[发明专利]一种新型内网安全防护方法

说明书

技术领域

本发明涉及内网安全防护领域，尤其涉及一种企业级的新型内网安全防护方法。

背景技术

在网络安全问题日益严重的今天，企业级的网络被攻击是频繁发生的事情，导致企业的敏感信息，重要资料泄露，甚至正常业务陷入瘫痪状态，而现在的防御软件比如杀毒软件不能解决当攻击者用合法软件进行攻击的情况；而且，现有的防火墙主要是防御外网，当攻击者是企业内部的情况下防御外网的防火墙就形同虚设。所以，如何真正实现内网安全防护是网络尤其是企业级网络需要迫切解决的问题。

下面以一个黑客对代号为A公司的企业内网的攻击实例来说明现有的杀毒软件难以实现防护的过程：

1、黑客发送带有木马的Email给A公司的一个员工小马；

2、A公司员工小马在公司的机器上查看了带有木马的Email，然后A公司小马的机器就被黑客植入了木马，成了“肉鸡”；

3、黑客利用这台“肉鸡”，进行A公司内网网络的信息刺探，比如端口扫描、本机连接内网机器的记录等；

4、黑客收集A公司的网络结构，比如总共有多少台机器，其他机器是什么操作系统，哪些机器有远程溢出的漏洞，哪些机器开放了什么服务等；

5、黑客根据信息收集的结果，去尝试入侵其他的机器，获取其他机器的权限；

6、黑客达到入侵的目的。

上述过程中，当黑客拿到了A公司小马的机器后，会进行一系列的操作，比如会使用systeminfo获取本机的信息，用queryuser查询本机登陆的用户，用netuser查看用户的信息以及更改合法用户的密码等，这样的命令还有很多，而这些命令就会为入侵内网其他机器提供方便，而同时这些命令又是系统自带的合法工具，所以杀毒软件肯定不会拦截。黑客同时还会用工具把系统管理员密码的hash值获取出来然后暴力破解拿到管理员的密码。拿到管理员密码之后，黑客会通过netuse命令去尝试获取远程机器的权限，达到入侵其他机器的目的。总之入侵的思路很多，但是入侵的基础就是收集足够多的内网信息，而这些内网信息就是通过这些命令来实现的，而这些命令是系统自带的合法工具，所以杀毒软件肯定不会拦截，这就是造成企业内网被入侵的原因。但是，大多数时候，正常的用户是不会去使用这些命令的，这就为克服此问题而实现真正的内网防护提供了可能，本发明所述防护方法正是基于此特点而研发的新技术。

发明内容

本发明的目的就在于为了解决上述问题而提供一种具备行为检测功能的新型内网安全防护方法。

本发明通过以下技术方案来实现上述目的：

一种新型内网安全防护方法，用于对局域网计算机设备进行入侵防御，所述局域网计算机设备包括网站服务器、非网站服务器和个人电脑，所述新型内网安全防护方法包括以下步骤：

（1）首先设置一个控制中心服务器，并在控制中心服务器、网站服务器、非网站服务器和个人电脑上分别安装软件并对应定义为控制中心、网站盾、服务器盾和PC盾；

（2）在控制中心制定防御规则并将该防御规则的对应数据加密后传输给网站盾、服务器盾和PC盾；

（3）网站盾、服务器盾和PC盾接收该防御规则的对应数据并解密后，根据该防御规则实时记录相应网站服务器、非网站服务器和个人电脑的行为操作，把该防御规则不允许的非法行为阻止掉，并将该非法行为的对应数据加密后传输到控制中心；

（4）控制中心收到该非法行为的对应数据并解密后，立即向管理员发出告警信息。

具体地，所述步骤（2）中，防御规则包括不允许以下操作：新建管理员账户、抓取系统管理员的密码HASH、尝试关闭本机、使用netuse命令去远程连接其他主机、获取本机以及远程主机的进程、查询当前登陆的账户、获取本机的信息。

作为优选，所述步骤（2）和步骤（3）中的加密方法为：

①先从控制中心获取临时生成的用于加密的验证码；

②用该验证码对待发送数据包中的数据段进行加密；

③更新数据包中的checksum字段，完成加密；

所述步骤（2）和步骤（3）中的解密方法为：

①先从控制中心获取临时生成的用于解密的验证码；

②用该验证码对接收的数据包进行解密；

③更新数据包中的checksum字段，完成解密。

对待发送数据包中的数据段进行加密和对接收的数据包进行解密均采用RC4算法。

下面对上述方法中的英文名词释义如下：