李 娜,張曉寧,王 帆（石家莊鐵道大學(xué)四方學(xué)院計算機系，河北石家莊,050043）

?

非法外聯(lián)監(jiān)測系統(tǒng)的研究與實現(xiàn)

李 娜,張曉寧,王 帆
（石家莊鐵道大學(xué)四方學(xué)院計算機系，河北石家莊,050043）

摘要：隨著信息化技術(shù)的發(fā)展，在金融機構(gòu)、政府、企事業(yè)單位、等內(nèi)部都建立了內(nèi)部網(wǎng)絡(luò)，如何確保網(wǎng)絡(luò)整體安全，防止終端采用沒有授權(quán)的網(wǎng)絡(luò)連接發(fā)起對外的網(wǎng)絡(luò)訪問——也就是非法外聯(lián)是日益凸顯的一個網(wǎng)絡(luò)及信息安全問題。本文就如何實現(xiàn)非法外聯(lián)監(jiān)測進(jìn)行研究。

關(guān)鍵詞：非法外聯(lián)；路由；實時告警

1　研究背景

隨著互聯(lián)網(wǎng)的廣泛應(yīng)用，在政府、金融、學(xué)校、運營商等大型企事業(yè)單位中，都組建了單位的內(nèi)部網(wǎng)絡(luò)并且需要與互聯(lián)網(wǎng)連通。為了避免互聯(lián)網(wǎng)絡(luò)更多的安全威脅（黑客、病毒和拒絕服務(wù)攻擊等），網(wǎng)管通常會采取在內(nèi)網(wǎng)與互聯(lián)網(wǎng)之間的邊界實施統(tǒng)一的安全控制，例如：防火墻、IDS、IPS、內(nèi)容審計等。這些邊界安全控制手段通常都會降低內(nèi)部網(wǎng)絡(luò)的安全風(fēng)險。但是，有些內(nèi)部終端在不斷開與內(nèi)部網(wǎng)絡(luò)的網(wǎng)絡(luò)連接的情況下，使用PSTN電話線、ADSL、3G上網(wǎng)卡等方式將終端接入互聯(lián)網(wǎng)，這就相當(dāng)于給內(nèi)部網(wǎng)開了一個“后門”，我們稱這種行為為“非法外聯(lián)”。非法外聯(lián)導(dǎo)致內(nèi)部網(wǎng)絡(luò)向不安全的互聯(lián)網(wǎng)暴露，造成網(wǎng)絡(luò)運行以及信息泄密的安全風(fēng)險。

因此，我們需要一種非法外聯(lián)的監(jiān)測技術(shù)能夠及時有效的發(fā)現(xiàn)并阻止私自外聯(lián)現(xiàn)象。常用的非法外聯(lián)的監(jiān)測技術(shù)主要有以下幾種。

1.1基于客戶端的監(jiān)測技術(shù)

這種技術(shù)方案是在公司內(nèi)部網(wǎng)絡(luò)設(shè)置管理監(jiān)控服務(wù)器，網(wǎng)絡(luò)內(nèi)所有終端安裝客戶端軟件，客戶端軟件對終端的信息進(jìn)行實時的監(jiān)控、信息上報至網(wǎng)絡(luò)中的管理監(jiān)控服務(wù)器，如果終端有任何異常（終端本身、網(wǎng)絡(luò)連接等異常）都根據(jù)預(yù)先設(shè)置好的規(guī)則上報至管理監(jiān)控服務(wù)器，甚至可以由管理服務(wù)器下指令禁止異常終端的網(wǎng)絡(luò)連接。

該技術(shù)的優(yōu)點是可以實時監(jiān)控終端的情況；不但能進(jìn)行監(jiān)控，還能有效的進(jìn)行阻斷非法外聯(lián)；信息上報及時、準(zhǔn)確；缺點是部署成本高、需要在所有需要監(jiān)控的終端上部署；軟件安裝到終端后會影響終端的運行效率；客戶端軟件可能被卸載掉，終端脫離監(jiān)控等等。

1.2基于包探測的非法外聯(lián)監(jiān)控

采用ICMP包探測技術(shù)（如果是局域網(wǎng)范圍內(nèi)可以采用ARP探測技術(shù)），探測內(nèi)網(wǎng)內(nèi)的非法外聯(lián)終端，技術(shù)原理是：采用探測服務(wù)器對網(wǎng)絡(luò)內(nèi)終端發(fā)出探測包，根據(jù)終端收到探測包以后回應(yīng)數(shù)據(jù)包的路由走向、包含的信息等進(jìn)行探測非法外聯(lián)的終端：

1) 掃描檢測服務(wù)器使用接內(nèi)網(wǎng)網(wǎng)卡把探測報文發(fā)送給存活主機IP列表中等正常主機。探測報文的源IP字段設(shè)置為假冒的互聯(lián)網(wǎng)IP：202．107．117．11。

2) 被探測的合法主機收到探測報文后，因為發(fā)現(xiàn)202．107 ．117．11與自己不在同一個子網(wǎng)內(nèi)，所以把回應(yīng)報文發(fā)送到自己的默認(rèn)路由：互聯(lián)網(wǎng)邊界路由器?；ヂ?lián)網(wǎng)邊界路由器將回應(yīng)報文送給外網(wǎng)真正的202．107．117．11。外網(wǎng)監(jiān)聽服務(wù)器收到回應(yīng)報文，根據(jù)出口網(wǎng)關(guān)， 判定此主機無非法外聯(lián)。

3) 掃描檢測服務(wù)器使用接內(nèi)網(wǎng)網(wǎng)卡把探測報文發(fā)送給存活主機IP列表中的非法外聯(lián)的主機。探測報文的源IP字段設(shè)置為假冒的互聯(lián)網(wǎng)IP：202．107．117．11。

4) 被探測的非法外聯(lián)的主機收到探測報文后， 因為發(fā)現(xiàn)202．107．117．11不在自己的192．168．0．*子網(wǎng)內(nèi)，所以把回應(yīng)報文通過非法外聯(lián)所獲取的IP：222．106．3．20發(fā)送到了真正的互聯(lián)網(wǎng)上。因為非法外聯(lián)后，默認(rèn)路由將是從222．106．3．20走，所以選擇通過222．106．3．20發(fā)送。如果默認(rèn)路由是從192．168．0．1走，則合法互聯(lián)網(wǎng)出口的邊界防護(hù)措施將發(fā)揮作用，也就不算是非法外聯(lián)了。監(jiān)聽檢測服務(wù)器收到回應(yīng)報文，則認(rèn)為此主機非法外聯(lián)。

圖 1　綜合非法監(jiān)測系統(tǒng)結(jié)構(gòu)圖

2　綜合非法外聯(lián)監(jiān)測方案

這種綜合非法外聯(lián)監(jiān)測系統(tǒng)結(jié)構(gòu)圖如下圖所示，主要有以下三個模塊：內(nèi)網(wǎng)監(jiān)控服務(wù)器，預(yù)警中心服務(wù)器和客戶端系統(tǒng)。主要是通過對內(nèi)網(wǎng)計算機中是否有非法外聯(lián)和是否接入非內(nèi)部授權(quán)之外的其他移動外設(shè)進(jìn)行監(jiān)測，對相應(yīng)的計算機進(jìn)行信息進(jìn)行監(jiān)測管理。監(jiān)測客戶端在內(nèi)網(wǎng)的終端設(shè)備中隱藏運行，使用者不能進(jìn)行卸載，發(fā)現(xiàn)非法外聯(lián)時向預(yù)警中心進(jìn)行報警。預(yù)警中心接到客戶端的警報信息之后，向網(wǎng)管發(fā)送警報短信或者郵件，網(wǎng)管可以及時根據(jù)短信或郵件信息對外聯(lián)主機進(jìn)行定位和處理。

其中，內(nèi)網(wǎng)監(jiān)控服務(wù)器主要有生成客戶端注冊信息，接收客戶端報警信息，下發(fā)升級包，移動外設(shè)序列號信息采集等等。預(yù)警管理中心可以同時接收多臺計算機的報警信息，同時會將收到的報警信息通過網(wǎng)頁、郵件和短線多種方式反饋給網(wǎng)絡(luò)管理員。

上述方案具有完善的管理功能，性能上能滿足大多數(shù)企事業(yè)單位的需要，保證了客戶端和不同殺毒軟件之間的兼容，并且能準(zhǔn)確的進(jìn)行非法外聯(lián)報警，具有良好的實用性。

參考文獻(xiàn)

[1] W Richard Stevens.TCP/IP詳解,卷1[M].北京：機械工業(yè)出版社.

[2] 萬俊偉,王濤.網(wǎng)絡(luò)非法外聯(lián)監(jiān)控系統(tǒng)技術(shù)探析[J].飛行器測控學(xué)報,2003,22:80-83

[3] 錢廷發(fā)，黃皓.基于內(nèi)核機智的非法連接監(jiān)控研究與設(shè)計[j].計算機工程與設(shè)計,2010,31(6):1161-1165

李娜（1976.12），女，河北晉州人，講師。

The research and implementation of illegal external link monitoring system

Li Na,Zhang Xiaoning,Wang Fan
(School of computer science,Shijiazhuang Railway University,Shijiazhuang Hebei,050043)

Abstract：With the development of information technology,intranet is used in the interior of thefinancial institutions,government and institutions.But how to ensure security of the whole network,and prevent some intranet users break the rules and connect to the internet either through Dialup or other ways – the illegal external link is increasingly a network and information security issues.This paper discusses a complete monitor system on illegal external link.

Keywords：Illegal External Link；route；Real-time Alarm

作者簡介