一种对局域网进行安全管理的方法与流程

本发明涉及信息安全领域，具体涉及一种对局域网进行安全管理的方法。

背景技术

目前国内外对于局域网上网行为安全管理都有很多重要的研究，都有各自的特点和意义。并且各种网络管理安全防护软件也层出不穷，局域网网络安全研究也是互联网的热点。对于网络的监控一般会从两个方面入手，一是对于网络设备的监控，一是对于网络设备至今的数据和用户的操作进行监控。对应的方法为：前者是通过对于硬件设备的运行情况来实现物理上的监控安全。后者是通过对于数据包流量的分析和用户行为识别的来及时发现网络中存在的问题。

而目前局域网使用的网络安全设备现状为：1.从传统的客户端，服务端模式向只有客户端模式转变。但这并不是不存在服务端，而是服务端被简化，就像木马一下，通过反向连接等方式，这样就可以消耗很小的内存。并且对于不同的网络设备与环境我们的软件经常出现各种各样问题，甚至安装过程中就会存在很多问题。并且好多安全监控软件用户可以自行卸载安装。由此造成了一系列的安全维护问题。其原本的安全防护价值与用户体验度大大降低。目前大多数只安装服务端的软件所占内存小，运行速度快，安装方便。现在许多大公司都倾向开发只安装服务器端的软件。2.随着各种技术的出现,目前的安全监控产品各种功能琳琅满目，有的甚至能够360度无死角的对所有用户监控，用户相当于处在一个透明的网络环境中。但是有些功能仅仅是点缀，用来炫酷的，并没有太多的实用性。它们并不能根据各内网的实际需求来进行安全管理。反而软件本身占用了大量网络资源和电脑内存。这既不能真正保证局域网的安全性也不是一套经济高效的方案。3.开发成本较高，实用性，自适应性就弱。不能满足客户的体验要求。传统的安全管理设备一台就要动用数十万元的资金，从而让很多企业望而生畏。

通过以上分析我们发现，目前市场上很多的技术和安全管理系统都不能经济有效的解决局域网的安全监管工作。因此需要一种灵活、简便的局域网网络安全管理方法，该方法能够独立的监控审计内网人为的操作行为，分析其安全与否，对每台主机操作的对象进行严密监控，一旦出现危险操作，都能够及时的反馈。

技术实现要素：

1、所要解决的技术问题：

为了解决上述提出的问题，本发明提供一种对局域网进行安全管理的方法，本方法只要通过在一些普通计算机上进行简单配置和安装就可以实现安全取证，从而大大降低了各企业的成本让更多的企业能够承担。

2、技术方案：

一种对局域网进行安全管理的方法，其特征在于：包括以下步骤：步骤一：配置系统参数，并保存在数据库中；所述参数信息包括：系统系统操作日志、字典、更新记录。步骤二：建立管理员用户和普通用户；所述管理员用户设置服务端模块与控制中心模块；所述普通用户设置客户端；当客户端启用时，服务端根据控制中心预设的进程对客户端进入监控；控制中心预设的监控进程包括：进程安全度审查，用户上网记录审查，屏幕回放管理模块；所述进程安全度审查包括进程名白名单过滤，导入表黑名单过滤，以及微软签名检测，以及内核层实时获取进程动态变化信息；所述进程安全度审查结果包括进程的类型、是否签名，危险评级；所述进程安全度审查结果可视化输出到管理员用户的服务端；所述用户上网记录审查包括利用数据包过滤器对抓获到的网络数据包进行过滤，过滤出敏感域名；所述屏幕回放管理模块为利用微软提供的对avi数据流的读写操作的接口，构造一个屏幕监控的模块。

步骤三：建立数据传输模块：所述数据传输模块为作用于控制中心以及服务端之间进行数据的交流；当某一普通用户的主机被标记为可疑主机时，管理员通过所述的数据传输模块独立的将远程监控主机的视频流回流到控制中心。

进一步地，所述进程名白名单过滤为管理员将对应的局域网允许使用的软件进行添加，以防服务端误报处理。

进一步地，所述屏幕回放管理模块包括：每十秒检测普通用户的鼠标的位置，与十秒前的位置进行比对，如果位置不同，则认定鼠标被移动，即认为电脑正在被人操作，则开启屏幕回放管理模块进行屏幕监控；屏幕监控会一直工作，直到被认为电脑没有被操作为止；所述屏幕监控视频被分段录制下来，当控制中心将某台主机标记为高危主机时，服务端会利用所述数据传输模块，将最后录制的屏幕监控视频发送给控制中心的主机的审计文件夹里，用来作为审计证据。

进一步地，所述可疑主机的判断过程为：

s1：通过对数据包头部数据中的报文协议类型进行判断，来提取出tcp协议相关的报文。

s2：通过偏移位置找到，数据包是否为post或是get包，并将报文内容拷贝，作为原始数据。

s3：提取原始数据中的域名；通过得到的原始数据进行字符对比，找到host字段，由于host字段后跟的必定是这个http数据包的访问域名，即得到了访问的域名信息。

s4：将得到的域名同流量审计维护的敏感域名黑名单比对，经比对如果这次访问是的敏感域名，则将访问的域名发送给控制中心，并将该服务端主机添加为可疑主机，管理员可以通过审计对话框详细的了解到服务端的访问情况。

进一步地，所述数据传输模块为低速率udp传输模块；所述低速率udp传输模块采用缓冲池的方式进行传输；其具体过程为：当数据开始传输时，程序会首先计算文件大小然后进行分块切割成一定的数量。此时我们会准备一个缓冲池队列用来存放修改后的文件数据。同时，在接受端我们会打开一个端口处于监听状态，准备接收数据。当一切准备完毕，我们就可以开始进行会话了，发送方会自动建立会话，告诉接收方数据的大小以及数据块的数量然后建立传输链接。数据的传输方式如下：首先将每个缓冲池轮流发送，当一个发送完后边进入等待状态。如果当接收方反馈后就重新发送，通过索引的方式定位到需要重发的数据节点并且补充完整数据再进行重发。当一个块传输完毕时再循环的传输下一个缓冲池。

3、有益效果：

(一)本方法能够实现对局域网全局掌控，使网络流量透明传输。本方法从整体、应用、员工多个角度透视网络流量，可以定位到每台主机对于任何一台主机的流量情况，定时刷新实时网络数据。都可以及时定位，及时发现异常以及日常网络故障排除等。

(二)本方法提供的对局域网的管理能提高工作效率，规范上网行为。通过局域网安全管理系统可以自定义一下不符合内部网络要求的应用程序，禁止访问一些与工作学习无关的url。这样玩游戏，看视频就不可能在内网随心所欲了。大家工作环境工作氛围得到了提升。

(三)本发明提供的对局域网进行安全管理的方法具有高度的自适应性，及时定位。管理员可以根据内网的实际需求和公司单位的需求自己设定安全级别与策略。通过最简化的管理流程，优化的网络安全方案，高效有针对性的保障了内网环境的安全。并且能够迅速的定位到每台主机，及时预警响应。

附图说明

图1为本发明的整体框架图；

图2为本发明中服务端框架结构；

图3为本发明中进程安全度审查的流程图；

图4为本发明中桌面回放流程图；

图5为本发明中数据传输模块的框架图。

具体实施方式

下面结合附图对本发明进行说明。

如附图1、2、3、4、5所示一种对局域网进行安全管理的方法，包括以下步骤：

步骤一：配置系统参数，并保存在数据库中；所述参数信息包括：系统系统操作日志、字典、更新记录；步骤二：建立管理员用户和普通用户；所述管理员用户设置服务端模块与控制中心模块；所述普通用户设置客户端；当客户端启用时，服务端根据控制中心预设的进程对客户端进入监控；控制中心预设的监控进程包括：进程安全度审查，用户上网记录审查，屏幕回放管理模块；所述进程安全度审查包括进程名白名单过滤，导入表黑名单过滤，以及微软签名检测，以及内核层实时获取进程动态变化信息；所述进程安全度审查结果包括进程的类型、是否签名，危险评级；所述进程安全度审查结果可视化输出到管理员用户的服务端；所述用户上网记录审查包括利用数据包过滤器对抓获到的网络数据包进行过滤，过滤出敏感域名；所述屏幕回放管理模块为利用微软提供的对avi数据流的读写操作的接口，构造一个屏幕监控的模块；步骤三：建立数据传输模块：所述数据传输模块为作用于控制中心以及服务端之间进行数据的交流；当某一普通用户的主机被标记为可疑主机时，管理员通过所述的数据传输模块独立的将远程监控主机的视频流回流到控制中心。

在本发明中系统的架构图如图1所示，管理员的进行管理包含两部分，一个是控制中心，一个是服务端，服务端的作用是用于作用于被监控主机，它将调用功能模块，将处理的数据通过网络连接传输给控制中心，控制中心用于给管理员实时的显示部署了服务端的内部网络主机的操作情况。而局域网内的用户采用的是用户端。本方法是通过客户端的方式来进行监控局域网内用户行为，给每台用户主机安装上客户端程序。如附图2，在本方法中控制中心和服务端都部署网络中心、数据中心。网络中心用于c/s模式的数据传输，数据中心将网络中心的数据接收并协同不同的功能模块进行处理，在处理完过后交托给网络中心传输。

如附图3为进程安全度审查的流程图，该模块引用导入表检测、微软签名检测、白名单过滤等机制，来判断用户启动的进程的安全度，这样操作的作用是为了防止用户在网络上下载了不安全的可执行程序，导致电脑感染不安全的代码的第一时间，报告给控制中心，管理员可以及时将危险主机进行隔离，防止外网对内网的进一步威胁。

屏幕监控作为取证的关键内容，是审计系统不可或缺的一个重要部分，这里我们利用微软提供的对avi数据流的读写操作的接口，来构造一个屏幕监控的模块。

首先设置一个计时器，在计时器的回调函数中，系统每次截取一张当前屏幕的位图，将的到的位图用avi数据流操作函数一次导入一个avi数据流，这样就获得一段时间的屏幕监控视频。

当然为了保证视频的流畅性（流畅性与每秒截图的张数有关）每秒写入视频流的位图越多，视频将会越流畅，当然这里也会有一个弊端，就是当帧数（每秒的截屏次数）越高，记录相同时间的屏幕情况，获得的avi文件也就越大，为保证至少基本的流畅的前提下，我们设定视频的帧数为5。

为了不浪费资源的情况下，每十秒检测一下鼠标的位置，与十秒前的位置进行比对，如果位置不同，则认定鼠标被移动，即可以认为电脑正在被人操作，只有在这样的情况下我们才会开启屏幕监控。屏幕监控会一直工作直到被认为电脑没有被操作为止。

如附图5为数据传输模块的框架图。功能模块作用于控制中心以及服务端，作用是在目标主机被标记为可疑主机时，管理员可疑通过该udp传输隧道独立的将远程监控主机的视频流回流到控制中心。默认传输端口通过17173端口传输数据。当数据开始传输时，程序会首先计算文件大小然后进行分块切割成一定的数量。此时我们会准备一个缓冲池队列用来存放修改后的文件数据。同时，在接受端我们会打开一个端口处于监听状态，准备接收数据。当一切准备完毕，我们就可以开始进行会话了，发送方会自动建立会话，告诉接收方数据的大小以及数据块的数量然后建立传输链接。数据的传输方式如下：首先将每个缓冲池轮流发送，当一个发送完后边进入等待状态。如果当接收方反馈后就重新发送，通过索引的方式定位到需要重发的数据节点并且补充完整数据再进行重发。当一个块传输完毕时再循环的传输下一个缓冲池。

虽然本发明已以较佳实施例公开如上，但它们并不是用来限定本发明的，任何熟习此技艺者，在不脱离本发明之精神和范围内，自当可作各种变化或润饰，因此本发明的保护范围应当以本申请的权利要求保护范围所界定的为准。