Linux系统下基于程序行为的联网管控方法及系统与流程

本发明涉及操作系统的网络安全管理，具体涉及一种linux系统下基于程序行为的联网管控方法及系统。

背景技术：

1、从程序角度来说，它可能在联网时受到来自网络中偶然的或恶意的因素而遭到破坏、更改、泄露。从而影响系统连续可靠的运行。因此，在某些场景下彻底关闭某个应用的联网行为是必要的。还有一些工具类的应用，在其整个使用周期内都是不需要联网的。为防止其恶意联网，针对其关闭联网功能，也是必要的。所以，以应用为单位对联网行为进行控制是保证网络安全的有效途径。目前linux系统的联网管控技术主要针对的是对系统网络环境进行配置，没有操作系统内核级主动管控，而且管控范围比较粗且没有针对性，应用联网管控效率低下。没有从操作系统用户角度出发的网络管控功能，也没有针对单个应用进行管控的策略。在操作系统内没有用户界面，不利于普通用户的使用。只有专业的技术人员或者网络运维人员才可以配置网络管控策略，普通用户无法对所使用的网络系统访问权限进行内核级管理，造成应用联网管控效率低下。

技术实现思路

1、本发明要解决的技术问题：针对现有技术的上述问题，提供一种linux系统下基于程序行为的联网管控方法及系统，本发明旨在主动拦截分析应用程序联网行为，实现对应用程序联网行为监控和管控能力，在应用联网时，高效准确的实现对应用程序联网行为的监控和管控，将网络数据包的联网策略与单个应用程序联系起来，根据应用程序的联网策略来决策网络数据包的接收和发送，提升联网管控的安全性。

2、为了解决上述技术问题，本发明采用的技术方案为：

3、一种linux系统下基于程序行为的联网管控方法，包括利用位于内核层的网络控制联网控制模块和位于应用层的应用联网工具来实现针对应用程序的联网管控，其中，且网络控制联网控制模块和应用联网工具之间基于网络控制联网控制模提供的dbus服务进行通讯，所述针对应用程序的联网管控包括：

4、s101，利用应用联网工具通过dbus服务向网络控制联网控制模块配置当前用户独有的联网控制名单，所述联网控制名单中包含需要联网控制的应用程序及其联网策略，所述联网策略包括允许联网、禁止联网和联网警告；

5、s102，网络控制联网控制模块通过钩子函数实现对应用程序的网络访问的拦截，若拦截到应用程序发起网络访问，则跳转步骤s103；

6、s103，判断被拦截的应用程序在联网控制名单中的联网策略，如果在联网控制名单中的联网策略为允许联网，则允许该应用程序联网；如果在联网控制名单中的联网策略为禁止联网，则阻止该应用程序联网；如果在联网控制名单中的联网策略为联网警告，则通过dbus服务向应用联网工具传递消息，以通过应用联网工具向用户输出联网确认消息，并将用户联网的确认情况通过dbus服务传递给网络控制联网控制模块，最终通过网络控制联网控制模块根据用户联网的确认情况允许或者阻止该应用程序联网。

7、可选地，步骤s101中利用应用联网工具通过dbus服务向网络控制联网控制模块配置当前用户独有的联网控制名单包括：

8、s201，通过应用联网工具响应用户的配置操作，获取用户配置的应用程序的程序路径及其对应的联网策略，并将用户配置的应用程序的程序路径及其对应的联网策略通过dbus服务发送给网络控制联网控制模块；

9、s202，网络控制联网控制模块在收到用户配置的应用程序的程序路径及其对应的联网策略后，首先对应用程序的程序路径进行加密，然后将加密的程序路径及其对应的联网策略写入该用户独有的联网控制名单中。

10、可选地，步骤s103中判断被拦截的应用程序在联网控制名单中的联网策略包括：获取被拦截的应用程序的程序路径，并对应用程序的程序路径进行加密，然后将加密后的程序路径与联网控制名单加密的程序路径进行匹配，如果匹配则获取应用程序在联网控制名单中对应的联网策略。

11、可选地，所述对应用程序的程序路径进行加密时，包括检测操作系统中可信硬件开关的支持情况和打开状态，若操作系统不支持可信硬件开关或者可信硬件开关未打开，则采用指定的软件加密算法来对应用程序的程序路径进行加密；若操作系统支持可信硬件开关且可信硬件开关为打开，则采用指定的硬件加密算法来对应用程序的程序路径进行加密。

12、可选地，步骤s101中配置的联网控制名单为联网控制白名单，只有出现在联网控制白名单中的应用程序其联网策略为允许联网，否则联网策略为不允许联网。

13、可选地，步骤s101中配置的联网控制名单为联网控制黑名单，只有出现在联网控制黑名单中的应用程序其联网策略为不允许联网，否则联网策略为允许联网。

14、可选地，所述通过网络控制联网控制模块根据用户联网的确认情况允许或者阻止该应用程序联网时，网络控制联网控制模块根据用户联网的确认情况及其对应的应用程序生成该应用程序的联网策略，并根据该应用程序的联网策略更新联网控制名单。

15、可选地，步骤s101中还包括利用应用联网工具通过dbus服务向网络控制联网控制模块配置联网管控功能的启用状态，若联网管控功能的启用状态为未启用，则网络控制联网控制模块不工作，只有联网管控功能的启用状态为启用时，才跳转步骤s102。

16、此外，本发明还提供一种linux系统下基于程序行为的联网管控系统，包括相互连接的微处理器和存储器，所述微处理器被编程或配置以执行所述linux系统下基于程序行为的联网管控方法。

17、此外，本发明还提供一种计算机可读存储介质，所述计算机可读存储介质中存储有计算机程序，所述计算机程序用于被微处理器编程或配置以执行所述linux系统下基于程序行为的联网管控方法。

18、和现有技术相比，本发明主要具有下述优点：

19、1、本发明可主动拦截分析应用程序联网行为，实现对应用程序联网行为监控和管控能力，在应用联网时，高效准确的实现对应用程序联网行为的监控和管控。

20、2、将网络数据包的联网策略与单个应用程序联系起来，根据应用程序的联网策略来决策网络数据包的接收和发送，相对以端口为粒度而言，安全性更好。

21、3、本发明包括利用应用联网工具通过dbus服务向网络控制联网控制模块配置当前用户独有的联网控制名单，从用户角度出发以每个应用为单位实现对系统的网络管控，更符合用户习惯，而且不同用户的联网控制名单，灵活性更好。

22、4、本发明包括利用位于内核层的网络控制联网控制模块和位于应用层的应用联网工具来实现针对应用程序的联网管控，通过应用层的应用联网工具可提供友好的用户界面，用户通过此界面可以对系统中每个应用的联网策略进行设置，方便用户的使用。

技术特征：

1.一种linux系统下基于程序行为的联网管控方法，其特征在于，包括利用位于内核层的网络控制联网控制模块和位于应用层的应用联网工具来实现针对应用程序的联网管控，其中，且网络控制联网控制模块和应用联网工具之间基于网络控制联网控制模提供的dbus服务进行通讯，所述针对应用程序的联网管控包括：

2.根据权利要求1所述的linux系统下基于程序行为的联网管控方法，其特征在于，步骤s101中利用应用联网工具通过dbus服务向网络控制联网控制模块配置当前用户独有的联网控制名单包括：

3.根据权利要求2所述的linux系统下基于程序行为的联网管控方法，其特征在于，步骤s103中判断被拦截的应用程序在联网控制名单中的联网策略包括：获取被拦截的应用程序的程序路径，并对应用程序的程序路径进行加密，然后将加密后的程序路径与联网控制名单加密的程序路径进行匹配，如果匹配则获取应用程序在联网控制名单中对应的联网策略。

4.根据权利要求3所述的linux系统下基于程序行为的联网管控方法，其特征在于，所述对应用程序的程序路径进行加密时，包括检测操作系统中可信硬件开关的支持情况和打开状态，若操作系统不支持可信硬件开关或者可信硬件开关未打开，则采用指定的软件加密算法来对应用程序的程序路径进行加密；若操作系统支持可信硬件开关且可信硬件开关为打开，则采用指定的硬件加密算法来对应用程序的程序路径进行加密。

5.根据权利要求1所述的linux系统下基于程序行为的联网管控方法，其特征在于，步骤s101中配置的联网控制名单为联网控制白名单，只有出现在联网控制白名单中的应用程序其联网策略为允许联网，否则联网策略为不允许联网。

6.根据权利要求1所述的linux系统下基于程序行为的联网管控方法，其特征在于，步骤s101中配置的联网控制名单为联网控制黑名单，只有出现在联网控制黑名单中的应用程序其联网策略为不允许联网，否则联网策略为允许联网。

7.根据权利要求1所述的linux系统下基于程序行为的联网管控方法，其特征在于，所述通过网络控制联网控制模块根据用户联网的确认情况允许或者阻止该应用程序联网时，网络控制联网控制模块根据用户联网的确认情况及其对应的应用程序生成该应用程序的联网策略，并根据该应用程序的联网策略更新联网控制名单。

8.根据权利要求1所述的linux系统下基于程序行为的联网管控方法，其特征在于，步骤s101中还包括利用应用联网工具通过dbus服务向网络控制联网控制模块配置联网管控功能的启用状态，若联网管控功能的启用状态为未启用，则网络控制联网控制模块不工作，只有联网管控功能的启用状态为启用时，才跳转步骤s102。

9.一种linux系统下基于程序行为的联网管控系统，包括相互连接的微处理器和存储器，其特征在于，所述微处理器被编程或配置以执行权利要求1～8中任意一项所述linux系统下基于程序行为的联网管控方法。

10.一种计算机可读存储介质，所述计算机可读存储介质中存储有计算机程序，其特征在于，所述计算机程序用于被微处理器编程或配置以执行权利要求1～8中任意一项所述linux系统下基于程序行为的联网管控方法。

技术总结
本发明公开了一种Linux系统下基于程序行为的联网管控方法及系统，本发明方法包括利用位于内核层的网络控制联网控制模块和位于应用层的应用联网工具来实现针对应用程序的联网管控，网络控制联网控制模块通过钩子函数实现对应用程序的网络访问的拦截，若拦截到应用程序发起网络访问，则根据被拦截的应用程序的联网策略进行联网控制，包括允许、阻止和警告。本发明旨在主动拦截分析应用程序联网行为，实现对应用程序联网行为监控和管控能力，在应用联网时，高效准确的实现对应用程序联网行为的监控和管控，将网络数据包的联网策略与单个应用程序联系起来，根据应用程序的联网策略来决策网络数据包的接收和发送，提升联网管控的安全性。

技术研发人员：张大朋,杨诏钧
受保护的技术使用者：麒麟软件有限公司
技术研发日：
技术公布日：2024/2/29