CN101610259A - 一种网络行为控制系统及方法 - Google Patents
一种网络行为控制系统及方法 Download PDFInfo
- Publication number
- CN101610259A CN101610259A CNA2009100896598A CN200910089659A CN101610259A CN 101610259 A CN101610259 A CN 101610259A CN A2009100896598 A CNA2009100896598 A CN A2009100896598A CN 200910089659 A CN200910089659 A CN 200910089659A CN 101610259 A CN101610259 A CN 101610259A
- Authority
- CN
- China
- Prior art keywords
- packet
- invalid
- data bag
- invalid data
- correspondent node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及计算机安全领域,尤其涉及一种网络行为控制系统及方法。本发明通过网络设备(120)截获内通信对端(110)与外通信对端(140)通过互联网(130)相互传输数据的数据包,在识别模块(122)识别出该数据包的连接为连接重用且该数据包为非法数据包情况下,替换模块(121)将该非法数据包替换成合法数据包或者无效数据包,进而实现了不中断连接的同时有效地阻止了非法行为。本发明的系统及方法在局域网防御系统中具有重要应用价值。
Description
技术领域
本发明涉及计算机网络,尤其涉及网络安全领域。
背景技术
近年来,随着互联网的迅速发展,网络用户在互联网上表现出来的行为趋于多样化。此种趋势在丰富了网络内容的同时,也带来了风险如机密信息外泄等,因此网络运营商和网络提供者对其用户行为的管理已经成为越来越迫切的需求。这种需求意味着不仅需要识别用户在网络上的行为,更需要对其中的非法行为进行控制。
识别用户网上行为的主要技术是协议识别,协议识别就是根据数据包特征识别出HTTP、FTP等协议。目前主流协议识别技术大多受到连接的限制,能够识别出连接使用的协议,却无法进一步识别连接内的信息。对于一条连接只对应一种行为来说,用户行为能够通过识别一条或多条连接来确定。对于一条连接对应多种行为来说也就是对于连接重用来说,仅仅通过识别连接使用的协议是无法确定用户正在进行的真实操作,因为连接重用的目的就是隐匿用户的网络行为。
协议识别方法主要有基于IP/端口识别技术、基于行为模式识别技术、基于统计信息识别技术、基于DPI(深度包检测)识别技术。其中,基于IP/端口识别技术利用的是某些软件使用固定端口及服务器IP可穷举的特点,人工统计IP/端口信息,一旦发现有连接匹配信息就能够识别出相应的应用。由于该基于IP/端口识别模式使用的IP/端口特征码本身就是用于描述连接信息,因此IP/端口识别技术不具备连接内进一步分析的能力,进而不适用于连接重用情况。
基于行为模式识别技术和基于统计信息识别技术利用的是某些网络软件和用户行为的特定规律进行识别,不具有通用性且识别精度也很难满足商业化需求。且基于行为模式识别技术和基于统计信息识别技术的控制策略都是基于网络节点或连接,因此即使这两种识别技术能够识别单连接上的多种用户行为也无法通过制定策略进行区别控制。
DPI识别技术利用数据包载荷的固定特征进行识别,识别结果精确可靠。但是DPI本身存在效率低下的缺点,而且策略控制上同样存在困难。为了进一步精确且高效地识别基于连接重用的用户行为,开发人员做了大量工作,并取得了一定的效果。如申请人为北京网康科技有限公司,申请号为2008102272823,发明名称为一种防木马的网络安全系统及方法的中国发明专利,公开了一种精确识别用户行为的方法,进而识别网络中是否存在木马。
针对连接重用的网路行为(也就是针对一条连接的多种网络行为),识别用户的网络行为是基础,但最终目的还是控制用户的非法网络行为。如某些公司允许员工通过MSN聊天,但却不允许员工通过MSN传输文件以免公司内部机密文件被外泄,而MSN又是通过同一条TCP连接传输聊天信息及发送文件。因此如果通过传统的丢弃数据包的方法阻止用户之间传输文件,虽然传输文件被成功阻止但是却导致聊天中断。而目前很多公司允许如聊天等行为,因此当前迫切需求一种在不中断连接的条件下控制非法网络行为的方法。
发明内容
针对以上问题,本发明提供了一种能够在不中断连接情况下有效控制非法网络行为的系统及方法。
在第一方面,本发明提供了一种网络设备,内通信对端与外通信对端通过该网络设备及互联网相连,以便该内通信对端与外通信对端相互发送数据。所述网络设备包括替换模块,在该网络设备识别出其接收到数据包所属连接为连接重用且该数据包为非法数据包情况下,将该非法数据包替换成合法数据包或者无效数据包,以便在不中断连接的同时阻止该非法数据包的传输。
在第二方面,本发明提供了一种网络行为控制方法,该方法包括截获内通信对端与外通信对端通过网络设备及互联网相互传输数据的数据包;再识别所述数据包所属连接是否为连接重用,且识别该数据包是否为非法数据包;在识别出该数据包的连接为连接重用且该数据包为非法数据包时,将该非法数据包替换成合法数据包或者无效数据包,以便在不中断连接的同时阻止该非法数据包的传输。
本发明针对连接重用情况,通过修改同一条连接上的非法行为相关数据包的方式,达到了在不中断连接情况下仍旧能够有效阻止非法行为的目的。本发明的系统及方法能够允许合法行为的同时抑制非法行为,弥补了以往在阻止非法行为同时所带来的中断合法行为的不足。
附图说明
图1是网络行为控制系统框图;
图2是识别及控制非法行为流程图;
图3是MSN文件传输数据包载荷示意图;
图4是MSN聊天数据包载荷示意图;
图5是修改后的域名载荷示意图;
图6是HTTP数据包载荷示意图;
图7是H.245连接示意图。
具体实施方式
为了使本发明的目的和技术方案更加清晰,以下结合附图以及实施例对本发明的网络行为控制系统及方法进行详细说明。
图1是网络行为控制系统框图。该系统包括内通信对端110、网路设备120、互联网130和外通信对端140。内通信对端110和外通信对端140均为通信终端,如计算机终端等。内通信对端110与外通信对端140通过网络设备120及互联网130相互发送数据。网路设备120连接在内通信对端110与外通信对端140之间,并位于内通信对端110一侧,其硬件实体通常为路由器、交换机、网关等。
网路设备120包括替换模块121和识别模块122,识别模块122用于识别其接收到的数据包所属连接是否为连接重用以及识别该数据包是否为包含部分或全部非法行为的非法数据包。所述非法数据包包括部分或全部非法行为的原因是,一个非法数据包可能包含一个或多个非法行为,同时一个非法行为也可能包含在一个或多个非法数据包中。具体非法行为由用户配置,举例如非法行为为内通信对端110向外部发送文件或接收来自外部文件。
替换模块121,在识别模块122识别出其接收到的数据包所属连接为连接重用且该数据包为非法数据包情况下,将该非法数据包替换成合法数据包或无效数据包,以便在不中断连接的同时阻止该非法行为。需要说明的是,具有与替换模块121和识别模块122同样功能的一个模块也在本发明的保护范围之内。
图1中,实线为外发行为路径,即由内通信对端110向外通信对端140外发数据包的路径;虚线为内入行为路径,即由外通信对端140向内通信对端110发送数据包的路径。
内通信对端110向外通信对端140发送数据包,首先需要向网路设备120中的识别模块122发送行为请求。识别模块122接收到包含该行为请求的数据包后,识别该数据包内容,具体识别方法参见申请号为2008102272823,申请人为北京网康科技有限公司,发明名称为一种防木马的网络安全系统及方法的中国发明专利。当识别模块122识别出该数据包所属连接为连接重用且该数据包包含部分或全部非法行为后,即识别出该数据包符合系统配置的非法数据包后,识别模块122将该非法数据包发送至替换模块121。替换模块121接收该非法数据包,并对该非法数据包做替换处理,再将替换后的数据包通过互联网130发送至外通信对端140。当识别模块122识别出来自内通信对端110的数据包为合法数据包时,直接将该合法数据包通过互联网130发送至外通信对端140。
同样,外通信对端140向内通信对端110发送数据包,首先需要通过互联网130向网络设备120中的识别模块122发送行为请求。识别模块122接收到包含该行为请求的数据包后,识别该数据包内容。当识别模块122识别出该数据包所属连接为连接重用且该数据包包含部分或全部非法行为后,即识别出该数据包符合系统配置的非法数据包后,将该非法数据包发送至替换模块121。替换模块121接收该非法数据包,并对该非法数据包做替换处理,再将替换后的数据包发送至内通信对端110。当识别模块122识别出来自外通信对端140的数据包为合法数据包时,直接将该合法数据包发送至内通信对端110。
图1仅是示意性地描述了本发明一个实施例的网络行为控制系统,实际上本发明的网络行为控制系统也可以包括除图1以外的其它设备,而该增加其它设备的系统与图1所示系统具有相同功能,举例如内通信对端110与外通信对端140通过中转服务器相互发送数据。
下面针对连接重用详细阐述在不中断连接情况下控制非法行为的方法。图2是识别及控制非法行为流程图。图2中,首先识别数据包内容,再判定该数据包是否合法,在该数据包合法情况下继续识别其它数据包内容。在判定该数据包不合法情况下,判定该非法数据包是否属于连接重用,若该非法数据包的连接为连接重用,则将该非法数据包修改成合法数据包或无效数据包,具体修改方法将在以下内容中得到详细阐述;然后重新计算修改后数据包校检和并替换原有校检和;最后将该修改后的数据包发送出去。若该数据包非法且该非法数据包的连接为单连接,则直接丢弃该非法数据包进而该单连接断开。
数据包包括一个或多个域,该域包括域名和域值也可以仅包括域名或仅包括域值。本发明通过修改非法数据包域的方式将该非法数据包修改成合法数据包或无效数据包,进而达到不中断连接情况下仍旧能够有效地阻止非法行为的目的。下面以MSN连接、HTTP连接为例阐述修改非法数据包的方法。
一.以MSN连接为例阐述修改非法数据包的方法。
举例如testlin@mail.test.edu.cn为内通信对端110的用户,testar@hotmail.com为外通信对端140的用户。
图3是MSN文件传输数据包载荷示意图,该MSN文件传输数据包包括文件传输请求数据包310和文件接收数据包320。在该MSN文件传输数据包载荷示意图中,to:<msnmsgr:testar@hotmail.com>表示MSN接收方为testar@hotmail.com;from:<msnmsgr:testlin@mail.test.edu.cn>表示MSN发送方为testlin@mail.test.edu.cn;域名INVITE表示文件传输请求;MSNSLP/1.0 200 OK表示接收文件。因此通过图3可知,用户testlin@mail.test.edu.cn向用户testar@hotmail.com发送文件传输请求,且用户testar@hotmail.com接收了由testlin@mail.test.edu.cn发送的文件。
假设网络模块120设置为不允许内通信对端110向外部传输文件,则将该不合法的传输文件数据包修改成合法的聊天数据包,进而解决了testlin@mail.test.edu.cn与testar@hotmail.com连接不中断的同时成功地阻止了内通信对端110向外部发送文件。
具体修改内容参见图4,图4是MSN聊天数据包载荷示意图。图4中的聊天发送数据包410及发送方聊天信息420是替换模块121将文件传输请求数据包310替换掉的内容。替换后外通信对端140接收到MSN自动生成的数据包即自动生成接收数据包430,由于文件传输请求数据包310被替换模块121替换,因此MSN不再生成接收文件数据包320。由于MSN聊天发送数据包与文件传输请求数据包格式相差很大,因此直接将文件传输请求数据包310替换成聊天发送数据包410及聊天内容“hello”。图4中的自动生成接收数据包430由MSN在用户聊天过程中自动生成,以便用户testar@hotmail.com 能够接收到聊天内容“hello”。用户testar@hotmail.com在接收到“hello”后回复“test”,当然接收方回复信息440可以是任意testar@hotmail.com想要发送内容或者没有回复内容。本发明通过将文件传输请求数据包310替换成聊天发送数据包410,使得文件传输请求得不到响应,因此非法的文件传输被阻塞,合法的聊天正常进行。需要说明的是,也可以将非法的文件请求数据包修改成系统设定的任意其他合法数据包。
在本发明的另一个实施例中,将非法的文件传输请求数据包域名INVITE修改成无效域名,进而使得该非法数据包修改成为无效数据包。具体修改内容参见图5,图5是修改后的域名载荷示意图。替换模块121将图3中的文件传输请求包310中的传输文件域名INVITE替换成无意义的“……”,当然也可以将该非法域名INVITE替换成其他任何无意义内容。由于MSN客户端无法从图5所示数据包中解析出合法域名,因此只能将该数据包忽略,对于修改后的数据包MSN无反应,进而内通信对端110在发送传输文件请求后不会得到任何响应,因此实现了内通信对端110与外通信对端140能够正常聊天的同时有效阻止内通信对端110向外部传输文件。
二.以HTTP连接为例修改非法数据包的方法。
图6是HTTP数据包载荷示意图。其中,POST http表示向http地址上传数据;GET http表示向http地址下载数据;HTTP/1.1 200 OK表示接收到请求,其即可以用来表示收到上传数据请求也可以用来表示下载数据请求。
假设网络模块120设置为不允许内通信对端110访问MSN网站,则本发明将非法域值修改成合法域值,进而使得该非法数据包修改成为合法数据包,以便实现不中断http连接情况下有效地阻止了内通信对端110的用户访问MSN网站。在本发明的一个实施例中,将GET后面地址替换成允许用户访问的合法地址或者无效地址,则此时用户将会访问替换后的该合法地址或该无效地址。由于将非法MSN地址修改成其他地址,因此用户无法正常访问MSN网站,而此时http连接并未中断,因此用户可以正常访问其他合法地址。
在本发明的另一个实施例中,将content-length:96修改成content-length:0。该content-length后面长度用于告知用户要上传或下载数据的长度,将长度值96修改成0,则此时用户上传或下载数据长度为0,这就意味着没有数据上传或下载,因此用户无法正常访问MSN网站。需要说明的是,也可以通过修改域名使用户在不中断http连接情况下无法访问MSN网站。举例如将域名GET替换成域名POST,替换后内通信对端110的用户下载网页变成了上传行为,而该用户却并未指定具体的上传数据,因此替换后的该POST操作无效,也就不能正常访问MSN网站。当然也可以将域名GET修改成ABC等任意非http域名,则此时该修改后的非http域名会被忽略,进而包含该非http域名的数据包会被忽略,因此导致用户无法访问MSN网站。
前文仅以MSN连接、http连接为例阐述在连接重用中如何在不中断连接情况下阻止非法行为允许合法行为的执行,实际上只要通过本发明的系统或方法成功阻止非法行为的同时合法行为能够正常进行且连接不中断都在本发明保护范围之内。举例如VOIP协议族H.323协议的子协议H.245(多媒体通信控制协议),同样能够通过本发明方法实现同一条连接上阻止非法行为而允许合法行为。图7是H.245连接示意图,从该图7可知H.245连接属于连接重用。在该H.245连接中,域值主要是为主叫方、被叫方、设定的信息、系统参数等;域名主要有terminalcapabilityset(终端容量设定请求)、terminalcapabilitysetack(终端容量设定确认)、openlogicalchannel(打开逻辑信道请求)、openlogicalchannelack(打开逻辑信道确认)、openlogicalchannelreject(打开逻辑信道拒绝)、openlogicalchannelconfirm(打开逻辑信道完成)等等。由于在H.245连接中,请求设定终端容量的行为、确认设定终端容量的行为、请求打开逻辑信道的行为、确认打开逻辑信道的行为、拒绝打开逻辑信道的行为以及完成打开逻辑信道的行为等等均能够被同一条连接所使用,因此通过本发明方法修改系统设定的以上所述非法域值或者非法域名,就能够达到不中断连接的同时阻止非法行为而允许合法行为。
本发明还提供了一种用于控制网络行为的计算机系统,该计算机系统包括替换模块,该替换模块与前文所述的替换模块121具有同样的功能。外通信对端140通过互联网130与该计算机系统相连,以便该外通信对端与该计算机系统相互发送数据。所述替换模块在所述计算机系统识别出其发送或接收数据包所属连接为连接重用且该数据包为非法数据包情况下,将该非法数据包替换成合法数据包或者无效数据包,以便在不中断连接的同时阻止非法行为。
显而易见,在不偏离本发明的真实精神和范围的前提下,在此描述的本发明可以有许多变化。因此,所有对于本领域技术人员来说显而易见的改变,都应包括在本权利要求书所涵盖的范围之内。本发明所要求保护的范围仅由所述的权利要求书进行限定。
Claims (11)
1.一种网络设备(120),其中内通信对端(110)与外通信对端(140)通过该网络设备(120)及互联网(130)相连,以便该内通信对端(110)与外通信对端(140)相互发送数据;
其特征在于所述网络设备(120)包括:
替换模块(121),在所述网络设备(120)识别出其接收到数据包所属连接为连接重用且该数据包为非法数据包情况下,将该非法数据包替换成合法数据包或者无效数据包,以便在不中断连接的同时阻止该非法数据包的传输。
2.如权利要求1所述的一种网络设备(120),其特征在于,所述网络设备(120)包括识别模块(122),用于识别其接收到的数据包的连接是否为连接重用以及识别该数据包是否为非法数据包。
3.如权利要求1所述的一种网络设备(120),其特征在于,所述替换模块(122)用于将非法数据包中的非法域名修改成合法域名或无效域名。
4.如权利要求1所述的一种网络设备(120),其特征在于,所述替换模块(122)用于将非法数据包中的非法域值修改成合法域值或无效域值。
5.如权利要求1所述的一种网络设备(120),其特征在于,所述连接重用为MSN连接、HTTP连接或H.245连接。
6.一种网络行为控制方法,包括
截获内通信对端(110)与外通信对端(140)通过网络设备(120)及互联网(130)相互传输数据的数据包;
识别所述数据包所属连接是否为连接重用,且识别该数据包是否为非法数据包;
在识别出所述数据包的连接为连接重用且该数据包为非法数据包时,将该非法数据包替换成合法数据包或者无效数据包,以便在不中断连接的同时阻止该非法数据包的传输。
7.如权利要求6所述的一种网络行为控制方法,包括在将非法数据包中的非法行为替换成合法行为之后,首先计算该修改后数据包的校验和并替换原校验和,然后再发送该替换校验和后的数据包。
8.如权利要求6所述的一种网络行为控制方法,其特征在于,所述非法数据包包括非法域名,合法数据包中的域名均为合法域名和/或无效域名。
9.如权利要求6所述的一种网络行为控制方法,其特征在于,所述非法数据包包括非法域值,合法数据包中的域值均为合法域值和/或无效域值。
10.如权利要求6所述的一种网络行为控制方法,其特征在于,所述连接重用为MSN连接、HTTP连接或H.245连接。
11.一种计算机系统,其中一外通信对端通过互联网与该计算机系统相连,以便该外通信对端与该计算机系统相互发送数据;其特征在于所述计算机系统包括:
替换模块,在所述计算机系统识别出其发送或接收数据包所属连接为连接重用且该数据包为非法数据包情况下,将该非法数据包替换成合法数据包或者无效数据包,以便在不中断连接的同时阻止该非法数据包的传输。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2009100896598A CN101610259A (zh) | 2009-07-28 | 2009-07-28 | 一种网络行为控制系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2009100896598A CN101610259A (zh) | 2009-07-28 | 2009-07-28 | 一种网络行为控制系统及方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101610259A true CN101610259A (zh) | 2009-12-23 |
Family
ID=41483841
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2009100896598A Pending CN101610259A (zh) | 2009-07-28 | 2009-07-28 | 一种网络行为控制系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101610259A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102333042A (zh) * | 2011-10-31 | 2012-01-25 | 深信服网络科技(深圳)有限公司 | 一种防止数据泄密的方法、安全网关及系统 |
| CN103685284A (zh) * | 2013-12-18 | 2014-03-26 | 上海普华诚信软件技术有限公司 | 数据截取和转换的方法及系统 |
| CN106161349A (zh) * | 2015-03-31 | 2016-11-23 | 北京畅游天下网络技术有限公司 | 摆脱网络劫持的方法和装置 |
-
2009
- 2009-07-28 CN CNA2009100896598A patent/CN101610259A/zh active Pending
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102333042A (zh) * | 2011-10-31 | 2012-01-25 | 深信服网络科技(深圳)有限公司 | 一种防止数据泄密的方法、安全网关及系统 |
| CN103685284A (zh) * | 2013-12-18 | 2014-03-26 | 上海普华诚信软件技术有限公司 | 数据截取和转换的方法及系统 |
| CN106161349A (zh) * | 2015-03-31 | 2016-11-23 | 北京畅游天下网络技术有限公司 | 摆脱网络劫持的方法和装置 |
| CN106161349B (zh) * | 2015-03-31 | 2019-05-07 | 北京畅游天下网络技术有限公司 | 摆脱网络劫持的方法和装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9729655B2 (en) | Managing transfer of data in a data network | |
| US9923984B2 (en) | Methods, systems, and computer readable media for remote authentication dial in user service (RADIUS) message loop detection and mitigation | |
| US9661082B2 (en) | Token related apparatuses for deep packet inspection and policy handling | |
| RU2379856C2 (ru) | Способ и элемент для управления службой | |
| US7472411B2 (en) | Method for stateful firewall inspection of ICE messages | |
| US8582473B2 (en) | Providing services to packet flows in a network | |
| JP3855909B2 (ja) | ポリシ設定可能なピアツーピア通信システム | |
| Leung et al. | Content Distribution Network Interconnection (CDNI) Requirements | |
| US20050289244A1 (en) | Method for service chaining in a communication network | |
| CN102171991B (zh) | 保护互联网协议多媒体子系统以避免未请求通信 | |
| CN101160920A (zh) | 对用户终端进行鉴权的方法及鉴权系统 | |
| US7715401B2 (en) | Router | |
| WO2009056052A1 (fr) | Procédé de réalisation, pcrf et af de technologie nat dans une infrastructure pcc | |
| US20100306820A1 (en) | Control of message to be transmitted from an emitter domain to a recipient domain | |
| KR100928247B1 (ko) | 통신 네트워크들 간의 보안 통신을 제공하기 위한 방법 및시스템 | |
| JP2006279636A (ja) | クライアント間通信ログの整合性保証管理システム | |
| Kantola et al. | Policy‐based communications for 5G mobile with customer edge switching | |
| US8656001B2 (en) | Communication system, application server and communication method for server cooperation | |
| CN101610259A (zh) | 一种网络行为控制系统及方法 | |
| CN109309907B (zh) | 用于流量计费的方法、装置及其相关设备 | |
| WO2009028342A1 (ja) | サービス提供システム、フィルタリング装置、フィルタリング方法及びメッセージ確認方法 | |
| Eardley et al. | A framework for large-scale measurement of broadband performance (LMAP) | |
| CN1321511C (zh) | 用户终端的代理服务检测方法 | |
| CN100356722C (zh) | 应用协议数据安全交换的方法 | |
| Huawei Technologies Co., Ltd. | TCP/IP |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20091223 |