專利名稱:信息安全處理方法與信息安全處理系統(tǒng)、通信設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù),尤其是一種信息安全處理方法與信息安全處 理系統(tǒng)、通信設(shè)備。
背景技術(shù):
木馬,也稱特伊洛木馬,它對電腦系統(tǒng)具有強大的控制與破壞能力。例如攻擊者利用木馬可以竊取電腦系統(tǒng)中的密碼、控制電腦系統(tǒng)操作、對電 腦系統(tǒng)中的文件進行操作等。一般情況下,木馬包括客戶端與服務(wù)器端兩個執(zhí)行程序。其中,客戶端 執(zhí)行程序是用于攻擊者遠程控制向電腦系統(tǒng)植入木馬的機器。服務(wù)器端執(zhí)行 程序即木馬程序。攻擊者通過木馬攻擊電腦系統(tǒng)時,首先需要通過一定方法, 將木馬的服務(wù)器端執(zhí)行程序植入到被攻擊的電腦系統(tǒng)中。例如攻擊者通過 木馬執(zhí)行文件,例如郵件、下載資料等,將木馬的服務(wù)器端執(zhí)行程序植入 到被攻擊的電腦系統(tǒng)中。然后通過一定的方式提示被攻擊電腦系統(tǒng)用戶打開 該木馬執(zhí)行文件。在被攻擊電腦系統(tǒng)用戶打開該木馬執(zhí)行文件時,木馬的服 務(wù)器端執(zhí)行程序便開始在后臺運行。由于木馬的服務(wù)器端執(zhí)行程序文件非常小, 一般約為幾K到幾十K。因 此,將木馬的服務(wù)器端執(zhí)行程序捆綁到其它正常文件上,被攻擊電腦系統(tǒng)用 戶很難發(fā)現(xiàn)?;诖?, 一些網(wǎng)站提供的下載軟件捆綁了木馬的服務(wù)器端執(zhí)行 程序文件,在執(zhí)行這些下載文件時,也同時運行了木馬的服務(wù)器端#1行程序。此外,也可以通過Script、 ActiveX及Asp、 Cgi交互腳本的方式將木馬 的服務(wù)器端執(zhí)行程序植入被攻擊的電腦系統(tǒng)?;蛘撸€可以利用操作系統(tǒng)的 一些漏洞將木馬的服務(wù)器端執(zhí)行程序植入被攻擊的電腦系統(tǒng)。木馬的服務(wù)器端執(zhí)行程序被植入攻擊主機后,它一般會通過一定的方式,例如發(fā)送電子郵件、UDP數(shù)據(jù)包或ICMP數(shù)據(jù)包的方式,將被入侵主機的信 息,例如主機的IP地址、木馬植入的端口等,發(fā)送給攻擊者。攻擊者獲得 這些信息后,通過客戶端執(zhí)行程序,與植入主機的木馬的服務(wù)器端執(zhí)行程序 里應(yīng)外合,控制被入侵主機。另外,有一些木馬的服務(wù)器端執(zhí)行程序,例如 攻擊OICQ密碼的GOP木馬,可以將被入侵主機上的所有的密碼通知給攻擊 者,這樣攻擊不用直接連接入被侵主機便可獲得被入侵主機用戶的一些重要 數(shù)據(jù)。目前,在入侵檢測系統(tǒng)(以下簡稱IDS)與入侵防御系統(tǒng)(以下簡稱 IPS)中,主要通過模式匹配、統(tǒng)計分析(也叫異常檢測)與完整性分析方 法,對木馬進行入侵一企測與防御。其中,模式匹配方法就是將收集到的信息與已知的網(wǎng)絡(luò)入侵數(shù)據(jù)庫、系 統(tǒng)已有模式數(shù)據(jù)庫進行比較,來發(fā)現(xiàn)違背安全策略的行為。通常情況下,一 種進攻模式可以用 一個過程(如執(zhí)行一條指令)或一個輸出(如獲得權(quán)限) 來表示。因此,模式匹配中,可以通過字符串匹配以尋找一個簡單的條目或 指令,也可以利用正規(guī)的數(shù)學(xué)表達式來表示安全狀態(tài)的變化。模式匹配方法 的優(yōu)點是只需收集相關(guān)的數(shù)據(jù)集合,因此可以減少系統(tǒng)負擔;它與病毒防火 墻采用的方法一樣,檢測準確率與效率都較高。但是,該方法需要不斷的升 級網(wǎng)絡(luò)入侵數(shù)據(jù)庫,才能檢測出最新出現(xiàn)的木馬病毒,以對付不斷出現(xiàn)的黑 客攻擊方法,其無法檢測到從未出現(xiàn)過的木馬病毒,無法防御最新的黑客攻 擊手段。統(tǒng)計分析方法中,首先統(tǒng)計信息對象,例如用戶、連接、文件、目錄、 設(shè)備等,在正常使用時的一些測量屬性信息,例如訪問次數(shù)、操作失敗次 數(shù)、延時等信息。然后,將統(tǒng)計到的測量屬性的平均值與網(wǎng)絡(luò)、系統(tǒng)的行為 進行比較。當網(wǎng)絡(luò)、系統(tǒng)的行為偏離該平均值超過預(yù)設(shè)正常偏差值時,便認 為有入侵行為發(fā)生。具體地,統(tǒng)計分析可能標識一個不正常行為,例如一個根據(jù)測量屬性在晚八點至早六點從不登錄的帳戶,卻在凌晨兩點試圖登錄 系統(tǒng)。統(tǒng)計分析方法其優(yōu)點是可檢測到未知的入侵病毒與更為復(fù)雜的入侵病 毒。但是,其存在誤報、漏報率高等缺陷,且不適應(yīng)用戶正常行為的突然改 變完整性分析方法主要關(guān)注電腦系統(tǒng)中的某個文件或?qū)ο?,包括文件和?錄的內(nèi)容及屬性,是否被更改。完整性分析方法利用強有力的加密機制,例如消息摘要函數(shù)(如MD5)加密算法,識別電腦系統(tǒng)中文件與對象極其微 小的變化。該方法的優(yōu)點是,無論通過模式匹配方法與統(tǒng)計分析方法能否發(fā) 現(xiàn)入侵病毒,完整性分析方法都可以由于攻擊導(dǎo)致的文件或?qū)ο蟮娜魏胃淖儭?但是,該方法通常以批處理方式實現(xiàn),不會實時響應(yīng)文件或?qū)ο蟮淖兓?,?此,無法及時發(fā)現(xiàn)并處理入侵病毒。在現(xiàn)有技術(shù)一的網(wǎng)絡(luò)設(shè)備接入方案中,通過集成了 IDS與IPS功能的專 用防火墻來進行木馬防護。如圖1所示,為現(xiàn)有技術(shù)對內(nèi)網(wǎng)主機進行木馬防 護的一個網(wǎng)絡(luò)結(jié)構(gòu)示意圖。在該網(wǎng)絡(luò)中,防火墻承擔了主要的IDS與IPS功 能。內(nèi)網(wǎng)主機可以安裝防毒軟件,也可以不安裝防毒軟件,由防火墻進行防 毒。路由器只用于數(shù)據(jù)轉(zhuǎn)發(fā)。由于采用集成了 IDS與IPS功能的專用防火墻 設(shè)備,提高了網(wǎng)絡(luò)設(shè)備接入成本。并且,轉(zhuǎn)發(fā)報文都需要通過該采用專用防 火墻設(shè)備,降低了報文轉(zhuǎn)發(fā)性能,從而降低了網(wǎng)絡(luò)性能。在現(xiàn)有技術(shù)二的網(wǎng)絡(luò)設(shè)備接入方案中,通過在內(nèi)網(wǎng)主機上安裝防毒軟件 進行防毒來進行木馬防護。如圖2所示,為現(xiàn)有技術(shù)對內(nèi)網(wǎng)主機進行木馬防 護的另一個網(wǎng)絡(luò)結(jié)構(gòu)示意圖。在該網(wǎng)絡(luò)中,路由器只用于數(shù)據(jù)轉(zhuǎn)發(fā)。由于各 內(nèi)網(wǎng)主機都需要安裝防毒軟件,并且網(wǎng)絡(luò)管理員需要管理各內(nèi)網(wǎng)主機上安裝 的防毒軟件,極為不便,且需要投入大量的人力、物力資源,成本較高。另 外,通過內(nèi)網(wǎng)主機上的防毒軟件進行木馬防護時,由于用戶的使用習慣,可 能會關(guān)閉內(nèi)網(wǎng)主機上的防毒軟件或者設(shè)置該防毒軟件不自動啟動,從而無法 實時對木馬進行安全防護,無法有效保障內(nèi)網(wǎng)主機的安全性。
發(fā)明內(nèi)容
本發(fā)明的目的是提供一種信息安全處理方法與信息安全處理系統(tǒng)、通 信設(shè)備,在不影響網(wǎng)絡(luò)性能的情況下,對內(nèi)網(wǎng)主機進行安全保護,有效防止 病毒入侵內(nèi)網(wǎng)主機。
為實現(xiàn)上述發(fā)明目的,本發(fā)明提供的一種信息安全處理方法,包括
理模塊是否處于在線狀態(tài);
若所述客戶端安全處理模塊處于離線狀態(tài),則所述服務(wù)端安全處理模塊 禁止所述內(nèi)網(wǎng)主機與外網(wǎng)通信;
若所述客戶端安全處理模塊處于在線狀態(tài),所述客戶端安全處理模塊根 據(jù)預(yù)先獲取的最新木馬白名單庫,禁止不存在于所述最新木馬白名單庫的不 安全軟件與外網(wǎng)建立通信連接,所述木馬白名單庫包含了未被木馬感染的文 件列表。
本發(fā)明提供的一種信息安全處理系統(tǒng),包括服務(wù)端安全處理模塊、客戶 端安全處理模塊與配置在所述服務(wù)端安全處理模塊側(cè)的最新木馬白名單庫;
所述服務(wù)端安全處理模塊用于判斷所述客戶端安全處理;漠塊是否處于在 線狀態(tài),在所述客戶端安全處理模塊處于離線狀態(tài)時,禁止該客戶端安全處 理模塊安全管理的內(nèi)網(wǎng)主機與外網(wǎng)通信;
所述客戶端安全處理模塊用于獲取所述最新木馬白名單庫,并根據(jù)獲取 的最新木馬白名單庫,禁止所述內(nèi)網(wǎng)主機上不存在于所述最新木馬白名單庫 的不安全軟件與外網(wǎng)建立通信連接;
所述木馬白名單庫文件包含未被木馬感染的文件列表。
本發(fā)明提供的一種通信設(shè)備,包括上述客戶端安全處理模塊與所述獲取 的最新木馬白名單庫。
本發(fā)明提供的另 一種通信設(shè)備,包括上述服務(wù)端安全處理模塊與所述服務(wù)端安全處理模塊側(cè)的最新木馬白名單庫。本發(fā)明提供的信息安全處理方法與信息安全處理系統(tǒng)中,通過客戶端安 全處理模塊與服務(wù)端安全處理模塊對內(nèi)網(wǎng)主機進行安全保護,在客戶端安全 處理模塊處于離線狀態(tài)時,服務(wù)端安全處理模塊禁止內(nèi)網(wǎng)主機與外網(wǎng)通信, 在客戶端安全處理模塊處于在線狀態(tài)時,可以禁止不存在于最新木馬白名單 庫的不安全軟件與外網(wǎng)建立通信連接,從而有效防止內(nèi)網(wǎng)主機被木馬攻擊, 與現(xiàn)有技術(shù)一相比,由于不需要專用防火墻來防護木馬,因此,不需要增加網(wǎng)絡(luò)設(shè)備接入成本,并且不會降低報文轉(zhuǎn)發(fā)性能與網(wǎng)絡(luò)性能;與現(xiàn)有"t支術(shù)二 相比,由于不需要在各內(nèi)網(wǎng)主機安裝防毒軟件并進行維護,降低了管理成本; 并且,在客戶端安全處理模塊處于離線狀態(tài)時,內(nèi)網(wǎng)主機無法與外網(wǎng)通信, 從而可以對木馬進行實時安全防護,有效保障內(nèi)網(wǎng)主機的安全性。下面通過附圖和實施例,對本發(fā)明的技術(shù)方案做進一步的詳細描述。
圖1為現(xiàn)有技術(shù)對內(nèi)網(wǎng)主機進行木馬防護的一個網(wǎng)絡(luò)結(jié)構(gòu)示意圖。圖2為現(xiàn)有技術(shù)對內(nèi)網(wǎng)主機進行木馬防護的另 一個網(wǎng)絡(luò)結(jié)構(gòu)示意圖。圖3為本發(fā)明信息安全處理方法一個實施例的流程圖。圖4為本發(fā)明信息安全處理方法另一個實施例的流程圖。圖5為本發(fā)明信息安全處理系統(tǒng)一個實施例的結(jié)構(gòu)示意圖。圖6為本發(fā)明信息安全處理系統(tǒng)另 一 個實施例的結(jié)構(gòu)示意圖。圖7為本發(fā)明信息安全處理系統(tǒng)又一個實施例的結(jié)構(gòu)示意圖。
具體實施方式
本發(fā)明在路由器上安裝服務(wù)端安全處理模塊,也稱為懇請者服務(wù)端 (supplicant server,以下簡稱SUS ),在各內(nèi)網(wǎng)主機上安裝客戶端安全處理 模塊,也稱為懇請者客戶端(supplicant client,以下簡稱SUC),通過SUC與SUS聯(lián)合對內(nèi)網(wǎng)主機進行木馬防護。
本發(fā)明實施例提供的一種信息安全處理方法,包括
SUS判斷用于對內(nèi)網(wǎng)主機進行安全管理的SUC是否處于在線狀態(tài);若 SUC處于離線狀態(tài),則SUS禁止該內(nèi)網(wǎng)主機與外網(wǎng)通信;若SUC在線狀態(tài), 該SUC根據(jù)預(yù)先獲取的最新木馬白名單庫(backdoor library,以下簡稱BL), 禁止不存在于該最新BL的不安全軟件與外網(wǎng)建立通信連接,BL包含了未被 木馬感染的文件列表。其中,BL包含了未被木馬感染的文件列表,該文件列 表包括文件名、文件大小與MD5校驗和。
作為本發(fā)明的一個實施例,SUS可以設(shè)置在出口網(wǎng)關(guān)上,例如設(shè)置在 路由器、交換機上。SUC與獲取的最新BL可以設(shè)置在內(nèi)網(wǎng)主機上。以下以 SUS設(shè)置在路由器上、SUC與獲取的最新BL設(shè)置在內(nèi)網(wǎng)主機上為例進行說 明,對于SUS、 SUC與最新BL獨立設(shè)置或設(shè)置在其它任意通信設(shè)備上的情 況同樣適用。
如圖3所示,為本發(fā)明信息安全處理方法一個實施例的流程圖,其包括 以下步驟
步驟101,設(shè)置于路由器上的SUS判斷設(shè)置于內(nèi)網(wǎng)主機上的SUC是否處 于在線狀態(tài),若處于在線狀態(tài),執(zhí)行步驟103;若處于離線狀態(tài),執(zhí)行步驟 102。
步驟102, SUS禁止內(nèi)網(wǎng)主機與外網(wǎng)通信。具體地,SUS可以不對發(fā)送 內(nèi)網(wǎng)主機的數(shù)據(jù)或內(nèi)網(wǎng)主機發(fā)出的數(shù)據(jù)進行轉(zhuǎn)發(fā)。
步驟103, SUC根據(jù)從路由器獲取最新BL,禁止不存在于最新BL的不 安全軟件與外網(wǎng)建立通信連接。其中,BL包含了未被木馬感染的文件列表。
BL中的文件列表包括文件名,還包括文件大小與MD5校驗和。相應(yīng)的, 步驟103中的不安全軟件是指與BL中文件列表中文件名相同,但相應(yīng)的 文件大小和/或MD5校驗和不同的軟件。
在SUC處于離線狀態(tài)時,SUS禁止內(nèi)網(wǎng)主機與外網(wǎng)通信,在SUC處于在線狀態(tài)時,SUC可以禁止不存在于從路由器下載的最新BL的不安全軟件 與外網(wǎng)建立通信連接,從而有效防止內(nèi)網(wǎng)主機被木馬攻擊,不需要采用專用 的防火墻設(shè)備,無需增加網(wǎng)絡(luò)設(shè)備接入成本,不會降低報文轉(zhuǎn)發(fā)性能與網(wǎng)絡(luò) 性能;不需要在各內(nèi)網(wǎng)主機安裝防毒軟件并進行維護,降低了管理成本;可 以對木馬進行實時安全防護,有效保障內(nèi)網(wǎng)主機的安全性。預(yù)先在SUS側(cè),即路由器上,配置最新BL,該BL包含了未被木馬感 染的文件列表,該文件列表包括文件名、文件大小與MD5校驗和。在內(nèi)網(wǎng)主 機上安裝SUC,并配置路由器的IP地址,使SUC能夠默認從路由器下載BL, 并與路由器上的SUS聯(lián)動。內(nèi)網(wǎng)主機啟動時,設(shè)置在內(nèi)網(wǎng)主機上的SUC作 為系統(tǒng)服務(wù)軟件自動啟動。SUC首次啟動時,與SUS進行信息交互,從路由 器獲取最新BL并配置到內(nèi)網(wǎng)主機上。SUC每次啟動時,都可以查詢內(nèi)網(wǎng)主 機上的最新BL與路由器上的最新BL的版本是否相同,若不同,則利用路由 器上的最新BL更新內(nèi)網(wǎng)主機上的最新BL。之后,SUC便可以與SUS聯(lián)動, 對木馬病毒進行防御。如圖4所示,為本發(fā)明信息安全處理方法另一個實施 例的流程圖,其包括以下步驟步驟201,內(nèi)網(wǎng)主機啟動時,設(shè)置在內(nèi)網(wǎng)主機上的SUC作為系統(tǒng)服務(wù)軟 件自動啟動,即SUC上線。步驟202, SUC采用UDP協(xié)議向SUS發(fā)送上線通知消息。步驟203, SUS采用UDP協(xié)議向SUC返回路由器上的最新BL的版本信自步驟204, SUC根據(jù)SUS發(fā)送的版本信息與內(nèi)網(wǎng)主機上的版本信息,比 較內(nèi)網(wǎng)主機上的最新BL與路由器上的最新BL的版本是否相同,若相同,執(zhí) 行步驟208;否則,執(zhí)行步驟205。步驟205, SUC采用TCP協(xié)議向SUS發(fā)送下載請求,請求下載路由器上 的最新BL。步驟206, SUS釆用TCP協(xié)議將路由器上的最新BL發(fā)送給SUC。步驟207, SUC利用SUS發(fā)送的最新BL更新內(nèi)網(wǎng)主機上的最新BL,并 根據(jù)更新后的最新BL對內(nèi)網(wǎng)主機上運行的軟件,包括各種網(wǎng)絡(luò)應(yīng)用,進 行監(jiān)控,允許存在于BL的安全軟件(也叫白軟件),即與BL中文件名、 文件大小及文件的MD5校驗和都相同的軟件,與外部網(wǎng)絡(luò)建立通信連接,禁 止不存在于BL的不安全軟件(也叫黑軟件)與外部網(wǎng)絡(luò)建立通信連接。例 如對黑軟件發(fā)送的用于創(chuàng)建IP網(wǎng)絡(luò)連接的IP報文進行攔截。
BL中包含未被木馬感染的文件列表,其包括文件名、文件大小與MD5 校驗和,文件被木馬感染后,其文件大小或MD5校驗和會發(fā)生變化,因此, 通過比較發(fā)起網(wǎng)絡(luò)連接的軟件與BL中文件名、文件大小與MD5校驗和是否 相同,可以識別該發(fā)起網(wǎng)絡(luò)連接的軟件是否感染木馬病毒。
為了對BL中的內(nèi)容進行保密,避免對BL進行未授權(quán)的文件列表內(nèi)容進 行添加或修改,可以在生成BL時采用加密算法,例如RC4加密算法,對 BL中的文件列表內(nèi)容進行加密,而由SUC或SUS控制密鑰,在使用過程中 不允許用戶直接編輯BL中的文件列表內(nèi)容。
步驟208, SUC直接根據(jù)內(nèi)網(wǎng)主機上的最新BL對內(nèi)網(wǎng)主機上運行的軟 件進行監(jiān)控。
在圖4所示的流程中的任意時刻,SUS可以判斷內(nèi)網(wǎng)主機上的SUC是否 處于在線狀態(tài),若處于在線狀態(tài),則SUS允許該內(nèi)網(wǎng)主機與外網(wǎng)通信,由該
內(nèi)網(wǎng)主機上的sue對相應(yīng)的網(wǎng)絡(luò)應(yīng)用進行監(jiān)控。反之,若sus檢測到sue 離線,則禁止該內(nèi)網(wǎng)主機與外網(wǎng)通信。具體地,可以通過路由器上的功能配 置開關(guān)開控制該內(nèi)網(wǎng)主機與外網(wǎng)之間的數(shù)據(jù)轉(zhuǎn)發(fā)。
SUS具體可以通過以下方法判斷內(nèi)網(wǎng)主機上的SUC是否處于在線狀態(tài) SUC啟動后,可以根據(jù)預(yù)先設(shè)定,定時或?qū)崟r向SUS發(fā)送?;?keepalive) 報文;SUS若在預(yù)定時間接收到?;顖笪模f明SUC在線,反之說明SUC 離線。
本發(fā)明實施例提供的一種信息安全處理系統(tǒng)包括SUSll、預(yù)先配置在SUSll側(cè)的最新BL12與SUC21。其中,SUS11用于判斷SUC21是否處于在 線狀態(tài),在SUC21處于離線狀態(tài)時,禁止該SUC21安全管理的內(nèi)網(wǎng)主^L與 外網(wǎng)通信。SUC21用于從SUS11獲取最新BL12,由于SUS11側(cè)的最新BL12 可以更新,因此,將SUC21獲取的最新BL記為BL22。 SUC21根據(jù)獲取的 最新BL21,禁止內(nèi)網(wǎng)主機上不存在于最新BL21的不安全軟件與外網(wǎng)建立通 信連接。BL12與BL22包含未被木馬感染的文件列表,其可以包括文件名, 還可以包括文件大小與MD5校驗和。不安全軟件具體為與BL文件列表中 文件名相同,但文件大小和/或MD5校驗和不同的軟件以及BL文件列表中沒 有的文件。作為本發(fā)明的一個實施例,SUS11及該SUS11側(cè)的最新BL12可以設(shè)置 在出口網(wǎng)關(guān)上,例如設(shè)置在路由器、交換機上。SUC21與獲取的最新BL22 可以設(shè)置在內(nèi)網(wǎng)主機上。以下以SUS11與最新BL12設(shè)置在路由器上、SUC21 與最新BL22設(shè)置在內(nèi)網(wǎng)主機上為例進行說明,對于SUSll、最新BL12、 SUC21與最新BL22獨立設(shè)置或設(shè)置在其它任意通信設(shè)備上的情況同樣適用。如圖5所示,為本發(fā)明信息安全處理系統(tǒng)一個實施例的結(jié)構(gòu)示意圖。該 實施例的信息安全處理系統(tǒng)可以實現(xiàn)如圖3所示實施例的流程,其包括 SUSll、預(yù)先配置在SUS11側(cè)的最新BL12、 SUC21與從SUS11側(cè)獲取的最 新BL22。其中,SUSll、預(yù)先配置在SUSll側(cè)的最新BL12設(shè)置在路由器1 上,SUC21與從SUS11側(cè)獲取的最新BL22設(shè)置在內(nèi)網(wǎng)主機2上。其中,SUS11用于判斷SUC21是否處于在線狀態(tài),在SUC21處于離線 狀態(tài)時,禁止內(nèi)網(wǎng)主機2與外網(wǎng)通信。SUC21用于根據(jù)內(nèi)網(wǎng)主機2上的最新 BL21,禁止不存在于最新BL21的不安全軟件與外網(wǎng)建立通信連接。BL12與 BL22包含未被木馬感染的文件列表,其可以包括文件名,還可以包括文件大 小與MD5校驗和。不安全軟件具體為與BL文件列表中文件名相同,但文 件大小和/或MD5校驗和不同的軟件。在線狀態(tài)時,SUC可以禁止不存在于從路由器下載的最新BL的不安全軟件 與外網(wǎng)建立通信連接,從而有效防止內(nèi)網(wǎng)主機被木馬攻擊,不需要采用專用 的防火墻設(shè)備,無需增加網(wǎng)絡(luò)設(shè)備接入成本,不會降低報文轉(zhuǎn)發(fā)性能與網(wǎng)絡(luò) 性能;不需要在各內(nèi)網(wǎng)主機安裝防毒軟件并進行維護,降低了管理成本;可 以對木馬進行實時安全防護,有效保障內(nèi)網(wǎng)主機的安全性。
如圖6所示,為本發(fā)明信息安全處理系統(tǒng)另一個實施例的結(jié)構(gòu)示意圖。 與圖5所示的實施例相比,該實施例中,SUC21包括查詢模塊211與通信處 理模塊212。其中,查詢模塊211用于查詢內(nèi)網(wǎng)主機上的應(yīng)用軟件是否存在 于最新BL22。通信處理模塊212用于根據(jù)查詢模塊211的查詢結(jié)果,在應(yīng)用 軟件為不存在于最新BL22的不安全軟件時,禁止該不安全軟件與外網(wǎng)建立 通信連才妄。
再參見圖6, SUC21還可以包括第一發(fā)送模塊213,用于定時或?qū)崟r向 SUS11發(fā)送保活報文。SUS11可以包括接收模塊111、判斷模塊112與禁止 模塊113。其中,接收模塊111用于接收第 一發(fā)送模塊213發(fā)送的保活報文; 判斷模塊112用于根據(jù)接收模塊111是否接收到?;顖笪?,判斷SUC21 是否在線;禁止模塊113用于根據(jù)判斷模塊112的判斷結(jié)果,在SUC21處于 離線狀態(tài)時,禁止內(nèi)網(wǎng)主機2與外網(wǎng)通信。
進一步地,SUC21還可以包括比較模塊214與更新模塊215。其中,比 較模塊214用于比較更新模塊215配置到內(nèi)網(wǎng)主機上2的最新BL22與路由 器上1的最新BL12的版本是否相同;更新模塊215用于與SUS11進行信息 交互,從路由器1獲取最新BL12并配置到內(nèi)網(wǎng)主機2上,以及根據(jù)比較模 塊214的比較結(jié)果,在內(nèi)網(wǎng)主機2上的最新BL22與路由器上1的最新BL12 的版本不同時,利用路由器1上的最新BLll更新內(nèi)網(wǎng)主機2上的最新BL22; 相應(yīng)的,查詢模塊211根據(jù)比較模塊214的比較結(jié)果,在內(nèi)網(wǎng)主機2上的最 新BL22與路由器1上的最新BL12的版本相同時,查詢內(nèi)網(wǎng)主機2上的應(yīng)用 軟件是否存在于最新BL22。 SUS11還可以包括第二發(fā)送模塊114,用于向更新模塊215發(fā)送路由器1上的最新BL12,以及向比較模塊214發(fā)送路由器1 上的最新BL12的版本信息。如圖7所示,為本發(fā)明信息安全處理系統(tǒng)又一個實施例的結(jié)構(gòu)示意圖。 與圖6所示的實施例相比,該實施例中,比較模塊214具體包括第一收發(fā)單 元、第一獲取單元與比較單元。更新模塊具體包括請求單元與更新單元。第 二發(fā)送模塊具體包括第二收發(fā)單元與第二獲取單元。其中,第一收發(fā)單元,用于在SUC21上線時,釆用UDP協(xié)議向SUS11 發(fā)送上線通知消息,并接收SUS11采用UDP協(xié)議返回的路由器1上的最新 BL12的版本信息;第一獲取單元,用于獲取內(nèi)網(wǎng)主機2上的最新BL22的版 本信息;比較單元,用于根據(jù)獲取單元獲取到的內(nèi)網(wǎng)主機2上的最新BL22 的版本信息,與SUS11返回的路由器1上的最新BL12的版本信息,比較配 置到內(nèi)網(wǎng)主機2上的最新BL22與路由器1上的最新BLll的版本是否相同。 請求單元,用于根據(jù)比較單元的比較結(jié)果,在內(nèi)網(wǎng)主機2上的最新BL22與 路由器2上的最新BL12的版本不同時,采用TCP協(xié)議向SUS11發(fā)送下載請 求,請求下載路由器1上的最新BL12,并接收SUSll采用TCP協(xié)議返回的 路由器1上的最新BL12;更新單元,用于利用請求單元接收到的、由SUSll 返回的最新BL12更新內(nèi)網(wǎng)主機2上的最新BL22;相應(yīng)的,查詢模塊根據(jù)比 較單元的比較結(jié)果,在內(nèi)網(wǎng)主機2上的最新BL11與路由器1上的最新BL12 的版本相同時,查詢內(nèi)網(wǎng)主機2上的應(yīng)用軟件是否存在于最新BL22;在內(nèi)網(wǎng) 主機2上的最新BL22與路由器1上的最新BL12的版本不同時,查詢內(nèi)網(wǎng)主 機2上的應(yīng)用軟件是否存在于更新單元更新后的最新BL22。第二收發(fā)單元, 用于接收第一收發(fā)單元發(fā)送的SUC21的上線通知消息,并采用UDP協(xié)議向 比較模塊返回路由器1上的最新BL12的版本信息,以及接收請求單元采用 TCP協(xié)議發(fā)送的下載請求,并采用TCP協(xié)議向獲取^^莫塊發(fā)送i 各由器1上的最 新BU2;第二獲取單元,用于獲取路由器1上的最新BL12及其版本信息。上述圖6與圖7所示實施例的信息安全處理系統(tǒng)可以實現(xiàn)如圖4所示實施例的流禾呈。
本發(fā)明實施例還提供了一種通信設(shè)備,其包括如圖5至圖7任一實施例
的SUS11與最新BL12。
本發(fā)明實施例還提供了另一種通信設(shè)備,其包括如圖5至圖7任一實施 例的SUC21與最新BL22。
本發(fā)明實施例提供的信息安全處理方法與信息安全處理系統(tǒng)可以在SUC 處于離線狀態(tài)時,由sus禁止內(nèi)網(wǎng)主機與外網(wǎng)通信,在SUC處于在線狀態(tài) 時,SUC可以禁止不存在于從路由器下載的最新BL的不安全軟件與外網(wǎng)建 立通信連接,從而有效防止內(nèi)網(wǎng)主機被木馬攻擊,不需要采用專用的防火墻 設(shè)備,無需增加網(wǎng)絡(luò)設(shè)備接入成本,不會降低報文轉(zhuǎn)發(fā)性能與網(wǎng)絡(luò)性能;不 需要在各內(nèi)網(wǎng)主機安裝防毒軟件并進行維護,降低了管理成本;可以對木馬 進行實時安全防護,有效保障內(nèi)網(wǎng)主機的安全性。
最后所應(yīng)說明的是以上實施例僅用以說明本發(fā)明的技術(shù)方案,而非對 本發(fā)明作限制性理解。盡管參照上述較佳實施例對本發(fā)明進行了詳細說明, 本領(lǐng)域的普通技術(shù)人員應(yīng)當理解其依然可以對本發(fā)明的技術(shù)方案進行修改 或者等同替換,而這種修改或者等同替換并不脫離本發(fā)明技術(shù)方案的精神和 范圍。
權(quán)利要求
1. 一種信息安全處理方法,其特征在于,包括服務(wù)端安全處理模塊判斷用于對內(nèi)網(wǎng)主機進行安全管理的客戶端安全處理模塊是否處于在線狀態(tài);若所述客戶端安全處理模塊處于離線狀態(tài),則所述服務(wù)端安全處理模塊禁止所述內(nèi)網(wǎng)主機與外網(wǎng)通信;若所述客戶端安全處理模塊處于在線狀態(tài),所述客戶端安全處理模塊根據(jù)預(yù)先獲取的最新木馬白名單庫,禁止不存在于所述最新木馬白名單庫的不安全軟件與外網(wǎng)建立通信連接,所述木馬白名單庫包含了未被木馬感染的文件列表。
2、 根據(jù)權(quán)利要求1所述的方法,其特征在于,所述文件列表包括文件名, 還包括文件大小與MD5校驗和;所述不安全軟件具體為與所述文件列表中 文件名相同,但文件大小和/或MD5校驗和不同的軟件。
3、 根據(jù)權(quán)利要求1所述的方法,其特征在于,還包括 在所述服務(wù)端安全處理模塊側(cè)配置最新木馬白名單庫,所述木馬白名單庫包含了未被木馬感染的文件列表;所述客戶端安全處理模塊與所述服務(wù)端安全處理模塊進行信息交互,獲 取所述最新木馬白名單庫,并在獲取的最新木馬白名單庫與所述服務(wù)端安全 處理模塊側(cè)的最新木馬白名單庫的版本不同時,利用所述服務(wù)端安全處理模 塊側(cè)的最新木馬白名單庫更新獲取的最新木馬白名單庫。
4、 根據(jù)權(quán)利要求3所述的方法,其特征在于,所述獲取的最新木馬白名 單庫與所述服務(wù)端安全處理模塊側(cè)的最新木馬白名單庫的版本不同時,利用 所述服務(wù)端安全處理模塊側(cè)的最新木馬白名單庫更新獲取的最新木馬白名單 庫包括所述客戶端安全處理模塊上線時,采用UDP協(xié)議向所述服務(wù)端安全處理 模塊發(fā)送上線通知消息;所述服務(wù)端安全處理模塊采用UDP協(xié)議向所述客戶端安全處理模塊返回所述服務(wù)端安全處理模塊側(cè)的最新木馬白名單庫的版本信息;所述客戶端安全處理模塊根據(jù)所述服務(wù)端安全處理模塊發(fā)送的版本信息 與所述內(nèi)網(wǎng)主機上的版本信息,比較獲取的最新木馬白名單庫與所述服務(wù)端 安全處理模塊側(cè)的最新木馬白名單庫的版本是否相同;若不相同,則所述客戶端安全處理模塊釆用TCP協(xié)議向所述服務(wù)端安全 處理模塊發(fā)送下載請求,請求下載所述服務(wù)端安全處理模塊側(cè)的最新木馬白 名單庫;所述服務(wù)端安全處理模塊采用TCP協(xié)議將所述服務(wù)端安全處理模塊 側(cè)的最新木馬白名單庫發(fā)送給所述客戶端安全處理模塊;所述客戶端安全處 理模塊利用接收到的最新木馬白名單庫更新所述獲取的最新木馬白名單庫, 并根據(jù)更新后的最新木馬白名單庫對所述內(nèi)網(wǎng)主機上運行的軟件進行監(jiān)控;若相同,則客戶端安全處理模塊直接根據(jù)所述獲取的最新木馬白名單庫 對所述內(nèi)網(wǎng)主機上運行的軟件進行監(jiān)控。
5、 一種信息安全處理系統(tǒng),其特征在于,包括服務(wù)端安全處理模塊、客 戶端安全處理模塊與配置在所述服務(wù)端安全處理模塊側(cè)的最新木馬白名單庫;所述服務(wù)端安全處理模塊用于判斷所述客戶端安全處理模塊是否處于在 線狀態(tài),在所述客戶端安全處理模塊處于離線狀態(tài)時,禁止該客戶端安全處理模塊安全管理的內(nèi)網(wǎng)主機與外網(wǎng)通信;所述客戶端安全處理模塊用于獲取所述最新木馬白名單庫,并根據(jù)獲取 的最新木馬白名單庫,禁止所述內(nèi)網(wǎng)主機上不存在于所述最新木馬白名單庫 的不安全軟件與外網(wǎng)建立通信連接;所述木馬白名單庫文件包含未被木馬感染的文件列表。
6、 根據(jù)權(quán)利要求5所述的系統(tǒng),其特征在于,所述客戶端安全處理模塊 包括查詢模塊,用于查詢所述內(nèi)網(wǎng)主機上的應(yīng)用軟件是否存在于獲取的最新木馬白名單庫;通信處理模塊,用于根據(jù)所述查詢模塊的查詢結(jié)果,在應(yīng)用軟件為不存 在于獲取的最新木馬白名單庫的不安全軟件時,禁止該不安全軟件與外網(wǎng)建 立通信連接。
7、 根據(jù)權(quán)利要求6所述的系統(tǒng),其特征在于,所述客戶端安全處理模塊 還包括第 一發(fā)送模塊,用于定時或?qū)崟r向所述服務(wù)端安全處理模塊發(fā)送?;?報文;所述服務(wù)端安全處理模塊包括接收模塊,用于接收所述第一發(fā)送模塊發(fā)送的保活報文;判斷模塊,用于根據(jù)所述接收模塊是否接收到?;顖笪模袛嗨隹蛻舳税踩幚砟K是否在線;禁止模塊,用于根據(jù)所述判斷模塊的判斷結(jié)果,在所述客戶端安全處理模塊處于離線狀態(tài)時,禁止所述內(nèi)網(wǎng)主機與外網(wǎng)通信。
8、 根據(jù)權(quán)利要求7所述的系統(tǒng),其特征在于,所述客戶端安全處理模塊 還包括比較模塊,用于比較獲取的最新木馬白名單庫與所述服務(wù)端安全處理模 塊側(cè)的最新木馬白名單庫的版本是否相同;更新模塊,用于根據(jù)所述比較模塊的比較結(jié)果,在獲取的最新木馬白名 單庫與所述服務(wù)端安全處理模塊側(cè)的最新木馬白名單庫的版本不同時,利用 服務(wù)端安全處理模塊側(cè)的最新木馬白名單庫更新所述獲取的最新木馬白名單庫;所述查詢模塊根據(jù)所述比較模塊的比較結(jié)果,在所述獲取的最新木馬白 名單庫與所述服務(wù)端安全處理模塊側(cè)的最新木馬白名單庫的版本相同時,查詢內(nèi)網(wǎng)主機上的應(yīng)用軟件是否存在于獲取的最新木馬白名單庫; 所述服務(wù)端安全處理模塊還包括第二發(fā)送模塊,用于向所述更新模塊發(fā)送所述服務(wù)端安全處理模塊側(cè)的 最新木馬白名單庫,以及向所述比較模塊發(fā)送所述服務(wù)端安全處理模塊側(cè)的 最新木馬白名單庫的版本信息。
9、根據(jù)權(quán)利要求8所述的系統(tǒng),其特征在于,所述比較模塊包括 第一收發(fā)單元,用于在所述客戶端安全處理模塊上線時,采用UDP協(xié)議 向所述服務(wù)端安全處理模塊發(fā)送上線通知消息,并接收所述服務(wù)端安全處理 模塊采用UDP協(xié)議返回的所述服務(wù)端安全處理模塊側(cè)的最新木馬白名單庫 的版本信息;第 一獲取單元,用于獲取所述獲取的最新木馬白名單庫的版本信息; 比較單元,用于根據(jù)所述獲取單元獲取到的最新木馬白名單庫的版本信 息,與所述服務(wù)端安全處理模塊返回的最新木馬白名單庫的版本信息,比較 獲取的最新木馬白名單庫與所述服務(wù)端安全處理模塊側(cè)的最新木馬白名單庫 的版本是否相同;所述更新模塊包括請求單元,用于與所述服務(wù)端安全處理模塊進行信息交互,獲取最新木 馬白名單庫,以及根據(jù)所述比較單元的比較結(jié)果,在獲取的最新木馬白名單 庫與所述服務(wù)端安全處理模塊側(cè)的最新木馬白名單庫的版本不同時,采用 TCP協(xié)議向所述服務(wù)端安全處理模塊發(fā)送下載請求,請求下載所述服務(wù)端安 全處理模塊側(cè)的最新木馬白名單庫,并接收所述服務(wù)端安全處理模塊采用 TCP協(xié)議返回的路由器上的最新木馬白名單庫;更新單元,用于利用所述請求單元接收到的最新木馬白名單庫更新所述 獲取的最新木馬白名單庫;所述第二發(fā)送模塊包括第二收發(fā)單元,用于接收所述第一收發(fā)單元發(fā)送的上線通知消息,并采 用UDP協(xié)議向所述比較模塊返回所述服務(wù)端安全處理模塊側(cè)的最新木馬白 名單庫的版本信息,以及接收所述請求單元采用TCP協(xié)議發(fā)送的下載請求,并釆用TCP協(xié)議向所述獲取模塊發(fā)送服務(wù)端安全處理模塊側(cè)的最新木馬白名單庫;第二獲取單元,用于獲取所述服務(wù)端安全處理模塊側(cè)的最新木馬白名單庫及其版本信息。
10、 根據(jù)權(quán)利要求5至9任意一項所述的系統(tǒng),其特征在于,所述客戶 端安全處理模塊與所述獲取的最新木馬白名單庫設(shè)置于所述內(nèi)網(wǎng)主機上;所 述服務(wù)端安全處理模塊與所述服務(wù)端安全處理模塊側(cè)的最新木馬白名單庫設(shè) 置于所述出口網(wǎng)關(guān)上。
11、 根據(jù)權(quán)利要求IO所述的系統(tǒng),其特征在于,所述出口網(wǎng)關(guān)為路由器 或交換才幾。
12、 一種通信設(shè)備,其特征在于,包括如權(quán)利要求5至9任意一項所述 的客戶端安全處理模塊與所述獲取的最新木馬白名單庫。
13、 一種通信設(shè)備,其特征在于,包括如權(quán)利要求5至9任意一項所述 的服務(wù)端安全處理模塊與所述服務(wù)端安全處理模塊側(cè)的最新木馬白名單庫。
全文摘要
本發(fā)明實施例公開了信息安全處理方法與信息安全處理系統(tǒng)、通信設(shè)備,其中,信息安全處理方法包括服務(wù)端安全處理模塊判斷用于對內(nèi)網(wǎng)主機進行安全管理的客戶端安全處理模塊是否處于在線狀態(tài);若客戶端安全處理模塊處于離線狀態(tài),則服務(wù)端安全處理模塊禁止內(nèi)網(wǎng)主機與外網(wǎng)通信;若客戶端安全處理模塊處于在線狀態(tài),客戶端安全處理模塊根據(jù)預(yù)先獲取的最新木馬白名單庫,禁止不存在于最新木馬白名單庫的不安全軟件與外網(wǎng)建立通信連接,木馬白名單庫包含了未被木馬感染的文件列表。本發(fā)明實施例不需要增加網(wǎng)絡(luò)設(shè)備接入成本,并且不會降低報文轉(zhuǎn)發(fā)性能與網(wǎng)絡(luò)性能,管理成本低,可以對木馬進行實時安全防護,有效保障內(nèi)網(wǎng)主機的安全性。
文檔編號G06F17/30GK101299760SQ200810113249
公開日2008年11月5日 申請日期2008年5月28日 優(yōu)先權(quán)日2008年5月28日
發(fā)明者翀 沈 申請人:北京星網(wǎng)銳捷網(wǎng)絡(luò)技術(shù)有限公司