防火墙及其方法技术

本发明专利技术提供一种防火墙，包括：侦听装置，用于侦听并拦截访问程序；引擎装置，用于根据所述访问程序而输出指示所述访问程序的危险等级，其中该引擎装置包括分析装置，用于分析所侦听的访问程序的特性；匹配装置，将所分析的程序特性与一数据库进行匹配判断；输出装置，用于根据所述匹配结果来判断所述访问程序的危险等级供用户决策。本发明专利技术从动态和静态两个角度对程序进行扫描分析，发现进程的可疑信息，通过对这些信息的智能分析，给出程序的危险级别，由此用户可基本知道如何处理该程序。

【技术实现步骤摘要】

本专利技术涉及一种防火墙技术。
技术介绍
目前网络病毒的蔓延及恶意程序攻击对计算机系统、网络及数据的安全性造成严重的威胁。为保护计算机系统网络免受攻击和感染，当前提出了许多种保护措施，防火墙技术是其中最常用的一种。防火墙是安装在个人计算机上的网络安全管理软件，用户可以通过设置过滤条件来控制计算机的通信，阻止不安全的网络行为。一种典型的过滤条件就是应用程序的过滤条件，通过它可以阻止不安全的应用程序访问网络。然而，对于如何设置应用程序过滤条件，传统的个人防火墙并没有给用户提供决策参考，因此，防火墙虽然能够阻止程序访问网络，但哪些程序应该被阻止，哪些程序应该被放行一直都是交给用户来判断，用户怎么做完全是依据其自己的判读能力，这对于用户特别是初级用户提出非常高的技术要求，一般用户很难做出正确决策。因此有必要改进目前的防火墙。
技术实现思路
本技术的目的就是要为用户减轻负担，给用户提供准确的决策参-->考信息。利用本技术的智能分析结果，用户基本上可以确定是否该放行某个程序。根据本专利技术的一个方面，提供一种防火墙，包括：侦听装置，用于侦听并拦截访问程序；引擎装置，用于根据所述访问程序而输出指示所述访问程序的危险等级。其中所述引擎装置包括：分析装置，用于分析所侦听的访问程序的特性；匹配装置，将所分析的程序特性与一数据库进行匹配判断；输出装置，用于根据所述匹配结果来判断所述访问程序的危险等级供用户决策。根据本专利技术的另一个方面，提供一种控制网络程序访问的方法，包括：侦听并拦截访问程序；分析所侦听的访问程序的特性；将所分析的程序特性与一数据库进行匹配判断；根据所述匹配结果来判断所述访问程序的危险等级供用户决策。为此本专利技术对访问网络程序进行综合分析，智能识别出程序安全级别，它为用户，特别是初级用户管理网络程序提供了重要参考，解决了以往完全靠用户来识别程序是否安全的问题。本专利技术是在一整套已知技术的基础上，从动态和静态两个角度对程序进行扫描分析，发现进程的可疑信息，通过对这些信息的智能分析，给出程序的危险级别，由此用户可基本知道如何处理该程序。附图说明图1是根据本专利技术的防火墙示意图；-->图2是根据本专利技术的防火墙部分示意图；图3是根据本专利技术的数据库示例示意图；图4是根据本专利技术的智能防火墙处理流程图；具体实施方式如图1所示，根据本实施例的防火墙包括侦听单元1以及智能引擎。其中，侦听装置1用于侦听并拦截网络访问程序，在本专利技术中，侦听装置1可以采用本领域内已知的任何拦截技术来拦截并挂起程序以等待进一步处理；智能引擎则根据所述访问程序而输出指示所述访问程序的危险等级。用户可根据防火墙输出的危险等级提示而决定是否允许所述程序继续执行。在本例中，将程序的危险级别划分为三个等级：低危险程序，未知危险程序，高危险程序。低危险是用户基本可以放心放行的程序，未知危险是需要用户进一步确认的程序，高危险程序极有可能是木马或病毒程序，需要用户谨慎对待。侦听装置1根据用户基于防火墙输出的危险提示做出决策后，释放程序运行或中断运行。在本例中，所述智能引擎包括数据库2、分析装置3、匹配装置4、以及输出装置5。数据库2中存储有与预定程序相关的特性元素或其它数据信息。在本例中，将数据库2可包含三个部分，危险数据表21，定义为RiskData(data)，其中存储有用户或系统定义的敏感数据或其它特别需要保护的安全数据和文件，用户可以设置一些敏感数据的过滤条件，设置此域的目的在于避免敏感数据外泄；危险地址表22，其中存储-->有防火墙供应商或用户定义的敏感端口或恶意地址，包括IP地址，定义为RiskAddress(address)，程序访问了这些地址或端口时将被视为危险行为，在该表中也可以维护通信协议也可作为用户的参考；以及程序控制表23，定义为ProgramControl(...)。作为示例，程序访问控制表23主要由五个域构成，分别是Path域，用于定义程序名称和/或路径；connection域，用于定义是否允许相应的程序访问网络；Post域，用于定义是否允许相应的程序发送邮件，发送邮件一般是由邮件类程序负责，普通程序发送邮件将视为危险行为，这可以避免木马程序将用户数据通过邮件泄露出去；service域，用于定义对应的程序是否是服务器程序，设置此域的目的在：有很多木马程序会在用户机器上作为服务器运行，除非用户指定该程序为服务器程序，否则如果发现某程序作为服务器运行，我们也将认为该程序位危险程序；MD5域，用于定义相应程序的MD5值，因而该程序控制表可简记为ProgramControl(path，connection，post，service，md5)。post项和service项默认为不允许，除非用户特别指定。这里需要指出的是，尽管上述作为示例将数据库2划分为三个表，并且其中所述ProgramControl表仅包含五个域，但对于本领域人员显示而见的是，本专利技术并不限于此，可以根据需要增加相应的表或表中的域。分析装置4用于分析所拦截的程序的特性，并将特性信息提供给匹配装置3。这里的特性包括程序类型，例如发送、接收数据的数据传输程序，或创建地址或文件、连接到网络、监听端口或网络以及接受客户端请求的网络动作。-->在分析装置4得到程序的特性后，将其传输给匹配装置3，用于将所分析的程序特性与上述数据库2进行匹配判断。如图2所示，这里的匹配装置3包括一个转换装置31；由数据保护单元32以及邮件匹配33构成的第一模块；由木马扫描单元34、第一危险地址判断单元35以及验证单元36构成的第二模块；以及由MD5计算单元37、权限验证单元38以及第二危险地址判断单元39构成的第三模块。转换装置31根据接收到的程序特性而执行相应的操作。具体地，当所述分析装置4指示该程序为一数据传输程序时，所述转换装置31切换到第一模块。在此，由数据保护单元32判断所述程序是否包含了存储在所述RiskData表21中的安全数据。如果该程序未包含安全数据，则由所述邮件匹配器33查询所述ProgramControl表以确定所述访问程序是否是注册在所述ProgramControl表中的邮件程序。如果是ProgramControl表中所允许的执行邮件发送、接收的程序，则指示侦听装置1自动地放行该程序。如果该程序不是一个数据传输程序，而是网络动作程序，则转换装置31查询所述ProgramControl表以确定该程序是否注册在所述ProgramControl表中。如果未注册，则转换装置31切换到第二模块。在此由木马扫描单元34对该访问程序和/或该进程加载的程序或数据模块执行木马病毒扫描程序。如果未发现任何木马病毒，则由第一危险地址判断单元35判断所述访问程序是否包含了存储在RiskAddress表22中的预定地址。如果没有包含预定地址，则由所述验证单元36进一步判断所述访问程序是否具有数字签名，其中在所述访问程序具-->有数字签名的情况下，所述验证单元可进一步验证所述签名是否通过预定的验证算法。这里选择数字签名验证技术意义在于：数字签名技术是目前安全领域使用非常广泛的技术。比较规范的软件公司都会为其软件产品进行签名，以此来取得广大用户的信任。所以基本上进行了数字签名并且该签名能够验证通过的软件都是相对安全的本文档来自技高网...

【技术保护点】
一种防火墙，包括：　侦听装置，用于侦听并拦截访问程序；　引擎装置，用于根据所述访问程序而输出指示所述访问程序的危险等级。

【技术特征摘要】
1、一种防火墙，包括：侦听装置，用于侦听并拦截访问程序；引擎装置，用于根据所述访问程序而输出指示所述访问程序的危险等级。2、如权利要求1所述防火墙，其中所述引擎装置包括：分析装置，用于分析所侦听的访问程序的特性；匹配装置，将所分析的程序特性与一数据库进行匹配判断；输出装置，用于根据所述匹配结果来判断所述访问程序的危险等级供用户决策。3、如权利要求2所述的防火墙，其中所述数据库包括危险数据表，用于存储敏感数据信息；所述匹配装置进一步包括一数据保护单元，其中当所述分析装置指示该访问程序为一数据传输程序时，所述数据保护单元判断所述程序是否包含了存储在所述危险数据表中的安全数据。4、如权利要求3所述的防火墙，其中所述数据库进一步包括程序控制表，用于存储有关程序特性的信息，包括：程序名称和/路径域，是否允许访问网络或执行域，是否允许发送邮件域，服务器域以及MD5值域；所述匹配装置进一步包括邮件匹配器，用于查询所述程序控制表以确定所述访问程序是否是注册在所述程序控制表中的邮件程序。5、如权利要求4所述的防火墙，其中当所述分析装置指示所述访问程序为一网络动作程序时，所述匹配装置查询所述程序控制表以确定该程序是否注册在所述程序控制表中。6、如权利要求5所述的防火墙，所述匹配装置进一步包括木马扫描单元，当所述访问程序未包含在所述程序控制表中时，用于对该程序和/或该程序加载的程序模块执行木马扫描程序。7、如权利要求6所述的防火墙，所述数据库进一步包括一个危险地址表，用于存储预定的地址信息，其中所述匹配装置进一步包括第一危险地址判断单元，用于在未找到木马病毒的情况下，判断所述访问程序是否包含了上述预定地址。8、如权利要求7所述的防火墙，所述匹配装置进一步包括验证装置，在所述程序未包含上述预定地址情况下，用于验证所述访问程序是否具有数字签名。9、如权利要求8所述的防火墙，其中在所述访问程序具有数字签名的情况下，所述验证装置进一步验证所述签名是否通过预定的验证算法。10、如权利要求4-9中任一个所述的防火墙，所述匹配装置进一步包括MD5计算单元，当所述访问程序包含在所述程序控制表中时，用于计算该访问程序的MD5值，并与所述访问程序表中预先存储的MD5进行比较以判断访问程序的危险性。11、如权利要求10所述的防火墙，所述匹配装置进一步包括权限验证单元，用于验证所述访问程序是否作为服务器程序运行，并且根据所述程序控制表判断是否允许其作为服务器程序运行。12、如权利要求10所述的防火墙，所述匹配装置进一步包括第二危险地址判断单元，其中当所述访问程序是所述程序控制表允许的程序时，所述第二危险地址判断单元进一步判断该程序是否使用了所述危险地址表中的预定地址。13、如权利要求5所述的防火墙，其中如果所述访问程序记载在程序控制中且标记为不允许执行时，则阻止该程序。14、如权利要求12所述的防火墙，进一步包括更新装置，用于根据所述用户基于风险指示的决策来更新所述程序控制表的相应项。15、如权利要求2所述的防火墙，其中所述数据库包括：危险数据表，用于存储敏感数据信息；程序控制表，用于存储有关程序特性的信息，包括：程序名称和/路径域，是否允许访问网络或执行域，是否允许发送邮件域，服务器域以及MD5值域；危险地址表，用于存储预定的地址信息，其中所述匹配装置根据所述所分析的程序特性执行如下处理：◆当所述分析装置指示该访问程序为一数据传输程序时，·所述匹配装置判断所述程序是否包含了存储在所述危险数据表中的安全数据，如果为是，则输出高危险指示给用户，如果为否，则·查询所述程序控制表以确定所述访问程序是否是注册在所述程序控制表中的邮件程序；如果为是，则发行该程序，如果为否，则输出高危险指示给用户做进一步决策；◆当所述分析装置指示所述访问程序为一网络动作程序时，所述匹配装置查询所述程序控制表以确定该程序是否注册在所述程序控制表中，其中·如果所述程序未注册在所述程序控制表中，则所述匹配装置执行如下处理：i.对该程序和/或该程序加载的程序模块执行木马扫描程序，如果发现木马病毒，提示用户为高危险程序；否则ii.搜索所述危险地址表，如果所述访问程序来自所述危险地址表中的危险地址，则提示用户为高危险程序；否则iii.验证所述访问程序是否具有数字签名，如果签名了并且验证通过，提示用户为低危险程序；如果签名了，但验证不通过，提示用户为高危险程序；如果示签名，则提示用户为未知危险级别程序。·如果该程序注册在程序控制表中并且是不允许访问网络，则防止该程序；·如果该程序注册在程序控制表中并且允许访问网络，则所述匹配装置执行如下处理过程：(1)计算该访问程序的MD5值，并与所述访问程序表中预先存储的MD5进行比较，其中如果不同，则提...

【专利技术属性】
技术研发人员：刘春林，
申请(专利权)人：北京瑞星国际软件有限公司，
类型：发明
国别省市：11[中国|北京]