专利名称:一种网络行为控制系统及方法
技术领域:
本发明涉及计算机网络,尤其涉及网络安全领域。
背景技术:
近年来,随着互联网的迅速发展,网络用户在互联网上表现出来的行为 趋于多样化。此种趋势在丰富了网络内容的同时,也带来了风险如机密信息 外泄等,因此网络运营商和网络提供者对其用户行为的管理已经成为越来越 迫切的需求。这种需求意味着不仅需要识别用户在网络上的行为,更需要对 其中的非法行为进行控制。
识别用户网上行为的主要技术是协议识别,协议识别就是根据数据包特
征识别出HTTP、 FTP等协议。目前主流协议识别技术大多受到连接的限制, 能够识别出连接使用的协议,却无法进一步识别连接内的信息。对于一条连 接只对应一种行为来说,用户行为能够通过识别一条或多条连接来确定。对 于一条连接对应多种行为来说也就是对于连接重用来说,仅仅通过识别连接 使用的协议是无法确定用户正在进行的真实操作,因为连接重用的目的就是 隐匿用户的网络行为。
协议识别方法主要有基于IP/端口识别技术、基于行为模式识别技术、 基于统计信息识别技术、基于DPI (深度包检测)识别技术。其中,基于IP/ 端口识别技术利用的是某些软件使用固定端口及服务器IP可穷举的特点, 人工统计IP/端口信息,一旦发现有连接匹配信息就能够识别出相应的应用。 由于该基于IP/端口识别模式使用的IP/端口特征码本身就是用于描述连接 信息,因此IP/端口识别技术不具备连接内进一步分析的能力,进而不适用 于连接重用情况。
基于行为模式识别技术和基于统计信息识别技术利用的是某些网络软 件和用户行为的特定规律进行识别,不具有通用性且识别精度也很难满足商
业化需求。且基于行为模式识别技术和基于统计信息识别技术的控制策略都
是基于网络节点或连接,因此即使这两种识别技术能够识别单连接上的多种
用户行为也无法通过制定策略进行区别控制。DPI识别技术利用数据包载荷的固定特征进行识别,识别结果精确可靠。 但是DPI本身存在效率低下的缺点,而且策略控制上同样存在困难。为了进 一步精确且高效地识别基于连接重用的用户行为,开发人员做了大量工作, 并取得了一定的效果。如申请人为北京网康科技有限公司,申请号为 2008102272823,发明名称为一种防木马的网络安全系统及方法的中国发明 专利,公开了 一种精确识别用户行为的方法,进而识别网络中是否存在木马。
针对连接重用的网路行为(也就是针对一条连接的多种网络行为),识 别用户的网络行为是基础,但最终目的还是控制用户的非法网络行为。如某 些公司允许员工通过MSN聊天,但却不允许员工通过MSN传输文件以免公司 内部机密文件被外泄,而MSN又是通过同 一条TCP连接传输聊天信息及发送 文件。因此如果通过传统的丢弃数据包的方法阻止用户之间传输文件,虽然 传输文件被成功阻止但是却导致聊天中断。而目前很多公司允许如聊天等行 为,因此当前迫切需求一种在不中断连接的条件下控制非法网络行为的方法。
发明内容
针对以上问题,本发明提供了一种能够在不中断连接情况下有效控制非 法网络-f亍为的系统及方法。
在第一方面,本发明提供了一种网络设备,内通信对端与外通信对端通 过该网络设备及互联网相连,以便该内通信对端与外通信对端相互发送数据。 所述网络设备包括替换模块,在该网络设备识别出其接收到数据包所属连接 为连接重用且该数据包为非法数据包情况下,将该非法数据包替换成合法数 据包或者无效数据包,以便在不中断连接的同时阻止该非法数据包的传输。
在第二方面,本发明提供了一种网络行为控制方法,该方法包括截获内 通信对端与外通信对端通过网络设备及互联网相互传输数据的数据包;再识 别所述数据包所属连接是否为连接重用,且识别该数据包是否为非法数据包; 在识别出该数据包的连接为连接重用且该数据包为非法数据包时,将该非法 数据包替换成合法数据包或者无效数据包,以便在不中断连接的同时阻止该 非法数据包的传输。
本发明针对连接重用情况,通过修改同 一条连接上的非法行为相关数据 包的方式,达到了在不中断连接情况下仍旧能够有效阻止非法行为的目的。 本发明的系统及方法能够允许合法行为的同时抑制非法行为,弥补了以往在阻止非法行为同时所带来的中断合法行为的不足。
图l是网络行为控制系统框图2是识别及控制非法行为流程图3是MSN文件传输数据包载荷示意图;
图4是MSN聊天数据包栽荷示意图5是修改后的域名栽荷示意图6是HTTP数据包载荷示意图7是H. 245连接示意图。
具体实施例方式
为了使本发明的目的和技术方案更加清晰,以下结合附图以及实施例对 本发明的网络行为控制系统及方法进行详细说明。
图1是网络行为控制系统框图。该系统包括内通信对端110、网路设备 120、互联网130和外通信对端140。内通信对端110和外通信对端140均为 通信终端,如计算才几终端等。内通信对端110与外通信对端140通过网络设 备120及互联网130相互发送数据。网路设备12Q连接在内通信对端IIO与 外通信对端140之间,并位于内通信对端IIO—侧,其硬件实体通常为路由 器、交换机、网关等。
网路设备120包括替换模块121和识别模块122,识别模块122用于识 别其接收到的数据包所属连接是否为连接重用以及识别该数据包是否为包 含部分或全部非法行为的非法数据包。所述非法数据包包括部分或全部非法 行为的原因是, 一个非法数据包可能包含一个或多个非法行为,同时一个非 法行为也可能包含在一个或多个非法数据包中。具体非法行为由用户配置, 举例如非法行为为内通信对端110向外部发送文件或接收来自外部文件。
替换模块121,在识别模块122识别出其接收到的数据包所属连接为连 接重用且该数据包为非法数据包情况下,将该非法数据包替换成合法数据包 或无效数据包,以便在不中断连接的同时阻止该非法行为。需要说明的是, 具有与替换模块121和识别模块122同样功能的一个模块也在本发明的保护 范围之内。图1中,实线为外发行为路径,即由内通信对端110向外通信对端140 外发数据包的路径;虚线为内入行为路径,即由外通信对端140向内通信对 端110发送数据包的路径。
内通信对端110向外通信对端140发送数据包,首先需要向网路设备120 中的识别模块122发送行为请求。识别模块122接收到包含该行为请求的数 据包后,识别该数据包内容,具体识别方法参见申请号为2008102272823, 申请人:为北京网康科技有限公司,发明名称为一种防木马的网络安全系统及 方法的中国发明专利。当识别模块122识别出该数据包所属连接为连接重用 且该数据包包含部分或全部非法行为后,即识别出该数据包符合系统配置 的非法数据包后,识别模块122将该非法数据包发送至替换模块121。替换 模块121接收该非法数据包,并对该非法数据包做替换处理,再将替换后的 数据包通过互联网130发送至外通信对端140。当识别模块122识别出来自 内通信对端110的数据包为合法数据包时,直接将该合法数据包通过互联网 130发送至外通信对端140。
同样,外通信对端140向内通信对端IIO发送数据包,首先需要通过互 联网130向网络设备120中的识别模块122发送行为请求。识别模块122接 收到包含该行为请求的数据包后,识别该数据包内容。当识别模块122识别 出该数据包所属连接为连接重用且该数据包包含部分或全部非法行为后,即 识别出该数据包符合系统配置的非法数据包后,将该非法数据包发送至替换 模块121。替换模块121接收该非法数据包,并对该非法数据包做替换处理, 再将替换后的数据包发送至内通信对端110。当识别模块122识别出来自外 通信对端140的数据包为合法数据包时,直接将该合法数据包发送至内通信 对端110。
图l仅是示意性地描述了本发明一个实施例的网络行为控制系统,实际 上本发明的网络行为控制系统也可以包括除图1以外的其它设备,而该增加 其它设备的系统与图1所示系统具有相同功能,举例如内通信对端110与外 通信对端140通过中转服务器相互发送数据。
下面针对连接重用详细阐述在不中断连接情况下控制非法行为的方法。 图2是识别及控制非法行为流程图。图2中,首先识别数据包内容,再判定 该数据包是否合法,在该数据包合法情况下继续识别其它数据包内容。在判 定该数据包不合法情况下,判定该非法数据包是否属于连接重用,若该非法数据包的连接为连接重用,则将该非法数据包修改成合法数据包或无效数据
包,具体修改方法将在以下内容中得到详细阐述;然后重新计算修改后数据 包校检和并替换原有校检和;最后将该修改后的数据包发送出去。若该数据 包非法且该非法数据包的连接为单连接,则直接丢弃该非法数据包进而该单 连接断开。
数据包包括一个或多个域,该域包括域名和域值也可以仅包括域名或仅 包括域值。本发明通过修改非法数据包域的方式将该非法数据包修改成合法 数据包或无效数据包,进而达到不中断连接情况下仍旧能够有效地阻止非法 行为的目的。下面以MSN连接、HTTP连接为例阐述修改非法数据包的方法。
一.以MSN连接为例阐述修改非法数据包的方法。
举例如testlin@mail.test.edu.cn为内通信对端110的用户, testar斷otma i I. com为夕卜通信对端140的用户。
图3是MSN文件传输数据包载荷示意图,该MSN文件传输数据包包括文 件传输请求数据包310和文件接收数据包320。在该MSN文件传输数据包载 荷示意图中,to:〈msnmsgr:testar柳otmai I. com〉表示 MSN 接收方为 testar@hotmai I. com; from: <msnmsgr: test I in@mai I. test. edu. cn〉表示MSN 发送方为testlin@mail.test.edu.cn;域名INVITE表示文件传车俞请求; MSNSLP/1.0 200 OK表示接收文件。因此通过图3可知,用户 test I in@mai I. test. edu. cn向用户testar@hotmai I. com发送文件传输请求 且用户testar@hotma i I com接收了由test I i n@ma i I. test. edu. cn发送的文 件。
假设网络模块120设置为不允许内通信对端110向外部传输文件,则将 该不合法的传输文件数据包修改成合法的聊天数据包,进而解决了 test I in@mai I. test. edu. cn与testar@hotma i I. com连接不中断的同B十成功 地阻止了内通信对端110向外部发送文件。
具体修改内容参见图4,图4是MSN聊天数据包载荷示意图。图4中的 聊天发送数据包410及发送方聊天信息420是替换模块121将文件传输请求 数据包310替换掉的内容。替换后外通信对端140接收到MSN自动生成的数 据包即自动生成接收数据包430,由于文件传输请求数据包310被替换模块 121替换,因此MSN不再生成接收文件数据包320。由于MSN聊天发送数据 包与文件传输请求数据包格式相差很大,因此直接将文件传输请求数据包310替换成聊天发送数据包410及聊天内容"hel lo"。图4中的自动生成接 收数据包430由MSN在用户聊天过程中自动生成,以便用户 testar@hotmail.com 能够4委收到聊天内容 "hello "。 用户 testar@hotmai I. com在接收到 "heI Io"后回复"test",当然接收方回复 信息440可以是任意testar斷otmai I. com想要发送内容或者没有回复内容。 本发明通过将文件传输请求数据包310替换成聊天发送数据包410,使得文 件传输请求得不到响应,因此非法的文件传输被阻塞,合法的聊天正常进行。 需要说明的是,也可以将非法的文件请求数据包修改成系统设定的任意其他 合法数据包。
在本发明的另 一个实施例中,将非法的文件传输请求数据包域名INVITE 修改成无效域名,进而使得该非法数据包修改成为无效数据包。具体修改内 容参见图5,图5是修改后的域名载荷示意图。替换模块121将图3中的文 件传输请求包310中的传输文件域名INVITE替换成无意义的"……",当 然也可以将该非法域名INVITE替换成其他任何无意义内容。由于MSN客户 端无法从图5所示数据包中解析出合法域名,因此只能将该数据包忽略,对 于修改后的数据包MSN无反应,进而内通信对端110在发送传输文件请求后 不会得到任何响应,因此实现了内通信对端110与外通信对端140能够正常 聊天的同时有效阻止内通信对端110向外部传输文件。
二.以HTTP连接为例修改非法数据包的方法。
图6是HTTP数据包载荷示意图。其中,POST http表示向http地址上 传数据;GET http表示向http地址下载数据;HTTP/1. 1 200 OK表示接收 到请求,其即可以用来表示收到上传数据请求也可以用来表示下载数据请求。
假设网络模块120设置为不允许内通信对端110访问MSN网站,则本发 明将非法域值修改成合法域值,进而使得该非法数据包修改成为合法数据包, 以便实现不中断http连接情况下有效地阻止了内通信对端110的用户访问 MSN网站。在本发明的一个实施例中,将GET后面地址替换成允许用户访问 的合法地址或者无效地址,则此时用户将会访问替换后的该合法地址或该无 效地址。由于将非法MSN地址修改成其他地址,因此用户无法正常访问MSN 网站,而此时http连接并未中断,因此用户可以正常访问其他合法地址。
在本发明的另 一 个实施例中,将content-length:96修改成 content-1 ength:0。该content-1 ength后面长度用于告知用户要上传或下栽数据的长度,将长度值96修改成0,则此时用户上传或下栽数据长度为0, 这就意味着没有数据上传或下载,因此用户无法正常访问MSN网站。需要说
网站。举例如将域名GET替换成域名P0ST,替换后内通信对端110的用户下 载网页变成了上传行为,而该用户却并未指定具体的上传数据,因此替换后 的该POST操作无效,也就不能正常访问MSN网站。当然也可以将域名GET 修改成ABC等任意非http域名,则此时该修 文后的非http域名会被忽略, 进而包含该非http域名的数据包会被忽略,因此导致用户无法访问MSN网 站。
前文仅以MSN连接、http连接为例阐述在连接重用中如何在不中断连接 情况下阻止非法行为允许合法行为的执行,实际上只要通过本发明的系统或 方法成功阻止非法行为的同时合法行为能够正常进行且连接不中断都在本 发明保护范围之内。举例如VOIP协议族H. 323协议的子协议H. 245 (多媒体 通信控制协议),同样能够通过本发明方法实现同一条连接上阻止非法行为 而允许合法行为。图7是H. 245连接示意图,从该图7可知H. 245连接属于 连接重用。在该H. 245连接中,域值主要是为主叫方、被叫方、设定的信息、 系统参数等;域名主要有terminalcapabilityset (终端容量设定请求)、 terminalcapabilitysetack(终端容量设定确认)、openlogicalchannel (打 开逻辑信道请求)、openlogicalchannelack (打开逻辑信道确认)、 openlogicalchannelreject( 打开 逕 4尋 4言 道才巨 纟色 ) 、 openlogicalchannelconf irm (打开逻辑信道完成)等等。由于在H. 245连 接中,请求设定终端容量的行为、确认设定终端容量的行为、请求打开逻辑 信道的行为、确认打开逻辑信道的行为、拒绝打开逻辑信道的行为以及完成 打开逻辑信道的行为等等均能够被同一条连接所使用,因此通过本发明方法 修改系统设定的以上所述非法域值或者非法域名,就能够达到不中断连接的 同时阻止非法行为而允许合法行为。
本发明还提供了一种用于控制网络行为的计算机系统,该计算机系统包 括替换模块,该替换才莫块与前文所述的替换模块121具有同样的功能。外通 信对端140通过互^:网130与该计算^L系统相连,以4更该外通信对端与该计 算机系统相互发送数据。所述替换模块在所述计算机系统识别出其发送或接 收数据包所属连接为连接重用且该数据包为非法数据包情况下,将该非法数据包替换成合法数据包或者无效数据包,以便在不中断连接的同时阻止非法 行为。
显而易见,在不偏离本发明的真实精神和范围的前^是下,在此描述的本 发明可以有许多变化。因此,所有对于本领域技术人员来说显而易见的改变, 都应包括在本权利要求书所涵盖的范围之内。本发明所要求保护的范围仅由 所述的权利要求书进行限定。
权利要求
1.一种网络设备(120),其中内通信对端(110)与外通信对端(140)通过该网络设备(120)及互联网(130)相连,以便该内通信对端(110)与外通信对端(140)相互发送数据;其特征在于所述网络设备(120)包括替换模块(121),在所述网络设备(120)识别出其接收到数据包所属连接为连接重用且该数据包为非法数据包情况下,将该非法数据包替换成合法数据包或者无效数据包,以便在不中断连接的同时阻止该非法数据包的传输。
2. 如权利要求1所述的一种网络设备(120),其特征在于,所述网络 设备(120)包括识别模块(122),用于识别其接收到的数据包的连接是否 为连接重用以及识别该数据包是否为非法数据包。
3. 如权利要求1所述的一种网络设备(120),其特征在于,所述替换 模块(122)用于将非法数据包中的非法域名修改成合法域名或无效域名。
4. 如权利要求1所述的一种网络设备(120),其特征在于,所述替换 模块(122)用于将非法数据包中的非法域值修改成合法域值或无效域值。
5. 如权利要求1所述的一种网络设备(120),其特征在于,所述连接 重用为MSN连接、HTTP连接或H. 245连接。
6. —种网络行为控制方法,包括截获内通信对端(110)与外通信对端(140)通过网络设备(120)及 互联网(130)相互传输数据的数据包;识别所述数据包所属连接是否为连接重用,且识别该数据包是否为非法 数据包;在识别出所述数据包的连接为连接重用且该数据包为非法数据包时,将 该非法数据包替换成合法数据包或者无效数据包,以便在不中断连接的同时 阻止该非法数据包的传输。
7. 如权利要求6所述的一种网络行为控制方法,包括在将非法数据包中 的非法行为替换成合法行为之后,首先计算该修改后数据包的校验和并替换 原校验和,然后再发送该替换校验和后的数据包。
8. 如权利要求6所述的一种网络行为控制方法,其特征在于,所述非法数据包包括非法域名,合法数据包中的域名均为合法域名和/或无效域名。
9. 如权利要求6所述的一种网络行为控制方法,其特征在于,所述非法 数据包包括非法域值,合法数据包中的域值均为合法域值和/或无效域值。
10. 如权利要求6所述的一种网络行为控制方法,其特征在于,所述连 接重用为MSN连接、HTTP连接或H. 245连接。
11. 一种计算机系统,其中一外通信对端通过互联网与该计算机系统相 连,以便该外通信对端与该计算机系统相互发送数据;其特征在于所述计算 才几系统包4舌替换模块,在所述计算机系统识别出其发送或接收数据包所属连接为连 接重用且该数据包为非法数据包情况下,将该非法数据包替换成合法数据包 或者无效数据包,以便在不中断连接的同时阻止该非法数据包的传输。
全文摘要
本发明涉及计算机安全领域,尤其涉及一种网络行为控制系统及方法。本发明通过网络设备(120)截获内通信对端(110)与外通信对端(140)通过互联网(130)相互传输数据的数据包,在识别模块(122)识别出该数据包的连接为连接重用且该数据包为非法数据包情况下,替换模块(121)将该非法数据包替换成合法数据包或者无效数据包,进而实现了不中断连接的同时有效地阻止了非法行为。本发明的系统及方法在局域网防御系统中具有重要应用价值。
文档编号H04L29/06GK101610259SQ200910089659
公开日2009年12月23日 申请日期2009年7月28日 优先权日2009年7月28日
发明者林 刘, 周知远, 张永臣 申请人:北京网康科技有限公司