網絡反饋主機安全防護方法
2023-10-06 13:30:14 1
專利名稱:網絡反饋主機安全防護方法
技術領域:
本發明涉及一種網絡反饋主機安全防護方法,屬於網絡信息安全技術領域。
背景技術:
Internet的迅速發展在提高了工作效率的同時,也帶來了 一個日益嚴峻的問題一 一網絡安全。人們研究各種不同的網絡安全防護手段保護計算機和網絡上的信息資 源,抵擋黑客的各種攻擊活動。防火牆技術是建立在現代通信網絡技術和信息安全技 術基礎上的應用性安全防護技術,越來越多地應用於專用網絡與公用網絡的互連環境 之中,尤以Internet網絡為最甚。Internet的迅猛發展,使得防火牆產品在短短的幾 年內異軍突起,很快形成了 一個產業。
防火牆是指設置在不同網絡(如可信4壬的企業內部網和不可信的公共網)或網絡安 全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間信息的唯一出入口 , 能才艮據安全策略控制(允許、拒絕、監測)出入網絡的信息流,且本身具有較強的抗攻 擊能力。它是提供信息安全服務,實現網絡和信息安全的基礎設施。在邏輯上,防火 牆是一個分離器、限制器、分析器,有效地監控內部網絡和Internet之間的任何活 動,保證了內部網絡的安全。防火牆深層策略的制定與安全事件的響應,以及如何防 止各種防火牆突破技術是目前防護牆研究的重點。
傳統的防火牆通常是基於訪問控制列表(ACL)進行包過濾的。隨著計算機技術的 發展,新的防火牆技術不斷湧現,如電路級網關技術、應用網關技術和動態包過濾技 水等。新一代防火牆系統不僅應該能更好地保護防火牆後面內部網絡的安全,而且應 該具有更為優良的整體性能。
現有防火牆安全防護的新技術有
一種實現包過濾的防火牆及其實現包過濾的方法,該防火牆包括同步動態隨機存 儲器,網絡處理器晶片,靜態隨機存儲器,緩存器和引導只讀存儲器;該實現包過濾 的方法使用所迷防火牆包括以下步驟,-由微引擎完成以下操作接收處理,規則處 理,發送處理;由strongarm核完成控制處理。
5一種防火牆與入侵檢測系統聯動的方法,入侵檢測系統檢測到網絡中的入侵行為
後,與防火牆建立聯動的安全通信信道;入侵檢測系統通過安全通信信道向防火牆發
送聯動內容;防火牆根據收到的聯動內容,生成相應的安全規則,阻斷攻擊行為。
一種計算機網絡防火牆,其基本的控制方法是以狀態包過濾的形態實現對應用 層的保護,通過內嵌的專門實現的TCP協議棧,在狀態檢測包過濾的基礎上實現了透
明的應用信息過濾機制,防火牆的標準設計,具備完善的身份鑑別、訪問控制和審計
能力,同時,系統提供了豐富的GUI方式的管理和監控工具,能夠方便的對系統進行 安全策略配置、用戶管理、實時監控、審計查詢、流量管理等操作,為保證系統的安 全運行,系統能夠有效的防範多種DOS的攻擊手段,並對攻擊事件進行報警。
這些防火牆技術可以分為兩種基於主機的防火牆技術和基於網絡的防火牆技 術。主機防火牆主要的防護對象是網絡中的伺服器和桌面機,主要釆用軟體形式進行 防護,實時監控系統運行的各個進程和軟體,保證系統不被病毒感染。主機防火牆的 優點在於能夠針對主機上運行的具體應用和對外提供的服務設定針對性很強的安全 策略,監控主機上各進程、開放服務的網絡連接和操作,對非法的^:作、連接和訪問 給予報警和阻斷。不足之處在於,如果病毒等惡意代碼的採用比主機防火牆監控技術 更深層次的作業系統內核機制,主機防火牆就不能起到很好的監控效果。
而網絡防火牆位於內部網與外部網以及內部各子網之間,通過包過濾、應用代 理、狀態包過濾等方法,對所有進出網絡的數據包進行檢測。網絡防火牆能夠截取所 有通過的網絡數據包進行檢測和處理,但受到防火牆規則的限制,對某些採用欺騙、 偽裝等技術進行網絡連接和數據傳輸的病毒不能有效的一金測。
發明內容
本發明的目的是提供一種網絡反饋主機安全防護方法,在計算機系統遭受入侵或 感染病毒的情況下,能夠在一定程度上防止病毒、木馬等惡意的對外連接,無法竊取 本地信息。本系統提供方便的管理接口,靈活配置安全策略和訪問權限,提高日誌和 審計功能。
該系統由硬體設備和PC終端軟體組成,可以應用在個人或單位等各種網絡環境 中。主要內容為主機監控軟體對系統的進程、文件、應用軟體、網絡連接等各種資源進行監控,網絡硬體設備檢測並控制內外網之間的連接,主機監控與網絡檢測有機的 交叉融合,從而更加有效的保護計算機終端上信息的安全性。
計算機網絡安全防護系統的總體結構由網絡安全防護硬體設備、用戶PC機、管理
和審計伺服器三部分組成。網絡防護系統位於PC機與Internet之間,隔離內外網絡, 實現對內部網絡和外部網絡之間的網絡連接的訪問控制。PC機是用戶連接Internet網 絡訪問的終端設備,PC機上安裝有主機防護軟體,監控系統中進程、文件、註冊表、 應用程式等各種資源的正常運行。主機防護軟體與網絡安全防護硬體能夠進行信息的 交互,更新網絡防護規則,並對用戶進行安全事件告警,由用戶選擇處理策略。管理 和審計伺服器負責網絡安全防護硬體設備的配置和管理,用戶進行Internet連接和行 為及發生安全事件的審計工作。
工作步驟具體如下
步驟一策略配置與下達
在審計控制端裝有管理軟體,方便管理員對內部網絡訪問外網的權限進行配置。 管理員可對不同的用戶登陸ID配置不同的權限,方便進行分別管理。控制臺配置防護 規則文件,其中網址的訪問控制列表是基於白名單的,訪問控制列表中含有可信域名或 可信IP位址,將該配置文件下達到網絡防護硬體。
步驟二網絡防護^便件初始化。
網絡防護硬體在接受到配置文件後,對其中用戶配置的可信IP位址添加到訪問控 制列表中。對其中的可信域名,通過發送DNS數據包,進行可信域名的DNS解析,獲得 可信域名對應的可信IP,並把IP添加到訪問控制列表中。
步驟三監控網絡連接,基於步驟一,二中的形成的配置文件,實現訪問控制 (一)若系統中發現有E-mail的收發,則捕獲郵件數據包,根據相關郵件協議對其 進行深度解析。將解析出的發信人郵件的地址,收信人的郵件地址,是否含有附件以及 附件文件的格式等相關信息,由網絡硬體防護設備反饋給用戶主機,並向用戶主機發送 核實信息以及確認是否收發的命令,系統根據用戶的反饋命令,決定是否允許該E-mail 的收發。
這一處理機制,在用戶主機感染木馬、病毒後,能有效的遏制木馬、病毒竊取主機的信息。
(二)若系統中發現DNS數據包,則捕獲DNS數據包,對其進行深度解析。將解析 出的域名與配置文件的可信域名匹配。
如果匹配成功,則允許該DNS數據包的通過。
如果匹配不成功,網絡安全防護石更件將解析DNS獲得的目的地址域名信息反^t給 用戶主機,詢問用戶是否訪問。若用戶回饋否,則該目的地址禁止訪問,禁止該DNS數 據包的通過。若用戶回饋是,則將該目的地址的IP和域名添加到配置文件的臨時白名 單列表,即該IP相對步驟二中的可信IP為不完全可信IP,系統將其視為臨時的白名 單,允許用戶按照審計控制臺形成的配置文件中已設定的訪問控制策略對其進行受限訪 問。
(三)對於流經的其他數據包,判斷是否是流經於系統與允許訪問的目的地址(包 含配置文件中的白名單和臨時白名單)之間的數據交流,如果是,按照步驟四進行處理; 如果不是,則禁止其通過。
步驟四檢測所有流經系統與可信地址之間的數據包,對其進行深度解析,基於設 定規則進行包過濾。
對於流經系統與該目的地址之間的數據包,基於配製文件中設定的過濾規則進行處 理,即根據數據包的源地址、目的地址、協il類型,源埠號、目的埠號,數據包頭 中的各種標誌位以及數據包的流向等因素來確定是否允許數據包通過。
另外,解析數據包中的應用層協議,對於應用協議中控制連接的指令包和由外網發 向內網的數據包允許通過,而對於從內網發往外網的數據包進行控制,默認為拒絕發送 狀態,但可根據用戶的配置策略有選擇的轉發。
步驟五網絡行為審計
網絡防護^ 更件實時統計用戶的網l備^ 亍為如使用網絡的用戶,用戶^_用網絡的時間, 用戶訪問的網站,郵件發送接收情況,進出網絡的連接以及對數據包應用層的分析等審 計信息,形成相關的日誌,並將日誌發送到審計控制端。
步驟六完善策略配置,更新配置文件
審計控制端衝艮據相關日誌和審計信息,更改用戶的訪問權限,添加或刪除訪問控制列表中的名單,完善策略配置,更新配置文件,並把新的配置文件下達到網絡防護硬體。
有益效果
1、 網絡防護與主機防護的有機結合。本系統採用網絡安全硬體設備與主機防護軟 件結合的方式,網絡防護和主機防護都不再孤立的存在,而是相互交叉融合。
2、 在計算機終端遭到木馬、病毒等惡意攻擊的情況下,能在一定程度上保證計算 機終端信息的安全性,使得木馬、病毒無法連接遠程網絡和竊取信息。
3、 高效靈活的策略配置和審計功能,使用戶能夠及時全面的管理配置網絡安全防 護系統,並掌握計算機終端所有網絡連接和行為。
圖1 是網絡反饋主機安全防護方法的功能模塊圖
圖2 是網絡反饋主機安全防護方法工作中對郵件處理的流程圖
圖3 是網絡反饋主機安全防護方法中除E-mail外的目的地址訪問控制處理工 作流程圖
圖4 是網絡反饋主機安全防護方法網絡安全防護硬體整體結構圖
圖5 是網絡反饋主機安全防護方法的網絡硬體設備接口示意圖
具體實施例方式
現結合
對發明內容進行進一步解釋說明。
該系統由石更件設備和PC終端軟體組成,可以應用在個人或單位等各種網絡環境 中。主要內容為主機監控軟體對系統的進程、文件、應用軟體、網絡連接等各種資源 進行監控,網絡硬體設備片企測並控制內外網之間的連接,主對凡監控與網絡檢測有機的 交叉融合,從而更加有效的保護計算機終端上信息的安全性。
計算才兒網絡安全防護系統的總體結構由網絡安全防護硬體設備、用戶PC機、管理 和審計伺服器三部分組成。網絡防護系統位於PC機與Intemet之間,隔離內外網絡,
9實現對內部網絡和外部網絡之間的網絡連接的訪問控制。PC機是用戶連接Internet網 絡訪問的終端設備,PC機上安裝有主機防護軟體,監控系統中進程、文件、註冊表、 應用程式等各種資源的正常運行。主機防護軟體與網絡安全防護硬體能夠進行信息的 交互,更新網絡防護規則,並對用戶進行安全事件告警,由用戶選擇處理策略。管理 和審計伺服器負責網絡安全防護硬體設備的配置和管理,用戶進行Internet連接和行 為及發生安全事件的審計工作。
網絡安全防護硬體主要用來隔離主機與Internet,對所有進出的數據包進行檢測, 判定是否允許對目的地址的訪問,阻斷不符合安全規則的數據,並完成與主積4關動、審 計等功能。其功能結構如圖4所示,主要包括了 CPU、 SRAM、 SDRAM、 Flash、外部接 口等。網絡安全防護硬體結構圖如圖三所示。
網絡防護系統網絡接口如圖5所示。網絡安全防護^更件有三個乙太網接口和一個 USB接口。其中三個乙太網接口分別連接內部主機、外部網絡和審計控制。USB接口用 於和內部主機的確認交互及信息反饋。
參照系統結構圖中的連接方式,將計算機終端通過網絡硬體防護設備連接到 Internet,網絡硬體防護設備還需連接審計管理伺服器。
管理員在審計管理伺服器上配置網絡防護規則策略,下發至網絡硬體防護設備, 網絡防護硬體在接收到配置文件後,根據網址的訪問控制列表中的可信域名,通過發送 DNS數據包,然後解析相應的DNS應答數據包,獲得可信域名對應的可信IP,並把IP 添加到配置文件的訪問控制列表中,然後系統就會按照配置文件的配置規則進行安全防 護。 '
計算機網絡安全防護系統的功能模塊如圖l所示。整個系統含有五個功能模塊,分 別為消息通信模塊,網絡應用訪問控制模塊,數據包過濾模塊,審計模塊,策略配置 模塊。
消息通信模塊實現用戶主機與網絡防護硬體,以及網絡防護硬體與審計控制端的 信息交互。確保用戶主機與網絡防護硬體之間及時通信,保證審計控制端的配置文件安 全準確下達到網絡防護硬體。
網絡應用訪問控制模塊 一方面,控制郵件的收發,防止感染主機的病毒,木馬竊取用戶信息。另一方面,基於配置文件的白名單,對位於訪問列表中的可信目的地址允
許用戶直接訪問;對於不在訪問列表中的目的地址,通過詢問用戶的方式,以及根據配
置文件中設定的控制訪問策略來判定是允許對目的地址的受限訪問還是禁止對目的地
址的訪問。
數據包過濾模塊對於流經系統的所有數據包,基於配製文件中設定的過濾規則進 行處理,即根據數據包的源地址、目的地址、協議類型,源埠號、目的埠號,數據 包頭中的各種標誌位以及數據包的流向等因素來確定是否允許數據包通過。
審計模塊統計用戶的網絡行為如使用網絡的用戶,用戶使用網絡的時間,用戶訪 問的網站,郵件發送接收情況以及處理數據包的相關信息等審計信息,並形成相關的日誌o
策略配置模塊根據相關日誌和審計信息,更改用戶的訪問權限,添加或刪除訪問 控制列表中的名單,完善策略配置,更新配置文件。 系統的主要功能描述 (1 )控制主機的對外連接
網絡防護系統可以精確控制內網主機對外的連接行為.網絡防護系統可根據網絡 管理員設置的網站訪問權限,對內部網絡實施集中的安全管理。確保一個單位內的網 絡與網際網路的通信符合該單位的安全策略。
即使在感染在病毒與木馬後,也可以防止它們與外部通信,從而保證內部信息的 機密性。只有在訪問權限內的數據包才能通過,阻止病毒與木馬等對外連接,保證內 部網絡的安全與可控性。 (2 )郵件安全防護
網絡防護系統對郵件進行安全檢測,並發送反饋信息至客戶端進行確認交互。對 由內部往外部發送的郵件,如果檢測到存在安全隱患,則反饋提醒信息來防止信息竊. 取。只有用戶對所發送郵件內容、附件及收信人等信息確認後,郵件才能被發送出 去。即使在感染病毒或木馬後,也可以防止內部機密信息外洩。 (3)對外部網絡的防護
從外部網絡訪問內部網絡的數據包,要進行包匹配檢查,只有符合訪問規則的數據包才能通過網絡防護系統。對不安全的數據包進行過濾,隔離內外網絡,保證內部 網絡不受外部網絡的攻擊。 (4)日誌與審計功能
提供了可選的審計功能,為管理人員提供下列信息誰在使用網絡,在網絡上做 什麼,什麼時間使用了網絡,上網去了何處,誰要上網沒有成功等審計信息。這為完 善策略配置,更新配置文件提供了寶貴的資料。
若用戶訪問某個目的地址(E-mai 1除外),網絡安全防護系統截獲流經的數據包。
若數據包是DNS數據包,網絡防護硬體對其進行深度解析。將解析出的域名與配置 文件的可信域名匹配。如果匹配成功,則允許該DNS數據包的通過。如果匹配不成功, 網絡安全防護硬體將解析MS獲得的目的地址域名信息反饋給用戶主機,詢問用戶是 否訪問。若用戶回饋否,則該目的地址禁止訪問,禁止該DNS數據包的通過。若用戶回 饋是,則將該目的地址的IP和域名添力口到配置文件的臨時白名單列表,即該IP相對步 驟二中的可信IP為不完全可信IP,系統將其視為臨時的白名單,允許用戶按照控制臺 下達的配置文件中已設定的訪問控制策略對其進行受限訪問。
若數據包不是DNS數據包,網絡通過解析該數據包,獲得其目的地址的IP,從而 判斷該包是否是流經於系統與允許訪問的目的地址(包含配置文件中的白名單和臨時白 名單)之間的數據交流。如果不是,則禁止其通過;如果是,系統按照設定的過濾規則, 對該數據包進行檢查和處理,任何不符合規則的數據包都將按照指定操作處理。當需要 與主機交互時,網絡硬體防護設備通過USB接口與主機通信,報告安全檢測結果,並根 據用戶返回策略進行相應處理。
若系統中發現有用戶操作E-raail的收發,則捕獲郵件數據包,根據相關郵件協議 對其進行深度解析。將解析出的發信人郵件的地址,收信人的郵件地址,是否舍有附件 以及附件文件的格式等相關信息,由網絡硬體防護設備反饋給用戶主機,並向用戶主機 發送核實信息以及確認是否收發的命令,系統根據用戶的反饋命令,決定是否允許該 E-mail的收發。這在用戶主機感染木馬,病毒後,能有的效遏制木馬、病毒竊取主機 的信息。
網絡硬體防護設備記錄用戶的各種網絡行為以及處理數據包的相關信息,形成相關曰志,並發送給審計伺服器。
一段時間後,審計控制端根據相關日誌和審計信息,更改用戶的訪問權限,添加或 刪除白名單控制訪問列表,完善策略配置,更新配置文件,並把新的配置文件下達到網 絡防護》更件。
工作主要流程如圖2 (基於郵件的處理),如圖3 (除E-mail外的目的地址訪問控 制處理)所示。
本發明包括但不限於以上的實施例,凡是在本發明的精神和原則之下進行的任何局 郎改進,等同替換都將視為在本發明的保護範圍之內。
權利要求
1.一種網絡反饋主機安全防護方法,主要由硬體設備和PC終端軟體組成;其特徵在於具體步驟如下步驟一策略配置與下達在審計控制端裝有管理軟體,方便管理員對內部網絡訪問外網的權限進行配置;管理員可對不同的用戶登陸I D配置不同的權限,方便進行分別管理;控制臺配置防護規則文件,其中網址的訪問控制列表是基於白名單的,訪問控制列表中含有可信域名或可信IP位址,將該配置文件下達到網絡防護硬體;步驟二網絡防護硬體初始化;網絡防護硬體在接受到配置文件後,對其中用戶配置的可信IP位址添加到訪問控制列表中;對其中的可信域名,通過發送DNS數據包,進行可信域名的DNS解析,獲得可信域名對應的可信IP,並把IP添加到訪問控制列表中;步驟三監控網絡連接,基於步驟一,二中的形成的配置文件,實現訪問控制(一)若系統中發現有E-mail的收發,則捕獲郵件數據包,根據相關郵件協議對其進行深度解析;將解析出的發信人郵件的地址,收信人的郵件地址,是否含有附件以及附件文件的格式等相關信息,由網絡硬體防護設備反饋給用戶主機,並向用戶主機發送核實信息以及確認是否收發的命令,系統根據用戶的反饋命令,決定是否允許該E-mail的收發;(二)若系統中發現DNS數據包,則捕獲DNS數據包,對其進行深度解析;將解析出的域名與配置文件的可信域名匹配;如果匹配成功,則允許該DNS數據包的通過;如果匹配不成功,網絡安全防護硬體將解析DNS獲得的目的地址域名信息反饋給用戶主機,詢問用戶是否訪問;若用戶回饋否,則該目的地址禁止訪問,禁止該DNS數據包的通過;若用戶回饋是,則將該目的地址的IP和域名添加到配置文件的臨時白名單列表,即該IP相對步驟二中的可信IP為不完全可信IP,系統將其視為臨時的白名單,允許用戶按照審計控制臺形成的配置文件中已設定的訪問控制策略對其進行受限訪問;(三)對於流經的其他數據包,判斷是否是流經於系統與允許訪問的目的地址之間的數據交流,系統與允許訪問的目的地址包含配置文件中的白名單和臨時白名單,如果是,按照步驟四進行處理;如果不是,則禁止其通過;步驟四檢測所有流經系統與可信地址之間的數據包,對其進行深度解析,基於設定規則進行包過濾;對於流經系統與該目的地址之間的數據包,基於配製文件中設定的過濾規則進行處理,即根據數據包的源地址、目的地址、協議類型,源埠號、目的埠號,數據包頭中的各種標誌位以及數據包的流向等因素來確定是否允許數據包通過;另外,解析數據包中的應用層協議,對於應用協議中控制連接的指令包和由外網發向內網的數據包允許通過,而對於從內網發往外網的數據包進行控制,默認為拒絕發送狀態,但可根據用戶的配置策略有選擇的轉發;步驟五網絡行為審計網絡防護硬體實時統計用戶的網絡行為如使用網絡的用戶,用戶使用網絡的時間,用戶訪問的網站,郵件發送接收情況,進出網絡的連接以及對數據包應用層的分析等審計信息,形成相關的日誌,並將日誌發送到審計控制端;步驟六完善策略配置,更新配置文件審計控制端根據相關日誌和審計信息,更改用戶的訪問權限,添加或刪除訪問控制列表中的名單,完善策略配置,更新配置文件,並把新的配置文件下達到網絡防護硬體。
全文摘要
本發明公開了一種網絡反饋主機安全防護方法,主要由硬體設備和PC終端軟體組成;具體過程為,首先進行策略配置與下達,然後對網絡防護硬體初始化,獲得可信域名對應的可信IP;再基於前兩步形成的配置文件,實施監控網絡連接,實現訪問控制;接著檢測所有流經系統與可信地址之間的數據包,對其進行深度解析,基於設定規則進行包過濾;再接著,對網絡行為審計;最後,完善策略配置,更新配置文件;本方法在計算機終端遭到木馬、病毒等惡意攻擊的情況下,能在一定程度上保證計算機終端信息的安全性,並能高效靈活的策略配置和審計功能,使用戶能夠及時全面的管理配置網絡安全防護系統,並掌握計算機終端所有網絡連接和行為。
文檔編號H04L29/06GK101567888SQ20091013609
公開日2009年10月28日 申請日期2009年4月28日 優先權日2008年12月29日
發明者鄭康鋒, 郭世澤 申請人:郭世澤;鄭康鋒