CN102014010B - 一种网络行为管理系统及方法 - Google Patents
一种网络行为管理系统及方法 Download PDFInfo
- Publication number
- CN102014010B CN102014010B CN2010106174653A CN201010617465A CN102014010B CN 102014010 B CN102014010 B CN 102014010B CN 2010106174653 A CN2010106174653 A CN 2010106174653A CN 201010617465 A CN201010617465 A CN 201010617465A CN 102014010 B CN102014010 B CN 102014010B
- Authority
- CN
- China
- Prior art keywords
- packet
- delay
- module
- control module
- strategy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Ceased
Links
- 238000000034 method Methods 0.000 title claims abstract description 18
- 230000006399 behavior Effects 0.000 title abstract description 17
- 238000012550 audit Methods 0.000 claims abstract description 41
- 230000003111 delayed effect Effects 0.000 claims abstract description 4
- 238000007726 management method Methods 0.000 claims description 27
- 230000005540 biological transmission Effects 0.000 claims description 6
- 238000007689 inspection Methods 0.000 claims description 2
- 230000000694 effects Effects 0.000 abstract description 7
- 230000006870 function Effects 0.000 description 10
- 238000010586 diagram Methods 0.000 description 6
- 238000005070 sampling Methods 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 3
- 230000002265 prevention Effects 0.000 description 3
- 238000001514 detection method Methods 0.000 description 2
- 230000009545 invasion Effects 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 230000010354 integration Effects 0.000 description 1
- 230000009897 systematic effect Effects 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种网络行为管理系统及方法。本发明包括审计模块、策略模块、延迟及控制模块。该策略模块用于根据其内置策略实时检测流经该策略模块的数据包,并且复制符合该内置策略的数据包,且将该符合内置策略的数据包发送至该延迟及控制模块。该审计模块用于对所述复制的数据包进行应用层内容审计,以审计该数据包是否为非法数据包,并将该审计结果发送至该延迟及控制模块。该延迟及控制模块用于对来自该策略模块的数据包进行延迟处理,并基于来自审计模块的审计结果对该被延迟数据包进行控制和处理。本发明控制效果佳、性能较高,且能够广泛应用于企业内部网络中。
Description
技术领域
本发明涉及计算机互联网技术领域,尤其涉及一种网络行为管理系统及方法。
背景技术
随着网络技术的快速发展,企业内部网络日益庞大,网络拓扑结构越来越复杂,网络的保密性和安全性越发显得重要。与此同时,越来越多的企业对网络管理的精细化需求逐渐强烈,如需要控制员工在上班时间玩网络游戏、炒股、观看在线视频等。
现有的网络安全技术有IDS、IPS等。IDS(Intrusion Detection System,入侵检测系统)是在网络攻防抵抗环境中实现的网络入侵检测预警评估及响应的控制系统。基于旁路检测的IDS通过连接在网络上的站点来捕获网络上的数据包,并分析其是否具有已知的攻击模式,以此来判定是否为入侵者,当发现有可疑现象时就会产生告警。IDS侦测速度快、占用资源少,但IDS控制性较差,且具有滞后性,处理效率也较低。
IPS(Intrusion Prevention System,入侵防御系统)是一种能够监视网络资料传输行为的计算机网络安全系统,其能够即时中断、调整及隔离一些不正常或是具有伤害性的网络资料传输行为。目前,IPS产品能够提供网络层以上的入侵和攻击审查检测。然而,由于IPS需要对数据包进行缓存后再进行处理,因此IPS延迟大,性能很差。
ICG是北京网康科技有限公司推出的一款专业的上网行为管理产品,是面向企业用户的软硬件一体化的控制管理网关,其能够提供强大的网络管理功能。
然而如果直接将ICG产品的审计模块部分串接到传输数据包的数据通路中,则由于ICG处理过多事务(处理整个通路中的数据),将会导致处理速度缓慢,使得ICG产品所接入的客户网络规模有太大限制。如果将ICG产品作为旁路并联至数据通路中,则ICG审计模块在审计某一数据包时,该数据包已经离开ICG产品系统,即使得出数据包非法,也不能有针对性的阻塞该数据包。因此,此种方式控制效果很差。
发明内容
本发明提供了一种能解决以上问题的网络行为管理系统及方法。
在第一方面,本发明提供了一种网络行为管理系统。该系统包括审计模块、策略模块和延迟及控制模块。该策略模块用于根据其内置策略实时检测流经该策略模块的数据包,并且复制符合该内置策略的数据包至该审计模块,且将该符合内置策略的数据包发送至该延迟及控制模块。该审计模块用于对所述复制的数据包进行应用层内容审计,以审计该数据包是否为非法数据包,并将该审计结果发送至该延迟及控制模块。该延迟及控制模块用于对所述来自该策略模块的数据包进行延迟处理,并基于来自审计模块的审计结果对该被延迟数据包进行控制和处理。
在第二方面,本发明提供了一种网络行为管理方法。该方法首先实时检测网络中的数据包,并复制符合特定策略的数据包,然后再将该符合特定策略数据包进行延时处理。再对所述复制数据包进行应用层内容审计,以审计处该数据包是否为非法数据包。最后基于所述审计结果,对所述符合特定策略数据包进行控制和处理。
本发明能够根据用户需求智能地判定何种数据包需要延迟,并对此种数据包做应用层内容审计,从而决定是否需要阻止该被延迟数据包。本发明不仅能够为企业内网提供精细化的管理,而且此种网络行为管理方法处理事务效率极高,且在控制效果和性能上有着极为显著的提高。
附图说明
下面将参照附图对本发明的具体实施方案进行更详细的说明,在附图中:
图1是本发明一个实施例的网络行为管理系统框图;
图2是本发明另一个实施例的网络行为管理系统框图;
图3是本发明一个实施例的多个CPU与多个延迟队列一一对应的关系示意图;
图4是本发明一个实施例的网络行为管理流程图。
具体实施方式
图1是本发明一个实施例的网络行为管理系统框图。该系统包括ICG审计模块110、策略模块120、延迟及控制模块130。
图1中,策略模块120位于数据通路上,其用于控制经过该策略模块120的数据包是直接通过该数据通路还是通过该延迟及控制模块130进行延迟处理。其中,该数据通路是传输网络中数据包的一条通路。
具体地,该策略模块120根据其内置策略允许一部分数据包通过该数据通路,而阻止或暂时阻止另一部分数据包通过该数据通路,且将此部分数据包(被阻止或被暂时阻止的数据包)发送至该控制模块130。该控制模块130首先对此部分数据包(被阻止或被暂时阻止的数据包)进行延迟处理,然后再基于该ICG审计模块110的审计结果,对此部分数据包做控制和处理。其中,该策略模块120中内置策略为IP地址方式,和/或网卡端口方式,和/或应用类型方式。例如,IP地址从0.0.0.1到0.0.0.10的所有终端发送的数据包均需要经过该延迟及控制模块130进行延迟处理,而其他数据包则直接通过该数据通路。又如,网卡端口从1到10的所有终端发送的数据包均需要经过该延迟及控制模块130进行延迟处理,而其他数据包则直接通过该数据通路。还如,应用类型为论坛发帖的所有数据包均需要经过该延迟及控制模块130进行延迟处理,而其他应用类型数据包则直接通过该数据通路。该应用类型种类有多种,如访问非法网站类、炒股类、观看在线视频类、网络聊天类、收发电子邮件类、论坛发帖类、玩网络游戏类等。
由于数据包本身就携带IP地址、网卡端口号,因此,该策略模块120可以直接识别出每一数据包的IP地址、网卡端口号。然而,任何数据包中都不直接携带该数据包的应用类型,基于此种情况,图2给出了具体解决方案。图2是本发明另一个实施例的网络行为管理系统框图。该图2是在图1基础上,增加了一个DPI设备,该DPI设备(深度包检测设备)用于确定经过其数据包的应用类型。
需要说明的是,策略模块120中的内置策略不限于以上所述几种方式,即可以是除IP地址方式、网卡端口方式、应用类型方式以外的任何一种策略。
较佳地,该策略模块120的内置策略由ICG审计模块110来配置,即该ICG审计模块110具有配置该策略模块120内置策略的功能。
此外,该策略模块120还可以用于实时检测网络环境,具有异常状况处理机制。举例如,该策略模块120可以实时检测系统中各CPU负载情况,检测网络流量,检测ICG审计模块110是否正常工作等。
因此,该ICG审计模块110还可以配置该策略模块120所检测网络环境的具体功能,如配置该ICG审计模块110是否需要具有检测网络中CPU负载情况的功能,是否需要具有检测网络流量的功能,是否需要具有检测该ICG审计模块的功能等。
该ICG审计模块110不仅可以配置该策略模块120所具有功能,而且还可以关闭该策略模块120。在关闭该策略模块120后,该策略模块120无任何功能,即其不对数据通路上的任何数据包做处理或控制,而是直接将所有数据包放行。
该ICG审计模块110除了可以用于配置该策略模块120所具有功能之外,还用于从该策略模块120中复制经由该策略模块120的且符合其内置策略的数据包,并对该数据包进行应用层内容审计。即该ICG审计模块110是一个应用层内容审计模块,其能够审计出数据包应用层内容。
具体地,该ICG审计模块110能够识别出用户是否访问非法网站,用户是否在炒股、观看视频、上网聊天,且能够审查出用户收发电子邮件中的邮件内容、用户通过聊天工作进行聊天的内容、用户在论坛上发帖的内容等应用层信息。因此,用户可以通过向该ICG审计模块110中设置何种类型数据包为非法数据包,即何种网络活动为非法网络活动,以完成对企业内网的精细化管理。举例如,用户可以设置玩网络游戏、观看在线视频为非法网络活动,从而提高员工工作效率。
该延迟及控制模块130用于接收来自策略模块120的数据包,并对该数据包进行延迟处理,并且基于来自ICG审计模块110对该数据包所作出的审计结果,对该数据包进行控制和处理。且该控制和处理结果有多种,举例如,一种是放行该数据包,即将该数据包发送至数据通路后继续传输;另一种是阻止该数据包,或直接丢弃该数据包;还有一种是修改数据包内容,如修改数据包内容为提示信息内容,而不是原本网页内容,然后再将该修改后的数据包发送至请求方;再有一种是对数据包所属连接进行控制,如控制TCP连接。该延迟及控制模块130对数据包所作出的控制和处理有多种,在此不一一列举。
若系统中仅有一个CPU(处理器),则该延迟及控制模块130中的延迟队列数量为1个。并且该延迟及控制模块130对数据包进行延迟处理的方式为,首先接收该数据包;然后将该数据包放入到该延迟队列中,并对该数据包进行延迟处理;最后再将该数据包从该延迟队列中发送出去。
若系统中的CPU数量为多个,则该延迟及控制模块130中的延迟队列数量也是多个,且该延迟队列数量也该CPU数量相同,并且延迟队列与CPU是一一对应的,参见图3。
图3是本发明一个实施例的多个CPU与多个延迟队列一一对应的关系示意图。图3中,CPU_1与延迟队列_1相对应,CPU_2与延迟队列_2相对应,......,CPU_n与延迟队列_n相对应。也就是说,CPU_1处理的数据包通过该延迟及控制模块130时,该延迟及控制模块130将其放入到延迟队列_1进行延迟处理;同样,CPU_2处理的数据包通过该延迟及控制模块130时,该延迟及控制模块130将该数据包放入到延迟队列_2中进行延迟处理;......;CPU_n处理的数据包通过该延迟及控制模块130时,该延迟及控制模块130将该数据包放入到延迟队列_n中进行延迟处理。因此,此种CPU与延迟队列一一对应的方式,不需要同步,避免了竞争,提高了系统性能。
较佳地,该延迟及控制模块130中延迟队列数量可根据系统CPU数量子适应配置。
图4是本发明一个实施例的网络行为管理流程图。
在步骤410,策略模块120依据ICG审计模块110的配置策略,实时检测经过该策略模块120的数据包。
在步骤420,一旦检测到有数据包符合该策略模块120的内置策略,则该策略模块120复制该数据包,再将该复制的数据包存储起来,然后通知该ICG审计模块110来取该复制的数据包,或者该ICG审计模块定期到该策略模块120中获取该复制数据包。然后,该策略模块120再将该数据包发送至该延迟及控制模块130。
举例如,该策略模块120中的内置策略为IP地址为0.0.0.1的终端所发送数据包需要经过该延迟及控制模块130进行延迟处理,则该策略模块120实时检测经过其数据包所属终端IP地址是否为0.0.0.1,如果是,则复制该数据包,并将该复制数据包存储起来,然后再将该数据包发送至该延迟及控制模块130。
在步骤430,该ICG审计模块110获取到该复制数据包之后,对该数据包进行应用层内容审计,识别出该数据包是否为非法数据包,然后再将该识别结果发送至该延迟及控制模块130。
举例如,若用户在ICG审计模块110中设置玩网络游戏为非法网络活动,且该ICG审计模块110审计出该数据包也为玩网络游戏数据包时,则判定出该数据包为非法数据包,并将该数据包是非法数据包这一审计结果发送至该延迟及控制模块130。
在步骤440,该延迟及控制模块130接收来自该策略模块110的数据包,并对该数据包进行延迟处理,如延迟一毫秒,在此期间内该延迟及控制模块130等待接收该ICG审计模块110的审计结果,并在接收到该ICG审计模块120的审计结果后,即在得到该数据包是否为非法数据包这一结果后,根据该结果对该数据包进行处理。
一个例子中,该延迟及控制模块130通过延迟队列方式对数据包进行延迟处理。另一个例子中,该延迟时间可以由用户自行配置。
此外,若该延迟及控制模块130在延迟时间内(如一毫秒)并未收到该ICG审计模块110的审计结果,即若该ICG审计模块110审计数据包所需时间超过系统设定的延迟时间,则该延迟及控制模块130直接将该数据包发送至该数据通路,以防止其影响网络速度。
在步骤441,如果该延迟及控制模块130接收到来自该ICG审计模块110的审计结果为该数据包是非法数据包,则该延迟及控制模块130阻止该数据包的传输,或丢弃该数据包,或者断开该数据包所属连接。
在步骤442,如果该延迟及控制模块130接收到来自该ICG审计模块110的审计结果为该数据包是合法数据包,则该延迟及控制模块130放行该数据包,即其将该数据包发送至该数据通路继续传输。
需要说明的是,对数据包进行应用层审计不限于采用ICG设备,即可以采用任意一种能够审计应用层数据包的设备。
显而易见,在不偏离本发明的真实精神和范围的前提下,在此描述的本发明可以有许多变化。因此,所有对于本领域技术人员来说显而易见的改变,都应包括在本权利要求书所涵盖的范围之内。本发明所要求保护的范围仅由所述的权利要求书进行限定。
Claims (9)
1.一种网络行为管理系统,其特征在于,包括审计模块(110)、策略模块(120)、延迟及控制模块(130);
该策略模块(120)用于根据其内置策略实时检测流经该策略模块的数据包,并且复制符合该内置策略的数据包,且将该符合内置策略的数据包发送至该延迟及控制模块(130);
该审计模块(110)用于对所述复制的数据包进行应用层内容审计,以审计该数据包是否为非法数据包,并将该审计结果发送至该延迟及控制模块(130);还用于配置所述策略模块(120)的内置策略,以及用于关闭该策略模块(120);
该延迟及控制模块(130)用于对所述来自该策略模块(120)的数据包进行延迟处理,并基于来自审计模块(110)的审计结果对该被延迟数据包进行控制和处理。
2.如权利要求1所述的一种网络行为管理系统,其特征在于,所述策略模块(120)将不符合其内置策略的数据包直接通过数据通路传输出去。
3.如权利要求1所述的一种网络行为管理系统,其特征在于,所述策略模块(120)中内置策略为IP地址方式,和/或网卡端口方式,和/或应用类型方式。
4.如权利要求3所述的一种网络行为管理系统,其特征在于,所述应用类型包括访问非法网站类、炒股类、观看在线视频类、网络聊天类、收发电子邮件类、论坛发帖类、玩网络游戏类中的一个或多个。
5.如权利要求3或4所述的一种网络行为管理系统,其特征在于,通过深度包检测设备来确定数据包的应用类型。
6.如权利要求1所述的一种网络行为管理系统,其特征在于,所述延迟及控制模块(130)采用延迟队列方式对其接收到的数据包进行延迟处理。
7.如权利要求1所述的一种网络行为管理系统,其特征在于,所述延迟及控制模块(130)在接收到该数据包为合法数据包这一审计结果后,将该数据包发送至数据通路中继续传输。
8.如权利要求1所述的一种网络行为管理系统,其特征在于,所述延迟及控制模块(130)在接收到该数据包为非法数据包这一审计结果后,阻止该非法数据包传输,或者丢弃该非法数据包,或者断开该非法数据包所属连接。
9.如权利要求1所述的一种网络行为管理系统,其特征在于,该系统包括多个CPU,该延迟及控制模块(130)包括多个延迟队列;并且其每一延迟队列均与该多个CPU中每一CPU一一对应。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010106174653A CN102014010B (zh) | 2010-12-31 | 2010-12-31 | 一种网络行为管理系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010106174653A CN102014010B (zh) | 2010-12-31 | 2010-12-31 | 一种网络行为管理系统及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102014010A CN102014010A (zh) | 2011-04-13 |
| CN102014010B true CN102014010B (zh) | 2013-04-03 |
Family
ID=43844038
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2010106174653A Ceased CN102014010B (zh) | 2010-12-31 | 2010-12-31 | 一种网络行为管理系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102014010B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102238037B (zh) * | 2011-07-20 | 2014-01-08 | 复旦大学 | 协作式目标策略细化方法 |
| CN102880924A (zh) * | 2012-06-18 | 2013-01-16 | 华为技术有限公司 | 一种策略生成方法和装置 |
| CN102857388A (zh) * | 2012-07-12 | 2013-01-02 | 上海云辰信息科技有限公司 | 云探安全管理审计系统 |
| CN103944865B (zh) * | 2013-01-22 | 2018-11-27 | 横河电机株式会社 | 隔离保护系统及其执行双向数据包过滤检查的方法 |
| CN107172107B (zh) * | 2017-07-24 | 2019-08-13 | 中国人民解放军信息工程大学 | 一种区分业务流早期回传的透明管控方法及设备 |
| CN112350851B (zh) * | 2020-10-14 | 2024-05-28 | 腾讯科技(深圳)有限公司 | 一种数据处理检验方法和装置 |
| CN116471237B (zh) * | 2023-06-16 | 2023-10-13 | 四川轻化工大学 | 一种基于QoS技术的网络沉迷控制方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1744583A (zh) * | 2005-09-26 | 2006-03-08 | 深圳市深信服电子科技有限公司 | 一种电子邮件的安全审查方法 |
| CN101001242A (zh) * | 2006-01-10 | 2007-07-18 | 中兴通讯股份有限公司 | 网络设备入侵检测的方法 |
| US7519995B2 (en) * | 2004-04-19 | 2009-04-14 | Regents Of The University Of California | Programmable hardware for deep packet filtering |
| CN101841465A (zh) * | 2010-03-08 | 2010-09-22 | 北京网康科技有限公司 | 一种基于信息交互的内容流控系统及其实现方法 |
-
2010
- 2010-12-31 CN CN2010106174653A patent/CN102014010B/zh not_active Ceased
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7519995B2 (en) * | 2004-04-19 | 2009-04-14 | Regents Of The University Of California | Programmable hardware for deep packet filtering |
| CN1744583A (zh) * | 2005-09-26 | 2006-03-08 | 深圳市深信服电子科技有限公司 | 一种电子邮件的安全审查方法 |
| CN101001242A (zh) * | 2006-01-10 | 2007-07-18 | 中兴通讯股份有限公司 | 网络设备入侵检测的方法 |
| CN101841465A (zh) * | 2010-03-08 | 2010-09-22 | 北京网康科技有限公司 | 一种基于信息交互的内容流控系统及其实现方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102014010A (zh) | 2011-04-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102014010B (zh) | 一种网络行为管理系统及方法 | |
| US11947674B2 (en) | Systems and methods for providing security services during power management mode | |
| Zeng et al. | Detection of botnets using combined host-and network-level information | |
| US10419459B2 (en) | System and method for providing data and device security between external and host devices | |
| US10057284B2 (en) | Security threat detection | |
| US9736179B2 (en) | System, apparatus and method for using malware analysis results to drive adaptive instrumentation of virtual machines to improve exploit detection | |
| US7711714B2 (en) | Method and a device for sterilizing downloaded files | |
| US8862675B1 (en) | Method and system for asynchronous analysis of URLs in messages in a live message processing environment | |
| US7904941B2 (en) | Adaptive system for content monitoring | |
| WO2011060190A1 (en) | Apparatus and method for securing and isolating operational nodes in a computer network | |
| WO2013117148A1 (zh) | 检测远程入侵计算机行为的方法及系统 | |
| CN105516189B (zh) | 基于大数据平台的网络安全实施系统及方法 | |
| US11924235B2 (en) | Leveraging user-behavior analytics for improved security event classification | |
| WO2009061523A1 (en) | System and method for providing data and device security between external and host devices | |
| CN116582365B (zh) | 网络流量的安全控制方法、装置及计算机设备 | |
| KR100728446B1 (ko) | 하드웨어 기반의 침입방지장치, 시스템 및 방법 | |
| CN114629694B (zh) | 一种分布式拒绝服务DDoS的检测方法及相关装置 | |
| CN115603977A (zh) | 基于sdn和fnv动态构建大规模欺骗诱捕场景方法系统及装置 | |
| CN114157441A (zh) | 请求处理系统、方法、电子设备及存储介质 | |
| CN115865517A (zh) | 面向大数据应用的攻击检测方法及系统 | |
| CN104702447A (zh) | 基于关键字提取策略对串口接收数据风险监测的方法 | |
| IL192044A (en) | System and method for providing network security for mobile devices |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| DD01 | Delivery of document by public notice | ||
| DD01 | Delivery of document by public notice |
Addressee: BEIJING NETENTSEC Inc. Document name: Notice of cost |
|
| IW01 | Full invalidation of patent right | ||
| IW01 | Full invalidation of patent right |
Decision date of declaring invalidation: 20140822 Decision number of declaring invalidation: 23623 Granted publication date: 20130403 |
|
| CI03 | Correction of invention patent | ||
| CI03 | Correction of invention patent |
Correction item: whole invalidation of patent right Correct: Revoke all invalid announcements False: All invalid announcements Number: 17-02 Volume: 38 |