radius连接,获取外部服务器中推送的标记了网络异常的用户标识。
[0051]步骤203,对用户标识标记与网络行为异常相匹配的动态属性。
[0052]将用户预设设置的动态属性与网络行为异常进行逐一匹配,若匹配成功,则在用户标识上标记上相应的动态属性。例如,动态属性为恶意下载,而用户标识对应的网络行为异常为网络下载流量大于2M/S,则将该用户标识标记为恶意下载。
[0053]步骤205,获取用户标识的动态属性。
[0054]步骤207,根据预设的动态属性与网络管控方式的映射关系,获取用户标识的动态属性所对应的网络管控方式。
[0055]步骤209,对用户标识对应的网络行为执行网络管控方式。
[0056]在一个实施例中,在步骤203,对用户标识标记与网络行为异常相匹配的动态属性之后,该方法还包括:判断网络行为异常是否消失,若是,则清除对用户标识标记的与网络行为异常相匹配的动态属性。
[0057]本实施例中,动态属性是动态变化的,对用户标识标记了动态属性后,进一步的,监控用户标识对应的网络行为异常是否消失,若是,则表示该用户的网络行为恢复正常了,为了防止对网络行为正常的用户进行网络管控,进一步的,清除掉用户标识对应的动态属性。
[0058]在一个实施例中,本发明提供的网络管控方法还包括:获取执行网络管控方式对应的管控时间。判断管控时间是否达到预设阈值,若是,则进一步判断用户标识的动态属性是否存在,若户标识的动态属性未存在,则解除对用户标识对应网络行为执行的网络管控方式。
[0059]当网络行为异常消失后,则可以取消对网络行为的管控。例如,用户设置动态属性为恶意下载的网络管控方式为:限制下载流量为100kb/S,管控时间为10分钟。当管控时间达到10分钟后,若下载流量已经小于100kb/S时,此时取消对网络行为的管控。为了能对网络管控对象配置网络管控策略更灵活,预先设置多个管控组,将类型相同的网络管控对象分配至同一个管控组,用户还可以自定义管控组,并为自定义的管控组分配网络管控对象(用户标识)。用户可以预先选择适用网络管控方式的管控组。在对用户标识对应的网络行为执行网络管控方式之前,判断用户标识是否属于适用该网络管控方式的管控组,若否,则不执行网络管控方式,若是,则执行网络管控方式。
[0060]例如,在一个公司的局域网内,可以在安全网关中将管控组分为:市场部、流程部以及研发部三个管控组。若用户选择适用网络管控方式的为研发部的管控组,则只有研发部的用户才会受到网络管控,其它部门的用户则不会受到网络管控。
[0061]如图3所示,在一个实施例中,提供的一种网络管控装置,该装置包括如下模块:
[0062]属性获取模块32,用于获取用户标识的动态属性。
[0063]方式获取模块34,用于根据预设的动态属性与网络管控方式的映射关系,获取用户标识的动态属性所对应的网络管控方式。在一个实施例中,网络管控方式包括但不限于以下至少一种:应用管控、权限管控、流量限制以及上网审计。
[0064]网络管控模块36,用于对用户标识对应的网络行为执行网络管控方式。
[0065]如图4所示,在一个实施例中,提供的一种网络管控装置还包括如下模块:
[0066]标识获取模块30,用于获取网络行为异常的用户标识。
[0067]属性标记模块31,用于对用户标识标记与网络行为异常相匹配的动态属性。
[0068]如图5所示,在一个实施例中,网络管控装置还包括:
[0069]属性消除模块33,用于判断网络行为异常是否消失,若是,则清除对用户标识标记的与网络行为异常相匹配的动态属性。
[0070]如图6所示,在一个实施例中,网络管控装置还包括:
[0071]时间获取模块37,用于获取执行网络管控方式对应的管控时间;
[0072]管控解除模块38,用于判断管控时间是否达到预设阈值,若是,则进一步判断用户标识的动态属性是否存在,若否,则解除对用户标识对应网络行为执行的网络管控方式。
[0073]在一个实施例中,网络管控方式包括但不限于以下至少一种:应用管控、权限管控、流量限制以及上网审计。
[0074]以上实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
【主权项】
1.一种网络管控方法,所述方法包括: 获取用户标识的动态属性; 根据预设的动态属性与网络管控方式的映射关系,获取所述用户标识的动态属性所对应的网络管控方式; 对所述用户标识对应的网络行为执行所述网络管控方式。
2.根据权利要求1所述的方法,其特征在于,所述获取用户标识的动态属性的步骤之前,所述方法还包括: 获取网络行为异常的用户标识; 对所述用户标识标记与所述网络行为异常相匹配的动态属性。
3.根据权利要求2所述的方法,其特征在于,所述对所述用户标识标记与所述网络行为异常相匹配的动态属性的步骤之后,所述方法还包括: 判断所述网络行为异常是否消失,若是,则清除对用户标识标记的与网络行为异常相匹配的动态属性。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括: 获取执行所述网络管控方式对应的管控时间; 判断所述管控时间是否达到预设阈值,若是, 则进一步判断用户标识的动态属性是否存在,若否,则解除对所述用户标识对应网络行为执行的网络管控方式。
5.根据权利要求1至4任一项所述的方法,其特征在于,所述网络管控方式包括以下至少一种:应用管控、权限管控、流量限制以及上网审计。
6.一种网络管控装置,其特征在于,所述装置包括: 属性获取模块,用于获取用户标识的动态属性; 方式获取模块,用于根据预设的动态属性与网络管控方式的映射关系,获取所述用户标识的动态属性所对应的网络管控方式; 网络管控模块,用于对所述用户标识对应的网络行为执行所述网络管控方式。
7.根据权利要求6所述的装置,其特征在于,所述装置还包括: 标识获取模块,用于获取网络行为异常的用户标识; 属性标记模块,用于对所述用户标识标记与所述网络行为异常相匹配的动态属性。
8.根据权利要求7所述的装置,其特征在于,所述装置还包括: 属性消除模块,用于判断所述网络行为异常是否消失,若是,则清除对用户标识标记的与网络行为异常相匹配的动态属性。
9.根据权利要求8所述的装置,其特征在于,所述装置还包括: 时间获取模块,用于获取执行所述网络管控方式对应的管控时间; 管控解除模块,用于判断所述管控时间是否达到预设阈值,若是,则进一步判断用户标识的动态属性是否存在,若否,则解除对所述用户标识对应网络行为执行的网络管控方式。
10.根据权利要求6至9任一项所述的装置,其特征在于,所述网络管控方式包括以下至少一种:应用管控、权限管控、流量限制以及上网审计。
【专利摘要】本发明提供了一种网络管控方法和装置,其中,所述方法包括:获取用户标识的动态属性;根据预设的动态属性与网络管控方式的映射关系,获取所述用户标识的动态属性所对应的网络管控方式;对所述用户标识对应的网络行为执行所述网络管控方式。上述方法和装置在固定的维度上增加了动态属性的维度,使得用户可以更灵活的指定网络管控策略,相比传统固定维度的网络管控方式,提高了网络管控能力。
【IPC分类】H04L12-24, H04L29-06
【公开号】CN104821893
【申请号】CN201510172536
【发明人】张武健, 何朝曦
【申请人】深圳市深信服电子科技有限公司
【公开日】2015年8月5日
【申请日】2015年4月13日