CN115225315A - 一种基于Android系统网络白名单管控方案 - Google Patents

Abstract

本发明公开了一种基于Android系统网络白名单管控方案，涉及信息安全技术领域，本发明包括以下步骤：建立白名单、建立白名单防御体系、防护白名单库、文件备份。本发明为一种基于Android系统网络白名单管控方案，首先，防止应用攻击用户、应用、数据以及环境的应用白名单，保证在应用运行的整个过程中，不被恶意软件、特殊木马等污染或被注入攻击，其次，防止数据泄漏，当应用系统被恶意软件、特殊木马侵蚀后，通过应用管控，并以业务为中心建立保护规则，所以数据不会被泄漏到系统之外，接着，防止信息系统崩溃，当应用管控及监控到进程、线程级时，一旦恶意软件发作，就能被立即发现，保证信息系统不被破坏，防止信息系统崩溃。

Description

一种基于Android系统网络白名单管控方案

技术领域

本发明涉及信息安全技术领域，特别涉及一种基于Android系统网络白名单管控方案。

背景技术

进入新时代，社会网络化、世界数字化趋势突显，网络空间安全综合防控体系建设成为新时代社会治安防控体系建设的重要内容，网络安全成为国家安全的重要组成部分，随着全球信息化的快速发展，人类对网络空间的依赖程度越来越高，网络空间安全已成为一个国家存在与发展的重要保障，也成为世界各国竞争博弈的新领地，关键信息基础设施安全隐患严重，不法分子利用黑客技术侵略，大肆对国家关键信息基础设施进行渗透、攻击，窃取公民信息和大数据。

近年来，各重要行业单位信息化建设工作深度开展，各行业已经初步完成信息化体系建设，大量业务及数据通过网络系统运行及存储，在信息化建设过程中，采用B/S架构的Web应用系统仅通过浏览器即可以完成数据访问、操作控制等工作，具有极大的便捷性，被各行业单位广泛使用在内部网站部署、信息存储管理、重要信息系统管控平台等建设中，随着网络系统数量的迅速增加，承载业务重要程度的不断上升。

现有的Android系统网络白名单在使用时，重要网络系统被潜入、破坏、窃取数据等网络安全事件频频发生，且攻击强度越来越大、攻击技术越来越多元、攻击手段越来越隐蔽，为重要行业网络应用系统安全带来极大的威胁，为此，我们提出一种基于Android系统网络白名单管控方案。

发明内容

本发明的主要目的在于提供一种基于Android系统网络白名单管控方案，可以有效解决背景技术现有的Android系统网络白名单在使用时，重要网络系统被潜入、破坏、窃取数据等网络安全事件频频发生，且攻击强度越来越大、攻击技术越来越多元、攻击手段越来越隐蔽，为重要行业网络应用系统安全带来极大的威胁的问题。

为实现上述目的，本发明采取的技术方案为：一种基于Android系统网络白名单管控方案，包括以下步骤：

S1、建立白名单：采集系统内的网络，根据网络对象安全系数类别，预设置白名单，对白名单进行标识，管理服务器配置白名单文件的执行模式；

S2、建立白名单防御体系：白名单防御体系由智能白名单体系、访问控制白名单库、访问控制白名单库以及白名单优化组成；

S2.1、智能白名单体系：智能白名单体系用于对每一个网络白名单都独立记录分析合法参数名及其取值分布，对每个参数的字符集、长度、模式都进行归纳分析，做到精细管理，首先，通过规则与网络连接白名单互补，再通过构建参数白名单库，聚集不同特征的网络白名单库，由于每个用户访问时间、地点、主体等的不同，每次产生的登录参数千变万化，无法全量枚举，因此，增加规则白名单库，构建全量智能白名单体系；

S2.2、访问控制白名单库：访问控制白名单库用于在安全应用环境内，对进程行为进行监测和管控，防止恶意代码运行，应用行为白名单，在安全应用环境内对应用行为进行管控，首先，对新的应用或修改现有应用进行细粒度的功能行为监测和管控，或者对遗留应用的输入输出行为进行监测和管控，数据访问和交换行为白名单，接着，在数据安全网关对应用访问和交换数据的行为进行监测和管控，通过自动检测分析模块实时通信，应用机器学习算法创建网络中应用系统的业务模型，建立内部业务、IP、端口、进程级的访问关系网，从而建立基于业务的访问控制白名单库；

S2.3、创建访问特征模型：通过访问流量特征分析结合机器学习算法创建访问特征模型，形成安全数据，其包括时间维度设置合规访问时间预警、业务维度设立模块间访问频率阈值等，并通过机器学习不断优化及收敛；

S2.4、进行白名单优化：对白名单内的异常业务请求进行智能化筛选和检测白名单的极致细化，发现合规白名单中的违规行为，使得每个访问行为都是可信的，进一步优化白名单库；

S3、防护白名单库：白名单库构建完成后，开启防护模式对非白名单访问进行拦截，对拦截的访问连接进行二次研判，其中命中黑名单库、威胁情报库、黑客行为模型库的访问直接阻断，其他威胁进行人工研判，误拦截的访问可单次放行或加入白名单；

S4、文件备份：储存器对白名单内的各网络文件进行备份，形成安全的白名单管控系统。

优选地，所述S2.2中的访问控制白名单库，访问控制的主体不仅考虑用户，还要考虑用户之间的关系，有效防止身份假冒和特权升级攻击，一体化的访问控制。

优选地，所述S2.2中的访问控制白名单库，白名单管控可在不同层次上实现，包括应用程序级管控、软件功能模块级管控、进程(线程)级管控、应用行为管控、数据访问和交换行为管控等，应用管控实现在不同层次，亦即应用在不同层次上变白，当应用管控在进程、线程级实现时，一旦系统中隐藏的恶意软件、特殊木马等被触发，就能够被监控到。

优选地，所述S2.2中的访问控制白名单库，将数据与应用隔离，建立数据安全域，在数据和应用之间，增加认证，将数据与特定应用绑定，对应用能够对数据进行的操作进行控制。

优选地，所述S2.2中的访问控制白名单库，应用环境是指特定的应用执行环境，包括硬软件平台、操作系统、定制虚拟机等，将用户与应用隔离，应用与数据隔离，将应用和应用环境进行封装，构建应用安全容器，封装、隔离之后，应用在已知环境下运行，能够防止应用之间的攻击、非授权交互、应用注入攻击等，应用安全容器还可根据要求分为不同安全等级。

优选地，所述S2.2中的访问控制白名单库，通过对应用环境、应用的输入和输出进行控制，构建动态安全域，形成应用安全容器，容器的出口和入口信任一致，实现信任穿透应用。

优选地，所述S3中的防护白名单库内建立黑客典型攻击行为模型，对黑客典型行为产生的网络攻击事件从时间维度、事件维度、攻击方法维度、资产维度等方面进行深度分析和研判溯源，构建黑客行为建模，例如，一个用户对多个网络的遍历方式、多个用户对一个网络的访问、访问系统配置文件等黑客典型行为进行专项梳理。

优选地，所述S3中的防护白名单库与黑名单检测能力结合，在已建立的动态智能白名单库的基础上，结合黑名单的威胁检测能力，进行精细化的监测和阻断，利用黑名单机制对不可信的流量进行再次检测，最大限度保证应用安全，以满足不同环境下的安全防护需求。

优选地，所述S3中的防护白名单库，与威胁情报库关联检测识别流量中所有的外连关系，结合威胁情报数据发现异常外连行为和反弹等攻击行为，并加以阻断，通过如上方式，精细化处理白名单以外的访问请求并全部进行拒绝，以此达到更准确阻断未知威胁攻击的目的。

与现有技术相比，本发明具有如下有益效果：

1.本发明中，基于网络白名单构建白名单防御体系，对网络应用进行管控，能够实现比等级保护更高的安全要求，能够有效防止外部系统的攻击，防御效果主要体现在以下方面：首先，防止应用攻击用户、应用、数据以及环境的应用白名单，保证在应用运行的整个过程中，不被恶意软件、特殊木马等污染或被注入攻击，其次，防止数据泄漏，当应用系统被恶意软件、特殊木马侵蚀后，通过应用管控，并以业务为中心建立保护规则，所以数据不会被泄漏到系统之外，接着，防止信息系统崩溃，当应用管控及监控到进程、线程级时，一旦恶意软件发作，就能被立即发现，保证信息系统不被破坏，防止信息系统崩溃，最后，防止外部网络攻击，在外部网络攻击的初始攻陷、建立立足点、特权升级、横向移动、数据输出的各个阶段，都进行了有针对性的防护，较大程度地提高了网络白名单的管控效果。

附图说明

图1为本发明一种基于Android系统网络白名单管控方案的整体系统框图；

图2为本发明一种基于Android系统网络白名单管控方案中白名单防御体系的系统框图。

具体实施方式

为使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解，下面结合具体实施方式，进一步阐述本发明。

在本发明的描述中，需要说明的是，术语“上”、“下”、“内”、“外”“前端”、“后端”、“两端”、“一端”、“另一端”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。此外，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性。

在本发明的描述中，需要说明的是，除非另有明确的规定和限定，术语“安装”、“设置有”、“连接”等，应做广义理解，例如“连接”，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本发明中的具体含义。

请参照图1—2所示，本发明为一种基于Android系统网络白名单管控方案，包括以下步骤：

S1、建立白名单：采集系统内的网络，根据网络对象安全系数类别，预设置白名单，对白名单进行标识，管理服务器配置白名单文件的执行模式；

S2、建立白名单防御体系：白名单防御体系由智能白名单体系、访问控制白名单库、访问控制白名单库以及白名单优化组成；

S2.1、智能白名单体系：智能白名单体系用于对每一个网络白名单都独立记录分析合法参数名及其取值分布，对每个参数的字符集、长度、模式都进行归纳分析，做到精细管理，首先，通过规则与网络连接白名单互补，再通过构建参数白名单库，聚集不同特征的网络白名单库，由于每个用户访问时间、地点、主体等的不同，每次产生的登录参数千变万化，无法全量枚举，因此，增加规则白名单库，构建全量智能白名单体系；

S2.2、访问控制白名单库：访问控制白名单库用于在安全应用环境内，对进程行为进行监测和管控，防止恶意代码运行，应用行为白名单，在安全应用环境内对应用行为进行管控，首先，对新的应用或修改现有应用进行细粒度的功能行为监测和管控，或者对遗留应用的输入输出行为进行监测和管控，数据访问和交换行为白名单，接着，在数据安全网关对应用访问和交换数据的行为进行监测和管控，通过自动检测分析模块实时通信，应用机器学习算法创建网络中应用系统的业务模型，建立内部业务、IP、端口、进程级的访问关系网，从而建立基于业务的访问控制白名单库；

S2.3、创建访问特征模型：通过访问流量特征分析结合机器学习算法创建访问特征模型，形成安全数据，其包括时间维度设置合规访问时间预警、业务维度设立模块间访问频率阈值等，并通过机器学习不断优化及收敛；

S2.4、进行白名单优化：对白名单内的异常业务请求进行智能化筛选和检测白名单的极致细化，发现合规白名单中的违规行为，使得每个访问行为都是可信的，进一步优化白名单库；

S3、防护白名单库：白名单库构建完成后，开启防护模式对非白名单访问进行拦截，对拦截的访问连接进行二次研判，其中命中黑名单库、威胁情报库、黑客行为模型库的访问直接阻断，其他威胁进行人工研判，误拦截的访问可单次放行或加入白名单；

S4、文件备份：储存器对白名单内的各网络文件进行备份，形成安全的白名单管控系统。

S2.2中的访问控制白名单库，访问控制的主体不仅考虑用户，还要考虑用户之间的关系，有效防止身份假冒和特权升级攻击，一体化的访问控制。

S2.2中的访问控制白名单库，白名单管控可在不同层次上实现，包括应用程序级管控、软件功能模块级管控、进程(线程)级管控、应用行为管控、数据访问和交换行为管控等，应用管控实现在不同层次，亦即应用在不同层次上变白，当应用管控在进程、线程级实现时，一旦系统中隐藏的恶意软件、特殊木马等被触发，就能够被监控到。

S2.2中的访问控制白名单库，将数据与应用隔离，建立数据安全域，在数据和应用之间，增加认证，将数据与特定应用绑定，对应用能够对数据进行的操作进行控制。

S2.2中的访问控制白名单库，应用环境是指特定的应用执行环境，包括硬软件平台、操作系统、定制虚拟机等，将用户与应用隔离，应用与数据隔离，将应用和应用环境进行封装，构建应用安全容器，封装、隔离之后，应用在已知环境下运行，能够防止应用之间的攻击、非授权交互、应用注入攻击等，应用安全容器还可根据要求分为不同安全等级。

S2.2中的访问控制白名单库，通过对应用环境、应用的输入和输出进行控制，构建动态安全域，形成应用安全容器，容器的出口和入口信任一致，实现信任穿透应用。

S3中的防护白名单库内建立黑客典型攻击行为模型，对黑客典型行为产生的网络攻击事件从时间维度、事件维度、攻击方法维度、资产维度等方面进行深度分析和研判溯源，构建黑客行为建模，例如，一个用户对多个网络的遍历方式、多个用户对一个网络的访问、访问系统配置文件等黑客典型行为进行专项梳理。

S3中的防护白名单库与黑名单检测能力结合，在已建立的动态智能白名单库的基础上，结合黑名单的威胁检测能力，进行精细化的监测和阻断，利用黑名单机制对不可信的流量进行再次检测，最大限度保证应用安全，以满足不同环境下的安全防护需求。

S3中的防护白名单库，与威胁情报库关联检测识别流量中所有的外连关系，结合威胁情报数据发现异常外连行为和反弹等攻击行为，并加以阻断，通过如上方式，精细化处理白名单以外的访问请求并全部进行拒绝，以此达到更准确阻断未知威胁攻击的目的。

以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业的技术人员应该了解，本发明不受上述实施例的限制，上述实施例和说明书中描述的只是说明本发明的原理，在不脱离本发明精神和范围的前提下，本发明还会有各种变化和改进，这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。

Claims (9)

1.一种基于Android系统网络白名单管控方案，其特征在于：包括以下步骤：

S1、建立白名单：采集系统内的网络，根据网络对象安全系数类别，预设置白名单，对白名单进行标识，管理服务器配置白名单文件的执行模式；

S2、建立白名单防御体系：白名单防御体系由智能白名单体系、访问控制白名单库、访问控制白名单库以及白名单优化组成；

S2.1、智能白名单体系：智能白名单体系用于对每一个网络白名单都独立记录分析合法参数名及其取值分布，对每个参数的字符集、长度、模式都进行归纳分析，做到精细管理，首先，通过规则与网络连接白名单互补，再通过构建参数白名单库，聚集不同特征的网络白名单库，由于每个用户访问时间、地点、主体等的不同，每次产生的登录参数千变万化，无法全量枚举，因此，增加规则白名单库，构建全量智能白名单体系；

S2.2、访问控制白名单库：访问控制白名单库用于在安全应用环境内，对进程行为进行监测和管控，防止恶意代码运行，应用行为白名单，在安全应用环境内对应用行为进行管控，首先，对新的应用或修改现有应用进行细粒度的功能行为监测和管控，或者对遗留应用的输入输出行为进行监测和管控，数据访问和交换行为白名单，接着，在数据安全网关对应用访问和交换数据的行为进行监测和管控，通过自动检测分析模块实时通信，应用机器学习算法创建网络中应用系统的业务模型，建立内部业务、IP、端口、进程级的访问关系网，从而建立基于业务的访问控制白名单库；

S2.3、创建访问特征模型：通过访问流量特征分析结合机器学习算法创建访问特征模型，形成安全数据，其包括时间维度设置合规访问时间预警、业务维度设立模块间访问频率阈值等，并通过机器学习不断优化及收敛；

S2.4、进行白名单优化：对白名单内的异常业务请求进行智能化筛选和检测白名单的极致细化，发现合规白名单中的违规行为，使得每个访问行为都是可信的，进一步优化白名单库；

S3、防护白名单库：白名单库构建完成后，开启防护模式对非白名单访问进行拦截，对拦截的访问连接进行二次研判，其中命中黑名单库、威胁情报库、黑客行为模型库的访问直接阻断，其他威胁进行人工研判，误拦截的访问可单次放行或加入白名单；

S4、文件备份：储存器对白名单内的各网络文件进行备份，形成安全的白名单管控系统。

2.根据权利要求1所述的一种基于Android系统网络白名单管控方案，其特征在于：所述S2.2中的访问控制白名单库，访问控制的主体不仅考虑用户，还要考虑用户之间的关系，有效防止身份假冒和特权升级攻击，一体化的访问控制。

3.根据权利要求1所述的一种基于Android系统网络白名单管控方案，其特征在于：所述S2.2中的访问控制白名单库，白名单管控可在不同层次上实现，包括应用程序级管控、软件功能模块级管控、进程(线程)级管控、应用行为管控、数据访问和交换行为管控等，应用管控实现在不同层次，亦即应用在不同层次上变白，当应用管控在进程、线程级实现时，一旦系统中隐藏的恶意软件、特殊木马等被触发，就能够被监控到。

4.根据权利要求1所述的一种基于Android系统网络白名单管控方案，其特征在于：所述S2.2中的访问控制白名单库，将数据与应用隔离，建立数据安全域，在数据和应用之间，增加认证，将数据与特定应用绑定，对应用能够对数据进行的操作进行控制。

5.根据权利要求1所述的一种基于Android系统网络白名单管控方案，其特征在于：所述S2.2中的访问控制白名单库，应用环境是指特定的应用执行环境，包括硬软件平台、操作系统、定制虚拟机等，将用户与应用隔离，应用与数据隔离，将应用和应用环境进行封装，构建应用安全容器，封装、隔离之后，应用在已知环境下运行，能够防止应用之间的攻击、非授权交互、应用注入攻击等，应用安全容器还可根据要求分为不同安全等级。

6.根据权利要求1所述的一种基于Android系统网络白名单管控方案，其特征在于：所述S2.2中的访问控制白名单库，通过对应用环境、应用的输入和输出进行控制，构建动态安全域，形成应用安全容器，容器的出口和入口信任一致，实现信任穿透应用。

7.根据权利要求1所述的一种基于Android系统网络白名单管控方案，其特征在于：所述S3中的防护白名单库内建立黑客典型攻击行为模型，对黑客典型行为产生的网络攻击事件从时间维度、事件维度、攻击方法维度、资产维度等方面进行深度分析和研判溯源，构建黑客行为建模。

8.根据权利要求7所述的一种基于Android系统网络白名单管控方案，其特征在于：所述S3中的防护白名单库与黑名单检测能力结合，在已建立的动态智能白名单库的基础上，结合黑名单的威胁检测能力，进行精细化的监测和阻断，利用黑名单机制对不可信的流量进行再次检测，最大限度保证应用安全，以满足不同环境下的安全防护需求。

9.根据权利要求1所述的一种基于Android系统网络白名单管控方案，其特征在于：所述S3中的防护白名单库，与威胁情报库关联检测识别流量中所有的外连关系，结合威胁情报数据发现异常外连行为和反弹等攻击行为，并加以阻断，通过如上方式，精细化处理白名单以外的访问请求并全部进行拒绝，以此达到更准确阻断未知威胁攻击的目的。

Images