(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202211076111.1 (22)申请日 2022.09.05 (65)同一申请的已公布的文献号 申请公布号 CN 115174269 A (43)申请公布日 2022.10.11 (73)专利权人 中国人民解 放军国防科技大 学 地址 410073 湖南省长 沙市开福区德雅路 109号 (72)发明人 张斌　吴波　李润浩　冯超　 李瑞林　王剑　唐朝京　 (74)专利代理 机构 长沙国科天河知识产权代理 有限公司 432 25 专利代理师 邱轶 (51)Int.Cl. H04L 9/40(2022.01)(56)对比文件 US 2013212680 A1,2013.08.15 CN 101567888 A,2009.10.28 CN 102890 641 A,2013.01.23 CN 109791593 A,2019.0 5.21 CN 114598499 A,2022.06.07 审查员 张诗纬 (54)发明名称 Linux主机网络通信安全防护方法和装置 (57)摘要 本申请涉及一种Linux主机网络通信安全防 护方法和装置。 所述方法包括： 当网络拓扑变化 时， 清空白名单列表， 并且通过Linux内核的 Netfilter框架拦截未知网络通信行为； 将拦截 的未知网络通信行为实时通知系统用户， 并且等 待接收系统用户的反馈信息； 当反馈信息为通过 时， 提取通过的未知网络通信行为的五元组信 息， 根据五元组信息， 配置网络通信白名单策略； 根据网络通信白名单策略进行网络安全防护。 采 用本方法能够在不对网络拓扑做任何假设的情 况下， 快速构建针对主机的满足最小权限原则的 网络通信安全防护策略。 权利要求书2页 说明书8页 附图3页 CN 115174269 B 2022.12.09 CN 115174269 B 1.一种Linux主机网络通信安全防护方法， 其特 征在于， 所述方法包括： 当网络拓扑变化时， 清空白名单列表， 并且通过Linux内核的Netfilter框架拦截未知 网络通信行为； 将拦截的未知网络通信行为实时通知系统用户， 并且等待接收系统用户的反馈信息； 通知系统用户的方式是应用层软件接收未知网络通信行为， 并且将所述未知网络通信行为 展示给系统用户； 当反馈信息为通过时， 提取通过的未知网络通信行为的五元组信息， 根据所述五元组 信息， 配置网络通信白名单 策略； 根据所述网络通信白名单 策略进行网络安全防护。 2.根据权利要求1所述的方法， 其特征在于， 所述通过Linux内核的Netfilter框架拦截 未知网络通信行为， 包括： 通过Netfilter框架注册IP层的钩子函数， 通过所述钩子函数对所述未知网络通信行 为进行拦截。 3.根据权利要求2所述的方法， 其特征在于， 所述钩子函数包括： 数据包进入网络层时 调用回调和数据包发送到网络时调用回调； 所述数据包进入网络层时调用回调用于对未知网络通信行为的入站数据包进行 管理； 所述数据包发送到网络时调用回调用于对未知网络通信行为的出站数据包进行 管理。 4.根据权利 要求3所述的方法， 其特征在于， 所述五元组信息包括： 源IP、 源端口、 协议、 目的端口、 目的IP。 5.根据权利要求4所述的方法， 其特征在于， 根据所述五元组信息， 配置网络通信白名 单， 包括： 根据所述五元组中的协议、 源端口、 源IP 构建入站数据包的第一白名单 策略； 根据所述五元组中的协议、 目的端口、 目的IP 构建出站数据包的第二白名单 策略。 6.根据权利要求5所述的方法， 其特征在于， 所述入站数据包包括： 向外部主机提供服 务而接收的外部主机发送的第一入站数据包以及访问外部主机的服务而接 收的外部主机 响应的第二入站数据包； 其中， 第二入站数据包的访问策略为第一白名单策略， 并且将所述 第一白名单 策略中的源端口修改为本 机端口作为第一入站数据包的访问策略。 7.根据权利要求5所述的方法， 其特征在于， 所述出站数据包包括： 响应外部主机的服 务请求向外部主机发送的第一出站数据包以及访问外部主机 向外部主机发送的第二出站 数据包； 其中， 第二出站数据包的访问策略为第二白名单策略， 并且将所述第二白名单策略 中的目的端口修改为本 机端口作为第一出站数据包的访问策略。 8.一种Linux主机网络通信安全防护装置， 其特 征在于， 所述装置包括： 拦截模块， 用于当网络拓扑变化时， 清空白名单列表， 并且通过Linux内核的Netfilter 框架拦截未知网络通信行为； 白名单构建模块， 用于将拦截的未知网络通信行为实时通知系统用户， 并且等待接收 系统用户的反馈信息； 当反馈信息为通过时， 提取通过的未知网络通信行为的五元组信息， 根据所述五元组信息， 配置网络通信白名单策略； 通知系统用户的方式是应用层软件接 收 未知网络通信行为， 并且将所述未知网络通信行为展示给系统用户； 防护模块， 用于根据所述网络通信白名单 策略进行网络安全防护。权　利　要　求　书 1/2 页 2 CN 115174269 B 29.根据权利要求8所述的装置， 其特征在于， 所述拦截模块还用于通过Netfilter框架 注册IP层的钩子函数， 通过 所述钩子函数对所述未知网络通信行为进行拦截。 10.根据权利要求9所述的装置， 其特征在于， 所述钩子函数包括： 数据包进入 网络层时 调用回调和数据包发送到网络时调用回调； 所述数据包进入网络层时调用回调用于对未知 网络通信行为的入站数据包进 行管理； 所述数据包发送到网络时调用回调用于对未知网络 通信行为的出站数据包进行 管理。权　利　要　求　书 2/2 页 3 CN 115174269 B 3