中一项预置项目对应的减分规则,可以对Mi减去减分规则对应的分数。例如,在用户终端未安装预置杀毒应用时,可以减去10分,则当前值Mi可以为M-10 ;又如,在用户终端上运行有远程控制应用有,可以减去5分,则当前值Mi可以为M-15,在完成检测后得到的得分即为用户终端的最终得分。并且,本领域技术人员可以根据实际应用需求确定上述得分阈值,例如,当初始值Μ为100时,上述得分阈值可以为60等,可以理解,本发明实施例对于用户终端的得分的具体获取过程及对应的得分阈值不加以限制。
[0082]以上通过技术方案1-技术方案2对所述用户终端进行基线检查的过程进行了详细介绍,可以理解,本领域技术人员可以根据实际应用需求采用上述技术方案1-技术方案2中的任一或者组合,或者,还可以根据实际应用需求采用对所述用户终端进行基线检查的其他技术方案,本发明实施例对于对所述用户终端进行基线检查的具体技术方案不加以限制。
[0083]在本发明的一种可选实施例中,所述方法还可以包括:在基线检查结果不符合预置的基线阻断规则时,放行所述数据包。在基线检查结果不符合预置的基线阻断规则时,可以认为当前用户终端不存在安全隐患或者存在的安全隐患较小,因此可以放行当前的数据包。
[0084]综上,本实施例同时采用基线检查结果和数据包的安全隐患进行该数据包的接入控制,因此能够进一步提尚局域网的安全性。
[0085]参照图3,示出了根据本发明一个实施例的一种接入控制方法的步骤流程图,具体可以包括如下步骤:
[0086]步骤301、用户终端按照预置周期,向控制终端发送打点请求;
[0087]步骤302、控制终端在用户终端在该预置周期内的打点请求次数超出请求阈值时,向该用户终端下发基线阻断规则和基线阻断规则;
[0088]步骤303、用户终端监测到达网卡的数据包;
[0089]步骤304、在监测到达网卡的数据包后,用户终端对用户终端进行基线检查;
[0090]步骤305、在基线检查结果不符合预置的基线阻断规则时,用户终端放行所述数据包;
[0091]步骤306、在基线检查结果符合预置的基线阻断规则时,用户终端对所述数据包进行解析,以得到对应的五元组信息;
[0092]步骤307、在基线检查结果符合预置的基线阻断规则、且所述五元组信息符合预置的五元组阻断规则时,用户终端阻断所述数据包;
[0093]步骤308、在基线检查结果符合预置的基线阻断规则、且所述五元组信息不符合预置的五元组阻断规则时,用户终端放行所述数据包。
[0094]需要说明的是,图3中用户终端侧的步骤可由用户终端上运行的安全应用程序执行。步骤306在基线检查结果符合预置的基线阻断规则时,用户终端对所述数据包进行解析只是作为可选实施例中,实际上,本发明实施例还可以在监测到达网卡的数据包后对数据包进行解析,也即,本发明实施例中对数据包进行解析于步骤304的执行顺序不加以限制。
[0095]在本发明的一种可选实施例中,在预置周期内未接收到某用户终端的打点请求的情况下,控制终端可以认为该用户终端未安装该安全应用程序;或者,在预置周期内接收到某用户终端的打点请求次数未超出请求阈值的情况下,控制终端可以认为该用户终端上安装的安全应用程序存在故障;上述两种情况下,控制终端均可以将该用户终端添加至过滤规则对应的白名单,以在交换机侧对该用户终端的数据包进行过滤,从而可以进一步提高局域网访问的安全性。
[0096]对于方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明实施例并不受所描述的动作顺序的限制,因为依据本发明实施例,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于可选实施例,所涉及的动作并不一定是本发明实施例所必须的。
[0097]参照图4,示出了根据本发明一个实施例的一种接入控制装置的结构框图,具体可以包括如下模块:
[0098]监测模块401,用于监测到达网卡的数据包;
[0099]解析模块402,用于对所述数据包进行解析,以得到对应的五元组信息;及
[0100]第一阻断模块403,用于在所述五元组信息符合预置的五元组阻断规则时,阻断所述数据包;其中,所述预置的五元组阻断规则为控制终端所提供。
[0101]在本发明的一种可选实施例中,所述五元组信息具体可以包括:源IP地址、源端口、目的IP、目的端口和传输层协议,则所述预置的五元组阻断规则具体可以包括:目的IP地址所属的网段、目的端口和传输层协议中至少一项对应的阻断规则。
[0102]在本发明的另一种可选实施例中,所述装置还可以包括:
[0103]基线检查模块,用于对所述用户终端进行基线检查;
[0104]第二阻断模块,用于在基线检查结果符合预置的基线阻断规则、且所述五元组信息符合预置的五元组阻断规则时,阻断所述数据包;其中,所述预置的基线阻断规则可以为控制终端所提供。
[0105]在本发明的再一种可选实施例中,所述基线检查模块,具体可以包括:
[0106]第一检测模块,用于对所述用户终端上的已安装应用、已运行应用、已运行服务、已运行进程、密码强度和已运行组件中的至少一项进行检测,以判断所述用户终端上是否存在所述控制终端提供的预置项目;
[0107]所述基线检查结果符合预置的基线阻断规则,具体可以包括:所述单个预置项目或者预置项目的组合对应的规则。
[0108]在本发明的又一种可选实施例中,所述基线检查模块,具体可以包括:
[0109]第二检测模块,用于对所述用户终端上的已安装应用、已运行应用、已运行服务、已运行进程、密码强度和已运行组件中的至少一项进行检测,以得到所述用户终端的得分;
[0110]所述基线检查结果符合预置的基线阻断规则,具体可以包括:所述用户终端的得分小于得分阈值。
[0111]在本发明的一种可选实施例中,所述预置项目具体可以包括如下项目中的至少一项:未安装防火墙组件、未安装反病毒应用、存在不符合第一预置条件的反病毒应用、存在被禁止的应用、及运行被禁止的应用、进程和服务。
[0112]在本发明的另一种可选实施例中,所述装置还可以包括:第一放行模块,用于在所述五元组信息不符合预置的五元组阻断规则时,放行所述数据包。
[0113]在本发明的再一种可选实施例中,所述装置还可以包括:第二放行模块,用于在基线检查结果不符合预置的基线阻断规则时,放行所述数据包。
[0114]在本发明的又一种可选实施例中,所述监测模块401,具体可以包括:抓取子模块,用于通过网卡驱动程序,从网络驱动程序接口规范NDIS中间层抓取到达网卡的数据包。
[0115]对于装置实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
[0116]在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
[0117]在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
[0118]类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循【具体实施方式】的权利要求书由此明确地并入该【具体实施方式】,其中每个权利要求本身都作为本发明的单独实施例。
[0119]本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
[0120]此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
[0121 ] 本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的接入控制方法和装置中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网平台上下载得到,或者在