一种基于网络防护的计算机终端控制系统和方法
【技术领域】
[0001]本发明涉及一种基于网络防护的计算机终端控制系统和方法。
【背景技术】
[0002]Internet的出现及其迅速发展给现代人的生产和生活都带来了前所未有的飞跃,它促进了信息的广泛交流,大大提高了工作效率,丰富了人们的精神生活。然而,随着计算机网络技术的突飞猛进,网络安全的问题已经日益突出地摆在各类用户的面前,网络的安全防护成为最为关注的重点。随着网络安全问题日益严重,网络安全产品逐渐被人们重视起来。通过对网络信息进行监控以实现安全防护。比如用禁止特定端口的方法设置对外通信来防止木马;或者禁止来自特殊站点的访问,从而防止来自入侵者的所有通信。目前个人用户对网络安全防护的需求在不断增加,而Windows操作系统是使用最为广泛的PC操作系统,因此如何在Windows操作系统下开发网络防护功能显得尤为重要了。现有的一些安全防护产品都是通过分析数据包来实现判断的,并不能检测到木马程序在读那些文件。
【发明内容】
[0003]本发明为了解决现有技术的不足,提供一种基于网络防护的计算机终端控制系统和方法,能够主动检测所有进程网络事件、读写事件和窗口触发事件,提高了计算机终端网络的安全性。
[0004]为解决上述技术问题,本发明提供的一种基于网络防护的计算机终端控制系统和方法,采用如下技术方案:
一种基于网络防护的计算机终端控制系统,其特征在于,包括包括文件读写过滤驱动模块、网络事件监控模块、触发窗口事件监控模块、黑白名单管理模块、进程链表实时监控模块和危险进程监控模块,进程链表实时监控模块分别与文件读写过滤驱动模块、网络事件监控模块和触发窗口事件监控模块连接,危险进程监控模块与黑白名单管理模块连接,文件读写过滤驱动模块、网络事件监控模块和触发窗口事件监控模块分别与危险进程监控模块连接,
文件读写过滤驱动模块用于实时监控计算机所有进程对文件的读操作,同时过滤操作系统进程对文件的操作,以及系统白名单中文件的类型,并记录相应的进程的PID、所操作的文件的路径、操作的时间,通过WINDOWS消息机制传递给数据防火墙主进程;
网络事件监控模块用于通过SPI检测控制网络事件,分析进程链表中所有进程,记录发生过网络操作的事件的PID ;
触发窗口事件监控模块用于维护动态链表以实时检测、更新、存储触发窗口事件的进程,并通过WINDOWS消息,把触发键盘鼠标操作事件的进程PID和操作时间记录下来,存储在一个窗口 PID链表中;
黑白名单管理模块用于将经常使用的网络程序设置到白名单,避免监控,将危险进程设置到黑名单,计算机屏蔽掉所述危险进程的所有网络事件; 进程链表实时监控模块用于实时管理、监控任务管理器列表中所有的进程的网络事件信息、窗口操作信息和文件读写信息;
文件读写过滤驱动模块采用基于Filemon的WINDOWS文件过滤系统驱动。
[0005]一种基于网络防护的计算机终端控制方法,其特征在于,包括如下步骤:
51:接收WINDOWS消息;
52:接收SPI发送的网络事件消息;
53:判断所述网络事件是否存在潜在威胁,如果否,则放行,如果是,则转至步骤S4 ;
54:判断所述网络事件的PID是否在黑白名单里,如果在黑名单里,则阻止,如果在白名单里,则放行,如果不在黑白名单里,则转至步骤S5 ;
55:判断所述网络事件的PID是否在阻止放行链表中,如果在阻止链表中,则阻止,如果在放行链表中,则放行,如果不在阻止放行链表中,则转至步骤S6 ;
56:弹出对话框,显示是否阻止信息,让用户选择是否阻止;
S7:将用户选择结果保存到阻止放行链表或者黑白名单中,并返回选择结果。
[0006]具体地,所述步骤S3还包括如下步骤:检测当前网络事件InfoPID是否存在潜在威胁功能函数;遍历窗口操作PID链表,判断当前网络事件InfoPID在预定时间内是否操作过;如果是,则判断当前网络事件InfoPID是合法网络事件,则放行;如果否,则遍历窗口操作PID链表,判断当前网络事件InfoPID是否有读操作;如果否,则判断当前网络事件InfoPID是合法网络事件,则放行;如果是,则判断当前网络事件InfoPID是异常PID,返回当前网络事件PID。
[0007]本发明提供的一种基于网络防护的计算机终端控制系统和方法,通过主动检测所有进程网络事件、读写事件和窗口触发事件,若发现非本机主动激发的各类进程事件,即可进行分析筛选,并根据一定的检测策略,判别其合法性,如不合法,则立刻给出提示信息,由用户决定是否放行和允许该进程运行并传递数据信息,否则就放行,从而有效地阻止了非法网络程序对本机信息的窃取。
【附图说明】
[0008]图1为本发明实施例所述的一种基于网络防护的计算机终端控制系统的结构示意图。
[0009]图2为本发明实施例所述的一种基于网络防护的计算机终端控制方法的步骤示意图。
[0010]图3为本发明实施例所述的一种基于网络防护的计算机终端控制系统的流程图。
[0011]
【具体实施方式】
[0012]下面结合附图对本发明实施例提供给的基于网络防护的计算机终端控制系统和方法进行详细描述。
[0013]如图1、2、3所示,本发明实施例提供的一种基于网络防护的计算机终端控制系统,其特征在于,包括包括文件读写过滤驱动模块、网络事件监控模块、触发窗口事件监控模块、黑白名单管理模块、进程链表实时监控模块和危险进程监控模块,进程链表实时监控模块分别与文件读写过滤驱动模块、网络事件监控模块和触发窗口事件监控模块连接,危险进程监控模块与黑白名单管理模块连接,文件读写过滤驱动模块、网络事件监控模块和触发窗口事件监控模块分别与危险进程监控模块连接,
文件读写过滤驱动模块用于实时监控计算机所有进程对文件的读操作,同时过滤操作系统进程对文件的操作,以及系统白名单中文件的类型,并记录相应的进程的PID、所操作的文件的路径、操作的时间,通过WINDOWS消息机制传递给数据防火墙主进程;
网络事件监控模块用于通过SPI检测控制网络事件,分析进程链表中所有进程,记录发生过网络操作的事件的PID ;
触发窗口事件监控模块用于维护动态链表以实时检测、更新、存储触发窗口事件的进程,并通过WINDOWS消息,把触发键盘鼠标操作事件的进程PID和操作时间记录下来,存储在一个窗口 PID链表中;
黑白名单管理模块用于将经常使用的网络程序设置到白名单,避免监控,将危险进程设置到黑名单,计算机屏蔽掉所述危险进程的所有网络事件;
进程链表实时监控模块用于实时管理、监控任务管理器列表中所有的进程的网络事件信息、窗口操作信息和文件读写信息;
文件读写过滤驱动模块采用基于Filemon的WINDOWS文件过滤系统驱动。
[0014]一种基于网络防护的计算机终端控制方法,其特征在于,包括如下步骤:
51:接收WINDOWS消息;
52:接收SPI发送的网络事件消息;
53:判断所述网络事件是否存在潜在威胁,如果否,则放行,如果是,则转至步骤S4 ;
54:判断所述网络事件的PID是否在黑白名单里,如果在黑名单里,则阻止,如果在白名单里,则放行,如果不在黑白名单里,则转至步骤S5 ;
55:判断所述网络事件的PID是否在阻止放行链表中,如果在阻止链表中,则阻止,如果在放行链表中,则放行,如果不在阻止放行链表中,则转至步骤S6 ;
56:弹出对话框,显示是否阻止信息,让用户选择是否阻止;
57:将用户选择结果保存到阻止放行链表或者黑白名单中,并返回选择结果。
[0015]具体地,所述步骤S3还包括如下步骤:检测当前网络事件InfoPID是否存在潜在威胁功能函数;遍历窗口操作PID链表,判断当前网络事件InfoPID在预定时间内是否操作过;如果是,则判断当前网络事件InfoPID是合法网络事件,则放行;如果否,则遍历窗口操作PID链表,判断当前网络事件InfoPID是否有读操作;如果否,则判断当前网络事件InfoPID是合法网络事件,则放行;如果是,则判断当前网络事件InfoPID是异常PID,返回当前网络事件PID。
[0016]通过对大量的木马、病毒等恶意程序窃取网络数据行为进行综合分析,发现其主要的原理有以下特性:
1、读取、修改、删除用户电脑文件信息,包括:文本文件、数据库文件、图片、视频文件等存储重要密码信息的文件数据。
[0017]2、有网络发包行为,通过解析主要基于TCP、UDP等协议。
[0018]3、通常都是基于后台操作,即没有窗口弹出;或存储在独立的exe程序中,或以DLL的形式注入到其他进程中。根据上述研究,可以通过制定相应的策略实时检测任务管理器中的各个进程,分析其行为特征,判断其危险等级,以提供给用户来决策,并协助用户阻止危险操作的发生。
[0019]数据安全整体设计思想:通过检测所有进程网络事件、读写事件,以及窗口触发事件,按照一定的策略检测、分析当前进程是否存在潜在危险,如果存在危险告知用户,并提供给用户相应的解决办法。
[0020]其中,文件读写过滤驱动模块、网络事件监控模块和触发窗口事件监控模块是独立的模块,它们由进程链表实时监控模块联系起来,协同工作。以进程链表实时监控模块和黑白名单管理模块为基础,危险进程监控模块完成系统功能。用户将使用信息传给黑白名单管理模块,黑白名单管理模块将信息传给危险进程监控模块;进程链表实时监控模块将信息传给文件读写过滤驱动模块、网络事件监控模块和触发窗口事件监控模块,文件读写过滤驱动模块、网络事件监控模块和触发窗口事件监控模块将信息传给危险进程监控模块,危险进程监控模块汇总和分析信息后返回给用户。
[0021]文件读写过滤驱动模块用于实时监控计算机所有进程对文件的读操作,同时过滤操作系统进程对文件的操作,以及系统白名单中文件的类型,并记录相应的进程的PID、所操作的文件的路径、操作的时间,通过WINDOWS消息机制传递给数据防火墙主进程;
网络事件监控模块用于通过SPI