专利名称:一种网络行为管理系统及方法
技术领域:
本发明涉及计算机互联网技术领域,尤其涉及一种网络行为管理系统及方法。
背景技术:
随着网络技术的快速发展,企业内部网络日益庞大,网络拓扑结构越来越复 杂,网络的保密性和安全性越发显得重要。与此同时,越来越多的企业对网络管理的精 细化需求逐渐强烈,如需要控制员工在上班时间玩网络游戏、炒股、观看在线视频等。现有的网络安全技术有IDS、IPS等。IDS (Intrusion Detection System,入侵检测 系统)是在网络攻防抵抗环境中实现的网络入侵检测预警评估及响应的控制系统。基于 旁路检测的IDS通过连接在网络上的站点来捕获网络上的数据包,并分析其是否具有已 知的攻击模式,以此来判定是否为入侵者,当发现有可疑现象时就会产生告警。IDS侦 测速度快、占用资源少,但IDS控制性较差,且具有滞后性,处理效率也较低。IPS (Intrusion Prevention System,入侵防御系统)是一种能够监视网络资料传输 行为的计算机网络安全系统,其能够即时中断、调整及隔离一些不正常或是具有伤害性 的网络资料传输行为。目前,IPS产品能够提供网络层以上的入侵和攻击审查检测。然 而,由于IPS需要对数据包进行缓存后再进行处理,因此IPS延迟大,性能很差。ICG是北京网康科技有限公司推出的一款专业的上网行为管理产品,是面向企 业用户的软硬件一体化的控制管理网关,其能够提供强大的网络管理功能。然而如果直接将ICG产品的审计模块部分串接到传输数据包的数据通路中,则 由于ICG处理过多事务(处理整个通路中的数据),将会导致处理速度缓慢,使得ICG产 品所接入的客户网络规模有太大限制。如果将ICG产品作为旁路并联至数据通路中,则 ICG审计模块在审计某一数据包时,该数据包已经离开ICG产品系统,即使得出数据包 非法,也不能有针对性的阻塞该数据包。因此,此种方式控制效果很差。
发明内容
本发明提供了一种能解决以上问题的网络行为管理系统及方法。在第一方面,本发明提供了一种网络行为管理系统。该系统包括审计模块、策 略模块和延迟及控制模块。该策略模块用于根据其内置策略实时检测流经该策略模块的 数据包,并且复制符合该内置策略的数据包至该审计模块,且将该符合内置策略的数据 包发送至该延迟及控制模块。该审计模块用于对所述复制的数据包进行应用层内容审 计,以审计该数据包是否为非法数据包,并将该审计结果发送至该延迟及控制模块。该 延迟及控制模块用于对所述来自该策略模块的数据包进行延迟处理,并基于来自审计模 块的审计结果对该被延迟数据包进行控制和处理。在第二方面,本发明提供了一种网络行为管理方法。该方法首先实时检测网 络中的数据包,并复制符合特定策略的数据包,然后再将该符合特定策略数据包进行延 时处理。再对所述复制数据包进行应用层内容审计,以审计处该数据包是否为非法数据包。最后基于所述审计结果,对所述符合特定策略数据包进行控制和处理。本发明能够根据用户需求智能地判定何种数据包需要延迟,并对此种数据包做 应用层内容审计,从而决定是否需要阻止该被延迟数据包。本发明不仅能够为企业内网 提供精细化的管理,而且此种网络行为管理方法处理事务效率极高,且在控制效果和性 能上有着极为显著的提高。
下面将参照附图对 本发明的具体实施方案进行更详细的说明,在附图中图1是本发明一个实施例的网络行为管理系统框图;图2是本发明另一个实施例的网络行为管理系统框图;图3是本发明一个实施例的多个CPU与多个延迟队列一一对应的关系示意图;图4是本发明一个实施例的网络行为管理流程图。
具体实施例方式图1是本发明一个实施例的网络行为管理系统框图。该系统包括ICG审计模块 110、策略模块120、延迟及控制模块130。图1中,策略模块120位于数据通路上,其用于控制经过该策略模块120的数据 包是直接通过该数据通路还是通过该延迟及控制模块130进行延迟处理。其中,该数据 通路是传输网络中数据包的一条通路。具体地,该策略模块120根据其内置策略允许一部分数据包通过该数据通路, 而阻止或暂时阻止另一部分数据包通过该数据通路,且将此部分数据包(被阻止或被暂 时阻止的数据包)发送至该控制模块130。该控制模块130首先对此部分数据包(被阻止 或被暂时阻止的数据包)进行延迟处理,然后再基于该ICG审计模块110的审计结果,对 此部分数据包做控制和处理。其中,该策略模块120中内置策略为IP地址方式,和/或 网卡端口方式,和/或应用类型方式。例如,IP地址从0.0.0.1到0.0.0.10的所有终端发 送的数据包均需要经过该延迟及控制模块130进行延迟处理,而其他数据包则直接通过 该数据通路。又如,网卡端口从1到10的所有终端发送的数据包均需要经过该延迟及控 制模块130进行延迟处理,而其他数据包则直接通过该数据通路。还如,应用类型为论 坛发帖的所有数据包均需要经过该延迟及控制模块130进行延迟处理,而其他应用类型 数据包则直接通过该数据通路。该应用类型种类有多种,如访问非法网站类、炒股类、 观看在线视频类、网络聊天类、收发电子邮件类、论坛发帖类、玩网络游戏类等。由于数据包本身就携带IP地址、网卡端口号,因此,该策略模块120可以直接 识别出每一数据包的IP地址、网卡端口号。然而,任何数据包中都不直接携带该数据包 的应用类型,基于此种情况,图2给出了具体解决方案。图2是本发明另一个实施例的网 络行为管理系统框图。该图2是在图1基础上,增加了一个DPI设备,该DPI设备(深 度包检测设备)用于确定经过其数据包的应用类型。需要说明的是,策略模块120中的内置策略不限于以上所述几种方式,即可以 是除IP地址方式、网卡端口方式、应用类型方式以外的任何一种策略。较佳地,该策略模块120的内置策略由ICG审计模块110来配置,即该ICG审计模块110具有配置该策略模块120内置策略的功能。此外,该策略模块120还可以用于实时检测网络环境,具有异常状况处理机 制。举例如,该策略模块120可以实时检测系统中各CPU负载情况,检测网络流量,检 测ICG审计模块110是否正常工作等。因此,该ICG审计模块110还可以配置该策略模块120所检测网络环境的具体功 能,如配置该ICG审计模块110是否需要具有检测网络中CPU负载情况的功能,是否需 要具有检测网络流量的功能,是否需 要具有检测该ICG审计模块的功能等。该ICG审计模块110不仅可以配置该策略模块120所具有功能,而且还可以关闭 该策略模块120。在关闭该策略模块120后,该策略模块120无任何功能,即其不对数据 通路上的任何数据包做处理或控制,而是直接将所有数据包放行。该ICG审计模块110除了可以用于配置该策略模块120所具有功能之外,还用于 从该策略模块120中复制经由该策略模块120的且符合其内置策略的数据包,并对该数据 包进行应用层内容审计。即该ICG审计模块110是一个应用层内容审计模块,其能够审 计出数据包应用层内容。具体地,该ICG审计模块110能够识别出用户是否访问非法网站,用户是否在炒 股、观看视频、上网聊天,且能够审查出用户收发电子邮件中的邮件内容、用户通过聊 天工作进行聊天的内容、用户在论坛上发帖的内容等应用层信息。因此,用户可以通过 向该ICG审计模块110中设置何种类型数据包为非法数据包,即何种网络活动为非法网络 活动,以完成对企业内网的精细化管理。举例如,用户可以设置玩网络游戏、观看在线 视频为非法网络活动,从而提高员工工作效率。该延迟及控制模块130用于接收来自策略模块120的数据包,并对该数据包进行 延迟处理,并且基于来自ICG审计模块110对该数据包所作出的审计结果,对该数据包进 行控制和处理。且该控制和处理结果有多种,举例如,一种是放行该数据包,即将该数 据包发送至数据通路后继续传输;另一种是阻止该数据包,或直接丢弃该数据包;还有 一种是修改数据包内容,如修改数据包内容为提示信息内容,而不是原本网页内容,然 后再将该修改后的数据包发送至请求方;再有一种是对数据包所属连接进行控制,如控 制TCP连接。该延迟及控制模块130对数据包所作出的控制和处理有多种,在此不一一 列举。若系统中仅有一个CPU(处理器),则该延迟及控制模块130中的延迟队列数量 为1个。并且该延迟及控制模块130对数据包进行延迟处理的方式为,首先接收该数据 包;然后将该数据包放入到该延迟队列中,并对该数据包进行延迟处理;最后再将该数 据包从该延迟队列中发送出去。若系统中的CPU数量为多个,则该延迟及控制模块130中的延迟队列数量也是 多个,且该延迟队列数量也该CPU数量相同,并且延迟队列与CPU是一一对应的,参见 图3。图3是本发明一个实施例的多个CPU与多个延迟队列一一对应的关系示意图。 图3中,CPU_1与延迟队列_1相对应,CPU_2与延迟队列_2相对应,......,CPU_n与
延迟队列_11相对应。也就是说,CPU_1处理的数据包通过该延迟及控制模块130时,该 延迟及控制模块130将其放入到延迟队列_1进行延迟处理;同样,CPU_2处理的数据包通过该延迟及控制模块130时,该延迟及控制模块130将该数据包放入到延迟队列_2中 进行延迟处理;......;理的数据包通过该延迟及控制模块130时,该延迟及控制
模块130将该数据包放入到延迟队列_n中进行延迟处理。因此,此种CPU与延迟队列 一一对应的方式,不需要同步,避免了竞争,提高了系统性能。较佳地,该延迟及控制模块130中延迟队列数量可根据系统CPU数量子适应配置。图4是本发明一个实施例的网络行为管理流程图。在步骤410,策略模块120依据ICG审计模块110的配置策略,实时检测经过该 策略模块120的数据包。在步骤420,一旦检测到有数据包符合该策略模块120的内置策略,则该策略模 块120复制该数据包,再将该复制的数据包存储起来,然后通知该ICG审计模块110来取 该复制的数据包,或者该ICG审计模块定期到该策略模块120中获取该复制数据包。然 后,该策略模块120再将该数据包发送至该延迟及控制模块130。举例如,该策略模块120中的内置策略为IP地址为0.0.0.1的终端所发送数据包 需要经过该延迟及控制模块130进行延迟处理,则该策略模块120实时检测经过其数据 包所属终端IP地址是否为0.0.0.1,如果是,则复制该数据包,并将该复制数据包存储起 来,然后再将该数据包发送至该延迟及控制模块130。在步骤430,该ICG审计模块110获取到该复制数据包之后,对该数据包进行应 用层内容审计,识别出该数据包是否为非法数据包,然后再将该识别结果发送至该延迟 及控制模块130。举例如,若用户在ICG审计模块110中设置玩网络游戏为非法网络活动,且该 ICG审计模块110审计出该数据包也为玩网络游戏数据包时,则判定出该数据包为非法数 据包,并将该数据包是非法数据包这一审计结果发送至该延迟及控制模块130。在步骤440,该延迟及控制模块130接收来自该策略模块110的数据包,并对该 数据包进行延迟处理,如延迟一毫秒,在此期间内该延迟及控制模块130等待接收该ICG 审计模块110的审计结果,并在接收到该ICG审计模块120的审计结果后,即在得到该数 据包是否为非法数据包这一结果后,根据该结果对该数据包进行处理。一个例子中,该延迟及控制模块130通过延迟队列方式对数据包进行延迟处 理。另一个例子中,该延迟时间可以由用户自行配置。此外,若该延迟及控制模块130在延迟时间内(如一毫秒)并未收到该ICG审计 模块110的审计结果,即若该ICG审计模块110审计数据包所需时间超过系统设定的延迟 时间,则该延迟及控制模块130直接将该数据包发送至该数据通路,以防止其影响网络 速度。在步骤441,如果该延迟及控制模块130接收到来自该ICG审计模块110的审计 结果为该数据包是非法数据包,则该延迟及控制模块130阻止该数据包的传输,或丢弃 该数据包,或者断开该数据包所属连接。在步骤442,如果该延迟及控制模块130接收到来自该ICG审计模块110的审计 结果为该数据包是合法数据包,则该延迟及控制模块130放行该数据包,即其将该数据 包发送至该数据通路继续传输。
需要说明的是,对数据包进行应用层审计不限于采用ICG设备,即可以采用任 意一种能够审计应用层数据包的设备。显而易见,在不偏离本发明的 真实精神和范围的前提下,在此描述的本发明可 以有许多变化。因此,所有对于本领域技术人员来说显而易见的改变,都应包括在本 权利要求书所涵盖的范围之内。本发明所要求保护的范围仅由所述的权利要求书进行限定。
权利要求
1.一种网络行为管理系统,其特征在于,包括审计模块(110)、策略模块(120)、延 迟及控制模块(130);该策略模块(120)用于根据其内置策略实时检测流经该策略模块的数据包,并且 复制符合该内置策略的数据包,且将该符合内置策略的数据包发送至该延迟及控制模块 (130);该审计模块(110)用于对所述复制的数据包进行应用层内容审计,以审计该数据包 是否为非法数据包,并将该审计结果发送至该延迟及控制模块(130);该延迟及控制模块(130)用于对所述来自该策略模块(120)的数据包进行延迟处 理, 并基于来自审计模块(110)的审计结果对该被延迟数据包进行控制和处理。
2.如权利要求1所述的一种网络行为管理系统,其特征在于,所述策略模块(120)将 不符合其内置策略的数据包直接通过数据通路传输出去。
3.如权利要求1所述的一种网络行为管理系统,其特征在于,所述策略模块(120)中 内置策略为IP地址方式,和/或网卡端口方式,和/或应用类型方式。
4.如权利要求3所述的一种网络行为管理系统,其特征在于,所述应用类型包括访问 非法网站类、炒股类、观看在线视频类、网络聊天类、收发电子邮件类、论坛发帖类、 玩网络游戏类中的一个或多个。
5.如权利要求3或4所述的一种网络行为管理系统,其特征在于,通过DPI设备来确 定数据包的应用类型。
6.如权利要求1所述的一种网络行为管理系统,其特征在于,所述策略模块(120)的 内置策略由审计模块(110)来配置。
7.如权利要求1所述的一种网络行为管理系统,其特征在于,所述审计模块(110)为 ICG审计设备。
8.如权利要求1所述的一种网络行为管理系统,其特征在于,所述延迟及控制模块 (130)采用延迟队列方式对其接收到的数据包进行延迟处理。
9.如权利要求1所述的一种网络行为管理系统,其特征在于,所述延迟及控制模块 (130)在接收到该数据包为合法数据包这一审计结果后,将该数据包发送至数据通路中继 续传输。
10.如权利要求1所述的一种网络行为管理系统,其特征在于,所述延迟及控制模块 (130)在接收到该数据包为非法数据包这一审计结果后,阻止该非法数据包传输,或者丢 弃该非法数据包,或者断开该非法数据包所属连接。
11.如权利要求1所述的一种网络行为管理系统,其特征在于,该系统包括多个 CPU,该延迟及控制模块(130)包括多个延迟队列;并且其每一延迟队列均与该多核 CPU中每一 CPU——对应。
12.—种网络行为管理方法,其特征在于,包括实时检测网络中的数据包,并复制符合特定策略的数据包,然后再将该符合特定策 略数据包进行延时处理;然后对所述复制数据包进行应用层内容审计,以审计处该数据包是否为非法数据包;最后基于所述审计结果,对所述符合特定策略数据包进行控制和处理。
13.如权利要求12所述的一种网络行为管理方法,其特征在于,在所述审计结果为该 数据包为合法数据包情况下,放行该数据包。
14.如权利要求12所述的一种网络行为管理方法,其特征在于,在所述审计结果为该 数据包为非法数据包情况下,阻止该数据包的传输,或者丢弃该数据包,或者断开该数 据包所属连接。
15.如权利要求12所述的一种网络行为管理方法,其特征在于,在所述数据包的延迟 时间内,并未得到所述审计结果情况下,放行该数据包。
全文摘要
本发明涉及一种网络行为管理系统及方法。本发明包括审计模块、策略模块、延迟及控制模块。该策略模块用于根据其内置策略实时检测流经该策略模块的数据包,并且复制符合该内置策略的数据包,且将该符合内置策略的数据包发送至该延迟及控制模块。该审计模块用于对所述复制的数据包进行应用层内容审计,以审计该数据包是否为非法数据包,并将该审计结果发送至该延迟及控制模块。该延迟及控制模块用于对来自该策略模块的数据包进行延迟处理,并基于来自审计模块的审计结果对该被延迟数据包进行控制和处理。本发明控制效果佳、性能较高,且能够广泛应用于企业内部网络中。
文档编号H04L12/24GK102014010SQ20101061746
公开日2011年4月13日 申请日期2010年12月31日 优先权日2010年12月31日
发明者张瑞娟, 杨东晓 申请人:北京网康科技有限公司