CN105592021A - 一种新型内网安全防护方法 - Google Patents
一种新型内网安全防护方法 Download PDFInfo
- Publication number
- CN105592021A CN105592021A CN201410631844.6A CN201410631844A CN105592021A CN 105592021 A CN105592021 A CN 105592021A CN 201410631844 A CN201410631844 A CN 201410631844A CN 105592021 A CN105592021 A CN 105592021A
- Authority
- CN
- China
- Prior art keywords
- server
- defence
- shield
- control centre
- website
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种新型内网安全防护方法,用于对多个局域网计算机设备进行入侵防御,所述新型内网安全防护方法包括以下步骤:首先设置一个控制中心服务器,并在控制中心服务器和局域网计算机设备上分别安装软件并对应定义为控制中心和防御盾;在控制中心制定防御规则并将该防御规则的对应数据加密后传输给防御盾;防御盾接收该防御规则的对应数据并解密后,根据该防御规则实时记录相应局域网计算机设备的行为操作,把该防御规则不允许的非法行为阻止掉,并将该非法行为的对应数据加密后传输到控制中心;控制中心收到该非法行为的对应数据并解密后,立即向管理员发出告警信息。本发明通过引入行为检测和加密数据传输,真正实现了内网安全防护。
Description
技术领域
本发明涉及内网安全防护领域,尤其涉及一种企业级的新型内网安全防护方法。
背景技术
在网络安全问题日益严重的今天,企业级的网络被攻击是频繁发生的事情,导致企业的敏感信息,重要资料泄露,甚至正常业务陷入瘫痪状态,而现在的防御软件比如杀毒软件不能解决当攻击者用合法软件进行攻击的情况;而且,现有的防火墙主要是防御外网,当攻击者是企业内部的情况下防御外网的防火墙就形同虚设。所以,如何真正实现内网安全防护是网络尤其是企业级网络需要迫切解决的问题。
下面以一个黑客对代号为A公司的企业内网的攻击实例来说明现有的杀毒软件难以实现防护的过程:
1、黑客发送带有木马的Email给A公司的一个员工小马;
2、A公司员工小马在公司的机器上查看了带有木马的Email,然后A公司小马的机器就被黑客植入了木马,成了“肉鸡”;
3、黑客利用这台“肉鸡”,进行A公司内网网络的信息刺探,比如端口扫描、本机连接内网机器的记录等;
4、黑客收集A公司的网络结构,比如总共有多少台机器,其他机器是什么操作系统,哪些机器有远程溢出的漏洞,哪些机器开放了什么服务等;
5、黑客根据信息收集的结果,去尝试入侵其他的机器,获取其他机器的权限;
6、黑客达到入侵的目的。
上述过程中,当黑客拿到了A公司小马的机器后,会进行一系列的操作,比如会使用systeminfo获取本机的信息,用queryuser查询本机登陆的用户,用netuser查看用户的信息以及更改合法用户的密码等,这样的命令还有很多,而这些命令就会为入侵内网其他机器提供方便,而同时这些命令又是系统自带的合法工具,所以杀毒软件肯定不会拦截。黑客同时还会用工具把系统管理员密码的hash值获取出来然后暴力破解拿到管理员的密码。拿到管理员密码之后,黑客会通过netuse命令去尝试获取远程机器的权限,达到入侵其他机器的目的。总之入侵的思路很多,但是入侵的基础就是收集足够多的内网信息,而这些内网信息就是通过这些命令来实现的,而这些命令是系统自带的合法工具,所以杀毒软件肯定不会拦截,这就是造成企业内网被入侵的原因。但是,大多数时候,正常的用户是不会去使用这些命令的,这就为克服此问题而实现真正的内网防护提供了可能,本发明所述防护方法正是基于此特点而研发的新技术。
发明内容
本发明的目的就在于为了解决上述问题而提供一种具备行为检测功能的新型内网安全防护方法。
本发明通过以下技术方案来实现上述目的:
一种新型内网安全防护方法,用于对局域网计算机设备进行入侵防御,所述局域网计算机设备包括网站服务器、非网站服务器和个人电脑,所述新型内网安全防护方法包括以下步骤:
(1)首先设置一个控制中心服务器,并在控制中心服务器、网站服务器、非网站服务器和个人电脑上分别安装软件并对应定义为控制中心、网站盾、服务器盾和PC盾;
(2)在控制中心制定防御规则并将该防御规则的对应数据加密后传输给网站盾、服务器盾和PC盾;
(3)网站盾、服务器盾和PC盾接收该防御规则的对应数据并解密后,根据该防御规则实时记录相应网站服务器、非网站服务器和个人电脑的行为操作,把该防御规则不允许的非法行为阻止掉,并将该非法行为的对应数据加密后传输到控制中心;
(4)控制中心收到该非法行为的对应数据并解密后,立即向管理员发出告警信息。
具体地,所述步骤(2)中,防御规则包括不允许以下操作:新建管理员账户、抓取系统管理员的密码HASH、尝试关闭本机、使用netuse命令去远程连接其他主机、获取本机以及远程主机的进程、查询当前登陆的账户、获取本机的信息。
作为优选,所述步骤(2)和步骤(3)中的加密方法为:
①先从控制中心获取临时生成的用于加密的验证码;
②用该验证码对待发送数据包中的数据段进行加密;
③更新数据包中的checksum字段,完成加密;
所述步骤(2)和步骤(3)中的解密方法为:
①先从控制中心获取临时生成的用于解密的验证码;
②用该验证码对接收的数据包进行解密;
③更新数据包中的checksum字段,完成解密。
对待发送数据包中的数据段进行加密和对接收的数据包进行解密均采用RC4算法。
下面对上述方法中的英文名词释义如下:
密码HASH:操作系统用户密码,该密码采用HASH算法(即安全的单向散列函数)进行加密,系统启动之后,密码HASH存在于内存的某个区域中。
NETUSE:微软提供的一套用于管理网络资源的命令,使用它可以建立两台电脑之间的链接、访问共享资源,假如有弱口令或者空口令的账户,该命令甚至可以直接访问整个硬盘中的文件。
checksum字段:TCP、UDP协议数据包中的一个校验和标志,由于在网络传输的过程中,可能造成数据包的损坏,这个校验和是通过整个包的数据计算出来的,当收到数据之后,使用相同算法计算出校验和,与收到数据包中的校验和匹配。如果不相同,则说明数据已经损坏,即可要求发送端重发或者后续处理。
RC4:是由RSA算法开发者开发的一个数据流加密/解密算法,主要用于电信业务、快速加密等领域。
本发明的有益效果在于:
本发明通过设置控制中心,由安全防护更加专业的管理员制定防御规则对所有内网计算机设备即网站服务器、非网站服务器和个人电脑的操作行为进行检测,从而对入侵操作进行识别和阻止,并及时通知管理员,以有针对性地清除对应计算机设备上的入侵病毒程序,彻底消除安全隐患,尽管黑客使用合法的软件绕过了杀毒软件,通过本防护方法也能判断出非法行为并阻止,不但显著提高了安全性,而且减少了不懂安全的普通员工乱设置防御规则带来的危害;本发明对控制中心发出和接收的数据均采用临时生成验证码的方式实现相应的加密和解密,杜绝了现有常规加密和解密容易被破解的问题,进一步提高了本防护方法的可靠性。
附图说明
图1是本发明所述新型内网安全防护方法所用软件之间的控制关系示意图。
具体实施方式
下面结合附图对本发明作进一步说明:
结合图1,本发明所述新型内网安全防护方法用于对局域网计算机设备进行入侵防御,所述局域网计算机设备包括网站服务器、非网站服务器和个人电脑,所述新型内网安全防护方法包括以下步骤:
(1)首先设置一个控制中心服务器,并在控制中心服务器、网站服务器、非网站服务器和个人电脑上分别安装软件并对应定义为控制中心、网站盾、服务器盾和PC盾;
(2)在控制中心制定防御规则并将该防御规则的对应数据加密后传输给网站盾、服务器盾和PC盾,所述防御规则包括不允许以下操作:新建管理员账户、抓取系统管理员的密码HASH、尝试关闭本机、使用netuse命令去远程连接其他主机、获取本机以及远程主机的进程、查询当前登陆的账户、获取本机的信息;
(3)网站盾、服务器盾和PC盾接收该防御规则的对应数据并解密后,根据该防御规则实时记录相应网站服务器、非网站服务器和个人电脑的行为操作,把该防御规则不允许的非法行为阻止掉,并将该非法行为的对应数据加密后传输到控制中心;
(4)控制中心收到该非法行为的对应数据并解密后,立即向管理员发出告警信息。
上述步骤(2)和步骤(3)中的加密方法为:
①先从控制中心获取临时生成的用于加密的验证码;
②用该验证码对待发送数据包中的数据段采用RC4算法进行加密;
③更新数据包中的checksum字段,完成加密;
所述步骤(2)和步骤(3)中的解密方法为:
①先从控制中心获取临时生成的用于解密的验证码;
②用该验证码对接收的数据包采用RC4算法进行解密;
③更新数据包中的checksum字段,完成解密。
下面举例对上述加密和解密过程进行具体说明:
假设Server作为数据接收端,Client作为数据发送端,需要在Server的21端口进行通信时,Client会首先向控制中心请求访问Server的21端口。当控制中心同意Client的访问之后,会给Client派发一个验证码即加密密钥(与Server加密解密的密钥成套)。接着Client会将准备发送到Server的21端口上的数据全部使用这个加密密钥进行RC4算法加密后发送。
当Client的链接请求被控制中心同意之后,控制中心会将解密用的验证码即解密密钥推送给Server。当Server从21端口接收到来自Client的数据包之后,使用该解密密钥对数据包中的数据段进行RC4解密,还原成功之后交给操作系统处理。如果解密失败,则丢弃这个数据包并记录数据包的源IP地址等信息,以便作为行为处理的依据。
当有外部电脑或者未经控制中心授权的访问时,由于没有加密解密的密钥,它发送到服务器端的数据不能被服务器识别,所以连接就会失败。
目前市面上的加解密软件产品多采用固定的加密算法,每一个数据包采用同一种模式进行加密解密,这种方式只要花时间就能被猜解。而使用本发明所述防护方法中临时生成的验证码,由于控制中心的介入,每一次的链接,都会生成一个加密解密的临时密钥,从而保证了不同周期、不同电脑、不同账户加密的密匙都不相同,提高了对密文破译的难度。
上述实施例只是本发明的较佳实施例,并不是对本发明技术方案的限制,只要是不经过创造性劳动即可在上述实施例的基础上实现的技术方案,均应视为落入本发明专利的权利保护范围内。
Claims (4)
1.一种新型内网安全防护方法,用于对局域网计算机设备进行入侵防御,所述局域网计算机设备包括网站服务器、非网站服务器和个人电脑,其特征在于:所述新型内网安全防护方法包括以下步骤:
首先设置一个控制中心服务器,并在控制中心服务器、网站服务器、非网站服务器和个人电脑上分别安装软件并对应定义为控制中心、网站盾、服务器盾和PC盾;
在控制中心制定防御规则并将该防御规则的对应数据加密后传输给网站盾、服务器盾和PC盾;
网站盾、服务器盾和PC盾接收该防御规则的对应数据并解密后,根据该防御规则实时记录相应网站服务器、非网站服务器和个人电脑的行为操作,把该防御规则不允许的非法行为阻止掉,并将该非法行为的对应数据加密后传输到控制中心;
控制中心收到该非法行为的对应数据并解密后,立即向管理员发出告警信息。
2.根据权利要求1所述的新型内网安全防护方法,其特征在于:所述步骤(2)中,防御规则包括不允许以下操作:新建管理员账户、抓取系统管理员的密码HASH、尝试关闭本机、使用netuse命令去远程连接其他主机、获取本机以及远程主机的进程、查询当前登陆的账户、获取本机的信息。
3.根据权利要求1所述的新型内网安全防护方法,其特征在于:所述步骤(2)和步骤(3)中的加密方法为:
先从控制中心获取临时生成的用于加密的验证码;
用该验证码对待发送数据包中的数据段进行加密;
更新数据包中的checksum字段,完成加密;
所述步骤(2)和步骤(3)中的解密方法为:
①先从控制中心获取临时生成的用于解密的验证码;
②用该验证码对接收的数据包进行解密;
更新数据包中的checksum字段,完成解密。
4.根据权利要求3所述的新型内网安全防护方法,其特征在于:对待发送数据包中的数据段进行加密和对接收的数据包进行解密均采用RC4算法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410631844.6A CN105592021A (zh) | 2014-11-12 | 2014-11-12 | 一种新型内网安全防护方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410631844.6A CN105592021A (zh) | 2014-11-12 | 2014-11-12 | 一种新型内网安全防护方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105592021A true CN105592021A (zh) | 2016-05-18 |
Family
ID=55931239
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410631844.6A Pending CN105592021A (zh) | 2014-11-12 | 2014-11-12 | 一种新型内网安全防护方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105592021A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106789982A (zh) * | 2016-12-08 | 2017-05-31 | 北京立思辰新技术有限公司 | 一种应用于工业控制系统中的安全防护方法和系统 |
| CN110278112A (zh) * | 2019-06-06 | 2019-09-24 | 江西理工大学 | 一种计算机接入局域网后接受管理的控制方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1441365A (zh) * | 2002-02-28 | 2003-09-10 | 北京中电网安科技有限公司 | 大中型内部网络安全防护系统及方法 |
| CN1564530A (zh) * | 2004-04-15 | 2005-01-12 | 沈春和 | 网络安全防护的分布式入侵检测与内网监控系统及方法 |
| EP1777916A1 (en) * | 2005-10-19 | 2007-04-25 | Research In Motion Limited | Geographical network initiated wireless device feature control |
| CN102195991A (zh) * | 2011-06-28 | 2011-09-21 | 辽宁国兴科技有限公司 | 一种终端安全管理、认证方法及系统 |
| CN102316122A (zh) * | 2011-10-21 | 2012-01-11 | 北京海西赛虎信息安全技术有限公司 | 基于协同方式的内网安全管理方法 |
-
2014
- 2014-11-12 CN CN201410631844.6A patent/CN105592021A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1441365A (zh) * | 2002-02-28 | 2003-09-10 | 北京中电网安科技有限公司 | 大中型内部网络安全防护系统及方法 |
| CN1564530A (zh) * | 2004-04-15 | 2005-01-12 | 沈春和 | 网络安全防护的分布式入侵检测与内网监控系统及方法 |
| EP1777916A1 (en) * | 2005-10-19 | 2007-04-25 | Research In Motion Limited | Geographical network initiated wireless device feature control |
| CN102195991A (zh) * | 2011-06-28 | 2011-09-21 | 辽宁国兴科技有限公司 | 一种终端安全管理、认证方法及系统 |
| CN102316122A (zh) * | 2011-10-21 | 2012-01-11 | 北京海西赛虎信息安全技术有限公司 | 基于协同方式的内网安全管理方法 |
Non-Patent Citations (1)
| Title |
|---|
| 杨哲: "《无线网络黑客攻防》", 28 February 2014 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106789982A (zh) * | 2016-12-08 | 2017-05-31 | 北京立思辰新技术有限公司 | 一种应用于工业控制系统中的安全防护方法和系统 |
| CN110278112A (zh) * | 2019-06-06 | 2019-09-24 | 江西理工大学 | 一种计算机接入局域网后接受管理的控制方法 |
| CN110278112B (zh) * | 2019-06-06 | 2022-03-29 | 江西理工大学 | 一种计算机接入局域网后接受管理的控制方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Cabaj et al. | Using software-defined networking for ransomware mitigation: the case of cryptowall | |
| JP7045837B2 (ja) | フェデレーテッドキー管理 | |
| KR102055116B1 (ko) | 데이터 보안 서비스 | |
| CN101479984B (zh) | 用于身份管理、验证服务器、数据安全和防止中间人攻击的动态分发密钥系统和方法 | |
| US9852300B2 (en) | Secure audit logging | |
| Kesh et al. | A framework for analyzing e‐commerce security | |
| KR20180120157A (ko) | 데이터세트 추출 기반 패턴 매칭 | |
| Iqbal et al. | Security issues in software defined networking (SDN): risks, challenges and potential solutions | |
| US9160539B1 (en) | Methods and apparatus for secure, stealthy and reliable transmission of alert messages from a security alerting system | |
| Nguyen et al. | Cloud-based secure logger for medical devices | |
| US9961048B2 (en) | System and associated software for providing advanced data protections in a defense-in-depth system by integrating multi-factor authentication with cryptographic offloading | |
| Yoon et al. | Remote security management server for IoT devices | |
| CN104883364B (zh) | 一种判断用户访问服务器异常的方法及装置 | |
| US20170041297A1 (en) | Unified source user checking of tcp data packets for network data leakage prevention | |
| Jin et al. | Snapshotter: Lightweight intrusion detection and prevention system for industrial control systems | |
| Junghanns et al. | Engineering of secure multi-cloud storage | |
| US10812506B2 (en) | Method of enciphered traffic inspection with trapdoors provided | |
| US20200220893A1 (en) | Exercising Security Control Point (SCP) capabilities on live systems based on internal validation processing | |
| CN105592021A (zh) | 一种新型内网安全防护方法 | |
| KR101881279B1 (ko) | 보안 소켓 계층 통신을 이용하는 패킷을 검사하는 방법 | |
| Diwan | An experimental analysis of security vulnerabilities in industrial internet of things services | |
| CN111669746B (zh) | 一种用于物联网信息安全的防护系统 | |
| Gandhi | Active cyber defense certainty: A digital self-defense in the modern age | |
| US11228607B2 (en) | Graceful termination of security-violation client connections in a network protection system (NPS) | |
| US10938913B2 (en) | Hardware turnstile |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20160518 |
|
| RJ01 | Rejection of invention patent application after publication |