获取到代理服务器地址之后，便会朝此地址发起http请求，uri为 wpad.dat，端口为80，并向内网探针请求下载wpad文件；步骤四：内网探针收到wpad.dat的网络请求之后，通过其来源ip地址查询其mac地址、计算机名等资料，然后通过http redirect重定向该http请求，重定向的目标地址是互联网取证服务器的地址；
步骤五：内网违规计算机收到重定向的http应答后，转而向互联网取证服务器发起http请求。若此时内网违规计算机果真建立了互联网访问通道，则该请求会被互联网取证服务器接收，否则，该请求会无任何反应，代理获取过程自然失败：步骤六：联网取证服务器工作在互联网上，对外暴露web服务，监听来自互联网的http请求，内网违规计算机的互联网请求被收到后，互联网取证服务器将解析其网络请求，验证校验和是否正确，抛弃一切校验和不正确的请求；步骤七：对于校验和正确的http请求，可以断定此时已经发生了违规外联，互联网取证服务器应获取此次请求的互联网出口地址和归属地，连同请求uri中携带的内网违规计算机的ip、mac、计算机名等信息一同记录日志，并依照预定义的策略通过短信、邮件等方式向管理员告警；步骤八：根据步骤七，对互联网取证服务器对http请求进行应答，将其再次重定向到内网探针，此时uri中额外包含外网出口地址、归属地、外联时间和违规外联已取证的信息等；步骤九：内网违规计算机再次向内网探针发起请求，将步骤八中违规外联已取证的信息汇报给内网探针，内网探针收到请求之后，记录日志，在内网产生告警并依据预定义策略和防火墙、准入控制系统等进行联动，阻断违规计算机的内网或专网接入权限。
6.优选的，所述ip地址中文名为中文名是网络之间互连的协议，是用来给internet 上的电脑一个编号。
7.优选的，所述uri为统一资源标识符，它是一个字符串用来标示抽象或物理资源。
8.优选的，所述步骤四中重定向的目标地址是互联网取证服务器的地址，uri中包含内网违规计算机的ip、mac、计算机名，为了防止恶意请求，还应当在uri中包含自定义校验和，所述mac全称叫做媒体访问控制地址，也称作局域网地址。
9.优选的，所述http为超文本传输协议，是互联网上应用最为广泛的一种网络协议。
10.优选的，所述步骤四中http redirect是一种在web服务器和客户端之间进行页面或资源跳转的机制。
11.优选的，所述内网探针是指在局域网或内部网络中部署的一种监控工具或设备，用于主动发现、识别和监视网络内部的主机、设备和流量。
12.优选的，所述步骤一中udp协议是一种在网络通信中常用的传输协议，是在ip上层的一种无连接协议。
13.优选的，所述步骤一中llmnr是一种在局域网中用于主机名称解析的协议，它允许在没有dns服务器的情况下，通过在本地网络上广播查询来解析主机名。
14.优选的，所述步骤一中5355端口用于多个网络协议的服务的默认端口。
15.本发明提供了一种基于网络代理自动发现无客户端违规外联监测方法。具备以下有益效果：1、本发明通过较底层的网络代理自动发现协议，不依赖在终端部署客户端程序，并且网络代理自动发现协议广泛存在于计算机设备、移动设备的操作系统协议栈中，且默认处于启用状态，因此不存在安装客户端的间隙，从而不会将内网或专网网络则处于危险之中。
16.2、本发明通过所有的网络通信完全使用应用层网络请求实现，不需要交换机流量
支持，不需要捕获网络数据包的文件格式和库等驱动发包支持，极大降低了部署难度，并且对各种操作系统的非特定类型联网设备都能起到很好的监测效果。
附图说明
17.图1为本发明的流程图。
具体实施方式
18.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
19.实施例：
20.请参阅附图1，本发明实施例提供一种基于网络代理自动发现无客户端违规外联监测方法，包括以下步骤：步骤一：在内网或专网内部部署内网探针，使用udp协议监听0.0.0.0的llmnr的端口，即5355端口，并加入组播组224.0.0.252，监听组播内容，当内网违规计算机有网络活动时，会在局域网依据网络代理自动发现协议探测网络内的代理服务器，朝224.0.0.252的5355端口发包，请求代理服务器的ip地址；步骤二：内网探针收到这个请求，将内网探针的地址当作代理服务器的ip地址应答发出；步骤三：内网违规计算机获取到代理服务器地址之后，便会朝此地址发起http请求，uri为 wpad.dat，端口为80，并向内网探针请求下载wpad文件；步骤四：内网探针收到wpad.dat的网络请求之后，通过其来源ip地址查询其mac地址、计算机名等资料，然后通过http redirect重定向该http请求，重定向的目标地址是互联网取证服务器的地址；步骤五：内网违规计算机收到重定向的http应答后，转而向互联网取证服务器发起http请求。若此时内网违规计算机果真建立了互联网访问通道，则该请求会被互联网取证服务器接收，否则，该请求会无任何反应，代理获取过程自然失败：步骤六：联网取证服务器工作在互联网上，对外暴露web服务，监听来自互联网的http请求，内网违规计算机的互联网请求被收到后，互联网取证服务器将解析其网络请求，验证校验和是否正确，抛弃一切校验和不正确的请求；步骤七：对于校验和正确的http请求，可以断定此时已经发生了违规外联，互联网取证服务器应获取此次请求的互联网出口地址和归属地，连同请求uri中携带的内网违规计算机的ip、mac、计算机名等信息一同记录日志，并依照预定义的策略通过短信、邮件等方式向管理员告警；步骤八：根据步骤七，对互联网取证服务器对http请求进行应答，将其再次重定向到内网探针，此时uri中额外包含外网出口地址、归属地、外联时间、违规外联已取证的信息等；步骤九：内网违规计算机再次向内网探针发起请求，将步骤八中违规外联已取证
的信息汇报给内网探针，内网探针收到请求之后，记录日志，在内网产生告警并依据预定义策略和防火墙、准入控制系统等进行联动，阻断违规计算机的内网或专网接入权限。
21.所述ip地址中文名为中文名是网络之间互连的协议，是用来给internet 上的电脑一个编号。
22.所述uri为统一资源标识符，它是一个字符串用来标示抽象或物理资源。
23.web上可用的每种资源，例如，html文档、图像、音频、视频片段、程序等，都由一个通用资源标识符进行定位，所述wpad.dat为网络代理自动发现协议，在检测和下载配置文件后，它可以执行配置文件以测定特定uri应使用的代理。
24.所述步骤四中重定向的目标地址是互联网取证服务器的地址，uri中包含内网违规计算机的ip、mac、计算机名，为了防止恶意请求，还应当在uri中包含自定义校验和，所述mac全称叫做媒体访问控制地址，也称作局域网地址，以太网地址或者物理地址。
25.媒体访问控制地址用于在网络中唯一标示一个网卡，一台设备若有一或多个网卡，则每个网卡都需要并会有一个唯一的mac地址。
26.所述http为超文本传输协议，是互联网上应用最为广泛的一种网络协议。
27.所述步骤四中http redirect是一种在web服务器和客户端之间进行页面或资源跳转的机制。
28.http redirect是http 协议的一部分，在服务器端返回特定的响应状态码和重定向目标uri，告诉客户端将请求重新定向到新的uri。
29.所述内网探针是指在局域网或内部网络中部署的一种监控工具或设备，用于主动发现、识别和监视网络内部的主机、设备和流量。
30.内网探针可以帮助网络管理员或安全团队实时了解网络内部的活动情况，包括主机的上线和下线、设备的连接状态、流量的走向和特征等，通常通过网络流量分析、端口扫描、协议识别等技术手段来收集信息，并将信息汇报给中心服务器或管理平台进行处理和分析。探针可以监测内网中的主机活动、端口开放情况、网络流量负载、异常行为等，帮助发现潜在的安全风险或网络问题。同时，内网探针也可以用于网络性能优化、带宽管理、流量监控等应用场景，并且内网探针的部署通常需要获得网络管理员或组织授权，并严格遵循合规性和隐私保护的原则，确保所收集的信息在合法、安全、隐私保护的范围内进行处理和使用。
31.所述步骤一中udp协议是一种在网络通信中常用的传输协议，是在ip上层的一种无连接协议。
32.udp协议提供了一种简单的、不可靠的数据传输服务，通常用于快速传输数据和实时应用，如音频、视频和游戏等，由于udp是一种无连接协议，意味着在数据传输之前不需要建立连接，并且udp将数据分割成小的数据包，每个数据包都带有源端口号和目标端口号，然后通过网络单独发送，同时udp没有连接的概念，因此无需等待建立连接或维护连接状态，这使得udp具有较低的开销和延迟。
33.所述步骤一中llmnr是一种在局域网（lan）中用于主机名称解析的协议，它允许在没有dns服务器的情况下，通过在本地网络上广播查询来解析主机名。
34.llmnr常用于ipv4网络中，当某个主机想要解析一个本地主机名时，它会发送一个llmnr查询消息到本地网络上的目标主机，如果有目标主机响应了该查询消息，它会回复带
有相应的主机名称和ip地址的回应消息。在这个过程中，llmnr使用udp进行通信，并使用ipv4的端口号5355，同时llmnr主要用于局域网中的名称解析，特别是在没有连接到有权威dns服务器的情况下，它可以帮助在局域网内部快速解析主机名，从而避免依赖外部的dns服务器。
35.所述步骤一中5355端口用于多个网络协议的服务的默认端口。
36.llmnr使用udp端口5355进行通信，使用5355端口作为默认端口，用于在局域网内进行主机名称解析和服务发现，以便设备能够相互识别和通信，需要注意的是同一台设备上只应该有一个应用程序使用5355端口，以避免冲突。
37.尽管已经示出和描述了本发明的实施例，对于本领域的普通技术人员而言，可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由所附权利要求及其等同物限定。

技术特征：
1.一种基于网络代理自动发现无客户端违规外联监测方法，其特征在于，包括以下步骤：步骤一：在内网或专网内部部署内网探针，使用udp协议监听0.0.0.0的llmnr的端口，即5355端口，并加入组播组224.0.0.252，监听组播内容，当内网违规计算机有网络活动时，会在局域网依据网络代理自动发现协议探测网络内的代理服务器，朝224.0.0.252的5355端口发包，请求代理服务器的ip地址；步骤二：内网探针收到这个请求，将内网探针的地址当作代理服务器的ip地址应答发出；步骤三：内网违规计算机获取到代理服务器地址之后，便会朝此地址发起http请求，uri为 wpad.dat，端口为80，并向内网探针请求下载wpad文件；步骤四：内网探针收到wpad.dat的网络请求之后，通过其来源ip地址查询其mac地址、计算机名等资料，然后通过http redirect重定向该http请求，重定向的目标地址是互联网取证服务器的地址；步骤五：内网违规计算机收到重定向的http应答后，转而向互联网取证服务器发起http请求。若此时内网违规计算机果真建立了互联网访问通道，则该请求会被互联网取证服务器接收，否则，该请求会无任何反应，代理获取过程自然失败：步骤六：联网取证服务器工作在互联网上，对外暴露web服务，监听来自互联网的http请求，内网违规计算机的互联网请求被收到后，互联网取证服务器将解析其网络请求，验证校验和是否正确，抛弃一切校验和不正确的请求；步骤七：对于校验和正确的http请求，可以断定此时已经发生了违规外联，互联网取证服务器应获取此次请求的互联网出口地址和归属地，连同请求uri中携带的内网违规计算机的ip、mac、计算机名等信息一同记录日志，并依照预定义的策略通过短信、邮件等方式向管理员告警；步骤八：根据步骤七，对互联网取证服务器对http请求进行应答，将其再次重定向到内网探针，此时uri中额外包含外网出口地址、归属地、外联时间和违规外联已取证的信息等；步骤九：内网违规计算机再次向内网探针发起请求，将步骤八中违规外联已取证的信息汇报给内网探针，内网探针收到请求之后，记录日志，在内网产生告警并依据预定义策略和防火墙、准入控制系统等进行联动，阻断违规计算机的内网或专网接入权限。2.根据权利要求1所述的一种基于网络代理自动发现无客户端违规外联监测方法，其特征在于，所述ip地址中文名为中文名是网络之间互连的协议，是用来给internet 上的电脑一个编号。3.根据权利要求1所述的一种基于网络代理自动发现无客户端违规外联监测方法，其特征在于，所述uri为统一资源标识符，它是一个字符串用来标示抽象或物理资源。4.根据权利要求1所述的一种基于网络代理自动发现无客户端违规外联监测方法，其特征在于，所述步骤四中重定向的目标地址是互联网取证服务器的地址，uri中包含内网违规计算机的ip、mac、计算机名，为了防止恶意请求，还应当在uri中包含自定义校验和，所述mac全称叫做媒体访问控制地址，也称作局域网地址。5.根据权利要求1所述的一种基于网络代理自动发现无客户端违规外联监测方法，其特征在于，所述http为超文本传输协议，是互联网上应用最为广泛的一种网络协议。
6.根据权利要求1所述的一种基于网络代理自动发现无客户端违规外联监测方法，其特征在于，所述步骤四中http redirect是一种在web服务器和客户端之间进行页面或资源跳转的机制。7.根据权利要求1所述的一种基于网络代理自动发现无客户端违规外联监测方法，其特征在于，所述内网探针是指在局域网或内部网络中部署的一种监控工具或设备，用于主动发现、识别和监视网络内部的主机、设备和流量。8.根据权利要求1所述的一种基于网络代理自动发现无客户端违规外联监测方法，其特征在于，所述步骤一中udp协议是一种在网络通信中常用的传输协议，是在ip上层的一种无连接协议。9.根据权利要求1所述的一种基于网络代理自动发现无客户端违规外联监测方法，其特征在于，所述步骤一中llmnr是一种在局域网中用于主机名称解析的协议，它允许在没有dns服务器的情况下，通过在本地网络上广播查询来解析主机名。10.根据权利要求1所述的一种基于网络代理自动发现无客户端违规外联监测方法，其特征在于，所述步骤一中5355端口用于多个网络协议的服务的默认端口。

技术总结
本申请涉及信息安全领域，公开了一种基于网络代理自动发现无客户端违规外联监测方法，包括以下步骤,步骤一：在内网或专网内部部署内网探针，使用UDP协议监听0.0.0.0的LLMNR的端口，即5355端口，并加入组播组224.0.0.252，监听组播内容，当内网违规计算机有网络活动时，会在局域网依据网络代理自动发现协议探测网络内的代理服务器，朝224.0.0.252的5355端口发包，请求代理服务器的IP地址,内网探针收到这个请求，将内网探针的地址当作代理服务器的IP地址应答发出。通过较底层的网络代理自动发现协议，不依赖在终端部署客户端程序，且默认处于启用状态，因此不存在安装客户端的间隙，从而不会将内网或专网网络则处于危险之中。中。中。


技术研发人员：陆腾
受保护的技术使用者：山东固信软件有限公司
技术研发日：2023.08.01
技术公布日：2023/10/15