专利名称:一种网络行为管理的方法、系统及装置的制作方法
技术领域:
本发明涉及计算机互联网技术领域,尤其涉及一种网络行为管理的方法、 系统及装置。
背景技术:
随着Internet (互联网)接入的普及和带宽的增加,企业员工的上网条件 得到改善,同时,却因为缺乏有效的管理机制,给企业带来更多的安全威胁, 互联网滥用的问题日益严重,为了解决这些问题,就必须对网络行为进行控制。目前,对用户的网络行为进行控制,主要是通过在客户的网络主路中以路 由方式或桥接方式串接一个网络设备。接入该设备后,用户访问网络的方式为 用户发出连接请求,该请求的数据包首先到达该网络设备,该网络设备对所述 请求进行处理后,将该请求后传递到用户所请求的服务器上,然后该网络设备 接收服务器的应答,并对该应答的数据包进行TCP/IP协议还原后,将该应答 发给发出请求的最终用户。该网络设备在外部网络与内部网络进行通信起了 一 个中间转接的作用,是内部网络和外部网络之间所有网络数据的唯一通道,因 而,可以通过在该网络设备中进行设置,不让禁止的网络行为传输的数据通过, 从而实现对用户的网络行为的控制。虽然目前这种网络行为的控制方式可以实现对一部分网络行为进行控制, 但该方案需要在客户的网络主路中串接一个网络设备,由于每个客户的网络状 况和网络要求不同,而该网络设备主要是处理基于网络七层协议的网络行为, 因而可能会出现该网络设备忽视网络的正常转化,对网络行为进行错误的控 制,并且可能随着网络流量的增加而更加恶化;另外,由于在客户的网络主路中串接了一个网络设备,给客户的网络增加了一个故障点,成为网络的一个不 稳定因素。发明内容有鉴于此,本发明实施例提供一种控制网络行为的方法,用以解决现有技 术中存在的对网络行为进行控制的不准确,以及增加了网络的不稳定因素的问题。本发明实施例提供的一种网络行为管理的方法,包括局域网服务器将该局域网中的用户端发送的请求转发给该请求对应的接 收端时,将该请求发送给网络行为管理设备;所述网络行为管理设备根据所述请求中记录的信息,确定所述用户端发生 的网络行为是需要禁止的网络行为时,向所述用户端发送一个错误连接的响 应。本发明实施例提供的一种管理网络行为的系统,包括局域网服务器、所 述局域网中的至少一个用户端、接收端、网络行为管理设备,其中,所述局域网服务器,用于将所述局域网中的一个用户端发送的请求转发给 所述接收端,并同时将所述请求发送给所述网络行为管理设备;所述网络行为管理设备,用于接收所述局域网服务器发送的请求,并根据 所述请求中记录的信息,确定所述用户端发生的网络行为是需要禁止的网络行 为时,向所述用户端发送一个错误连接的响应;所述用户端,用于向所述接收端发出请求,并接收所述网络行为管理设备 发送的响应;所述接收端,用于接收所述局域网服务器转发的所述用户端发出的请求。 本发明实施例提供的一种管理网络行为的局域网服务器,包括 接收单元,用于接收该局域网内的用户端发送的请求; 发送单元,用于将所述请求转发给该请求对应的4妄收端,并同时将该请求发送给网络行为管理设备。本发明实施例提供的一种网络行为管理设备,包括确定单元,用于根据获取的请求中记录的信息,确定发出该请求的用户端 发生的网络行为是需要禁止的网络行为;控制单元,用于在所述确定单元确定所述用户端发生的网络行为是需要禁 止的网络行为时,向所述用户端发送一个错误连接的响应。本发明实施例中,用户端发生网络行为时,局域网服务器将该局域网中的 用户端发送的请求转发给该请求对应的接收端时,将该请求发送给网络行为管络行为时,向所述用户端发送一个错误连接的响应,从而达到对网络行为进行 管理的目的。该方法采用从旁路的方式对网络行为进行控制,可针对不同的网 络行为进行控制,提高了网络行为控制的准确率,减少了网络的不稳定因素。
图1为本发明实施例管理网络行为的方法流程图;图2为本发明实施例一所提供的方案流程图;图3为本发明实施例二所提供的方案流程图;图4为本发明实施例三所提供的方案流程图;图5为本发明实施例管理网络行为的系统结构示意图;图6为本发明实施例中管理网络行为的局域网服务器的结构示意图;图7为本发明实施例中网络行为管理设备的结构示意图。
具体实施方式
本发明实施例中,局域网中的某个用户端发生网络行为时,该用户端发出 请求,该请求首先到达该局域网服务器,局域网服务器在向该请求对应的接收 端发送该请求的同时,也将该请求发送给网络行为管理设备,该网络行为管理设备根据该请求中记录的数据,分析该用户端发生的网络行为是否为禁止的网 络行为,如果为禁止的网络行为,则该网络行为管理设备向该用户端发送一个错误连接的响应,该响应中包含不存在的网络协i义IP地址、不存在的物理地 址或断开连接的命令,从而阻止该用户端进行正常的网络连接。由于该方案是 在局域网服务器通过数据转发的方式,获取数据,在确定网络行为是需要禁止 的网络行为时,通过从旁路向用户端发送数据,阻止用户端的网络行为,没有 改变现有网络的拓朴结构,不会影响现在的网络连接,因此也不会给现有网络 的增加故障点,而且该方案可以对不同类型的网络行为进行控制,提高了网络 控制的准确率,同时也降低了网络的不稳定性。下面接合说明书附图,对本发明的具体实施过程进行说明。如图1所示,本发明实施例管理网络行为的具体实施过程主要包括以下步骤步骤101:局域网服务器将该局域网中的用户端发送的请求转发给该请求 对应的接收端时,将该请求发送给网络行为管理设备。用户在发生网络行为时,该用户端向网络发出请求,该请求经由局域网服 务器的网络总出口转发,总出口收到该请求时,在将该请求发送该请求对应的 接收端的同时,也将该请求发送给网络行为管理i殳备。其中,接收端是指该用户端发出的请求中所指定的地址,包括广域网中 的服务器,或,所述局域网中的一个或多个用户端。当用户端的请求是向广域 网发送时,所述接收端是指广域网中对应的服务器,当该请求是向所述局域网 中的其它用户端发送时,则所述接收端是指局域网中的 一个或多个用户端。其中,所述请求中记录了该次网络行为的相关信息,从这些信息中,可以 判断出该用户端的此次网络行为的类型为。比如,可以根据该数据包中记录的 目的端口信息,判断所述网络行为的类型,如果目的端口号为80,则该次网络 行为为URL (Uniform Resource Locator,统一资源定位符)访问行为,即通过 URL域名访问网络的行为;如果目的端口号为23,则所述网络行为为基于网络传输控制协议(TCP, Transmission Control Protocol)的传输行为,具体的, 为网络远程访问协议TELNET网络应用。如果该数据包中没有记录目的端口的 信息,则该次网络行为属于基于ARP协议的网络行为。在具体实施过程中,所述局域网服务器可以通过网络镜像端口向网络行为管理设备发送所述用户端发送的请求,因此,步骤101可具体包括所述局域网服务器的网络总出口接收到所述请求后,在将所述请求转发给 该请求对应的接收端同时,将所述请求的数据包发送给网络镜像端口 ;网络行为管理设^^人所述网络镜像端口获取该请求。当然,局域网服务器也可以通过别的方式向网络行为管理设备发送请求, 其过程与通过镜像端口类似。步骤102:所述网络行为管理设备根据所述请求中记录的信息,确定所述 用户端发生的网络行为是需要禁止的网络行为时,向所述用户端发送一个错误 连4妾的响应。其中,所述响应中包含不存在的网络协议IP地址、不存在的物理地址或 断开连接的命令。网络行为管理设备根据请求中记录的信息,判断所述用户端发生的网络行为是否为需要禁止的网络行为,可以包括以下步骤步骤102a: 4艮据所述请求中记录的信息,确定所述请求的类型。其中,所述请求的类型包括域名解析请求、连接请求或询问物理地址广播。每一种请求类型对应一种网络行为,对于不同的网络行为可以根据不同的属性进行判断。例如,如果用户端所进行的网络行为是URL域名访问,则用户端首先发 送的请求是域名解析请求,因此,该网络行为对应的请求的类型为域名解析请 求;如果用户端进行的是基于TCP协议的传输行为,则用户端在跟服务器建 立连接之前,先要向服务器发送连接请求,因此,该网络行为对应的请求类型 为连接请求;而如果用户端是要访问该局域网内部某个IP地址的用户端,则该用户端首先要在该局域网内发送一个询问该IP地址对就的物理地址的广播, 因此,该网络行为对应的请求类型为询问物理地址广"l番。步骤102b:根据预设的请求类型与关键属性的对应关系,确定所述请求的 类型对应的关键属性,并从所述请求中获取该关键属性的属性值。其中,所述关键属性为可以根据网络行为的该属性,判断是否需要对所述 网络行为进行控制。本发明实施例中,设置了请求的类型与关键属性的——对应关系,其中, 域名请求对应的关键属性为请求解析的URL域名地址,连接请求对应的关键 属性为请求连接的目标端口 ,询问物理地址广^"对应的关4建属性为询问的目标 IP地址。步骤102c:根据所述关键属性的属性值,确定所述用户端发生的网络行为 是需要禁止的网络行为。在具体实施过程中,可以将需要禁止的网络行为对应的关键属性保存起 来,在判断某个网络行为是否需要禁止时,可以查询该网络行为对应的关键属 性的属性值是否属于禁止的范围,从而判断该用户端的网络行为是否需要禁 止。下面通过具体实例对本发明实施例提供的控制网络行为的方案进行详细 说明。本发明实施例一提供了请求类型为域名解析请求时,本发明实施例的具体 实施方案。当用户端请求访问某个URL域名时,在连接该URL域名服务器之前,先 向特定的域名系统(DNS, Domain Name System)月l务器发出域名解析请求, 该请求发送到该用户端对应的局域网服务器时,该局域网服务器在将所述请求 转发给特定的DNS服务器的同时,也将该请求发送给网络行为管理设备,网 络行为管理设备根据该请求中记录的信息,判断是否需要对该用户端发生的网 络行为进行控制。在该方案中,首先保存禁止访问的URL域名地址,并根据URL域名地址 的类型进行分组,当用户端发生需要域名解析的请求时,通过查询保存的URL 域名,确定当前用户请求的域名是否是一个需要禁止的域名,如果是,则向用 户端回应一个不存在的IP地址或一个该局域网内部的IP地址作为这个&戈名的 解析地址,使用户不能实现对正确URL的访问,从而达到控制的目的。该实施例的具体实施流程如图2所示,主要包括以下步骤 .步骤201:用户端向特定的DNS服务器发出URL域名解析的请求。域名是由圆点分开的一串单词或缩写组成的,每一个域名都对应一个唯一 的IP地址,这一命名的方法或这样管理域名的系统叫做域名管理系统。步骤202:用户端所在的局域网服务器将所述请求转发给所述DNS服务器 的同时,将该请求发送给网络行为管理设备。当用户端在浏览器中输入URL域名,向对应的DNS服务器发出域名解析 请求时,该请求首先到达该用户端所在的局域网服务器,由该局域网服务器将 该请求转发给所述域名服务器,同时,该局域网服务器还将该请求发送给网络 行为管理i殳备。步骤203:网络行为管理根据该请求中记录的信息,确定该请求的类型为 域名解析请求。从所述请求记录的目的端口信息,可以判断所述网络行为的类型。域名解析请求使用的传输协议为用户数据报协议(UDP, User Datagram Protocol),目标端口为53,因此,可以通过该请求中记录的目标端口的值,判 断出该请求的类型为域名解析请求。步骤204:根据预设的请求类型与关键属性的对应关系,确定域名解析请 求对应的关键属性为请求解析的URL域名地址。根据网络行为的类型与关键属性的对应关系,可以确定URL域名访问行 为对应的关键属性为URL域名。步骤205:从所述请求中获取该用户端请求解析的URL域名地址。步骤206:确定所述URL域名地址是否是一个需要禁止的URL域名地址, 如果是,则继续步骤207,否则,进入步骤208。在具体实施过程中,可以预先定义需要控制的URL域名地址,并对这些 域名地址进行分类,然后进行分段存储,比如,将后缀为".cn"、 ".com,,的域名 地址存储在不同的地址空间,并进行排序。存储需要控制的URL域名地址的 实体可以采用数据库或文件或其他形式进行存储。则确定所述URL域名地址是否是一个需要禁止的URL域名地址,进一步 包括-.查找存储的URL域名地址中是否存在所述URL域名地址,如果存在,则 该URL域名地址为需要禁止的URL域名地址,如果不存在,则该URL域名 地址为不需要禁止的域名URL域名地址,允许用户端访问该URL域名地址。 这样,因为在存储需要控制的URL域名地址时,对这些域名进行分类,并分 段进行存储,可以缩短查询的时间,提高效率。步骤207:向所述用户端发送一个回应所述域名解析请求的响应,该响应 中包含一个不存在的IP地址或一个所述局域网内部的IP地址。由于前述方法中,查询所述URL域名地址是否为需要禁止的URL域名地 址的查询方法与DNS服务器解析URL域名地址的查询方法一致,且本实施例 中网络行为管理设备与用户端的距离要比DNS服务器近,因此回应的速度比 DNS服务器快,能在DNS服务器回应正确的URL域名解析的IP地址之前, 将所述不存在的IP地址发送给客户端。当然,该响应中包含的IP地址也可以是一个内部的IP地址,这样同样可 以控制所述用户端访问;故禁止的URL域名地址。用户端收到这个IP地址后,将这个IP地址作为所述URL域名的解析地址, 并与该IP地址进行连接,向该IP地址的主机发送访问请求。如果该IP地址是 一个不存在的IP地址,则不会连接成功;如果该IP地址是一个内部IP地地址, 则用户端与该内部IP地址进行连接,向该内部IP地址的主机发送访问请求,最后访问的为内部网页。这样,用户就不能实现对正确URL域名的访问,达 到对该次网络行为的控制目的。步骤208:结束对该用户端发生的网络行为的管理。本发明实施例二提供了请求的类型为连接请求时,对网络行为进行管理的 具体实施方案。这类请求是传输层采用TCP协议的网络应用。由于TCP协议是有连接的网络传输协议,用户端与服务器必须先建立连 接后,才能进行数据传输,因此,本发明实施例在用户端向服务器发出连接请 求时,获取所述请求,然后根据该请求中记录的目的端口信息,确定用户端发 生的网络行为属于基于TCP协议哪种类型网络应用,如果该类型的网络应用 属于禁止的网络应用,则向用户端发送一个应答信息,该应答信息中包含一个 连接断开(FIN)的命令,用户端接受到该命令后,断开TCP连接,从而达到 对网络行为控制的目的。其中,基于TCP协议的网络应用包括但不限于以下几类采用超文本传送协议(HTTP, Hyper Text Transport Protocol)的网络传输;采用文件传输协i义(FTP, File Transport Protocol)的网络传输;采用网络远程访问协议(TELNET)的网络传输;采用简单电子邮件传输协议(SMTP, Simple Mail Transport Protocol)的网 络传输;采用邮局传输协议3 (POP3 , Post Office Protocol 3 )的网络传输。 上述每种网络应用都有固定的网络协议端口 ,通过协议端口的信息可以判 断网络应用的类型。用户端与服务器在建立TCP协议连接之前,存在三次交互过程首先, 用户端发出包含建立连接(SYN)位的信息,并指出要求连接的目的端口和初 始序号;然后服务器对此做出响应,发送SYN位和确认(ACK)位,并给出 确认序号;最后客户端确认服务器的响应,给出带确认序号的ACK段,同时将其状态更改为ESTABLISHED (连接已建立),月良务器收到该响应后也将其 状态更改为ESTABLISHED,这样,建立起了一个由源端口 、源IP、目的端口 、 目的IP和协_汉五项组成的连#",可以开始传送数据。该实施例的具体实施流程如图3所示,主要包括以下步骤步骤301:局域网中的一个用户端向某个服务器发出建立基于TCP协议的 连接请求,该请求中包含要求连接的目的端口和初始序号。步骤302:该局域网服务器在将该请求转发给请求连接的服务器的同时, 将该请求发送给网络行为管理设备。用户端在发送所述连接请求时,该请求首先到达该局域网服务器,该局域 网服务器在接收到所述请求后,在将该请求向对应的服务器发送的同时,将该 请求发送给网络行为管理设备。在具体实施过程中,可以配置局域网主交换机(即所述局域网服务器)总 出口的镜像端口 ,由局域网服务器的网络总出口转发所述用户端发送的连接请 求,所述网络总出口向该用户端请求的服务器转发该连接请求的同时,将该请 求发送给所述镜像端口 ,该镜像端口再将所述请求发送给网络行为管理设备。步骤303:网络行为管理设备根据所述请求中记录的信息,确定所述请求 的类型为连接请求。在具体实施过程中,可以根据该请求中记录的目标端口信息,判断所述请 求的类型步骤304:根据预设的请求类型与关键属性的对应关系,确定连接请求对 应的关键属性为请求连接的目标端口 。每种传输层采用TCP协议的网络应用,都具有不同端口,因此,通过端 口信息,可以唯一确定基于TCP协议的网络应用的类型。步骤305:从所述请求中获取该次请求连接的目标端口 。在TCP协议的首部,有20个固定的字节,其结构为16位源端口-16位 目的端口 -32位起始序号-32位确认序号-4位首部长度-6位保留位(置0)-6位标志位-16位窗口大小-16位校验和-16位紧急指针,因此,可以从固定的位置, 获取该次请求连接的目标端口 。步骤306:根据目标端口与网络应用类型的对应关系,确定所述目标端口 对应的网络应用类型。步骤307:根据预设的禁止使用的网络应用类型,确定所述网络应用类型 为禁止使用的网络应用类型,则继续步骤308,否则进入步骤309。比如,目的端口为23,则该网络应用为TELNET,如果TELNET为禁止 使用的网络应用类型,则该次网络行为属于需要禁止的网络行为,继续步骤 308,如果TELNET为非禁止使用的网络应用类型,则不用控制该次网络行为, 进入步骤309。步骤308:向用户端发送回应所述连接请求的应答信息,该应答信息包含 有一个与初始序号对应的确认序号,且还包含一个FIN命令。在TCP协议连接中由6个标志组合起来说明某个TCP连接的状态,该6 个标志包括URG:紧急指针有效; ACK:确认位;PSH:通知接收方应马上把緩冲区接收到的全部数据递交给应用层的进 程,而不再等待其它额外的数据,对这个标志的确认,窗口一般恢复到最大; RST:接复位,在异常状况下置位,例如端口不可达或者连"^妄异常终止; SYN:同步方式,用于建立连接; FIN:连接结束。向用户端发送的该应答信息是与用户端发出请求建立TCP连接的信息对 应的,确认序号与用户端发送的初始序号相对应,对于用户端来说,该应答信 息就是从请求连接的服务器发送来的。用户端将接收到的应答信息当着是所请求连接的服务器发送来的,由于该 应答信息中包含一个FIN命令,用户端根据该命令的指示,断开本次连接。步骤309:结束对该用户端发生的网络^f亍为的管理。本发明实施例三提供了请求的类型为询问物理地址广4番时,控制网络行为 的具体方法。在一个内部网络中,每个主机的IP地址都是在一个网段中,例如,当其 中一个IP地址为"192.168.1.5"的主机A想访问另 一个IP地址为"192.168丄1" 主机B,首先需要获知该主机B的物理地址,即MAC地址,才能进行数据包 的封装,然后进行传输,如果该主机A不知道另一个主才几B的MAC地址,主 机A在网络上发送一个广播,向同一网革史的所有主才几询问IP地址为 "192.168丄1"的MAC地址是多少,只有主4几B在收到这个广^番时,才向主 机A啦爻出响应,告知主才几A, IP地址为"192.168.1.1"的MAC地址是多少。本发明实施例就是利用上述过程,如果禁止主机A访问主机B,则在主机 A发出广播时,不断向主4几A发送一个存在的MAC地址,如果主机B也向主 机A发送了正确的MAC地址,但该MAC地址也会由后来接收到的不存在的 MAC地址所覆盖,使主机A后续向主机B发送的访问数据发送到所述不存在 的MAC地址,从而控制主机A访问主机B。该方案的具体实施流程如图4所示,主要包括以下步骤步骤401:局域网中的某个用户端发出询问某个IP地址的MAC地址的请求。步骤402:该局域网服务器在将该请求向该局域网中的其它用户端转发的 同时,将该请求发送给网络行为管理设备。用户端所发出的询问MAC地址的请求,同样要先经过局域网服务器,由 局域网服务器向同一网段的别的用户端转发,因此,在局域网服务器转发该请 求的同时,将该请求发送给网络行为管理设备。在具体的实施过程中,也可以配置一个局域网服务器总出口的镜像端口 , 在该请求到达总出口时,总出口将该请求发送给镜像端口,该镜像端口将该请 求发送给网络行为管理设备。步骤403:网络行为管理设备根据该请求中记录的信息,确定该请求的类 型为询问物理地址广寺番。询问MAC地址是通过地址解析协议(ARP, Address Resolution Protocol) 实现的,ARP协议是没有协议端口的,因此,在具体实施过程中,可以根据该 请求中是否记录了协议端口的信息来判断所述请求的类型是否为询问物理地 址的广播,如果该请求中没有记录有关目的端口的信息,则所述请求的类型为 询问物理地址的广播,否则,所述请求的类型不是询问物理地址的广播。步骤404:才艮据预设的请求类型与关键属性的对应关系,确定询问物理地 址广播对应的关键属性为询问的目标IP地址。步骤405:从所述请求中获取所述用户端发出的广播中的目标IP地址。在询问某个IP地址的广播中,包括发送端的IP地址、发送端的物理地址、 目标IP地址,因此,从该广播中可以获取该广^番询问的目标IP地址。步骤406:根据预设的禁止访问的IP地址,判断该IP地址是否为禁止访 问的IP地址,如果是,则继续步骤407,否则进入步骤408。在具体的实施过程中,可以将禁止访问的IP地址保存起来,在获取广播 的目标IP地址后,在保存的IP地址中查找是否存在该目标IP地址,从而判断 该目标IP地址是否为禁止访问的IP地址。此外,还可以保存该网段中每个用户所禁止访问的用户端的对应关系,例 如,在一个局域网中,存在有A、 B、 C、 D四个用户端,用户端A禁止访问 用户端B和D,而用户端B禁止访问用户端D,用户端C禁止访问用户端A。 则可保存每个用户端的IP地址与其禁止访问的用户端的IP地址的对应关系, 在某个用户端,如A,发出询问某个IP地址的物理地址的广播时,获取该用 户端的IP地址,再根据保存的该IP地址对应的禁止访问的IP地址的关系,判 断广播中的目标IP地址是否为该IP地址禁止访问的IP地址。步骤407:向所述用户端不断的发送一个回答所述广播的响应,该响应中 包含一个不存在的MAC地址。由于用户端中对一个IP地址只保存一个最新的与该IP地址对应的MAC 地址,因而即4吏所述用户端收到一个正确的MAC地址,不断的所述用户端发 送包含一个不存在的MAC地址,也会将该正确的MAC地址覆盖。由于所述MAC地址是一个不存在的地址,因而,该用户端所发送的访问 请求不能到达正确的主机,实现了该用户端对相同网段中的另 一个主机的访问 控制。步骤408:结束对用户端发生的网络行为的管理。图5所示,本发明实施例控制网络行为的系统,包括局域网服务器500、 所述局域网中的至少一个用户端510、接收端520、网络行为管理i殳备530。局域网服务器500,用于将所述局域网中的一个用户端发送的请求转发给 所述接收端,并同时将所述请求发送给所述网络行为管理设备。用户端510,用于向所述接收端发出请求,并接收所述网络行为管理设备 530发送的响应。接收端520,用于接收所述局域网服务器500转发的所述用户端发出的请求。网络行为管理设备530,用于接收所述局域网服务器500发送的请求,并 根据所述请求中记录的信息,确定所述用户端发生的网络行为是需要禁止的网 络行为时,向所述用户端发送一个错误连接的响应。进一步地,所述局域网服务器500,包括接收单元501和发送单元502。接收单元501 ,用于接收所述用户端发送的请求。发送单元502,用于将所述用户端发送的请求转发给所述接收端,并将所 述请求发送给所述网络行为管理设备。所述网络行为管理设备530,包括确定单元531和控制单元532。确定单元531,用于根据从所述局域网服务器500接收的请求中记录的信 息,确定所述用户端发生的网络行为是需要禁止的网络行为;控制单元532,用于在所述确定单元确定所述用户端发生的网络行为是需要禁止的网络行为时,向所述用户端发送一个错误连接的响应。其中,所述接收端520,在具体实施过程中可以为广域网中的服务器521, 或,所述局域网中的一个或多个用户端522。如图6所示,本发明实施例中管理网络行为的局域网服务器,包括接收 单元600和发送单元610。接收单元600,用于接收该局域网内的用户端发送的请求。发送单元610,用于将所述请求转发给该请求对应的接收端,并同时将该 请求发送给网络行为管理设备。进一步地,所述发送单元610包括第一发送子单元611和第二发送子单 元612。第一发送子单元611,用于将所述请求转发给该请求对应的接收端,并同 时将该请求发送给所述第二发送子单元612。第二发送子单元612,用于将所述请求发送给网络行为管理设备。其中,在具体实施中,第一发送子单元611可以为局域网服务器的主交换 总出口 ,第二发送子单元612可以为主交换总出口的镜^f象端口 。如图7所示,本发明实施例提供的一种网络行为管理设备,包括确定单 元700和控制单元710。确定单元700,用于才艮据获取的请求中记录的信息,确定发出该请求的用 户端发生的网络行为是需要禁止的网络行为。控制单元710,用于在所述确定单元确定所述用户端发生的网络行为是需 要禁止的网络行为时,向所述用户端发送一个错误连接的响应。进一步地,所述确定单元700,包括确定子单元701、获取子单元702 和判断子单元703。确定子单元701,用于根据所述请求中记录的信息,确定所述请求的类型;获取子单元702,用于根据预设的请求类型与关4建属性的对应关系,确定 所述请求的类型对应的关键属性,并从所述请求中获取该关键属性的属性值;的网络行为是需要禁止的网络行为。进一步地,如果所述确定子单元确定701所述请求的类型为域名解析请求,则所述获取子单元702,包括第一确定模块7021和第一获取模块7022。第一确定模块7021,用于根据预设的请求类型与关键属性的对应关系,确定域名解析请求对应的关键属性为请求解析的URL域名地址。第一获取模块7022,用于从所述请求中获取该次请求解析的URL域名地址。贝'J,所述判断子单元703包括第一判断模块7031。第 一判断模块7031,根据预设的禁止访问的URL域名地址,用于判断所 述URL域名地址是否为禁止访问的URL域名地址;贝'J,所述控制单元710包括第一控制子单元711。第一控制子单元711,用于在所述第一判断模块确定所述URL域名地址是 禁止访问的URL地址之后,向所述用户端发送一个回应所述域名解析请求的 响应,该响应中包含一个不存在的IP地址或一个局域网内部的IP地址。如果所述确定子单元701确定所述请求的类型为连接请求,则所述获取子 单元702,进一步包括第二确定模块7023和第二获取模块7024。第二确定模块7023,用于根据预设的请求类型与关键属性的对应关系,确定连接请求对应的关^:属性为请求连接的目标端口 。第二获取模块7024,用于从所述请求中获取该次请求连接的目标端口 ; 贝'J,所述判断子单元703,进一步包括第二判断模块7032。 第二判断模块7032,用于根据预设的禁止连接的网络应用类型,判断所述网络应用类型是需要禁止的网络应用类型。贝寸,所述控制单元710,进一步包括第二控制子单元712。 第二控制子单元712,用于在所述第二判断模块判断所述网络应用类型是需要禁止的网络应用类型之后,向所述用户端发送一个回应所述连接请求的响应,该响应中包含一个断开连接的命令。应,该响应中包含一个断开连接的命令。如果所述确定子单元701确定所述请求的类型为询问物理地址广纟番,则所 述获取子单元702,进一步包括第三确定^t块7025和第三获取模块7026。第三确定模块7025,用于根据预设的请求类型与关键属性的对应关系,确 定询问物理地址广^"对应的关4A属性为询问的目标IP地址。第三荻取模块7026,用于从所述请求中获取所述用户端发出的广播中的目 标IP地址。则所述判断子单元703,进一步包括第三判断才莫块7033。 第三判断模块7033,用于根据预设的禁止访问的所述局域网内的IP地址, 判断所述目标IP地址为禁止访问的IP地址。所述控制单元710,进一步包括第三控制子单元713。 第三控制子单元713,用于在所述第三判断模块确定所述目标IP地址是禁 止访问的IP地址之后,向所述用户端不断发送一个回应所述广播的响应,该 响应中包含一个不存在的物理地址。显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以 用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多 个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码 来实现,从而,可以将它们存储在存储装置中由计算装置来执行,或者将它们 分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集 成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。应该 明白,这些具体实施中的变化对于本领域的技术人员来说是显而易见的,不脱 离本发明的精神保护范围。本发明实施例在局域网中的一个用户端在发生网络行为时,该局域网服务 器在将该用户端发送的请求转发给该请求对应的接收端的同时,将该请求发送 给网络行为管理设备,网络行为管理设备根据该请求中记录的信息,判断该用 户端发生的网络行为是否为禁止的网络行为,如果是,则向该用户端发送一个的网络行为,这种方案不会改变现有网络的拓朴结构,因此不会为现有的网络 增加故障点,又能达到对网络行为管理的目的,并且可以针对不同的网络行为 进行控制,提高了对网络行为进行控制的准确率,减少了网络的不稳定因素。明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及 其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
权利要求
1、一种网络行为管理的方法,其特征在于,包括局域网服务器将该局域网中的用户端发送的请求转发给该请求对应的接收端时,将该请求发送给网络行为管理设备;所述网络行为管理设备根据所述请求中记录的信息,确定所述用户端发生的网络行为是需要禁止的网络行为时,向所述用户端发送一个错误连接的响应。
2、 根据权利要求1所述的方法,其特征在于,所述响应中包含不存在的 网络协议IP地址、不存在的物理地址或断开连接的命令。
3、 根据权利要求1所述的方法,其特征在于,所述将该请求发送给网络 行为管理设备,包括所述局域网服务器的网络总出口接收到所述请求后,在将所述请求转发给 该请求对应的接收端时,将所述请求的数据包发送给网络镜像端口 ,网络行为 管理设备从所述网络镜像端口获取该请求。
4、 根据权利要求1或3所述的方法,其特征在于,所述接收端包括广 域网中的服务器,或,所述局域网中的一个或多个用户端。
5、 根据权利要求1所述的方法,其特征在于,所述确定所述用户端的发 生的网络行为是需要禁止的网络行为,包括根据所述请求中记录的信息,确定所述请求的类型;根据预设的请求类型与关键属性的对应关系,确定所述请求的类型对应的 关键属性,并从所述请求中获取该关键属性的属性值;根据所述关键属性的属性值,确定所述用户端发生的网络行为是需要禁止 的网络行为。
6、 根据权利要求5所述的方法,其特征在于,所述请求类型包括域名 解析请求、连接请求或询问物理地址广播。
7、 根据权利要求5所述的方法,其特征在于,如果确定所述请求的类型为域名解析请求时,则所述确定所述请求的类型对应的关^l建属性,并从所述请求中获取该关键属性的属性值,包括根据预设的请求类型与关键属性的对应关系,确定域名解析请求对应的关 键属性为请求解析的统一资源定位符URL域名地址;从所述请求中获取该次请求解析的URL域名地址;则所述确定所述用户端发生的网络行为是需要禁止的网络行为,包括根据预设的禁止访问的URL域名地址,确定所述URL域名地址是禁止访 问的URLi或名:l也址。
8、 根据权利要求7所述的方法,其特征在于,在确定所述URL域名地址 是禁止访问的URL域名地址之后,该方法进一步包括向所述用户端发送一个回应所述域名解析请求的响应,该响应中包含一个 不存在的IP地址或一个所述局域网内部的IP地址。
9、 根据权利要求5所述的方法,其特征在于,如果确定所述请求的类型 为连接请求时,则所述确定所述请求的类型对应的关键属性,并从所述请求中 获取该关键属性的属性值,包括根据预设的请求类型与关键属性的对应关系,确定连接请求对应的关键属 性为请求连接的目标端口 ;从所述请求中获取该次请求连接的目标端口 ;则所述确定所述用户端发生的网络行为是需要禁止的网络行为,包括 根据目标端口与网络应用类型的对应关系,确定所述目标端口对应的网络 应用类型;根据预设的禁止使用的网络应用类型,确定所述网络应用类型为禁止使用 的网络应用类型。
10、 根据权利要求9所述的方法,其特征在于,在确定所述网络应用类型 为禁止使用的网络应用类型之后,该方法进一步包括向所述用户端发送一个回应所述连接请求的响应,该响应中包含一个断开连接的命令。
11、 根据权利要求5所述的方法,其特征在于,如果确定所述请求的类型 为询问物理地址广播时,则所述确定所述请求的类型对应的关键属性,并从所 述请求中获取该关键属性的属性值,包括根据预设的请求类型与关4定属性的对应关系,确定询问物理地址广播对应的关键属性为询问的目标IP地址;从所述请求中获取所述用户端发出的广播中的目标IP地址; 则所述确定所述用户端发生的网络行为是需要禁止的网络行为,包括 根据预设的禁止访问的所述局域网内的IP地址,确定所述目标IP地址为禁止访问的IP地址。
12、 根据权利要求11所述的方法,其特征在于,在确定所述IP地址是禁 止访问的IP地址之后,该方法进一步包括向所述用户端不断发送一个回答所述广播的响应,该响应中包含一个不存 在的物理地址。
13、 一种管理网络行为的系统,其特征在于,包括局域网服务器、所述 局域网中的至少一个用户端、接收端、网络行为管理设备,其中,所述局域网服务器,用于将所述局域网中的一个用户端发送的请求转发给 所述接收端,并同时将所述请求发送给所述网络行为管理设备;所述网络行为管理设备,用于接收所述局域网服务器发送的请求,并根据 所述请求中记录的信息,确定所述用户端发生的网络行为是需要禁止的网络行 为时,向所述用户端发送一个错误连接的响应;所述用户端,用于向所述接收端发出请求,并接收所述网络行为管理设备 发送的响应;所述接收端,用于接收所述局域网服务器转发的所述用户端发出的请求。
14、 根据权利要求13所述的系统,其特征在于,所述局域网服务器包括 接收单元,用于接收所述用户端发送的请求;发送单元,用于将所述用户端发送的请求转发给所述接收端,并将所述请 求发送给所述网络行为管理设备。
15、 根据权利要求13所述的系统,其特征在于,所述网络行为管理设备 包括确定单元,用于根据从所述局域网服务器接收的请求中记录的信息,确定 所述用户端发生的网络行为是需要禁止的网络行为;控制单元,用于在所述确定单元确定所述用户端发生的网络行为是需要禁 止的网络行为时,向所述用户端发送一个^"误连"l妻的响应。
16、 根据权利要求13所述的系统,其特征在于,所述接收端包括广域 网中的服务器,或,所述局域网中的一个或多个用户端。
17、 一种管理网络行为的局域网服务器,其特征在于,包括 接收单元,用于接收该局域网内的用户端发送的请求;发送单元,用于将所述请求转发给该请求对应的接收端,并同时将该请求 发送给网络行为管理设备。
18、 根据权利要求17所述的局域网服务器,其特征在于,所述发送单元 包括第一发送子单元和第二发送子单元,其中所述第一发送子单元,用于将所述请求转发给该请求对应的接收端,并同 时将该请求发送给所述第二子单元;所述第二子单元,用于将所述请求发送给网络行为管理设备。
19、 一种网络行为管理设备,其特征在于,包括确定单元,用于根据获取的请求中记录的信息,确定发出该请求的用户端 发生的网络行为是需要禁止的网络行为;控制单元,用于在所述确定单元确定所述用户端发生的网络行为是需要禁 止的网络行为时,向所述用户端发送一个错误连接的响应。
20、 根据权利要求19所述的网络行为管理设备,其特征在于,所述确定 单元包括确定子单元,用于根据所述请求中记录的信息,确定所述请求的类型; 获取子单元,用于根据预设的请求类型与关键属性的对应关系,确定所述请求的类型对应的关键属性,并从所述请求中获取该关^t属性的属性值;判断子单元,用于根据所述关键属性的属性值,判断所述用户端发生的网络行为是需要禁止的网络行为。
21、 根据权利要求20所述的网络行为管理设备,其特征在于,如果所述 确定子单元确定所述请求的类型为域名解析请求,则所述获取子单元包括第一确定模块,用于根据预设的请求类型与关键属性的对应关系,确定域 名解析请求对应的关键属性为请求解析的URL域名地址;第一获取模块,用于从所述请求中获取该次请求解析的URL域名地址; 贝'J,所述判断子单元包括第 一判断模块,根据预设的禁止访问的URL域名地址,用于判断所述URL 域名地址是否为禁止访问的URL域名地址; 贝'J,所述控制单元包括第一控制子单元,用于在所述第一判断模块确定所述URL域名地址是禁 止访问的URL地址之后,向所述用户端发送一个回应所述域名解析请求的响 应,该响应中包含一个不存在的IP地址或一个局域网内部的IP地址。
22、 根据权利要求20所述的网络行为管理设备,其特征在于,如果所述确定子单元确定所述请求的类型为连接请求,则所述获耳又子单元包括第二确定模块,用于根据预设的请求类型与关键属性的对应关系,确定连接请求对应的关^l建属性为请求连接的目标端口 ;第二获取模块,用于从所述请求中获取该次请求连接的目标端口 ;贝'J,所述判断子单元包括第二判断模块,用于根据预设的禁止连接的网络应用类型,判断所述网络应用类型是需要禁止的网络应用类型; 则,所述控制单元包括第二控制子单元,用于在所述第二判断模块判断所述网络应用类型是需要 禁止的网络应用类型之后,向所述用户端发送一个回应所述连接请求的响应, 该响应中包含一个断开连接的命令。
23、根据权利要求20所述的网络行为管理设备,其特征在于,如果所述确定子单元确定所述请求的类型为询问物理地址广播,则所述获取子单元包括第三确定模块,用于根据预设的请求类型与关键属性的对应关系,确定询问物理地址广播对应的关键属性为询问的目标IP地址;第三获取模块,用于从所述请求中获取所述用户端发出的广播中的目标IP 地址;则所述判断子单元包括第三判断模块,用于根据预设的禁止访问的所述局域网内的IP地址,判 断所述目标IP地址为禁止访问的IP地址; 所述控制单元包括第三控制子单元,用于在所述第三判断模块确定所述目标IP地址是禁止 访问的IP地址之后,向所述用户端不断发送一个回应所述广^"的响应,该响 应中包含一个不存在的物理地址。
全文摘要
本发明公开了一种控制网络行为的方法、系统及装置,用以解决现有技术中存在的对网络行为控制的不准确,以及增加了网络的不稳定因素的问题。该方法中,局域网服务器将该局域网中的用户端发送的请求转发给该请求对应的接收端时,将该请求发送给网络行为管理设备;所述网络行为管理设备根据所述请求中记录的信息,确定所述用户端发生的网络行为是需要禁止的网络行为时,向所述用户端发送一个错误连接的响应。根据本发明提出的方案,能提高控制网络行为的准确率,减少网络的不稳定因素。
文档编号H04L29/06GK101272380SQ20081005786
公开日2008年9月24日 申请日期2008年2月19日 优先权日2008年2月19日
发明者平 周, 董洪洋, 钟海涛 申请人:北大方正集团有限公司;北京北大方正宽带网络科技有限公司