目前，随着网络的日益发展，网络的安全问题越来越突出。人们往往将 注意力集中在来自于外部的攻击，所以花大力气和重金部署网络边界的安全 产品，例如防火墙、入侵检测系统(IDS，Intrusion Detection Systems)等。 然而，大量的事实却一再的提醒我们，来自于网络内部的非法操作所造成的 安全问题同样不可忽视。其中，最典型的就是内网用户的非法外联。内网用 户如果私自访问外网，则可能会引发信息安全问题，造成重要数据外泄，或 者感染病毒、木马，成为黑客攻击的目标，这对内网的整体安全势必造成严 重的威胁。
如图1所示，为现有技术中典型的非法外联的场景图。现有技术提供一 种非法外联的检测方法，通过在内网(局域网)中设置探测器、在外网中设 置检测器的方式实现对内网连接状态的检测。其过程为：构造一个类型为13， 代码为0的表示时间戳请求的Internet控制消息协议包(ICMP，Internet Control Message Protocol)；修改IP头的信源为外网检测器的IP地址；局域网内的探 测器在局域网内广播该ICMP包；接受到该广播消息的计算机向ICMP报头的 信源发送类型为14，代码为0的表示时间戳应答的ICMP包；其中，建立非 法外联的计算机的应答报文可以通过非法外联的路由途径到达外网检测器， 而未建立非法外联的计算机则无法将应答报文发送出去。在外网检测器上抓 取类型为14，代码为0的表示时间戳应答的ICMP包。当外网或者网关上的 检测器接收到类型为14，代码为0的表示时间戳应答的ICMP包后，用类似 的方式再给信源发送修改过IP头的ICMP包，即修改IP头的信源为局域网探 测器的IP地址。这样已经非法接入外网的计算机会向局域网探测器发送应答 报文，暴露自身。根据局域网探测器的记录，即可确认非法外联的计算机。
在实现本发明的过程中，发明人经过研究发现上述现有技术还存在一些 检测漏洞。例如，内网中的计算机在外联前先将网卡从内网中断开，那么该 计算机将接收不到探测器发送的报文，也无法被外网的检测器捕获。又如， 内网中的计算机是通过另一台不属于内网的机器作为应用代理服务器，通过 设置代理的方式来访问外网，那么用户可以通过应用代理服务器访问外网， 但是ICMP报文并不能到达外网的检测器。另外，探测器需要以较高的频率对 整个局域网中发送广播报文，因此耗时较多，且对网络造成一定负担。此外， 上述现有技术即使检查出发生了非法外联，也无法确认外联的方式，例如拨 号，专线等等，造成取证资料不足。

本发明实施例提供一种非法外联检测方法、装置及系统，能够对内网中 存在的非法外联进行有效的监控。
本发明实施例提供以下技术方案：
本发明实施例提供一种非法外联检测方法，包括：
构造指定TTL数值的ICMP回显请求报文，采集到达指定目的地址的路 由途径信息；
判断所述路由途径信息中是否包含当前网络的合法出口地址，确定当前 计算机上是否存在非法外联：
如果所述路由途径信息中包含计算机的合法出口地址，则确定当前计算 机上不存在非法外联；
如果所述路由途径信息中没有包含计算机的合法出口地址，则确定当前 计算机上存在非法外联。
本发明实施例还提供一种非法外联检测装置，包括：
采集单元，用于构造指定TTL数值的ICMP回显请求报文，采集到达指 定目的地址的路由途径信息；
决策单元，用于判断所述路由途径信息中是否包含当前网络的合法出口 地址，确定当前计算机上是否存在非法外联：
如果所述路由途径信息中包含计算机的合法出口地址，则确定当前计算 机上不存在非法外联；
如果所述路由途径信息中没有包含计算机的合法出口地址，则确定当前 计算机上存在非法外联。
此外，本发明实施例还提供一种非法外联检测系统，包括服务器和若干 个终端，其中：所述各个终端设置有非法外联检测装置，所述装置包括：
采集单元，用于构造指定TTL数值的ICMP回显请求报文，采集到达指 定目的地址的路由途径信息；
决策单元，用于判断所述路由途径信息中是否包含当前网络的合法出口 地址，确定当前计算机上是否存在非法外联：
如果所述路由途径信息中包含计算机的合法出口地址，则确定当前计算 机上不存在非法外联；
如果所述路由途径信息中没有包含计算机的合法出口地址，则确定当前 计算机上存在非法外联；
所述服务器，用于接收并保存所述非法外联检测装置上报的包括外联方 式、路由信息、时间信息的非法外联的取证资料。
本发明实施例提供一种非法外联检测方法、装置及系统，通过构造指定 TTL数值的ICMP回显请求报文，采集到达指定目的地的路由途径信息，并 判断路由途径信息中是否包含合法的出口地址来判断当前计算机上是否存在 非法外联。本发明实施例能够对内网中存在的非法外联进行有效的监控。
附图说明
图1是现有技术中典型的非法外联的场景图；
图2是本发明实施例非法外联检测装置结构图；
图3是本发明另一实施例非法外联检测系统结构图；
图4是本发明又一实施例非法外联检测方法流程图；
图5是本发明又一实施例非法外联检测示意图。

本发明实施例提供一种非法外联检测方法、装置及系统，能够对内网中 存在的非法外联进行有效的监控。为使本发明的目的、技术方案及优点更加 清楚明白，下面参照附图并举实施例，对本发明进一步详细说明。
在内网的终端(例如计算机)中设置非法外联检测装置，如图2所示， 为本发明一实施例提供的非法外联检测装置结构图，包括：采集单元220、决 策单元230。
所述的采集单元220，用于构造指定TTL数值的ICMP回显请求报文， 采集到达指定目的地址的路由途径信息。
所述的决策单元230，用于判断采集单元220采集到的路由途径信息中是 否包含当前网络的合法出口地址，确定当前计算机上是否存在非法外联：
如果所述路由途径信息中包含计算机的合法出口地址，则确定当前计算 机上不存在非法外联；
如果所述路由途径信息中没有包含计算机的合法出口地址，则确定当前 计算机上存在非法外联。
所述的采集单元220具体包括：
构造发送子单元221，用于构造TTL为n、目的地址为所述外网地址列表 中任一外网地址的ICMP回显请求报文并发送，所述TTL为n的ICMP回显 请求报文途经第1个路由器、第2个路由器...第n个路由器时，所述TTL值 依次减去1；
接收记录子单元222，用于接收第1个路由器、第2个路由器...第n个路 由器分别在确定TTL值为0时回复的类型为11、代码为0的ICMP超时错误 报文，记录所述ICMP超时错误报文的源地址以构成路由途径信息。
n为大于等于1，小于等于TTL的上限的自然数。
此外，所述非法外联检测装置还可以进一步包括：记录单元210、监控单 元240以及上报单元250。
记录单元210用于将计算机每次访问的外网地址记录在外网地址列表中。 监控单元240用于监控计算机的路由表，当计算机的路由表发生变化时，触 发所述的采集单元220。
上报单元250用于当所述的决策单元230确定当前计算机上存在非法外 联时，上报计算机的取证资料，取证资料中可以包括该计算机的外联方式、 路由信息、时间信息等。
如图3所示，为本发明另一实施例提供的非法外联检测系统的结构图， 包括若干个终端200和服务器300。
所述各个终端200中设置有非法外联检测装置，所述非法外联检测装置 包括：采集单元220和决策单元230。
采集单元220用于构造指定TTL数值的ICMP回显请求报文，采集到达 指定目的地址的路由途径信息。
所述采集单元220具体包括：构造发送子单元221和接收记录子单元222。
构造发送子单元221，用于构造TTL为n、目的地址为所述外网地址列表 中任一外网地址的ICMP回显请求报文并发送。所述TTL为n的ICMP回显 请求报文依次途经第1个路由器、第2个路由器...第n个路由器时，所述TTL 值依次减去1；接收记录子单元222，用于接收第1个路由器、第2个路由器... 第n个路由器分别在确定TTL值为0时回复的类型为11、代码为0的ICMP 超时错误报文，记录所述ICMP超时错误报文的源地址以构成路由途径信息； 其中，n为大于等于1，小于等于TTL的上限的自然数。
决策单元230，用于判断所述路由途径信息中是否包含当前网络的合法出 口地址，确定当前终端上是否存在非法外联：
如果所述路由途径信息中包含计算机的合法出口地址，则确定当前计算 机上不存在非法外联；
如果所述路由途径信息中没有包含计算机的合法出口地址，则确定当前 计算机上存在非法外联；
所述的服务器300，用于接收并保存所述非法外联检测装置的上报单元 250上报的包括外联方式、路由信息、时间信息的非法外联的取证资料。
所述非法外联检测装置还可以进一步包括：
记录单元210，用于将终端每次访问的外网地址记录在外网地址列表中；
监控单元240，用于监控终端的路由表，当终端的路由表发生变化时，触 发所述的采集单元220；
以及上报单元250，用于当所述的决策单元230确定当前终端上存在非法 外联时，上报包括终端的外联方式、路由信息、时间信息的取证资料。
如图4所示，为本发明又一实施例非法外联检测方法流程图，包括以下 过程：
步骤401、构造指定存活时间(TTL，Time to Live)数值的ICMP回显请 求报文，采集到达指定目的地址的路由途径信息；
步骤402、判断所述路由途径信息中是否包含当前网络的合法出口地址， 确定当前计算机上是否存在非法外联。
需要说明的是，还可以在上述过程中的步骤401之前增加如下步骤：
步骤400、将计算机每次访问的外网地址记录在外网地址列表中；
此外，触发非法外联检测可以有两种方式：其一是周期性检查，例如通 过定时器每个小时或每一天触发检测一次；其二是监控路由表，当路由表发 生变化时，触发非法外联的检测。所述路由表发生变化通常是发生了拨号或 者手工改动路由表等。
如果采用后一种方式，其中，所述步骤401中还包括：监控计算机的路 由表，并且当计算机的路由表发生变化时，通过更改ICMP回显请求报文的 TTL数值，采集到达指定目的地址的路由途径信息。这种通过计算机的路由 表发生变化触发非法外联检测的方式，可以减轻对网络的压力，在减少系统 开销的同时提高检测的有效性。
所述更改ICMP回显请求报文的TTL数值，采集到达指定目的地址的路 由途径信息的步骤具体为：
构造TTL数值为n、目的地址为所述外网地址列表中某一个外网地址的 ICMP回显请求报文并发送；
所述TTL为n的ICMP回显请求报文依次途经第1个路由器、第2个路 由器...第n个路由器时，所述TTL值依次减去1，直至第n个路由器确定TTL 值为0，则回复类型为11、代码为0的ICMP超时错误报文；
根据所述ICMP超时错误报文的源地址获取转发的第n个路由器地址；
其中，n为大于等于1，小于等于TTL数值的上限的自然数，而TTL数 值的上限根据实际的组网情况确定，通常设置为30。
如果经过上述步骤还没有确定当前计算机上存在非法外联，则继续从所 述外网地址列表中选择另一外网地址重复上述采集路由途径信息的步骤，直 至所述外网地址列表中所有的外网地址都被检测过。
所述步骤402中根据所述路由途径信息是否包含所述的合法出口地址， 确定当前计算机上是否存在非法外联的步骤具体为：如果所述路由途径信息 中包含计算机的合法出口地址，则确定当前计算机上不存在非法外联；如果 所述路由途径信息中没有包含计算机的合法出口地址，则确定当前计算机上 存在非法外联。
当所述步骤402中确定当前计算机上存在非法外联时，还可以包括获取 包括计算机的外联方式、路由信息、时间信息的取证资料并上报的步骤。
如图5所示，为本发明又一实施例非法外联的检测示意图。本发明实施 例中，在内网的每台终端上都部署非法外联检测装置。非法外联检测装置需 要获知所属终端的合法出口A，非法外联检测装置开始记录所属终端每次访 问的外网地址，并保存至外网地址列表中。同时监控所属终端的路由表，当 所属终端上发生拨号、增加网卡、手工修改路由表等情况时，可能是非法外 联前的配置动作，这些情况都会引发所述终端的路由表发生变化。当检测到 路由表发生变化时，从外网地址列表(假设包含的地址为Add1，Add2，Add3。。 Addn)中选择一个外网地址，开始构造ICMP回显请求并发送。具体过程如 下：
步骤a：非法外联检测装置构造TTL数值为n(n的初始值为1)，目的地 址为外网地址Addn(n的初始值为1)的ICMP回显请求报文并发送；
步骤b：TTL数值为n的ICMP回显请求报文到达转发路由途径中第n个 路由器时，TTL值已经等于0，触发第n个路由器给非法外联检测装置回复一 个类型为11，代码为0，即传输期间生存周期为0的ICMP超时错误报文， 非法外联检测装置接收到ICMP超时错误报文后，根据该错误报文的源地址 获取转发的第n个路由器地址。
具体实例如下所述：
当n等于1时，TTL为1的ICMP回显请求报文到达转发的第一个路由 器，第一个路由器将TTL的值减去1，然后判断TTL值是否大于0，此时TTL 值已经为0，那么第一个路由器会给发送端回复一个类型为11，代码为0，即 传输期间生存周期为0的ICMP超时错误报文。非法外联检测装置接收到 ICMP超时错误报文后，根据该错误报文的源地址获取转发的第一个路由器地 址。
当n等于2时，第一个转发路由器将TTL的值减去1，然后转发给第二 个路由器，第二个路由器将TTL的值减去1，然后判断出TTL值为0，则给 发送端回复一个类型为11，代码为0的ICMP超时错误报文。非法外联检测 装置根据所述的ICMP超时错误报文的源地址获取转发的第二个路由器地址； 其余依此类推。
步骤c：当出现以下三种情况之一时，针对外网地址Addn的检查结束； 否则将TTL数值加1，返回步骤a。
情况一：非法外联检测装置接收到合法出口A的ICMP回显应答报文； 此种情况说明本次访问是通过合法外联方式，针对外网地址Addn的检查结 束。如果外网地址列表中还存在未检查的外网地址，则继续步骤d。
情况二：非法外联检测装置收到来自目的地址Addn的ICMP回显应答报 文；此种情况说明本次访问未经过合法出口A，否则应该会收到合法出口A 的ICMP回显应答报文并触发情况一，存在非法的路由途径到达外网地址 Addn，因此判定出现了非法外联，转至步骤e执行。
情况三：TTL数值达到上限。此种情况说明本次访问一直没有经过合法 出口A，否则应该会收到合法出口A的ICMP回显应答报文并触发情况一， 因此判定出现了非法外联，转至步骤e执行。
步骤d：从外网地址列表中选取下一个外网地址，转至步骤a继续执行。
步骤e：判定出现了非法外联，获取本地的外联方式，并连同路由信息、 时间信息等作为取证资料一起上报到服务器，检查结束。
需要说明的是，到达目的地的路由途径可能不止一条，每次转发的路径 也可能不同，但这些都不影响本发明实施例的实施。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤 是可以通过程序来指令相关的硬件来完成，所述的程序可以存储于一计算机 可读取的存储介质中，所述的存储介质，如：ROM/RAM、磁碟、光盘等。
下面，通过一个具体的应用实例对本发明上述实施例作进一步说明。
某内网的IP地址范围为19.19.19.1-19.19.19.254，网关地址为 19.19.19.254。某计算机的IP地址为19.19.19.10，现通过私自电话线拨号，获 取了分配的外网地址202.100.122.19，并访问外网的目的地址168.160.56.135， 假设本计算机与外网的目的地址168.160.56.135之间存在的路由途径为：
202.100.122.19-＞202.112.1.14-＞202.116.10.117-＞168.160.56.135
则应用本发明上述实施例的具体执行过程如下：
S1、计算机通过私自电话线拨号，路由表发生改变，非法外联检测装置 被触发。
S2、非法外联检测装置检查到当前访问的地址：168.160.56.135，其不属 于合法的内网IP范围，即19.19.19.1-19.19.19.254，于是认定发生了对外网 的访问，将168.160.56.135设置为目的地址，开始依次构造TTL值为n(n的 初始值为1)的ICMP回显请求报文。
S3、TTL＝1的ICMP回显请求报文到达路由器202.112.1.14，该路由器将 TTL的值减去1后发现TTL值已经为0，于是给非法外联检测装置回复ICMP 超时错误报文，非法外联检测装置收到ICMP超时错误报文后，记录 202.112.1.14地址。
S4、TTL＝2的ICMP回显请求报文经过路由器202.112.1.14到达路由器 202.116.10.117，TTL的值经过路由器202.112.1.14时减去1，经过路由器 202.116.10.117时再减去1，该路由器202.116.10.117发现TTL值已经为0， 于是给非法外联检测装置回复ICMP超时错误报文，非法外联检测装置收到 ICMP超时错误报文后，记录202.116.10.117地址。
S5、TTL＝3的ICMP回显请求报文依次经过路由器202.112.1.14、达路由 器202.116.10.117到达目的地址168.160.56.135，目的地址168.160.56.135回 复ICMP回显应答报文，非法外联检测装置收到ICMP回显应答报文后，判断 是由目的地址发回的应答，结束检测。
S6、非法外联检测装置记录的路由信息202.112.1.14，202.116.10.117， 168.160.56.135中都没有包含内网的合法出口地址19.19.19.254，因此认定该 对外网的访问为非法外联。
S7、记录并上报当前的连接类型，即拨号上网，和途径的路由信息。
本文提供了一种非法外联检测方法、装置及系统，能够对内网中存在的 非法外联进行有效的监控。通过依次构造TTL数值为1至TTL上限的ICMP 回显请求报文，采集到达指定目的地的路由途径信息，并根据路由途径信息 中是否包含当前网络的合法出口地址来判断当前计算机上是否存在非法外 联。当确定检测到计算机非法外联时，可以记录其外联方式、时间、路由记 录等取证信息并在必要的时候进行上报。
以上对本发明所提供的非法外联检测方法、装置及系统进行了详细介绍， 本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例 的说明只是用于帮助理解本发明的方案；同时，对于本领域的一般技术人员， 依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所 述，本说明书内容不应理解为对本发明的限制。