一种基于白名单机制的企业安全防护系统及方法

摘要

本发明一种基于白名单机制的企业安全防护系统，包括：指纹信息检测模块、逻辑比对模块、白名单筛查模块、黑名单存储模块以及优先权判定模块；本发明针对现有终端白名单防护系统识别精度低、容易被攻击的不足，采用主动与被动的双重检测技术，配合优先权判定模块的主动过滤逻辑设计，大大降低了攻击可能性，提高了白名单的阻隔与优先处理效果，一定程度上降低了终端登录的延时情况；通过终端类型字典对同步时钟下的双探测数据进行识别，从而达到高精度的终端识别防护；通过科学的滞后时间函数设计，大大增加了本发明的识别范围以及识别精度，为安全的白名单架构设计增加了更多的可实现的技术手段。

说明书

技术领域

本发明专利涉及防护系统技术领域，尤其是一种基于白名单机制的企业安全防护系统及方法。

背景技术

随着网络的不断发展，网络安全无法只靠密码的单一模式来保护，攻击者可以轻松的破解WIFI密码，入侵终端设备，冒用IP接入等手段实现网络的远程攻击；黑名单启用后，被列入到黑名单的用户(或IP地址、IP包、邮件、病毒等)不能通过；如果设立了白名单，则在白名单中的用户(或IP地址、IP包、邮件等)会优先通过，不会被当成垃圾邮件拒收，安全性和快捷性都大大提高；将其含义扩展一步，那么凡有黑名单功能的应用，就会有白名单功能与其对应；

例如：在运营体系中，如果某一用户的号码被列入黑名单，那么它可能不能享用某项业务或全部业务，而白名单内的用户则可不受系统中对普通用户的规则限制。

通过识别系统中的进程或文件是否具有经批准的属性、常见进程名称、文件名称、发行商名称、数字签名，白名单技术能够让企业批准哪些进程被允许在特定系统运行。有些供应商产品只包括可执行文件，而其他产品还包括脚本和宏，并可以阻止更广泛的文件。其中，一种越来越受欢迎的白名单方法被称为“应用控制”，这种方法专门侧重于管理端点应用的行为。白名单历来被认为难以部署、管理耗时，并且，这种技术让企业很难应付想要部署自己选择的应用的员工。然而，在最近几年，白名单产品已经取得了很大进展，它更好地与现有端点安全技术整合来消除部署和管理障碍，为希望快速安装应用的用户提供了快速的自动批准，即将一个系统作为基准模型，生成自己的内部白名单数据库，或者提供模板用来设置可接受基准，这还可以支持PCI DSS或SOX等标准合规性；

但现有技术中关于白名单架构设定的过滤标准偏低，基本采用IP地址作为管理入网控制的有效手段，此举很难杜绝黑客冒用IP地址进行诱骗渗透的偷窃与破坏行为；且传统的防火墙白名单架构设计也普遍存在着逻辑设计复杂，指纹信息的有效辨别存在缺陷，现有设计的白名单架构还会经常造成数据包丢包以及白名单登陆延时，无法适应越来越普及的白名单优先通过机制中的使用需要。

发明内容

为了解决上述技术问题，本发明提供一种基于白名单机制的企业安全防护系统及方法，根据设备指纹信息进行管控，有效的杜绝了冒用IP身份渗透网络的行为发生，采用简洁的逻辑设计架构，大大增加了运算速度与识别精度，很好的体现了白名单优先通过机制。

一种基于白名单机制的企业安全防护系统，包括：指纹信息检测模块、逻辑比对模块、白名单筛查模块、黑名单存储模块以及优先权判定模块；

进一步的，所述指纹信息检测模块包括：主动检测模块与被动检测模块，用于指纹信息的主动检测与被动检测；所述指纹信息是指终端的IP地址以及MAC信息、厂商信息以及硬件序列号信息等主机信息；

所述主动检测模块的一端与所述逻辑比对模块的一端电连接；所述被动检测模块的一端与所述逻辑比对模块的另一端电连接；所述白名单筛查模块的一端与所述逻辑比对模块的又一端电连接，所述白名单筛查模块的另一端与所述优先权判定模块的一端电连接；所述优先权判定模块的另一端与所述黑名单存储模块的一端电连接，所述优先权判定模块的又一端与所述逻辑比对模块的再一端电连接；

进一步的，所述主动检测模块内置有Nmap软件程序，用于主动扫描物联网终端的身份信息；所述身份信息包括：主机信息、端口信息、操作系统信息以及网络传输信息；

进一步的，所述被动检测模块内置有P0f软件程序，用于被动的探测物联网终端的其他信息；所述其他信息包括：端口信息、数据传输信息以及ISP信息；

进一步的，所述逻辑比对模块采用逻辑控制算法控制所述主动检测模块与被动检测模块的探测顺序，并对所述主动检测模块与被动检测模块探测的结果采用时间同序算法进行归集，输出各组同时钟状态下的归集结果值；

作为一种举例说明，所述主动检测模块的探测机理，是规避物联网终端设备的监控软件进行的，其主动探测模式容易引发被探测终端输出的各项数据发生变化，造成所述被动检测模块接收到的探测数据不准确，影响最终的物联网终端识别；

进一步的，所述白名单筛查模块内置有终端类型字典，用于对所述同时钟状态下的归集结果值进行逐一比对分析，得出各组终端的精确识别结果，确定被探测终端是否属于白名单数据集；

作为一种举例说明，所述白名单筛查模块可以对每个主动检测模块或被动检测模块的探测信息进行单独比对，输出识别结果，但这种单项识别结果是基于单个主动或被动检测模块的探测信息进行识别，对单组探测数据的识别会造成物联网终端识别的精确度不高，而同时比对主动与被动检测模块的数据，又需要上述两个模块的数据时钟同步，方能得到统一的精确识别结果输出；

进一步的，所述黑名单存储模块用于存放所述优先权判定模块输入的不属于白名单数据集的异常知识数据，对这些异常知识数据即指纹信息进行存储操作；

进一步的，所述优先权判定模块用于判定终端接入的行为准则，对符合所述白名单数据集范围的终端优先通过，对不符合所述白名单数据集范围的终端进行阻隔操作；

所述优先权判定模块对所述黑名单存储模块内的数据设置记忆识别，当再次遇到所述黑名单存储模块内的数据与新的未知终端的数据并行检测时，控制所述逻辑比对模块优先输出未知终端的数据，此举大大降低了同一台设备的攻击者重复攻击网络时带来的数据处理延时；

作为一种举例说明，所述未知终端的数据是指不属于黑名单存储模块内记载的数据；

一种基于白名单机制的企业安全防护方法，包括：

步骤一、逻辑比对模块的工作方案：

Ⅰ、本发明一种基于白名单机制的企业安全防护系统并入指定网络进行防护后，所述逻辑比对模块控制主动检测模块与被动检测模块对接入终端进行探测、识别操作；

Ⅱ、所述逻辑比对模块控制所述被动检测模块先行探测，得出探测结果B；所述逻辑比对模块将探测结果B中的端口信息D㏄发送给所述主动检测模块，控制所述主动检测模块进行指定端口信息D㏄的主动探测；

Ⅱ、所述被动检测模块得出探测结果B时，逻辑比对模块设定该探测结果时钟点为t，此时所述主动检测模块在时钟t点时同步进行指定端口信息D㏄的主动探测，得出探测结果Z，此时探测结果Z所用时间T，利用滞后时间函数公式可以计算得出；

所述滞后时间函数公式为：

T＝t1+max{t2，t3，t4}；

其中：T为探测结果Z所用时间；t1为主动检测模块探测接入终端的指定端口D㏄所用时间；t2：为主动检测模块获取接入终端的主机信息所用时间；t3：为主动检测模块获取接入终端的网络传输信息所用时间；t4：为主动检测模块获取接入终端的操作系统信息所用时间；max{}为求取最大值的函数公式；t为所述被动检测模块得出探测结果B时，逻辑比对模块设定该探测结果时钟点为t；

进一步的，只有t2，t3，t4的探测结果全部出来，主动检测模块才算探测完成，即探测结果Z所用时间T为：t1与[t2，t3，t4]逻辑比对后的最大值的求和，因Nmap主动探测到端口D㏄时，获取物联网终端的主机信息、网络传输信息和操作系统信息的主动探测操作为同步，故而[t2，t3，t4]的时间值取值最大，即可涵盖另外两个探测所需时间的时间值；

①t1时间值的获取方案采用快扫Nmap端口探测报告的方式获得，即：

clock<

starting Nmap(https://Nmap.org)at<

If it is really up，blocking our ping probes

Nmap done：

由此得出t1实际值；

②t2时间值的获取方案采用快扫Nmap主机探测报告的方式获得，即：

clock<

starting Nmap(https://Nmap.org)at<

If it is really up，blocking our ping probes

Nmap done：hosts up scanned in“

由此得出t2实际值；

③t3时间值的获取方案采用快扫Nmap网络传输信息探测报告的方式获得，即：

clock<

starting Nmap(https://Nmap.org)at<

If it is really up，blocking our ping probes

Nmap done：net information scanned in“

由此得出t3实际值；

④t4时间值的获取方案采用快扫Nmap操作系统信息探测报告的方式获得，即：

clock<

starting Nmap(https://Nmap.org)at<

If it is really up，blocking our ping probes

Nmap done：0host system scanned in“

由此得出t4实际值；

Ⅲ、将所述时钟t与时间段T相加后，可保证基于同一被探测终端的被动探测数据时钟与主动探测数据时钟同步，所述逻辑比对模块归集探测结果B与探测结果Z,形成基于同一时钟下的归集结果值后，传送至白名单筛查模块进行信息识别；

步骤二、被动检测模块的探测方案：

Ⅰ、端口信息被动探测：P0f被动探测指定网络中接入终端的流量数据，通过对数据的被动识别，得出端口信息D㏄；

所述端口信息的数值可以是多组或者单组，取决于接入指定网络待识别终端的数量多少；

Ⅱ、ISP信息被动探测：读取由抓包工具得到的数据包文件，通过P0f程序解析，即可求证出ISP信息以及数据传输信息；

步骤三、主动检测模块的探测方案：

Ⅰ、端口信息扫描设定：Nmap主动发射ping命令：探测指定网络接入终端的指定端口；通过命令Nmap done：target D㏄address from gateway，找到待探测的终端的端口；

Ⅱ、主机信息扫描设定：Nmap通过对端口信息D㏄的主动扫描，获取接入终端的主机信息；主动发射ping命令:Nmap done：sp；

Ⅲ、网络传输信息扫描设定：Nmap通过对端口信息D㏄的主动扫描，获取接入终端的网络传输信息；主动发射ping命令:Nmap done：traceroute；

Ⅳ、操作系统信息探测设定：Nmap通过对端口信息D㏄的主动扫描，获取接入终端的操作系统信息；Nmap主动发射ping命令:Nmap done：O；

步骤四、白名单筛查模块工作方案：白名单筛查模块内置有终端类型字典，所述终端类型字典包括多种需要优先处理的被设定为白名单数据集，包括：IP数据、主机数据、操作系统数据、网络传输数据以及ISP数据；根据所述同时钟状态下的归集结果值，对所述同时钟状态下的归集结果值进行比对分析，一次比对即可得出准确的终端识别结果；

作为一种举例说明，所述终端类型字典为开口数据库，可随时进行终端类型字典上传数据补丁或修改数据操作；

步骤五、优先权判定模块工作方案：

Ⅰ、优先权判定模块接收到所述白名单筛查模块的终端识别结果后，属于白名单数据集的，优先通过；不属于白名单数据集的，阻断该终端通过，同时将被阻断终端的指纹信息传送至黑名单存储模块；

Ⅱ、当逻辑比对模块形成多组基于同一时钟下的归集结果值时，所述优先权判定模块对比黑名单存储模块中已经存储的数据信息，控制所述逻辑比对模块优先输出未知终端的数据；

有益效果：

1、本发明针对现有终端白名单防护系统识别精度低、容易被攻击的不足，采用主动与被动的双重检测技术，配合优先权判定模块的主动过滤逻辑设计，大大降低了攻击可能性，提高了白名单的阻隔与优先处理效果，一定程度上降低了终端登录的延时情况；

2、通过终端类型字典对同步时钟下的双探测数据进行识别，从而达到高精度的终端识别防护；

3、通过科学的滞后时间函数设计，大大增加了本发明的识别范围以及识别精度，为安全的白名单架构设计增加了更多的可实现的技术手段。

附图说明

图1是本发明一种基于白名单机制的企业安全防护系统的整体结构示意图

具体实施方式

下面，参考附图1所示，一种基于白名单机制的企业安全防护系统及方法，其中：

一种基于白名单机制的企业安全防护系统，包括：指纹信息检测模块、逻辑比对模块101、白名单筛查模块102、黑名单存储模块103以及优先权判定模块104；

进一步的，所述指纹信息检测模块包括：主动检测模块105与被动检测模块106，用于指纹信息的主动检测与被动检测；所述指纹信息是指终端的IP地址以及MAC信息、厂商信息以及硬件序列号信息等主机信息；

所述主动检测模块105的一端与所述逻辑比对模块101的一端电连接；所述被动检测模块106的一端与所述逻辑比对模块101的另一端电连接；所述白名单筛查模块102的一端与所述逻辑比对模块101的又一端电连接，所述白名单筛查模块102的另一端与所述优先权判定模块104的一端电连接；所述优先权判定模块104的另一端与所述黑名单存储模块103的一端电连接，所述优先权判定模块104的又一端与所述逻辑比对模块101的再一端电连接；

进一步的，所述主动检测模块105内置有Nmap软件程序，用于主动扫描物联网终端的身份信息；所述身份信息包括：主机信息、端口信息、操作系统信息以及网络传输信息；

进一步的，所述被动检测模块106内置有P0f软件程序，用于被动的探测物联网终端的其他信息；所述其他信息包括：端口信息、数据传输信息以及ISP信息；

进一步的，所述逻辑比对模块101采用逻辑控制算法控制所述主动检测模块105与被动检测模块106的探测顺序，并对所述主动检测模块105与被动检测模块106探测的结果采用时间同序算法进行归集，输出各组同时钟状态下的归集结果值；

作为一种举例说明，所述主动检测模块105的探测机理，是规避物联网终端设备的监控软件进行的，其主动探测模式容易引发被探测终端输出的各项数据发生变化，造成所述被动检测模块106接收到的探测数据不准确，影响最终的物联网终端识别；

进一步的，所述白名单筛查模块102内置有终端类型字典，用于对所述同时钟状态下的归集结果值进行逐一比对分析，得出各组终端的精确识别结果，确定被探测终端是否属于白名单数据集；

作为一种举例说明，所述白名单筛查模块102可以对每个主动检测模块105或被动检测模块106的探测信息进行单独比对，输出识别结果，但这种单项识别结果是基于单个主动或被动检测模块的探测信息进行识别，对单组探测数据的识别会造成物联网终端识别的精确度不高，而同时比对主动与被动检测模块的数据，又需要上述两个模块的数据时钟同步，方能得到统一的精确识别结果输出；

作为一种举例说明，所述终端类型字典包括白名单数据集；

进一步的，所述黑名单存储模块103用于存放所述优先权判定模块104输入的不属于白名单数据集的异常知识数据，对这些异常知识数据即指纹信息进行存储操作；

进一步的，所述优先权判定模块104用于判定终端接入的行为准则，对符合所述白名单数据集范围的终端优先通过，对不符合所述白名单数据集范围的终端进行阻隔操作；

作为一种举例说明，所述优先权判定模块104对所述黑名单存储模块103内的数据设置记忆识别，当再次遇到所述黑名单存储模块103内的数据与新的未知终端的数据并行检测时，控制所述逻辑比对模块101优先输出未知终端的数据，此举大大降低了同一台设备的攻击者重复攻击网络时带来的数据处理延时；

作为一种举例说明，所述未知终端的数据是指不属于黑名单存储模块内记载的数据；

一种基于白名单机制的企业安全防护方法，包括：

步骤一、逻辑比对模块101的工作方案：

Ⅰ、本发明一种基于白名单机制的企业安全防护系统并入指定网络进行防护后，所述逻辑比对模块101控制主动检测模块105与被动检测模块106对接入终端进行探测、识别操作；

Ⅱ、所述逻辑比对模块101控制所述被动检测模块106先行探测，得出探测结果B；所述逻辑比对模块101将探测结果B中的端口信息D㏄发送给所述主动检测模块105，控制所述主动检测模块105进行指定端口信息D㏄的主动探测；

Ⅱ、所述被动检测模块106得出探测结果B时，逻辑比对模块101设定该探测结果时钟点为t，此时所述主动检测模块105在时钟t点时同步进行指定端口信息D㏄的主动探测，得出探测结果Z，此时探测结果Z所用时间T，利用滞后时间函数公式可以计算得出；

所述滞后时间函数公式为：

T＝t1+max{t2，t3，t4}；

其中：T为探测结果Z所用时间；t1为主动检测模块105探测接入终端的指定端口D㏄所用时间；t2：为主动检测模块105获取接入终端的主机信息所用时间；t3：为主动检测模块105获取接入终端的网络传输信息所用时间；t4：为主动检测模块105获取接入终端的操作系统信息所用时间；max{}为求取最大值的函数公式；t为所述被动检测模块106得出探测结果B时，逻辑比对模块101设定该探测结果时钟点为t；

进一步的，只有t2，t3，t4的探测结果全部出来，主动检测模块105才算探测完成，即探测结果Z所用时间T为：t1与[t2，t3，t4]逻辑比对后的最大值的求和，因Nmap主动探测到端口D㏄时，获取物联网终端的主机信息、网络传输信息和操作系统信息的主动探测操作为同步，故而[t2，t3，t4]的时间值取值最大，即可涵盖另外两个探测所需时间的时间值；

①t1时间值的获取方案采用快扫Nmap端口探测报告的方式获得，即：

clock<

starting Nmap(https://Nmap.org)at<

If it is really up，blocking our ping probes

Nmap done：

由此得出t1实际值；

②t2时间值的获取方案采用快扫Nmap主机探测报告的方式获得，即：

clock<

starting Nmap(https://Nmap.org)at<

If it is really up，blocking our ping probes

Nmap done：hosts up scanned in“

由此得出t2实际值；

③t3时间值的获取方案采用快扫Nmap网络传输信息探测报告的方式获得，即：

clock<

starting Nmap(https://Nmap.org)at<

If it is really up，blocking our ping probes

Nmap done：net information scanned in“

由此得出t3实际值；

④t4时间值的获取方案采用快扫Nmap操作系统信息探测报告的方式获得，即：

clock<

starting Nmap(https://Nmap.org)at<

If it is really up，blocking our ping probes

Nmap done：0host system scanned in“

由此得出t4实际值；

Ⅲ、将所述时钟t与时间段T相加后，可保证基于同一被探测终端的被动探测数据时钟与主动探测数据时钟同步，所述逻辑比对模块101归集探测结果B与探测结果Z,形成基于同一时钟下的归集结果值后，传送至白名单筛查模块102进行信息识别；

步骤二、被动检测模块106的探测方案：

Ⅰ、端口信息被动探测：P0f被动探测指定网络中接入终端的流量数据，通过对数据的被动识别，得出端口信息D㏄；

所述端口信息的数值可以是多组或者单组，取决于接入指定网络待识别终端的数量多少；

Ⅱ、ISP信息被动探测：读取由抓包工具得到的数据包文件，通过P0f程序解析，即可求证出ISP信息以及数据传输信息；

步骤三、主动检测模块105的探测方案：

Ⅰ、端口信息扫描设定：Nmap主动发射ping命令：探测指定网络接入终端的指定端口；通过命令Nmap done：target D㏄address from gateway，找到待探测的终端的端口；

Ⅱ、主机信息扫描设定：Nmap通过对端口信息D㏄的主动扫描，获取接入终端的主机信息；主动发射ping命令:Nmap done：sp；

Ⅲ、网络传输信息扫描设定：Nmap通过对端口信息D㏄的主动扫描，获取接入终端的网络传输信息；主动发射ping命令:Nmap done：traceroute；

Ⅳ、操作系统信息探测设定：Nmap通过对端口信息D㏄的主动扫描，获取接入终端的操作系统信息；Nmap主动发射ping命令:Nmap done：O；

步骤四、白名单筛查模块102工作方案：白名单筛查模块102内置有终端类型字典，所述终端类型字典包括多种需要优先处理的被设定为白名单数据集，包括：IP数据、主机数据、操作系统数据、网络传输数据以及ISP数据；根据所述同时钟状态下的归集结果值，对所述同时钟状态下的归集结果值进行比对分析，一次比对即可得出准确的终端识别结果；

作为一种举例说明，所述终端类型字典为开口数据库，可随时进行终端类型字典上传数据补丁或修改数据操作；

步骤五、优先权判定模块104工作方案：

Ⅰ、优先权判定模块接收到所述白名单筛查模块102的终端识别结果后，属于白名单数据集的，优先通过；不属于白名单数据集的，阻断该终端通过，同时将被阻断终端的指纹信息传送至黑名单存储模块103；

Ⅱ、当逻辑比对模块101形成多组基于同一时钟下的归集结果值时，所述优先权判定模块104对比黑名单存储模块103中已经存储的数据信息，控制所述逻辑比对模块101优先输出未知终端的数据；

本发明针对现有终端白名单防护系统识别精度低、容易被攻击的不足，采用主动与被动的双重检测技术，配合优先权判定模块的主动过滤逻辑设计，大大降低了攻击可能性，提高了白名单的阻隔与优先处理效果，一定程度上降低了终端登录的延时情况；通过终端类型字典对同步时钟下的双探测数据进行识别，从而达到高精度的终端识别防护；通过科学的滞后时间函数设计，大大增加了本发明的识别范围以及识别精度，为安全的白名单架构设计增加了更多的可实现的技术手段。

以上公开的仅为本申请的一个具体实施例，但本申请并非局限于此，任何本领域的技术人员能思之的变化，都应落在本申请的保护范围内。