技術領域

本發明屬于信息安全領域，涉及內網終端主機的違規外聯監測技術，尤其涉及一種無代理的違規外聯監測方法和系統。

背景技術

隨著互聯網技術的不斷發展和普及，各類終端設備層出不窮，越來越多的桌面終端和多元化的私有終端接入企業內網已成為未來發展的必然趨勢。在某些企業或者單位的網絡環境中，往往都是直連網，并不允許網內的電腦同時連接內網和互聯網。但有些員工在內網中私自搭建子網，在子網中連接互聯網，出現員工違規外聯的現象，這會給企業網帶來很大的安全風險。

目前，違規外聯監測技術往往需要依賴代理客戶端，即通過在接通內網的終端主機和服務器上分別安裝客戶端程序和服務端程序，并且在管理中心部署違規外聯在線監測管理系統。然而，在沒有代理客戶端的內網中，往往難以監測到子網中的違規外聯行為。過去，曾經出現了一種利用源地址欺騙的無代理違規外聯監測方法，但由于存在一些網絡攻擊屬性而被終端主機安全軟件攔截，造成監測失效的可能性很大，監測結果不準確。

為此，本發明提供了一種無需在終端主機設備上安裝代理客戶端便能監測違規外聯的方法和系統，利用特制的JavaScript腳本程序，無須在終端主機安裝，即可實現準確的違規外聯監測。

發明內容

本發明的目的是提供一種無代理的違規外聯監測方法和系統，對企業或組織內網環境中的違規外聯行為進行監測。通過特制的JavaScript腳本程序隨網頁被下載到終端主機瀏覽器中運行，實現對終端主機違規網絡通信通道的探測。

本發明提供的一種無代理的違規外聯監測方法，分為以下步驟：

S1：當內網終端主機訪問業務網站網頁時，JS代碼隨網頁一起經過瀏覽器被下載到終端主機；

S2：JS代碼從終端主機訪問外網監測服務器；

S3：一旦外網監測服務器收到來自JS代碼的訪問數據，就立刻進行違規外聯報警，同時將訪問數據中的終端主機外網IP地址返回JS代碼；

S4：JS代碼將終端主機的外網IP地址和內網IP地址一起發送到內網監測服務器；

S5：一旦內網監測服務器收到JS代碼發來的數據，就立刻進行違規外聯報警。

在所述步驟S1之前，需在內網安裝部署內網監測服務器，在外網安裝部署外網監測服務器，同時在內網業務網站上嵌入JS代碼。

進一步地，當所述步驟S2中JS代碼訪問外網監測服務器失敗時，說明終端主機不存在違規外聯的網絡通信通道，沒有違規外聯行為。

另外，本發明還提供了一種無代理的違規外聯監測系統，所述系統包括內網監測模塊、外網監測模塊和JS代碼，其中，

內網監測模塊，安裝運行在內網服務器上，用于在內網監測違規外聯行為并產生報警信息；

外網監測模塊，安裝運行在外網服務器上，用于在外網監測違規外聯行為并產生報警信息；

JS代碼，嵌入在內網業務網站中，用于探測內網終端主機有無違規連接外網的網絡通道。

所述JS代碼隨網頁一起經過瀏覽器被下載到終端主機后，將訪問外網監測服務器，若訪問成功，說明終端主機存在與外網監測服務器的網絡連接通道，也就可以證明終端主機出現了違規外聯行為；反之，若訪問失敗，則說明終端主機沒有與外網監測服務器的網絡連接通道，也就可以證明終端主機未出現違規外聯行為。

所述外網監測模塊一旦收到JS代碼發來的訪問數據，就說明存在違規外聯行為，隨即產生報警信息，同時提取訪問數據中的源IP地址，該源IP地址就是終端主機的外網IP地址，并將外網IP地址返回JS代碼。

進一步地，所述JS代碼一旦獲得從外網監測模塊返回的終端主機外網IP地址，就將終端主機的外網IP地址和內網IP地址一起發送到內網監測模塊。JS代碼在終端主機的瀏覽器中被解析執行，能夠輕易獲得終端主機的內網IP地址。

若所述內網監測模塊一旦收到JS代碼發來的數據，說明發現存在違規外聯通信通道，隨即產生報警信息。

所述報警信息分為內網報警信息和外網報警信息，所述內網報警信息包含終端主機的內網IP地址、外網IP地址和主機屬性數據，所述外網報警信息包含終端主機的外網IP地址和主機屬性數據。這里，主機屬性數據包括終端主機所屬單位/部門、使用用戶等信息。

通過本發明提供的方法和系統，可以在不安裝代理客戶端的終端主機上實現準確的違規外聯行為監測，為違規外聯監測提供了一種更簡便的手段。

附圖說明

圖1為本發明的一種無代理違規外聯監測系統的應用部署圖；

圖2為本發明的一種無代理違規外聯監測方法的流程圖；