(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111361672.1 (22)申请日 2021.11.17 (71)申请人 广东电网有限责任公司 地址 510030 广东省广州市越秀区东 风东 路757号 申请人 广东电网有限责任公司电力调度控 制中心 (72)发明人 古振威　邓晓智　陶文伟　马腾腾　 危国恩　 (74)专利代理 机构 华进联合专利商标代理有限 公司 44224 代理人 邓云鹏 (51)Int.Cl. H04L 61/4511(2022.01) H04L 12/46(2006.01)H04L 9/40(2022.01) H04L 41/0631(2022.01) (54)发明名称 基于非客户端模式被动检查离线非法外联 方法和装置 (57)摘要 本申请涉及一种基于非客户端模式被动检 查离线非法外联方法、 装置、 计算机设备、 存储介 质和计算机程序产品。 方法包括： 获取通过认证 操作连接到互联网而生成第一访问报文， 以及， 获取连接至目标内网而生 成第二访问报文； 在检 测到所述内网终端访问目标浏览器时， 将目标脚 本程序加载至本地； 所述目标脚本程序用于读取 所述目标浏览器Cookie以模拟比对所述第一访 问报文和所述第二访问报文； 若第二访问报文中 包含有与第一访问报文无关的行为信息， 且成功 解析外网地址至非法外联服务器， 则将外网地址 的访问痕迹和 内网地址的访问痕迹上报至非法 外联检测服务器， 并生成非法外联标识。 采用本 方法能够保障内网设备中内部信息的安全性和 保密性。 权利要求书2页 说明书9页 附图4页 CN 114244808 A 2022.03.25 CN 114244808 A 1.一种基于非客户端模式被动检查离线非法外联 方法， 其特 征在于， 包括： 获取通过认证操作连接到互联网而生成第一访 问报文， 以及， 获取连接至目标内网而 生成第二访问报文； 所述第一访问报文为内网终端通过访问外网地址生成的报文； 所述第 二访问报文为所述内网终端通过访问内网地址生成的报文； 在检测到所述内网终端访 问目标浏览器时， 将目标脚本程序加载至本地； 所述目标脚 本程序用于读取所述目标浏览器Cookie以模拟比对所述第一访问报文和所述第二访问报 文； 若所述第二访问报文中包含有与 所述第一访问报文无关的行为信 息， 且成功解析所述 外网地址至非法外联服务器， 则将所述外网地址的访问痕迹和所述内网地址的访问痕迹上 报至非法外联检测服务器， 并生成非法外联标识； 所述非法外联检测服务器用于定位所述 内网终端存在非法外联 行为； 所述非法外联 标识用于供认证设备 执行非法外联告警操作。 2.根据权利要求1所述的方法， 其特 征在于， 所述方法还 包括： 打开所述外网地址并向预设的DNS策略进行请求解析， 通过分析判定是否解析所述外 网地址到非法外联服 务器； 若解析不到所述外网地址， 则判断当前连接为合法外联， 允许所述内网终端执行正常 访问操作。 3.根据权利要求2所述的方法， 其特征在于， 所述预设的DNS策略识别所述内网终端的 信息包括： 所述内网终端访问数据库服务器信息、 所述内网终端打印任务信息、 所述内网终 端上传\下载记录信息、 所述内网终端DNS解析记录信息、 所述内网终端VPN服务器使用信息 以及所述内网终端的网页浏览记录信息中的至少一种。 4.根据权利要求1所述的方法， 其特征在于， 所述非法外联检测服务器， 还用于生成非 法外联日志， 所述非法外联日志用于记录存在非法外联 行为的内网终端。 5.根据权利要求1所述的方法， 其特征在于， 所述非法外联检测服务器， 还用所述非法 外联检测服务器将禁止访问内网资源的事件返回给存在非法外联行为的内网终端， 以提示 用户所述内网终端存在非法外联的行为， 并且立即终止非法外联的行为。 6.根据权利要求1所述的方法， 其特征在于， 所述非法外联检测服务器， 还用于禁止存 在非法外联 行为的内网终端服 务内网资源。 7.一种基于非客户端模式被动检查离线非法外联装置， 其特 征在于， 所述装置包括： 获取模块， 用于获取通过认证操作 连接到互联网而生成第 一访问报文， 以及， 获取连接 至目标内网而生成第二访问报文； 所述第一访问报文为内网终端通过访问外网地址生成的 报文； 所述第二访问报文为所述内网终端通过访问内网地址生成的报文； 比对模块， 用于在检测到所述内网终端访 问目标浏览器时， 将目标脚本程序加载至本 地； 所述目标脚本程序用于读取所述目标浏览器Cookie以模拟比对所述第一访问报文和所 述第二访问报文； 检测模块， 用于若所述第二访 问报文中包含有与所述第一访 问报文无关的行为信息， 且成功解析所述外网地址至非法外联服务器， 则将所述外网地址的访问痕迹和所述内网地 址的访问痕迹上报至非法外联检测 服务器， 并生成非法外联标识； 所述非法外联检测服务 器用于定位所述内网终端存在非法外联行为； 所述非法外联标识用于供认证设备执行非法 外联告警操作。权　利　要　求　书 1/2 页 2 CN 114244808 A 28.一种计算机设备， 包括存储器和处理器， 所述存储器存储有计算机程序， 其特征在 于， 所述处 理器执行所述计算机程序时实现权利要求1至 6中任一项所述的方法的步骤。 9.一种计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 所述计算机程序被 处理器执行时实现权利要求1至 6中任一项所述的方法的步骤。 10.一种计算机程序产品， 包括计算机程序， 其特征在于， 该计算机程序被处理器执行 时实现权利要求1至 6中任一项所述的方法的步骤。权　利　要　求　书 2/2 页 3 CN 114244808 A 3