專利名稱:一種基于網關/網橋的防間諜軟件侵犯方法
技術領域:
本發明涉及網絡與信息安全,具體涉及一種防止間諜軟件侵犯的方法。
背景技術:
隨著互聯網和信息技術的發展和應用,互聯網已經是日常工作生活中不可缺少的部分,但卻帶來如下問題互聯網上的間諜軟件層出不窮,如果用戶上網終端不慎或被動安裝了間諜軟件,則該軟件會潛伏在用戶上網的電腦上并記錄或通過網絡伺機偷盜用戶的一些機密或隱私信息,如網上銀行的密碼,研發單位的研發成果等。
為保證用戶不經受來自間諜軟件的侵犯,常用的方法有①在用戶上網的終端電腦上安裝個人防火墻、防間諜軟件以及防病毒軟件;②在用戶上網數據流經的網關網橋上安裝對網絡數據流進行檢測的防病毒網關,間諜軟件的網關等。
這些方法一般都是基于對間諜軟件的特征碼進行檢測,檢測的準確性依賴于特征碼,需要不斷的更新、完善間諜軟件的特征碼,在間諜軟件層出不窮的今天,特征碼更新速度一定滯后于間諜軟件的出現速度,在特征碼的滯后期,就不能對用戶提供有效的保護。另一方面,安裝在終端電腦上的個人防火墻等也可能不正確使用或關閉,帶來安全隱患。
發明內容
本發明需要解決的技術問題是,如何提供一種基于網關/網橋的防間諜軟件侵犯方法,可以有效防范將來和未知的間諜軟件。
本發明上述技術問題這樣解決,提供一種基于網關/網橋的防間諜軟件侵犯方法,終端用戶通過網關/網橋連接INTERNET或不可信網絡,包括1.1)識別網關/網橋識別連接和向外發送數據的具體終端用戶;1.2)判斷根據該具體終端用戶運行指定安全終端軟件并下載了網關/網橋內設可信進程列表的情況準許連接和發送;否則禁止;所述指定安全終端軟件執行所述可信進程列表阻止未被列入所述可信進程列表的進程連接使用網絡。
按照本發明提供的防間諜軟件侵犯方法,所述步驟1.2)中運行在終端用戶上的所述指定安全終端軟件與所述網關/網橋之間相互通訊,所述指定安全終端軟件以一定時間段為周期不間斷地向所述網關/網橋發送狀態報告,所述狀態報告包括該終端用戶識別碼;所述網關/網橋不斷更新對應記錄。
按照本發明提供的防間諜軟件侵犯方法,所述識別碼包括但不限制于IP地址、MAC地址和數字證書。
按照本發明提供的防間諜軟件侵犯方法,所述時間段是5~200秒。
按照本發明提供的防間諜軟件侵犯方法,所述步驟1.2)中所述阻止包括監測判斷連接使用網絡的進程,僅對被列入所述可信進程列表的,允許其使用。
按照本發明提供的防間諜軟件侵犯方法,所述監測判斷方法包括對進程的文件名或者文件屬性進行校驗、對進程對應的文件進行HASH值的校驗以及對進程文件所加載的其他庫文件進行文件名或者文件屬性校驗和對進程所加載的其它庫文件進行HASH值的校驗。
按照本發明提供的防間諜軟件侵犯方法,所述步驟1.1)中所述數據是HTTP協議的GET數據,所述步驟1.2)中所述禁止具體是禁止該數據向發送并使用HTTP重定向的方式提示用戶安裝運行所述指定安全客戶端軟件。
按照本發明提供的防間諜軟件侵犯方法,所述HTTP重定向的方式包括指向所述指定安全客戶端軟件的內部可用下載鏈接。
按照本發明提供的防間諜軟件侵犯方法,所述指定安全終端軟件可以是所述網關/網橋自帶的軟件,用于安裝運行在所述內部終端用戶上。
按照本發明提供的防間諜軟件侵犯方法,所述可信進程列表由網絡安全人員統一設置/定義。
本發明提供的基于網關/網橋的防間諜軟件侵犯方法,在終端用戶的安全終端軟件與網關/網橋之間建立通訊聯系、同時由網絡安全人員設置統一的可信進程列表,確保每一個上網終端用戶在安全終端軟件的正確防范下工作。
下面結合附圖和具體實施例進一步對本發明進行詳細說明。
圖1是本發明的網絡連接結構示意圖。
圖2是本發明提供的防間諜軟件侵犯方法具體流程示意圖。
具體實施例方式
本發明的具體網絡結構如圖1所示,若干局域網終端用戶1通過本發明網關/網橋2連接INTERNET或不可信網絡3,在本發明網關/網橋2的作用下防止內部的機密信息被間諜軟件向外發送。
本發明的網關/網橋2與安裝運行在終端用戶1其自身配套的指定安全終端軟件相互通訊,實現防間諜軟件侵犯,具體流程如圖2所示,包括以下具體步驟210)開始;220)終端用戶1訪問外部網絡3的數據到達網關/網橋2;230)通過指定安全終端軟件上發報告判斷該終端用戶1是否運行指定安全終端軟件以及該指定安全終端軟件是否執行網關/網橋2內設的可信進程列表?是,進入步驟241);否進入步驟242);241)放行該終端用戶1訪問外部網絡3的數據;轉入步驟250);242)拒絕該終端用戶1訪問外部網絡3的數據;250)結束。
對應的具體實現是第一步,在終端用戶的網絡可信區與不可信區之間,加入該安全網關、網橋設備,使用戶從可信區連接、使用不可信區網絡(互聯網INTERNET)的數據經過此設備。
第二步,當用戶訪問網絡的數據經過該網關、網橋設備時,網關網橋檢測如下條件1、上網終端用戶是否已經運行該網關、網橋自帶的安全客戶端。
2、上網終端用戶上運行的該網關、網橋自帶的安全客戶端是否已經下載執行網關、網橋上所指定的可信進程列表。
如果符合上述兩個條件,則允許用戶訪問網絡的數據通過。檢測方法以用戶上網終端上運行的安全客戶端是否使用特定的網絡協議向網關、網橋報告正常狀態為準。
如果上網終端用戶不符合這兩個條件,則拒絕該上網終端用戶所有訪問不可信網絡的數據。
如果上網數據為HTTP協議的GET數據,并且上網終端用戶不符合上述條件則使用HTTP重定向的方式提示用戶安裝運行網關、網橋自帶的安全客戶端。
第三步,上網終端用戶上運行的該網關、網橋自帶的安全終端軟件執行網關、網橋上所指定的可信進程列表,禁止未被列入可信進程的列表的進程連接網絡。對可信進程的檢測包括但不限于以下幾種方法對進程的文件名或者文件屬性進行校驗、對進程對應的文件進行HASH值的校驗、對進程文件所加載的其它庫文件進行文件名或者文件屬性校驗、對進程所加載的其它庫文件進行HASH值的校驗。
最后,網絡安全人員可以通過終端設備(如計算機)連接至網關、網橋設備可信進程列表;同時該安全終端軟件放置內部網絡中,用戶可自行下載安裝。
權利要求
1.一種基于網關/網橋的防間諜軟件侵犯方法,終端用戶(1)通過網關/網橋(2)連接INTERNET或不可信網絡(3),包括1.1)識別網關/網橋(2)識別連接和向外發送數據的具體終端用戶(1);1.2)判斷根據該具體終端用戶(1)運行指定安全終端軟件并下載了網關/網橋(2)內設可信進程列表的情況準許連接和發送;否則禁止;所述指定安全終端軟件執行所述可信進程列表阻止未被列入所述可信進程列表的進程連接使用網絡。
2.根據權利要求1所述防間諜軟件侵犯方法,其特征在于,所述步驟1.2)中運行在終端用戶(1)上的所述指定安全終端軟件與所述網關/網橋(2)之間相互通訊,所述指定安全終端軟件以一定時間段為周期不間斷地向所述網關/網橋(2)發送狀態報告,所述狀態報告包括該終端用戶(1)識別碼;所述網關/網橋(2)不斷更新對應記錄。
3.根據權利要求2所述防間諜軟件侵犯方法,其特征在于,所述識別碼可以是IP地址、MAC地址和數字證書。
4.根據權利要求2所述防間諜軟件侵犯方法,其特征在于,所述時間段是5~200秒。
5.根據權利要求1所述防間諜軟件侵犯方法,其特征在于,所述步驟1.2)中所述阻止包括監測判斷連接使用網絡的進程,僅對被列入所述可信進程列表的,允許其使用。
6.根據權利要求5所述防間諜軟件侵犯方法,其特征在于,所述監測判斷方法包括對進程的文件名或者文件屬性進行校驗、對進程對應的文件進行HASH值的校驗以及對進程文件所加載的其他庫文件進行文件名或者文件屬性校驗和對進程所加載的其它庫文件進行HASH值的校驗。
7.根據權利要求1或2所述防間諜軟件侵犯方法,其特征在于,所述指定安全終端軟件可以是所述網關/網橋(2)自帶的軟件,用于安裝運行在所述內部終端用戶(1)上。
8.根據權利要求1所述防間諜軟件侵犯方法,其特征在于,所述可信進程列表可重新設置或定義。
全文摘要
本發明涉及了一種基于網關/網橋的防間諜軟件侵犯方法,終端用戶(1)通過網關/網橋(2)連接INTERNET或不可信網絡(3),包括網關/網橋(2)識別連接和向外發送數據的具體終端用戶(1);根據該具體終端用戶(1)運行指定安全終端軟件并下載了網關/網橋(2)內設可信進程列表的情況準許連接和發送;否則禁止;所述指定安全終端軟件執行所述可信進程列表阻止未被列入所述可信進程列表的進程連接使用網絡。這種方法,通過安全終端軟件與網關/網橋之間的通訊,確保每一個上網終端用戶在指定安全終端軟件的正確防范下工作。
文檔編號H04L29/06GK1909453SQ20061006225
公開日2007年2月7日 申請日期2006年8月22日 優先權日2006年8月22日
發明者郭棟梓 申請人:深圳市深信服電子科技有限公司