]A9、根据AS所述的方法,其中,所述获取网络设备对信息对象的历史操作记录包括:
[0186]访问操作系统的目标注册表,从所述目标注册表中读取对信息对象的历史访问记录和历史搜索记录;
[0187]和/或,从共享文件管理程序的关联位置,读取对多个操作系统共享信息对象的共享访问记录。
[0188]A10、根据A7所述的方法,其中,所述识别规则指示所述特征信息对象的属性信息中包括的关键字,所述根据预置的识别规则,从网络设备多个信息对象中识别特征信息对象,并将识别结果上传至所述内网服务器包括:
[0189]若所述信息对象的属性信息命中所述识别规则指示的至少一个关键字,则确定所述信息对象为特征信息对象,所述属性信息包括所述信息对象的信息名称、信息类型和信息内容中至少一种;
[0190]将识别的特征信息对象和/或特征信息对象的个数上传至所述内网服务器。
[0191]AU、根据A7所述的方法,其中,所述识别规则还指示包括各关键字的信息对象所属特征分类;
[0192]在所述根据预置的识别规则,从所述网络设备多个信息对象中识别特征信息对象后,所述方法还包括:
[0193]根据所述特征信息对象所命中的关键字,确定所述特征信息对象所属特征分类;
[0194]所述部署于内网的网络设备接收内网服务器下发的网络访问策略为,接收所述内网服务器按照识别的特征信息对象所属特征分类,对所述网络设备配置的网络访问策略。
[0195]本发明还公开了B12、一种网络连接控制装置,其中,包括:
[0196]网络访问策略下发模块,用于部署于内网的网络设备接收内网服务器下发的网络访问策略,所述网络访问策略指示是否允许所述网络设备连接外网;
[0197]外网检测模块,用于启动网络检测线程定期检测所述网络设备是否可以连接外网;
[0198]网络连接控制模块,用于若检测结果不符合所述网络访问策略,则对所述网络设备进行网络连接控制。
[0199]B13、根据B12所述的装置,其中,所述网络管理策略指示不允许所述网络设备连接外网。
[0200]B14、根据B13所述的装置,其中,所述网络连接控制模块包括:
[0201]连接断开子模块,用于断开所述网络设备与所述外网的连接;
[0202]或,设备重启子模块,用于重启所述网络设备。
[0203]B15、根据B14所述的装置,其中:
[0204]所述连接断开子模块,具体用于通过访问网络驱动接口,将所述外网的网络地址添加至网络访问黑名单,以禁止所述网络设备对所述外网的访问。
[0205]B16、根据B12所述的装置,其中:
[0206]所述外网检测模块,具体用于检测到所述网络设备启动网络访问或运行目标程序时,启动检测线程定期检测所述网络设备是否可以连接外网。
[0207]B17、根据B12所述的装置,其中,所述外网检测模块包括:
[°208] http请求发送子模块,用于向目标网站发送http请求;
[0209]外网连接确定子模块,用于若在预设时间段内接收到所述目标网站针对所述http请求反馈的数据,则确定所述网络设备可以连接外网。
[0210]B18、根据B12所述的装置,其中,所述装置还包括:
[0211]识别结果上传模块,用于在所述部署于内网的网络设备接收内网服务器下发的网络访问策略之前,根据预置的识别规则,从所述网络设备多个信息对象中识别特征信息对象,并将识别结果上传至所述内网服务器。
[0212]B19、根据B18所述的装置,其中,所述装置还包括:
[0213]信息对象提取模块,用于在所述根据预置的识别规则,从网络设备多个信息对象中识别特征信息对象之前,获取所述网络设备对所述信息对象的历史操作记录,从所述历史操作记录中提取历史操作的各个信息对象。
[0214]B20、根据B19所述的装置,其中,所述信息对象提取模块包括:
[0215]历史记录读取子模块,用于访问操作系统的目标注册表,从所述目标注册表中读取对信息对象的历史访问记录和历史搜索记录;
[0216]和/或,共享访问记录读取子模块,用于从共享文件管理程序的关联位置,读取对多个操作系统共享信息对象的共享访问记录。
[0217]B21、根据B18所述的装置,其中,所述识别规则指示所述特征信息对象的属性信息中包括的关键字,所述识别结果上传模块包括:
[0218]特征信息对象确定子模块,用于若所述信息对象的属性信息命中所述识别规则指示的至少一个关键字,则确定所述信息对象为特征信息对象,所述属性信息包括所述信息对象的信息名称、信息类型和信息内容中至少一种;
[0219]特征信息对象上传子模块,用于将识别的特征信息对象和/或特征信息对象的个数上传至所述内网服务器。
[0220]B22、根据B18所述的装置,其中,所述识别规则还指示包括各关键字的信息对象所属特征分类;
[0221]所述装置还包括:
[0222]特征分类确定装置,用于在所述根据预置的识别规则,从所述网络设备多个信息对象中识别特征信息对象后,根据所述特征信息对象所命中的关键字,确定所述特征信息对象所属特征分类;
[0223]所述网络访问策略下发模块,具体用于接收所述内网服务器按照识别的特征信息对象所属特征分类,对所述网络设备配置的网络访问策略。
【主权项】
1.一种网络连接控制方法,其中,包括: 部署于内网的网络设备接收内网服务器下发的网络访问策略,所述网络访问策略指示是否允许所述网络设备连接外网; 启动网络检测线程定期检测所述网络设备是否可以连接外网; 若检测结果不符合所述网络访问策略,则对所述网络设备进行网络连接控制。2.根据权利要求1所述的方法,其中,所述网络管理策略指示不允许所述网络设备连接外网。3.根据权利要求2所述的方法,其中,所述对所述网络设备进行外网连接控制包括: 断开所述网络设备与所述外网的连接; 或,重启所述网络设备。4.根据权利要求3所述的方法,其中,所述断开所述网络设备与所述外网的连接包括: 通过访问网络驱动接口,将所述外网的网络地址添加至网络访问黑名单,以禁止所述网络设备对所述外网的访问。5.根据权利要求1所述的方法,其中,所述启动检测线程定期检测所述网络设备是否可以连接外网为: 检测到所述网络设备启动网络访问或运行目标程序时,启动检测线程定期检测所述网络设备是否可以连接网络。6.根据权利要求1所述的方法,其中,所述启动检测线程定期检测所述网络设备是否可以连接外网包括: 向目标网站发送http请求; 若在预设时间段内接收到所述目标网站针对所述http请求反馈的数据,则确定所述网络设备可以连接外网。7.根据权利要求1所述的方法,其中,在所述部署于内网的网络设备接收内网服务器下发的网络访问策略之前,所述方法还包括: 根据预置的识别规则,从所述网络设备多个信息对象中识别特征信息对象,并将识别结果上传至所述内网服务器。8.根据权利要求7所述的方法,其中,在所述根据预置的识别规则,从网络设备多个信息对象中识别特征信息对象之前,所述方法还包括: 获取所述网络设备对所述信息对象的历史操作记录,从所述历史操作记录中提取历史操作的各个信息对象。9.根据权利要求8所述的方法,其中,所述获取网络设备对信息对象的历史操作记录包括: 访问操作系统的目标注册表,从所述目标注册表中读取对信息对象的历史访问记录和历史搜索记录; 和/或,从共享文件管理程序的关联位置,读取对多个操作系统共享信息对象的共享访问记录。10.一种网络连接控制装置,其中,包括: 网络访问策略下发模块,用于部署于内网的网络设备接收内网服务器下发的网络访问策略,所述网络访问策略指示是否允许所述网络设备连接外网; 外网检测模块,用于启动网络检测线程定期检测所述网络设备是否可以连接外网;网络连接控制模块,用于若检测结果不符合所述网络访问策略,则对所述网络设备进行网络连接控制。
【专利摘要】本发明实施例提供了一种网络连接控制方法和装置,所述方法包括:部署于内网的网络设备接收内网服务器下发的网络访问策略,所述网络访问策略指示是否允许所述网络设备连接外网,启动网络检测线程定期检测所述网络设备是否可以连接外网,若检测结果不符合所述网络访问策略,则对所述网络设备进行网络连接控制。采用本发明的方案可以对所述网络设备进行网络连接控制,避免内网的网络设备受到外网攻击,保证了内网的正常工作和内网数据的安全。同时,根据预置的识别规则,从网络设备多个信息对象中识别特征信息对象,并将识别结果上传至内网服务器,内网服务器根据识别结果配置网络访问策略,所述策略可以更加全面地、有效地防护网络设备的安全。
【IPC分类】H04L29/06
【公开号】CN105577668
【申请号】CN201510997695
【发明人】胡启宇, 李振伟
【申请人】北京奇虎科技有限公司, 北京奇安信科技有限公司
【公开日】2016年5月11日
【申请日】2015年12月25日