申请/专利权人：国网河南省电力公司商丘供电公司

申请日：2017-11-30

公开（公告）日：2020-10-16

公开（公告）号：CN107819787B

主分类号：H04L29/06(20060101)

分类号：H04L29/06(20060101)

优先权：

专利状态码：有效-授权

法律状态：2020.10.16#授权;2018.04.13#实质审查的生效;2018.03.20#公开

摘要：本发明涉及计算机安全技术领域，具体涉及一种防止局域网计算机非法外联的方法，该方法为：控制单元向服务器端发送身份验证请求；服务器端根据身份验证请求来配置监控策略以及防护策略，并将其发送到应用程序层的控制单元；应用程序层的控制单元将监控策略和防护策略分别发送给监控单元和防护单元；监控中心单元调用监控单元的监控策略将其加载到目标列表中，在目标列表中按照触发防护单元的概率依次排列；文件驱动单元根据目标列表遍历并截获目标单元与目标列表相匹配的消息；将所截获的消息通过防护单元做截止结束处理的操作。本发明利用监控和防护策略，利用防护单元拦截系统进程并执行相应的防护策略，达到防止局域网计算机非法外联的目的。

主权项：1.一种防止局域网计算机非法外联的方法，其特征在于：包括以下步骤：S01：应用程序层的控制单元向服务器端发送身份验证请求；S02：所述服务器端根据所述身份验证请求通过配置单元来配置监控策略以及防护策略，所述服务器端将所述监控策略和防护策略发送到所述应用程序层的控制单元；S03：所述应用程序层的控制单元将所述监控策略和防护策略分别发送给监控单元和防护单元；S04：监控中心单元调用所述监控单元的监控策略将其加载到目标列表中，在所述目标列表中按照触发防护单元的概率依次排列；S05：文件驱动单元根据所述目标列表遍历并截获目标单元与所述目标列表相匹配的消息，所述消息为调用USB驱动、光驱驱动和网卡驱动的一种或者多种；S06:将所截获的消息通过所述防护单元做截止结束处理的操作；S07:所述控制单元检测到所述防护单元的防护行为后，将对应的异常信息发送给异常管理单元，所述异常管理单元统计触发防护单元的概率数据；所述监控单元和防护单元分别为APIHOOK模块和文件驱动模块；所述文件驱动单元能够监测人为修改IP地址或DHCP获取更改IP地址，并将IP地址变动的信息反馈给防护单元，所述防护单元能够拦截相应的系统程序运行。

全文数据：一种防止局域网计算机非法外联系统及其方法技术领域[0001]本发明涉及计算机安全技术领域，具体涉及一种防止局域网计算机非法外联的系统及其方法。背景技术[0002]当前，一些具有较高安全性的内部网络，如政府部门、军事部门的网络，常常采用和外部网络，如Internet，实施物理隔离的方法来确保其网络的安全性。物理隔离确保了外部网络和内部网络之间不存在任何可能的物理链路，切断了信息外泄的通道。但事实恰恰相反，由于管理制度的不健全或缺乏有效的终端监控技术，内部网络中个别用户利用电话拨号、即插即用的互联网接入设备，外连互联网进行私人操作，物理隔离环境被破坏。另外，终端内外网混用情况较为普遍，导致内部网络出现隐蔽通道，被黑客或病毒利用后，将导致泄密或影响信息系统性能。这些行为称之为非法外联。[0003]在实施物理隔离的内网网络中，主机终端作为信息系统的基本组成部分，具备分布广，数量巨大等特性，由于主机终端操作的随意性，难以利用技术措施实行管控，因此主机终端成为恶意攻击、病毒传播、信息失窃的源头之一。[0004]非法外联使原本封闭系统环境与外部网络出现隐蔽通道，内部网络将面临病毒、木马、非授权访问、数据窃听、暴力破解等多种安全威胁，导致网络结构、服务器部署、安全防护措施等信息被泄露，甚至进行跨安全域、跨网络破坏。[0005]综上所述，降低非法外联风险需从根本出发，形成最迅速、最严密的防御能力。一方面需要提高安全防护意识，最主要的方面还是需要有一种有效防止局域网计算机非法外联的方法。发明内容[0006]本发明提供了一种防止局域网计算机非法外联的系统及其方法，采用监控和防护策略，利用防护单元拦截系统进程，并执行相应的防护策略，达到防止局域网计算机非法外联的目的。[0007]为了达到上述技术目的，本发明所采用的技术方案如下：一种防止局域网计算机非法外联的方法，其特征在于:包括以下步骤：soi:应用程序层的控制单兀向服务器端发送身份验证请求；S02:所述服务器端根据所述身份验证请求通过配置单元来配置监控策略以及防护策略，所述服务器端将所述监控策略和防护策略发送到所述应用程序层的控制单元；S03:所述应用程序层的控制单元将所述监控策略和防护策略分别发送给监控单元和防护单元；S04:监控中心单元调用所述监控单元的监控策略将其加载到目标列表中，所述目标列表中按照触发防护单元的概率依次排列；S05:文件驱动单元根据所述目标列表遍历并截获目标单元与所述目标列表相匹配的消息，所述消息为调用USB驱动、光驱驱动和网卡驱动的一种或者多种；S06:将所截获的消息通过所述防护单元做截止结束处理的操作；S07:所述控制单元检测到所述防护单元的防护行为后，将对应的异常信息发送给异常管理单元，所述异常管理单元统计触发防护单元的概率数据。[0008]进一步，所述监控单元和防护单元分别为APIHOOK模块和文件驱动模块。[0009]进一步，所述文件驱动单元能够监测人为修改IP地址或DHCP获取更改IP地址，并将IP地址变动的信息反馈给防护单元，所述防护单元能够拦截相应的系统程序运行。[0010]一种防止局域网计算机非法外联的系统，其特征在于，包括位于服务器端和客户端，所述服务器端包括：身份验证单元，用于接收身份验证请求；配置单元，用于根据所述身份验证请求来配置监控策略以及防护策略，并将其发送给客户端；所述客户端包括应用程序层和操作系统层，所述应用程序层包括：控制单元，用于接收来自于所述配置单元的监控策略和防护策略，并将其分别发送给监控单元和防护单元;还用于接收并转发给异常管理单元来自于防护单元的防护数据，和接收并转发触发防护单元的概率数据；监控单元，用于将接收到的监控策略存储并转发给监控中心单元；监控中心单元，用于将所述目标函数加载至目标列表；目标列表，用于存储需要监控和防护的目标列表，并将其按照触发防护单元的概率依次排列；防护单元，用于根据截获的目标单元，结合防护策略做出截止结束处理的操作，并将该次的防护数据发送给所述控制单元；异常管理单元，用于接收所述防护数据并分别统计触发防护单元的概率数据。[0011]本发明所产生的有益效果如下：1、本发明采用Windows最底层的APIHOOK技术和文件驱动技术，可以在操作系统内核驱动层实时阻断USB设备接入动作，从而可以完全不受注册表、USB驱动或组策略的影响，杜绝通过U口连接上网的行为。[0012]2、本发明增加了对随身wifi和热点网络的控制，并实时跟进对市面上新增的随身wifi或类似工具的屏蔽功能，管理局域网上网行为，保护电脑安全和信息安全机密。[0013]3、本发明的会从操作系统内核驱动层读取计算机IP信息，当计算机IP地址通过人为修改或DHCP获取更改IP地址时，会直接默认为是违规外联事件发生，直接动作禁用计算机网卡，防止发生网络安全事件。[〇〇14L4、本发明所采用的目标列表能够按照该客户端所触发的防护单元的概率依次排列目标列表，在发生大规模的攻击事件时，不需要重新重复查找所匹配的目标列表，能够快速做出防护策略。附图说明[0015]图1为本发明的流程图；图2为本发明的结构框图。[0016]一图中、:1-服务器端、2—客户端、3_应用程序层、4_操作系统层、5_身份验证单元、6_配置单元、7-控制单元、8-监控单元、9-防护单元、10-监控中心单元、n-目标列表、12-文件驱动单兀、13-目标单兀、14-异常管理单元。具体实施方式[0017]下面结合附图和具体的实施例来进一步详细的说明本发明，但本发明的保护范围并不限于此。[0018]目前，常用的安全防护手段对USB存储设备或移动设备的控制，常常是基于修改注册表或USB驱动或隐藏盘符的方式来实现的，这种方式对于控制手机、平板电脑等连接上网常常无能为力，因为这些设备虽然采用USB接口进行传输，但是通讯协议则完全不同，加之第三方软件的协助，使得通过注册表、修改USB驱动或隐藏盘符的方式很难有效应对此类存储设备，同时也极容易被一些稍懂技术人的通反向修改注册表、修复USB驱动或通过修改组策略而重新显示隐藏的设备而轻松绕过。因此，当前国内同类限制U口使用的方法常常面临着功能上和安全上的不足和漏洞，无法充分保护电脑USB接口的安全。而本发明采用Windows最底层的HOOK技术和文件驱动技术，可以在操作系统内核驱动层实时阻断USB设备接入动作，从而可以完全不受注册表、USB驱动或组策略的影响，杜绝通过U口连接上网的行为。[0019]如图1和图2所示，一种防止局域网计算机非法外联的方法，包括如下步骤：S01:应用程序层3的控制单元7向服务器端1的身份验证单元5发送身份验证请求；S02:根据所述身份验证请求通过配置单元6来配置监控策略以及防护策略，所述服务器端1将所述监控策略和防护策略发送到所述应用程序层3的控制单元7;S03:所述应用程序层3的控制单元7将所述监控策略和防护策略分别发送给监控单元8和防护单元9;S04:监控中心单元10调用所述监控单元8的监控策略将其加载到目标列表11中，在所述目标列表11中按照触发防护单元9的概率依次排列；S05:文件驱动单元12根据所述目标列表11遍历并截获目标单元13与所述目标列表11相匹配的消息，所述消息为调用USB驱动、光驱驱动和网卡驱动的一种或者多种；S06:将所截获的消息通过所述防护单元9做截止结束处理的操作；S07:所述控制单元7检测到所述防护单元9的防护行为后，将对应的异常信息发送给异常管理单元14,所述异常管理单元14统计触发防护单元9的概率数据。[0020]优选的，所述监控单元8和防护单元9分别为APIHOOK模块和文件驱动模块。APIH00K模块接收监控策略后将其转化为•DLL文件加载到目标列表11中，所述目标列表11位于操作系统层4,在应用层使用TOOK拦截所有的调用USB驱动、光驱驱动和网卡驱动的操作进程;并在文件驱动模块中拦截发往文件系统的相关请求，并根据防护策略进行拦截处理。H00K拦截所有的调用USB驱动、光驱驱动和网卡驱动的操作进程的方法为:将.DLL文件加载到目标列表11中，并在.DLL文件中的调用地址替换为自定义的函数，也即将原系统进程的函数被替换为自定义的函数，若发生调用USB驱动、光驱驱动和网卡驱动的情况，其调用的函数为自定义的函数，以达到从根本上拦截USB驱动的目的，光驱驱动和网卡驱动同理。[0021]优选的，所述文件驱动单元12能够监测人为修改IP地址或DHCP获取更改IP地址，并将IP地址变动的信息反馈给防护单元9,所述防护单元9能够拦截相应的系统程序运行。[0022]一种防止局域网计算机非法外联的系统，包括位于服务器端1和客户端2,所述服务器端1包括:身份验证单元5，用于接收身份验证请求;配置单元6，用于根据所述身份验证请求来配置监控策略以及防护策略，并将其发送给客户端2;所述客户端2包括应用程序层3和操作系统层4,所述应用程序层3包括:控制单元7,用于接收来自于所述配置单元6的监控策略和防护策略，并将其分别发送给监控单元8和防护单元9;还用于接收并转发给异常管理单元14来自于防护单元9的防护数据，和接收并转发触发防护单元9的概率数据;监控单元8,用于将接收到的监控策略存储并转发给监控中心单元10;监控中心单元10,用于将所述目标函数加载至目标列表11;目标列表11，用于存储需要监控和防护的目标函数列表，并将其按照触发防护单元9的概率依次排列;防护单元9,用于根据截获的目标单元13,结合防护策略做出截止结束处理的操作，并将该次的防护数据发送给所述控制单元7;异常管理单元14,用于接收所述防护数据并分别统计触发防护单元9的概率数据。[0023]优选的，所述文件驱动单元12,还用于监测人为修改IP地址或DHCP获取更改IP地址，并将IP地址变动的信息反馈给防护单元9，所述防护单元9能够拦截相应的系统程序运行。[0024]本发明会从操作系统内核驱动层读取计算机IP信息，当计算机IP地址通过人为修改或DHCP获取更改IP地址时，会直接默认为是违规外联事件发生，直接动作禁用计算机网卡，防止发生网络安全事件。[0025]本发明主要通对局域网计算机外部接口的控制，禁止计算机通过移动上网卡、智能手机等访问internet，防止计算机因为非法接入、外联导致信息泄密。在计算机配置防护程序与监控程序；已完成配置的计算机通过移动上网卡或智能手机等试图连接互联网时，控制程序阻止USB虚拟网卡产生，防止非法外联行为发生;防护程序检测到正在发生的局域网网卡连接互联网等违规事件时计算机网卡会被禁用，并无法启用网卡，保证其行为不影响网络其他用户。[0026]要说明的是，上述实施例是对本发明技术方案的说明而非限制，所属技术领域普通技术人员的等同替换或者根据现有技术而做的其它修改，只要没超出本发明技术方案的思路和范围，均应包含在本发明所要求的权利范围之内。

权利要求：1.一种防止局域网计算机非法外联的方法，其特征在于:包括以下步骤：SOI:应用程序层的控制单兀向服务器端发送身份验证请求；S02:所述服务器端根据所述身份验证请求通过配置单元来配置监控策略以及防护策略，所述服务器端将所述监控策略和防护策略发送到所述应用程序层的控制单元；S03:所述应用程序层的控制单元将所述监控策略和防护策略分别发送给监控单元和防护单元；S04:监控中心单元调用所述监控单元的监控策略将其加载到目标列表中，在所述目标列表中按照触发防护单元的概率依次排列；S05:文件驱动单元根据所述目标列表遍历并截获目标单元与所述目标列表相匹配的消息，所述消息为调用USB驱动、光驱驱动和网卡驱动的一种或者多种；S06:将所截获的消息通过所述防护单元做截止结束处理的操作；S07:所述控制单元检测到所述防护单元的防护行为后，将对应的异常信息发送给异常管理单元，所述异常管理单元统计触发防护单元的概率数据。2.根据权利要求1所述的一种防止局域网计算机非法外联的方法，其特征在于:所述监控单元和防护单元分别为APIHOOK模块和文件驱动模块。3.根据权利要求1所述的一种防止局域网计算机非法外联的方法，其特征在于:所述文件驱动单元能够监测人为修改IP地址或DHCP获取更改IP地址，并将IP地址变动的信息反馈给防护单元，所述防护单元能够拦截相应的系统程序运行。4.一种基于防止局域网计算机非法外联的方法的系统，其特征在于，包括位于服务器端和客户端，所述服务器端包括：身份验证单元，用于接收身份验证请求；配置单元，用于根据所述身份验证请求来配置监控策略以及防护策略，并将其发送给客户端；所述客户端包括应用程序层和操作系统层，所述应用程序层包括：控制单元，用于接收来自于所述配置单元的监控策略和防护策略，并将其分别发送给监控单元和防护单元;还用于接收并转发给异常管理单元来自于防护单元的防护数据，和接收并转发触发防护单元的概率数据；监控单元，用于将接收到的监控策略存储并转发给监控中心单元；监控中心单元，用于将所述目标函数加载至目标列表；目标列表，用于存储需要监控和防护的目标列表，并将其按照触发防护单元的概率依次排列；防护单元，用于根据截获的目标单元，结合防护策略做出截止结束处理的操作，并将该次的防护数据发送给所述控制单元；异常管理单元，用于接收所述防护数据并分别统计触发防护单元的概率数据。

百度查询： 国网河南省电力公司商丘供电公司 一种防止局域网计算机非法外联系统及其方法

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD