一种基于白名单机制的企业安全防护系统及方法技术方案

本发明专利技术一种基于白名单机制的企业安全防护系统，包括：指纹信息检测模块、逻辑比对模块、白名单筛查模块、黑名单存储模块以及优先权判定模块；本发明专利技术针对现有终端白名单防护系统识别精度低、容易被攻击的不足，采用主动与被动的双重检测技术，配合优先权判定模块的主动过滤逻辑设计，大大降低了攻击可能性，提高了白名单的阻隔与优先处理效果，一定程度上降低了终端登录的延时情况；通过终端类型字典对同步时钟下的双探测数据进行识别，从而达到高精度的终端识别防护；通过科学的滞后时间函数设计，大大增加了本发明专利技术的识别范围以及识别精度，为安全的白名单架构设计增加了更多的可实现的技术手段。现的技术手段。现的技术手段。

【技术实现步骤摘要】
一种基于白名单机制的企业安全防护系统及方法


[0001]本专利技术专利涉及防护系统
，尤其是一种基于白名单机制的企业安全防护系统及方法。

技术介绍

[0002]随着网络的不断发展，网络安全无法只靠密码的单一模式来保护，攻击者可以轻松的破解WIFI密码，入侵终端设备，冒用IP接入等手段实现网络的远程攻击；黑名单启用后，被列入到黑名单的用户(或IP地址、IP包、邮件、病毒等)不能通过；如果设立了白名单，则在白名单中的用户(或IP地址、IP包、邮件等)会优先通过，不会被当成垃圾邮件拒收，安全性和快捷性都大大提高；将其含义扩展一步，那么凡有黑名单功能的应用，就会有白名单功能与其对应；
[0003]例如：在运营体系中，如果某一用户的号码被列入黑名单，那么它可能不能享用某项业务或全部业务，而白名单内的用户则可不受系统中对普通用户的规则限制。
[0004]通过识别系统中的进程或文件是否具有经批准的属性、常见进程名称、文件名称、发行商名称、数字签名，白名单技术能够让企业批准哪些进程被允许在特定系统运行。有些供应商产品只包括可执行文件，而其他产品还包括脚本和宏，并可以阻止更广泛的文件。其中，一种越来越受欢迎的白名单方法被称为“应用控制”，这种方法专门侧重于管理端点应用的行为。白名单历来被认为难以部署、管理耗时，并且，这种技术让企业很难应付想要部署自己选择的应用的员工。然而，在最近几年，白名单产品已经取得了很大进展，它更好地与现有端点安全技术整合来消除部署和管理障碍，为希望快速安装应用的用户提供了快速的自动批准，即将一个系统作为基准模型，生成自己的内部白名单数据库，或者提供模板用来设置可接受基准，这还可以支持PCI DSS或SOX等标准合规性；
[0005]但现有技术中关于白名单架构设定的过滤标准偏低，基本采用IP地址作为管理入网控制的有效手段，此举很难杜绝黑客冒用IP地址进行诱骗渗透的偷窃与破坏行为；且传统的防火墙白名单架构设计也普遍存在着逻辑设计复杂，指纹信息的有效辨别存在缺陷，现有设计的白名单架构还会经常造成数据包丢包以及白名单登陆延时，无法适应越来越普及的白名单优先通过机制中的使用需要。

技术实现思路

[0006]为了解决上述技术问题，本专利技术提供一种基于白名单机制的企业安全防护系统及方法，根据设备指纹信息进行管控，有效的杜绝了冒用IP身份渗透网络的行为发生，采用简洁的逻辑设计架构，大大增加了运算速度与识别精度，很好的体现了白名单优先通过机制。
[0007]一种基于白名单机制的企业安全防护系统，包括：指纹信息检测模块、逻辑比对模块、白名单筛查模块、黑名单存储模块以及优先权判定模块；
[0008]进一步的，所述指纹信息检测模块包括：主动检测模块与被动检测模块，用于指纹信息的主动检测与被动检测；所述指纹信息是指终端的IP地址以及MAC信息、厂商信息以及
硬件序列号信息等主机信息；
[0009]所述主动检测模块的一端与所述逻辑比对模块的一端电连接；所述被动检测模块的一端与所述逻辑比对模块的另一端电连接；所述白名单筛查模块的一端与所述逻辑比对模块的又一端电连接，所述白名单筛查模块的另一端与所述优先权判定模块的一端电连接；所述优先权判定模块的另一端与所述黑名单存储模块的一端电连接，所述优先权判定模块的又一端与所述逻辑比对模块的再一端电连接；
[0010]进一步的，所述主动检测模块内置有Nmap软件程序，用于主动扫描物联网终端的身份信息；所述身份信息包括：主机信息、端口信息、操作系统信息以及网络传输信息；
[0011]进一步的，所述被动检测模块内置有P0f软件程序，用于被动的探测物联网终端的其他信息；所述其他信息包括：端口信息、数据传输信息以及ISP信息；
[0012]进一步的，所述逻辑比对模块采用逻辑控制算法控制所述主动检测模块与被动检测模块的探测顺序，并对所述主动检测模块与被动检测模块探测的结果采用时间同序算法进行归集，输出各组同时钟状态下的归集结果值；
[0013]作为一种举例说明，所述主动检测模块的探测机理，是规避物联网终端设备的监控软件进行的，其主动探测模式容易引发被探测终端输出的各项数据发生变化，造成所述被动检测模块接收到的探测数据不准确，影响最终的物联网终端识别；
[0014]进一步的，所述白名单筛查模块内置有终端类型字典，用于对所述同时钟状态下的归集结果值进行逐一比对分析，得出各组终端的精确识别结果，确定被探测终端是否属于白名单数据集；
[0015]作为一种举例说明，所述白名单筛查模块可以对每个主动检测模块或被动检测模块的探测信息进行单独比对，输出识别结果，但这种单项识别结果是基于单个主动或被动检测模块的探测信息进行识别，对单组探测数据的识别会造成物联网终端识别的精确度不高，而同时比对主动与被动检测模块的数据，又需要上述两个模块的数据时钟同步，方能得到统一的精确识别结果输出；
[0016]进一步的，所述黑名单存储模块用于存放所述优先权判定模块输入的不属于白名单数据集的异常知识数据，对这些异常知识数据即指纹信息进行存储操作；
[0017]进一步的，所述优先权判定模块用于判定终端接入的行为准则，对符合所述白名单数据集范围的终端优先通过，对不符合所述白名单数据集范围的终端进行阻隔操作；
[0018]所述优先权判定模块对所述黑名单存储模块内的数据设置记忆识别，当再次遇到所述黑名单存储模块内的数据与新的未知终端的数据并行检测时，控制所述逻辑比对模块优先输出未知终端的数据，此举大大降低了同一台设备的攻击者重复攻击网络时带来的数据处理延时；
[0019]作为一种举例说明，所述未知终端的数据是指不属于黑名单存储模块内记载的数据；
[0020]一种基于白名单机制的企业安全防护方法，包括：
[0021]步骤一、逻辑比对模块的工作方案：
[0022]Ⅰ、本专利技术一种基于白名单机制的企业安全防护系统并入指定网络进行防护后，所述逻辑比对模块控制主动检测模块与被动检测模块对接入终端进行探测、识别操作；
[0023]Ⅱ、所述逻辑比对模块控制所述被动检测模块先行探测，得出探测结果B；所述逻
辑比对模块将探测结果B中的端口信息D
㏄
发送给所述主动检测模块，控制所述主动检测模块进行指定端口信息D
㏄
的主动探测；
[0024]Ⅱ、所述被动检测模块得出探测结果B时，逻辑比对模块设定该探测结果时钟点为t，此时所述主动检测模块在时钟t点时同步进行指定端口信息D
㏄
的主动探测，得出探测结果Z，此时探测结果Z所用时间T，利用滞后时间函数公式可以计算得出；
[0025]所述滞后时间函数公式为：
[0026]T＝t1+max{t2，t3，t4}；
[0027]其中：T为探测结果Z所用时间；t1为主动检测模块探测接入终端的指定端口D
㏄
所用时间；t2：为主动检测模块获取接入终端的主机信息所用时间；t3：为主动检测模块获取本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于白名单机制的企业安全防护系统，其特征在于，包括：指纹信息检测模块、逻辑比对模块、白名单筛查模块、黑名单存储模块以及优先权判定模块；所述指纹信息检测模块包括：主动检测模块与被动检测模块，用于指纹信息的主动检测与被动检测；所述指纹信息是指终端的IP地址以及MAC信息、厂商信息以及硬件序列号信息；所述主动检测模块的一端与所述逻辑比对模块的一端电连接；所述被动检测模块的一端与所述逻辑比对模块的另一端电连接；所述白名单筛查模块的一端与所述逻辑比对模块的又一端电连接，所述白名单筛查模块的另一端与所述优先权判定模块的一端电连接；所述优先权判定模块的另一端与所述黑名单存储模块的一端电连接，所述优先权判定模块的又一端与所述逻辑比对模块的再一端电连接；所述主动检测模块内置有Nmap软件程序，用于主动扫描物联网终端的身份信息；所述身份信息包括：主机信息、端口信息、操作系统信息以及网络传输信息；所述被动检测模块内置有P0f软件程序，用于被动的探测物联网终端的其他信息；所述其他信息包括：端口信息、数据传输信息以及ISP信息；所述逻辑比对模块采用逻辑控制算法控制所述主动检测模块与被动检测模块的探测顺序，并对所述主动检测模块与被动检测模块探测的结果采用时间同序算法进行归集，输出各组同时钟状态下的归集结果值；所述白名单筛查模块内置有终端类型字典，用于对所述同时钟状态下的归集结果值进行逐一比对分析，得出各组终端的精确识别结果，确定被探测终端是否属于白名单数据集；所述黑名单存储模块用于存放所述优先权判定模块输入的不属于白名单数据集的异常知识数据，对这些异常知识数据即指纹信息进行存储操作；所述优先权判定模块用于判定终端接入的行为准则，对符合所述白名单数据集范围的终端优先通过，对不符合所述白名单数据集范围的终端进行阻隔操作；所述优先权判定模块对所述黑名单存储模块内的数据设置记忆识别，当再次遇到所述黑名单存储模块内的数据与新的未知终端的数据并行检测时，控制所述逻辑比对模块优先输出未知终端的数据，此举大大降低了同一台设备的攻击者重复攻击网络时带来的数据处理延时。2.根据权利要求1所述的一种基于白名单机制的企业安全防护系统，其特征在于，所述白名单筛查模块可对每个主动检测模块或被动检测模块的探测信息进行单独比对，输出识别结果，但这种单项识别结果是基于单个主动或被动检测模块的探测信息进行识别，对单组探测数据的识别会造成物联网终端识别的精确度不高，而同时比对主动与被动检测模块的数据，又需要上述两个模块的数据时钟同步，方能得到统一的精确识别结果输出。3.根据权利要求1所述的一种基于白名单机制的企业安全防护系统，其特征在于，所述未知终端的数据是指不属于黑名单存储模块内记载的数据。4.一种基于白名单机制的企业安全防护方法，其特征在于，包括：步骤一、逻辑比对模块的工作方案：Ⅰ、本发明一种基于白名单机制的企业安全防护系统并入指定网络进行防护后，所述逻辑比对模块控制主动检测模块与被动检测模块对接入终端进行探测、识别操作；Ⅱ、所述逻辑比对模块控制所述被动检测模块先行探测，得出探测结果B；所述逻辑比对模块将探测结果B中的端口信息D
㏄
发送给所述主动检测模块，控制所述主动检测模块进
行指定端口信息D
㏄
的主动探测；Ⅱ、所述被动检测模块得出探测结果B时，逻辑比对模块设定该探测结果时钟点为t，此时所述主动检测模块在时钟t点时同步进行指定端口信息D
㏄
的主动探测，得出探测结果Z，此时探测结果Z所用时间T，利用滞后时间函数公式可以计算得出；所述滞后时间函数公式为：T＝t1+max{t2，t3，t4}；其中：T为探测结果Z所用时间；t1为主动检测模块探测接入终端的指定端口D
㏄
所用时间；t2：为主动检测模块获取接入终端的主机信息所用时间；t3：为主动检测模块获取接入终端的网络传输信息所用时间；t4：为主动检测模块获取接入终端的操作系统信息所用时间；max{}为求取最大值的函数公式；t为所述被动检测模块得出探测结果B时，逻辑比对模块设定该探测结果时钟点为t；进一步的，只有t2，t3，t4的探测结果全部出来，主动检测模块才算探测完成，即探测结果Z所用时间T为：t1与[t2，t3，t4]逻辑比对后的最大值的求和，因Nmap主动探测到端口D
㏄
时，获取物联网终端的主机信息、网络传输信息和操作系统信息的主动探测操作为同步，故而[t2，t3，t4]的时间值取值最大，即可涵盖另外两个探测所需时间的时间值；
①
t1时间值的获取方案采用快扫Nmap端口探测报告的方式获得，即：clock<t>Nmap scan report for D
㏄
starting Nmap(https://Nmap.org)at<t>CSTIf it is really up，blocking our ping ...

【专利技术属性】
技术研发人员：冷雪飞，
申请(专利权)人：北京哈工信息产业股份有限公司，
类型：发明
国别省市：