網絡行為管理方法與系統的製作方法

2023-05-23 03:28:51

專利名稱：網絡行為管理方法與系統的製作方法
技術領域：
本發明涉及網絡信息領域、信息安全、網絡技術、作業系統核心文件驅動技術、通信驅動技術、計算機應用、計算機組織與系統結構，計算機科學理論等。
本發明涉及網絡行為管理方法與系統，它採用c/s(客戶端/服務端)管理結構。具體地說，利用服務端程序全方位監控技術與集中管理方式，來控制和管理網絡內部計算機的各種事件，通過客戶端程序來記錄計算機各種操作，並及時通過數據加密傳輸技術反饋給服務端程序。客戶端程序採用不可卸載技術和進程隱藏技術，鎖定和解鎖技術，規範整個網絡內部計算機的信息資源和使用操作的網絡行為管理系統。
背景技術：
二十世紀末，「信息革命」引發全球範圍內科學技術和日常生活的深刻變革。隨著網絡技術的突飛猛進，電腦和網絡的廣泛應用，單位內部網絡規模日益龐大，網絡拓撲結構也越來越複雜，網絡保密性安全性要求變得越來越高，使得網絡管理和保密和網絡安全問題開始逐漸重要起來，日益引起為網絡管理員、單位領導、政府的高度重視。
常規網絡安全防禦理念局限在網關級別(防火牆、ids等)、網絡邊界(漏洞掃描、安全審計、防病毒)等方面的防禦，並且重要的安全設施大致集中於機房、網絡入口處，在這些「鐵將軍」的嚴密把守之下，來自網絡外部的安全威脅大大減小。但是，根據多數網絡管理人員所反映的問題是，繁雜而瑣碎的安全問題，大都來自網絡內部。研究表明，解決了網絡內部的安全問題，效果接近於排除了一半的安全憂患，因此，內部網絡安全管理必須作為整體安全管理的一個重要組成部分來對待。
本發明申請人針對政府機關、保密機構、軍隊、金融、企業網絡等內部網絡實際管理要求，在總結十多年對國家部委、集團、中小企業網絡的安全管理、安全現場保障基礎上專門研製開發了信息網絡行為管理方法與系統。
通過網絡行為管理方法和系統，管理員能夠清楚的知道網絡內計算機上正在發生的各種事件，對網絡內的信息交換進行全方位的監控，也能預防文件被拷貝到移動存儲設備、或者網絡鄰居機器，從而實現對內部網絡全面的控制和有效的管理。並經嚴格測試通過公安部、保密局等相關主管部門的認證。

發明內容
為此，本發明提供一種基於確保網絡內部信息資源的保密安全，對網絡內部進行全面監控，使管理員能夠清楚的知道計算機正在發生的各種事件，對所有的計算機資源信息進行監控，對網絡內的信息交換進行全方位的監控，從而實現對內部網絡全面的控制和有效的管理，建立計算機使用規則的網絡行為管理系統。
本發明的目的是這樣實現的網絡行為管理方法，基於確保網絡內部信息資源的保密安全的方法，採用c/s(客戶端/服務端)管理結構對網絡內部進行全面監控，c/s(客戶端/服務端)管理結構包括客戶端、服務端和資料庫；通過密碼設定使授權訪問限於服務端程序，即只有服務端可以訪問資料庫，並將重要信息存入資料庫；服務端程序包括全方位監控技術與集中管理方式，來控制和管理網絡內部計算機的各種事件，通過客戶端程序來記錄計算機各種操作，同時將數據加密，並及時通反饋給服務端程序；客戶端程序採用不可卸載技術和進程隱藏(如在win98中實現)。數據加密實現方法按當前時間和未加密數據的位置，讀取相應加密鍵，進行加密，這樣可以做到，相同的數據，每次加密的結果不一樣，達到難以破解。客戶端程序不可卸載實現方法啟動雙進程，互相監控對方是否存在；若否，運行新的監控進程。若監控軟體的核心文件被改名或者刪除自動生成該文件。98版下，採用將應用程式註冊為服務來隱藏進程。
客戶端程序，用於記錄計算機的各種操作行為，並及時通過數據加密傳輸反饋給服務端程序；根據安全策略，做各種安全防護。客戶端設有鎖定和解鎖技術，規範整個網絡內部計算機的信息資源和使用操作的網絡行為管理系統。實現方法是鎖定時，當目標機器違規時，鎖住屏幕，即用鍵盤鉤子軟體，捕捉敲任何健都返回無效值；解鎖，關閉鍵盤鉤子軟體即可。本發明可以通過密碼設定操作服務端程序。
本發明通過查看方式模塊、設置模塊、全方位的在線監控模塊、在線控制模塊、日誌管理模塊、幫助模塊和防火牆模塊組成。實施安全策略設置的實現方法管理員配置後安全策略，生成策略文件，發送更新安全策略的命令；目標機器得到新的策略文件，解析出各條策略，並按允許、禁止即輔助參數，進行相應處理。實施配置IP位址、網關、DNS、MAC地址禁止修改的實現方法1，將修改ip地址的對話框按鈕加灰。方法2，開線程捕捉ip地址修改消息，若有，將合法的地址重新寫入，達到不能修改的目的。
實施內網機器的參數進行統一配置實現方法可以統一批處理區域網若干或者所有機器註冊信息，設置該機器的網關、所屬組等信息；可以設置組安全策略，對該組機器統一更新，或者目標機器自動取得組策略。本發明實施對機器進行當前操作和屏幕實時的監控。實施對USB、光碟機、軟碟機、印表機、MODEM、紅外、無線網卡等硬體設備的使用進行監控。防止文件被考貝到移動存儲設備(可以從移動存儲設備讀取)，防止文件被網絡鄰居機器考貝。實施對機器軟、硬體信息增減或者刪除的監控。
實施對未註冊機器接入區域網監控並屏蔽。實施郵件監控。實施對機器(在線和離線)的操作進行監控，對用戶進行文件夾和文件創建、刪除、修改、改名等操作進行監控，提供便捷的查詢方式。
本發明實現的主要功能還包括行為監控功能軟體清單，硬體清單，全部機器軟體和硬體報表，客戶端文件日誌報表，消息日誌，客戶端應用(程序)日誌記錄，文件監控日誌記錄，管理員日誌，郵件監控，屏幕實時監控等。
安全防護功能軟碟機、光碟機、USB設備控制，撥號連接監控，內網未註冊機器屏蔽，埠掃描，IP位址、網關、mac禁止修改，違規鎖定，窗口標題控制，進程控制，網絡鄰居拷貝禁止，移動存儲設備拷貝禁止程監控，串並口紅外禁止，無線網卡禁止，客戶端自身防卸載、數據加密技術等。
管理操作功能對機器網絡參數進行統一配置，分組查看及網段查看，遠程升級，重啟客戶端，更新安全策略等。
以下結合附圖對本發明優選實施例的描述

圖1是本發明優選實施例的網絡行為管理系統的功能框架結構；圖2是本發明根據本發明優選實施例的系統界面；圖3是本發明優選實施例的系統整體實現的流程圖；具體實施方式
下面將參考附圖詳細地描述本發明的優選實施例。
圖1示出了根據本發明一優選實施例的網絡行為管理系統的結構。在該實施例中，系統由客戶機、管理員機、資料庫伺服器組成。
如圖1所示，本系統是採用C/S/DBS三級結構，即客戶端、服務端、資料庫。只有服務端可以訪問資料庫，並將重要信息(如各客戶端MAC地址、機器軟硬體配置等)存入資料庫。只有知道密碼的管理員才能操作數據。因此管理員修改了服務端程序密碼及資料庫的密碼，即使我公司的開發人員也不能操作資料庫及服務端程序。
圖2示出了根據本發明優選實施例的才華網絡行為管理系統的功能框架結構。如圖2所示，才華網絡行為管理系統功能框架由查看方式模塊、設置模塊、監控模塊、在線控制模塊、日誌管理模塊、幫助模塊和防火牆模塊組成。其功能大約分為行為監控功能、安全防護功能、管理操作功能行為監控功能1.管理員日誌實現方法管理員在服務端進行的各項監控操作、查詢操作，都紀錄到資料庫；審查員可以打開管理員日誌審查某管理員的操作行為。(注審查員級別比管理員高，管理員不能看到管理員日誌)2.消息日誌實現方法當客戶端有違規操作時，以消息形式紀錄下來，當在線監控時，將消息立即發回到服務端；當離線時，保存到文件，一旦上線，即將該消息文件上傳服務端，服務端解析保存。管理員即可查詢各個機器的違規等信息。
3.客戶端應用日誌實現方法客戶端創建窗口捕捉鉤子，當有新窗口創建或者打開時，即可捕捉其標題，並保存應用日誌文件。管理員查看客戶端應用目志的命令；客戶端將應用日誌文件發回。
4.客戶端文件日誌實現方法客戶端創建線程，捕捉某路徑下面的文件變化消息，當有文件新增、刪除、改名等操作時，即可記錄文件名及相應操作，並保存文件日誌文件。
客戶端創建文件過濾驅動，分辨是網絡訪問還是本地訪問文件，若是網絡訪問，即記錄文件名，並保存文件日誌文件。這樣可以監控本機那些文件被網絡鄰居訪問。
管理員查看客戶端應用日誌的命令；客戶端將應用日誌文件發回。
5.客戶端文件日誌報表實現方法將各個機器的歸檔客戶端文件日誌，按照部門、網端、操作類型等查詢匯總，形成報表。
6.查看屏幕實現方法管理員發送查看屏幕的命令；目標機器抓屏存為圖片文件，並將該文件發給服務端；服務端預覽。
7.軟體信息實現方法管理員發送軟體信息命令；目標機器讀取註冊表中已經安裝的軟體信息，生成文件發回到服務端；服務端瀏覽。
8.硬體信息。
實現方法管理員發送硬體信息命令；目標機器讀取註冊表中已經安裝的硬體信息，生成文件發回到服務端；服務端瀏覽。
9.軟硬體增減的實時監控實現方法定時讀取軟體、硬體信息，前後比較，發現有改完，以消息形式報告服務端。
10.郵件監控實現方法設置socket為混雜模式，捕捉ip包，分析出pop3、smtp的埠(或者已知網頁郵件發送的埠)的包，按郵件標準格式，解析出地址、題頭、正文、附件等，存入文件，並發送到服務端。
安全防護功能1.屏蔽未註冊客戶端實現方法服務端機器不斷發arp包掃描網絡，得到目標機器ip地址；並且和註冊數據比較；如果是新的，則向該機器發送arp攻擊包，即可成功阻止該機器訪問區域網。
2.鎖定機器、解鎖機器實現方法管理員發送鎖定機器、解鎖機器的命令；目標機器被鎖定、解鎖。
3.埠掃描實現方法服務端機器掃描個機器的共享埠；如果目標機器共享埠打開了，在用簡單的密碼標去登錄該機器，查看該機器是否使用簡單密碼。
4.軟碟機、光碟機實現方法取得各個盤符；判斷其屬性，得到軟碟機、光碟機；用打開文件的方式，得到該盤句柄，繼而設置禁止。
5.USB設備控制實現方法取得各個盤符，判斷其屬性，得到u盤，或者在運行中，捕捉硬體設備消息得到u盤盤符；用打開文件的方式，得到該盤句柄，繼而設置禁止。
6.撥號連接監控實現方法設置定對器，判斷有無連接internet網；若有，判斷連接屬性是否為modem連接；是，則強行中斷。
7.JP地址、網關、DNS、mac禁止修改實現方法1，將修改ip地址的對話框按鈕加灰。方法2，開線程捕捉ip地址修改消息，若有，將合法的地址重新寫入，達到不能修改的目的。
8.違規鎖定實現方法當目標機器違規時，鎖住屏幕，即用鍵盤鉤子，捕捉敲任何健都返回無效值。
9.窗口標題控制實現方法通過線程捕捉窗口標題，若有被禁的窗口，強行關閉該窗口進程。
10.進程禁止控制實現方法客戶端創建文件過濾驅動，分辨啟動的進程是否是被禁止的；若是，返回錯誤，即可達到進程運行失敗，同時該進程文件不能改名運行。該功能非常有意義，對禁止某些有危害的程序非常好。
11.網絡鄰居拷貝禁止實現方法客戶端創建文件過濾驅動，分辨是網絡訪問還是本地訪問文件，若是網絡訪問，返回錯誤，即可達到網絡鄰居拷貝失敗。
12.移動存儲設備拷貝禁止程監控實現方法客戶端創建文件過濾驅動，分辨是u盤訪問還是普通硬碟訪問文件，若是寫u盤操作，返回錯誤，即可達到移動存儲設備拷貝失敗。
13.串並口紅外禁止實現方法按串、並口、紅外的硬體classID查找相關硬體的序號；將該序號硬體設置為禁止即可。
14.無線網卡禁止實現方法查找網卡數目，當為多個，找到沒有註冊的非法網卡名，進而找到相應網卡的序號；將該序號硬體設置為禁止即可。
15.客戶端自身防卸載實現方法啟動雙進程，互相監控對方是否存在；若否，運行新的監控進程。若監控軟體的核心文件被改名或者刪除自動生成該文件。98版下，採用將應用程式註冊為服務來隱藏進程。(說明安全軟體自身的安全防卸載很重要，若被卸了，不能運行，一切無意義)16.數據加密技術實現方法按當前時間和未加密數據的位置，讀取相應加密鍵，進行加密，這樣可以做到，相同的數據，每次加密的結果不一樣，達到難以破解。
管理操作功能1.查看方式分成分組查看和網段查看。
實現方法將屬於同一組或者同一網段的機器歸納一起兩種方式可以相互切換。
2.設置分成網段設置、群組設置、安全策略設置、機器設置和系統參數設置。
實現方法略。
3.遠程升級實現方法管理員選中升級文件若干，發送遠程升級的命令；客戶端收到文件後，發現已經存在，則將老版本的文件改名，生成新文件；重啟後，升級文件生效，同時刪除舊文件。
4.重啟客戶端實現方法管理員發送重啟客戶端的命令；目標機器關閉主監控進程，隔一秒鐘後重新運行客戶端。主要目的，版本升級後，重啟立即生效。
5.更新安全策略實現方法管理員配置後安全策略，生成策略文件，發送更新安全策略的命令；目標機器得到新的策略文件，解析出各條策略，並按允許、禁止即輔助參數，進行相應處理。
6.對機器網絡參數進行統一配置實現方法可以統一批處理區域網若干或者所有機器註冊信息，設置該機器的網關、所屬組等信息；可以設置組安全策略，對該組機器統一更新，或者目標機器自動取得組策略。
其他說明本發明系統所有功能模塊都是在獨立的線程中完成，因此不但可以高效率完成各種監視和控制，也能避免因為其中的某一功能異常而導致整個系統的崩潰。將來添加新功能是只需增加一些新功能線程，而不必改動以前代碼，使系統維護、升級非常方便。
圖2示出了根據本發明優選實施例的系統界面；「才華網絡行為管理系統」在研發過程中，始終強調「人性化設計」，充分強調了系統的可用性和易用性，在系統人性化設計方面更是做了大量的工作。
圖3示出了根據本發明優選實施例的系統整體實現的流程圖；本系統在區域網中設置一個服務端，除服務端外，每臺機器都安裝客戶端程序。
服務端程序啟動後，實現通信、掃描網段中機器狀態等兩項的線程始終開啟。其他功能在得到用戶相應指令後，動態開啟功能塊，並且在完成相應功能後自動關閉。
客戶端程序啟動後，其中實現通信、移動硬碟檢測並鎖定、文件變化監控、安全策略讀取更新等四項線程始終開啟；其他功能的線程是在接受到服務端的命令後生成，並且完成相應功能後該線程自動關閉。
權利要求
1.一種網絡行為管理方法，基於網絡內部信息資源的保密安全，其特徵是採用客戶端/服務端c/s管理結構對網絡內部進行全面監控，c/s管理結構包括客戶端、服務端和資料庫；通過密碼設定使授權訪問限於服務端程序，即只有服務端可以訪問資料庫，並將重要信息存入資料庫；服務端程序包括全方位監控技術與集中管理方式，來控制和管理網絡內部計算機的各種事件，通過客戶端程序來記錄計算機各種操作，並及時反饋給服務端程序。
2.由權利要求1所述的網絡行為管理方法，其特徵是客戶端設有鎖定和解鎖技術，鎖定時，當目標機器違規時，即用鍵盤鉤子軟體鎖住屏幕，捕捉敲任何健都返回無效值；解鎖時，關閉鍵盤鉤子軟體。
3.由權利要求1所述的網絡行為管理方法，其特徵是通過密碼設定操作服務端程序，同時通過客戶端程序將數據加密，數據加密的實現方法是按當前時間和未加密數據的位置，讀取相應加密鍵，進行加密。
4.由權利要求1所述的網絡行為管理方法，其特徵是設有實施安全策略設置的實現方法即管理員配置後安全策略，生成策略文件，發送更新安全策略的命令；目標機器得到新的策略文件，解析出各條策略，並按允許、禁止即輔助參數，進行相應處理。
5.根據權利要求1所述的網絡行為管理方法，其特徵是實施配置IP位址、網關、DNS、MAC地址禁止修改的方法即將修改ip地址的對話框按鈕加灰或開線程捕捉ip地址修改消息，若有，將合法的地址重新寫入，達到不能修改的目的。
6.根據權利要求1所述的網絡行為管理方法，其特徵是實施內網機器的參數進行統一配置的方法即統一批處理區域網若干或者所有機器註冊信息，設置該機器的網關、所屬組信息；設置組安全策略，對該組機器統一更新，或者目標機器自動取得組策略。
7.根據權利要求1所述的網絡行為管理方法，其特徵是防止文件被考貝到移動存儲設備，防止文件被網絡鄰居機器考貝；實現方法是，客戶端創建文件過濾驅動，分辨是u盤訪問還是普通硬碟訪問文件，若是寫u盤操作，返回錯誤，即可達到移動存儲設備拷貝失敗；並設有網絡鄰居拷貝禁止實現方法客戶端創建文件過濾驅動，分辨是網絡訪問還是本地訪問文件，若是網絡訪問，返回錯誤，即可達到網絡鄰居拷貝失敗。
8.根據權利要求1所述的網絡行為管理方法，其特徵是設有串並口紅外禁止的實現按串、並口、紅外的硬體classID查找相關硬體的序號；將該序號硬體設置為禁止即可；同時設有無線網卡禁止實現其方法是查找網卡數目，當為多個，找到沒有註冊的非法網卡名，進而找到相應網卡的序號；將該序號硬體設置為禁止；並設有撥號連接監控實現方法設置定時器，判斷有無連接internet網；若有，判斷連接屬性是否為modem連接；是，則強行中斷。
9.根據權利要求1所述的網絡行為管理方法，其特徵是實施對USB、光碟機、軟碟機、印表機、MODEM、紅外、無線網卡等硬體設備的使用進行監控USB設備控制方法是取得各個盤符，判斷其屬性，得到u盤，或者在運行中，捕捉硬體設備消息得到u盤盤符；用打開文件的方式，得到該盤句柄，繼而設置禁止。
10.根據權利要求1或2所述的網絡行為管理方法，其特徵是客戶端自身防卸載且設有客戶端程序不可卸載的方法即啟動雙進程，互相監控對方是否存在；若否，運行新的監控進程；若監控軟體的核心文件被改名或者刪除自動生成該文件；98版下，採用將應用程式註冊為服務來隱藏進程。
全文摘要
一種網絡行為管理方法和系統，基於網絡內部信息資源的保密安全，採用客戶端/服務端c/s管理結構對網絡內部進行全面監控，c/s管理結構包括客戶端、服務端和資料庫；通過密碼設定使授權訪問限於服務端程序，並將重要信息存入資料庫；服務端程序包括全方位監控技術與集中管理方式，來控制和管理網絡內部計算機的各種事件，通過客戶端程序來記錄計算機各種操作，並及時反饋給服務端程序。通過網絡行為管理方法和系統，管理員能夠清楚的知道網絡內計算機上正在發生的各種事件，對網絡內的信息交換進行全方位的監控，實現對內部網絡全面的控制和有效的管理。並經嚴格測試通過公安部、保密局等相關主管部門的認證。
文檔編號H04L12/24GK1725703SQ20051004038
公開日2006年1月25日 申請日期2005年6月3日 優先權日2005年6月3日
發明者惲才華, 林冬春 申請人:南京才華信息技術有限公司