CN105407106A - 一种接入控制方法和装置 - Google Patents
一种接入控制方法和装置 Download PDFInfo
- Publication number
- CN105407106A CN105407106A CN201510983020.XA CN201510983020A CN105407106A CN 105407106 A CN105407106 A CN 105407106A CN 201510983020 A CN201510983020 A CN 201510983020A CN 105407106 A CN105407106 A CN 105407106A
- Authority
- CN
- China
- Prior art keywords
- rule
- preset
- baseline
- user terminal
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Technology Law (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明实施例提供了一种接入控制方法和装置,其中的方法应用于用户终端,具体包括:监测到达网卡的数据包;对所述数据包进行解析,以得到对应的五元组信息;在所述五元组信息符合预置的五元组阻断规则时,阻断所述数据包;其中,所述预置的五元组阻断规则为控制终端所提供。本发明实施例能够增加数据包的适用范围,且能够提高接入控制的灵活性、以及能够提高局域网的安全性。
Description
技术领域
本发明涉及计算机技术领域,特别是涉及一种接入控制方法和一种接入控制装置。
背景技术
随着互联网的迅速普及,局域网已成为企业发展中必不可少的一部分。然而,在为企业带来便利的同时,局域网也面临着各种各样的进攻和威胁,如机密泄漏、数据丢失、网络滥用、身份冒用、非法入侵等。例如,当外来人员携带笔记本电脑进入企业,在未经许可的情况下,通过有线或者无线的方式接入公司的局域网,将容易导致企业内部资源存在被非法拷贝的风险。又如,当企业内部员工的计算机感染病毒时,其通过有线或者无线的方式接入公司的局域网,将容易导致病毒的传播。因此,局域网内的接入控制变得尤为重要。
现有的一种接入控制方案具体可以包括:在交换机侧对局域网内的上行数据包进行过滤,并在该上行数据包不符合过滤规则时,向该上行数据包对应的接收端发送RST(复位,Reset)包,由此可以断开该上行数据包对应的发送端与接收端之间的TCP连接。
然而,上述RST仅仅适用于HTTP(超文本传输协议,HypertextTransferProtocol)的上行数据包,而无法适用于UDP(用户数据报协议,UserDatagramProtocol)、ARP(地址解析协议,AddressResolutionProtocol)、SNMP(简单网络管理协议,SimpleNetworkManagementProtocol)等协议的上行数据包,因此,现有方案具有适用范围有限的缺点。
另外,现有方案通常依据白名单设置对应的过滤规则,例如,上述过滤规则放行用户终端命中白名单的上行数据包,以及阻断用户终端不在白名单中的上行数据包等,这样,对于不在白名单中的用户终端而言,将无法访问局域网,而对命中白名单的用户终端而言,即使其存在安全隐患,也无法阻断其对于局域网的访问;因此,现有方案还具有安全性差和灵活性差的缺点。
发明内容
鉴于上述问题,提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的一种接入控制方法和一种接入控制装置。
依据本发明的一个方面,提供了一种接入控制方法,应用于用户终端,包括:
监测到达网卡的数据包;
对所述数据包进行解析,以得到对应的五元组信息;
在所述五元组信息符合预置的五元组阻断规则时,阻断所述数据包;其中,所述预置的五元组阻断规则为控制终端所提供。
可选地,所述五元组信息包括:源IP地址、源端口、目的IP、目的端口和传输层协议,则所述预置的五元组阻断规则包括:目的IP地址所属的网段、目的端口和传输层协议中至少一项对应的阻断规则。
可选地,所述方法还包括:
对所述用户终端进行基线检查;
在基线检查结果符合预置的基线阻断规则、且所述五元组信息符合预置的五元组阻断规则时,阻断所述数据包;其中,所述预置的基线阻断规则为控制终端所提供。
可选地,所述对所述用户终端进行基线检查的步骤,包括:
对所述用户终端上的已安装应用、已运行应用、已运行服务、已运行进程、密码强度和已运行组件中的至少一项进行检测,以判断所述用户终端上是否存在所述控制终端提供的预置项目;
所述基线检查结果符合预置的基线阻断规则,包括:所述单个预置项目或者预置项目的组合对应的规则。
可选地,所述对所述用户终端进行基线检查的步骤,包括:
对所述用户终端上的已安装应用、已运行应用、已运行服务、已运行进程、密码强度和已运行组件中的至少一项进行检测,以得到所述用户终端的得分;
所述基线检查结果符合预置的基线阻断规则,包括:所述用户终端的得分小于得分阈值。
可选地,所述预置项目包括如下项目中的至少一项:
未安装防火墙组件、未安装反病毒应用、存在不符合第一预置条件的反病毒应用、存在被禁止的应用、及运行被禁止的应用、进程和服务。
可选地,所述方法还包括:
在所述五元组信息不符合预置的五元组阻断规则时,放行所述数据包。
可选地,所述方法还包括:
在基线检查结果不符合预置的基线阻断规则时,放行所述数据包。
可选地,所述监测到达网卡的数据包的步骤,包括:
通过网卡驱动程序,从网络驱动程序接口规范NDIS中间层抓取到达网卡的数据包。
根据本发明的另一方面,提供了一种接入控制装置,包括:
监测模块,用于监测到达网卡的数据包;
解析模块,用于对所述数据包进行解析,以得到对应的五元组信息;及
第一阻断模块,用于在所述五元组信息符合预置的五元组阻断规则时,阻断所述数据包;其中,所述预置的五元组阻断规则为控制终端所提供。
根据本发明实施例的一种接入控制方法和装置,在到达网卡的数据包的五元组信息符合预置的五元组阻断规则时,阻断所述数据包;由于所述五元组信息具体可以包括:源IP地址、源端口、目的IP、目的端口和传输层协议,且上述五元组信息中传输层协议可以适用于HTTP、UDP、ARP、SNMP等任意协议,因此相对于现有方案中RST协议仅适用于HTTP协议,本发明实施例能够增加数据包的适用范围。
并且,相对于现有方案一味地阻断或者放行用户终端接入网络、导致的安全性差和灵活性差的问题,本发明实施例可以依据安全需求,灵活地预置针对数据包的五元组阻断规则,例如,在某个网段对应服务器用于提供敏感数据时,可以依据该网段预置目的IP对应的五元组阻断规则,也即可以依据安全需求灵活地针对五元组信息中的至少一元信息预置对应的五元组阻断规则,因此本发明实施例能够提高接入控制的灵活性、以及能够提高局域网的安全性。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文可选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出可选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了根据本发明一个实施例的一种接入控制方法的步骤流程示意图;
图2示出了根据本发明一个实施例的一种接入控制方法的步骤流程示意图;
图3示出了根据本发明一个实施例的一种接入控制方法的步骤流程示意图;以及
图4示出了根据本发明一个实施例的一种接入控制装置的结构示意。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
本发明实施例的核心构思之一在于,利用到达网卡的数据包的五元组信息进行网络的接入控制,具体地,在所述数据包的五元组信息符合预置的五元组阻断规则时,阻断所述数据包;由于所述五元组信息具体可以包括:源IP地址、源端口、目的IP、目的端口和传输层协议,且上述五元组信息中传输层协议可以适用于HTTP、UDP、ARP、SNMP等任意传输层协议,因此相对于现有方案中RST协议仅适用于HTTP协议,本发明实施例能够增加数据包的适用范围。
并且,相对于现有方案一味地阻断或者放行用户终端接入网络、导致的安全性差和灵活性差的问题,本发明实施例可以依据安全需求,灵活地预置针对数据包的五元组阻断规则,例如,在某个网段对应服务器用于提供敏感数据时,可以依据该网段预置目的IP对应的五元组阻断规则,也即可以依据安全需求灵活地针对五元组信息中的至少一元信息预置对应的五元组阻断规则,因此本发明实施例能够提高接入控制的灵活性、以及能够提高局域网的安全性。
参照图1,示出了根据本发明一个实施例的一种接入控制方法的步骤流程图,应用于用户终端,具体可以包括如下步骤:
步骤101、监测到达网卡的数据包;
本发明实施例可以应用于企业网、政府网、校园网等局域网中;在上述局域网中,控制终端是指局域网内用于管理用户终端的终端,所述用户终端是指局域网内响应控制终端的指令,与控制终端进行数据交互的终端,其可以响应控制终端的指令或者数据,也可以向控制终端发送指令或者数据。
在实际应用中,可以在控制终端部署服务器代理模块,在用户终端部署软件客户端模块,以类似C/S(客户端/服务器)的架构,实现局域网内控制终端对用户终端的控制功能,以及,用户终端的控制响应及通信功能。其中,上述控制终端和上述用户终端之间可以通过标准协议或者私有协议进行通信,其中,私有协议具有封闭性和安全性高的优点;可以理解,本发明实施例对于控制终端与用户终端之间的具体通信方式不加以限制。
在本发明的一种可选实施例中,上述监测到达网卡的数据包的步骤,具体可以包括:通过网卡驱动程序,从NDIS(网络驱动程序接口规范,NetworkDriverInterfaceSpecification)中间层抓取到达网卡的数据包,这里,到达网卡的数据包可以指用户终端的主机向网卡发送的数据包。
在实际应用中,NDIS定义了网卡或网卡驱动程序与上层协议驱动程序之间的通信接口规范,屏蔽了底层物理硬件的不同,使上层的协议驱动程序可以和底层任何型号的网卡通信。可以通过WinPcap(windowspacketcapture,windows平台下一个公共的网络访问系统,用于网络封包的抓取)从NDIS中间层抓取数据包,也可以通过MicrosoftNetworkMonitor(一款网络协议数据分析工具,其能够将计算机上的各种网络接口装置显示在同一个画面之中,并且告诉使用者每一个接口的实时流量,不论是流入或流出,都能够清楚显示)进行抓取。
可以理解,上述监测到达网卡的数据包的过程只是作为可选实施例,实际上,本发明实施例对于监测到达网卡的数据包的具体过程不加以限制。
步骤102、对所述数据包进行解析,以得到对应的五元组信息;
在实际应用中,可以依据数据包的封装过程进行数据包的解析。例如,在本发明的一种应用示例中,假设五元组信息被记录在数据包的有效载荷数据(payloaddata)中,则可以从有效载荷数据中获取对应的五元组信息,可以理解,本发明实施例对于通过解析获取数据包中五元组信息的具体过程不加以限制。
步骤103、在所述五元组信息符合预置的五元组阻断规则时,阻断所述数据包;其中,所述预置的五元组阻断规则可以为控制终端所提供。
本发明实施例中,五元组阻断规则可用于表示阻断数据包的条件和门槛,在所述五元组信息符合预置的五元组阻断规则时,可以认为该数据包容易引起局域网的安全隐患,因此可以阻断该数据包。其中,可以通过丢弃该数据包等方式进行该数据包,实际上,阻止该数据包的有效信息到达对应接收端的任意阻断方式均是可行的,本发明实施例对于阻断所述数据包的具体方式不加以限制。
在本发明的一种可选实施例中,所述五元组信息具体可以包括:源IP地址、源端口、目的IP、目的端口和传输层协议,则所述预置的五元组阻断规则具体可以包括:目的IP地址所属的网段、目的端口和传输层协议中至少一项对应的阻断规则。则在实际应用中,可以将数据包的五元组信息与五元组阻断规则中的信息进行匹配,若匹配成功,则可以认为五元组信息符合预置的五元组阻断规则。
本发明实施例中,预置的五元组阻断规则可以为控制终端根据局域网内部的安全需求和/或用户终端的实际状态确定的阻断规则。在本发明的一种可选实施例中,上述安全需求可用于确定需要阻断的至少一项五元组信息;例如,在局域网中某个数据库涉及敏感数据,需要被保护,则可以将该数据库对应服务器的IP地址1所属的网段作为上述五元组阻断规则中目的IP地址所属的网段,或者,可以将该数据库对应服务器的端口1作为上述五元组阻断规则中目的端口。
在本发明的另一种可选实施例中,上述用户终端的实际状态可以依据用户终端对应的用户权限来确定。例如,虽然上述数据库涉及敏感数据,但是用户A具有管理员权限,而用户B仅具有普通权限,故用户A可以访问上述数据库,而用户B不可用访问数据库;因此,用户A的五元组阻断规则中可以不包括上述数据库对应服务器的IP地址1,这样,当用户A发出以上述IP地址1为目的IP的数据包时,用户A的用户终端可以放行该数据包;而针对上述而用户B的五元组阻断规则中则可以不包括上述数据库对应服务器的IP地址1,这样,当用户B发出以上述IP地址1为目的IP的数据包时,用户B的用户终端可以阻断该数据包。可以看出,不同的用户终端可以具有不同的五元组阻断规则。
在本发明的再一种可选实施例中,考虑到SNMP协议为用于进行网络管理的协议,而网络管理将容易导致数据的泄露,故可以将SNMP协议作为上述五元组阻断规则中的传输层协议。
以上对五元组阻断规则的预置过程进行了详细介绍,可以理解,上述预置过程只是作为可选实施例,而不理解为本发明实施例对于五元组阻断规则的预置过程的应用限制,实际上,控制终端的管理员可以根据局域网内部的安全需求和/或用户终端的实际状态预置对应的阻断规则,本发明实施例对于五元组阻断规则的具体预置过程不加以限制。
需要说明的是,本发明实施例的接入控制流程可由安全应用程序来执行,该安全应用程序可以定期向控制终端发送打点请求,而当一个周期内打点请求的次数超出请求阈值时,控制终端可以向用户终端下发对应的五元组阻断规则。在本发明的一种可选实施例中,在未接收到某用户终端的打点请求的情况下,控制终端可以认为该用户终端未安装该安全应用程序,故可以将该用户终端添加至过滤规则对应的白名单,以在交换机侧对该用户终端的数据包进行过滤,从而可以进一步提高局域网访问的安全性。
在本发明的一种可选实施例中,所述方法还可以包括:在所述五元组信息不符合预置的五元组阻断规则时,放行所述数据包。在所述五元组信息不符合预置的五元组阻断规则时,可以认为该数据包不容易引起局域网的安全隐患,因此可以放行该数据包。
综上,本发明实施例中上述五元组信息中传输层协议可以适用于HTTP、UDP、ARP、SNMP等任意传输层协议,因此相对于现有方案中RST协议仅适用于HTTP协议,本发明实施例能够增加数据包的适用范围。
并且,相对于现有方案一味地阻断或者放行用户终端接入网络、导致的安全性差和灵活性差的问题,本发明实施例可以依据安全需求,灵活地预置针对数据包的五元组阻断规则,例如,在某个网段对应服务器用于提供敏感数据时,可以依据该网段预置目的IP对应的五元组阻断规则,也即可以依据安全需求灵活地针对五元组信息中的至少一元信息预置对应的五元组阻断规则,因此本发明实施例能够提高接入控制的灵活性、以及能够提高局域网的安全性。
参照图2,示出了根据本发明一个实施例的一种接入控制方法的步骤流程图,应用于用户终端,具体可以包括如下步骤:
步骤201、监测到达网卡的数据包;
步骤202、对所述数据包进行解析,以得到对应的五元组信息;
步骤203、对所述用户终端进行基线检查;
步骤204、在基线检查结果符合预置的基线阻断规则、且所述五元组信息符合预置的五元组阻断规则时,阻断所述数据包;其中,所述预置的基线阻断规则和所述预置的五元组阻断规则可以为控制终端所提供。
相对于图1所示实施例,本实施例增加了用户终端的基线检查过程,其中,上述基线检查可用于表示对用户终端的检查,当基线检查结果符合预置的基线阻断规则时,可以说明用户终端的基线检查未通过,因此,需要结合数据包的安全隐患确定是否阻断该数据包。具体地,若数据包的五元组信息符合预置的五元组阻断规则,可以认为该数据包容易引起局域网的安全隐患,因此可以阻断该数据包。本实施例同时采用基线检查结果和数据包的安全隐患进行该数据包的接入控制,因此能够进一步提高局域网的安全性。
本发明实施例中,上述基线检查可以涉及应用、进程、组件、密码强度等检查项目的检查,上述检测项目也可以为控制终端所提供的项目。可选地,而当一个周期内打点请求的次数大于得分阈值时,控制终端可以向对应的用户终端下发对应的检查项目。
本发明实施例可以提供对所述用户终端进行基线检查的如下技术方案:
技术方案1
技术方案1中,所述对所述用户终端进行基线检查的步骤,具体可以包括:对所述用户终端上已安装应用、已运行应用、已运行服务、已运行进程、密码强度和已运行组件中的至少一项进行检测,以判断所述用户终端上是否存在所述控制终端提供的预置项目;
则所述基线检查结果符合预置的基线阻断规则,具体可以包括:所述单个预置项目或者预置项目的组合对应的规则。
在实际应用中,控制终端可以向用户终端提供包括有单个预置项目或者预置项目的组合的基线阻断规则,这样,当基线检查结果命中基线阻断规则时,可以认为用户终端的基线检查不通过。
在本发明的一种可选实施例中,所述预置项目具体可以包括如下项目中的至少一项:未安装反病毒应用、存在不符合第一预置条件的反病毒应用、存在被禁止的应用、及运行被禁止的应用和服务。
在本发明的一种应用示例1中,上述基线阻断规则具体可以包括:用户终端未安装预置杀毒应用,或者,用户终端已安装预置杀毒应用的版本号和病毒库不是最新的。在本发明的一种应用示例2中,上述基线阻断规则具体可以包括:用户终端上运行有远程控制应用。在本发明的一种应用示例3中,上述基线阻断规则具体可以包括:用户终端未开启防火墙组件。在本发明的一种应用示例4中,上述基线阻断规则具体可以包括:用户终端安装有QQ、IE代理等被禁止的应用。在本发明的一种应用示例5中,上述基线阻断规则具体可以包括:用户终端未开启防火墙组件。在本发明的一种应用示例6中,上述基线阻断规则具体可以包括:用户终端对应操作系统的登录密码强度不符合预置强度条件等。可以理解,控制终端的管理员可以根据实际安全需求,灵活地预置基线阻断规则,本发明实施例对于具体的基线阻断规则不加以限制。
技术方案2
技术方案2中,所述对所述用户终端进行基线检查的步骤,具体可以包括:对所述用户终端上的已安装应用、已运行应用、已运行服务、已运行进程、密码强度和已运行组件中的至少一项进行检测,以得到所述用户终端的得分;
则所述基线检查结果符合预置的基线阻断规则,包括:所述用户终端的得分小于得分阈值。
在本发明的一种应用示例中,用户终端的得分可以具有初始值M和当前值Mi,则在用户终端命中一项预置项目对应的减分规则,可以对Mi减去减分规则对应的分数。例如,在用户终端未安装预置杀毒应用时,可以减去10分,则当前值Mi可以为M-10;又如,在用户终端上运行有远程控制应用有,可以减去5分,则当前值Mi可以为M-15,在完成检测后得到的得分即为用户终端的最终得分。并且,本领域技术人员可以根据实际应用需求确定上述得分阈值,例如,当初始值M为100时,上述得分阈值可以为60等,可以理解,本发明实施例对于用户终端的得分的具体获取过程及对应的得分阈值不加以限制。
以上通过技术方案1-技术方案2对所述用户终端进行基线检查的过程进行了详细介绍,可以理解,本领域技术人员可以根据实际应用需求采用上述技术方案1-技术方案2中的任一或者组合,或者,还可以根据实际应用需求采用对所述用户终端进行基线检查的其他技术方案,本发明实施例对于对所述用户终端进行基线检查的具体技术方案不加以限制。
在本发明的一种可选实施例中,所述方法还可以包括:在基线检查结果不符合预置的基线阻断规则时,放行所述数据包。在基线检查结果不符合预置的基线阻断规则时,可以认为当前用户终端不存在安全隐患或者存在的安全隐患较小,因此可以放行当前的数据包。
综上,本实施例同时采用基线检查结果和数据包的安全隐患进行该数据包的接入控制,因此能够进一步提高局域网的安全性。
参照图3,示出了根据本发明一个实施例的一种接入控制方法的步骤流程图,具体可以包括如下步骤:
步骤301、用户终端按照预置周期,向控制终端发送打点请求;
步骤302、控制终端在用户终端在该预置周期内的打点请求次数超出请求阈值时,向该用户终端下发基线阻断规则和基线阻断规则;
步骤303、用户终端监测到达网卡的数据包;
步骤304、在监测到达网卡的数据包后,用户终端对用户终端进行基线检查;
步骤305、在基线检查结果不符合预置的基线阻断规则时,用户终端放行所述数据包;
步骤306、在基线检查结果符合预置的基线阻断规则时,用户终端对所述数据包进行解析,以得到对应的五元组信息;
步骤307、在基线检查结果符合预置的基线阻断规则、且所述五元组信息符合预置的五元组阻断规则时,用户终端阻断所述数据包;
步骤308、在基线检查结果符合预置的基线阻断规则、且所述五元组信息不符合预置的五元组阻断规则时,用户终端放行所述数据包。
需要说明的是,图3中用户终端侧的步骤可由用户终端上运行的安全应用程序执行。步骤306在基线检查结果符合预置的基线阻断规则时,用户终端对所述数据包进行解析只是作为可选实施例中,实际上,本发明实施例还可以在监测到达网卡的数据包后对数据包进行解析,也即,本发明实施例中对数据包进行解析于步骤304的执行顺序不加以限制。
在本发明的一种可选实施例中,在预置周期内未接收到某用户终端的打点请求的情况下,控制终端可以认为该用户终端未安装该安全应用程序;或者,在预置周期内接收到某用户终端的打点请求次数未超出请求阈值的情况下,控制终端可以认为该用户终端上安装的安全应用程序存在故障;上述两种情况下,控制终端均可以将该用户终端添加至过滤规则对应的白名单,以在交换机侧对该用户终端的数据包进行过滤,从而可以进一步提高局域网访问的安全性。
对于方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明实施例并不受所描述的动作顺序的限制,因为依据本发明实施例,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于可选实施例,所涉及的动作并不一定是本发明实施例所必须的。
参照图4,示出了根据本发明一个实施例的一种接入控制装置的结构框图,具体可以包括如下模块:
监测模块401,用于监测到达网卡的数据包;
解析模块402,用于对所述数据包进行解析,以得到对应的五元组信息;及
第一阻断模块403,用于在所述五元组信息符合预置的五元组阻断规则时,阻断所述数据包;其中,所述预置的五元组阻断规则为控制终端所提供。
在本发明的一种可选实施例中,所述五元组信息具体可以包括:源IP地址、源端口、目的IP、目的端口和传输层协议,则所述预置的五元组阻断规则具体可以包括:目的IP地址所属的网段、目的端口和传输层协议中至少一项对应的阻断规则。
在本发明的另一种可选实施例中,所述装置还可以包括:
基线检查模块,用于对所述用户终端进行基线检查;
第二阻断模块,用于在基线检查结果符合预置的基线阻断规则、且所述五元组信息符合预置的五元组阻断规则时,阻断所述数据包;其中,所述预置的基线阻断规则可以为控制终端所提供。
在本发明的再一种可选实施例中,所述基线检查模块,具体可以包括:
第一检测模块,用于对所述用户终端上的已安装应用、已运行应用、已运行服务、已运行进程、密码强度和已运行组件中的至少一项进行检测,以判断所述用户终端上是否存在所述控制终端提供的预置项目;
所述基线检查结果符合预置的基线阻断规则,具体可以包括:所述单个预置项目或者预置项目的组合对应的规则。
在本发明的又一种可选实施例中,所述基线检查模块,具体可以包括:
第二检测模块,用于对所述用户终端上的已安装应用、已运行应用、已运行服务、已运行进程、密码强度和已运行组件中的至少一项进行检测,以得到所述用户终端的得分;
所述基线检查结果符合预置的基线阻断规则,具体可以包括:所述用户终端的得分小于得分阈值。
在本发明的一种可选实施例中,所述预置项目具体可以包括如下项目中的至少一项:未安装防火墙组件、未安装反病毒应用、存在不符合第一预置条件的反病毒应用、存在被禁止的应用、及运行被禁止的应用、进程和服务。
在本发明的另一种可选实施例中,所述装置还可以包括:第一放行模块,用于在所述五元组信息不符合预置的五元组阻断规则时,放行所述数据包。
在本发明的再一种可选实施例中,所述装置还可以包括:第二放行模块,用于在基线检查结果不符合预置的基线阻断规则时,放行所述数据包。
在本发明的又一种可选实施例中,所述监测模块401,具体可以包括:抓取子模块,用于通过网卡驱动程序,从网络驱动程序接口规范NDIS中间层抓取到达网卡的数据包。
对于装置实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的接入控制方法和装置中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网平台上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包括”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
本发明公开了A1、一种接入控制方法,应用于用户终端,包括:
监测到达网卡的数据包;
对所述数据包进行解析,以得到对应的五元组信息;
在所述五元组信息符合预置的五元组阻断规则时,阻断所述数据包;其中,所述预置的五元组阻断规则为控制终端所提供。
A2、如A1所述的方法,所述五元组信息包括:源IP地址、源端口、目的IP、目的端口和传输层协议,则所述预置的五元组阻断规则包括:目的IP地址所属的网段、目的端口和传输层协议中至少一项对应的阻断规则。
A3、如A1所述的方法,所述方法还包括:
对所述用户终端进行基线检查;
在基线检查结果符合预置的基线阻断规则、且所述五元组信息符合预置的五元组阻断规则时,阻断所述数据包;其中,所述预置的基线阻断规则为控制终端所提供。
A4、如A3所述的方法,所述对所述用户终端进行基线检查的步骤,包括:
对所述用户终端上的已安装应用、已运行应用、已运行服务、已运行进程、密码强度和已运行组件中的至少一项进行检测,以判断所述用户终端上是否存在所述控制终端提供的预置项目;
所述基线检查结果符合预置的基线阻断规则,包括:所述单个预置项目或者预置项目的组合对应的规则。
A5、如A3所述的方法,所述对所述用户终端进行基线检查的步骤,包括:
对所述用户终端上的已安装应用、已运行应用、已运行服务、已运行进程、密码强度和已运行组件中的至少一项进行检测,以得到所述用户终端的得分;
所述基线检查结果符合预置的基线阻断规则,包括:所述用户终端的得分小于得分阈值。
A6、如A4所述的方法,所述预置项目包括如下项目中的至少一项:
未安装防火墙组件、未安装反病毒应用、存在不符合第一预置条件的反病毒应用、存在被禁止的应用、及运行被禁止的应用、进程和服务。
A7、如A1至A6中任一所述的方法,所述方法还包括:
在所述五元组信息不符合预置的五元组阻断规则时,放行所述数据包。
A8、如A1至A6中任一所述的方法,所述方法还包括:
在基线检查结果不符合预置的基线阻断规则时,放行所述数据包。
A9、如A1至A6中任一所述的方法,所述监测到达网卡的数据包的步骤,包括:
通过网卡驱动程序,从网络驱动程序接口规范NDIS中间层抓取到达网卡的数据包。
本发明公开了B10、一种接入控制装置,包括:
监测模块,用于监测到达网卡的数据包;
解析模块,用于对所述数据包进行解析,以得到对应的五元组信息;及
第一阻断模块,用于在所述五元组信息符合预置的五元组阻断规则时,阻断所述数据包;其中,所述预置的五元组阻断规则为控制终端所提供。
B11、如B10所述的装置,所述五元组信息包括:源IP地址、源端口、目的IP、目的端口和传输层协议,则所述预置的五元组阻断规则包括:目的IP地址所属的网段、目的端口和传输层协议中至少一项对应的阻断规则。
B12、如B10所述的装置,所述装置还包括:
基线检查模块,用于对所述用户终端进行基线检查;
第二阻断模块,用于在基线检查结果符合预置的基线阻断规则、且所述五元组信息符合预置的五元组阻断规则时,阻断所述数据包;其中,所述预置的基线阻断规则为控制终端所提供。
B13、如B12所述的装置,所述基线检查模块,包括:
第一检测模块,用于对所述用户终端上的已安装应用、已运行应用、已运行服务、已运行进程、密码强度和已运行组件中的至少一项进行检测,以判断所述用户终端上是否存在所述控制终端提供的预置项目;
所述基线检查结果符合预置的基线阻断规则,包括:所述单个预置项目或者预置项目的组合对应的规则。
B14、如B12所述的装置,所述基线检查模块,包括:
第二检测模块,用于对所述用户终端上的已安装应用、已运行应用、已运行服务、已运行进程、密码强度和已运行组件中的至少一项进行检测,以得到所述用户终端的得分;
所述基线检查结果符合预置的基线阻断规则,包括:所述用户终端的得分小于得分阈值。
B15、如B13所述的装置,所述预置项目包括如下项目中的至少一项:
未安装防火墙组件、未安装反病毒应用、存在不符合第一预置条件的反病毒应用、存在被禁止的应用、及运行被禁止的应用、进程和服务。
B16、如B10至B15中任一所述的装置,所述装置还包括:
第一放行模块,用于在所述五元组信息不符合预置的五元组阻断规则时,放行所述数据包。
B17、如B10至B15中任一所述的装置,所述装置还包括:
第二放行模块,用于在基线检查结果不符合预置的基线阻断规则时,放行所述数据包。
B18、如B10至B15中任一所述的装置,所述监测模块,包括:
抓取子模块,用于通过网卡驱动程序,从网络驱动程序接口规范NDIS中间层抓取到达网卡的数据包。
Claims (10)
1.一种接入控制方法,应用于用户终端,包括:
监测到达网卡的数据包;
对所述数据包进行解析,以得到对应的五元组信息;
在所述五元组信息符合预置的五元组阻断规则时,阻断所述数据包;其中,所述预置的五元组阻断规则为控制终端所提供。
2.如权利要求1所述的方法,其特征在于,所述五元组信息包括:源IP地址、源端口、目的IP、目的端口和传输层协议,则所述预置的五元组阻断规则包括:目的IP地址所属的网段、目的端口和传输层协议中至少一项对应的阻断规则。
3.如权利要求1所述的方法,其特征在于,所述方法还包括:
对所述用户终端进行基线检查;
在基线检查结果符合预置的基线阻断规则、且所述五元组信息符合预置的五元组阻断规则时,阻断所述数据包;其中,所述预置的基线阻断规则为控制终端所提供。
4.如权利要求3所述的方法,其特征在于,所述对所述用户终端进行基线检查的步骤,包括:
对所述用户终端上的已安装应用、已运行应用、已运行服务、已运行进程、密码强度和已运行组件中的至少一项进行检测,以判断所述用户终端上是否存在所述控制终端提供的预置项目;
所述基线检查结果符合预置的基线阻断规则,包括:所述单个预置项目或者预置项目的组合对应的规则。
5.如权利要求3所述的方法,其特征在于,所述对所述用户终端进行基线检查的步骤,包括:
对所述用户终端上的已安装应用、已运行应用、已运行服务、已运行进程、密码强度和已运行组件中的至少一项进行检测,以得到所述用户终端的得分;
所述基线检查结果符合预置的基线阻断规则,包括:所述用户终端的得分小于得分阈值。
6.如权利要求4所述的方法,其特征在于,所述预置项目包括如下项目中的至少一项:
未安装防火墙组件、未安装反病毒应用、存在不符合第一预置条件的反病毒应用、存在被禁止的应用、及运行被禁止的应用、进程和服务。
7.如权利要求1至6中任一所述的方法,其特征在于,所述方法还包括:
在所述五元组信息不符合预置的五元组阻断规则时,放行所述数据包。
8.如权利要求1至6中任一所述的方法,其特征在于,所述方法还包括:
在基线检查结果不符合预置的基线阻断规则时,放行所述数据包。
9.如权利要求1至6中任一所述的方法,其特征在于,所述监测到达网卡的数据包的步骤,包括:
通过网卡驱动程序,从网络驱动程序接口规范NDIS中间层抓取到达网卡的数据包。
10.一种接入控制装置,包括:
监测模块,用于监测到达网卡的数据包;
解析模块,用于对所述数据包进行解析,以得到对应的五元组信息;及
第一阻断模块,用于在所述五元组信息符合预置的五元组阻断规则时,阻断所述数据包;其中,所述预置的五元组阻断规则为控制终端所提供。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510983020.XA CN105407106A (zh) | 2015-12-23 | 2015-12-23 | 一种接入控制方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510983020.XA CN105407106A (zh) | 2015-12-23 | 2015-12-23 | 一种接入控制方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105407106A true CN105407106A (zh) | 2016-03-16 |
Family
ID=55472358
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510983020.XA Pending CN105407106A (zh) | 2015-12-23 | 2015-12-23 | 一种接入控制方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105407106A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106529226A (zh) * | 2016-10-27 | 2017-03-22 | 东软集团股份有限公司 | 数据跟踪方法和装置 |
| CN107395655A (zh) * | 2017-09-15 | 2017-11-24 | 郑州云海信息技术有限公司 | 一种使用黑名单控制网络访问的系统和方法 |
| CN109032866A (zh) * | 2018-07-25 | 2018-12-18 | 太仓市同维电子有限公司 | 一种多网卡测试同网段产品的多机测试方法 |
| CN109937592A (zh) * | 2016-11-11 | 2019-06-25 | 高通股份有限公司 | 在连接模式、空闲模式和非活动状态下的接入控制 |
| CN111416824A (zh) * | 2020-03-23 | 2020-07-14 | 阳光凯讯(北京)科技有限公司 | 一种网络接入认证控制系统 |
| CN112565297A (zh) * | 2020-12-24 | 2021-03-26 | 杭州迪普科技股份有限公司 | 一种报文控制方法及装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101052046A (zh) * | 2007-05-22 | 2007-10-10 | 网御神州科技(北京)有限公司 | 一种用于防火墙的防病毒方法及装置 |
| CN102594814A (zh) * | 2012-02-10 | 2012-07-18 | 福建升腾资讯有限公司 | 基于端末的网络访问控制系统 |
| CN102694672A (zh) * | 2011-03-24 | 2012-09-26 | 华为技术有限公司 | 虚拟机参数迁移的方法、设备和虚拟机服务器 |
-
2015
- 2015-12-23 CN CN201510983020.XA patent/CN105407106A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101052046A (zh) * | 2007-05-22 | 2007-10-10 | 网御神州科技(北京)有限公司 | 一种用于防火墙的防病毒方法及装置 |
| CN102694672A (zh) * | 2011-03-24 | 2012-09-26 | 华为技术有限公司 | 虚拟机参数迁移的方法、设备和虚拟机服务器 |
| US20140007100A1 (en) * | 2011-03-24 | 2014-01-02 | Huawei Technologies Co., Ltd | Method and Apparatus for Migrating Virtual Machine Parameters and Virtual Machine Server |
| CN102594814A (zh) * | 2012-02-10 | 2012-07-18 | 福建升腾资讯有限公司 | 基于端末的网络访问控制系统 |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106529226A (zh) * | 2016-10-27 | 2017-03-22 | 东软集团股份有限公司 | 数据跟踪方法和装置 |
| CN106529226B (zh) * | 2016-10-27 | 2019-04-12 | 东软集团股份有限公司 | 数据跟踪方法和装置 |
| CN109937592A (zh) * | 2016-11-11 | 2019-06-25 | 高通股份有限公司 | 在连接模式、空闲模式和非活动状态下的接入控制 |
| US11240733B2 (en) | 2016-11-11 | 2022-02-01 | Qualcomm Incorporated | Access control in connected mode, idle mode, and inactive state |
| CN109937592B (zh) * | 2016-11-11 | 2022-04-26 | 高通股份有限公司 | 在连接模式、空闲模式和非活动状态下的接入控制 |
| CN107395655A (zh) * | 2017-09-15 | 2017-11-24 | 郑州云海信息技术有限公司 | 一种使用黑名单控制网络访问的系统和方法 |
| CN109032866A (zh) * | 2018-07-25 | 2018-12-18 | 太仓市同维电子有限公司 | 一种多网卡测试同网段产品的多机测试方法 |
| CN111416824A (zh) * | 2020-03-23 | 2020-07-14 | 阳光凯讯(北京)科技有限公司 | 一种网络接入认证控制系统 |
| CN112565297A (zh) * | 2020-12-24 | 2021-03-26 | 杭州迪普科技股份有限公司 | 一种报文控制方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20220035930A1 (en) | System and method for identifying network security threats and assessing network security | |
| CN105407106A (zh) | 一种接入控制方法和装置 | |
| US10826928B2 (en) | System and method for simulating network security threats and assessing network security | |
| Le et al. | DoubleGuard: Detecting intrusions in multitier web applications | |
| US7941856B2 (en) | Systems and methods for testing and evaluating an intrusion detection system | |
| US8997236B2 (en) | System, method and computer readable medium for evaluating a security characteristic | |
| WO2020210538A1 (en) | Systems and methods for detecting injection exploits | |
| CN107872456A (zh) | 网络入侵防御方法、装置、系统及计算机可读存储介质 | |
| US20060037077A1 (en) | Network intrusion detection system having application inspection and anomaly detection characteristics | |
| US20180063191A1 (en) | System and method for using a virtual honeypot in an industrial automation system and cloud connector | |
| KR20160110913A (ko) | 클라우드 서비스 보안 브로커 및 프록시 | |
| Bodenheim | Impact of the Shodan computer search engine on internet-facing industrial control system devices | |
| CN104767748A (zh) | Opc服务器安全防护系统 | |
| US20220027456A1 (en) | Rasp-based implementation using a security manager | |
| Arul et al. | Supervised deep learning vector quantization to detect MemCached DDOS malware attack on cloud | |
| Johnson et al. | Soar4der: Security orchestration, automation, and response for distributed energy resources | |
| Carcano et al. | Scada malware, a proof of concept | |
| Dutta et al. | Intrusion detection systems fundamentals | |
| CN106856478A (zh) | 一种基于局域网的安全检测方法和装置 | |
| Pranggono et al. | Intrusion detection systems for critical infrastructure | |
| Xu et al. | Identification of ICS Security Risks toward the Analysis of Packet Interaction Characteristics Using State Sequence Matching Based on SF‐FSM | |
| Trisolino | Analysis of Security Configuration for IDS/IPS | |
| Kailanya et al. | Dynamic deep stateful firewall packet analysis model | |
| Whyte | Using a systems-theoretic approach to analyze cyber attacks on cyber-physical systems | |
| Wattanapongsakorn et al. | A network-based internet worm intrusion detection and prevention system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20160316 |