內網異常IP發現及邊界安全防護提升

趙欣慧 王永翔 李旭輝

摘?要：內網信息安全威脅不僅來自于網絡外部的攻擊，很大一部分是網絡內部的安全威脅，而后者更為隱蔽，更加難以發現，同時造成的危害也更為嚴重。內網異常IP的產生大多是由內部人員的操作而產生的，異常IP的存在很容易導致內外網安全隔離被打破，造成內網信息泄露。事實上內網IP安全很容易被忽略，其原因大多是缺乏相應的網絡安全認知，最主要是缺乏一套有效的內網IP地址管理工具。文章從網管員實際工作中得出經驗，研究出一個高效創新的內網異常IP管理手段，能夠準確查找異常IP地址，并定位網絡中的惡意攻擊和網絡故障，減少網管員負擔，提升工作效率。

關鍵詞：內網威脅;異常IP;網絡故障;提升效率

1 背景

據統計，國內網絡信息安全造成的損失70%源于網絡內部人員泄密，內網數據泄露所造成的損失數以億計。因此建立安全的內網網絡環境，防范來自網絡內部的安全威脅，已經是重中之重。

物理隔離的內網所面臨的安全威脅既包括黑客攻擊、病毒感染等，也包括內部人員泄密。現在內網主要采取邊界防火墻等技術手段進行防護，但日益嚴峻的網安形勢，使傳統的防火墻越來越難以檢測和阻擋。無論是Windows、Unix以及Linux系統都容易遭受網絡攻擊。而內網異常IP地址的存在確實大大增加了局域網被入侵的風險。因此一個有效的內網IP管理系統是十分必要的。本文從網管員日常繁瑣的異常IP地址管理問題出發，特別是內網異常IP的發現和展示，開發了一套內網異常IP安全管理工具。

2 內網現狀

2.1 異常IP產生原因

在內網網絡辦公環境中，內網終端用戶的IP地址通常由網管員負責統一分配管理，網管員通過相關規章制度審批下發的IP地址才能被內網終端用戶合法使用，此類用戶被稱為合法用戶。相反沒有經過網管員審批備案的IP地址出現在內網中都被視為異常IP地址。但在終端機器多數是Windows或Linux操作系統環境下，用戶機器IP地址很容易發生變動，再加上廠家在設備運維中使用的管理口空閑IP地址、插手機形成的虛擬IP，這樣就產生了內網異常IP地址。而現實中，在局域網中會同時存在辦公內網和辦公外網，有些部門會在辦公室私接路由器，這樣就產生私有IP地址，如果操作失誤就會造成內外網通路，產生非法外聯事件，因此異常IP的管理迫在眉睫。

2.2 異常IP帶來的問題

在網絡運行管理工作中，管理員負責管理內網用戶IP地址的審批下發，只有經過網管員審批下發的IP地址才能被用戶合法使用，否則都應視為IP非法使用。但由于windows操作系統下的終端IP地址很容易被更改，再加上內網有些部門辦公室私接的路由器，和機房設備運維人員安裝、調試、維護所留下的空閑IP等，都會造成IP地址非法使用的問題。這樣會造成：（1）異常的IP地址不在網管員備案，無法進行通訊和查找。（2）造成IP地址沖突，干擾、破壞網絡服務器和網絡設備的正常運行。（3）冒用合法用戶IP地址聯網，使合法用戶的權益受到侵害等。（4）被黑客冒用合法用戶的IP地址，攻擊內部網絡。（5）網絡故障無法準確定位。

2.3 現有管控手段

（1）IP-MAC地址綁定。網管員常用的技術手段是在可管理交換機上對內網合法IP地址進行IP地址和MAC地址綁定。同網段192.168.250.1/24的網絡尋址是通過MAC地址來實現的，而不同段192.168.250.1/24—10.10.110.1/24之間的通訊才會用到IP地址尋址。在不修改MAC地址的情況下，通過IP-MAC地址綁定可以阻止用戶IP地址變動。

（2）端口綁定。網管員通過交換機的端口—MAC地址綁定技術手段，可以阻止通過修改MAC地址來侵占合法用戶IP地址的問題。

（3）劃分辦公局域網。劃分Vlan而是管理與技術結合的手段。將相同辦公室終端機器IP地址規劃到到同一個VLAN上，可以有效的阻止其他網段異常IP侵入的行為。

（4）身份認證。為了避免直接授權使用IP地址的管理模式，通過合規和身份認證來多層次進行安全信息防護，能有效降低IP地址非法使用的危害。

（5）形成工作標準，內網終端禁止更改IP地址。IP地址與身份認證相結合，并通過網管中心制定的相關制度約束。

3 技術引入和研究內容

3.1 技術引入

在現有的局域網IP地址管理技術上，應該引入一個新型的管控工具，要能夠快速發現網絡中的異常IP地址，彌補人為查找的滯后性和局限性，及時發現惡意攻擊等威脅事件，并記錄相應日志。本文主要目的就是在分析內網內部的異常IP問題上設計一個內網異常IP管理工具，為信息管理人員掌握網絡情況、發現并處理網絡中的威脅事件提供了可靠依據，簡化了工作流程，極大提高工作效率。

研究內容包括以下方面：（1）數據包的抓取及數據包解碼分析。（2）內網異常IP的發現。在交換機的trunk口，通過數據抓包和分析，呈現每個VLAN的在線IP情況，發現內網中的異常IP，進而找出非法路由器。（3）網絡威脅事件的研究。例入SQL注入攻擊、ARP攻擊等事件，通過數據抓包分析，研究相關事件的特征及原理。（4）終端識別，自動識別windows、linux、安卓、iphone等終端。（5）可視化展示。以報表、日志的形式記錄用戶的網絡行為，管理員可進行安全審計。

3.2 研究過程

本次研究的內網異常IP安全防護輔助工具是在網絡數據抓包分析的基礎上，為了方便信息管理人員掌握網絡的安全情況，提升網絡的安全性。

具體過程如下：（1）研究數據包抓包及數據分析解碼，這是本次研發的基礎。（2）威脅事件及其通信原理研究，例如：例入SQL注入攻擊、ARP攻擊、惡意域名等。（3）確定研發總體框架及方案，對系統進行整體規劃。（4）確定系統開發方案，對要實現的功能分模塊開發。（5）開發的系統分模塊功能測試。（6）分模塊功能測試后，系統整體功能測試。（7）入網測試。（8）驗收。

3.3 研究內容

本次研究包括內網異常IP發現、終端識別、網絡端口掃描檢測、網絡故障定位和監控，實現邊界安全防護提升等功能。

（1）異常IP發現。通過交換機trunk端口獲取所有VLAN的信息，系統通過數據包解碼分析實現IP資源統計區分，自主定義內網合法IP地址段和MAC地址，實現異常IP和MAC地址的發現，通過和交換機的配合實現異常IP的定位。并可以通過抓包分析識別網絡中的windows、linux、安卓、iphone終端類型。

（2）威脅事件發現。通過深度網絡會話關聯分析、數據包解碼分析，基于病毒、后門木馬攻擊、拒絕服務、惡意掃描等規則特性，從而對網絡安全事件進行精準的定性分析，靈活的檢測網絡入侵。可以發現如特洛伊木馬、冰河木馬、灰鴿子木馬、永恒之藍木馬、永恒之石木馬等后門木馬攻擊;可以發現如ECHO_Cybercop_Scan、FTP_ADM_Scan、FTP_ISS_ScanHTTP_webspirs_request等可疑的掃描行為;可以檢測到如尼姆達、拉面蠕蟲、沖擊波、Delphi夢魔等病毒;可以進行數據庫攻擊檢測：SQL注入、猜解注入、數據庫勒索、報警日志刪除等數據庫攻擊。

（3）網絡端口掃描檢測。通過安全策略規則庫，對網絡端口掃描、后門木馬、TCP、UDP等協議的滲透和攻擊進行識別報警。

（4）網絡故障定位。通過系統內置的網絡專家診斷設置對ARP掃描、ARP廣播風暴、IP地址沖突，IP回環通信等網絡故障進行檢測，利用矩陣圖顯示最大流量、最大節點數的TOP統計，用圖形來可視化呈現網絡故障。

（5）防火墻的聯動。在通過對防火墻策略的數據解碼和學習后，能夠在發現威脅事件后自主生成防火墻的策略模板，實現機器對防火墻安全策略的自動配置，防火墻形成聯動。

（6）可視化。對協議、網絡流量等網絡諸元的可視化分析，準確檢測安全事件，有助于防御未知威脅。通過可視化的矩陣展示廣播和異常會話的連接情況，直觀的幫助我們分析網絡異常狀況。提供多種類型的阻斷方式，并提供獨立的存儲空間單獨保存阻斷日志數據。

4 內網異常IP地址管理建議

（1）內網網管員要制定嚴格的IP地址管理辦法，要終端用戶IP地址、MAC地址、用戶名等信息相對應。要有一套針對內網IP地址的備案下發、變更回收的處理辦法，以及相對應的處罰措施。

（2）運用交換機相應技術功能，例如IP-MAC綁定等，重點監管多發事件用戶非法行為。

（3）各辦公室劃分Vlan。將相同辦公室終端機器IP地址規劃到到同一個VLAN上，可以有效的阻止其他網段異常IP侵入的行為。

（4）部署本套IP管理工具。能夠及時發現網絡中的異常IP地址，彌補人為查找的滯后性和局限性，提高網絡的安全可靠性，發現惡意攻擊等威脅事件，并記錄相應日志。

（5）身份認證，有效的身份認證機制，弱化IP地址在身份認證體系中的重要性。與IP地址非法使用的問題類似，用戶名和口令也屬于容易盜用的資源。

（6）內部人員非法使用IP地址。網絡管理員除有法律手段和技術手段，還擁有各種內部管理手段。如果單純使用技術手段來防范IP地址的非法使用，必然產生高昂的系統投資成本和人員開支。因此，只有綜合運用管理手段和技術手段，來處理IP地址非法使用問題，才能實現高可靠性的系統運行與低成本的管理維護的統一。

參考文獻：

[1]關亮杰.淺析企業內網安全建設及其相關技術支持[J].珠江現代建設，2012（06）.

[2]楊鈺.基于IP地址的供電公司信息管理系統[J].軟件，2017（11）.

[3]李瑋.涉密信息系統物理隔離防護的設計與實現[D].浙江工業大學，2013.

[4]趙永勝.內網非法外聯安全監控系統的研究與設計[D].北京郵電大學，2010.

[5]王文.如何防止IP地址被盜用[J].福建電腦，2010（07）.