專利名稱:一種計(jì)算機(jī)終端網(wǎng)絡(luò)安全防護(hù)的控制方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計(jì)算機(jī)技術(shù)領(lǐng)域���,尤其涉及一種計(jì)算機(jī)終端網(wǎng)絡(luò)安全防護(hù)的控制方法 和系統(tǒng)����。
背景技術(shù):
hternet的出現(xiàn)及其迅速發(fā)展給現(xiàn)代人的生產(chǎn)和生活都帶來(lái)了前所未有的飛躍��, 它促進(jìn)了信息的廣泛交流�,大大提高了工作效率,豐富了人們的精神生活�����。然而�,隨著計(jì)算 機(jī)網(wǎng)絡(luò)技術(shù)的突飛猛進(jìn),網(wǎng)絡(luò)安全的問(wèn)題已經(jīng)日益突出地?cái)[在各類用戶的面前�,網(wǎng)絡(luò)的安 全防護(hù)成為最為關(guān)注的重點(diǎn)。隨著網(wǎng)絡(luò)安全問(wèn)題日益嚴(yán)重�����,網(wǎng)絡(luò)安全產(chǎn)品逐漸被人們重視 起來(lái)��。通過(guò)對(duì)網(wǎng)絡(luò)信息進(jìn)行監(jiān)控以實(shí)現(xiàn)安全防護(hù)����。比如用禁止特定端口的方法設(shè)置對(duì)外通 信來(lái)防止木馬;或者禁止來(lái)自特殊站點(diǎn)的訪問(wèn)����,從而防止來(lái)自入侵者的所有通信��。目前個(gè)人 用戶對(duì)網(wǎng)絡(luò)安全防護(hù)的需求在不斷增加�,而Windows操作系統(tǒng)是使用最為廣泛的PC操作系 統(tǒng)����,因此如何在Windows操作系統(tǒng)下開(kāi)發(fā)網(wǎng)絡(luò)防護(hù)功能顯得尤為重要了。現(xiàn)有的一些安全 防護(hù)產(chǎn)品都是通過(guò)分析數(shù)據(jù)包來(lái)實(shí)現(xiàn)判斷的�����,并不能檢測(cè)到木馬程序在讀那些文件�。
發(fā)明內(nèi)容
本發(fā)明的目的在于提出一種計(jì)算機(jī)終端網(wǎng)絡(luò)安全防護(hù)的控制方法和系統(tǒng)��,能夠主 動(dòng)檢測(cè)所有進(jìn)程網(wǎng)絡(luò)事件�、讀寫(xiě)事件和窗口觸發(fā)事件,提高了計(jì)算機(jī)終端網(wǎng)絡(luò)的安全性�����。為達(dá)此目的���,本發(fā)明采用以下技術(shù)方案一種計(jì)算機(jī)終端網(wǎng)絡(luò)安全防護(hù)的控制方法��,包括以下步驟A�����、接收 WINDOWS 消息�;B、接收SPI發(fā)送的網(wǎng)絡(luò)事件消息�����;C�、判斷所述網(wǎng)絡(luò)事件是否存在潛在威脅,如果否���,則放行����,如果是�����,則轉(zhuǎn)至步驟D �����;D、判斷所述網(wǎng)絡(luò)事件的PID是否在黑白名單里����,如果在黑名單里,則阻止��,如果在 白名單里��,則放行��,如果不在黑白名單里��,則轉(zhuǎn)至步驟E �����;E�����、判斷所述網(wǎng)絡(luò)事件的PID是否在阻止放行鏈表中���,如果在阻止鏈表中,則阻止�����, 如果在放行鏈表中,則放行�,如果不在阻止放行鏈表中,則轉(zhuǎn)至步驟F ���;F����、彈出對(duì)話框���,顯示是否阻止信息�,讓用戶選擇是否阻止���;G�、將用戶選擇結(jié)果保存到阻止放行鏈表或者黑白名單中�����,并返回選擇結(jié)果����。還包括以下步驟接收FileMon發(fā)送的讀事件消息�����;按照文件類型過(guò)濾消息內(nèi)容����,將過(guò)濾結(jié)果保存在結(jié)構(gòu)體中����;起線程AfxRefreshReadList,更新讀事件鏈表����。還包括以下步驟接收鍵盤鼠標(biāo)事件發(fā)送的消息;將獲取的消息內(nèi)容保存在鏈表中��。
步驟C進(jìn)一步包括以下步驟檢測(cè)當(dāng)前網(wǎng)絡(luò)事件hfoPID是否存在潛在威脅功能函數(shù)��;遍歷窗口操作PID鏈表�,判斷當(dāng)前網(wǎng)絡(luò)事件hfoPID在預(yù)定時(shí)間內(nèi)是否操作過(guò)�����;如果是,則判斷當(dāng)前網(wǎng)絡(luò)事件hfoPID是合法網(wǎng)絡(luò)事件����,則放行;如果否����,則遍歷窗口操作PID鏈表,判斷當(dāng)前網(wǎng)絡(luò)事件hfoPID是否有讀操作��;如果否����,則判斷當(dāng)前網(wǎng)絡(luò)事件hfoPID是合法網(wǎng)絡(luò)事件,則放行�����;如果是���,則判斷當(dāng)前網(wǎng)絡(luò)事件hfoPID是異常PID���,返回當(dāng)前網(wǎng)絡(luò)事件PID?��!N計(jì)算機(jī)終端網(wǎng)絡(luò)安全防護(hù)的控制系統(tǒng)�����,包括文件讀寫(xiě)過(guò)濾驅(qū)動(dòng)模塊�����、網(wǎng)絡(luò)事 件監(jiān)控模塊�����、觸發(fā)窗口事件監(jiān)控模塊����、黑白名單管理模塊、進(jìn)程鏈表實(shí)時(shí)監(jiān)控模塊和危險(xiǎn)進(jìn) 程監(jiān)控模塊����,進(jìn)程鏈表實(shí)時(shí)監(jiān)控模塊分別與文件讀寫(xiě)過(guò)濾驅(qū)動(dòng)模塊、網(wǎng)絡(luò)事件監(jiān)控模塊和 觸發(fā)窗口事件監(jiān)控模塊連接�����,危險(xiǎn)進(jìn)程監(jiān)控模塊與黑白名單管理模塊連接����,文件讀寫(xiě)過(guò)濾 驅(qū)動(dòng)模塊、網(wǎng)絡(luò)事件監(jiān)控模塊和觸發(fā)窗口事件監(jiān)控模塊分別與危險(xiǎn)進(jìn)程監(jiān)控模塊連接�����,其 中�,文件讀寫(xiě)過(guò)濾驅(qū)動(dòng)模塊用于實(shí)時(shí)監(jiān)控計(jì)算機(jī)所有進(jìn)程對(duì)文件的讀操作,同時(shí)過(guò)濾 操作系統(tǒng)進(jìn)程對(duì)文件的操作�,以及系統(tǒng)白名單中文件的類型,并記錄相應(yīng)的進(jìn)程的PID���、所 操作的文件的路徑�����、操作的時(shí)間����,通過(guò)WINDOWS消息機(jī)制傳遞給數(shù)據(jù)防火墻主進(jìn)程���;網(wǎng)絡(luò)事件監(jiān)控模塊用于通過(guò)SPI檢測(cè)控制網(wǎng)絡(luò)事件�,分析進(jìn)程鏈表中所有進(jìn)程��, 記錄發(fā)生過(guò)網(wǎng)絡(luò)操作的事件的PID ;觸發(fā)窗口事件監(jiān)控模塊用于維護(hù)動(dòng)態(tài)鏈表以實(shí)時(shí)檢測(cè)����、更新、存儲(chǔ)觸發(fā)窗口事件 的進(jìn)程��,并通過(guò)WINDOWS消息����,把觸發(fā)鍵盤鼠標(biāo)操作事件的進(jìn)程PID和操作時(shí)間記錄下來(lái), 存儲(chǔ)在一個(gè)窗口 PID鏈表中�;黑白名單管理模塊用于將經(jīng)常使用的網(wǎng)絡(luò)程序設(shè)置到白名單,避免監(jiān)控�,將危險(xiǎn) 進(jìn)程設(shè)置到黑名單,計(jì)算機(jī)屏蔽掉所述危險(xiǎn)進(jìn)程的所有網(wǎng)絡(luò)事件�;進(jìn)程鏈表實(shí)時(shí)監(jiān)控模塊用于實(shí)時(shí)管理、監(jiān)控任務(wù)管理器列表中所有的進(jìn)程的網(wǎng)絡(luò) 事件信息��、窗口操作信息和文件讀寫(xiě)信息��;危險(xiǎn)進(jìn)程監(jiān)控模塊用于根據(jù)實(shí)時(shí)監(jiān)控收集到的數(shù)據(jù)信息�,實(shí)時(shí)動(dòng)態(tài)監(jiān)控、發(fā)現(xiàn)危 險(xiǎn)操作��,并給用戶響應(yīng)的信息提示�����,讓用戶判斷是否允許所述進(jìn)程網(wǎng)絡(luò)操作���。文件讀寫(xiě)過(guò)濾驅(qū)動(dòng)模塊采用基于Filemon的WINDOWS文件過(guò)濾系統(tǒng)驅(qū)動(dòng)��。采用了本發(fā)明的技術(shù)方案�,通過(guò)主動(dòng)檢測(cè)所有進(jìn)程網(wǎng)絡(luò)事件�����、讀寫(xiě)事件和窗口觸 發(fā)事件��,若發(fā)現(xiàn)非本機(jī)主動(dòng)激發(fā)的各類進(jìn)程事件���,即可進(jìn)行分析篩選��,并根據(jù)一定的檢測(cè)策 略�����,判別其合法性����,如不合法,則立刻給出提示信息��,由用戶決定是否放行和允許該進(jìn)程運(yùn) 行并傳遞數(shù)據(jù)信息�����,否則就放行���,從而有效地阻止了非法網(wǎng)絡(luò)程序?qū)Ρ緳C(jī)信息的竊取��。
圖1是本發(fā)明具體實(shí)施方式
中計(jì)算機(jī)終端網(wǎng)絡(luò)安全防護(hù)的控制系統(tǒng)的結(jié)構(gòu)示意圖�。圖2是本發(fā)明具體實(shí)施方式
中計(jì)算機(jī)終端網(wǎng)絡(luò)安全防護(hù)的控制流程圖����。
具體實(shí)施例方式下面結(jié)合附圖并通過(guò)具體實(shí)施方式
來(lái)進(jìn)一步說(shuō)明本發(fā)明的技術(shù)方案。
通過(guò)對(duì)大量的木馬�、病毒等惡意程序竊取網(wǎng)絡(luò)數(shù)據(jù)行為進(jìn)行綜合分析,發(fā)現(xiàn)其主 要的原理有以下特性1�����、讀取�����、修改、刪除用戶電腦文件信息���,包括文本文件�、數(shù)據(jù)庫(kù)文件�����、圖片����、視頻文 件等存儲(chǔ)重要密碼信息的文件數(shù)據(jù)�����。2���、有網(wǎng)絡(luò)發(fā)包行為�����,通過(guò)解析主要基于TCP��、UDP等協(xié)議����。3、通常都是基于后臺(tái)操作����,即沒(méi)有窗口彈出;或存儲(chǔ)在獨(dú)立的exe程序中��,或以 DLL的形式注入到其他進(jìn)程中��。根據(jù)上述研究�,可以通過(guò)制定相應(yīng)的策略實(shí)時(shí)檢測(cè)任務(wù)管理 器中的各個(gè)進(jìn)程,分析其行為特征�����,判斷其危險(xiǎn)等級(jí)��,以提供給用戶來(lái)決策����,并協(xié)助用戶阻 止危險(xiǎn)操作的發(fā)生。數(shù)據(jù)安全整體設(shè)計(jì)思想通過(guò)檢測(cè)所有進(jìn)程網(wǎng)絡(luò)事件���、讀寫(xiě)事件��,以及窗口觸發(fā)事 件��,按照一定的策略檢測(cè)�、分析當(dāng)前進(jìn)程是否存在潛在危險(xiǎn),如果存在危險(xiǎn)告知用戶�,并提 供給用戶相應(yīng)的解決辦法。圖1是本發(fā)明具體實(shí)施方式
中計(jì)算機(jī)終端網(wǎng)絡(luò)安全防護(hù)的控制系統(tǒng)的結(jié)構(gòu)示意 圖���。如圖1所示����,該計(jì)算機(jī)終端網(wǎng)絡(luò)安全防護(hù)的控制系統(tǒng)包括文件讀寫(xiě)過(guò)濾驅(qū)動(dòng)模塊103��、 網(wǎng)絡(luò)事件監(jiān)控模塊104�����、觸發(fā)窗口事件監(jiān)控模塊105�����、黑白名單管理模塊102���、進(jìn)程鏈表實(shí)時(shí) 監(jiān)控模塊101和危險(xiǎn)進(jìn)程監(jiān)控模塊106�。進(jìn)程鏈表實(shí)時(shí)監(jiān)控模塊分別與文件讀寫(xiě)過(guò)濾驅(qū)動(dòng)模塊��、網(wǎng)絡(luò)事件監(jiān)控模塊和觸發(fā) 窗口事件監(jiān)控模塊連接�����,危險(xiǎn)進(jìn)程監(jiān)控模塊與黑白名單管理模塊連接����,文件讀寫(xiě)過(guò)濾驅(qū)動(dòng) 模塊、網(wǎng)絡(luò)事件監(jiān)控模塊和觸發(fā)窗口事件監(jiān)控模塊分別與危險(xiǎn)進(jìn)程監(jiān)控模塊連接���。其中���,文件讀寫(xiě)過(guò)濾驅(qū)動(dòng)模塊、網(wǎng)絡(luò)事件監(jiān)控模塊和觸發(fā)窗口事件監(jiān)控模塊是獨(dú) 立的模塊�����,它們由進(jìn)程鏈表實(shí)時(shí)監(jiān)控模塊聯(lián)系起來(lái)�,協(xié)同工作。以進(jìn)程鏈表實(shí)時(shí)監(jiān)控模塊 和黑白名單管理模塊為基礎(chǔ)�����,危險(xiǎn)進(jìn)程監(jiān)控模塊完成系統(tǒng)功能。用戶將使用信息傳給黑白 名單管理模塊�,黑白名單管理模塊將信息傳給危險(xiǎn)進(jìn)程監(jiān)控模塊;進(jìn)程鏈表實(shí)時(shí)監(jiān)控模塊 將信息傳給文件讀寫(xiě)過(guò)濾驅(qū)動(dòng)模塊�����、網(wǎng)絡(luò)事件監(jiān)控模塊和觸發(fā)窗口事件監(jiān)控模塊���,文件讀 寫(xiě)過(guò)濾驅(qū)動(dòng)模塊�����、網(wǎng)絡(luò)事件監(jiān)控模塊和觸發(fā)窗口事件監(jiān)控模塊將信息傳給危險(xiǎn)進(jìn)程監(jiān)控模 塊�,危險(xiǎn)進(jìn)程監(jiān)控模塊匯總和分析信息后返回給用戶���。文件讀寫(xiě)過(guò)濾驅(qū)動(dòng)模塊用于實(shí)時(shí)監(jiān)控計(jì)算機(jī)所有進(jìn)程對(duì)文件的讀操作,同時(shí)過(guò)濾 操作系統(tǒng)進(jìn)程對(duì)文件的操作����,以及系統(tǒng)白名單中文件的類型,并記錄相應(yīng)的進(jìn)程的PID��、所 操作的文件的路徑、操作的時(shí)間�,通過(guò)WINDOWS消息機(jī)制傳遞給數(shù)據(jù)防火墻主進(jìn)程;網(wǎng)絡(luò)事件監(jiān)控模塊用于通過(guò)SPI檢測(cè)控制網(wǎng)絡(luò)事件���,分析進(jìn)程鏈表中所有進(jìn)程�, 記錄發(fā)生過(guò)網(wǎng)絡(luò)操作的事件的PID ��;觸發(fā)窗口事件監(jiān)控模塊用于維護(hù)動(dòng)態(tài)鏈表以實(shí)時(shí)檢測(cè)�、更新、存儲(chǔ)觸發(fā)窗口事件 的進(jìn)程�,并通過(guò)WINDOWS消息,把觸發(fā)鍵盤鼠標(biāo)操作事件的進(jìn)程PID和操作時(shí)間記錄下來(lái)����, 存儲(chǔ)在一個(gè)窗口 PID鏈表中;黑白名單管理模塊用于將經(jīng)常使用的網(wǎng)絡(luò)程序設(shè)置到白名單�,避免監(jiān)控,將危險(xiǎn) 進(jìn)程設(shè)置到黑名單�����,計(jì)算機(jī)屏蔽掉所述危險(xiǎn)進(jìn)程的所有網(wǎng)絡(luò)事件�����;進(jìn)程鏈表實(shí)時(shí)監(jiān)控模塊用于實(shí)時(shí)管理、監(jiān)控任務(wù)管理器列表中所有的進(jìn)程的網(wǎng)絡(luò) 事件信息�、窗口操作信息和文件讀寫(xiě)信息;危險(xiǎn)進(jìn)程監(jiān)控模塊用于根據(jù)實(shí)時(shí)監(jiān)控收集到的數(shù)據(jù)信息��,實(shí)時(shí)動(dòng)態(tài)監(jiān)控�����、發(fā)現(xiàn)危險(xiǎn)操作�,并給用戶響應(yīng)的信息提示,讓用戶判斷是否允許所述進(jìn)程網(wǎng)絡(luò)操作��。文件讀寫(xiě)過(guò)濾驅(qū)動(dòng)模塊采用基于Filemon的WINDOWS文件過(guò)濾系統(tǒng)驅(qū)動(dòng)���。圖2是本發(fā)明具體實(shí)施方式
中計(jì)算機(jī)終端網(wǎng)絡(luò)安全防護(hù)的控制流程圖����。如圖2所 示�����,該計(jì)算機(jī)終端網(wǎng)絡(luò)安全防護(hù)的控制流程包括以下步驟步驟201����、接收WINDOWS消息。步驟202�、接收SPI發(fā)送的網(wǎng)絡(luò)事件消息。步驟203���、判斷網(wǎng)絡(luò)事件是否存在潛在威脅�,如果否�,則放行,如果是���,則轉(zhuǎn)至步驟 204�。判斷網(wǎng)絡(luò)事件是否存在潛在威脅進(jìn)一步包括以下步驟檢測(cè)當(dāng)前網(wǎng)絡(luò)事件hfoPID是否存在潛在威脅功能函數(shù)����;遍歷窗口操作PID鏈表,判斷當(dāng)前網(wǎng)絡(luò)事件hfoPID在預(yù)定時(shí)間內(nèi)是否操作過(guò)����;如果是,則判斷當(dāng)前網(wǎng)絡(luò)事件hfoPID是合法網(wǎng)絡(luò)事件��,則放行��;如果否��,則遍歷窗口操作PID鏈表,判斷當(dāng)前網(wǎng)絡(luò)事件hfoPID是否有讀操作�����;如果否�����,則判斷當(dāng)前網(wǎng)絡(luò)事件hfoPID是合法網(wǎng)絡(luò)事件���,則放行�;如果是�����,則判斷當(dāng)前網(wǎng)絡(luò)事件hfoPID是異常PID��,返回當(dāng)前網(wǎng)絡(luò)事件PID��。步驟204����、判斷所述網(wǎng)絡(luò)事件的PID是否在黑白名單里,如果在黑名單里��,則阻止�, 如果在白名單里,則放行����,如果不在黑白名單里,則轉(zhuǎn)至步驟205�。步驟205、判斷所述網(wǎng)絡(luò)事件的PID是否在阻止放行鏈表中���,如果在阻止鏈表中�����, 則阻止���,如果在放行鏈表中,則放行�����,如果不在阻止放行鏈表中�����,則轉(zhuǎn)至步驟206。步驟206��、彈出對(duì)話框�,顯示是否阻止信息,讓用戶選擇是否阻止�。步驟207、將用戶選擇結(jié)果保存到阻止放行鏈表或者黑白名單中�,并返回選擇結(jié)^ ο還可以包括以下步驟301、接收FileMon發(fā)送的讀事件消息�����。302����、按照文件類型過(guò)濾消息內(nèi)容,將過(guò)濾結(jié)果保存在結(jié)構(gòu)體中�。303、起線程AfxRefreshReadList�����,更新讀事件鏈表�����。還可以包括以下步驟401、接收鍵盤鼠標(biāo)事件發(fā)送的消息����。402�、將獲取的消息內(nèi)容保存在鏈表中。下面具體描述各個(gè)模塊的具體工作流程�。1、文件讀寫(xiě)過(guò)濾驅(qū)動(dòng)模塊WINDOWS文件過(guò)濾系統(tǒng)驅(qū)動(dòng)開(kāi)發(fā)����,可用于硬盤還原,防病毒�����,文件安全防護(hù)����,文件加 密等諸多領(lǐng)域。該系統(tǒng)采用基于Filemon的WINDOWS文件過(guò)濾系統(tǒng)驅(qū)動(dòng)��。Filemon的大致 架構(gòu)為�����,在此驅(qū)動(dòng)程序中,創(chuàng)建了兩類設(shè)備對(duì)象���。一類設(shè)備對(duì)象用于和Filemon對(duì)應(yīng)的exe 程序通信�����,以接收用戶輸入信息���,比如掛接或監(jiān)控哪個(gè)分區(qū),是否要掛接����,是否要監(jiān)控,監(jiān)控 何種操作等���。此設(shè)備對(duì)象只創(chuàng)建了一個(gè)��,在驅(qū)動(dòng)程序的入口函數(shù)中�。此類設(shè)備對(duì)象一般稱為 控制設(shè)備對(duì)象�,并有名字,以方便應(yīng)用層與其通信操作�����。第二類設(shè)備對(duì)象用于掛接到所須監(jiān) 控的分區(qū),比如c:�����,d:或e:����,f:�,以便攔截到引應(yīng)用層對(duì)該分區(qū)所執(zhí)行的讀,寫(xiě)等操作�����。此 類設(shè)備對(duì)象為安全起見(jiàn)�����,一般不予命名�����,可根據(jù)須監(jiān)控多少分區(qū)而創(chuàng)建一個(gè)或多個(gè)����。
文件讀寫(xiě)過(guò)濾模塊采用基于Filemon的WINDOWS文件過(guò)濾系統(tǒng)驅(qū)動(dòng)���,實(shí)時(shí)監(jiān)控本 機(jī)所有進(jìn)程對(duì)文件的讀操作,同時(shí)過(guò)濾操作系統(tǒng)進(jìn)程對(duì)文件的操作���,以及系統(tǒng)白名單中文 件的類型�����;并記錄相應(yīng)的進(jìn)程的PID���,所操作的文件的路徑,操作的時(shí)間等信息�。最后會(huì)通 過(guò)WINDOWS消息機(jī)制傳遞給數(shù)據(jù)防火墻主進(jìn)程。2�、網(wǎng)絡(luò)事件監(jiān)控模塊通過(guò)SPI可以檢測(cè)控制網(wǎng)絡(luò)事件,分析進(jìn)程列表中所有進(jìn)程����,對(duì)于發(fā)生過(guò)網(wǎng)絡(luò)操 作的事件記錄其PID號(hào)。3�����、觸發(fā)窗口事件監(jiān)控模塊維護(hù)動(dòng)態(tài)列表用來(lái)實(shí)時(shí)檢測(cè)、更新����、存儲(chǔ)觸發(fā)窗口事件的進(jìn)程。在主監(jiān)控進(jìn)程中掛 一個(gè)全局鉤子����,用來(lái)實(shí)時(shí)監(jiān)控進(jìn)程列表中所有關(guān)于鼠標(biāo)、鍵盤的進(jìn)程的操作���;鉤子實(shí)際上是 一個(gè)處理消息的程序段�����,通過(guò)系統(tǒng)調(diào)用,把它掛入系統(tǒng)���。每當(dāng)特定的消息發(fā)出���,在沒(méi)有到達(dá) 目的窗口前,鉤子程序就先捕獲該消息���,即鉤子函數(shù)先得到控制權(quán)����。這時(shí)鉤子函數(shù)即可以加 工處理(改變)該消息,也可以不作處理而繼續(xù)傳遞該消息��,還可以強(qiáng)制結(jié)束消息的傳遞���。通過(guò)WINDOWS消息��,把觸發(fā)鼠標(biāo)����、鍵盤操作事件的進(jìn)程PID����、操作時(shí)間等記錄下來(lái), 存儲(chǔ)在一個(gè)窗口 PID列表中�。主監(jiān)控程序通過(guò)監(jiān)控線程,實(shí)時(shí)更新進(jìn)程PID鏈表����,窗口顯示 列表,配置文件內(nèi)容等信息��;窗口事件鏈表維護(hù)邏輯每接收一個(gè)窗口操作PID�����,都要更新 其PID窗口操作列表,首先遍歷一遍進(jìn)程PID鏈表����,判斷當(dāng)前元素是否在鏈表中,如已經(jīng)存 在列表中則替換以前的值���,否則在列表末尾追加操作���。4、黑白名單管理模塊用戶電腦有許多日常網(wǎng)絡(luò)程序�,為了方便用戶管理,同時(shí)不影響客戶正常網(wǎng)絡(luò)程 序的使用�����。該系統(tǒng)設(shè)置了黑白名單管理功能���,可對(duì)某些經(jīng)常使用的網(wǎng)絡(luò)程序設(shè)置到白名單, 避免了許多不必要監(jiān)控�����。另一方面,對(duì)于一些危險(xiǎn)進(jìn)程可以直接將其設(shè)置到黑名單�,系統(tǒng)自 動(dòng)屏蔽掉該進(jìn)程所有網(wǎng)絡(luò)事件,最大程度地保護(hù)用戶電腦的安全�����。該功能主要通過(guò)實(shí)時(shí)監(jiān)控�����、修改后臺(tái)的配置文件��,當(dāng)有第一次檢測(cè)到危險(xiǎn)進(jìn)程時(shí)�����, 主程序會(huì)彈出提示框�,并允許用戶選擇是否永久阻止或者放行該程序,即可把當(dāng)前程序添 加到黑白名單當(dāng)中�。該方式非常人性化,便于普通用戶使用�����。同時(shí),項(xiàng)目實(shí)施人員也可以直 接通過(guò)修改配置文件��,來(lái)添加黑白名單���;功能非常靈活方便�����。主程序會(huì)實(shí)時(shí)檢測(cè)該文件�,任 何時(shí)候?qū)ξ募男薷?��,主程序都?huì)檢測(cè)到���,并自動(dòng)執(zhí)行相應(yīng)的策略,無(wú)需重啟主程序�����。5�、進(jìn)程列表實(shí)時(shí)監(jiān)控模塊該系統(tǒng)的核心操作是要實(shí)時(shí)管理、監(jiān)控任務(wù)管理器列表中所有的進(jìn)程的網(wǎng)絡(luò)事件 信息���、窗口操作信息、文件讀寫(xiě)信息,實(shí)時(shí)�、準(zhǔn)確地獲取這些信息就變的非常重要。該系統(tǒng)主 要通過(guò)三個(gè)獨(dú)立的線程分別管理三個(gè)PID鏈表���,實(shí)現(xiàn)對(duì)進(jìn)程的實(shí)時(shí)監(jiān)控����。進(jìn)程AfxCheckPidThread用來(lái)實(shí)時(shí)記錄更新的所有進(jìn)程基本信息�,以及記錄主界 面中列表框中顯示的進(jìn)程信息。線程RefreshDeleteRead用來(lái)刪除過(guò)期的讀操作鏈表中的數(shù)據(jù)��,保證讀寫(xiě)鏈表中 的PID信息都是在允許的操作周期內(nèi)����。線程AfxRefreshThread實(shí)時(shí)更新鍵盤、鼠標(biāo)操作的 PID鏈表�,網(wǎng)絡(luò)事件鏈表。線程AfxRefreshReadLiStHiread用來(lái)更新讀PID鏈表�。6、危險(xiǎn)進(jìn)程監(jiān)控模塊通過(guò)實(shí)時(shí)監(jiān)控收集到的數(shù)據(jù)信息���,該系統(tǒng)有一套智能策略算法�,實(shí)時(shí)動(dòng)態(tài)監(jiān)控�����、發(fā)現(xiàn)危險(xiǎn)操作,并給用戶響應(yīng)的信息提示����,例如潛在危險(xiǎn)進(jìn)程的名稱、PID號(hào)�、進(jìn)程路徑、屬 性信息等����。供用戶來(lái)決斷是否允許該進(jìn)程網(wǎng)絡(luò)操作。該監(jiān)控模塊首先會(huì)通過(guò)分析當(dāng)前有網(wǎng)絡(luò)發(fā)包的進(jìn)程����,判斷在允許的時(shí)間范圍內(nèi) (例如1分鐘)其窗口是否被操作過(guò);如果沒(méi)有相關(guān)操作�,則立即放行,否則繼續(xù)判斷是否 有讀取本機(jī)文件的相關(guān)操作��,如果被操作過(guò)�����,則立即放行�����,否則即可判斷該進(jìn)程是危險(xiǎn)進(jìn) 程����,立即通知用戶該操作有潛在的危險(xiǎn)。以上所述�����,僅為本發(fā)明較佳的具體實(shí)施方式
�,但本發(fā)明的保護(hù)范圍并不局限于此, 任何熟悉該技術(shù)的人在本發(fā)明所揭露的技術(shù)范圍內(nèi)��,可輕易想到的變化或替換�,都應(yīng)涵蓋 在本發(fā)明的保護(hù)范圍之內(nèi)。因此�����,本發(fā)明的保護(hù)范圍應(yīng)該以權(quán)利要求的保護(hù)范圍為準(zhǔn)�。
權(quán)利要求
1.一種計(jì)算機(jī)終端網(wǎng)絡(luò)安全防護(hù)的控制方法,其特征在于����,包括以下步驟A���、接收WINDOWS消息;B��、接收SPI發(fā)送的網(wǎng)絡(luò)事件消息����;C、判斷所述網(wǎng)絡(luò)事件是否存在潛在威脅����,如果否,則放行���,如果是�����,則轉(zhuǎn)至步驟D����;D�����、判斷所述網(wǎng)絡(luò)事件的PID是否在黑白名單里,如果在黑名單里�����,則阻止�,如果在白名 單里���,則放行���,如果不在黑白名單里,則轉(zhuǎn)至步驟E �;E、判斷所述網(wǎng)絡(luò)事件的PID是否在阻止放行鏈表中���,如果在阻止鏈表中���,則阻止,如果 在放行鏈表中���,則放行�,如果不在阻止放行鏈表中�����,則轉(zhuǎn)至步驟F ;F��、彈出對(duì)話框����,顯示是否阻止信息,讓用戶選擇是否阻止����;G、將用戶選擇結(jié)果保存到阻止放行鏈表或者黑白名單中�����,并返回選擇結(jié)果�。
2.根據(jù)權(quán)利要求1所述的一種計(jì)算機(jī)終端網(wǎng)絡(luò)安全防護(hù)的控制方法,其特征在于��,還 包括以下步驟接收FileMon發(fā)送的讀事件消息�����; 按照文件類型過(guò)濾消息內(nèi)容,將過(guò)濾結(jié)果保存在結(jié)構(gòu)體中���; 起線程AfxRefreshReadList�,更新讀事件鏈表�。
3.根據(jù)權(quán)利要求1所述的一種計(jì)算機(jī)終端網(wǎng)絡(luò)安全防護(hù)的控制方法,其特征在于�����,還 包括以下步驟接收鍵盤鼠標(biāo)事件發(fā)送的消息��; 將獲取的消息內(nèi)容保存在鏈表中���。
4.根據(jù)權(quán)利要求1所述的一種計(jì)算機(jī)終端網(wǎng)絡(luò)安全防護(hù)的控制方法,其特征在于�,步 驟C進(jìn)一步包括以下步驟檢測(cè)當(dāng)前網(wǎng)絡(luò)事件hfoPID是否存在潛在威脅功能函數(shù);遍歷窗口操作PID鏈表�,判斷當(dāng)前網(wǎng)絡(luò)事件hfoPID在預(yù)定時(shí)間內(nèi)是否操作過(guò);如果是�,則判斷當(dāng)前網(wǎng)絡(luò)事件hfoPID是合法網(wǎng)絡(luò)事件,則放行�����;如果否����,則遍歷窗口操作PID鏈表���,判斷當(dāng)前網(wǎng)絡(luò)事件hfoPID是否有讀操作;如果否�,則判斷當(dāng)前網(wǎng)絡(luò)事件hfoPID是合法網(wǎng)絡(luò)事件,則放行���;如果是����,則判斷當(dāng)前網(wǎng)絡(luò)事件^偽��?皿是異常PID�,返回當(dāng)前網(wǎng)絡(luò)事件PID。
5.一種計(jì)算機(jī)終端網(wǎng)絡(luò)安全防護(hù)的控制系統(tǒng)�����,其特征在于����,包括文件讀寫(xiě)過(guò)濾驅(qū)動(dòng)模 塊、網(wǎng)絡(luò)事件監(jiān)控模塊、觸發(fā)窗口事件監(jiān)控模塊����、黑白名單管理模塊、進(jìn)程鏈表實(shí)時(shí)監(jiān)控模 塊和危險(xiǎn)進(jìn)程監(jiān)控模塊�,進(jìn)程鏈表實(shí)時(shí)監(jiān)控模塊分別與文件讀寫(xiě)過(guò)濾驅(qū)動(dòng)模塊、網(wǎng)絡(luò)事件 監(jiān)控模塊和觸發(fā)窗口事件監(jiān)控模塊連接���,危險(xiǎn)進(jìn)程監(jiān)控模塊與黑白名單管理模塊連接�����,文 件讀寫(xiě)過(guò)濾驅(qū)動(dòng)模塊�����、網(wǎng)絡(luò)事件監(jiān)控模塊和觸發(fā)窗口事件監(jiān)控模塊分別與危險(xiǎn)進(jìn)程監(jiān)控模 塊連接,其中���,文件讀寫(xiě)過(guò)濾驅(qū)動(dòng)模塊用于實(shí)時(shí)監(jiān)控計(jì)算機(jī)所有進(jìn)程對(duì)文件的讀操作�����,同時(shí)過(guò)濾操作 系統(tǒng)進(jìn)程對(duì)文件的操作����,以及系統(tǒng)白名單中文件的類型,并記錄相應(yīng)的進(jìn)程的PID����、所操作 的文件的路徑、操作的時(shí)間�����,通過(guò)WINDOWS消息機(jī)制傳遞給數(shù)據(jù)防火墻主進(jìn)程���;網(wǎng)絡(luò)事件監(jiān)控模塊用于通過(guò)SPI檢測(cè)控制網(wǎng)絡(luò)事件����,分析進(jìn)程鏈表中所有進(jìn)程��,記錄 發(fā)生過(guò)網(wǎng)絡(luò)操作的事件的PID;觸發(fā)窗口事件監(jiān)控模塊用于維護(hù)動(dòng)態(tài)鏈表以實(shí)時(shí)檢測(cè)����、更新、存儲(chǔ)觸發(fā)窗口事件的進(jìn)程���,并通過(guò)WINDOWS消息����,把觸發(fā)鍵盤鼠標(biāo)操作事件的進(jìn)程PID和操作時(shí)間記錄下來(lái),存儲(chǔ) 在一個(gè)窗口 PID鏈表中����;黑白名單管理模塊用于將經(jīng)常使用的網(wǎng)絡(luò)程序設(shè)置到白名單,避免監(jiān)控��,將危險(xiǎn)進(jìn)程 設(shè)置到黑名單�,計(jì)算機(jī)屏蔽掉所述危險(xiǎn)進(jìn)程的所有網(wǎng)絡(luò)事件;進(jìn)程鏈表實(shí)時(shí)監(jiān)控模塊用于實(shí)時(shí)管理����、監(jiān)控任務(wù)管理器列表中所有的進(jìn)程的網(wǎng)絡(luò)事件 信息、窗口操作信息和文件讀寫(xiě)信息����;危險(xiǎn)進(jìn)程監(jiān)控模塊用于根據(jù)實(shí)時(shí)監(jiān)控收集到的數(shù)據(jù)信息,實(shí)時(shí)動(dòng)態(tài)監(jiān)控���、發(fā)現(xiàn)危險(xiǎn)操 作,并給用戶響應(yīng)的信息提示�����,讓用戶判斷是否允許所述進(jìn)程網(wǎng)絡(luò)操作。
6.根據(jù)權(quán)利要求5所述的一種計(jì)算機(jī)終端網(wǎng)絡(luò)安全防護(hù)的控制系統(tǒng)�����,其特征在于�����,文 件讀寫(xiě)過(guò)濾驅(qū)動(dòng)模塊采用基于Filemon的WINDOWS文件過(guò)濾系統(tǒng)驅(qū)動(dòng)����。
全文摘要
本發(fā)明公開(kāi)了一種計(jì)算機(jī)終端網(wǎng)絡(luò)安全防護(hù)的控制方法和系統(tǒng),接收WINDOWS消息�����;接收SPI發(fā)送的網(wǎng)絡(luò)事件消息�;判斷網(wǎng)絡(luò)事件是否存在潛在威脅,如果否���,放行�����,如果是�����,判斷網(wǎng)絡(luò)事件PID是否在黑白名單里����,如果在黑名單里,阻止���,如果在白名單里�����,放行�,如果不在黑白名單里��,判斷網(wǎng)絡(luò)事件PID是否在阻止放行鏈表中����,如果在阻止鏈表中,阻止����,如果在放行鏈表中����,放行��,如果不在阻止放行鏈表中�,彈出對(duì)話框��,顯示是否阻止信息����,讓用戶選擇是否阻止;將用戶選擇結(jié)果保存到阻止放行鏈表或者黑白名單中���,并返回選擇結(jié)果�����。采用了本發(fā)明的技術(shù)方案�,能夠主動(dòng)檢測(cè)所有進(jìn)程網(wǎng)絡(luò)事件�、讀寫(xiě)事件和窗口觸發(fā)事件,提高了計(jì)算機(jī)終端網(wǎng)絡(luò)的安全性����。
文檔編號(hào)G06F21/00GK102063588SQ20101060613
公開(kāi)日2011年5月18日 申請(qǐng)日期2010年12月15日 優(yōu)先權(quán)日2010年12月15日
發(fā)明者林皓 申請(qǐng)人:北京北信源軟件股份有限公司