[发明专利]一种分布式非法计算机接入的阻断方法

说明书

技术领域

本发明属于网络技术领域，具体涉及一种分布式非法计算机接入的阻断方法。

技术背景

随着内部泄密事件的不断发生，越来越多的单位逐渐认识到内部局域网和计算机安全的重要性。目前，在绝大部分的单位中，重要的数据和资料都在其内部的计算机及网络中存储和传输，这样就极易造成非法的外部计算机接入内网盗取重要的资料和文件。那么如何才能及时地发现非法接入的计算机并将其与内网阻断，成为越来越关注的安全问题。

传统的非法计算机接入阻断产品采用旁路监听的方式，即通过Hub共享或交换机端口映射的方式来获得非法计算机的网络信息。对于此类产品，从技术上是无法做到准确、及时地发现和阻断非法计算机的，而且对于复杂的网络环境并不能起到良好的效果，其原因是因为这些产品是受限于网络设备和网络的拓扑结构，如果交换机没有端口镜像功能或者部分网络数据包不经过核心层交换机，则就很难准确发现网络中非法计算机所发出的数据。再者，即便是发现了有非法计算机侵入了网络，也很难做到及时地阻断它。

发明内容

本发明的目的是要提供一种分布式非法计算机接入的阻断方法，以克服现有技术存在的无法准确发现非法计算机侵入内网并及时地进行阻断的问题。

本发明采取的技术方案是：通过计算机所在服务器区域的阻断服务器对阻断代理软件采用抓包的方式获取的网络数据包进行分析比对，查找非法不可信任的计算机地址，并由阻断代理软件向非法计算机发出特殊网络数据包将其阻断。

本发明通过以下几个步骤来实现：

步骤一：在存储重要数据的计算机上安装阻断代理软件，并以网络串联的方式部署阻断服务器及配置可信任的IP地址，在阻断服务器上配置阻断策略和代理软件的调度方式，阻断策略以表格的形式进行输入或者选择，阻断代理软件的调度方式也通过策略来制定。

步骤二：阻断代理软件将计算机的网卡设置为混杂模式，并实时通过网卡进行抓包并缓存网络数据包；

步骤三：阻断代理软件定时从服务器获取策略和调度指令，分析数据包，提取源IP和目的IP及相对应的MAC地址；

步骤四：严格与可信任的IP地址列表和MAC地址列表对比，阻断代理软件从中找出非法不可信任的计算机地址，发出特殊网络数据包将其阻断，同时向服务器发送报警信息。

所述的步骤二中的阻断策略为输入需要进行阻断的IP地址或者网段，或者输入可信任的计算机或者服务器的IP地址。

所述的步骤二中的阻断代理软件的调度方式为在阻断服务器的管理端的页面中选择联合阻断或者独立阻断。

与现有技术相比，本发明的优点是：

本方法使用分布式阻断方法能够准确地发现非法接入的计算机，发现的延迟时间小于5秒，将原先的单点保护模式改变为多点自主保护模式，突破了网络结构的限制，降低了交换机的负载，能够很好地阻断非法接入的计算机，将阻断成功率提高到99％以上。

附图说明

图1为本发明分布式非法计算机接入的阻断方法流程图。

具体实施方式

下面将通过在主机监控与审计系统中实施本发明进行详细描述。

实施时，需要在主机监控与审计系统中设置阻断策略配置模块和阻断代理模块，这两个模块共同完成分布式非法计算机接入阻断功能。

实施本发明的具体步骤是：

(一)在存储重要数据的计算机上安装阻断代理软件，并以网络串联的方式部署阻断服务器及配置可信任的IP地址，在阻断服务器上配置阻断策略和代理软件的调度方式：

具体的说就是在系统中服务器的管理端配置阻断策略和阻断代理软件的调度方式，并在每一个安装主机监控与审计客户端的计算机上内嵌阻断代理模块或者软件，可以在管理端配置特定的应用服务器(即IP地址或者MAC地址)为可信任的计算机。

上面说到的阻断策略主要以表格的形式进行输入或者选择，比如可以输入需要进行阻断的IP地址或者网段，或者输入可信任的计算机或者服务器的IP地址，所谓可信任的IP就是指该IP的计算机不作为阻断对象；

阻断代理软件的调度方式也可通过策略来制定，比如在阻断服务器的管理端的页面中选择联合阻断还是独立阻断等。

(二)阻断代理软件将计算机的网卡设置为混杂模式，并实时通过网卡进行抓包并缓存网络数据包：

阻断代理软件随着客户端程序的运行而运行，也可单独运行，并实时通过网卡进行网络数据包的侦听和抓取，同时缓存获得的网络数据包；

(三)阻断代理软件定时从服务器获取策略和调度指令，分析数据包，提取源IP和目的IP及相对应的MAC地址；；