CN101039324A - 一种网络病毒防护方法、系统及装置 - Google Patents
一种网络病毒防护方法、系统及装置 Download PDFInfo
- Publication number
- CN101039324A CN101039324A CN 200710086803 CN200710086803A CN101039324A CN 101039324 A CN101039324 A CN 101039324A CN 200710086803 CN200710086803 CN 200710086803 CN 200710086803 A CN200710086803 A CN 200710086803A CN 101039324 A CN101039324 A CN 101039324A
- Authority
- CN
- China
- Prior art keywords
- request message
- unique identifier
- globally unique
- unit
- client identification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明实施例公开了一种网络病毒防护的方法,该方法包括:接收基于远程过程调用协议的请求消息,所述请求消息中包含客户端标识;若确定保存的合法标识集合中包含所述客户端标识,则允许所述请求消息通过。通过本发明实施例方法,能够提高系统安全性,对于不方便进行补丁更新和漏洞库更新的系统效果更明显。本发明实施例还提供了一种网络病毒防护的系统及装置。
Description
技术领域
本发明涉及通信领域的数据传输技术,尤其涉及一种网络病毒防护方法、系统及装置。
背景技术
远程过程调用(RPC)是一种通过网络从远程计算机程序上请求服务,而不需要了解底层网络技术的协议,它可以提供一种内部进程通讯机制,允许在一台终端上运行的程序来无缝执行远程系统中的代码。RPC协议本身起源于开放软件基金会(OSF)RPC协议,RPC通信是承载于服务消息块(SMB)协议层之上的一种通信机制。
目前,网络病毒对基于RPC的攻击已经造成非常严重的影响,但是,却没有有效的机制能够很好的预防这种网络病毒对基于RPC的攻击。特别是在目前很多业务服务器为了安全性考虑,不直接接入因特网,因此,许多安全补丁等更新需要手动进行,在更新数量比较多的时候容易造成更新滞后,服务器受到病毒的感染,最终可能会造成业务的中断。在Windows平台中,目前爆发的病毒攻击主要是通过RPC调用协议在实现上的漏洞进行的。而实际上绝大多数RPC接口/调用号在系统中是不会被用到的,例如,一种文件服务器对打印服务器是不需要对外开放的,同样,打印服务器对文件服务器也是不需要对外开放的。但是,系统的默认情况下却会全部对外开放,这样,就会对系统造成极大的安全隐患。
现在主要的防护方法有两种:第一种是端口防护策略,针对这种基于RPC的攻击,通过对系统端口的屏蔽来预防被攻击,所谓对系统端口的屏蔽即关闭受攻击的端口。通过该防护策略确实可以预防此类攻击,但是,由于将系统端口屏蔽,就会使得所有基于该端口的业务应用都将无法正常使用。第二种方法是针对RPC溢出特征来进行过滤,即使用安全产品,如杀毒软件。当系统发现出现此类攻击后的时候,会自动进行防护,即进行病毒查杀。这种方法是一种基于黑名单的方式,对漏洞库和响应时间的要求都比较高。但是,这种方法的特征库必须实时升级,一旦有新的攻击特征出现,且未被及时收录到特征库,则安全防护产品将不会有作用。
发明内容
本发明实施例提供一种网络病毒防护方法、系统及装置,以解决现有技术中存在的基于RPC通信过程中,关闭端口防病毒造成的业务无法正常进行,和基于黑名单方式防病毒造成的有新攻击特征出现无法及时升级特征库的问题。
本发明实施例提供一种网络病毒防护的方法,该方法包括:
接收基于远程过程调用协议的请求消息,所述请求消息中包含客户端标识;
若确定保存的合法标识集合中包含所述客户端标识,则允许所述请求消息通过。
本发明实施例还提供一种网络病毒防护的系统,该系统包括:
客户端,用于向服务器发送基于远程过程调用协议的请求消息,该请求中包含客户端标识;
服务器,用于接收所述请求消息,若确定保存的合法标识集合中包含所述客户端标识,则允许所述请求消息通过。
本发明实施例还提供一种网络病毒防护的装置,该装置包括:
第二接收单元,用于接收基于远程过程调用协议的请求消息,该请求消息中包含客户端标识;
第二判断单元,用于若确定保存的合法标识集合中包含所述客户端标识,则允许所述请求消息通过。
本发明实施例通过服务器接收来自客户端的基于远程过程调用协议的请求消息,该请求消息中包含客户端标识,若确定保存的合法标识集合中包含所述客户端标识,则服务器允许所述请求消息通过的方法,使得在基于远程过程的通信过程中,系统系统安全性和抗攻击的能力,特别是对于不方便进行补丁更新、漏洞库更新的系统效果更明显。
附图说明
图1(a)和图1(b)为本发明实施例系统结构示意图;
图2为本发明实施例步骤流程示意图;
图3为本发明实施例信令流程示意图;
图4为本发明实施例装置结构示意图。
具体实施方式
目前,Windows系统层面的病毒攻击主要来自于网络层发起的RPC端口溢出,本发明实施例提出了一种基于对RPC服务进行白名单过滤的方法来防护溢出和病毒对系统的危害。客户端将基于远程过程调用协议的请求消息发送给服务器,该请求消息中包含客户端标识;若确定保存的合法标识集合中包含所述客户端标识,则所述服务器允许所述请求消息通过。本发明实施例中,由于只允许含有白名单中的信息的请求通过,因此在该系统业务能够正常进行时,还能够实现对未知病毒的防护。
如图1(a)和图1(b)所示,为本发明实施例系统结构示意图,该系统包括客户端和服务器,其中,客户端用于向服务器发送基于远程过程调用协议的请求消息,该请求中包含客户端标识;服务器用于接收所述请求消息,若确定保存的合法标识集合中包含所述客户端标识,则允许所述请求消息通过。
所述服务器包括第一接收单元11和第一判断单元12,其中,第一接收单元11用于接收所述请求消息;第一判断单元12用于若确定所述保存的合法标识集合中包含所述客户端标识,则允许所述请求消息通过。
如图1(a)所示,若所述请求消息为绑定请求,且所述客户端标识为全局唯一标识号,则第一判断单元12包括第一确定单元21和第一实现单元22,其中,第一确定单元21用于确定所述保存的合法标识集合中是否包含所述全局唯一标识号,并将确定结果发送给所述第一实现单元22;第一实现单元22用于若接收到的所述确定结果为包含所述全局唯一标识号,则允许所述请求消息通过。
进一步地,若所述客户端标识还为全局唯一标识号对应的函数标识号,则所述第一判断单元12还包括第二确定单元23,用于接收所述第一确定单元21发送的确定结果,若所述确定结果为包含所述全局唯一标识号,则判断所述保存的合法标识集合中是否包含所述全局唯一标识号对应的函数标识号,并将判断结果发送给所述第一实现单元22。
如图1(b)所示,若所述请求消息为调用函数标识号请求,且所述客户端标识为全局唯一标识号对应的函数标识号,则所述第一判断单元12包括确定单元31和实现单元32,其中,确定单元31用于确定所述保存的合法标识集合中是否包含所述全局唯一标识号对应的函数标识号,并将确定结果发送给所述实现单元32;实现单元32用于若接收到的所述确定结果为包含所述全局唯一标识号对应的函数标识号,则允许所述请求消息通过。
在本发明实施例的系统中,所述客户端标识可以为全局唯一标识号和/或接口对应的函数标识号,所述合法标识集合可以包括合法全局唯一标识号列表和/或合法接口对应的函数标识号列表。
下面结合具体实施例详细说明本发明实施例方法。
如图2所示,为本发明实施例中基于RPC的通信过程中的网络病毒防护的步骤流程示意图,图3为本发明实施例中信令流程示意图,该方法主要包括以下步骤:
步骤201:接收基于远程过程调用协议的请求消息,该请求消息中包含客户端标识。
首先,客户端希望与服务器建立连接,向服务器发送协商请求(NegotiateProtocol Request),服务器接收到该协商请求后,向客户端返回协商响应(Negotiate Protocol Response),该协商响应中带有挑战信息。然后,客户端向服务器发送认证请求消息(Session Setup Andx Request),该响应消息中带有认证消息,服务器返回认证响应消息(Session Setup Andx Response),完成认证。
然后,客户端再向服务器发送接口调用请求(NT Create Andx Request),如调用工作站服务(WKSSVC)、打印服务(SPOOLS)和注册表服务(WINREG)等接口。服务器接收到该调用请求后,判断请求中的数据包是否为RPC报文,若是,则进入后续的进一步操作;若不是,则确定该客户端为合法客户端,允许通过。当判断结束后,服务器向客户端返回调用接口响应,该响应中包含判断结果。
在本发明实施例中,所述客户端标识可以为全局唯一标识号(GlobalUnique Identity Code,GUID)和/或接口对应的函数标识号。服务器可以保存一组RPC调用信息列表,该调用信息列表中可以包含RPC调用时的GUID号和接口对应的函数标识号,另外,该调用信息列表中也可以包含接口名称等信息,用于指导用户配置。所述合法标识集合可以为合法的GUID号列表和/或合法接口对应的函数标识号列表,即设定的白名单。所述服务器获得该合法标识集合的方法可以包括:服务器自身保存该合法标识集合,或该合法标识集合保存在其他存储单元中,由该服务器从该存储单元中调用该合法标识集合。
步骤202:若确定保存的合法标识集合中包含所述客户端标识,则允许所述请求消息通过。
首先,客户端向服务器发送绑定请求,该绑定请求中包含了要绑定的GUID号,服务器接收到该绑定请求后,根据获得的合法标识集合来判断所述GUID号是否合法,若合法全局唯一标识号列表中包含所述GUID号,则确定该GUID号为合法,若只设定了这一个门限,则可以允许所述请求消息通过;若合法标识集合中不包含所述GUID号,则确定该GUID号为非法,即说明该客户端为非法,阻止请求消息通过。然后,服务器向客户端返回绑定响应,该绑定响应中包含判断结果。
同样,客户端也可以向服务器发送调用数据请求,并接收服务器返回的调用数据响应。则客户端可以向服务器发送调用函数标识号请求,该请求中包含了上述GUID号对应的函数标识号。GUID号可能会对应一个以上的函数标识号,例如对应3个函数标识号,则合法标识集合中将保存合法GUID号所对应的所有函数标识号。因此,服务器接收到该调用函数标识号请求后,根据获得的合法标识集合来判断所述GUID号对应的函数标识号是否合法。若合法GUID号对应的函数标识号列表中包含所述GUID号对应的函数标识号,则说明该函数标识号合法,允许所述请求消息通过;若该合法标识集合中不包含所述GUID号对应的函数标识号,则说明该函数标识号非法,即该客户端非法,阻止该请求消息通过。然后,服务器向该客户端返回调用函数标识号响应,该响应中包含了判断结果。
若用户希望获得更可靠的安全保证,可以再设定一个以上的门限,例如,当确定GUID号为合法,再进一步地确定该GUID号对应的函数标识号是否合法,即当确定保存的合法标识集合中包含所述全局唯一标识号之后,且所述请求消息通过之前还进一步确定所述保存的合法标识集合中包含所述GUID号对应的函数标识号。
最后,客户端向服务器发送关闭接口请求,并接收服务器返回的关闭接口响应。当然,所述客户端标识不止上述实施例中所描述的两种,还可以包含其他的标识,相应的,合法标识集合也不止合法的GUID号列表和/或接口对应的函数标识号,可以包含其它的标识。目前在Windows平台上,RPC调用最多的是139和445两个端口,而在实现过程中,考虑到简单及兼容性的问题,可以关闭445端口,只开放139端口进行数据包过滤。
上述实施例可以在网络设备、多种操作系统中,如Windows、UNIX和LINUX中,在网络设备中,可以对各种关于RPC的请求进行检查,判断请求中包含的标识是否被包含于合法标识集合,若是则允许请求通过,若不是,则阻止请求通过。在各操作系统中,可以通过底层驱动来实现本发明实施例中的方案,原理类似。这样,即使需要开放存在弱点的端口,由于对RPC调用进行了限制,也不会受到攻击。
基于上述对本发明实施例中方法及系统的描述,本发明实施例还提供一种网络病毒防护装置,如图4所示,该装置包括第二接收单元41和第二判断单元42,其中,第二接收单元41用于接收基于远程过程调用协议的请求消息,该请求消息中包含客户端标识;第二判断单元42用于若确定保存的合法标识集合中包含所述客户端标识,则允许所述请求消息通过。
若所述请求消息为绑定请求,且所述客户端标识为全局唯一标识号,则所述第二判断单元42包括第三确定单元51和第二实现单元52,其中,第三确定单元51用于确定所述保存的合法标识集合中是否包含所述全局唯一标识号,并将确定结果发送给所述第二实现单元52;第二实现单元52用于若接收到的所述确定结果为包含所述全局唯一标识号,则允许所述请求消息通过。
进一步地,若所述客户端标识为全局唯一标识号对应的函数标识号,则所述第二判断单元42还包括第四确定单元53,用于接收所述第三确定单元51发送的确定结果,若所述确定结果为包含所述全局唯一标识号,则判断所述保存的合法标识集合中是否包含所述全局唯一标识号对应的函数标识号,并将判断结果发送给所述第二实现单元52。
在本发明实施例的装置中,同样,所述客户端标识可以为全局唯一标识号和/或接口对应的函数标识号,所述合法标识集合包括合法全局唯一标识号列表和/或合法接口对应的函数标识号列表。
通过本发明实施例方法、系统及装置的描述,可以使得在不采用安全产品的情况下提高系统的安全性、防攻击的能力和稳定性,对于不方便进行补丁更新、漏洞库更新的系统效果更加明显。利用本发明实施例生成的产品能够高效率且稳定地运行。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (10)
1、一种网络病毒防护的方法,其特征在于,该方法包括:
接收基于远程过程调用协议的请求消息,所述请求消息中包含客户端标识;
若确定保存的合法标识集合中包含所述客户端标识,则允许所述请求消息通过。
2、如权利要求1所述的方法,其特征在于,若所述请求消息为绑定请求,且所述客户端标识为全局唯一标识号,则
若确定所述保存的合法标识集合中包含所述全局唯一标识号,则允许所述请求消息通过。
3、如权利要求2所述的方法,其特征在于,若所述客户端标识为全局唯一标识号对应的函数标识号,则所述确定保存的合法标识集合中包含所述全局唯一标识号之后,且允许所述请求消息通过之前包括:
确定所述保存的合法标识集合中包含所述全局唯一标识号对应的函数标识号。
4、一种网络病毒防护的系统,其特征在于,该系统包括:
客户端,用于向服务器发送基于远程过程调用协议的请求消息,该请求中包含客户端标识;
服务器,用于接收所述请求消息,若确定保存的合法标识集合中包含所述客户端标识,则允许所述请求消息通过。
5、如权利要求4所述系统,其特征在于,所述服务器包括:
第一接收单元,用于接收所述请求消息;
第一判断单元,用于若确定所述保存的合法标识集合中包含所述客户端标识,则允许所述请求消息通过。
6、如权利要求5所述系统,其特征在于,若所述请求消息为绑定请求,且所述客户端标识为全局唯一标识号,则
所述第一判断单元包括第一确定单元和第一实现单元,其中,
所述第一确定单元,用于确定所述保存的合法标识集合中是否包含所述全局唯一标识号,并将确定结果发送给所述第一实现单元;
所述第一实现单元,用于若接收到的所述确定结果为包含所述全局唯一标识号,则允许所述请求消息通过。
7、如权利要求6所述系统,其特征在于,若所述客户端标识为全局唯一标识号对应的函数标识号,则所述第一判断单元还包括:
第二确定单元,用于接收所述第一确定单元发送的确定结果,若所述确定结果为包含所述全局唯一标识号,则判断所述保存的合法标识集合中是否包含所述全局唯一标识号对应的函数标识号,并将判断结果发送给所述第一实现单元。
8、一种网络病毒防护的装置,其特征在于,该装置包括:
第二接收单元,用于接收基于远程过程调用协议的请求消息,该请求消息中包含客户端标识;
第二判断单元,用于若确定保存的合法标识集合中包含所述客户端标识,则允许所述请求消息通过。
9、如权利要求8所述装置,其特征在于,若所述请求消息为绑定请求,且所述客户端标识为全局唯一标识号,则
所述第二判断单元包括第三确定单元和第二实现单元,其中,
所述第三确定单元,用于确定所述保存的合法标识集合中是否包含所述全局唯一标识号,并将确定结果发送给所述第二实现单元;
所述第二实现单元,用于若接收到的所述确定结果为包含所述全局唯一标识号,则允许所述请求消息通过。
10、如权利要求9所述装置,其特征在于,若所述客户端标识为全局唯一标识号对应的函数标识号,则所述第二判断单元还包括:
第四确定单元,用于接收所述第三确定单元发送的确定结果,若所述确定结果为包含所述全局唯一标识号,则判断所述保存的合法标识集合中是否包含所述全局唯一标识号对应的函数标识号,并将判断结果发送给所述第二实现单元。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007100868033A CN101039324B (zh) | 2007-03-12 | 2007-03-12 | 一种网络病毒防护方法、系统及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007100868033A CN101039324B (zh) | 2007-03-12 | 2007-03-12 | 一种网络病毒防护方法、系统及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101039324A true CN101039324A (zh) | 2007-09-19 |
| CN101039324B CN101039324B (zh) | 2011-09-14 |
Family
ID=38889956
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007100868033A Expired - Fee Related CN101039324B (zh) | 2007-03-12 | 2007-03-12 | 一种网络病毒防护方法、系统及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101039324B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101873331A (zh) * | 2010-07-07 | 2010-10-27 | 中国工商银行股份有限公司 | 一种安全认证方法和系统 |
| CN102438023A (zh) * | 2011-12-29 | 2012-05-02 | 成都市华为赛门铁克科技有限公司 | 恶意远程过程调用行为的检测方法和装置 |
| CN105933961A (zh) * | 2016-04-28 | 2016-09-07 | 乐视控股(北京)有限公司 | 节能控制方法及装置 |
| CN114466053A (zh) * | 2022-04-11 | 2022-05-10 | 腾讯科技(深圳)有限公司 | 远程过程调用的调用管控方法、装置、设备及存储介质 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5774479A (en) * | 1995-03-30 | 1998-06-30 | Motorola, Inc. | Method and system for remote procedure call via an unreliable communication channel using multiple retransmission timers |
| CN1268093C (zh) * | 2002-03-08 | 2006-08-02 | 华为技术有限公司 | 无线局域网加密密钥的分发方法 |
| CN101222354A (zh) * | 2002-10-01 | 2008-07-16 | 华为技术有限公司 | 一种智能终端管理方法 |
| CN100536392C (zh) * | 2004-11-04 | 2009-09-02 | 华为技术有限公司 | 一种移动终端的位置更新方法 |
-
2007
- 2007-03-12 CN CN2007100868033A patent/CN101039324B/zh not_active Expired - Fee Related
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101873331A (zh) * | 2010-07-07 | 2010-10-27 | 中国工商银行股份有限公司 | 一种安全认证方法和系统 |
| CN102438023A (zh) * | 2011-12-29 | 2012-05-02 | 成都市华为赛门铁克科技有限公司 | 恶意远程过程调用行为的检测方法和装置 |
| CN102438023B (zh) * | 2011-12-29 | 2014-08-20 | 华为数字技术(成都)有限公司 | 恶意远程过程调用行为的检测方法和装置 |
| CN105933961A (zh) * | 2016-04-28 | 2016-09-07 | 乐视控股(北京)有限公司 | 节能控制方法及装置 |
| CN114466053A (zh) * | 2022-04-11 | 2022-05-10 | 腾讯科技(深圳)有限公司 | 远程过程调用的调用管控方法、装置、设备及存储介质 |
| CN114466053B (zh) * | 2022-04-11 | 2022-07-08 | 腾讯科技(深圳)有限公司 | 远程过程调用的调用管控方法、装置、设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101039324B (zh) | 2011-09-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7716727B2 (en) | Network security device and method for protecting a computing device in a networked environment | |
| US7814543B2 (en) | System and method for securing a computer system connected to a network from attacks | |
| US7716726B2 (en) | System and method for protecting a computing device from computer exploits delivered over a networked environment in a secured communication | |
| US8539570B2 (en) | Method for managing a virtual machine | |
| US8127290B2 (en) | Method and system for direct insertion of a virtual machine driver | |
| US8336108B2 (en) | Method and system for collaboration involving enterprise nodes | |
| EP1564964A2 (en) | Network security device and method for protecting a computing device in a networked environment | |
| US8640125B2 (en) | Method and system for securely installing patches for an operating system | |
| US20050229246A1 (en) | Programmable context aware firewall with integrated intrusion detection system | |
| US20080077994A1 (en) | Trusted enclave for a computer system | |
| CN105183504B (zh) | 基于软件服务器的进程白名单更新方法 | |
| CN1713593A (zh) | 应用服务器安全法与网络安全法的安全系统与方法 | |
| US8402528B1 (en) | Portable firewall adapter | |
| CN112702300A (zh) | 一种安全漏洞的防御方法和设备 | |
| CN101802837A (zh) | 通过对设备的动态地址隔离来提供网络和计算机防火墙保护的系统和方法 | |
| CN101068183A (zh) | 网络准入控制方法及网络准入控制系统 | |
| CN103384240B (zh) | 一种p2p主动防御方法及系统 | |
| CN103023871A (zh) | 一种基于云平台的Android权限提升攻击检测系统和方法 | |
| CN101039324A (zh) | 一种网络病毒防护方法、系统及装置 | |
| CN116566654A (zh) | 一种区块链管理服务器用的防护系统 | |
| CN1859736A (zh) | 一种向移动终端提供安全服务的方法及系统 | |
| CN101800754A (zh) | 一种补丁分发方法 | |
| CN102438023B (zh) | 恶意远程过程调用行为的检测方法和装置 | |
| CN111756707A (zh) | 一种应用于全球广域网的后门安全防护装置和方法 | |
| CN117768137A (zh) | 远程办公系统和在远程办公系统中提供安全机制的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110914 Termination date: 20160312 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |