【技术实现步骤摘要】
一种跨网络访问进程流量管理方法、系统、设备及介质
[0001]本专利技术实施例涉及可信流量代理设计
,具体涉及一种跨网络访问进程流量管理方法、系统、设备及介质。
技术介绍
[0002]在企事业单位为保护重要数据组建多个网络,通过网络隔离来达到阻断目的,而又出于多种目的需要跨网络访问资源,而很多企业是通过流量代理来实现此目的。
[0003]OpenVPN是一个基于OpenSSL库的应用层VPN实现。技术核心是虚拟网卡及SSL协议实现。通过虚拟专用通道,给企业之间或者个人与公司之间提供安全数据传输的隧道。
[0004]其Windows版本通过NDIS虚拟网及路由策略实现对流量进行转发,缺陷是对系统中所有路由到虚拟网卡的流量进行转发,不能有效管控危险进程的访问隔离网络数据。
技术实现思路
[0005]为此,本专利技术实施例提供一种跨网络访问进程流量管理方法、系统、设备及介质,以解决如何实现有效动态识别并阻断非法进程流量通过代理访问隔离网络,同时应用层对不可信进程流量通过代理时进行报警的问题。<...
【技术保护点】
【技术特征摘要】
1.一种跨网络访问进程流量管理方法,其特征在于,所述方法包括:由服务器向应用层动态下发策略集;当应用程序收到进程创建事件时,使用所述策略集中的规则识别所述进程是否可信;如果所述进程可信,则将进程ID及进程可信状态下发通知WFP驱动层;当进程发起连接或者接收数据时,由所述WFP驱动层捕获链接过程第一个数据包的元组信息,并利用所述应用层下发的通知信息对所述第一个数据包元组进行可信判断;如果所述数据包元组可信,则将可信数据包元组信息通知NDIS驱动层;当有数据包路由到所述NDIS驱动层时,利用所述可信数据包元组信息判断捕获的数据包是否可信;如果所述数据包可信,对可信数据包放行并通过VPN隧道转发到代理服务器;如果所述数据包不可信,丢弃不可信数据包。2.如权利要求1所述的一种跨网络访问进程流量管理方法,其特征在于,利用所述应用层下发的通知信息对所述第一个数据包元组进行可信判断,包括:在WFP驱动层,利用所述进程ID及进程可信状态建立对应关系并维护可信状态列表A;利用所述第一个数据包元组信息中的进程ID与所述可信状态列表A中所有进程ID进行比对,所述第一个数据包元组信息包括:源IP地址、目的IP地址、源端口、目的端口、进程ID和进程路径;若所述可信状态列表A中存在所述第一个数据包元组信息中的进程ID,则所述数据包元组可信,否则所述数据包元组不可信。3.如权利要求2所述的一种跨网络访问进程流量管理方法,其特征在于,利用所述可信数据包元组信息判断捕获的数据包是否可信,包括:在NDIS驱动层增量添加可信数据包元组信息,并维护可信数据包元组列表B;将捕获数据包的四元组信息与所述可信数据包元组列表B中的所有可信数据包元组信息进行比对;若所述可信数据包元组列表B中存在所述捕获数据包的四元组信息,则所述数据包可信,否则所述数据包不可信;所述四元组信息包括:源IP地址、目的IP地址、源端口和目的端口。4.如权利要求3所述的一种跨网络访问进程流量管理方法,其特征在于,所述方法还包括:如果所述数据包元组不可信,由所述WFP驱动层将不可信数据包元组信息上报所述应用层;由所述应用层从所述不可信数据包元组信息中获取第一不可信四元组信息,利用所述第一不可信四元组信息及进程信息构建两者对应关系,并维护不可信数据包四元组及进程信息列表C;如果所述数据包不可信,由所述NDIS驱动层将第二不可信四元组信息上报所述应用层;由所述应用层对不可信数据包进行溯源,将所述第二不可信四元组信息与所述不可信数据包四元组及进程信息列表C中的所有第一不可信四元组信息进行对比,若所述第二不可信四元组信息与任一第一不可信四元组信息相同,则进行界面报警并上报日志到服务器。
5.如权利要求4所述的一种跨网络访问进程流量管理方法,其特征在于,所述方法还包括:由HOOK驱动层采用PsSetCreateProcessNotifyRoutine注册进程通知回调,监控所述进程的创建过程与退出;当有所述进程创建时...
【专利技术属性】
技术研发人员:张志宇,何艺,陈洪国,
申请(专利权)人:北京持安科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。