检测控制网络事件,分析进程链表中所有进程,记录发生过网络操作的事件的PID ;
触发窗口事件监控模块用于维护动态链表以实时检测、更新、存储触发窗口事件的进程,并通过WINDOWS消息,把触发键盘鼠标操作事件的进程PID和操作时间记录下来,存储在一个窗口 PID链表中;
黑白名单管理模块用于将经常使用的网络程序设置到白名单,避免监控,将危险进程设置到黑名单,计算机屏蔽掉所述危险进程的所有网络事件;
进程链表实时监控模块用于实时管理、监控任务管理器列表中所有的进程的网络事件信息、窗口操作信息和文件读写信息;
危险进程监控模块用于根据实时监控收集到的数据信息,实时动态监控、发现危险操作,并给用户响应的信息提示,让用户判断是否允许所述进程网络操作。
[0022]文件读写过滤驱动模块采用基于Filemon的WINDOWS文件过滤系统驱动。
[0023]下面具体描述各个模块的具体工作流程。
[0024]1、文件读写过滤驱动模块
WINDOWS文件过滤系统驱动开发,可用于硬盘还原,防病毒,文件安全防护,文件加密等诸多领域。该系统采用基于Filemon的WINDOWS文件过滤系统驱动。Filemon的大致架构为,在此驱动程序中,仓Il建了两类设备对象。一类设备对象用于和Filemon对应的exe程序通信,以接收用户输入信息,比如挂接或监控哪个分区,是否要挂接,是否要监控,监控何种操作等。此设备对象只创建了一个,在驱动程序的入口函数中。此类设备对象一般称为控制设备对象,并有名字,以方便应用层与其通信操作。第二类设备对象用于挂接到所须监控的分区,比如c:,d:或e:,f:,以便拦截到引应用层对该分区所执行的读,写等操作。此类设备对象为安全起见,一般不予命名,可根据须监控多少分区而创建一个或多个。
[0025]文件读写过滤模块采用基于Filemon的WINDOWS文件过滤系统驱动,实时监控本机所有进程对文件的读操作,同时过滤操作系统进程对文件的操作,以及系统白名单中文件的类型;并记录相应的进程的PID,所操作的文件的路径,操作的时间等信息。最后会通过WINDOWS消息机制传递给数据防火墙主进程。
[0026]2、网络事件监控模块
通过SPI可以检测控制网络事件,分析进程列表中所有进程,对于发生过网络操作的事件记录其PID号。
[0027]3、触发窗口事件监控模块
维护动态列表用来实时检测、更新、存储触发窗口事件的进程。在主监控进程中挂一个全局钩子,用来实时监控进程列表中所有关于鼠标、键盘的进程的操作;钩子实际上是一个处理消息的程序段,通过系统调用,把它挂入系统。每当特定的消息发出,在没有到达目的窗口前,钩子程序就先捕获该消息,即钩子函数先得到控制权。这时钩子函数即可以加工处理(改变)该消息,也可以不作处理而继续传递该消息,还可以强制结束消息的传递。
[0028]通过WINDOWS消息,把触发鼠标、键盘操作事件的进程PID、操作时间等记录下来,存储在一个窗口 PID列表中。主监控程序通过监控线程,实时更新进程PID链表,窗口显示列表,配置文件内容等信息;窗口事件链表维护逻辑:每接收一个窗口操作PID,都要更新其PID窗口操作列表,首先遍历一遍进程PID链表,判断当前元素是否在链表中,如已经存在列表中则替换以前的值,否则在列表末尾追加操作。
[0029]4、黑白名单管理模块
用户电脑有许多日常网络程序,为了方便用户管理,同时不影响客户正常网络程序的使用。该系统设置了黑白名单管理功能,可对某些经常使用的网络程序设置到白名单,避免了许多不必要监控。另一方面,对于一些危险进程可以直接将其设置到黑名单,系统自动屏蔽掉该进程所有网络事件,最大程度地保护用户电脑的安全。该功能主要通过实时监控、修改后台的配置文件,当有第一次检测到危险进程时,主程序会弹出提示框,并允许用户选择是否永久阻止或者放行该程序,即可把当前程序添加到黑白名单当中。该方式非常人性化,便于普通用户使用。同时,项目实施人员也可以直接通过修改配置文件,来添加黑白名单;功能非常灵活方便。主程序会实时检测该文件,任何时候对文件的修改,主程序都会检测到,并自动执行相应的策略,无需重启主程序。
[0030]5、进程列表实时监控模块
该系统的核心操作是要实时管理、监控任务管理器列表中所有的进程的网络事件信息、窗口操作信息、文件读写信息,实时、准确地获取这些信息就变的非常重要。该系统主要通过三个独立的线程分别管理三个PID链表,实现对进程的实时监控。进程AfxCheckPidThread用来实时记录更新的所有进程基本信息,以及记录主界面中列表框中显示的进程信息。线程RefreshDeleteRead用来删除过期的读操作链表中的数据,保证读写链表中的PID信息都是在允许的操作周期内。线程AfxRefreshThread实时更新键盘、鼠标操作的PID链表,网络事件链表。线程AfxRefreshReadListThread用来更新读PID链表。
[0031]6、危险进程监控模块
通过实时监控收集到的数据信息,该系统有一套智能策略算法,实时动态监控、发现危险操作,并给用户响应的信息提示,例如:潜在危险进程的名称、PID号、进程路径、属性信息等。供用户来决断是否允许该进程网络操作。
[0032]该监控模块首先会通过分析当前有网络发包的进程,判断在允许的时间范围内(例如I分钟)其窗口是否被操作过;如果没有相关操作,则立即放行,否则继续判断是否有读取本机文件的相关操作,如果被操作过,则立即放行,否则即可判断该进程是危险进程,立即通知用户该操作有潜在的危险。
[0033]本发明提供的一种基于网络防护的计算机终端控制系统和方法,通过主动检测所有进程网络事件、读写事件和窗口触发事件,若发现非本机主动激发的各类进程事件,即可进行分析筛选,并根据一定的检测策略,判别其合法性,如不合法,则立刻给出提示信息,由用户决定是否放行和允许该进程运行并传递数据信息,否则就放行,从而有效地阻止了非法网络程序对本机信息的窃取。
[0034]以上所述,仅为本发明的【具体实施方式】,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
【主权项】
1.一种基于网络防护的计算机终端控制系统,其特征在于,包括包括文件读写过滤驱动模块、网络事件监控模块、触发窗口事件监控模块、黑白名单管理模块、进程链表实时监控模块和危险进程监控模块,进程链表实时监控模块分别与文件读写过滤驱动模块、网络事件监控模块和触发窗口事件监控模块连接,危险进程监控模块与黑白名单管理模块连接,文件读写过滤驱动模块、网络事件监控模块和触发窗口事件监控模块分别与危险进程监控模块连接, 文件读写过滤驱动模块用于实时监控计算机所有进程对文件的读操作,同时过滤操作系统进程对文件的操作,以及系统白名单中文件的类型,并记录相应的进程的PID、所操作的文件的路径、操作的时间,通过WINDOWS消息机制传递给数据防火墙主进程; 网络事件监控模块用于通过SPI检测控制网络事件,分析进程链表中所有进程,记录发生过网络操作的事件的PID ; 触发窗口事件监控模块用于维护动态链表以实时检测、更新、存储触发窗口事件的进程,并通过WINDOWS消息,把触发键盘鼠标操作事件的进程PID和操作时间记录下来,存储在一个窗口 PID链表中; 黑白名单管理模块用于将经常使用的网络程序设置到白名单,避免监控,将危险进程设置到黑名单,计算机屏蔽掉所述危险进程的所有网络事件; 进程链表实时监控模块用于实时管理、监控任务管理器列表中所有的进程的网络事件信息、窗口操作信息和文件读写信息; 文件读写过滤驱动模块采用基于Filemon的WINDOWS文件过滤系统驱动。2.一种基于网络防护的计算机终端控制方法,其特征在于,包括如下步骤: 51:接收WINDOWS消息; 52:接收SPI发送的网络事件消息; 53:判断所述网络事件是否存在潜在威胁,如果否,则放行,如果是,则转至步骤S4 ; 54:判断所述网络事件的PID是否在黑白名单里,如果在黑名单里,则阻止,如果在白名单里,则放行,如果不在黑白名单里,则转至步骤S5 ; 55:判断所述网络事件的PID是否在阻止放行链表中,如果在阻止链表中,则阻止,如果在放行链表中,则放行,如果不在阻止放行链表中,则转至步骤S6 ; 56:弹出对话框,显示是否阻止信息,让用户选择是否阻止; S7:将用户选择结果保存到阻止放行链表或者黑白名单中,并返回选择结果。3.根据权利要求2所述的基于网络防护的计算机终端控制方法,其特征在于,所述步骤S3还包括如下步骤:检测当前网络事件InfoPID是否存在潜在威胁功能函数;遍历窗口操作PID链表,判断当前网络事件InfoPID在预定时间内是否操作过;如果是,则判断当前网络事件InfoPID是合法网络事件,则放行;如果否,则遍历窗口操作PID链表,判断当前网络事件InfoPID是否有读操作;如果否,则判断当前网络事件InfoPID是合法网络事件,则放行;如果是,则判断当前网络事件InfoPID是异常PID,返回当前网络事件PID。
【专利摘要】本发明公开了一种基于网络防护的计算机终端控制系统和方法,具体步骤为:接收WINDOWS消息;接收SPI发送的网络事件消息;判断网络事件是否存在威胁,如果否,放行,如果是,判断网络事件PID是否在黑白名单里,如在黑名单里,阻止,如在白名单里,放行,如不在黑白名单里,判断网络事件PID是否在阻止放行链表中,如在阻止链表中,阻止,如在放行链表中,放行,如不在阻止放行链表中,弹出对话框,显示是否阻止信息,让用户选择是否阻止;将用户选择结果保存到阻止放行链表或者黑白名单中,并返回选择结果。采用本发明技术方案,能够主动检测所有进程网络事件、读写事件和窗口触发事件,提高计算机终端网络的安全性。
【IPC分类】G06F21/55
【公开号】CN105631319
【申请号】CN201410601178
【发明人】蒋斐, 卞欢
【申请人】江苏威盾网络科技有限公司
【公开日】2016年6月1日
【申请日】2014年11月1日