本发明专利技术(程序级网络安全防护软件系统)是一种计算机软件系统,部署在计算机网络环境中,通过检测通信端口(udp端口或者tcp端口)的方式进行程序级的网络访问限制。使用该发明专利技术,能够限制网络中的计算机(终端)只能使用指定的程序访问网络资源,并且能集中管理访问规则,不需要在客户机上进行规则设置。
Program level network security protection software system
【技术实现步骤摘要】
程序级网络安全防护软件系统
本专利技术可在计算机网络的中心控制节点设置规则,规定网络客户端中有哪些应用程序可以访问受保护的网络资源,如果符合规则给予放行,否则进行阻止。
技术介绍
在传统的网络安全防护领域,对源对象的限制基本还只能到IP地址(或者mac地址)一级;一旦设定了相应的规则,则符合规则的计算机上的所有应用程序都可以访问相关的端口。这就给了不法分子可乘之机,因为服务器的相关网络端口已经开放给合法的客户端,只要在这些客户端使用非法的黑客程序,则可以攻击保护范围内的相关服务器的开放端口。即使采用了基于应用的安全防护(例如http服务)措施,黑客也可以采用基于(http)服务的方法进行攻击。如果要进一步限制源对象到应用程序一级(也即是只允许这台电脑上的某个应用程序访问服务器),目前的方法是在客户端进行设置,这么做有两大弊端:1、网络维护人员需要到每个客户端上进行网络访问安全配置,工作量大,并且涉及到系统权限分配问题(如果客户有最高权限则可以任意修改客户机安全配置,甚至卸载掉安全软件,如此一来网络安全配置形同虚设),而且过后不好在中心控制点进行集中检查,只能到每个客户端上检查规则是否还有效。2、目前大部分的网络防护软件都是基于程序路径进行设置,这就容易实现程序伪装。例如不法分子可以将程序B复制到合法程序A的路径下,并重命名为程序A,这样程序B就可以堂而皇之的伪装成程序A访问受保护的网络资源了。本网络安全防护系统基于程序级控制,并且采用分布式部署(客户端版本)和集中设置访问规则(中心端版本)的方式;使用该系统后,只有符合要求的应用程序才能访问受保护的网络资源;非合法程序,哪怕是在合法的客户端上,也无法访问这些资源;同时采用集中设置规则的方式,不需要在客户机上设置规则,方便了日常的管理工作。
技术实现思路
本专利技术分为两部分,一是中心端部分,一个是客户端部分。运行原理如下所示:1、运维人员在中心端设置访问规则,比如哪些ip中的哪些程序可以访问哪些网路资源。其中程序的唯一性以程序的文件名、程序文件大小、程序文件的md5加密结果(对于较大的文件可以选择部分数据进行md5加密)为特征,运维人员需将这些特征全部输入规则库用以标记程序的唯一性,只有全部符合特征的程序才是合法程序(此特征可以杜绝程序伪装,因为伪装程序的md5码与合法程序不一致)。规则库信息由下表所示的数据行组成:目的ip目的端口源IP程序名称程序大小MD5码(同一个目的IP、端口可以允许不止一个程序访问,相对应该规则将由多条数据组成)2、在客户电脑上部署客户端,当客户电脑上的程序访问受保护的网络资源时,数据流到达中心端并触发中心端的规则库(中心端需部署到数据流必经之路上),中心端根据规则库中对应的网络资源(例如:服务器ip及端口)查询出满足条件的程序信息,并加上该数据流中的源ip和源端口等信息打包后(加密)发回给该客户电脑上的客户端。数据包如下表所示:源ip源端口目的ip目的端口程序名称程序大小MD5码(若该规则不止一个程序,则发送该规则所有的程序信息到客户端)3、客户端收到中心端发来的数据包(解密)后,查询本机的网络访问状态,同时结合数据包中的源端口号定位程序文件,然后获取该程序的特征(文件名、大小、md5码)并与信息包中的信息相比较,符合的话,就发送符合指令(加密处理后)到中心端。4、中心端收到客户端发来的符合指令(解密),对该客户端的请求给与放行;若没收到符合指令,则拒绝放行。具体实施方式在网络中的网关位置部署中心端版本并设置规则,需保证客户机的数据流都经过该中心端;在每台客户机上部署客户端版本,且保证客户端版本在运行状态(如果客户端版本没有运行则该电脑无法访问受保护网络资源),因为该系统需要根据源IP和源端口来定位客户端,因此该系统不适合存在源地址转换的客户端(例如经过了NAT转换来访问网络)。本文档来自技高网...
【技术保护点】
1.一种程序级网络安全防护软件,其特征在于:基于程序级别的防护,只有符合要求的计算机程序才能访问受保护的网络资源。/n
【技术特征摘要】
1.一种程序级网络安全防护软件,其特征在于:基于程序级别的防护,只有符合要求的计算机程序才能访问受保护的网络资源。
2.如权利要求1所述的一种程序级网络安全防护软件,其特征在于:通过对程序文件(或部分文件数据)进行MD5加密,结合文件名及文件大小来来识别文件的合法性。
<...
【专利技术属性】
技术研发人员:覃钢,
申请(专利权)人:覃钢,
类型:发明
国别省市:广西;45
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。