本发明公开了一种网络终端设备安全的实现方法,充分利用网络终端设备自身系统,如网络安全客户端和主机操作系统自有的基本操作,基于客户端请求—安全服务响应的网络安全层次化结构和安全中心强大的分析和处理能力,在安全中心将解决方案分解为一个个的基本操作,按照操作编码表进行编码,然后将编码后的解决方案组装为网络安全解决方案数据包,最后发送给网络终端设备。网络终端设备则按照安全中心的要求将基本操作和相关参数进行组合,得到完整的解决方案,以替代传统补丁和专杀模块的功能,降低网络安全对硬件设备的要求,扩展网络安全的应用范围。
一种网络终端设备安全的实现方法
技术领域
[0001] 本发明属于网络技术领域,更为具体地讲,涉及一种网络终端设备安全的实现方法。
背景技术
[0002] 随着计算机和网络技术的不断发展,人们对网络的依赖程度越来越高,然而随着网络应用的扩展,网络安全的形势也越来越严峻,如何保障网络中设备的安全成为一个重要的问题。
[0003] 传统的网络安全解决方案主要侧重检测,它会在网络终端设备上创建特征库和检测规则,为了应对各种各样层出不穷的病毒攻击和入侵行为,网络安全厂商不得不频繁地更新数据库,发布各种各样的补丁程序包,增加名目繁多的新组件。这种方式不仅占用较多的网络流量,更重要的是对网络终端设备的硬件提出了更高的要求。这些不断累积的特征库、补丁和功能模块使得很多网络终端设备被迫淘汰,配置更高的网络终端设备也因要维护如此庞大的特征库、补丁和新增功能模块而不堪重负。
[0004] 随着技术的发展,越来越多的小型设备如上网本、智能手机、智能家电等小型智能设备作为网络终端设备接入到网络中来,并迅速地发展成为人们学习、工作和生活中的得力助手,同时也成为不法分子的重点攻击和入侵的对象。这给网络安全带来了前所未有的压力,因为这些网络终端设备本身的资源非常有限,不可能维护规模庞大的传统网络安全解决方案软件,也可能根本没有足够的空间来存储其中庞大的特征库和繁多的组件。
[0005] 目前已有的一些针对小型智能设备的网络安全软件,仍然没有摆脱传统的查杀模式,其实质就是缩微版的计算机网络安全软件,不仅严重地影响了这些小型智能设备的运行速度,而且侵占越来越多的系统资源。
发明内容
[0006] 本发明的目的在于克服现有技术的不足,提供一种网络终端设备安全的实现方法,以减轻网络终端设备在网络安全方面的资源占用。
[0007] 为实现上述目的,本发明网络终端设备安全的实现方法,包括以下步骤:
[0008] (1)、对网络终端设备中操作系统的基本操作进行编码,得到操作编码表;在操作编码表中,每一基本操作对应一个操作编码;
[0009] 操作编码表分别存放在安全中心和网络终端设备中,其中存放在网络终端设备中的操作编码表每一基本操作还对应一个操作调用接口,通过这个操作调用接口够调用相应的操作,并给操作传递相应的参数;
[0010] (2)、网络终端设备对网络数据进行接收,并利用入侵检测模块对接收的网路数据进行检测,同时,通过异常检测模块检测网络终端设备性能,如果发现可疑的网络数据或者网络终端设备的异常,则将可疑的网络数据或者网络终端设备的异常信息打包为网络安全可疑状况数据包发送到完全中心;
[0011] (3)、安全中心接收网络终端设备提交的网络安全可疑状况数据包,分析并提供解决方案;
[0012] 安全中心将解决方案拆分成一个个基本操作,按照操作编码表找出对应的操作编码,然后将一个个基本操作的操作编码及其参数列表依次组装为网络安全解决方案数据包,并发送给提交网络安全可疑状况数据包的网络终端设备;
[0013] (4)、网络终端设备接收来自安全中心的网络安全解决方案数据包,从中依次分离出一个个基本操作的操作编码及参数列表,依据操作编码在操作编码表找到各个基本操作的操作调用接口,并将各个基本操作的参数列表传递给各自的操作调用接口,然后将这些带参数列表的操作调用接口按照操作编码的顺序组合在一起,形成了一个完整的解决方案。
[0014] 本发明的发明目的是这样实现的:
[0015] 现有技术的网络安全方案都侧重在网络终端设备上粗放型地添加并不断地更新特征数据库,而网络终端设备则根据特征数据库定时或随机反复地执行模式匹配入侵检测,很大程度地忽略了网络终端设备自身系统以及网络通信本身在网络安全中的作用。为此,在本发明中,充分利用网络终端设备自身系统以及网络通信在网络安全中的重要作用,提出了一种网络终端设备安全的实现方法来解决网络安全问题,同时,减轻网络终端设备在网络安全方面的资源占用。
[0016] 在本发明中,充分利用网络终端设备自身系统,如网络安全客户端和主机操作系统自有的基本操作,基于客户端请求—安全服务响应的网络安全层次化结构和安全中心强大的分析和处理能力,在安全中心将解决方案分解为一个个的基本操作,按照操作编码表进行编码,然后将编码后的解决方案组装为网络安全解决方案数据包,最后发送给网络终端设备。网络终端设备则按照安全中心的要求将基本操作和相关参数进行组合,得到完整的解决方案,以替代传统补丁和专杀模块的功能,降低网络安全对硬件设备的要求,扩展网络安全的应用范围。
[0017] 本发明具有以下优点和效果:
[0018] 1、充分利用了网络终端设备中操作系统本身具备的基本操作,来完成传统网络安全软件添加新组件才能完成的操作,降低了网络安全对硬件的要求,减轻了网络终端设备在网络安全方面的负担,扩展了传统网络安全策略的适应范围;
[0019] 2、通过对网络终端设备中操作系统的基本操作进行编码,解决了以往不同的网络安全公司的网络安全解决方案不兼容的问题,使得不同的网络安全公司的安全中心能够共用一套网络安全客户端,降低了对网络终端设备的要求;
[0020] 3、在数据通信的过程中只需要传输操作编码和相关参数即可,减少了网络中传输的数据量。
附图说明
[0021] 图1是安全中心到网络终端设备的网络安全解决方案数据包的结构图;
[0022] 图2是网络终端设备到安全中心的网络安全可疑状况数据包的结构图;
[0023] 图3是网络终端设备和安全中心之间数据传送和处理过程示意图;
[0024] 图4是网络终端设备和安全中心之间数据交互示意图;
[0025] 图5是安全中心的功能示意图;
[0026] 图6是网络终端设备中接收和检测模块功能示意图;
[0027] 图7是网络安全客户端功能示意图;
[0028] 图8是网络安全客户端工作流程示意图。
具体实施方式
[0029] 下面结合附图对本发明的具体实施方式进行描述,以便本领域的技术人员更好地理解本发明。需要特别提醒注意的是,在以下的描述中,当已知功能和设计的详细描述也许会淡化本发明的主要内容时,这些描述在这里将被忽略。
[0030] 实施例
[0031] 随着计算机和网络技术的不断发展,各种各样的网络终端设备连接到网络中来,大到巨型服务器,小到手机、上网本等小型甚至微型嵌入式终端系统。这些设备的加入,方便并丰富了人们的生活,但是也使得网络安全日益严峻。面对各种各样的网络安全问题,传统的杀毒软件不断地发布针对这些网络安全问题的更新模块和专杀模块,一定程度上遏制了网络安全问题的爆发,但是随着特征库、补丁和专杀模块的更新和安装,网络终端设备需要存储和维护的数据量越来越大,严重影响了网络设备的运行速度,同时也不适合在小型设备上部署。
[0032] 本发明通过分析,发现补丁和专杀模块所完成的操作就是一系列基本文件操作、系统功能调用等基本操作的组合,基本文件操作如新建文件、删除文件、修改文件、查看文件、备份文件、还原文件等,系统功能调用如:结束某个进程、禁用某个端口等。这些基本操作网络终端设备的操作系统就已经具有,不必额外安装新的模块来实现,而只需要告诉操作系统需要做哪些操作,使用哪些参数即可。
[0033] 一、安全中心和网络终端设备之间建立统一的操作编码表
[0034] 为了尽可能的简化安全中心和网络终端设备之间的信息交互,需要将网络终端设备中操作系统中的基本操作进行编码,使得不同操作系统的相同操作拥有相同的操作调用接口和相同的操作编码。首先,为网络终端设备系统中的基本操作定义一个唯一的操作调用接口,通过这个操作调用接口就能够调用相应的操作,并给操作传递相应的参数;然后为每种操作定义一个唯一的编码,通过编码就能找到相应操作的接口。
[0035] 表1是操作编码表结构的一具体实例。
[0036]操作名称 操作调用接口 操作编码
新建文件 CreateNewFileInterface Oper00000001
读取文件 ReadFileInterface Oper00000002
删除文件 DeleteFileInterface Oper00000003
修改文件 ModifyFileInterface Oper00000004
[0037]…… …… ……
[0038] 表1
[0039] 如表1所示,为网络终端设备中操作系统的基本操作新建文件定义操作调用接口CreateNewFileInterface,并为这个操作分配一个操作编码Oper00000001,这个操作调用接口实际上调用了操作系统中新建文件的基本操作,并且给该基本操作传递参数。
[0040] 这里需要强调的是:(1)不同类型的操作系统之间的操作编码表是相同的,以保证跨平台共享;(2)安全中心和网络终端设备都支持同一个操作编码表,以保证安全中心的解决方案在网络终端设备能正确译码;(3)不同的网络安全厂商之间要支持相同的编码集合,以保证网络终端设备的通用性和网络安全方案的公共性。
[0041] 二、安全中心和网络终端设备之间建立统一的通信数据包格式
[0042] 在具体实施过程中,需要为安全中心到网络终端设备的通信设计通用的报文格式,即网络安全解决方案数据包,以保证网络终端设备收到安全中心传来的网络安全解决方案数据包之后,网络终端设备中的网络安全客户端能够快速准确的实现安全中心提出的解决方案。
[0043] 对这种数据包格式的要求如下:(1)可以包括认证信息,以帮助网络终端设备确认报文的安全性;(2)必须适合快速的拆分,以确保网络终端设备得到网络安全解决方案数据包中的方案内容之后能够迅速的获得有关操作的信息;(3)必须保证操作编码和它所需的参数列表一一对应。
[0044] 图1是安全中心到网络终端设备的网络安全解决方案数据包的结构图。
[0045] 在本实施例中,如图1所示,网络安全解决方案数据包采用TCP报文,包括TCP首部和数字字节,整个报文的数据字节包括方案编号、认证信息、方案内容和CRC校验等四个部分。各部分的详细说明如下:
[0046] (1)、方案编号:用来标识一种解决方案,方案编号可以由厂商标识、时间戳和编号等三部分构成。厂商标识用来区分不同网络安全公司;时间戳用来标识解决方案的提出时间;编号用来区分同一厂商同一时间提出的针对不同安全问题的解决方案。
[0047] (2)、认证信息:网络终端设备根据认证信息检查数据包的安全性。
[0048] (3)、方案内容:它是数据包的核心部分,由操作编码和参数列表交错组合而成,这样安排的好处是,每个基本操作所需要的参数就紧跟在操作编码之后,确保一一对应,并且将各个操作分离开来,客户端需要执行的操作的顺序就是方案内容中操作编码出现的先后顺序。
[0049] (4)、CRC校验信息:用来进行CRC校验,保证网络安全解决方案数据包的完整性。
[0050] 图2是网络终端设备到安全中心的网络安全可疑状况数据包的结构图。
[0051] 在本实施例中,如图2所示,网络安全可疑状况数据包采用TCP报文,包括TCP首部和数字字节,数据字节包括报告编号、认证信息、可疑状况报告、CRC校验等四个部分,每个部分的功能如下:
[0052] (1)、报告编号:它包括用户标识、时间戳和编号等三个部分,用户标识用来核对用户信息同时为安全中心将来发布解决方案提供必要信息,它可以是用户的IP地址或者是安全中心分配给用户的唯一的标识。时间戳记录了用户发现异常的时间信息,它一方面用来区分不同的异常报告,同时也可以为安全中心处理异常提供统计和排队信息。编号用来区分同一时间发送的不同的异常报告。
[0053] (2)、认证信息:包含了网络安全客户端的认证信息,安全中心通过相关技术检查网络终端设备的合法性。
[0054] (3)、可疑状况报告:网络安全可疑状况数据包的核心部分,它由类型和数据两部分构成,类型用来告诉安全中心可疑状况报告中包含的内容是可疑的网络数据或者网络终端设备的异常信息。数据部分根据类型的不同填充可疑的网络数据或者网络终端设备的异常信息。
[0055] (4)、CRC校验:保证网络安全可疑状况数据包的完整性。
[0056] 三、安全中心和网络终端设备的数据通信和处理过程。
[0057] 在本实施例中,如图3所示,安全中心S包括接收请求模块S1、分析判断模块S2、编码和组装模块S3以及发送模块S4,网络终端设备C包括接收和检测模块C1、提交请求模块C2以及网络安全客户端C3。各模块的功能如下:
[0058] 安全中心S:
[0059] 接收请求模块S1:接收网络终端设备提交的网络安全可疑状况数据包;
[0060] 分析判断模块S2:根据接收到的网络安全可疑状况数据包,分析并提供解决方案;
[0061] 编码和组装模块S3:将解决方案拆分成一个个基本操作,按照操作编码表找出对应的操作编码,然后将一个个基本操作的操作编码及其参数列表依次组装为网络安全解决方案数据包,并发送给提交网络安全可疑状况数据包的网络终端设备。
[0062] 发送模块S4:将组装好的网络安全解决方案数据包发送给提交网络安全可疑状况数据包的网络终端设备。
[0063] 网络终端设备C:
[0064] 接收和检测模块C1:完成网络数据的接收,并利用其中的入侵检测模块对数据进行检测,通过异常检测模块检测网络终端设备性能。如果接收和检测模块C1发现可疑的网络数据或者网络终端设备的异常,则将可疑的网络数据或者网络终端设备的异常信息打包为网络安全可疑状况数据包给提交请求模块C2
[0065] 提交请求模块C2:将网络安全可疑状况数据包发送到完全中心,请求处理。
[0066] 网络安全客户端C3:处理安全中心传来的网络安全解决方案数据包,从中分离出一个个基本操作的操作编码及参数列表,并将操作编码按照操作编码表找到操作调用接口,将操作调用接口和对应的参数列表组合,形成完整的解决方案并执行。
[0067] 安全中心S和网络终端设备C的数据通信和处理过程如下:
[0068] 如图3所示,网络终端设备C中的接收和检测模块C1发现可疑的网络数据或者网络终端设备的异常,则将可疑的网络数据或者网络终端设备的异常信息打包为网络安全可疑状况数据包,通过提交请求模块C2发送到安全中心S。
[0069] 安全中心S接收到网络安全可疑状况数据包之后由分析判断模块S2对网络安全可疑状况数据包中的可疑的网络数据或者网络终端设备的异常信息进行分析判断,根据分析的结果整理出一个解决方案,编码和组装模块S3将解决方案拆分成一个个基本操作,然后将这些操作按照操作编码表中基本操作和操作编码的对应关系进行编码,将得到的操作编码和相应的参数列表按照网络安全解决方案数据包格式进行组装,最后发送模块S4将网络安全解决方案数据包发送给提交网络安全可疑状况数据包的网络终端设备C。
[0070] 网络终端设备C中的接收和检测模块C1接收到安全中心C发送的网络安全解决方案数据包后对其进行验证,通过验证后递交给网络安全客户端C3;网络安全客户端C3将数据包中的操作编码和参数列表分离开来,得到操作编码序列和参数列表序列,然后根据操作编码表对操作编码序列进行译码,从操作编码表中找到对应的操作调用接口,将对应的参数列表传递给操作调用接口。按照操作编码序列的先后顺序组合成一个完整的解决方案,并运行。
[0071] 上述过程中安全中心S和网络终端设备C的数据交互如图4所示。
[0072] 图5是安全中心的功能示意图。
[0073] 安全中心S各部分功能如下:
[0074] 接收请求模块S1包括接收模块S101、校验模块S102,其中:
[0075] 接收模块S101:从Internet接收网络终端设备的网络安全可疑状况数据包;
[0076] 校验模块S102:检验网络安全可疑状况数据包的合法性。
[0077] 分析判断模块S2包括分析模块S201、查询模块S202、处理模块S203,其中:
[0078] 分析模块S201:分析网络安全客户端发送的网络安全可疑状况数据包,根据网络安全可疑状况数据包中提供的可疑状况报告,提取出特征信息;
[0079] 查询模块S202:根据分析模块S201提供的特征信息,从特征库S301中查询匹配,如果匹配成功则取出对应的特征码交给提取模块S302;
[0080] 处理模块S203:通过人工或其他设备分析并处理不能在特征库中匹配的安全问题,得到解决方案。
[0081] 编码和组装模块S3包括特征库S301、提取模块S302、解决方案库S303、测试模块S304以及组合模块S305,其中:
[0082] 特征库S301:存储已知网络安全问题的特征信息和特征码;
[0083] 提取模块S302:根据特征码从解决方案库S303提取对应的解决方案,并将解决方案递交给测试模块S304;
[0084] 解决方案库S303:存储已解决的网络安全问题的解决方案;
[0085] 测试模块S304:将解决方案拆分成一个个基本操作,将基本操作按照操作编码表进行编码,并测试其性能,确保解决方案能够完成任务;
[0086] 组合模块S305:将解决方案和相关标识信息按照网络安全解决方案数据包格式封装。
[0087] 发送模块S4:将组装好的网络安全解决方案数据包通过Internet发送给提交网络安全可疑状况数据包的网络终端设备。
[0088] 在本实施例中,如图5所示,网络终端设备C提交的网络安全可疑状况数据包通过网络传到安全中心,接收模块S101接收请求,校验模块S102验证网络安全可疑状况数据包的合法性和完整性。通过验证的网络安全可疑状况数据包被提交给分析模块S201,分析模块S201通过分析得到网络安全可疑状况数据包中可疑状况报告的特征信息。查询模块S202根据分析模块S201提供的特征信息查询特征库S301,如果存在匹配的特征,则通知提取模块S302根据特征码从解决方案库S303中提取对应的解决方案,并把这个方案递交给测试模块S304。如果没有找到匹配的特征,则分析模块S201将数据包主要特征传递给处理模块S203。处理模块S203借助人工或者其他设备进一步分析可疑状况报告得出解决方案,将解决方案递交给测试模块S304。测试模块S304将解决方案拆分成一个个基本操作,然后按照操作编码表得到相对应的操作编码,并对编码后的解决方案进行测试评价,如果不能满足要求则需要重新生成解决方案,如果能够满足要求则将解决方案递交给组合模块S305。组合模块S305根据网络安全解决方案数据包格式将解决方案和相关标识信息封装。最后通过发送模块S4发送给提交请求的网络终端设备C。
[0089] 图6是网络终端设备中接收和检测模块功能示意图。
[0090] 在本实施例中,如图6所示,网络终端设备中接收和检测模块C1包括数据包接收模块C101、入侵检测模块C102、异常检测模块C103、图形用户接口C104以及组装模块C105,各部分功能如下:
[0091] 数据包接收模块C101:接收网络中传来的数据包,并传递给入侵检测模块C102。
[0092] 入侵检测模块C102:对接收的网络数据进行检测,如果是危险数据,则直接丢弃,如果是普通数据由处理模块C106继续处理,如果是安全中心S传来的网络安全解决方案数据包,则传给网络安全客户端C3;对于不能判断的数据送到图形用户接口C104询问用户,用户参与判断,如果用户不能确定其安全性,则将它作为可疑的网络数据传给组装模块C105,如果用户确定为危险数据则抛弃,如用户确定为普通数据,则由处理模块C106继续处理。
[0093] 异常检测模块C103:在用户的参与对设备性能进行检测,以处理潜伏的病毒、入侵行为等安全问题的威胁,如果发现网络终端设备异常,网络终端设备的异常信息交给组装模块C105;对于不能判断的设备行为送到图形用户接口C104询问用户,用户参与判断,如果用户确定为异常,则网络终端设备的异常信息交给组装模块C105。
[0094] 图形用户接口C104:用户与入侵检测模块C102和异常检测模块C103之间的接口,通过用户的参与提高检测的准确性,降低误检率。
[0095] 组装模块C105:将入侵检测模块C102或异常检测模块C103递交的可疑数据包或网络终端设备的异常信息以及相关的标识信息按照网络安全可疑状况数据包格式进行封装,然后通过网络递交给安全中心C。
[0096] 在本实施例中,如图6所示,网络中的数据到达网络终端设备的接收和检测模块C1,数据包接收模块C101接收网络中传来的数据,并将数据提交给入侵检测模块C102,通过检测的普通数据由处理模块C106继续处理,安全中心发送过来的网络安全解决方案数据包则提交给网络安全客户端C3,若发现存在异常则由组装模块C105整理成网络安全可疑状况数据包发送给安全中心。网络终端设备通过本地的异常检测模块C103检测设备本身的运行状态,一旦发现异常则由组装模块C105整理成网络安全可疑状况数据包发送给安全中心。在入侵检测和异常检测的过程中用户可以通过图形用户接口C104人为干预,以防止将设备本身正常的行为误判为入侵或异常。
[0097] 图7是网络安全客户端功能示意图。
[0098] 在本实施例中,如图7所示,网络安全客户端C3包括控制模块C301、校验模块C302、拆分模块C303、译码提取模块C304、操作编码表C305、组合模块C306、执行模块C307、显示和清理模块C308。各部分的功能如下:
[0099] 控制模块C301:调用各个功能模块完成相应的功能;
[0100] 校验模块C302:利用网络安全解决方案数据包中的CRC字段和证书信息验证数据的完整性和合法性。
[0101] 拆分模块C303:得到网络安全解决方案数据包中的方案内容,并将方案内容中的操作编码和参数列表分离,一个个基本操作的操作编码及参数列表。
[0102] 译码提取模块C304:按照操作编码的顺序根据操作编码表中操作编码与操作调用接口的对应关系依次得到相应的操作调用接口。
[0103] 操作编码表C305:操作名称、操作调用接口和操作编码构成的一一对应的表。
[0104] 组合模块C306:按照操作编码序列的先后顺序,依次将译码提取模块C304取出的操作调用接口和拆分模块C303分离出的与操作对应的参数列表结合,构成完整的解决方案。
[0105] 执行模块C307:执行组合模块C306组合的完整的解决方案。
[0106] 显示和清理模块C308:显示处理结果,并清除处理网络安全问题的过程中产生的垃圾。
[0107] 图8是网络安全客户端工作流程示意图。
[0108] 如图8所示,在本实施例中,安全中心S发送给网络终端设备C的网络安全解决方案数据包通过入侵检测之后,传递到校验模块C302,进行校验,校验失败的数据包被丢弃,通过校验的网络安全解决方案数据包被送往拆分模块C303进行拆分,拆分的结果是生成了操作编码序列C309和参数列表序列C310。译码提取模块C304按照操作编码序列的顺序从操作编码表C305操作编码表中提取出对应的操作调用接口。组合模块C306得到译码提取模块C304提取的操作调用接口,然后从参数列表序列C310参数列表序列中找到操作对应的参数列表,将参数列表传递给操作调用接口,然后将这些带参数列表的操作调用接口按照操作编码序列的顺序组合在一起,形成了一个完整的解决方案。执行模块C307执行组合模块C306组合的解决方案。最后显示和清理模块C308将执行结果反馈给用户,并清理系统中的垃圾。
[0109] 尽管上面对本发明说明性的具体实施方式进行了描述,以便于本技术领的技术人员理解本发明,但应该清楚,本发明不限于具体实施方式的范围,对本技术领域的普通技术人员来讲,只要各种变化在所附的权利要求限定和确定的本发明的精神和范围内,这些变化是显而易见的,一切利用本发明构思的发明创造均在保护之列。
