專利名稱:一種分布式非法計算機接入的阻斷方法
技術(shù)領(lǐng)域:
本發(fā)明屬于網(wǎng)絡(luò)技術(shù)領(lǐng)域,具體涉及一種分布式非法計算機接入的阻斷方法�。
背景技術(shù):
隨著內(nèi)部泄密事件的不斷發(fā)生���,越來越多的單位逐漸認識到內(nèi)部局域網(wǎng)和計算機 安全的重要性�。目前,在絕大部分的單位中,重要的數(shù)據(jù)和資料都在其內(nèi)部的計算機及網(wǎng)絡(luò) 中存儲和傳輸����,這樣就極易造成非法的外部計算機接入內(nèi)網(wǎng)盜取重要的資料和文件��。那么 如何才能及時地發(fā)現(xiàn)非法接入的計算機并將其與內(nèi)網(wǎng)阻斷����,成為越來越關(guān)注的安全問題��。傳統(tǒng)的非法計算機接入阻斷產(chǎn)品采用旁路監(jiān)聽的方式�����,即通過Hub共享或交換機 端口映射的方式來獲得非法計算機的網(wǎng)絡(luò)信息��。對于此類產(chǎn)品�����,從技術(shù)上是無法做到準確���、 及時地發(fā)現(xiàn)和阻斷非法計算機的,而且對于復(fù)雜的網(wǎng)絡(luò)環(huán)境并不能起到良好的效果��,其原 因是因為這些產(chǎn)品是受限于網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)的拓撲結(jié)構(gòu)����,如果交換機沒有端口鏡像功能或 者部分網(wǎng)絡(luò)數(shù)據(jù)包不經(jīng)過核心層交換機,則就很難準確發(fā)現(xiàn)網(wǎng)絡(luò)中非法計算機所發(fā)出的數(shù) 據(jù)����。再者�����,即便是發(fā)現(xiàn)了有非法計算機侵入了網(wǎng)絡(luò)�,也很難做到及時地阻斷它���。
發(fā)明內(nèi)容
本發(fā)明的目的是要提供一種分布式非法計算機接入的阻斷方法���,以克服現(xiàn)有技術(shù) 存在的無法準確發(fā)現(xiàn)非法計算機侵入內(nèi)網(wǎng)并及時地進行阻斷的問題。本發(fā)明采取的技術(shù)方案是通過計算機所在服務(wù)器區(qū)域的阻斷服務(wù)器對阻斷代理 軟件采用抓包的方式獲取的網(wǎng)絡(luò)數(shù)據(jù)包進行分析比對����,查找非法不可信任的計算機地址, 并由阻斷代理軟件向非法計算機發(fā)出特殊網(wǎng)絡(luò)數(shù)據(jù)包將其阻斷��。本發(fā)明通過以下幾個步驟來實現(xiàn)步驟一在存儲重要數(shù)據(jù)的計算機上安裝阻斷代理軟件,并以網(wǎng)絡(luò)串聯(lián)的方式部 署阻斷服務(wù)器及配置可信任的IP地址��,在阻斷服務(wù)器上配置阻斷策略和代理軟件的調(diào)度 方式,阻斷策略以表格的形式進行輸入或者選擇��,阻斷代理軟件的調(diào)度方式也通過策略來 制定���。步驟二阻斷代理軟件將計算機的網(wǎng)卡設(shè)置為混雜模式�,并實時通過網(wǎng)卡進行抓 包并緩存網(wǎng)絡(luò)數(shù)據(jù)包;步驟三阻斷代理軟件定時從服務(wù)器獲取策略和調(diào)度指令��,分析數(shù)據(jù)包����,提取源 IP和目的IP及相對應(yīng)的MAC地址�����;步驟四嚴格與可信任的IP地址列表和MAC地址列表對比����,阻斷代理軟件從中找 出非法不可信任的計算機地址��,發(fā)出特殊網(wǎng)絡(luò)數(shù)據(jù)包將其阻斷����,同時向服務(wù)器發(fā)送報警信 肩��、ο所述的步驟二中的阻斷策略為輸入需要進行阻斷的IP地址或者網(wǎng)段�����,或者輸入 可信任的計算機或者服務(wù)器的IP地址�。所述的步驟二中的阻斷代理軟件的調(diào)度方式為在阻斷服務(wù)器的管理端的頁面中選擇聯(lián)合阻斷或者獨立阻斷����。與現(xiàn)有技術(shù)相比�����,本發(fā)明的優(yōu)點是本方法使用分布式阻斷方法能夠準確地發(fā)現(xiàn)非法接入的計算機����,發(fā)現(xiàn)的延遲時間 小于5秒����,將原先的單點保護模式改變?yōu)槎帱c自主保護模式��,突破了網(wǎng)絡(luò)結(jié)構(gòu)的限制�����,降低 了交換機的負載,能夠很好地阻斷非法接入的計算機����,將阻斷成功率提高到99%以上�。
圖1為本發(fā)明分布式非法計算機接入的阻斷方法流程圖。
具體實施例方式下面將通過在主機監(jiān)控與審計系統(tǒng)中實施本發(fā)明進行詳細描述��。實施時���,需要在主機監(jiān)控與審計系統(tǒng)中設(shè)置阻斷策略配置模塊和阻斷代理模塊��, 這兩個模塊共同完成分布式非法計算機接入阻斷功能。實施本發(fā)明的具體步驟是(一)在存儲重要數(shù)據(jù)的計算機上安裝阻斷代理軟件���,并以網(wǎng)絡(luò)串聯(lián)的方式部署 阻斷服務(wù)器及配置可信任的IP地址,在阻斷服務(wù)器上配置阻斷策略和代理軟件的調(diào)度方 式具體的說就是在系統(tǒng)中服務(wù)器的管理端配置阻斷策略和阻斷代理軟件的調(diào)度方 式����,并在每一個安裝主機監(jiān)控與審計客戶端的計算機上內(nèi)嵌阻斷代理模塊或者軟件�,可以 在管理端配置特定的應(yīng)用服務(wù)器(即IP地址或者MAC地址)為可信任的計算機���。上面說到的阻斷策略主要以表格的形式進行輸入或者選擇���,比如可以輸入需要進 行阻斷的IP地址或者網(wǎng)段��,或者輸入可信任的計算機或者服務(wù)器的IP地址,所謂可信任的 IP就是指該IP的計算機不作為阻斷對象����;阻斷代理軟件的調(diào)度方式也可通過策略來制定����,比如在阻斷服務(wù)器的管理端的頁 面中選擇聯(lián)合阻斷還是獨立阻斷等��。( 二)阻斷代理軟件將計算機的網(wǎng)卡設(shè)置為混雜模式,并實時通過網(wǎng)卡進行抓包 并緩存網(wǎng)絡(luò)數(shù)據(jù)包阻斷代理軟件隨著客戶端程序的運行而運行�����,也可單獨運行���,并實時通過網(wǎng)卡進 行網(wǎng)絡(luò)數(shù)據(jù)包的偵聽和抓取��,同時緩存獲得的網(wǎng)絡(luò)數(shù)據(jù)包�����;(三)阻斷代理軟件定時從服務(wù)器獲取策略和調(diào)度指令���,分析數(shù)據(jù)包��,提取源IP和 目的IP及相對應(yīng)的MAC地址;��;(四)嚴格與可信任的IP地址列表和MAC地址列表對比,阻斷代理軟件從中找 出非法不可信任的計算機地址����,發(fā)出特殊網(wǎng)絡(luò)數(shù)據(jù)包將其阻斷����,同時向服務(wù)器發(fā)送報警信 息即從系統(tǒng)服務(wù)器中獲取可信任的IP地址列表和MAC地址列表,將提取出的IP和MAC比對可信任的IP地址和MAC地址���,無論是源IP還是目的IP���,無論是源MAC還是目的 MAC���,只有發(fā)現(xiàn)其中至少有一個不在從中找出非法不可信任的計算機地址,就發(fā)出特殊網(wǎng)絡(luò) 數(shù)據(jù)包(例如ARP欺騙包或者TCP重置包)將其阻斷���,并同時向服務(wù)器發(fā)送報警信息�����,引起 網(wǎng)關(guān)人員的注意。
最后所應(yīng)說明的是以上實施方式僅用以說明而非限制本發(fā)明的技術(shù)方案�����,盡管 參照上述實施方式對本發(fā)明進行了詳細的說明,本領(lǐng)域的普通技術(shù)人員應(yīng)當理解依然可 以對本發(fā)明進行修改或者等同替換�,而不脫離本發(fā)明的精神和范圍的任何修改與局部替 換��,其均應(yīng)涵蓋在本發(fā)明的權(quán)利要求范圍內(nèi)。
權(quán)利要求
一種分布式非法計算機接入的阻斷方法��,其特征在于通過計算機所在服務(wù)器區(qū)域的阻斷服務(wù)器對阻斷代理軟件采用抓包的方式獲取的網(wǎng)絡(luò)數(shù)據(jù)包進行分析比對����,查找非法不可信任的計算機地址����,并由阻斷代理軟件向非法計算機發(fā)出特殊網(wǎng)絡(luò)數(shù)據(jù)包將其阻斷�。
2.根據(jù)權(quán)利要求1所述的一種分布式非法計算機接入的阻斷方法�����,其特征在于通過 以下幾個步驟來實現(xiàn)步驟一在存儲重要數(shù)據(jù)的計算機上安裝阻斷代理軟件����,并以網(wǎng)絡(luò)串聯(lián)的方式部署阻 斷服務(wù)器及配置可信任的IP地址�����,在阻斷服務(wù)器上配置阻斷策略和代理軟件的調(diào)度方式, 阻斷策略以表格的形式進行輸入或者選擇�����,阻斷代理軟件的調(diào)度方式也可通過策略來制 定。步驟二 阻斷代理軟件將計算機的網(wǎng)卡設(shè)置為混雜模式�,并實時通過網(wǎng)卡進行抓包并 緩存網(wǎng)絡(luò)數(shù)據(jù)包��;步驟三阻斷代理軟件定時從服務(wù)器獲取策略和調(diào)度指令�,分析數(shù)據(jù)包,提取源IP和 目的IP及相對應(yīng)的MAC地址��;步驟四嚴格與可信任的IP地址列表和MAC地址列表對比���,阻斷代理軟件從中找出非 法不可信任的計算機地址,發(fā)出特殊網(wǎng)絡(luò)數(shù)據(jù)包將其阻斷���,同時向服務(wù)器發(fā)送報警信息。
3.根據(jù)權(quán)利要求2所述的一種分布式非法計算機接入的阻斷方法�����,其特征在于所述 的步驟二中的阻斷策略為輸入需要進行阻斷的IP地址或者網(wǎng)段,或者輸入可信任的計算 機或者服務(wù)器的IP地址�。
4.根據(jù)權(quán)利要求2所述的一種分布式非法計算機接入的阻斷方法����,其特征在于所述 的步驟二中的阻斷代理軟件的調(diào)度方式為在阻斷服務(wù)器的管理端的頁面中選擇聯(lián)合阻斷 或者獨立阻斷。
全文摘要
本發(fā)明涉及一種分布式非法計算機接入的阻斷方法��。在單位中重要的數(shù)據(jù)和資料都在其內(nèi)部的計算機及網(wǎng)絡(luò)中存儲和傳輸�����,這樣就極易造成非法的外部計算機接入內(nèi)網(wǎng)盜取重要的資料和文件�����,通過Hub共享或交換機端口映射的方式來獲得非法計算機的網(wǎng)絡(luò)信息�����。本發(fā)明通過計算機所在服務(wù)器區(qū)域的阻斷服務(wù)器對阻斷代理軟件采用抓包的方式獲取的網(wǎng)絡(luò)數(shù)據(jù)包進行分析比對��,查找非法不可信任的計算機地址,并由阻斷代理軟件向非法計算機發(fā)出特殊網(wǎng)絡(luò)數(shù)據(jù)包將其阻斷。本發(fā)明使用分布式阻斷方法能夠準確地發(fā)現(xiàn)非法接入的計算機��,發(fā)現(xiàn)的延遲時間小于5秒,采用多點自主保護模式�����,突破了網(wǎng)絡(luò)結(jié)構(gòu)的限制����,降低了交換機的負載,能夠準確地阻斷非法接入的計算機����。
文檔編號H04L12/26GK101989975SQ200910023500
公開日2011年3月23日 申請日期2009年8月4日 優(yōu)先權(quán)日2009年8月4日
發(fā)明者吳德 申請人:西安交大捷普網(wǎng)絡(luò)科技有限公司