CN101299760A - 信息安全处理方法与信息安全处理系统、通信设备 - Google Patents
信息安全处理方法与信息安全处理系统、通信设备 Download PDFInfo
- Publication number
- CN101299760A CN101299760A CNA2008101132498A CN200810113249A CN101299760A CN 101299760 A CN101299760 A CN 101299760A CN A2008101132498 A CNA2008101132498 A CN A2008101132498A CN 200810113249 A CN200810113249 A CN 200810113249A CN 101299760 A CN101299760 A CN 101299760A
- Authority
- CN
- China
- Prior art keywords
- date
- wooden horse
- white list
- service end
- list storehouse
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Small-Scale Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明实施例公开了信息安全处理方法与信息安全处理系统、通信设备,其中,信息安全处理方法包括:服务端安全处理模块判断用于对内网主机进行安全管理的客户端安全处理模块是否处于在线状态;若客户端安全处理模块处于离线状态,则服务端安全处理模块禁止内网主机与外网通信;若客户端安全处理模块处于在线状态,客户端安全处理模块根据预先获取的最新木马白名单库,禁止不存在于最新木马白名单库的不安全软件与外网建立通信连接,木马白名单库包含了未被木马感染的文件列表。本发明实施例不需要增加网络设备接入成本,并且不会降低报文转发性能与网络性能,管理成本低,可以对木马进行实时安全防护,有效保障内网主机的安全性。
Description
技术领域
本发明涉及网络安全技术,尤其是一种信息安全处理方法与信息安全处理系统、通信设备。
背景技术
木马,也称特伊洛木马,它对电脑系统具有强大的控制与破坏能力。例如:攻击者利用木马可以窃取电脑系统中的密码、控制电脑系统操作、对电脑系统中的文件进行操作等。
一般情况下,木马包括客户端与服务器端两个执行程序。其中,客户端执行程序是用于攻击者远程控制向电脑系统植入木马的机器。服务器端执行程序即木马程序。攻击者通过木马攻击电脑系统时,首先需要通过一定方法,将木马的服务器端执行程序植入到被攻击的电脑系统中。例如:攻击者通过木马执行文件,例如:邮件、下载资料等,将木马的服务器端执行程序植入到被攻击的电脑系统中。然后通过一定的方式提示被攻击电脑系统用户打开该木马执行文件。在被攻击电脑系统用户打开该木马执行文件时,木马的服务器端执行程序便开始在后台运行。
由于木马的服务器端执行程序文件非常小,一般约为几K到几十K。因此,将木马的服务器端执行程序捆绑到其它正常文件上,被攻击电脑系统用户很难发现。基于此,一些网站提供的下载软件捆绑了木马的服务器端执行程序文件,在执行这些下载文件时,也同时运行了木马的服务器端执行程序。
此外,也可以通过Script、ActiveX及Asp、Cgi交互脚本的方式将木马的服务器端执行程序植入被攻击的电脑系统。或者,还可以利用操作系统的一些漏洞将木马的服务器端执行程序植入被攻击的电脑系统。
木马的服务器端执行程序被植入攻击主机后,它一般会通过一定的方式,例如:发送电子邮件、UDP数据包或ICMP数据包的方式,将被入侵主机的信息,例如:主机的IP地址、木马植入的端口等,发送给攻击者。攻击者获得这些信息后,通过客户端执行程序,与植入主机的木马的服务器端执行程序里应外合,控制被入侵主机。另外,有一些木马的服务器端执行程序,例如:攻击OICQ密码的GOP木马,可以将被入侵主机上的所有的密码通知给攻击者,这样攻击不用直接连接入被侵主机便可获得被入侵主机用户的一些重要数据。
目前,在入侵检测系统(以下简称:IDS)与入侵防御系统(以下简称:IPS)中,主要通过模式匹配、统计分析(也叫:异常检测)与完整性分析方法,对木马进行入侵检测与防御。
其中,模式匹配方法就是将收集到的信息与已知的网络入侵数据库、系统已有模式数据库进行比较,来发现违背安全策略的行为。通常情况下,一种进攻模式可以用一个过程(如执行一条指令)或一个输出(如获得权限)来表示。因此,模式匹配中,可以通过字符串匹配以寻找一个简单的条目或指令,也可以利用正规的数学表达式来表示安全状态的变化。模式匹配方法的优点是只需收集相关的数据集合,因此可以减少系统负担;它与病毒防火墙采用的方法一样,检测准确率与效率都较高。但是,该方法需要不断的升级网络入侵数据库,才能检测出最新出现的木马病毒,以对付不断出现的黑客攻击方法,其无法检测到从未出现过的木马病毒,无法防御最新的黑客攻击手段。
统计分析方法中,首先统计信息对象,例如:用户、连接、文件、目录、设备等,在正常使用时的一些测量属性信息,例如:访问次数、操作失败次数、延时等信息。然后,将统计到的测量属性的平均值与网络、系统的行为进行比较。当网络、系统的行为偏离该平均值超过预设正常偏差值时,便认为有入侵行为发生。具体地,统计分析可能标识一个不正常行为,例如:一个根据测量属性在晚八点至早六点从不登录的帐户,却在凌晨两点试图登录系统。统计分析方法其优点是可检测到未知的入侵病毒与更为复杂的入侵病毒。但是,其存在误报、漏报率高等缺陷,且不适应用户正常行为的突然改变。
完整性分析方法主要关注电脑系统中的某个文件或对象,包括文件和目录的内容及属性,是否被更改。完整性分析方法利用强有力的加密机制,例如:消息摘要函数(如MD5)加密算法,识别电脑系统中文件与对象极其微小的变化。该方法的优点是,无论通过模式匹配方法与统计分析方法能否发现入侵病毒,完整性分析方法都可以由于攻击导致的文件或对象的任何改变。但是,该方法通常以批处理方式实现,不会实时响应文件或对象的变化,因此,无法及时发现并处理入侵病毒。
在现有技术一的网络设备接入方案中,通过集成了IDS与IPS功能的专用防火墙来进行木马防护。如图1所示,为现有技术对内网主机进行木马防护的一个网络结构示意图。在该网络中,防火墙承担了主要的IDS与IPS功能。内网主机可以安装防毒软件,也可以不安装防毒软件,由防火墙进行防毒。路由器只用于数据转发。由于采用集成了IDS与IPS功能的专用防火墙设备,提高了网络设备接入成本。并且,转发报文都需要通过该采用专用防火墙设备,降低了报文转发性能,从而降低了网络性能。
在现有技术二的网络设备接入方案中,通过在内网主机上安装防毒软件进行防毒来进行木马防护。如图2所示,为现有技术对内网主机进行木马防护的另一个网络结构示意图。在该网络中,路由器只用于数据转发。由于各内网主机都需要安装防毒软件,并且网络管理员需要管理各内网主机上安装的防毒软件,极为不便,且需要投入大量的人力、物力资源,成本较高。另外,通过内网主机上的防毒软件进行木马防护时,由于用户的使用习惯,可能会关闭内网主机上的防毒软件或者设置该防毒软件不自动启动,从而无法实时对木马进行安全防护,无法有效保障内网主机的安全性。
发明内容
本发明的目的是:提供一种信息安全处理方法与信息安全处理系统、通信设备,在不影响网络性能的情况下,对内网主机进行安全保护,有效防止病毒入侵内网主机。
为实现上述发明目的,本发明提供的一种信息安全处理方法,包括:
服务端安全处理模块判断用于对内网主机进行安全管理的客户端安全处理模块是否处于在线状态;
若所述客户端安全处理模块处于离线状态,则所述服务端安全处理模块禁止所述内网主机与外网通信;
若所述客户端安全处理模块处于在线状态,所述客户端安全处理模块根据预先获取的最新木马白名单库,禁止不存在于所述最新木马白名单库的不安全软件与外网建立通信连接,所述木马白名单库包含了未被木马感染的文件列表。
本发明提供的一种信息安全处理系统,包括服务端安全处理模块、客户端安全处理模块与配置在所述服务端安全处理模块侧的最新木马白名单库;
所述服务端安全处理模块用于判断所述客户端安全处理模块是否处于在线状态,在所述客户端安全处理模块处于离线状态时,禁止该客户端安全处理模块安全管理的内网主机与外网通信;
所述客户端安全处理模块用于获取所述最新木马白名单库,并根据获取的最新木马白名单库,禁止所述内网主机上不存在于所述最新木马白名单库的不安全软件与外网建立通信连接;
所述木马白名单库文件包含未被木马感染的文件列表。
本发明提供的一种通信设备,包括上述客户端安全处理模块与所述获取的最新木马白名单库。
本发明提供的另一种通信设备,包括上述服务端安全处理模块与所述服务端安全处理模块侧的最新木马白名单库。
本发明提供的信息安全处理方法与信息安全处理系统中,通过客户端安全处理模块与服务端安全处理模块对内网主机进行安全保护,在客户端安全处理模块处于离线状态时,服务端安全处理模块禁止内网主机与外网通信,在客户端安全处理模块处于在线状态时,可以禁止不存在于最新木马白名单库的不安全软件与外网建立通信连接,从而有效防止内网主机被木马攻击,与现有技术一相比,由于不需要专用防火墙来防护木马,因此,不需要增加网络设备接入成本,并且不会降低报文转发性能与网络性能;与现有技术二相比,由于不需要在各内网主机安装防毒软件并进行维护,降低了管理成本;并且,在客户端安全处理模块处于离线状态时,内网主机无法与外网通信,从而可以对木马进行实时安全防护,有效保障内网主机的安全性。
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
附图说明
图1为现有技术对内网主机进行木马防护的一个网络结构示意图。
图2为现有技术对内网主机进行木马防护的另一个网络结构示意图。
图3为本发明信息安全处理方法一个实施例的流程图。
图4为本发明信息安全处理方法另一个实施例的流程图。
图5为本发明信息安全处理系统一个实施例的结构示意图。
图6为本发明信息安全处理系统另一个实施例的结构示意图。
图7为本发明信息安全处理系统又一个实施例的结构示意图。
具体实施方式
本发明在路由器上安装服务端安全处理模块,也称为:恳请者服务端(supplicant server,以下简称:SUS),在各内网主机上安装客户端安全处理模块,也称为:恳请者客户端(supplicant client,以下简称:SUC),通过SUC与SUS联合对内网主机进行木马防护。
本发明实施例提供的一种信息安全处理方法,包括:
SUS判断用于对内网主机进行安全管理的SUC是否处于在线状态;若SUC处于离线状态,则SUS禁止该内网主机与外网通信;若SUC在线状态,该SUC根据预先获取的最新木马白名单库(backdoor library,以下简称:BL),禁止不存在于该最新BL的不安全软件与外网建立通信连接,BL包含了未被木马感染的文件列表。其中,BL包含了未被木马感染的文件列表,该文件列表包括文件名、文件大小与MD5校验和。
作为本发明的一个实施例,SUS可以设置在出口网关上,例如:设置在路由器、交换机上。SUC与获取的最新BL可以设置在内网主机上。以下以SUS设置在路由器上、SUC与获取的最新BL设置在内网主机上为例进行说明,对于SUS、SUC与最新BL独立设置或设置在其它任意通信设备上的情况同样适用。
如图3所示,为本发明信息安全处理方法一个实施例的流程图,其包括以下步骤:
步骤101,设置于路由器上的SUS判断设置于内网主机上的SUC是否处于在线状态,若处于在线状态,执行步骤103;若处于离线状态,执行步骤102。
步骤102,SUS禁止内网主机与外网通信。具体地,SUS可以不对发送内网主机的数据或内网主机发出的数据进行转发。
步骤103,SUC根据从路由器获取最新BL,禁止不存在于最新BL的不安全软件与外网建立通信连接。其中,BL包含了未被木马感染的文件列表。
BL中的文件列表包括文件名,还包括文件大小与MD5校验和。相应的,步骤103中的不安全软件是指:与BL中文件列表中文件名相同,但相应的文件大小和/或MD5校验和不同的软件。
在SUC处于离线状态时,SUS禁止内网主机与外网通信,在SUC处于在线状态时,SUC可以禁止不存在于从路由器下载的最新BL的不安全软件与外网建立通信连接,从而有效防止内网主机被木马攻击,不需要采用专用的防火墙设备,无需增加网络设备接入成本,不会降低报文转发性能与网络性能;不需要在各内网主机安装防毒软件并进行维护,降低了管理成本;可以对木马进行实时安全防护,有效保障内网主机的安全性。
预先在SUS侧,即:路由器上,配置最新BL,该BL包含了未被木马感染的文件列表,该文件列表包括文件名、文件大小与MD5校验和。在内网主机上安装SUC,并配置路由器的IP地址,使SUC能够默认从路由器下载BL,并与路由器上的SUS联动。内网主机启动时,设置在内网主机上的SUC作为系统服务软件自动启动。SUC首次启动时,与SUS进行信息交互,从路由器获取最新BL并配置到内网主机上。SUC每次启动时,都可以查询内网主机上的最新BL与路由器上的最新BL的版本是否相同,若不同,则利用路由器上的最新BL更新内网主机上的最新BL。之后,SUC便可以与SUS联动,对木马病毒进行防御。如图4所示,为本发明信息安全处理方法另一个实施例的流程图,其包括以下步骤:
步骤201,内网主机启动时,设置在内网主机上的SUC作为系统服务软件自动启动,即:SUC上线。
步骤202,SUC采用UDP协议向SUS发送上线通知消息。
步骤203,SUS采用UDP协议向SUC返回路由器上的最新BL的版本信息。
步骤204,SUC根据SUS发送的版本信息与内网主机上的版本信息,比较内网主机上的最新BL与路由器上的最新BL的版本是否相同,若相同,执行步骤208;否则,执行步骤205。
步骤205,SUC采用TCP协议向SUS发送下载请求,请求下载路由器上的最新BL。
步骤206,SUS采用TCP协议将路由器上的最新BL发送给SUC。
步骤207,SUC利用SUS发送的最新BL更新内网主机上的最新BL,并根据更新后的最新BL对内网主机上运行的软件,包括:各种网络应用,进行监控,允许存在于BL的安全软件(也叫白软件),即:与BL中文件名、文件大小及文件的MD5校验和都相同的软件,与外部网络建立通信连接,禁止不存在于BL的不安全软件(也叫黑软件)与外部网络建立通信连接。例如:对黑软件发送的用于创建IP网络连接的IP报文进行拦截。
BL中包含未被木马感染的文件列表,其包括文件名、文件大小与MD5校验和,文件被木马感染后,其文件大小或MD5校验和会发生变化,因此,通过比较发起网络连接的软件与BL中文件名、文件大小与MD5校验和是否相同,可以识别该发起网络连接的软件是否感染木马病毒。
为了对BL中的内容进行保密,避免对BL进行未授权的文件列表内容进行添加或修改,可以在生成BL时采用加密算法,例如:RC4加密算法,对BL中的文件列表内容进行加密,而由SUC或SUS控制密钥,在使用过程中不允许用户直接编辑BL中的文件列表内容。
步骤208,SUC直接根据内网主机上的最新BL对内网主机上运行的软件进行监控。
在图4所示的流程中的任意时刻,SUS可以判断内网主机上的SUC是否处于在线状态,若处于在线状态,则SUS允许该内网主机与外网通信,由该内网主机上的SUC对相应的网络应用进行监控。反之,若SUS检测到SUC离线,则禁止该内网主机与外网通信。具体地,可以通过路由器上的功能配置开关开控制该内网主机与外网之间的数据转发。
SUS具体可以通过以下方法判断内网主机上的SUC是否处于在线状态:SUC启动后,可以根据预先设定,定时或实时向SUS发送保活(keep alive)报文;SUS若在预定时间接收到保活报文,说明SUC在线,反之说明SUC离线。
本发明实施例提供的一种信息安全处理系统包括SUS11、预先配置在SUS 11侧的最新BL12与SUC21。其中,SUS 11用于判断SUC21是否处于在线状态,在SUC21处于离线状态时,禁止该SUC21安全管理的内网主机与外网通信。SUC21用于从SUS11获取最新BL12,由于SUS11侧的最新BL12可以更新,因此,将SUC21获取的最新BL记为BL22。SUC21根据获取的最新BL21,禁止内网主机上不存在于最新BL21的不安全软件与外网建立通信连接。BL12与BL22包含未被木马感染的文件列表,其可以包括文件名,还可以包括文件大小与MD5校验和。不安全软件具体为:与BL文件列表中文件名相同,但文件大小和/或MD5校验和不同的软件以及BL文件列表中没有的文件。
作为本发明的一个实施例,SUS11及该SUS11侧的最新BL12可以设置在出口网关上,例如:设置在路由器、交换机上。SUC21与获取的最新BL22可以设置在内网主机上。以下以SUS11与最新BL12设置在路由器上、SUC21与最新BL22设置在内网主机上为例进行说明,对于SUS11、最新BL12、SUC21与最新BL22独立设置或设置在其它任意通信设备上的情况同样适用。
如图5所示,为本发明信息安全处理系统一个实施例的结构示意图。该实施例的信息安全处理系统可以实现如图3所示实施例的流程,其包括SUS11、预先配置在SUS11侧的最新BL12、SUC21与从SUS11侧获取的最新BL22。其中,SUS11、预先配置在SUS11侧的最新BL12设置在路由器1上,SUC21与从SUS11侧获取的最新BL22设置在内网主机2上。
其中,SUS11用于判断SUC21是否处于在线状态,在SUC21处于离线状态时,禁止内网主机2与外网通信。SUC21用于根据内网主机2上的最新BL21,禁止不存在于最新BL21的不安全软件与外网建立通信连接。BL12与BL22包含未被木马感染的文件列表,其可以包括文件名,还可以包括文件大小与MD5校验和。不安全软件具体为:与BL文件列表中文件名相同,但文件大小和/或MD5校验和不同的软件。
在SUC处于离线状态时,SUS禁止内网主机与外网通信,在SUC处于在线状态时,SUC可以禁止不存在于从路由器下载的最新BL的不安全软件与外网建立通信连接,从而有效防止内网主机被木马攻击,不需要采用专用的防火墙设备,无需增加网络设备接入成本,不会降低报文转发性能与网络性能;不需要在各内网主机安装防毒软件并进行维护,降低了管理成本;可以对木马进行实时安全防护,有效保障内网主机的安全性。
如图6所示,为本发明信息安全处理系统另一个实施例的结构示意图。与图5所示的实施例相比,该实施例中,SUC21包括查询模块211与通信处理模块212。其中,查询模块211用于查询内网主机上的应用软件是否存在于最新BL22。通信处理模块212用于根据查询模块211的查询结果,在应用软件为不存在于最新BL22的不安全软件时,禁止该不安全软件与外网建立通信连接。
再参见图6,SUC21还可以包括第一发送模块213,用于定时或实时向SUS11发送保活报文。SUS11可以包括接收模块111、判断模块112与禁止模块113。其中,接收模块111用于接收第一发送模块213发送的保活报文;判断模块112用于根据接收模块111是否接收到保活报文,判断SUC21是否在线;禁止模块113用于根据判断模块112的判断结果,在SUC21处于离线状态时,禁止内网主机2与外网通信。
进一步地,SUC21还可以包括比较模块214与更新模块215。其中,比较模块214用于比较更新模块215配置到内网主机上2的最新BL22与路由器上1的最新BL12的版本是否相同;更新模块215用于与SUS11进行信息交互,从路由器1获取最新BL12并配置到内网主机2上,以及根据比较模块214的比较结果,在内网主机2上的最新BL22与路由器上1的最新BL12的版本不同时,利用路由器1上的最新BL11更新内网主机2上的最新BL22;相应的,查询模块211根据比较模块214的比较结果,在内网主机2上的最新BL22与路由器1上的最新BL12的版本相同时,查询内网主机2上的应用软件是否存在于最新BL22。SUS11还可以包括第二发送模块114,用于向更新模块215发送路由器1上的最新BL12,以及向比较模块214发送路由器1上的最新BL12的版本信息。
如图7所示,为本发明信息安全处理系统又一个实施例的结构示意图。与图6所示的实施例相比,该实施例中,比较模块214具体包括第一收发单元、第一获取单元与比较单元。更新模块具体包括请求单元与更新单元。第二发送模块具体包括第二收发单元与第二获取单元。
其中,第一收发单元,用于在SUC21上线时,采用UDP协议向SUS11发送上线通知消息,并接收SUS11采用UDP协议返回的路由器1上的最新BL12的版本信息;第一获取单元,用于获取内网主机2上的最新BL22的版本信息;比较单元,用于根据获取单元获取到的内网主机2上的最新BL22的版本信息,与SUS11返回的路由器1上的最新BL12的版本信息,比较配置到内网主机2上的最新BL22与路由器1上的最新BL11的版本是否相同。请求单元,用于根据比较单元的比较结果,在内网主机2上的最新BL22与路由器2上的最新BL12的版本不同时,采用TCP协议向SUS11发送下载请求,请求下载路由器1上的最新BL12,并接收SUS11采用TCP协议返回的路由器1上的最新BL12;更新单元,用于利用请求单元接收到的、由SUS11返回的最新BL12更新内网主机2上的最新BL22;相应的,查询模块根据比较单元的比较结果,在内网主机2上的最新BL11与路由器1上的最新BL12的版本相同时,查询内网主机2上的应用软件是否存在于最新BL22;在内网主机2上的最新BL22与路由器1上的最新BL12的版本不同时,查询内网主机2上的应用软件是否存在于更新单元更新后的最新BL22。第二收发单元,用于接收第一收发单元发送的SUC21的上线通知消息,并采用UDP协议向比较模块返回路由器1上的最新BL12的版本信息,以及接收请求单元采用TCP协议发送的下载请求,并采用TCP协议向获取模块发送路由器1上的最新BL12;第二获取单元,用于获取路由器1上的最新BL12及其版本信息。
上述图6与图7所示实施例的信息安全处理系统可以实现如图4所示实施例的流程。
本发明实施例还提供了一种通信设备,其包括如图5至图7任一实施例的SUS11与最新BL12。
本发明实施例还提供了另一种通信设备,其包括如图5至图7任一实施例的SUC21与最新BL22。
本发明实施例提供的信息安全处理方法与信息安全处理系统可以在SUC处于离线状态时,由SUS禁止内网主机与外网通信,在SUC处于在线状态时,SUC可以禁止不存在于从路由器下载的最新BL的不安全软件与外网建立通信连接,从而有效防止内网主机被木马攻击,不需要采用专用的防火墙设备,无需增加网络设备接入成本,不会降低报文转发性能与网络性能;不需要在各内网主机安装防毒软件并进行维护,降低了管理成本;可以对木马进行实时安全防护,有效保障内网主机的安全性。
最后所应说明的是:以上实施例仅用以说明本发明的技术方案,而非对本发明作限制性理解。尽管参照上述较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解:其依然可以对本发明的技术方案进行修改或者等同替换,而这种修改或者等同替换并不脱离本发明技术方案的精神和范围。
Claims (13)
1、一种信息安全处理方法,其特征在于,包括:
服务端安全处理模块判断用于对内网主机进行安全管理的客户端安全处理模块是否处于在线状态;
若所述客户端安全处理模块处于离线状态,则所述服务端安全处理模块禁止所述内网主机与外网通信;
若所述客户端安全处理模块处于在线状态,所述客户端安全处理模块根据预先获取的最新木马白名单库,禁止不存在于所述最新木马白名单库的不安全软件与外网建立通信连接,所述木马白名单库包含了未被木马感染的文件列表。
2、根据权利要求1所述的方法,其特征在于,所述文件列表包括文件名,还包括文件大小与MD5校验和;所述不安全软件具体为:与所述文件列表中文件名相同,但文件大小和/或MD5校验和不同的软件。
3、根据权利要求1所述的方法,其特征在于,还包括:
在所述服务端安全处理模块侧配置最新木马白名单库,所述木马白名单库包含了未被木马感染的文件列表;
所述客户端安全处理模块与所述服务端安全处理模块进行信息交互,获取所述最新木马白名单库,并在获取的最新木马白名单库与所述服务端安全处理模块侧的最新木马白名单库的版本不同时,利用所述服务端安全处理模块侧的最新木马白名单库更新获取的最新木马白名单库。
4、根据权利要求3所述的方法,其特征在于,所述获取的最新木马白名单库与所述服务端安全处理模块侧的最新木马白名单库的版本不同时,利用所述服务端安全处理模块侧的最新木马白名单库更新获取的最新木马白名单库包括:
所述客户端安全处理模块上线时,采用UDP协议向所述服务端安全处理模块发送上线通知消息;
所述服务端安全处理模块采用UDP协议向所述客户端安全处理模块返回所述服务端安全处理模块侧的最新木马白名单库的版本信息;
所述客户端安全处理模块根据所述服务端安全处理模块发送的版本信息与所述内网主机上的版本信息,比较获取的最新木马白名单库与所述服务端安全处理模块侧的最新木马白名单库的版本是否相同;
若不相同,则所述客户端安全处理模块采用TCP协议向所述服务端安全处理模块发送下载请求,请求下载所述服务端安全处理模块侧的最新木马白名单库;所述服务端安全处理模块采用TCP协议将所述服务端安全处理模块侧的最新木马白名单库发送给所述客户端安全处理模块;所述客户端安全处理模块利用接收到的最新木马白名单库更新所述获取的最新木马白名单库,并根据更新后的最新木马白名单库对所述内网主机上运行的软件进行监控;
若相同,则客户端安全处理模块直接根据所述获取的最新木马白名单库对所述内网主机上运行的软件进行监控。
5、一种信息安全处理系统,其特征在于,包括服务端安全处理模块、客户端安全处理模块与配置在所述服务端安全处理模块侧的最新木马白名单库;
所述服务端安全处理模块用于判断所述客户端安全处理模块是否处于在线状态,在所述客户端安全处理模块处于离线状态时,禁止该客户端安全处理模块安全管理的内网主机与外网通信;
所述客户端安全处理模块用于获取所述最新木马白名单库,并根据获取的最新木马白名单库,禁止所述内网主机上不存在于所述最新木马白名单库的不安全软件与外网建立通信连接;
所述木马白名单库文件包含未被木马感染的文件列表。
6、根据权利要求5所述的系统,其特征在于,所述客户端安全处理模块包括:
查询模块,用于查询所述内网主机上的应用软件是否存在于获取的最新木马白名单库;
通信处理模块,用于根据所述查询模块的查询结果,在应用软件为不存在于获取的最新木马白名单库的不安全软件时,禁止该不安全软件与外网建立通信连接。
7、根据权利要求6所述的系统,其特征在于,所述客户端安全处理模块还包括:
第一发送模块,用于定时或实时向所述服务端安全处理模块发送保活报文;
所述服务端安全处理模块包括:
接收模块,用于接收所述第一发送模块发送的保活报文;
判断模块,用于根据所述接收模块是否接收到保活报文,判断所述客户端安全处理模块是否在线;
禁止模块,用于根据所述判断模块的判断结果,在所述客户端安全处理模块处于离线状态时,禁止所述内网主机与外网通信。
8、根据权利要求7所述的系统,其特征在于,所述客户端安全处理模块还包括:
比较模块,用于比较获取的最新木马白名单库与所述服务端安全处理模块侧的最新木马白名单库的版本是否相同;
更新模块,用于根据所述比较模块的比较结果,在获取的最新木马白名单库与所述服务端安全处理模块侧的最新木马白名单库的版本不同时,利用服务端安全处理模块侧的最新木马白名单库更新所述获取的最新木马白名单库;
所述查询模块根据所述比较模块的比较结果,在所述获取的最新木马白名单库与所述服务端安全处理模块侧的最新木马白名单库的版本相同时,查询内网主机上的应用软件是否存在于获取的最新木马白名单库;
所述服务端安全处理模块还包括:
第二发送模块,用于向所述更新模块发送所述服务端安全处理模块侧的最新木马白名单库,以及向所述比较模块发送所述服务端安全处理模块侧的最新木马白名单库的版本信息。
9、根据权利要求8所述的系统,其特征在于,所述比较模块包括:
第一收发单元,用于在所述客户端安全处理模块上线时,采用UDP协议向所述服务端安全处理模块发送上线通知消息,并接收所述服务端安全处理模块采用UDP协议返回的所述服务端安全处理模块侧的最新木马白名单库的版本信息;
第一获取单元,用于获取所述获取的最新木马白名单库的版本信息;
比较单元,用于根据所述获取单元获取到的最新木马白名单库的版本信息,与所述服务端安全处理模块返回的最新木马白名单库的版本信息,比较获取的最新木马白名单库与所述服务端安全处理模块侧的最新木马白名单库的版本是否相同;
所述更新模块包括:
请求单元,用于与所述服务端安全处理模块进行信息交互,获取最新木马白名单库,以及根据所述比较单元的比较结果,在获取的最新木马白名单库与所述服务端安全处理模块侧的最新木马白名单库的版本不同时,采用TCP协议向所述服务端安全处理模块发送下载请求,请求下载所述服务端安全处理模块侧的最新木马白名单库,并接收所述服务端安全处理模块采用TCP协议返回的路由器上的最新木马白名单库;
更新单元,用于利用所述请求单元接收到的最新木马白名单库更新所述获取的最新木马白名单库;
所述第二发送模块包括:
第二收发单元,用于接收所述第一收发单元发送的上线通知消息,并采用UDP协议向所述比较模块返回所述服务端安全处理模块侧的最新木马白名单库的版本信息,以及接收所述请求单元采用TCP协议发送的下载请求,并采用TCP协议向所述获取模块发送服务端安全处理模块侧的最新木马白名单库;
第二获取单元,用于获取所述服务端安全处理模块侧的最新木马白名单库及其版本信息。
10、根据权利要求5至9任意一项所述的系统,其特征在于,所述客户端安全处理模块与所述获取的最新木马白名单库设置于所述内网主机上;所述服务端安全处理模块与所述服务端安全处理模块侧的最新木马白名单库设置于所述出口网关上。
11、根据权利要求10所述的系统,其特征在于,所述出口网关为路由器或交换机。
12、一种通信设备,其特征在于,包括如权利要求5至9任意一项所述的客户端安全处理模块与所述获取的最新木马白名单库。
13、一种通信设备,其特征在于,包括如权利要求5至9任意一项所述的服务端安全处理模块与所述服务端安全处理模块侧的最新木马白名单库。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008101132498A CN101299760B (zh) | 2008-05-28 | 2008-05-28 | 信息安全处理方法与信息安全处理系统、通信设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008101132498A CN101299760B (zh) | 2008-05-28 | 2008-05-28 | 信息安全处理方法与信息安全处理系统、通信设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101299760A true CN101299760A (zh) | 2008-11-05 |
| CN101299760B CN101299760B (zh) | 2011-07-20 |
Family
ID=40079439
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008101132498A Active CN101299760B (zh) | 2008-05-28 | 2008-05-28 | 信息安全处理方法与信息安全处理系统、通信设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101299760B (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102325061A (zh) * | 2011-09-16 | 2012-01-18 | 北京星网锐捷网络技术有限公司 | 网络监控方法、设备及系统 |
| CN103023886A (zh) * | 2012-11-26 | 2013-04-03 | 北京奇虎科技有限公司 | 安全数据处理方法及系统 |
| CN103023888A (zh) * | 2012-11-26 | 2013-04-03 | 北京奇虎科技有限公司 | 数据监控方法及系统 |
| CN105323246A (zh) * | 2015-09-30 | 2016-02-10 | 中国南方电网有限责任公司电网技术研究中心 | 密钥管理系统的防篡改方法及系统 |
| CN107729072A (zh) * | 2017-08-25 | 2018-02-23 | 上海壹账通金融科技有限公司 | 控件属性读取方法、装置、终端及可读存储介质 |
| CN110572412A (zh) * | 2019-09-24 | 2019-12-13 | 南京大学 | 云环境下基于入侵检测系统反馈的防火墙及其实现方法 |
| CN110728594A (zh) * | 2018-07-16 | 2020-01-24 | 深圳市鸿合创新信息技术有限责任公司 | 一种白名单下发方法和装置 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1738253A (zh) * | 2005-09-08 | 2006-02-22 | 上海交通大学 | 计算机网络连接实时通断控制系统 |
| CN101093531B (zh) * | 2007-04-30 | 2011-05-11 | 李宏强 | 一种提高计算机软件安全的方法 |
-
2008
- 2008-05-28 CN CN2008101132498A patent/CN101299760B/zh active Active
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102325061A (zh) * | 2011-09-16 | 2012-01-18 | 北京星网锐捷网络技术有限公司 | 网络监控方法、设备及系统 |
| CN102325061B (zh) * | 2011-09-16 | 2014-07-02 | 北京星网锐捷网络技术有限公司 | 网络监控方法、设备及系统 |
| CN103023886A (zh) * | 2012-11-26 | 2013-04-03 | 北京奇虎科技有限公司 | 安全数据处理方法及系统 |
| CN103023888A (zh) * | 2012-11-26 | 2013-04-03 | 北京奇虎科技有限公司 | 数据监控方法及系统 |
| CN103023888B (zh) * | 2012-11-26 | 2015-09-30 | 北京奇虎科技有限公司 | 数据监控方法及系统 |
| CN103023886B (zh) * | 2012-11-26 | 2015-11-25 | 北京奇虎科技有限公司 | 安全数据处理方法及系统 |
| CN105323246A (zh) * | 2015-09-30 | 2016-02-10 | 中国南方电网有限责任公司电网技术研究中心 | 密钥管理系统的防篡改方法及系统 |
| CN105323246B (zh) * | 2015-09-30 | 2019-03-22 | 中国南方电网有限责任公司电网技术研究中心 | 密钥管理系统的防篡改方法及系统 |
| CN107729072A (zh) * | 2017-08-25 | 2018-02-23 | 上海壹账通金融科技有限公司 | 控件属性读取方法、装置、终端及可读存储介质 |
| WO2019037416A1 (zh) * | 2017-08-25 | 2019-02-28 | 深圳壹账通智能科技有限公司 | 控件属性读取方法、装置、终端及可读存储介质 |
| CN110728594A (zh) * | 2018-07-16 | 2020-01-24 | 深圳市鸿合创新信息技术有限责任公司 | 一种白名单下发方法和装置 |
| CN110572412A (zh) * | 2019-09-24 | 2019-12-13 | 南京大学 | 云环境下基于入侵检测系统反馈的防火墙及其实现方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101299760B (zh) | 2011-07-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101299760B (zh) | 信息安全处理方法与信息安全处理系统、通信设备 | |
| CN107888607B (zh) | 一种网络威胁检测方法、装置及网络管理设备 | |
| EP4027604A1 (en) | Security vulnerability defense method and device | |
| US7870612B2 (en) | Antivirus protection system and method for computers | |
| Holm | Signature based intrusion detection for zero-day attacks:(not) a closed chapter? | |
| US20170289191A1 (en) | Infiltration Detection and Network Rerouting | |
| EP1654608B1 (en) | Method and system for detecting unauthorised use of a communication network | |
| EP2850803B1 (en) | Integrity monitoring to detect changes at network device for use in secure network access | |
| US20090144823A1 (en) | Method and System for Mobile Network Security, Related Network and Computer Program Product | |
| CA2940644A1 (en) | System and method for verifying and detecting malware | |
| CN112738071B (zh) | 一种攻击链拓扑的构建方法及装置 | |
| Firoozjaei et al. | An evaluation framework for industrial control system cyber incidents | |
| CN111651754B (zh) | 入侵的检测方法和装置、存储介质、电子装置 | |
| TWI407328B (zh) | 網路病毒防護方法及系統 | |
| CN110099038A (zh) | 检测对计算设备的攻击 | |
| EP3826263B1 (en) | Method for combining a firewall and a forensics agent to detect and prevent malicious software activity | |
| WO2015178933A1 (en) | Advanced persistent threat identification | |
| CN112653655A (zh) | 汽车安全通信控制方法、装置、计算机设备及存储介质 | |
| Abbas et al. | Generic signature development for IoT Botnet families | |
| US20200099715A1 (en) | Method and Mechanism for Detection of Pass-the-Hash Attacks | |
| US20210058414A1 (en) | Security management method and security management apparatus | |
| KR102158784B1 (ko) | 이기종 보안 장비와 연동하는 보안위협 자동 차단 시스템 | |
| KR100495777B1 (ko) | 에이전트를 활용한 클라이언트 통합 관리 시스템 | |
| Colajanni et al. | Selective and early threat detection in large networked systems | |
| KR100860607B1 (ko) | 네트워크 통합보안 스위치장치 및 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| ASS | Succession or assignment of patent right |
Owner name: BEIJING Z-GOOD TECHNOLOGY SERVICE CO., LTD. Free format text: FORMER OWNER: BEIJING XINGWANG RUIJIE NETWORK TECHNOLOGIES CO., LTD. Effective date: 20140624 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| COR | Change of bibliographic data |
Free format text: CORRECT: ADDRESS; FROM: 100036 HAIDIAN, BEIJING TO: 100085 HAIDIAN, BEIJING |
|
| TR01 | Transfer of patent right |
Effective date of registration: 20140624 Address after: 100085 Beijing city Haidian District No. 33 Xiaoying Road 1 1F06 room Patentee after: BEIJING ZHIGU TECHNOLOGY SERVICES CO., LTD. Address before: 100036 Beijing Haidian District City 33 Fuxing Road Cuiwei East 1106 Patentee before: Beijing Xingwang Ruijie Network Technologies Co., Ltd. |
|
| EE01 | Entry into force of recordation of patent licensing contract |
Application publication date: 20081105 Assignee: Beijing Xingwang Ruijie Network Technologies Co., Ltd. Assignor: BEIJING ZHIGU TECHNOLOGY SERVICES CO., LTD. Contract record no.: 2014990000764 Denomination of invention: Information safety processing method and system, communication equipment Granted publication date: 20110720 License type: Common License Record date: 20140923 |
|
| LICC | Enforcement, change and cancellation of record of contracts on the licence for exploitation of a patent or utility model |