CN106790093A - 一种Linux系统下控制进程网络连接的方法及系统 - Google Patents
一种Linux系统下控制进程网络连接的方法及系统 Download PDFInfo
- Publication number
- CN106790093A CN106790093A CN201611208109.XA CN201611208109A CN106790093A CN 106790093 A CN106790093 A CN 106790093A CN 201611208109 A CN201611208109 A CN 201611208109A CN 106790093 A CN106790093 A CN 106790093A
- Authority
- CN
- China
- Prior art keywords
- network connection
- connection operation
- out network
- strategy
- carry out
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种Linux系统下控制进程网络连接的方法及系统,适用于Linux系统环境下,对网络连接操作的进程进行拦截,将截获的进程与缓存列表比对以及下发策略进行匹配,然后根据匹配结果决定是否允许该进程进行网络连接操作,对Linux系统的进程进行网络连接控制,可以做到只允许指定进程进行网络连接,从而提高系统的安全性。
Description
技术领域
本发明涉及计算机信息安全的技术领域,特别涉及一种Linux系统下控制进程网络连接的方法及系统。
背景技术
在计算机信息安全的技术领域中,网络上运行的服务器Linux系统占有很大比例,所以Linux服务器的安全性也变得越来越重要。攻击者侵入Linux系统中后,大部分都会在本机监听一个端口或者连接远程服务器,攻击者在监听端口或者远程服务器后,不断地通过端口或者被监听的服务器进程连接网络,来实现对信息的窃取或破坏。
然而,在攻击者入侵之后,现有技术中,被入侵端只能通过查杀木马的方式来确保系统的安全,且查杀木马都是人工手动或者周期性自动扫描系统中的文件是否中木马,这样给Linux系统带来了极大的负荷,效率极低。因此,本发明针对如何提高系统的安全性的问题,提出了一种Linux系统下控制进程网络连接的方法及系统。
发明内容
Linux服务器一般都会运行固定的程序,允许连接网络的进程也是固定的,所以如果只允许这些进程进行网络连接操作,将会非常显著的提高系统的安全性。
本发明提出的一种Linux系统下控制进程网络连接的方法及系统,可以对Linux系统的进程进行网络连接控制,可以做到只允许指定进程进行网络连接,从而提高系统的安全性。
一种Linux系统下控制进程网络连接的方法,其特征在于:对本机所有进行网络连接操作的进程进行拦截,在缓存列表中查询是否存在所述拦截获得的进程,如果存在则允许其进行网络连接操作,否则将所述拦截获得的进程继续与下发策略进行匹配,判断当前进行网络连接操作的进程是否为所述策略中配置的进程,若是则允许其进行网络连接操作,否则拒绝其进行网络连接操作。
其中,所述进行网络连接操作的进程包括:connect、bind、sendto、sendmsg、write。
其中,应用层下发所述策略到内核,所述策略包括:允许的操作主体和/或允许进行网络连接的协议。其中,所述操作主体为用户或者进程,所述协议为tcp、udp、icmp其中的一种或多种。
其中,将经过访问控制策略的网络连接操作的进程加入缓存列表中。
一种Linux系统下控制进程网络连接的系统,其特征在于,包括:拦截模块,用于对本机所有进行网络连接操作的进程进行拦截;缓存模块,在缓存模块的缓存列表中查询是否存在所述拦截获得的进程,如果存在则允许其进行网络连接操作,否则将所述拦截获得的进程发送至策略管理模块;策略管理模块,用于将所述拦截获得的进程与下发策略进行匹配;结果处理模块,判断当前进行网络连接操作的进程是否为所述策略中配置的进程,若是则允许其进行网络连接操作,否则拒绝其进行网络连接操作。
其中,所述进行网络连接操作的进程包括:connect、bind、sendto、sendmsg、write。
其中,应用层下发所述策略到内核,所述策略包括:允许的操作主体和/或允许进行网络连接的协议。其中,所述操作主体为用户或者进程,所述协议为tcp、udp、icmp其中的一种或多种。
其中,将经过访问控制策略的网络连接操作进程加入缓存列表中。
由以上可知,本发明公开了一种Linux系统下控制进程网络连接的方法及系统,适用于Linux系统环境下,对网络连接操作的进程进行拦截,将截获的进程与缓存列表比对以及下发策略进行匹配,然后根据匹配结果决定是否允许该进程进行网络连接操作,对Linux系统的进程进行网络连接控制,可以做到只允许指定进程进行网络连接,从而提高系统的安全性。
附图说明
图1是本发明的方法流程图;
图2是本发明的系统框图。
具体实施例
如下阐述了具体的实施方案:
本发明提供了一种Linux系统下控制进程网络连接的方法,方法流程如附图1所示。
步骤101,对本机所有进行网络连接操作的进程进行拦截;
其中,所述进行网络连接操作的进程包括:connect、bind、sendto、sendmsg、write;
步骤102,在缓存列表中查询是否存在所述拦截获得的进程,如果存在则允许其进行网络连接操作,否则将所述拦截获得的进程继续与下发策略进行匹配。
缓存列表用于存储经过访问控制策略的网络连接操作进程以及用户允许连接网络的进程,使得判断进程是否被允许连接网络的速度以及效率提高。
步骤103,与下发的策略进行匹配;
其中,应用层下发所述策略到内核,所述策略包括:允许的操作主体和/或允许进行网络连接的协议;其中,所述操作主体为用户或者进程,所述协议为tcp、udp、icmp其中的一种或多种;
步骤104,判断当前进行网络连接操作的进程是否为所述策略中配置的进程,若是则允许其进行网络连接操作,否则拒绝其进行网络连接操作。
将经过访问控制策略的网络连接操作进程加入缓存列表中,这样在以后的访问中可以直接查询缓存,这样可以加快系统运行速度。
本发明还提供了一种Linux系统下控制进程网络连接的系统,系统功能结构图如附图2所示。
所述系统包括:拦截模块201,用于对本机所有进行网络连接操作的进程进行拦截;
其中,所述进行网络连接操作的进程包括:connect、bind、sendto、sendmsg、write。
缓存模块202,用于缓存模块的管理缓存列表,在缓存列表中查询是否存在所述拦截获得的进程,如果存在则允许其进行网络连接操作,否则将所述拦截获得的进程发送至策略管理模块203。
缓存列表属于缓存模块,用于存储经过访问控制策略的网络连接操作进程以及用户允许连接网络的进程,使得判断进程是否被允许连接网络的速度以及效率提高。
策略管理模块203,用于将所述进程与下发的策略进行匹配;
其中,应用层下发所述策略到内核,所述策略包括:允许的操作主体和/或允许进行网络连接的协议。其中,所述操作主体为用户或者进程,所述协议为tcp、udp、icmp其中的一种或多种。
结果处理模块204,判断当前进行网络连接操作的进程是否为所述策略中配置的进程,若是则允许其进行网络连接操作,否则拒绝其进行网络连接操作。
将经过访问控制策略的网络连接操作进程加入缓存列表中。
对所公开的实施例的上述说明,使本领域技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域技术人员来说将是显而易见的,本发明中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其他实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (8)
1.一种Linux系统下控制进程网络连接的方法,其特征在于:对本机所有进行网络连接操作的进程进行拦截,在缓存列表中查询是否存在所述拦截获得的进程,如果存在则允许其进行网络连接操作,否则将所述拦截获得的进程继续与下发策略进行匹配,判断当前进行网络连接操作的进程是否为所述策略中配置的进程,若是则允许其进行网络连接操作,否则拒绝其进行网络连接操作。
2.根据权利要求1所述的方法,其特征在于:所述进行网络连接操作的进程包括:connect、bind、sendto、sendmsg、write。
3.根据权利要求1所述的方法,其特征在于:应用层下发所述策略到内核,所述策略包括:允许的操作主体和/或允许进行网络连接的协议。其中,所述操作主体为用户或者进程,所述协议为tcp、udp、icmp其中的一种或多种。
4.根据权利要求1所述的方法,其特征在于:将经过访问控制策略的网络连接操作的进程加入缓存列表中。
5.一种Linux系统下控制进程网络连接的系统,其特征在于,包括:拦截模块,用于对本机所有进行网络连接操作的进程进行拦截;缓存模块,在缓存模块的缓存列表中查询是否存在所述拦截获得的进程,如果存在则允许其进行网络连接操作,否则将所述拦截获得的进程发送至策略管理模块;策略管理模块,用于将所述拦截获得的进程与下发策略进行匹配;结果处理模块,判断当前进行网络连接操作的进程是否为所述策略中配置的进程,若是则允许其进行网络连接操作,否则拒绝其进行网络连接操作。
6.根据权利要求5所述的系统,其特征在于:所述进行网络连接操作的进程包括:connect、bind、sendto、sendmsg、write。
7.根据权利要求5所述的系统,其特征在于:应用层下发所述策略到内核,所述策略包括:允许的操作主体和/或允许进行网络连接的协议。其中,所述操作主体为用户或者进程,所述协议为tcp、udp、icmp其中的一种或多种。
8.根据权利要求5所述的系统,其特征在于:将经过访问控制策略的网络连接操作进程加入缓存列表中。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611208109.XA CN106790093A (zh) | 2016-12-23 | 2016-12-23 | 一种Linux系统下控制进程网络连接的方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611208109.XA CN106790093A (zh) | 2016-12-23 | 2016-12-23 | 一种Linux系统下控制进程网络连接的方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106790093A true CN106790093A (zh) | 2017-05-31 |
Family
ID=58919975
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201611208109.XA Pending CN106790093A (zh) | 2016-12-23 | 2016-12-23 | 一种Linux系统下控制进程网络连接的方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106790093A (zh) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070143837A1 (en) * | 2005-12-15 | 2007-06-21 | Lehman Brothers Inc. | System and method for secure remote desktop access |
| CN102355667A (zh) * | 2011-06-30 | 2012-02-15 | 北京邮电大学 | 移动智能终端系统中应用程序网络连接控制方法和系统 |
| CN104732145A (zh) * | 2015-03-31 | 2015-06-24 | 北京奇虎科技有限公司 | 一种虚拟机中的寄生进程检测方法和装置 |
-
2016
- 2016-12-23 CN CN201611208109.XA patent/CN106790093A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070143837A1 (en) * | 2005-12-15 | 2007-06-21 | Lehman Brothers Inc. | System and method for secure remote desktop access |
| CN102355667A (zh) * | 2011-06-30 | 2012-02-15 | 北京邮电大学 | 移动智能终端系统中应用程序网络连接控制方法和系统 |
| CN104732145A (zh) * | 2015-03-31 | 2015-06-24 | 北京奇虎科技有限公司 | 一种虚拟机中的寄生进程检测方法和装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP7167240B2 (ja) | コンピュータネットワーク及びシステムのプロテクションのためのリアクティブ及びプリエンプティブセキュリティシステム | |
| JP6522707B2 (ja) | マルウェアに対処するための方法及び装置 | |
| EP2860657B1 (en) | Determining a security status of potentially malicious files | |
| WO2006074294A3 (en) | Methods and apparatus providing security to computer systems and networks | |
| US8683220B2 (en) | System and method for securing database activity | |
| US11323453B2 (en) | Data processing method, device, access control system, and storage media | |
| WO2016095479A1 (zh) | 一种病毒处理方法、装置、系统、设备和计算机存储介质 | |
| KR101236822B1 (ko) | Arp록킹 기능을 이용한 arp스푸핑 공격 탐지 방법과 그 방법을 실행하기 위한 프로그램이 기록된 기록매체 | |
| US10511605B2 (en) | Method for securing electronic data by restricting access and transmission of the data | |
| CN109829297A (zh) | 监控装置、方法及其电脑存储介质 | |
| US9921561B2 (en) | Real time control of a remote device | |
| WO2005054973A3 (en) | Method and system for improving computer network security | |
| TW200712894A (en) | Wide-port context cache apparatus, systems, and methods | |
| US20160366176A1 (en) | High-level reputation scoring architecture | |
| WO2015183698A1 (en) | Method and system for implementing data security policies using database classification | |
| DE102017106293A1 (de) | Befehle und Steuerung für einen Roboter durch ein Contact-Center mit externer Kontrolle | |
| CN109246108A (zh) | 拟态化蜜罐指纹混淆系统、方法及其sdn网络架构 | |
| WO2004036350A3 (en) | Secure file system server architecture and methods | |
| CN106576051B (zh) | 一种检测零日威胁的方法、网络设备、非暂态机器可读介质 | |
| CN104270467A (zh) | 一种用于混合云的虚拟机管控方法 | |
| US9251367B2 (en) | Device, method and program for preventing information leakage | |
| US9444830B2 (en) | Web server/web application server security management apparatus and method | |
| EP3111355B1 (de) | Verfahren zum schutz eines computerprogramms gegen beeinflussung und computersystem | |
| EP3987728B1 (en) | Dynamically controlling access to linked content in electronic communications | |
| CN106789486B (zh) | 共享接入的检测方法、装置、电子设备及计算机可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170531 |