非法外聯(lián)監(jiān)測(cè)系統(tǒng)的研究與實(shí)現(xiàn)

李 娜,張曉寧,王 帆（石家莊鐵道大學(xué)四方學(xué)院計(jì)算機(jī)系，河北石家莊,050043）

?

非法外聯(lián)監(jiān)測(cè)系統(tǒng)的研究與實(shí)現(xiàn)

李 娜,張曉寧,王 帆
（石家莊鐵道大學(xué)四方學(xué)院計(jì)算機(jī)系，河北石家莊,050043）

摘要：隨著信息化技術(shù)的發(fā)展，在金融機(jī)構(gòu)、政府、企事業(yè)單位、等內(nèi)部都建立了內(nèi)部網(wǎng)絡(luò)，如何確保網(wǎng)絡(luò)整體安全，防止終端采用沒有授權(quán)的網(wǎng)絡(luò)連接發(fā)起對(duì)外的網(wǎng)絡(luò)訪問——也就是非法外聯(lián)是日益凸顯的一個(gè)網(wǎng)絡(luò)及信息安全問題。本文就如何實(shí)現(xiàn)非法外聯(lián)監(jiān)測(cè)進(jìn)行研究。

關(guān)鍵詞：非法外聯(lián)；路由；實(shí)時(shí)告警

1　研究背景

隨著互聯(lián)網(wǎng)的廣泛應(yīng)用，在政府、金融、學(xué)校、運(yùn)營商等大型企事業(yè)單位中，都組建了單位的內(nèi)部網(wǎng)絡(luò)并且需要與互聯(lián)網(wǎng)連通。為了避免互聯(lián)網(wǎng)絡(luò)更多的安全威脅（黑客、病毒和拒絕服務(wù)攻擊等），網(wǎng)管通常會(huì)采取在內(nèi)網(wǎng)與互聯(lián)網(wǎng)之間的邊界實(shí)施統(tǒng)一的安全控制，例如：防火墻、IDS、IPS、內(nèi)容審計(jì)等。這些邊界安全控制手段通常都會(huì)降低內(nèi)部網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)。但是，有些內(nèi)部終端在不斷開與內(nèi)部網(wǎng)絡(luò)的網(wǎng)絡(luò)連接的情況下，使用PSTN電話線、ADSL、3G上網(wǎng)卡等方式將終端接入互聯(lián)網(wǎng)，這就相當(dāng)于給內(nèi)部網(wǎng)開了一個(gè)“后門”，我們稱這種行為為“非法外聯(lián)”。非法外聯(lián)導(dǎo)致內(nèi)部網(wǎng)絡(luò)向不安全的互聯(lián)網(wǎng)暴露，造成網(wǎng)絡(luò)運(yùn)行以及信息泄密的安全風(fēng)險(xiǎn)。

因此，我們需要一種非法外聯(lián)的監(jiān)測(cè)技術(shù)能夠及時(shí)有效的發(fā)現(xiàn)并阻止私自外聯(lián)現(xiàn)象。常用的非法外聯(lián)的監(jiān)測(cè)技術(shù)主要有以下幾種。

1.1基于客戶端的監(jiān)測(cè)技術(shù)

這種技術(shù)方案是在公司內(nèi)部網(wǎng)絡(luò)設(shè)置管理監(jiān)控服務(wù)器，網(wǎng)絡(luò)內(nèi)所有終端安裝客戶端軟件，客戶端軟件對(duì)終端的信息進(jìn)行實(shí)時(shí)的監(jiān)控、信息上報(bào)至網(wǎng)絡(luò)中的管理監(jiān)控服務(wù)器，如果終端有任何異常（終端本身、網(wǎng)絡(luò)連接等異常）都根據(jù)預(yù)先設(shè)置好的規(guī)則上報(bào)至管理監(jiān)控服務(wù)器，甚至可以由管理服務(wù)器下指令禁止異常終端的網(wǎng)絡(luò)連接。

該技術(shù)的優(yōu)點(diǎn)是可以實(shí)時(shí)監(jiān)控終端的情況；不但能進(jìn)行監(jiān)控，還能有效的進(jìn)行阻斷非法外聯(lián)；信息上報(bào)及時(shí)、準(zhǔn)確；缺點(diǎn)是部署成本高、需要在所有需要監(jiān)控的終端上部署；軟件安裝到終端后會(huì)影響終端的運(yùn)行效率；客戶端軟件可能被卸載掉，終端脫離監(jiān)控等等。

1.2基于包探測(cè)的非法外聯(lián)監(jiān)控

采用ICMP包探測(cè)技術(shù)（如果是局域網(wǎng)范圍內(nèi)可以采用ARP探測(cè)技術(shù)），探測(cè)內(nèi)網(wǎng)內(nèi)的非法外聯(lián)終端，技術(shù)原理是：采用探測(cè)服務(wù)器對(duì)網(wǎng)絡(luò)內(nèi)終端發(fā)出探測(cè)包，根據(jù)終端收到探測(cè)包以后回應(yīng)數(shù)據(jù)包的路由走向、包含的信息等進(jìn)行探測(cè)非法外聯(lián)的終端：

1) 掃描檢測(cè)服務(wù)器使用接內(nèi)網(wǎng)網(wǎng)卡把探測(cè)報(bào)文發(fā)送給存活主機(jī)IP列表中等正常主機(jī)。探測(cè)報(bào)文的源IP字段設(shè)置為假冒的互聯(lián)網(wǎng)IP：202．107．117．11。

2) 被探測(cè)的合法主機(jī)收到探測(cè)報(bào)文后，因?yàn)榘l(fā)現(xiàn)202．107 ．117．11與自己不在同一個(gè)子網(wǎng)內(nèi)，所以把回應(yīng)報(bào)文發(fā)送到自己的默認(rèn)路由：互聯(lián)網(wǎng)邊界路由器?；ヂ?lián)網(wǎng)邊界路由器將回應(yīng)報(bào)文送給外網(wǎng)真正的202．107．117．11。外網(wǎng)監(jiān)聽服務(wù)器收到回應(yīng)報(bào)文，根據(jù)出口網(wǎng)關(guān)， 判定此主機(jī)無非法外聯(lián)。

3) 掃描檢測(cè)服務(wù)器使用接內(nèi)網(wǎng)網(wǎng)卡把探測(cè)報(bào)文發(fā)送給存活主機(jī)IP列表中的非法外聯(lián)的主機(jī)。探測(cè)報(bào)文的源IP字段設(shè)置為假冒的互聯(lián)網(wǎng)IP：202．107．117．11。

4) 被探測(cè)的非法外聯(lián)的主機(jī)收到探測(cè)報(bào)文后， 因?yàn)榘l(fā)現(xiàn)202．107．117．11不在自己的192．168．0．*子網(wǎng)內(nèi)，所以把回應(yīng)報(bào)文通過非法外聯(lián)所獲取的IP：222．106．3．20發(fā)送到了真正的互聯(lián)網(wǎng)上。因?yàn)榉欠ㄍ饴?lián)后，默認(rèn)路由將是從222．106．3．20走，所以選擇通過222．106．3．20發(fā)送。如果默認(rèn)路由是從192．168．0．1走，則合法互聯(lián)網(wǎng)出口的邊界防護(hù)措施將發(fā)揮作用，也就不算是非法外聯(lián)了。監(jiān)聽檢測(cè)服務(wù)器收到回應(yīng)報(bào)文，則認(rèn)為此主機(jī)非法外聯(lián)。

圖 1　綜合非法監(jiān)測(cè)系統(tǒng)結(jié)構(gòu)圖

2　綜合非法外聯(lián)監(jiān)測(cè)方案

這種綜合非法外聯(lián)監(jiān)測(cè)系統(tǒng)結(jié)構(gòu)圖如下圖所示，主要有以下三個(gè)模塊：內(nèi)網(wǎng)監(jiān)控服務(wù)器，預(yù)警中心服務(wù)器和客戶端系統(tǒng)。主要是通過對(duì)內(nèi)網(wǎng)計(jì)算機(jī)中是否有非法外聯(lián)和是否接入非內(nèi)部授權(quán)之外的其他移動(dòng)外設(shè)進(jìn)行監(jiān)測(cè)，對(duì)相應(yīng)的計(jì)算機(jī)進(jìn)行信息進(jìn)行監(jiān)測(cè)管理。監(jiān)測(cè)客戶端在內(nèi)網(wǎng)的終端設(shè)備中隱藏運(yùn)行，使用者不能進(jìn)行卸載，發(fā)現(xiàn)非法外聯(lián)時(shí)向預(yù)警中心進(jìn)行報(bào)警。預(yù)警中心接到客戶端的警報(bào)信息之后，向網(wǎng)管發(fā)送警報(bào)短信或者郵件，網(wǎng)管可以及時(shí)根據(jù)短信或郵件信息對(duì)外聯(lián)主機(jī)進(jìn)行定位和處理。

其中，內(nèi)網(wǎng)監(jiān)控服務(wù)器主要有生成客戶端注冊(cè)信息，接收客戶端報(bào)警信息，下發(fā)升級(jí)包，移動(dòng)外設(shè)序列號(hào)信息采集等等。預(yù)警管理中心可以同時(shí)接收多臺(tái)計(jì)算機(jī)的報(bào)警信息，同時(shí)會(huì)將收到的報(bào)警信息通過網(wǎng)頁、郵件和短線多種方式反饋給網(wǎng)絡(luò)管理員。

上述方案具有完善的管理功能，性能上能滿足大多數(shù)企事業(yè)單位的需要，保證了客戶端和不同殺毒軟件之間的兼容，并且能準(zhǔn)確的進(jìn)行非法外聯(lián)報(bào)警，具有良好的實(shí)用性。

參考文獻(xiàn)

[1] W Richard Stevens.TCP/IP詳解,卷1[M].北京：機(jī)械工業(yè)出版社.

[2] 萬俊偉,王濤.網(wǎng)絡(luò)非法外聯(lián)監(jiān)控系統(tǒng)技術(shù)探析[J].飛行器測(cè)控學(xué)報(bào),2003,22:80-83

[3] 錢廷發(fā)，黃皓.基于內(nèi)核機(jī)智的非法連接監(jiān)控研究與設(shè)計(jì)[j].計(jì)算機(jī)工程與設(shè)計(jì),2010,31(6):1161-1165

李娜（1976.12），女，河北晉州人，講師。

The research and implementation of illegal external link monitoring system

Li Na,Zhang Xiaoning,Wang Fan
(School of computer science,Shijiazhuang Railway University,Shijiazhuang Hebei,050043)

Abstract：With the development of information technology,intranet is used in the interior of thefinancial institutions,government and institutions.But how to ensure security of the whole network,and prevent some intranet users break the rules and connect to the internet either through Dialup or other ways – the illegal external link is increasingly a network and information security issues.This paper discusses a complete monitor system on illegal external link.

Keywords：Illegal External Link；route；Real-time Alarm

作者簡介