【技术实现步骤摘要】
一种基于白名单机制的企业安全防护系统及方法
[0001]本专利技术专利涉及防护系统
,尤其是一种基于白名单机制的企业安全防护系统及方法。
技术介绍
[0002]随着网络的不断发展,网络安全无法只靠密码的单一模式来保护,攻击者可以轻松的破解WIFI密码,入侵终端设备,冒用IP接入等手段实现网络的远程攻击;黑名单启用后,被列入到黑名单的用户(或IP地址、IP包、邮件、病毒等)不能通过;如果设立了白名单,则在白名单中的用户(或IP地址、IP包、邮件等)会优先通过,不会被当成垃圾邮件拒收,安全性和快捷性都大大提高;将其含义扩展一步,那么凡有黑名单功能的应用,就会有白名单功能与其对应;
[0003]例如:在运营体系中,如果某一用户的号码被列入黑名单,那么它可能不能享用某项业务或全部业务,而白名单内的用户则可不受系统中对普通用户的规则限制。
[0004]通过识别系统中的进程或文件是否具有经批准的属性、常见进程名称、文件名称、发行商名称、数字签名,白名单技术能够让企业批准哪些进程被允许在特定系统运行。有些供应商产品只包括可执行文件,而其他产品还包括脚本和宏,并可以阻止更广泛的文件。其中,一种越来越受欢迎的白名单方法被称为“应用控制”,这种方法专门侧重于管理端点应用的行为。白名单历来被认为难以部署、管理耗时,并且,这种技术让企业很难应付想要部署自己选择的应用的员工。然而,在最近几年,白名单产品已经取得了很大进展,它更好地与现有端点安全技术整合来消除部署和管理障碍,为希望快速安装应用的用户提供了快速的自动批准,即 ...
【技术保护点】
【技术特征摘要】
1.一种基于白名单机制的企业安全防护系统,其特征在于,包括:指纹信息检测模块、逻辑比对模块、白名单筛查模块、黑名单存储模块以及优先权判定模块;所述指纹信息检测模块包括:主动检测模块与被动检测模块,用于指纹信息的主动检测与被动检测;所述指纹信息是指终端的IP地址以及MAC信息、厂商信息以及硬件序列号信息;所述主动检测模块的一端与所述逻辑比对模块的一端电连接;所述被动检测模块的一端与所述逻辑比对模块的另一端电连接;所述白名单筛查模块的一端与所述逻辑比对模块的又一端电连接,所述白名单筛查模块的另一端与所述优先权判定模块的一端电连接;所述优先权判定模块的另一端与所述黑名单存储模块的一端电连接,所述优先权判定模块的又一端与所述逻辑比对模块的再一端电连接;所述主动检测模块内置有Nmap软件程序,用于主动扫描物联网终端的身份信息;所述身份信息包括:主机信息、端口信息、操作系统信息以及网络传输信息;所述被动检测模块内置有P0f软件程序,用于被动的探测物联网终端的其他信息;所述其他信息包括:端口信息、数据传输信息以及ISP信息;所述逻辑比对模块采用逻辑控制算法控制所述主动检测模块与被动检测模块的探测顺序,并对所述主动检测模块与被动检测模块探测的结果采用时间同序算法进行归集,输出各组同时钟状态下的归集结果值;所述白名单筛查模块内置有终端类型字典,用于对所述同时钟状态下的归集结果值进行逐一比对分析,得出各组终端的精确识别结果,确定被探测终端是否属于白名单数据集;所述黑名单存储模块用于存放所述优先权判定模块输入的不属于白名单数据集的异常知识数据,对这些异常知识数据即指纹信息进行存储操作;所述优先权判定模块用于判定终端接入的行为准则,对符合所述白名单数据集范围的终端优先通过,对不符合所述白名单数据集范围的终端进行阻隔操作;所述优先权判定模块对所述黑名单存储模块内的数据设置记忆识别,当再次遇到所述黑名单存储模块内的数据与新的未知终端的数据并行检测时,控制所述逻辑比对模块优先输出未知终端的数据,此举大大降低了同一台设备的攻击者重复攻击网络时带来的数据处理延时。2.根据权利要求1所述的一种基于白名单机制的企业安全防护系统,其特征在于,所述白名单筛查模块可对每个主动检测模块或被动检测模块的探测信息进行单独比对,输出识别结果,但这种单项识别结果是基于单个主动或被动检测模块的探测信息进行识别,对单组探测数据的识别会造成物联网终端识别的精确度不高,而同时比对主动与被动检测模块的数据,又需要上述两个模块的数据时钟同步,方能得到统一的精确识别结果输出。3.根据权利要求1所述的一种基于白名单机制的企业安全防护系统,其特征在于,所述未知终端的数据是指不属于黑名单存储模块内记载的数据。4.一种基于白名单机制的企业安全防护方法,其特征在于,包括:步骤一、逻辑比对模块的工作方案:Ⅰ、本发明一种基于白名单机制的企业安全防护系统并入指定网络进行防护后,所述逻辑比对模块控制主动检测模块与被动检测模块对接入终端进行探测、识别操作;Ⅱ、所述逻辑比对模块控制所述被动检测模块先行探测,得出探测结果B;所述逻辑比对模块将探测结果B中的端口信息D
㏄
发送给所述主动检测模块,控制所述主动检测模块进
行指定端口信息D
㏄
的主动探测;Ⅱ、所述被动检测模块得出探测结果B时,逻辑比对模块设定该探测结果时钟点为t,此时所述主动检测模块在时钟t点时同步进行指定端口信息D
㏄
的主动探测,得出探测结果Z,此时探测结果Z所用时间T,利用滞后时间函数公式可以计算得出;所述滞后时间函数公式为:T=t1+max{t2,t3,t4};其中:T为探测结果Z所用时间;t1为主动检测模块探测接入终端的指定端口D
㏄
所用时间;t2:为主动检测模块获取接入终端的主机信息所用时间;t3:为主动检测模块获取接入终端的网络传输信息所用时间;t4:为主动检测模块获取接入终端的操作系统信息所用时间;max{}为求取最大值的函数公式;t为所述被动检测模块得出探测结果B时,逻辑比对模块设定该探测结果时钟点为t;进一步的,只有t2,t3,t4的探测结果全部出来,主动检测模块才算探测完成,即探测结果Z所用时间T为:t1与[t2,t3,t4]逻辑比对后的最大值的求和,因Nmap主动探测到端口D
㏄
时,获取物联网终端的主机信息、网络传输信息和操作系统信息的主动探测操作为同步,故而[t2,t3,t4]的时间值取值最大,即可涵盖另外两个探测所需时间的时间值;
①
t1时间值的获取方案采用快扫Nmap端口探测报告的方式获得,即:clock<t>Nmap scan report for D
㏄
starting Nmap(https://Nmap.org)at<t>CSTIf it is really up,blocking our ping ...
【专利技术属性】
技术研发人员:冷雪飞,
申请(专利权)人:北京哈工信息产业股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。