(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202111331194.X (22)申请日 2021.11.11 (65)同一申请的已公布的文献号 申请公布号 CN 113783897 A (43)申请公布日 2021.12.10 (73)专利权人 北京持安科技有限公司 地址 102200 北京市昌平区回龙观东大街 338号创客广场A 2-21-001 (72)发明人 张志宇　何艺　陈洪国　 (74)专利代理 机构 深圳睿臻知识产权代理事务 所(普通合伙) 44684 专利代理师 张海燕 (51)Int.Cl. H04L 9/40(2022.01)(56)对比文件 CN 110266732 A,2019.09.20 CN 113297567 A,2021.08.24 CN 102195972 A,201 1.09.21 US 10637839 B2,2020.04.28 审查员 阎赛 (54)发明名称 一种跨网络访问进程流量管理方法、 系统、 设备及介质 (57)摘要 本发明实施例公开了一种跨网络访问进程 流量管理方法、 系统、 设备及介质， 本发明实施例 由应用层负责监控进程启动与停止， 并判定进程 是否可信； 由WFP驱动层监控所有进程网络连接 的创建和释放， 不做过滤处理； 由NDIS驱动层对 流经虚拟网卡的数据包进行过滤， 对 可信流量放 行。 本发明实施例采用动态可信流量代理技术方 案能有效对不安全流量进行阻断， 从而减少受保 护网络被攻击事件。 动态策略更新能及时获取最 新的安全策略， 能很好的配合安全应急响应工 作。 权利要求书3页 说明书8页 附图2页 CN 113783897 B 2022.06.24 CN 113783897 B 1.一种跨网络访问进程 流量管理方法， 其特 征在于， 所述方法包括： 由服务器向应用层动态下发策略集； 当应用程序收到进程创建事件时， 使用所述策略集中的规则识别所述进程是否可信； 如果所述进程可信， 则将进程 ID及进程可信状态下发通知WFP驱动层； 当进程发起连接或者接收数据时， 由所述WFP驱动层捕获链接过程第一个数据包的元 组信息， 并利用所述应用层下发的通知信息对所述第一个数据包元组进行可信判断； 如果 所述数据包元组可信， 则将可信数据包元组信息通知NDIS驱动层； 当有数据包路由到所述NDIS驱动层时， 利用所述可信数据包元组信息判断捕 获的数据 包是否可信； 如果所述数据包可信， 对可信数据包放行并通过VPN隧道转发到代理服务器； 如果所述数据包不可信， 丢弃不可信数据包。 2.如权利要求1所述的一种跨网络访问进程流量管理方法， 其特征在于， 利用所述应用 层下发的通知信息对所述第一个数据包元组进行 可信判断， 包括： 在WFP驱动层， 利用所述进程 ID及进程可信状态建立对应关系并维护可信状态列表 A； 利用所述第 一个数据包元组信息中的进程ID与所述可信状态列表A中所有进程ID进行 比对， 所述第一个数据包元组信息包括： 源IP地址、 目的IP地址、 源端口、 目的端口、 进程ID 和进程路径； 若所述可信状态列表A中存在所述第一个数据包元组信息中的进程ID， 则所述数据包 元组可信， 否则所述数据包元组不可信。 3.如权利要求2所述的一种跨网络访问进程流量管理方法， 其特征在于， 利用所述可信 数据包元组信息判断捕获的数据包是否可信， 包括： 在NDIS驱动层增量添加可信数据包元组信息， 并维护可信数据包元组列表B； 将捕获数据包的四元组信 息与所述可信数据包元组列表B中的所有可信数据包元组信 息进行比对； 若所述可信数据包元组列表B中存在所述捕获数据包的四元组信息， 则所述数据包可 信， 否则所述数据包不可信； 所述四元组信息包括： 源IP地址、 目的IP地址、 源端口和目的端口。 4.如权利要求3所述的一种跨网络访问进程流量管理方法， 其特征在于， 所述方法还包 括： 如果所述数据包元组不可信， 由所述WFP驱动层将不可信数据包元组信息上报所述应 用层； 由所述应用层从所述不可信数据包元组信 息中获取第 一不可信四元组信 息， 利用所述 第一不可信四元组信息及进程信息构建两者对应关系， 并维护不可信数据包四元组及进程 信息列表C； 如果所述数据包不可信， 由所述NDIS驱动层将第二不可信四元组信息上报所述应用 层； 由所述应用层对不可信数据包进行溯源， 将所述第 二不可信四元组信 息与所述不可信 数据包四元组及进程信息列表C中的所有第一不可信四元组信息进行对比， 若所述第二不 可信四元组信息与任一第一不可信四元组信息相同， 则进行界面报警并上报日志到服务 器。权　利　要　求　书 1/3 页 2 CN 113783897 B 25.如权利要求4所述的一种跨网络访问进程流量管理方法， 其特征在于， 所述方法还包 括： 由HOOK驱动层采用PsSetCreateProcessNotifyRoutine注册进程通知回调， 监控所述 进程的创建过程与退 出； 当有所述进程创建时， 由所述HOOK驱动层暂时拦截事件， 并将事件通知应用程序进行 识别， 所述应用层处 理完成后， 所述HO OK驱动层对 事件进行放行； 当有所述进程结束时， 由所述HOOK驱动层捕获消息并直接对事件进行放行， 同时将事 件通知所述应用程序进行处 理， 向所述 WFP驱动层下发进程退 出消息。 6.如权利要求5所述的一种跨网络访问进程流量管理方法， 其特征在于， 所述方法还包 括： 在所述WFP驱动层， 通过RegisterCalloutForLayer注册accept和connect的ALE层事 件， 用于处 理网络数据的连接和接收； 当所述WFP驱动层收到所述进程退出消息时， 从所述可信状态列表A中根据退出进程ID 删除相应信息； 当所述WFP驱动层收到所述进程退出消息或者进程不可信消息时， 将退出进程ID或不 可信进程ID通知到所述NDIS驱动层， 由所述NDIS驱动层根据所述退出进程ID或所述不可信 进程ID从所述可信数据包元组列表B中移除相应信息 。 7.一种跨网络访问进程 流量管理系统， 其特 征在于， 所述系统包括： 服务器、 应用层、 WFP驱动层和NDIS驱动层； 由所述服务器向所述应用层动态下发策略集； 应用层， 设置有应用程序， 当应用程序收到进程创建事件时， 使用所述策略集中的规则 识别所述进程是否可信； 如果所述进程可信， 则将进程ID及进程可信状态下发通知WFP驱动 层； 当进程发起连接或者接收数据时， 由所述WFP驱动层捕获链接过程第一个数据包的元 组信息， 并利用所述应用层下发的通知信息对所述第一个数据包元组进行可信判断； 如果 所述数据包元组可信， 则将可信数据包元组信息通知NDIS驱动层； 当有数据包路由到所述NDIS驱动层时， 利用所述可信数据包元组信息判断捕 获的数据 包是否可信； 如果所述数据包可信， 对可信数据包放行并通过VPN隧道转发到代理服务器； 如果所述数据包不可信， 丢弃不可信数据包。 8.如权利要求7所述的一种跨网络访问进程流量管理系统， 其特征在于， 所述系统还包 括： HOOK驱动层； 由所述HOOK驱动层采用PsSetCreateProcessNotifyRoutine注册进程通知回调， 监控 所述进程的创建过程与退 出； 当有所述进程创建时， 由所述HOOK驱动层暂时拦截事件， 并将事件通知应用程序进行 识别， 所述应用层处 理完成后， 所述HO OK驱动层对 事件进行放行； 当有所述进程结束时， 由所述HOOK驱动层捕获消息并直接对事件进行放行， 同时将事 件通知所述应用程序进行处 理， 向所述 WFP驱动层下发进程退 出消息。 9.一种跨网络访问进程 流量管理设备， 其特 征在于， 所述设备包括： 处 理器和存 储器； 所述存储器用于存 储一个或多个程序指令；权　利　要　求　书 2/3 页 3 CN 113783897 B 3