李 娜,张晓宁,王 帆（石家庄铁道大学四方学院计算机系，河北石家庄,050043）



非法外联监测系统的研究与实现

李 娜,张晓宁,王 帆
（石家庄铁道大学四方学院计算机系，河北石家庄,050043）

摘要：随着信息化技术的发展，在金融机构、政府、企事业单位、等内部都建立了内部网络，如何确保网络整体安全，防止终端采用没有授权的网络连接发起对外的网络访问——也就是非法外联是日益凸显的一个网络及信息安全问题。本文就如何实现非法外联监测进行研究。

关键词：非法外联；路由；实时告警

1　研究背景

随着互联网的广泛应用，在政府、金融、学校、运营商等大型企事业单位中，都组建了单位的内部网络并且需要与互联网连通。为了避免互联网络更多的安全威胁（黑客、病毒和拒绝服务攻击等），网管通常会采取在内网与互联网之间的边界实施统一的安全控制，例如：防火墙、IDS、IPS、内容审计等。这些边界安全控制手段通常都会降低内部网络的安全风险。但是，有些内部终端在不断开与内部网络的网络连接的情况下，使用PSTN电话线、ADSL、3G上网卡等方式将终端接入互联网，这就相当于给内部网开了一个“后门”，我们称这种行为为“非法外联”。非法外联导致内部网络向不安全的互联网暴露，造成网络运行以及信息泄密的安全风险。

因此，我们需要一种非法外联的监测技术能够及时有效的发现并阻止私自外联现象。常用的非法外联的监测技术主要有以下几种。

1.1基于客户端的监测技术

这种技术方案是在公司内部网络设置管理监控服务器，网络内所有终端安装客户端软件，客户端软件对终端的信息进行实时的监控、信息上报至网络中的管理监控服务器，如果终端有任何异常（终端本身、网络连接等异常）都根据预先设置好的规则上报至管理监控服务器，甚至可以由管理服务器下指令禁止异常终端的网络连接。

该技术的优点是可以实时监控终端的情况；不但能进行监控，还能有效的进行阻断非法外联；信息上报及时、准确；缺点是部署成本高、需要在所有需要监控的终端上部署；软件安装到终端后会影响终端的运行效率；客户端软件可能被卸载掉，终端脱离监控等等。

1.2基于包探测的非法外联监控

采用ICMP包探测技术（如果是局域网范围内可以采用ARP探测技术），探测内网内的非法外联终端，技术原理是：采用探测服务器对网络内终端发出探测包，根据终端收到探测包以后回应数据包的路由走向、包含的信息等进行探测非法外联的终端：

1) 扫描检测服务器使用接内网网卡把探测报文发送给存活主机IP列表中等正常主机。探测报文的源IP字段设置为假冒的互联网IP：202．107．117．11。

2) 被探测的合法主机收到探测报文后，因为发现202．107 ．117．11与自己不在同一个子网内，所以把回应报文发送到自己的默认路由：互联网边界路由器。互联网边界路由器将回应报文送给外网真正的202．107．117．11。外网监听服务器收到回应报文，根据出口网关， 判定此主机无非法外联。

3) 扫描检测服务器使用接内网网卡把探测报文发送给存活主机IP列表中的非法外联的主机。探测报文的源IP字段设置为假冒的互联网IP：202．107．117．11。

4) 被探测的非法外联的主机收到探测报文后， 因为发现202．107．117．11不在自己的192．168．0．*子网内，所以把回应报文通过非法外联所获取的IP：222．106．3．20发送到了真正的互联网上。因为非法外联后，默认路由将是从222．106．3．20走，所以选择通过222．106．3．20发送。如果默认路由是从192．168．0．1走，则合法互联网出口的边界防护措施将发挥作用，也就不算是非法外联了。监听检测服务器收到回应报文，则认为此主机非法外联。

图 1　综合非法监测系统结构图

2　综合非法外联监测方案

这种综合非法外联监测系统结构图如下图所示，主要有以下三个模块：内网监控服务器，预警中心服务器和客户端系统。主要是通过对内网计算机中是否有非法外联和是否接入非内部授权之外的其他移动外设进行监测，对相应的计算机进行信息进行监测管理。监测客户端在内网的终端设备中隐藏运行，使用者不能进行卸载，发现非法外联时向预警中心进行报警。预警中心接到客户端的警报信息之后，向网管发送警报短信或者邮件，网管可以及时根据短信或邮件信息对外联主机进行定位和处理。

其中，内网监控服务器主要有生成客户端注册信息，接收客户端报警信息，下发升级包，移动外设序列号信息采集等等。预警管理中心可以同时接收多台计算机的报警信息，同时会将收到的报警信息通过网页、邮件和短线多种方式反馈给网络管理员。

上述方案具有完善的管理功能，性能上能满足大多数企事业单位的需要，保证了客户端和不同杀毒软件之间的兼容，并且能准确的进行非法外联报警，具有良好的实用性。

参考文献

[1] W Richard Stevens.TCP/IP详解,卷1[M].北京：机械工业出版社.

[2] 万俊伟,王涛.网络非法外联监控系统技术探析[J].飞行器测控学报,2003,22:80-83

[3] 钱廷发，黄皓.基于内核机智的非法连接监控研究与设计[j].计算机工程与设计,2010,31(6):1161-1165

李娜（1976.12），女，河北晋州人，讲师。

The research and implementation of illegal external link monitoring system

Li Na,Zhang Xiaoning,Wang Fan
(School of computer science,Shijiazhuang Railway University,Shijiazhuang Hebei,050043)

Abstract：With the development of information technology,intranet is used in the interior of thefinancial institutions,government and institutions.But how to ensure security of the whole network,and prevent some intranet users break the rules and connect to the internet either through Dialup or other ways – the illegal external link is increasingly a network and information security issues.This paper discusses a complete monitor system on illegal external link.

Keywords：Illegal External Link；route；Real-time Alarm

作者简介