CN105610874B - 一种局域网安全管理系统 - Google Patents

Abstract

本发明公开了一种局域网安全管理系统，涉及网络安全技术领域。该系统包括：客户端、监控端和管理端；所述客户端为局域网内的个人终端；所述监控端，用于监控局域网中的安全性，它包括：监控端数据传输模块、外联检测模块、活动性检测模块、文件系统检测模块、信息搜集模块、隔离模块和外设监控模块；所述管理端，用于根据监控端发送过来的监控报告控制局域网中客户端的访问权限和连接状态，它包括：管理端数据传输模块、判断分析模块和控制模块。该系统针对现有局域网安全系统中安全措施不完备，敏感文件算法不准确、外设检测不智能等缺陷，提供了一种改进系统，该系统具有完善的安全保护措施、完备的敏感文件检测方法和智能的外设检测方法。

Description

一种局域网安全管理系统

技术领域

本发明涉及网络安全技术领域，特别涉及一种局域网安全管理系统。

背景技术

提起网络安全，人们自然就会想到病毒破坏和黑客攻击，其实不然。常规安全防御理念往往局限在网关级别、网络边界(防火墙、漏洞扫描、防病毒、IDS)等方面的防御，重要的安全设施大致集中于机房或网络入口处，在这些设备的严密监控下，来自网络外部的安全威胁大大减小。相反，来自网络内部的计算机客户端的安全威胁却是众多安全管理人员所普遍反映的问题。

对于国内的网络管理者而言，现有的网络安全防护手段大多强调对来自外部的主动攻击进行预防，检测以及处理，而授予内部主机更多的信任。但是，统计数字表明，相当多的安全事件是由内网用户有意或无意的操作造成的。为保护内网的安全，一些单位将内网与外网物理隔离，或者将内部通过统一的网关接入外网，并在网关处架设防火墙，IPS，IDS等安全监控设备。尽管如上述所示的各类安全措施都得到了实现，众多管理者们却仍然头疼于泄密事件或其它各类内网安全事件的频繁发生，这就充分说明了内网安全维护的复杂性。。

现有的内网安全管理系统主要存在以下不足之处：

1、安全管理不完备：虽然目前有相应的内网安全管理系统，但这些系统大都没有提供最为完善的管理措施。导致在面对一些特殊情况时，缺乏相应的措施进行应对。且随着互联网技术的发展和进步，老旧的内网管理系统已经无法适应当今的需求。

2、敏感文件匹配算法不准确：现有的敏感文件检测系统大都是基于AC多模式匹配算法制成，该算法虽然效率高，但在处理大型文档时，难免会因为算法不够精确出现很多问题。

3、缺乏外设管理机制：由于内网管理的一个重点是防止泄密，所以对内网中的外设连接设备必须有一套专门的管理措施。而现有的内网管理系统中，大都是简单的对某种外设进行禁止，无法针对某些特殊的外设进行允许连接的设置，故导致易用性极差。

发明内容

鉴于此，本发明提供了一种局域网安全管理系统，该系统具有完备的管理措施、精确的匹配算法和智能处理外设连接等优点。

本发明采用的技术方案如下：

一种局域网安全管理系统，其特征在于，所述系统包括：客户端、监控端和管理端；所述客户端为局域网内的个人终端；所述监控端，用于监控局域网中的安全性，它包括：监控端数据传输模块、外联检测模块、活动性检测模块、文件系统检测模块、和外设监控模块；所述管理端，用于根据监控端发送过来的监控报告控制局域网中客户端的访问权限和连接状，以及对局域网中的某些特定文件进行加密处理，它包括：管理端数据传输模块、判断分析模块和控制模块。

所述监控端数据传输模块，用于接收获取的客户端信息，并将生成的监控报告发送给管理端；它与外联检测模块、活动性检测模块、文件系统检测模块和外设监控模块分别信号连接；

所述外联检测模块，用于检测局域网中是否有客户端非法连接了外网；

所述活动性检测模块，用于检测局域网中客户端主机的活动性，获得局域网的网络拓扑图和客户端主机信息；

所述文件系统检测模块，用于对局域网中的文件进行检测，将检测到包含敏感内容和非法信息的文件信息生成监控报告经监控端数据传输模块发送至管理端；

所述外设监控模块，用于检测局域网中客户端主机与是否非法连接了外联设备。

所述管理端数据传输模块，用于接受来自监控端的监控报告，将监控报告发送至判断分析模块；

所述判断分析模块，用于判断监控报告是否准确，将判断结果发送至控制模块；

所述控制模块，用于根据判断结果，控制客户端主机的访问权限和连接状态，以及对局域网中的某些特定文件进行加密处理；它包括：加密模块和隔离模块，所述加密模块，用于将监控模块发出加密请求的指定文件进行加密处理；所述隔离模块，用于将监控模块发出预警信息的指定主机和文件进行隔离处理。

所述外联检测模块，包括:监控模块和报警模块；采用的检测方法为包括以下步骤：

步骤1：将监控模块设置于内网，监控模块会定时向客户端主机发送数据探测包；

步骤2：如果在局域网中的某台主机非法连接了外网，该探测包会诱导主机将该数据探测包转发至设置于外网中的报警模块；

步骤3：报警模块收到转发过来的数据包，则检测出非法连接外网的主机。

所述活动性检测模块，采用的检测方法为包括以下步骤：

步骤1：活动性检测模块每隔一段时间向客户端主机发送检测数据包，包括：正常数据包和异常数据包；

步骤2：客户端主机接收到异常数据包一般会筛选后进行丢弃，收到正常数据包会发送一个回执。

步骤3：活动检测模块根据客户端主机对检测数据包的反应来判断主机的活动性。

所述文件系统检测模块，采用的检测敏感词的方法包括以下步骤：

步骤1：在检测模块中设置一个数据库，在数据库中录入敏感词汇，作为检测敏感词的匹配数据库；

步骤2：将检测文档视为一个模式树进行处理，针对该模式树设定一个自动机M(Q，N，g，f，D，F)；Q表示了该文档生成的模式树的节点数量，N表示匹配数据库中的敏感词；g表示第一转移函数，当匹配中的根节点和数据库中的敏感词不一致时，不进行转移，如果一致，则进行转移；f表示第二转移函数，当在匹配过程中，节点中的词汇和敏感词不一致时，进行转移；D是统计函数，对文档中的敏感词进行统计；F是预警函数，当统计函数D统计到的敏感词超过一定设定的阈值时，则将该文档视为敏感文档，发送信息至管理端进行文件处理。

所述外设监控模块，采用的监控方法包括以下步骤：

步骤1：在局域网内的客户端主机上安装本地外设监控程序；

步骤2：该外设监控程序会在客户端主机连接了外设设备时，获取该外设的相关信息，并将信息发送至外设监控模块；

步骤3：外设监控模块会对该信息进行分析，将该外设设备信息和监控模块数据库中允许的设备信息进行匹配，如果匹配一致，则该主机能够使用该外设，如果匹配不一致，则该主机不能连接该外设并进行使用。

所述加密模块采用的加密方法包括以下步骤:

步骤1：将对应文件的信息分为两个个部分，分别为：文件属性信息和文件内容；

步骤2：对上述两个部分采用不同的加密算法进行加密；对于文件内容，采用以下加密算法进行加密：

首先，将文件中的每个字符转换为16进制字符串；然后将16进制字符串转换为10进制字符串；

随机取两个不相等的质数P和Q，计算出M＝P*Q；其中M的长度就是密钥的长度；

步骤3：计算M的欧拉函数：

随机选择一个整数E，E需要满足且能被E整除；

计算E对于的模反函数；

最后，将M和ed封装成公钥，将M和E封装成私钥。

步骤4：对于文件属性信息，则采用常规的DES算法进行加密处理。

采用以上技术方案，本发明产生了以下有益效果：

1、完备的安全管理系统：本发明提供的安全管理系统，不仅有常规的活动性检测和文件检测系统，还有针对外设的外设监控系统和针对外网的外联检测系统。提供了一套完备的安全管理措施，避免了在某些特殊情况下安全管理系统失效的情况。

2、准确的文件匹配算法：本发明在传统的AC多模式匹配算法的基础上进行改进，在自动机中加入了统计函数，将统计结果和设定的阈值进行匹配，在超过阈值时才将该文件设为敏感文件，避免了因为AC多模式匹配算法不准确造成的系统误判。

3、外设连接智能处理：本发明针对现有的外设监控系统进行了改进和创新。在外设监控模块中设立白名单外设数据库，可以将某些公司或者企业办公时允许的某些外设设置为可连接使用状态，既达到了防止公司内部信息泄密的目的，也让整个内网更加智能方便。

4、安全性高：对局域网中特定文件进行加密处理，避免了机密文件被盗取后泄密事件的发生，这种算法，在传统算法的基础上进行了改进，且分别对文件属性信息和文件内容信息采用不同的加密算法进行加密。使得破解难度进一步增大，提高了整个系统的安全性。

附图说明

图1是本发明的一种局域网安全管理系统的结构示意图。

具体实施方式

本说明书中公开的所有特征，或公开的所有方法或过程中的步骤，除了互相排斥的特征和/或步骤以外，均可以以任何方式组合。

本说明书(包括任何附加权利要求、摘要)中公开的任一特征，除非特别叙述，均可被其他等效或具有类似目的的替代特征加以替换。即，除非特别叙述，每个特征只是一系列等效或类似特征中的一个例子而已。

本发明实施例1中提供了一种局域网安全管理系统，系统结构如图1所示：

一种局域网安全管理系统，其特征在于，所述系统包括：客户端、监控端和管理端；所述客户端为局域网内的个人终端；所述监控端，用于监控局域网中的安全性，它包括：监控端数据传输模块、外联检测模块、活动性检测模块、文件系统检测模块、信息搜集模块、隔离模块和外设监控模块；所述管理端，用于根据监控端发送过来的监控报告控制局域网中客户端的访问权限和连接状态，它包括：管理端数据传输模块、判断分析模块和控制模块。

所述监控端数据传输模块，用于接收获取的客户端信息，并将生成的监控报告发送给管理端；它与外联检测模块、活动性检测模块、文件系统检测模块和外设监控模块分别信号连接；

所述外联检测模块，用于检测局域网中是否有客户端非法连接了外网；

所述活动性检测模块，用于检测局域网中客户端主机的活动性，获得局域网的网络拓扑图和客户端主机信息；

所述文件系统检测模块，用于对局域网中的文件进行检测，将检测到包含敏感内容和非法信息的文件信息生成监控报告经监控端数据传输模块发送至管理端；

所述外设监控模块，用于检测局域网中客户端主机与是否非法连接了外联设备。

所述管理端数据传输模块，用于接受来自监控端的监控报告，将监控报告发送至判断分析模块；

所述判断分析模块，用于判断监控报告是否准确，将判断结果发送至控制模块；

所述控制模块，用于根据判断结果，控制客户端主机的访问权限和连接状态。

本发明实施例2中提供了一种局域网安全管理系统的连接管理方法，系统结构如图1所示，该方法包括以下步骤：

一种局域网安全管理系统，其特征在于，所述系统包括：客户端、监控端和管理端；所述客户端为局域网内的个人终端；所述监控端，用于监控局域网中的安全性，它包括：监控端数据传输模块、外联检测模块、活动性检测模块、文件系统检测模块、信息搜集模块、隔离模块和外设监控模块；所述管理端，用于根据监控端发送过来的监控报告控制局域网中客户端的访问权限和连接状态，它包括：管理端数据传输模块、判断分析模块和控制模块。

所述监控端数据传输模块，用于接收获取的客户端信息，并将生成的监控报告发送给管理端；它与外联检测模块、活动性检测模块、文件系统检测模块和外设监控模块分别信号连接；

所述外联检测模块，用于检测局域网中是否有客户端非法连接了外网；

所述活动性检测模块，用于检测局域网中客户端主机的活动性，获得局域网的网络拓扑图和客户端主机信息；

所述文件系统检测模块，用于对局域网中的文件进行检测，将检测到包含敏感内容和非法信息的文件信息生成监控报告经监控端数据传输模块发送至管理端；

所述外设监控模块，用于检测局域网中客户端主机与是否非法连接了外联设备。

所述管理端数据传输模块，用于接受来自监控端的监控报告，将监控报告发送至判断分析模块；

所述判断分析模块，用于判断监控报告是否准确，将判断结果发送至控制模块；

所述控制模块，用于根据判断结果，控制客户端主机的访问权限和连接状态。

所述外联检测模块，包括:监控模块和报警模块；采用的检测方法为包括以下步骤：

1、将监控模块设置于内网，监控模块会定时向客户端主机发送数据探测包；

2、如果在局域网中的某台主机非法连接了外网，该探测包会诱导主机将该数据探测包转发至设置于外网中的报警模块；

3、报警模块收到转发过来的数据包，则检测出非法连接外网的主机。

所述活动性检测模块，采用的检测方法为包括以下步骤：

1、活动性检测模块每隔一段时间向客户端主机发送检测数据包，包括：正常数据包和异常数据包；

2、客户端主机接收到异常数据包一般会筛选后进行丢弃，收到正常数据包会发送一个回执。

3、活动检测模块根据客户端主机对检测数据包的反应来判断主机的活动性。

所述文件系统检测模块，采用的检测敏感词的方法包括以下步骤：

1、在检测模块中设置一个数据库，在数据库中录入敏感词汇，作为检测敏感词的匹配数据库；

2、将检测文档视为一个模式树进行处理，针对该模式树设定一个自动机M(Q，N，g，f，D，F)；Q表示了该文档生成的模式树的节点数量，N表示匹配数据库中的敏感词；g表示第一转移函数，当匹配中的根节点和数据库中的敏感词不一致时，不进行转移，如果一致，则进行转移；f表示第二转移函数，当在匹配过程中，节点中的词汇和敏感词不一致时，进行转移；D是统计函数，对文档中的敏感词进行统计；F是预警函数，当统计函数D统计到的敏感词超过一定设定的阈值时，则将该文档视为敏感文档，发送信息至管理端进行文件处理。

本发明实施例3中提供了一种局域网安全管理系统，系统结构如图1所示：

一种局域网安全管理系统，其特征在于，所述系统包括：客户端、监控端和管理端；所述客户端为局域网内的个人终端；所述监控端，用于监控局域网中的安全性，它包括：监控端数据传输模块、外联检测模块、活动性检测模块、文件系统检测模块、信息搜集模块、隔离模块和外设监控模块；所述管理端，用于根据监控端发送过来的监控报告控制局域网中客户端的访问权限和连接状态，它包括：管理端数据传输模块、判断分析模块和控制模块。

所述监控端数据传输模块，用于接收获取的客户端信息，并将生成的监控报告发送给管理端；它与外联检测模块、活动性检测模块、文件系统检测模块和外设监控模块分别信号连接；

所述外联检测模块，用于检测局域网中是否有客户端非法连接了外网；

所述活动性检测模块，用于检测局域网中客户端主机的活动性，获得局域网的网络拓扑图和客户端主机信息；

所述文件系统检测模块，用于对局域网中的文件进行检测，将检测到包含敏感内容和非法信息的文件信息生成监控报告经监控端数据传输模块发送至管理端；

所述外设监控模块，用于检测局域网中客户端主机与是否非法连接了外联设备。

所述管理端数据传输模块，用于接受来自监控端的监控报告，将监控报告发送至判断分析模块；

所述判断分析模块，用于判断监控报告是否准确，将判断结果发送至控制模块；

所述控制模块，用于根据判断结果，控制客户端主机的访问权限和连接状态。

所述外联检测模块，包括:监控模块和报警模块；采用的检测方法为包括以下步骤：

1、将监控模块设置于内网，监控模块会定时向客户端主机发送数据探测包；

2、如果在局域网中的某台主机非法连接了外网，该探测包会诱导主机将该数据探测包转发至设置于外网中的报警模块；

3、报警模块收到转发过来的数据包，则检测出非法连接外网的主机。

所述活动性检测模块，采用的检测方法为包括以下步骤：

1、活动性检测模块每隔一段时间向客户端主机发送检测数据包，包括：正常数据包和异常数据包；

2、客户端主机接收到异常数据包一般会筛选后进行丢弃，收到正常数据包会发送一个回执。

3、活动检测模块根据客户端主机对检测数据包的反应来判断主机的活动性。

所述文件系统检测模块，采用的检测敏感词的方法包括以下步骤：

1、在检测模块中设置一个数据库，在数据库中录入敏感词汇，作为检测敏感词的匹配数据库；

2、将检测文档视为一个模式树进行处理，针对该模式树设定一个自动机M(Q，N，g，f，D，F)；Q表示了该文档生成的模式树的节点数量，N表示匹配数据库中的敏感词；g表示第一转移函数，当匹配中的根节点和数据库中的敏感词不一致时，不进行转移，如果一致，则进行转移；f表示第二转移函数，当在匹配过程中，节点中的词汇和敏感词不一致时，进行转移；D是统计函数，对文档中的敏感词进行统计；F是预警函数，当统计函数D统计到的敏感词超过一定设定的阈值时，则将该文档视为敏感文档，发送信息至管理端进行文件处理。

所述外设监控模块，采用的监控方法包括以下步骤：

1、在局域网内的客户端主机上安装本地外设监控程序；

2、该外设监控程序会在客户端主机连接了外设设备时，获取该外设的相关信息，并将信息发送至外设监控模块；

3、外设监控模块会对该信息进行分析，将该外设设备信息和监控模块数据库中允许的设备信息进行匹配，如果匹配一致，则该主机能够使用该外设，如果匹配不一致，则该主机不能连接该外设并进行使用。

所述加密模块采用的加密方法包括以下步骤:

1、将对应文件的信息分为两个个部分，分别为：文件属性信息和文件内容；

2、对上述两个部分采用不同的加密算法进行加密；对于文件内容，采用以下加密算法进行加密：

首先，将文件中的每个字符转换为16进制字符串；然后将16进制字符串转换为10进制字符串；

随机取两个不相等的质数P和Q，计算出M＝P*Q；其中M的长度就是密钥的长度；

3、计算M的欧拉函数：

随机选择一个整数E，E需要满足且能被E整除；

计算E对于的模反函数；

最后，将M和ed封装成公钥，将M和E封装成私钥。

4、对于文件属性信息，则采用常规的DES算法进行加密处理。本发明并不局限于前述的具体实施方式。本发明扩展到任何在本说明书中披露的新特征或任何新的组合，以及披露的任一新的方法或过程的步骤或任何新的组合。

Claims (6)

1.一种局域网安全管理系统，其特征在于，所述系统包括：客户端、监控端和管理端；所述客户端为局域网内的个人终端；所述监控端，用于监控局域网中的安全性，所述监控端包括：监控端数据传输模块、外联检测模块、活动性检测模块、文件系统检测模块和外设监控模块；所述管理端，用于根据监控端发送过来的监控报告控制局域网中客户端的访问权限和连接状态，以及对局域网中的特定文件进行加密处理，所述管理端包括：管理端数据传输模块、判断分析模块和控制模块；

其中，所述监控端数据传输模块，用于接收获取的客户端信息，并将生成的监控报告发送给管理端；所述监控端数据传输模块与外联检测模块、活动性检测模块、文件系统检测模块和外设监控模块分别信号连接；

所述外联检测模块，用于检测局域网中是否有客户端非法连接了外网；

所述活动性检测模块，用于检测局域网中客户端主机的活动性，获得局域网的网络拓扑图和客户端主机信息；

所述文件系统检测模块，用于对局域网中的文件进行检测，将检测到包含敏感内容和非法信息的文件信息生成监控报告经监控端数据传输模块发送至管理端；

所述外设监控模块，用于检测局域网中客户端主机是否非法连接了外联设备；

所述文件系统检测模块，采用的检测敏感词的方法包括以下步骤：

步骤1：在检测模块中设置一个数据库，在数据库中录入敏感词汇，作为检测敏感词的匹配数据库；

步骤2：将检测文档视为一个模式树进行处理，针对该模式树设定一个自动机M(Q，N，g，f，D，F)；Q表示了该文档生成的模式树的节点数量，N表示匹配数据库中的敏感词；g表示第一转移函数，当匹配中的根节点和数据库中的敏感词不一致时，不进行转移，如果一致，则进行转移；f表示第二转移函数，当在匹配过程中，节点中的词汇和敏感词不一致时，进行转移；D是统计函数，对文档中的敏感词进行统计；F是预警函数，当统计函数D统计到的敏感词超过设定阈值时，则将该文档视为敏感文档，发送信息至管理端进行文件处理。

2.如权利要求1所述的一种局域网安全管理系统，其特征在于，所述管理端数据传输模块，用于接受来自监控端的监控报告，将监控报告发送至判断分析模块；

所述判断分析模块，用于判断监控报告是否准确，将判断结果发送至控制模块；

所述控制模块，用于根据判断结果，控制客户端主机的访问权限和连接状态，以及对局域网中的特定文件进行加密处理；所述控制模块包括：加密模块和隔离模块，所述加密模块，用于将监控模块发出加密请求的指定文件进行加密处理；所述隔离模块，用于将监控模块发出预警信息的指定主机和文件进行隔离处理。

3.如权利要求1所述的一种局域网安全管理系统，其特征在于，所述外联检测模块，包括:监控模块和报警模块；采用的检测方法为包括以下步骤：

步骤1：将监控模块设置于内网，监控模块会定时向客户端主机发送数据探测包；

步骤2：如果在局域网中的某台主机非法连接了外网，该探测包会诱导主机将该数据探测包转发至设置于外网中的报警模块；

步骤3：报警模块收到转发过来的数据包，则检测出非法连接外网的主机。

4.如权利要求1所述的一种局域网安全管理系统，其特征在于，所述活动性检测模块，采用的检测方法为包括以下步骤：

步骤1：活动性检测模块每隔一段时间向客户端主机发送检测数据包，包括：正常数据包和异常数据包；

步骤2：客户端主机接收到异常数据包会筛选后进行丢弃，收到正常数据包会发送一个回执；

步骤3：活动检测模块根据客户端主机对检测数据包的反应来判断主机的活动性。

5.如权利要求1所述的一种局域网安全管理系统，其特征在于，所述外设监控模块，采用的监控方法包括以下步骤：

步骤1：在局域网内的客户端主机上安装本地外设监控程序；

步骤2：该外设监控程序会在客户端主机连接了外设设备时，获取所述外设设备的相关信息，并将信息发送至外设监控模块；

步骤3：外设监控模块会对该信息进行分析，将该外设设备信息和监控模块数据库中允许的设备信息进行匹配，如果匹配一致，则该主机能够使用该外设设备，如果匹配不一致，则该主机不能连接该外设设备并进行使用。

6.如权利要求1所述的一种局域网安全管理系统，其特征在于，所述加密模块采用的加密方法包括以下步骤:

步骤1：将对应文件的信息分为两个部分，分别为：文件属性信息和文件内容；

步骤2：对上述两个部分采用不同的加密算法进行加密；对于文件内容，采用以下加密算法进行加密：

首先，将文件中的每个字符转换为16进制字符串；然后将16进制字符串转换为10进制字符串；

随机取两个不相等的质数P和Q，计算出M＝P*Q；其中M的长度就是密钥的长度；

步骤3：计算M的欧拉函数：

随机选择一个整数E，E需要满足且能被E整除；

计算E对于的模反函数；

最后，将M和ed封装成公钥，将M和E封装成私钥；

步骤4：对于文件属性信息，则采用常规的DES算法进行加密处理。