国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      一種網(wǎng)絡(luò)病毒防護方法、系統(tǒng)及裝置的制作方法

      文檔序號:7650280閱讀:141來源:國知局
      專利名稱:一種網(wǎng)絡(luò)病毒防護方法、系統(tǒng)及裝置的制作方法
      技術(shù)領(lǐng)域
      本發(fā)明涉及通信領(lǐng)域的數(shù)據(jù)傳輸技術(shù),尤其涉及一種網(wǎng)絡(luò)病毒防護方法、系統(tǒng)及裝置。
      背景技術(shù)
      遠程過程調(diào)用(RPC)是一種通過網(wǎng)絡(luò)從遠程計算機程序上請求服務(wù),而不需要了解底層網(wǎng)絡(luò)技術(shù)的協(xié)議,它可以提供一種內(nèi)部進程通訊機制,允許在一臺終端上運行的程序來無縫執(zhí)行遠程系統(tǒng)中的代碼。RPC協(xié)議本身起源于開放軟件基金會(OSF)RPC協(xié)議,RPC通信是承載于服務(wù)消息塊(SMB)協(xié)議層之上的一種通信機制。
      目前,網(wǎng)絡(luò)病毒對基于RPC的攻擊已經(jīng)造成非常嚴重的影響,但是,卻沒有有效的機制能夠很好的預防這種網(wǎng)絡(luò)病毒對基于RPC的攻擊。特別是在目前很多業(yè)務(wù)服務(wù)器為了安全性考慮,不直接接入因特網(wǎng),因此,許多安全補丁等更新需要手動進行,在更新數(shù)量比較多的時候容易造成更新滯后,服務(wù)器受到病毒的感染,最終可能會造成業(yè)務(wù)的中斷。在Windows平臺中,目前爆發(fā)的病毒攻擊主要是通過RPC調(diào)用協(xié)議在實現(xiàn)上的漏洞進行的。而實際上絕大多數(shù)RPC接口/調(diào)用號在系統(tǒng)中是不會被用到的,例如,一種文件服務(wù)器對打印服務(wù)器是不需要對外開放的,同樣,打印服務(wù)器對文件服務(wù)器也是不需要對外開放的。但是,系統(tǒng)的默認情況下卻會全部對外開放,這樣,就會對系統(tǒng)造成極大的安全隱患。
      現(xiàn)在主要的防護方法有兩種第一種是端口防護策略,針對這種基于RPC的攻擊,通過對系統(tǒng)端口的屏蔽來預防被攻擊,所謂對系統(tǒng)端口的屏蔽即關(guān)閉受攻擊的端口。通過該防護策略確實可以預防此類攻擊,但是,由于將系統(tǒng)端口屏蔽,就會使得所有基于該端口的業(yè)務(wù)應(yīng)用都將無法正常使用。第二種方法是針對RPC溢出特征來進行過濾,即使用安全產(chǎn)品,如殺毒軟件。當系統(tǒng)發(fā)現(xiàn)出現(xiàn)此類攻擊后的時候,會自動進行防護,即進行病毒查殺。這種方法是一種基于黑名單的方式,對漏洞庫和響應(yīng)時間的要求都比較高。但是,這種方法的特征庫必須實時升級,一旦有新的攻擊特征出現(xiàn),且未被及時收錄到特征庫,則安全防護產(chǎn)品將不會有作用。

      發(fā)明內(nèi)容
      本發(fā)明實施例提供一種網(wǎng)絡(luò)病毒防護方法、系統(tǒng)及裝置,以解決現(xiàn)有技術(shù)中存在的基于RPC通信過程中,關(guān)閉端口防病毒造成的業(yè)務(wù)無法正常進行,和基于黑名單方式防病毒造成的有新攻擊特征出現(xiàn)無法及時升級特征庫的問題。
      本發(fā)明實施例提供一種網(wǎng)絡(luò)病毒防護的方法,該方法包括接收基于遠程過程調(diào)用協(xié)議的請求消息,所述請求消息中包含客戶端標識;若確定保存的合法標識集合中包含所述客戶端標識,則允許所述請求消息通過。
      本發(fā)明實施例還提供一種網(wǎng)絡(luò)病毒防護的系統(tǒng),該系統(tǒng)包括客戶端,用于向服務(wù)器發(fā)送基于遠程過程調(diào)用協(xié)議的請求消息,該請求中包含客戶端標識;服務(wù)器,用于接收所述請求消息,若確定保存的合法標識集合中包含所述客戶端標識,則允許所述請求消息通過。
      本發(fā)明實施例還提供一種網(wǎng)絡(luò)病毒防護的裝置,該裝置包括第二接收單元,用于接收基于遠程過程調(diào)用協(xié)議的請求消息,該請求消息中包含客戶端標識;第二判斷單元,用于若確定保存的合法標識集合中包含所述客戶端標識,則允許所述請求消息通過。
      本發(fā)明實施例通過服務(wù)器接收來自客戶端的基于遠程過程調(diào)用協(xié)議的請求消息,該請求消息中包含客戶端標識,若確定保存的合法標識集合中包含所述客戶端標識,則服務(wù)器允許所述請求消息通過的方法,使得在基于遠程過程的通信過程中,系統(tǒng)系統(tǒng)安全性和抗攻擊的能力,特別是對于不方便進行補丁更新、漏洞庫更新的系統(tǒng)效果更明顯。


      圖1(a)和圖1(b)為本發(fā)明實施例系統(tǒng)結(jié)構(gòu)示意圖;圖2為本發(fā)明實施例步驟流程示意圖;圖3為本發(fā)明實施例信令流程示意圖;圖4為本發(fā)明實施例裝置結(jié)構(gòu)示意圖。
      具體實施例方式
      目前,Windows系統(tǒng)層面的病毒攻擊主要來自于網(wǎng)絡(luò)層發(fā)起的RPC端口溢出,本發(fā)明實施例提出了一種基于對RPC服務(wù)進行白名單過濾的方法來防護溢出和病毒對系統(tǒng)的危害??蛻舳藢⒒谶h程過程調(diào)用協(xié)議的請求消息發(fā)送給服務(wù)器,該請求消息中包含客戶端標識;若確定保存的合法標識集合中包含所述客戶端標識,則所述服務(wù)器允許所述請求消息通過。本發(fā)明實施例中,由于只允許含有白名單中的信息的請求通過,因此在該系統(tǒng)業(yè)務(wù)能夠正常進行時,還能夠?qū)崿F(xiàn)對未知病毒的防護。
      如圖1(a)和圖1(b)所示,為本發(fā)明實施例系統(tǒng)結(jié)構(gòu)示意圖,該系統(tǒng)包括客戶端和服務(wù)器,其中,客戶端用于向服務(wù)器發(fā)送基于遠程過程調(diào)用協(xié)議的請求消息,該請求中包含客戶端標識;服務(wù)器用于接收所述請求消息,若確定保存的合法標識集合中包含所述客戶端標識,則允許所述請求消息通過。
      所述服務(wù)器包括第一接收單元11和第一判斷單元12,其中,第一接收單元11用于接收所述請求消息;第一判斷單元12用于若確定所述保存的合法標識集合中包含所述客戶端標識,則允許所述請求消息通過。
      如圖1(a)所示,若所述請求消息為綁定請求,且所述客戶端標識為全局唯一標識號,則第一判斷單元12包括第一確定單元21和第一實現(xiàn)單元22,其中,第一確定單元21用于確定所述保存的合法標識集合中是否包含所述全局唯一標識號,并將確定結(jié)果發(fā)送給所述第一實現(xiàn)單元22;第一實現(xiàn)單元22用于若接收到的所述確定結(jié)果為包含所述全局唯一標識號,則允許所述請求消息通過。
      進一步地,若所述客戶端標識還為全局唯一標識號對應(yīng)的函數(shù)標識號,則所述第一判斷單元12還包括第二確定單元23,用于接收所述第一確定單元21發(fā)送的確定結(jié)果,若所述確定結(jié)果為包含所述全局唯一標識號,則判斷所述保存的合法標識集合中是否包含所述全局唯一標識號對應(yīng)的函數(shù)標識號,并將判斷結(jié)果發(fā)送給所述第一實現(xiàn)單元22。
      如圖1(b)所示,若所述請求消息為調(diào)用函數(shù)標識號請求,且所述客戶端標識為全局唯一標識號對應(yīng)的函數(shù)標識號,則所述第一判斷單元12包括確定單元31和實現(xiàn)單元32,其中,確定單元31用于確定所述保存的合法標識集合中是否包含所述全局唯一標識號對應(yīng)的函數(shù)標識號,并將確定結(jié)果發(fā)送給所述實現(xiàn)單元32;實現(xiàn)單元32用于若接收到的所述確定結(jié)果為包含所述全局唯一標識號對應(yīng)的函數(shù)標識號,則允許所述請求消息通過。
      在本發(fā)明實施例的系統(tǒng)中,所述客戶端標識可以為全局唯一標識號和/或接口對應(yīng)的函數(shù)標識號,所述合法標識集合可以包括合法全局唯一標識號列表和/或合法接口對應(yīng)的函數(shù)標識號列表。
      下面結(jié)合具體實施例詳細說明本發(fā)明實施例方法。
      如圖2所示,為本發(fā)明實施例中基于RPC的通信過程中的網(wǎng)絡(luò)病毒防護的步驟流程示意圖,圖3為本發(fā)明實施例中信令流程示意圖,該方法主要包括以下步驟
      步驟201接收基于遠程過程調(diào)用協(xié)議的請求消息,該請求消息中包含客戶端標識。
      首先,客戶端希望與服務(wù)器建立連接,向服務(wù)器發(fā)送協(xié)商請求(NegotiateProtocol Request),服務(wù)器接收到該協(xié)商請求后,向客戶端返回協(xié)商響應(yīng)(Negotiate Protocol Response),該協(xié)商響應(yīng)中帶有挑戰(zhàn)信息。然后,客戶端向服務(wù)器發(fā)送認證請求消息(Session Setup Andx Request),該響應(yīng)消息中帶有認證消息,服務(wù)器返回認證響應(yīng)消息(Session Setup Andx Response),完成認證。
      然后,客戶端再向服務(wù)器發(fā)送接口調(diào)用請求(NT Create Andx Request),如調(diào)用工作站服務(wù)(WKSSVC)、打印服務(wù)(SPOOLS)和注冊表服務(wù)(WINREG)等接口。服務(wù)器接收到該調(diào)用請求后,判斷請求中的數(shù)據(jù)包是否為RPC報文,若是,則進入后續(xù)的進一步操作;若不是,則確定該客戶端為合法客戶端,允許通過。當判斷結(jié)束后,服務(wù)器向客戶端返回調(diào)用接口響應(yīng),該響應(yīng)中包含判斷結(jié)果。
      在本發(fā)明實施例中,所述客戶端標識可以為全局唯一標識號(GlobalUnique Identity Code,GUID)和/或接口對應(yīng)的函數(shù)標識號。服務(wù)器可以保存一組RPC調(diào)用信息列表,該調(diào)用信息列表中可以包含RPC調(diào)用時的GUID號和接口對應(yīng)的函數(shù)標識號,另外,該調(diào)用信息列表中也可以包含接口名稱等信息,用于指導用戶配置。所述合法標識集合可以為合法的GUID號列表和/或合法接口對應(yīng)的函數(shù)標識號列表,即設(shè)定的白名單。所述服務(wù)器獲得該合法標識集合的方法可以包括服務(wù)器自身保存該合法標識集合,或該合法標識集合保存在其他存儲單元中,由該服務(wù)器從該存儲單元中調(diào)用該合法標識集合。
      步驟202若確定保存的合法標識集合中包含所述客戶端標識,則允許所述請求消息通過。
      首先,客戶端向服務(wù)器發(fā)送綁定請求,該綁定請求中包含了要綁定的GUID號,服務(wù)器接收到該綁定請求后,根據(jù)獲得的合法標識集合來判斷所述GUID號是否合法,若合法全局唯一標識號列表中包含所述GUID號,則確定該GUID號為合法,若只設(shè)定了這一個門限,則可以允許所述請求消息通過;若合法標識集合中不包含所述GUID號,則確定該GUID號為非法,即說明該客戶端為非法,阻止請求消息通過。然后,服務(wù)器向客戶端返回綁定響應(yīng),該綁定響應(yīng)中包含判斷結(jié)果。
      同樣,客戶端也可以向服務(wù)器發(fā)送調(diào)用數(shù)據(jù)請求,并接收服務(wù)器返回的調(diào)用數(shù)據(jù)響應(yīng)。則客戶端可以向服務(wù)器發(fā)送調(diào)用函數(shù)標識號請求,該請求中包含了上述GUID號對應(yīng)的函數(shù)標識號。GUID號可能會對應(yīng)一個以上的函數(shù)標識號,例如對應(yīng)3個函數(shù)標識號,則合法標識集合中將保存合法GUID號所對應(yīng)的所有函數(shù)標識號。因此,服務(wù)器接收到該調(diào)用函數(shù)標識號請求后,根據(jù)獲得的合法標識集合來判斷所述GUID號對應(yīng)的函數(shù)標識號是否合法。若合法GUID號對應(yīng)的函數(shù)標識號列表中包含所述GUID號對應(yīng)的函數(shù)標識號,則說明該函數(shù)標識號合法,允許所述請求消息通過;若該合法標識集合中不包含所述GUID號對應(yīng)的函數(shù)標識號,則說明該函數(shù)標識號非法,即該客戶端非法,阻止該請求消息通過。然后,服務(wù)器向該客戶端返回調(diào)用函數(shù)標識號響應(yīng),該響應(yīng)中包含了判斷結(jié)果。
      若用戶希望獲得更可靠的安全保證,可以再設(shè)定一個以上的門限,例如,當確定GUID號為合法,再進一步地確定該GUID號對應(yīng)的函數(shù)標識號是否合法,即當確定保存的合法標識集合中包含所述全局唯一標識號之后,且所述請求消息通過之前還進一步確定所述保存的合法標識集合中包含所述GUID號對應(yīng)的函數(shù)標識號。
      最后,客戶端向服務(wù)器發(fā)送關(guān)閉接口請求,并接收服務(wù)器返回的關(guān)閉接口響應(yīng)。當然,所述客戶端標識不止上述實施例中所描述的兩種,還可以包含其他的標識,相應(yīng)的,合法標識集合也不止合法的GUID號列表和/或接口對應(yīng)的函數(shù)標識號,可以包含其它的標識。目前在Windows平臺上,RPC調(diào)用最多的是139和445兩個端口,而在實現(xiàn)過程中,考慮到簡單及兼容性的問題,可以關(guān)閉445端口,只開放139端口進行數(shù)據(jù)包過濾。
      上述實施例可以在網(wǎng)絡(luò)設(shè)備、多種操作系統(tǒng)中,如Windows、UNIX和LINUX中,在網(wǎng)絡(luò)設(shè)備中,可以對各種關(guān)于RPC的請求進行檢查,判斷請求中包含的標識是否被包含于合法標識集合,若是則允許請求通過,若不是,則阻止請求通過。在各操作系統(tǒng)中,可以通過底層驅(qū)動來實現(xiàn)本發(fā)明實施例中的方案,原理類似。這樣,即使需要開放存在弱點的端口,由于對RPC調(diào)用進行了限制,也不會受到攻擊。
      基于上述對本發(fā)明實施例中方法及系統(tǒng)的描述,本發(fā)明實施例還提供一種網(wǎng)絡(luò)病毒防護裝置,如圖4所示,該裝置包括第二接收單元41和第二判斷單元42,其中,第二接收單元41用于接收基于遠程過程調(diào)用協(xié)議的請求消息,該請求消息中包含客戶端標識;第二判斷單元42用于若確定保存的合法標識集合中包含所述客戶端標識,則允許所述請求消息通過。
      若所述請求消息為綁定請求,且所述客戶端標識為全局唯一標識號,則所述第二判斷單元42包括第三確定單元51和第二實現(xiàn)單元52,其中,第三確定單元51用于確定所述保存的合法標識集合中是否包含所述全局唯一標識號,并將確定結(jié)果發(fā)送給所述第二實現(xiàn)單元52;第二實現(xiàn)單元52用于若接收到的所述確定結(jié)果為包含所述全局唯一標識號,則允許所述請求消息通過。
      進一步地,若所述客戶端標識為全局唯一標識號對應(yīng)的函數(shù)標識號,則所述第二判斷單元42還包括第四確定單元53,用于接收所述第三確定單元51發(fā)送的確定結(jié)果,若所述確定結(jié)果為包含所述全局唯一標識號,則判斷所述保存的合法標識集合中是否包含所述全局唯一標識號對應(yīng)的函數(shù)標識號,并將判斷結(jié)果發(fā)送給所述第二實現(xiàn)單元52。
      在本發(fā)明實施例的裝置中,同樣,所述客戶端標識可以為全局唯一標識號和/或接口對應(yīng)的函數(shù)標識號,所述合法標識集合包括合法全局唯一標識號列表和/或合法接口對應(yīng)的函數(shù)標識號列表。
      通過本發(fā)明實施例方法、系統(tǒng)及裝置的描述,可以使得在不采用安全產(chǎn)品的情況下提高系統(tǒng)的安全性、防攻擊的能力和穩(wěn)定性,對于不方便進行補丁更新、漏洞庫更新的系統(tǒng)效果更加明顯。利用本發(fā)明實施例生成的產(chǎn)品能夠高效率且穩(wěn)定地運行。
      顯然,本領(lǐng)域的技術(shù)人員可以對本發(fā)明進行各種改動和變型而不脫離本發(fā)明的精神和范圍。這樣,倘若本發(fā)明的這些修改和變型屬于本發(fā)明權(quán)利要求及其等同技術(shù)的范圍之內(nèi),則本發(fā)明也意圖包含這些改動和變型在內(nèi)。
      權(quán)利要求
      1.一種網(wǎng)絡(luò)病毒防護的方法,其特征在于,該方法包括接收基于遠程過程調(diào)用協(xié)議的請求消息,所述請求消息中包含客戶端標識;若確定保存的合法標識集合中包含所述客戶端標識,則允許所述請求消息通過。
      2.如權(quán)利要求1所述的方法,其特征在于,若所述請求消息為綁定請求,且所述客戶端標識為全局唯一標識號,則若確定所述保存的合法標識集合中包含所述全局唯一標識號,則允許所述請求消息通過。
      3.如權(quán)利要求2所述的方法,其特征在于,若所述客戶端標識為全局唯一標識號對應(yīng)的函數(shù)標識號,則所述確定保存的合法標識集合中包含所述全局唯一標識號之后,且允許所述請求消息通過之前包括確定所述保存的合法標識集合中包含所述全局唯一標識號對應(yīng)的函數(shù)標識號。
      4.一種網(wǎng)絡(luò)病毒防護的系統(tǒng),其特征在于,該系統(tǒng)包括客戶端,用于向服務(wù)器發(fā)送基于遠程過程調(diào)用協(xié)議的請求消息,該請求中包含客戶端標識;服務(wù)器,用于接收所述請求消息,若確定保存的合法標識集合中包含所述客戶端標識,則允許所述請求消息通過。
      5.如權(quán)利要求4所述系統(tǒng),其特征在于,所述服務(wù)器包括第一接收單元,用于接收所述請求消息;第一判斷單元,用于若確定所述保存的合法標識集合中包含所述客戶端標識,則允許所述請求消息通過。
      6.如權(quán)利要求5所述系統(tǒng),其特征在于,若所述請求消息為綁定請求,且所述客戶端標識為全局唯一標識號,則所述第一判斷單元包括第一確定單元和第一實現(xiàn)單元,其中,所述第一確定單元,用于確定所述保存的合法標識集合中是否包含所述全局唯一標識號,并將確定結(jié)果發(fā)送給所述第一實現(xiàn)單元;所述第一實現(xiàn)單元,用于若接收到的所述確定結(jié)果為包含所述全局唯一標識號,則允許所述請求消息通過。
      7.如權(quán)利要求6所述系統(tǒng),其特征在于,若所述客戶端標識為全局唯一標識號對應(yīng)的函數(shù)標識號,則所述第一判斷單元還包括第二確定單元,用于接收所述第一確定單元發(fā)送的確定結(jié)果,若所述確定結(jié)果為包含所述全局唯一標識號,則判斷所述保存的合法標識集合中是否包含所述全局唯一標識號對應(yīng)的函數(shù)標識號,并將判斷結(jié)果發(fā)送給所述第一實現(xiàn)單元。
      8.一種網(wǎng)絡(luò)病毒防護的裝置,其特征在于,該裝置包括第二接收單元,用于接收基于遠程過程調(diào)用協(xié)議的請求消息,該請求消息中包含客戶端標識;第二判斷單元,用于若確定保存的合法標識集合中包含所述客戶端標識,則允許所述請求消息通過。
      9.如權(quán)利要求8所述裝置,其特征在于,若所述請求消息為綁定請求,且所述客戶端標識為全局唯一標識號,則所述第二判斷單元包括第三確定單元和第二實現(xiàn)單元,其中,所述第三確定單元,用于確定所述保存的合法標識集合中是否包含所述全局唯一標識號,并將確定結(jié)果發(fā)送給所述第二實現(xiàn)單元;所述第二實現(xiàn)單元,用于若接收到的所述確定結(jié)果為包含所述全局唯一標識號,則允許所述請求消息通過。
      10.如權(quán)利要求9所述裝置,其特征在于,若所述客戶端標識為全局唯一標識號對應(yīng)的函數(shù)標識號,則所述第二判斷單元還包括第四確定單元,用于接收所述第三確定單元發(fā)送的確定結(jié)果,若所述確定結(jié)果為包含所述全局唯一標識號,則判斷所述保存的合法標識集合中是否包含所述全局唯一標識號對應(yīng)的函數(shù)標識號,并將判斷結(jié)果發(fā)送給所述第二實現(xiàn)單元。
      全文摘要
      本發(fā)明實施例公開了一種網(wǎng)絡(luò)病毒防護的方法,該方法包括接收基于遠程過程調(diào)用協(xié)議的請求消息,所述請求消息中包含客戶端標識;若確定保存的合法標識集合中包含所述客戶端標識,則允許所述請求消息通過。通過本發(fā)明實施例方法,能夠提高系統(tǒng)安全性,對于不方便進行補丁更新和漏洞庫更新的系統(tǒng)效果更明顯。本發(fā)明實施例還提供了一種網(wǎng)絡(luò)病毒防護的系統(tǒng)及裝置。
      文檔編號H04L9/00GK101039324SQ20071008680
      公開日2007年9月19日 申請日期2007年3月12日 優(yōu)先權(quán)日2007年3月12日
      發(fā)明者趙武, 萬振華 申請人:華為技術(shù)有限公司
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評論。精彩留言會獲得點贊!
      1