CN102387135B - 一种基于用户身份过滤的方法以及防火墙 - Google Patents
一种基于用户身份过滤的方法以及防火墙 Download PDFInfo
- Publication number
- CN102387135B CN102387135B CN201110303744.7A CN201110303744A CN102387135B CN 102387135 B CN102387135 B CN 102387135B CN 201110303744 A CN201110303744 A CN 201110303744A CN 102387135 B CN102387135 B CN 102387135B
- Authority
- CN
- China
- Prior art keywords
- user
- module
- fire compartment
- compartment wall
- behavior record
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提出一种基于用户身份过滤的方法以及防火墙。从应用层数据中识别用户身份信息,并且根据用户身份信息和行为记录来实现访问控制和会话管理。本发明能够对单个用户行为进行细粒度控制,针对不同的用户采取相应的安全策略。可以防止恶意用户访问服务,或在网络状况不好的情况下限制某些用户的访问。
Description
技术领域
本发明涉及网络安全及计算机安全领域,尤其涉及一种基于用户身份过滤的方法以及防火墙。
背景技术
防火墙是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网和公共网的界面上构造的保护屏障。它是一种计算机硬件和软件的结合,是Internet与Intranet之间建立起的一个安全网关,从而保护内部网免受非法用户的入侵。
现有的防火墙从实现原理和方法上可以划分为包过滤型防火墙和代理服务型防火墙。其中:
(1)包过滤防火墙,包括简单包过滤和状态检测包过滤,工作于网络层和传输层,对数据包进行过滤,过滤的依据是系统内置的逻辑,如访问控制列表。
●简单包过滤防火墙通过检查数据流中的每个数据包的源地址、目的地址、所用的端口号、协议状态等元素,或它们的组合来确定是否允许该数据包通过,只能处理单个数据包,不跟踪会话。包过滤技术的优点是简单实用,实现成本低,实时性好。其缺点是只能根据数据包的来源、目标和端口等网络信息进行判断,容易受到地址欺骗,无法识别基于应用层的入侵,更无法支持针对特定用户的安全策略。
●状态检测防火墙是对传统包过滤防火墙的功能的扩展,它根据数据包不同标志位的参数的变化对每一个连接进行跟踪,当某条连接被确认为安全时,该连接的所有数据包被认为是合法的,无需再检查,其安全性较简单包过滤防火墙有很大的提高。状态检测防火墙仍属于包过滤防火墙,其工作在网络层和传输层,只根据数据包头进行过滤,无法探测数据包内容,更无法对用户的身份进行判断。
(2)代理服务型防火墙也称为代理服务器,它的安全性要高于包过滤型产品。代理服务器位于客户机与服务器之间,完全阻挡了二者之间的数据流。从客户机来看,代理服务器相当于一台真正的服务器,而从服务器来看,代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。代理型防火墙的优点是较基于包过滤的防火墙的安全性更高,可以针对应用层进行侦测和扫描,对付应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响,必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性,并且它只能分析到应用层中协议中的有害代码,并不能针对某项应用的用户信息进行分析。部分代理型防火墙虽然支持用户登录到防火墙上,并基于用户登录信息进行过滤,但是并未实现在线的用户信息提取及基于此的会话控制。
发明内容
鉴于以上,本发明提出一种基于用户身份过滤的方法以及防火墙。
本发明提出一种防火墙,其特征在于:在线提取用户身份信息并执行基于用户身份信息的防火墙策略,包括:应用识别模块,监听所有活动端口,根据应用层数据识别应用程序类型;身份信息提取模块,根据应用识别模块提供的应用程序类型采用相应的身份提取方法来提取用户身份信息;用户行为分析模块,根据用户身份信息形成用户当前的行为记录;策略执行模块,根据用户当前的行为记录执行防火墙处理策略,将处理结果提交给用户行为分析模块;防火墙管理模块,提供各模块的管理配置。
本发明还提出一种基于用户身份过滤的方法,其特征在于,包括:当用户访问服务时,监听所有活动端口,根据应用层数据识别应用程序类型;根据应用程序类型采用相应的身份提取方法来提取用户身份信息;根据用户身份信息形成用户当前的行为记录;根据用户当前的行为记录执行防火墙处理策略。
本发明提出了一种可以从应用层数据中识别用户身份的防火墙,并且根据用户的身份信息和行为记录来实现访问控制和会话管理。能够对单个用户行为进行细粒度控制,针对不同的用户采取相应的安全策略。可以防止恶意用户访问服务,或在网络状况不好的情况下限制某些用户的访问。
附图说明
本处所说明的附图用来提供对本发明的进一步理解,构成本发明的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是本发明所涉及到的网元及防火墙在网络中的位置示意图;
图2是本发明实施例中防火墙的结构图;
图3是本发明实施例中基于用户身份过滤的方法流程图;
图4为本发明另一实施例中基于用户身份过滤的方法流程图;
图5是本发明实施例防火墙流量控制场景示意图。
具体实施方式
无论是包过滤型还是代理服务型防火墙都无法在线识别用户,无法根据用户信息及行为实施基于用户的安全策略,但随着面向服务架构、web2.0及云服务的广泛应用,有必要根据用户的身份信息进行相应应用的访问控制和会话管理。
一方面,更多的通信使用更少的端口(如80和443端口)和使用更少的协议(如HTTP和HTTPS)传输,基于IP和端口组合检测的包过滤型防火墙已不太适合和不太有效。
另一方面,使用同一应用的用户其行为也大不一样,例如某些使用云服务的用户在短时间内频繁的访问某项服务或占用大量的带宽或此用户的历史行为不佳,服务提供商需要一种能够对单个用户行为进行细粒度控制的方法,针对特定的用户采取相应的安全策略,这就需要一种能够在线实时识别用户身份的防火墙来管理某些用户的会话。例如:某服务提供商发现其部分用户频繁访问服务并下载大数据量的文件,服务提供商需要节制这部分用户的访问或限制他的访问时间(如只允许在用户连接数较少的夜间访问)。对于某一服务,服务提供商的连接地址和端口号是固定的,无法通过封锁IP端口组合来阻止特定用户访问,这样一种能够在应用层数据识别用户身份的防火墙就很有必要了,它不以会话为依赖,而是以用户身份信息为访问控制依据。
本发明提出了一种可以在线识别用户身份并且可以根据用户身份管理用户会话的防火墙。所涉及到的防火墙可置于企业或服务提供者的网络边界,对入网流量进行过滤,也可置于内部网络出口边界,对出口流量进行过滤。本发明所涉及到的网元及防火墙在网络中的位置,如图1所示,图中的网元包括:服务提供商网络(如web服务或云服务)或企业网络、基于用户身份在线提取的防火墙以及用户终端。
图2是本发明实施例中防火墙的结构图,其中,实箭头为网络数据流流向,虚箭头为防火墙控制信息流流向。包括:应用识别模块21、身份信息提取模块22、用户行为分析模块23、策略执行模块25以及防火墙管理模块26。其中,应用识别模块21、身份信息提取模块22以及用户行为分析模块23通过自定义的协议支持,可以实现基于在线身份过滤的防火墙。
在本发明的另一实施例中,还如图1所示,防火墙还可以包括用户行为数据库24,增加了根据用户历史行为记录进行用户行为控制这部分功能。下面将结合图1对各个模块所执行的操作以及相互关系进行说明。
在本发明实施例中,也可以将应用识别模块21、身份信息提取模块22、用户行为分析模块23以及用户行为数据库24合并成为策略生成模块,可以设置在防火墙外,防火墙只是策略执行模块。这种实现方式,需要在策略生成模块、策略执行模块之间有较多的协议交互。防火墙将每个会话初始的一些包转发给策略生成模块,以便识别应用并提取出用户身份信息,然后将用户控制策略转换成防火墙配置策略,转发给防火墙。虽然上面提到策略生成模块可以设置在防火墙外,但是,本领域技术人员应该可以理解,即使防火墙只包括策略执行模块,但其执行基于身份信息提取以及用户行为记录执行防火墙处理策略,均应该看作是本发明各个实施例中所提到的广义防火墙构成。因此,也应该覆盖在本权利要求的保护范围之内。
应用识别模块21监听所有活动端口,根据数据包分析出应用层协议,识别出应用层中的应用程序类型。识别的方法如端口号匹配、数据包深层扫描、特征代码匹配,也可以组合多种识别方式。
由于某些应用不一定使用固定的端口(如P2P),所以需要防火墙在所有的活动端口上扫描,分析出应用层的应用程序类型,并记录数据包的会话,如:源IP、目的IP、源端口号、目的端口号、协议类型等,将用户会话以及相关信息,比如访问时间、应用程序类型等提交到身份信息提取模块。应用程序类型是指应用服务或身份认证协议,如:人人网、skype等应用,OAuth、RADIUS等认证协议。用户身份信息存放的位置与应用程序类型有关,要实现用户身份信息的提取需要先将应用层协议中的应用程序类型分析出来,这是身份识别的基础,其识别能力需要通过防火墙管理模块26来配置。识别过程在应用层数据,而不关心底层数据包地址。
身份信息提取模块22根据应用识别模块提供的应用程序类型来确定采用哪种用户身份提取方式来提取用户身份信息,如用户ID,提高了用户身份信息提取的有效性和准确性。
对于应用识别模块21无法识别的应用程序、身份信息提取模块22无法提取用户身份的数据流,将其提交给策略处理模块,由其决定是拒绝还是允许。
通常可通过应用的身份认证过程,从应用层协议头或协议内容提取出用户身份信息。至于身份信息在数据包中的位置和格式,则决定于相应的协议。
如何根据应用程序类型来确定采用哪种用户身份提取方式,下面将举例进行说明。
比如,新浪微博OAuth认证流程中用户授权过程,用户填写的用户名、密码以及timestamp等信息都在http协议的消息体内(而不是放在消息头的某个域中),因此在提取用户身份信息时要去匹配消息体,其消息体内的字符串格式是key=value&key=value&...的形式,并经过了base64编码,提取时需要base64译码并将字符串格式整理成我们想要的形式。
比如,sip协议中建立连接的请求报头中的信息如下:
INVITE sip:bobbiloxi.com SIP/2.0
Via:SIP/2.0/UDP pc33.atlanta.com;branch=z9hG4bK776asdhds
Max-Forwards:70
To:Bo<sip:bobbiloxi.com>
From:Alice<sip:aliceatlanta.com>;tag=1928301774
Call-ID:a84b4c76e66710pc33.atlanta.com
CSeq:314159INVITE
Contact:<sip:alicepc33.atlanta.com>
Content-Type:application/sdp
Content-Length:142
其中from是发起请求用户的身份标识(<sip:aliceatlanta.com>),to是发起请求用户想呼叫的用户(<sip:bobbiloxi.com>),通过此信息可以判断用户。
用户行为分析模块23根据用户身份信息形成用户当前的行为记录。进一步,用户行为分析模块还从用户行为数据库获取历史行为记录,根据用户当前的行为记录和历史行为记录生成新的用户行为记录。用户行为分析模块将行为记录写入用户行为数据库,对于形成当前的行为记录的情况,写入当前的行为记录,对于生成新的行为记录的情况,则写入新的行为记录,并将行为记录提交给策略执行模块,将策略执行模块的处理结果写入用户行为数据库。
在本发明的一个实施例中,用户行为分析模块23从身份信息提取模块22接收用户本次访问的有关信息,如应用程序类型、用户会话(源IP地址、目的IP地址、目的端口号、源端口号、传输层协议)、用户身份信息等,并从防火墙的日志统计模块得到用户所属会话的相应信息,如:访问时间、持续时间、占用带宽等,形成当前的用户行为记录。
用户行为记录可以是对信息的简单记录,比如占用带宽,还可以是对这些数据进行加工后形成的数据,比如根据用户多次访问的时间点算出用户的访问频度。必选信息包括应用程序类型、用户身份信息(如用户ID)、用户会话以及访问时间,其他为可选信息。本领域技术人员应该可以理解,防火墙用户可以根据自己的需要来灵活设置形成行为记录的方法以及调整策略处理的方法。
策略执行模块24根据用户行为分析模块23提供的行为记录执行防火墙的处理策略,该处理策略通过防火墙管理模块配置,这部分功能为传统防火墙的标准功能。
用户行为数据库25存储用户行为分析模块23提供的行为记录和策略执行模块的处理结果。
在用户行为数据库25中还可以导入用户黑名单、用户访问权限(如允许用户占用的最大带宽、允许用户访问的时间)或其它的属性,这些用户行为记录将作为策略执行模块的处理依据。
多个防火墙的用户行为数据库可以组成分布式数据库,以便共享用户行为记录,形成一个分布式的防火墙联盟,使得用户在其他接口上访问时同样受到历史行为记录约束,从而防止恶意用户绕到其他接口访问服务提供商网络,更有效的保护网络安全。
防火墙管理模块26,是防火墙系统和用户间的UI,防火墙的所有管理和配置全都在此进行。
防火墙管理模块与现有技术不同点在于,防火墙管理模块可实现对用户身份在线提取方法的升级,针对不同的应用采用不同的身份在线提取方法,通过升级增加可识别的应用的数量。
防火墙管理模块26所实现的管理和配置操作,包括:
-增加、删除或修改应用识别模块的配置文件,以实现增加、删除或修改应用识别的能力;
-根据应用识别模块的配置,在身份提取模块中配置相应的身份提取方法;
-在用户行为分析模块中,对用户行为记录和分析项目进行配置或更改某些行为分析的算法;
-在策略执行模块中,配置防火墙访问控制策略;
-用户行为数据库查询。
防火墙的使用者(如web服务和云服务提供商)可以根据自身的需求依据用户行为记录制定相应的防火墙访问控制策略,包括但不限于:
-限制用户的访问时间:可以规定某个用户在哪个时间段访问服务,哪个时间段不可访问服务;
-限制用户连接的持续时间:规定某个用户单次连接最长持续时间;
-限制用户对特定服务的访问:规定只有某些用户可以使用某些特定的服务,其他用户无此权限;
-限制用户的访问频度:规定某个用户在单位时间内访问服务的最大次数;
-限制用户占用的最大带宽:对某些用户访问服务时的最大带宽进行限制,防止少数用户占用大量的带宽,从而影响其他用户的访问;
-限制黑名单中的用户访问:对某些历史行为记录较差的用户终止其对服务的访问。
本发明通过在数据流中提取能够标识用户身份的信息,为基于用户行为的策略处理提供依据。可以防止恶意用户访问服务,或在网络状况不好的情况下限制某些用户的访问。
下面以新浪微博OAuth认证授权过程为例,对本发明的实现过程进行说明。用户在授权的时候要求用户输入用户名、密码,在这个过程中可以提取有关用户的身份信息。
1、应用识别模块
用户认证以http post方式提交表单,可以在http报头中查找到以下关键字:
POST/sso/login.php?client=ssologin.js(v1.3.15)HTTP/1.1
Host:login.sina.com.cn
证明此数据包是新浪的登录数据包,这一过程中要记录数据包的会话(session)。
2、身份信息提取模块
用户填写用户名、密码后以表单的形式提交到服务器,其信息放在http消息体中。身份信息提取模块将消息体提出,内容如下:
entry=miniblog&gateway=1&from=&savestate=0&useticket=1&username=haomingyang286%40163.com&service=miniblog&servertime=1313824435&nonce=5DO6GC&pwencode=wsse&password=79b3c42d285848da329e01123f576b20c3f92772&encoding=utf-8&url=http%3A%2F%2Fv.t.sina.com.cn%2Fajaxlogin.php%3Fframelogin%3D1%26callback%3Dparent.sinaSSOController.feedBackUrlCallBack&returntype=META
经过字符串处理后可以得到我们需要的信息有:
username、servertime、用户密码加密方式及加密后的密码、访问的服务(service=miniblog)。
3、用户行为分析模块
当前的用户行为记录有:用户会话(用户的源地址、目的地址、源端口、目的端口、协议(http))、username、访问时间(servertime)、访问的服务(miniblog)。
根据需要可以充分利用身份信息识别模块得到的信息。
历史行为记录:根据用户名可以从用户行为数据库中提取用户前n次的访问时间以及所访问的服务。
生成新的行为记录:根据用户n次的访问时间可以算出用户的访问频度、用户经常访问的时间段、用户经常访问的服务(如在m小时之内访问次数超过k次就算做经常访问)、上次访问与本次访问的时间间隔(以此可以限制用户在x秒内不能访问两次以上)。
4、策略执行模块
根据用户行为记录可以执行相应的策略,以允许或阻止用户访问。限制的方法一般是根据应用识别和用户身份提取模块得到的用户信息和会话信息,阻止此回话的数据包通过。
如:阻止使用此username的用户访问;
用户访问频度大于20,限制其访问一天;
用户在20秒内连续登录,限制其登录三分钟;
不允许某个用户在某个时间段访问。
图3为本发明实施例中基于用户身份过滤的方法流程图,本领域技术人员应该可以理解,该实施例用于对本发明的方法流程进行说明,不应理解为对本发明的限制,该方法实施例包括以下步骤:
在步骤301、当用户访问服务时,应用识别模块监听网络开放的所有端口,如发现有活动端口则进行解包,得到其应用层内容,根据应用层数据识别应用层内容中的应用程序类型。
在步骤302、身份信息提取模块根据应用识别模块提交的应用程序类型选择相应的身份信息提取方法提取用户身份信息(如用户ID)。
在步骤303、用户行为分析模块根据用户身份信息形成用户当前的行为记录。
在步骤304、策略执行模块根据用户事先配置好的防火墙处理策略,对用户行为分析模块提交的用户当前的行为记录执行防火墙处理策略,来控制用户的会话。
图4为本发明另一实施例中基于用户身份过滤的方法流程图,其中,步骤301~步骤302与上一实施例相同,不同之处在于步骤303a和步骤304a,具体为:
在步骤303a、用户行为分析模块还从用户行为数据库获取历史行为记录,根据用户当前的行为记录和历史行为记录生成新的用户行为记录,存储到用户行为数据库。
在步骤304a、策略执行模块根据用户事先配置好的防火墙处理策略,对用户行为分析模块提交的新生成的用户行为记录执行防火墙处理策略,来控制用户的会话。
上述方法流程中,在执行防火墙处理策略之后,还将处理结果提交给用户行为分析模块,并写入用户行为数据库。
本发明通过识别数据包应用层数据中的用户身份进行对特定用户的访问控制和会话管理,而非通过用户在防火墙上登录来识别用户身份。
下面结合说明书和附图对本发明实施例进行详细说明。
图5所示为实施方式示意图,其中防火墙位于受保护网络的网络边界,进出网络流量均通过此防火墙。用户A在受保护网络内部,访问外部网络服务器B,其流量通过位于网络边界的防火墙;用户B位于受保护网络外,访问受保护网络内的网络服务器A,其流量经过受保护网络边界防火墙时被过滤。以上是两种不同数据流方向的应用场景。
下面以外网用户B访问内网服务器A为例进行说明。
用户B发起呼叫欲与网络服务器A建立连接,防火墙应用识别模块在所有的端口上扫描,发现有数据流通过便对其进行解析,分析数据流中应用层协议类型、记录数据包的会话并对此数据包做标签,所述标签的作用是为了使记录的数据包信息与数据包相对应。应用识别模块发送应用类别消息到身份信息提取模块,该应用类别消息包含数据包标签、应用层协议类型、应用程序类型以及数据包会话。身份信息提取模块正确接收到此消息后向应用识别模块返回确认消息。
身份信息提取模块找到应用类别消息中数据包标签对应的数据包,根据应用类别消息中标示的应用程序类型采用相应的用户身份提取方法提取出用户身份信息,包括应用程序类型、用户身份ID、数据包会话以及数据包标签,将用户身份信息发送到用户行为分析模块,用户行为分析模块收到正确消息后返回确认消息。
用户行为分析模块根据用户身份信息(如用户ID)向用户行为数据库查询用户的历史行为记录,用户行为数据库返回用户历史行为记录。所述用户行为分析模块根据用户当前的行为记录和历史行为记录形成新的用户行为记录,并发送用户行为分析结果到策略执行模块。
策略执行模块根据访问控制列表产生会话控制策略,对数据流做出允许或阻止的决定,并发送策略处理结果至用户行为分析模块,用户行为分析模块将新的用户行为记录和策略处理结果提交到用户行为数据库进行保存。
以上处理步骤中,如果应用识别模块或身份信息提取模块无法识别应用程序类型或无法提取用户身份信息,将对数据包作标签并直接发送消息到策略执行模块,说明此数据包无法识别,交由策略执行模块处理。
作为对详细描述的结论,应该注意本领域的技术人员将会很清楚可对优选实施例做出许多变化和修改,而实质上不脱离本发明的原理。这种变化和修改包含在所附权利要求书所述的本发明的范围之内。
Claims (10)
1.一种防火墙,其特征在于:在线提取用户身份信息并执行基于用户身份信息的防火墙策略,包括:
应用识别模块,监听所有活动端口,根据应用层数据识别应用程序类型;
身份信息提取模块,根据应用识别模块提供的应用程序类型采用相应的身份提取方法来提取用户身份信息;
用户行为分析模块,根据用户身份信息形成用户当前的行为记录,将当前的行为记录提供给策略执行模块和用户行为数据库,将策略执行模块的处理结果写入用户行为数据库;
策略执行模块,根据用户当前的行为记录执行防火墙处理策略,对单个用户行为进行细粒度控制,将处理结果提交给用户行为分析模块;
用户行为数据库,存储用户行为分析模块提供的用户当前的行为记录和策略执行模块的处理结果;
防火墙管理模块,提供各模块的管理配置;
其中,所述防火墙对入网流量进行过滤,或者对出口流量进行过滤。
2.根据权利要求1所述防火墙,其特征在于,还包括:
所述用户行为分析模块从用户行为数据库获取用户的历史行为记录;根据用户当前的行为记录和历史行为记录生成新的用户行为记录,将新生成的用户行为记录写入用户行为数据库,并将其提交给策略执行模块,将策略执行模块的处理结果写入用户行为数据库。
3.根据权利要求1或2所述防火墙,其特征在于,用户行为数据库与其他防火墙的用户行为数据库连接形成分布式数据库系统。
4.根据权利要求1或2所述防火墙,其特征在于,用户行为分析模块从身份信息提取模块接收用户本次访问信息,包括应用程序类型、用户会话以及用户身份信息,并从防火墙的日志统计模块得到用户所属会话的相应信息,形成当前的用户行为记录。
5.根据权利要求1或2所述防火墙,其特征在于,防火墙管理模块实现对在线提取方法的升级,针对不同的应用采用不同的身份在线提取方法,通过升级增加可识别的应用的数量。
6.一种基于用户身份过滤的方法,其特征在于,包括:
当用户访问服务时,防火墙监听所有活动端口,根据应用层数据识别应用程序类型;
根据应用程序类型采用相应的身份提取方法来提取用户身份信息;
根据用户身份信息形成用户当前的行为记录;
根据用户当前的行为记录执行防火墙处理策略,对单个用户行为进行细粒度控制;
其中,所述防火墙对入网流量进行过滤,或者对出口流量进行过滤。
7.根据权利要求6所述基于用户身份过滤的方法,其特征在于,根据用户当前的行为记录执行防火墙处理策略,进一步包括:
获取用户的历史行为记录;
根据用户当前的行为记录和历史行为记录生成新的用户行为记录;
根据新的用户行为记录执行防火墙处理策略。
8.根据权利要求6或7所述基于用户身份过滤的方法,其特征在于,还包括:
将用户的行为记录存储到用户行为数据库,用户行为数据库与其他防火墙的用户行为数据库连接形成分布式数据库系统。
9.根据权利要求6或7所述基于用户身份过滤的方法,其特征在于,形成用户当前的行为记录,包括:
接收用户本次访问信息,包括应用程序类型、用户会话以及用户身份信息,并从防火墙的日志统计模块得到用户所属会话的相应信息,形成用户当前的行为记录。
10.根据权利要求6或7所述基于用户身份过滤的方法,其特征在于,执行防火墙处理策略,包括:
实现对在线提取方法的升级,针对不同的应用采用不同的身份在线提取方法,通过升级增加可识别的应用的数量。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201110303744.7A CN102387135B (zh) | 2011-09-29 | 2011-09-29 | 一种基于用户身份过滤的方法以及防火墙 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201110303744.7A CN102387135B (zh) | 2011-09-29 | 2011-09-29 | 一种基于用户身份过滤的方法以及防火墙 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102387135A CN102387135A (zh) | 2012-03-21 |
CN102387135B true CN102387135B (zh) | 2015-01-28 |
Family
ID=45826109
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201110303744.7A Expired - Fee Related CN102387135B (zh) | 2011-09-29 | 2011-09-29 | 一种基于用户身份过滤的方法以及防火墙 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102387135B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110351219A (zh) * | 2018-04-02 | 2019-10-18 | 蓝盾信息安全技术有限公司 | 一种基于网闸系统的数据库安全访问技术 |
Families Citing this family (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102710504A (zh) * | 2012-05-16 | 2012-10-03 | 华为技术有限公司 | 应用识别方法和装置 |
CN102752756A (zh) * | 2012-06-08 | 2012-10-24 | 深信服网络科技(深圳)有限公司 | 防止通过私接无线ap上网的方法及装置 |
US9363133B2 (en) * | 2012-09-28 | 2016-06-07 | Avaya Inc. | Distributed application of enterprise policies to Web Real-Time Communications (WebRTC) interactive sessions, and related methods, systems, and computer-readable media |
CN103338190B (zh) * | 2013-06-13 | 2016-05-11 | 国家电网公司 | 基于用户行为可信的非结构化数据安全交换方法 |
TWI505130B (zh) * | 2013-09-13 | 2015-10-21 | Univ Nat Cheng Kung | Cloud service authorization management method and system for cross-database system |
CN105095309A (zh) * | 2014-05-21 | 2015-11-25 | 腾讯科技(深圳)有限公司 | 网页处理方法和装置 |
CN104378255B (zh) * | 2014-10-29 | 2018-02-06 | 深信服网络科技(深圳)有限公司 | web恶意用户的检测方法及装置 |
CN105224593B (zh) * | 2015-08-25 | 2019-08-16 | 中国人民解放军信息工程大学 | 一种短暂上网事务中频繁共现账号挖掘方法 |
CN105591813B (zh) * | 2015-11-24 | 2019-06-21 | 上海斐讯数据通信技术有限公司 | 上网的控制方法、控制装置及上网设备 |
US10205736B2 (en) * | 2017-02-27 | 2019-02-12 | Catbird Networks, Inc. | Behavioral baselining of network systems |
CN107895011B (zh) * | 2017-11-03 | 2020-05-26 | 携程旅游网络技术(上海)有限公司 | 会话信息的处理方法、系统、存储介质和电子设备 |
CN108023779A (zh) * | 2017-12-20 | 2018-05-11 | 杭州云屏科技有限公司 | 一种基于网络流量分析用户行为的方法及系统 |
CN108429743A (zh) * | 2018-02-28 | 2018-08-21 | 新华三信息安全技术有限公司 | 一种安全策略配置方法、系统、域控服务器及防火墙设备 |
CN108875327A (zh) * | 2018-05-28 | 2018-11-23 | 阿里巴巴集团控股有限公司 | 一种核身方法和装置 |
CN110881038B (zh) * | 2019-11-21 | 2022-03-22 | 深信服科技股份有限公司 | 一种通信认证方法、系统、设备及存储介质 |
CN112822211B (zh) * | 2021-02-06 | 2023-03-24 | 西安热工研究院有限公司 | 电力工控便携式自学习工业防火墙系统、装置及使用方法 |
CN113311805B (zh) * | 2021-05-21 | 2022-07-05 | 上海振华重工(集团)股份有限公司 | 面向自动化港口桥吊作业系统的零信任网络访问控制方法 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101582813A (zh) * | 2009-06-26 | 2009-11-18 | 西安电子科技大学 | 基于分布式迁移网络学习的入侵检测系统及其方法 |
CN101888341A (zh) * | 2010-07-20 | 2010-11-17 | 上海交通大学 | 在分布式多信任域环境下基于可计算信誉度的访问控制方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP2840753B1 (en) * | 2008-05-21 | 2019-05-15 | McAfee, LLC | System and method for discovery of network entities |
-
2011
- 2011-09-29 CN CN201110303744.7A patent/CN102387135B/zh not_active Expired - Fee Related
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101582813A (zh) * | 2009-06-26 | 2009-11-18 | 西安电子科技大学 | 基于分布式迁移网络学习的入侵检测系统及其方法 |
CN101888341A (zh) * | 2010-07-20 | 2010-11-17 | 上海交通大学 | 在分布式多信任域环境下基于可计算信誉度的访问控制方法 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110351219A (zh) * | 2018-04-02 | 2019-10-18 | 蓝盾信息安全技术有限公司 | 一种基于网闸系统的数据库安全访问技术 |
Also Published As
Publication number | Publication date |
---|---|
CN102387135A (zh) | 2012-03-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102387135B (zh) | 一种基于用户身份过滤的方法以及防火墙 | |
US11075885B2 (en) | Methods and systems for API deception environment and API traffic control and security | |
US20060026678A1 (en) | System and method of characterizing and managing electronic traffic | |
Liyanage et al. | Enhancing security of software defined mobile networks | |
WO2012164336A1 (en) | Distribution and processing of cyber threat intelligence data in a communications network | |
Hares et al. | Interface to network security functions (I2NSF): Problem statement and use cases | |
EP2597839A1 (en) | Transparen Bridge Device for protecting network services | |
Park et al. | Security problems of 5G voice communication | |
Asgharian et al. | A framework for SIP intrusion detection and response systems | |
CN114390049A (zh) | 一种应用数据获取方法及装置 | |
Keromytis | Voice over IP Security: A Comprehensive Survey of Vulnerabilities and Academic Research | |
Shuang et al. | IMS security analysis using multi-attribute model | |
KR101011223B1 (ko) | 에스아이피(sip) 기반의 통합보안 관리시스템 | |
Mizoguchi et al. | Traceback framework against botmaster by sharing network communication pattern information | |
Vrakas et al. | Evaluating the security and privacy protection level of IP multimedia subsystem environments | |
Asgharian et al. | Detecting denial of service attacks on sip based services and proposing solutions | |
Berger et al. | Internet security meets the IP multimedia subsystem: an overview | |
Gazdar et al. | A distributed cooperative detection scheme for SPIT attacks in SIP based systems | |
Tschofenig et al. | Securing the Next Steps In Signalling (NSIS) protocol suite | |
Allouch et al. | Design of distributed IMS by classification and evaluation of costs for secured architecture | |
Maachaoui et al. | Model-based security analysis for IMS network | |
Zave et al. | 1 Security provided by endpoints | |
Mahmood | SIP security threats and countermeasures | |
Zarny et al. | I2NSF S. Hares Internet-Draft Huawei Intended status: Standards Track D. Lopez Expires: May 17, 2017 Telefonica I+ D | |
Hares et al. | RFC 8192: Interface to Network Security Functions (I2NSF): Problem Statement and Use Cases |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20150128 Termination date: 20160929 |