利用一臺內聯網計算機實現封閉網絡連接狀態監測方法

專利名稱：利用一臺內聯網計算機實現封閉網絡連接狀態監測方法
技術領域：
本發明涉及一種計算機應用技術，尤其涉及一種利用一臺內聯網計算機實現封閉網絡連接狀態監測方法。
背景技術：
邊界安全是網絡安全的要素之一。在計算機系統應用中，往往采用以防火墻(Firewall)為代表的邊界安全技術，在內聯網與因特網連接處構造安全邊界，形成相對封閉的安全域。隨著社會信息化的深入，各類有線和無線的因特網接入手段越來越多，接入方式越來越靈活，內部員工可輕易地外聯到因特網，越過防火墻的安全壁壘，從而打破了安全域的封閉性，對內聯網的安全形成了很大的威脅。所以監測分析內聯網中計算機的網絡連接狀態并發現其中正在發生的非法外聯、IP資源濫用等行為就顯得格外重要。
現有的網絡連接狀態監測方法主要有如下幾種監測方法一其系統結構如圖1所示。在內部員工的個人計算機上安裝監測軟件，通過監測軟件監測或限制調制解調器等外聯設備的使用，從而實現對每臺內聯網計算機的網絡連接狀態進行監測的目的。這種結構是一種分布式部署、集中管理的系統結構，它一般由監管中心和監測引擎兩大部分組成監管中心安裝在監測計算機上，主要實現集中監測信息和管理的作用；而監測引擎則安裝在每臺被監測的計算機上，以監測本地主機的網絡連接狀態，并向監管中心上報監測信息。雖然該方法較容易被實現，但是，該方法存在以下幾個主要問題1、在多臺計算機上部署和維護復雜，易造成員工對抗監測軟件；2、難于適應多樣化的網絡接入手段；3、只能檢測撥號/非撥號/斷線等三個連接狀態，難以分析其他外聯狀態；4、需要采購較多的使用許可，投資較大。
監測方法二其系統結構如圖2所示。在內聯網設置內網服務器，用于發送探測包到內聯網內的監測目標機；在因特網設置外網服務器，用于接收監測目標機對探測包的應答，根據是否收到應答來判定監測目標機是否接入因特網。該方法由于發送的探測包為IP欺騙包(Fake IP Packet)，技術兼容性差，存在如下幾個主要問題1、要求內部網防火墻和網關不能設置IP欺騙包阻斷，從而嚴重影響了內部網的安全性；2、部分因特網服務提供商，在防火墻和網關中采用了IP欺騙包阻斷技術，會導致上述欺騙包無法通過，造成漏報；3、典型的微軟Windows操作系統撥號時，如果設置共享，也會造成上述欺騙包無法通過，造成漏報；4、由于設置在因特網上的外網服務器無法接收來自其他封閉專用網上的網絡數據包，無法檢測外聯到專用網(如間諜網)上的情況，造成漏報；5、只能監測是否非法外聯，難以分析其他狀態，無法檢測監測目標機撥掉網線再外聯的情況，造成漏報。
監測方法三其系統結構如圖3所示。設立一臺監測計算機，具有內聯網地址和因特網地址，向檢測監測目標機分別發送不同源地址的探測包，根據測監測目標機對不同源地址的探測包的應答來判定監測目標機是否非法外聯。該方法的好處是可以檢測出多種連接狀態。但是，監測方法三要求計算機能夠上網，不能用于要求嚴格內外網物理隔離的應用環境。

發明內容
針對上述監測方法存在的問題，本發明提供一種在內外網嚴格物理隔離、內聯網實行多層嚴格安全防護的應用環境下，實現單點部署和全局監測，并適用于多種外聯手段的利用一臺內聯網計算機實現封閉網絡連接狀態監測方法。
為了解決上述問題，本發明采用如下技術方案該監測方法至少包括以下步驟第一步，設立一臺計算機為監測計算機，連接到內聯網交換機上，并在內聯網交換機上連接一臺路由器；在內聯網交換機上進行設置，使監測計算機能直接與所有監測目標機進行正常的通訊；在路由器上進行設置，使監測計算機能通過路由器與所有監測目標機進行正常的通訊；第二步，確定一臺內聯網計算機為監測目標機，由監測計算機對該監測目標機執行第三步至第五步；第三步，由監測計算機通過交換機向監測目標機發送廣播探測包，收集返回的數據包；第四步，由監測計算機通過路由器向監測目標機發送IP探測包，收集返回的數據包；第五步，根據第三步和第四步的返回結果對監測目標機的網絡連接狀態作出判定，完成對一臺監測目標機的監測；第六步，判定是否還有其它監測目標機，如有，則返回到第二步對下一監測目標機進行監測；如無，則監測結束。
第三步的返回結果為“無響應”，第四步的返回結果為任意結果，判定監測目標機處于“關機或連接斷開”狀態。
第三步的返回結果為“響應”，第四步的返回結果為“正常”，判定監測目標機處于“開機，未非法外聯”狀態。
第三步的返回結果為“響應”，第四步的返回結果為“超時”，判定監測目標機處于“開機，非法外聯”狀態。
第三步的返回結果為“響應”，第四步的返回結果為“異常”，判定監測目標機處于“網關設置異常”狀態。
本發明由于采用了以上技術方案，使其與現有技術相比，具有以下明顯的優點和積極效果1、適用于內外網嚴格物理隔離、內聯網實行多層嚴格安全防護的應用環境本發明的方法只要求設立一臺內聯網計算機作為監測計算機，發送的探測包是標準的數據包，對應用環境要求低，可用于內外網嚴格物理隔離、內聯網實行多層嚴格安全防護的應用環境。
2、監測多種外聯本發明的方法發送的探測包是標準的數據包，可以監測多種外聯。可以有效地識別到其他封閉專用網的外聯。可以有效地識別到斷線的狀態，從而為故意撥掉網線外聯這種情況的檢測提供事件基礎。
3、便于部署、便于維護以前一些網絡連接狀態監測方法往往要求在員工的個人計算機上安裝監測引擎，通過監測引擎監測或限制調制解調器的使用。該方法要求在內聯網每臺計算機上安裝軟件，部署和維護起來都很復雜。而且，該方法容易造成員工的不信任，從而導致員工對抗監測軟件。
本發明的方法實現了單點部署和全局監測，僅需要設立一臺內聯網計算機作為監測計算機，就可以實現對多臺計算機的監測。顯然，本發明的方法便于部署、便于維護，不易造成員工的抵觸。
本發明的方法也不要求具有因特網固定的IP地址、或撥號到因特網，只需要在內聯網進行設置。本發明的方法也不要求內聯網防火墻和網關開放IP欺騙包，對內聯網安全性沒有影響，易于為網管所接受。因此，本發明的方法部署和維護相對容易。
4、易于擴充實現多種狀態監測本發明的方法發送的探測包是標準的數據包，可以在實現外聯監測基礎上進行逐步擴充，進一步實現網卡物理地址、IP邏輯地址、邏輯名稱、操作系統指紋等狀態監測。


圖1為現有技術監測方法一的系統結構示意圖。
圖2為現有技術監測方法二的系統結構示意圖。
圖3為現有技術監測方法三的系統結構示意圖。
圖4為本發明利用一臺內聯網計算機實現封閉網絡連接狀態監測方法的系統結構示意圖。
圖5為本發明利用一臺內聯網計算機實現封閉網絡連接狀態監測方法的流程示意圖。
具體實施例方式
請參見圖4，本發明利用一臺內聯網計算機實現封閉網絡連接狀態監測方法的系統結構如圖4所示。確定一臺計算機為監測計算機，連接到內聯網交換機上，在該內聯網交換機上還連接有一路由器；在內聯網交換機上進行設置，使監測計算機能直接與所有監測目標機進行正常的通訊；在路由器上進行設置，使監測計算機能通過路由器與所有監測目標機進行正常的通訊；由監測計算機對各監測目標機實施實時的監控。與現有監測方法的結構不同之處是，在每個監測目標機中不需要安裝任何附加的軟件，而只需要設立一臺連接到內聯網交換機上的監測計算機，即可實現對各監測目標機的監控。
請參見圖5，本發明利用一臺內聯網計算機實現封閉網絡連接狀態監測方法可具體描述如第一步，設立一臺計算機為監測計算機，連接到內聯網交換機上，并在內聯網交換機上連接一臺路由器；在內聯網交換機上進行設置，使監測計算機能直接與所有監測目標機進行正常的通訊；在路由器上進行設置，使監測計算機能通過路由器與所有監測目標機進行正常的通訊；第二步，確定一臺內聯網計算機為監測目標機，由監測計算機對該監測目標機執行第三步至第五步；第三步，由監測計算機通過交換機向監測目標機發送廣播探測包，收集返回的數據包；第四步，由監測計算機通過路由器向監測目標機發送IP探測包，收集返回的數據包；第五步，根據第三步和第四步的返回結果對監測目標機的網絡連接狀態作出判定，完成對一臺監測目標機的監測；該判定根據下述網絡連接狀態判定依據表作出網絡連接狀態判定依據表

各種網絡連接狀態的判定結果進一步分述如下1、如果第三步的返回結果為“無響應”，第四步的返回結果為任意結果，則判定監測目標機處于“關機或連接斷開”狀態。
2、如果第三步的返回結果為“響應”，第四步的返回結果為“正常”，則判定監測目標機處于“開機，未非法外聯”狀態。
3、如果第三步的返回結果為“響應”，第四步的返回結果為“超時”，則判定監測目標機處于“開機，非法外聯”狀態。
4、如果第三步的返回結果為“響應”，第四步的返回結果為“異常”，則判定監測目標機處于“網關設置異常”狀態。
第六步，監測計算機在對所確定的一臺監測目標機完成其網絡連接狀態的判定后，接著判定是否還有其它監測目標機，如有，則返回到第二步對下一監測目標機進行監測；如無，則監測結束。
權利要求
1.一種利用一臺內聯網計算機實現封閉網絡連接狀態監測方法，其特征在于，該方法至少包括以下步驟第一步，設立一臺計算機為監測計算機，連接到內聯網交換機上，并在內聯網交換機上連接一臺路由器；在內聯網交換機上進行設置，使監測計算機能直接與所有監測目標機進行正常的通訊；在路由器上進行設置，使監測計算機能通過路由器與所有監測目標機進行正常的通訊；第二步，確定一臺內聯網計算機為監測目標機，由監測計算機對該監測目標機執行第三步至第五步；第三步，由監測計算機通過交換機向監測目標機發送廣播探測包，收集返回的數據包；第四步，由監測計算機通過路由器向監測目標機發送IP探測包，收集返回的數據包；第五步，根據第三步和第四步的返回結果對監測目標機的網絡連接狀態作出判定，完成對一臺監測目標機的監測；第六步，判定是否還有其它監測目標機，如有，則返回到第二步對下一監測目標機進行監測；如無，則監測結束。
2.根據權利要求1所述的利用一臺內聯網計算機實現封閉網絡連接狀態監測方法，其特征在于第三步的返回結果為“無響應”，第四步的返回結果為任意結果，判定監測目標機處于“關機或連接斷開”狀態。
3.根據權利要求1所述的利用一臺內聯網計算機實現封閉網絡連接狀態監測方法，其特征在于第三步的返回結果為“響應”，第四步的返回結果為“正常”，判定監測目標機處于“開機，未非法外聯”狀態。
4.根據權利要求1所述的利用一臺內聯網計算機實現封閉網絡連接狀態監測方法，其特征在于第三步的返回結果為“響應”，第四步的返回結果為“超時”，判定監測目標機處于“開機，非法外聯”狀態。
5.根據權利要求1所述的利用一臺內聯網計算機實現封閉網絡連接狀態監測方法，其特征在于第三步的返回結果為“響應”，第四步的返回結果為“異常”，判定監測目標機處于“網關設置異常”狀態。
全文摘要
本發明公開了一種利用一臺內聯網計算機實現封閉網絡連接狀態監測方法，該方法利用一臺內聯網計算機作為監測計算機，連接到內聯網交換機上，在該交換機上還連接有一路由器；由監測計算機向其它內聯網計算機發送探測包，并根據返回的結果來判定監測計算機的網絡連接狀態。本方法適用于內外網嚴格物理隔離、內聯網實行多層嚴格安全防護的應用環境，單點部署、全局監測，實現對內聯網的網絡狀態進行全面和快速的監測，可有效發現采用多種手段外聯到因特網和專用網的行為。
文檔編號G06F15/16GK1447240SQ0311515
公開日2003年10月8日 申請日期2003年1月24日 優先權日2003年1月24日
發明者金波, 周晴杰, 應華, 吳詠煒 申請人:上海金諾網絡安全技術發展股份有限公司