网络管控方法和装置的制造方法
【技术领域】
[0001]本发明涉及网络安全技术领域,特别是涉及一种网络管控方法和装置。
【背景技术】
[0002]随着互联网的高速发展,网络给人们的生活、工作带来了巨大的方便,但同时也带来了网络安全问题。通过在网络出口处部署安全网关即可实现对网络的全面管控。
[0003]传统的安全网关是根据“4W1H”维度制定安全策略,即针对某用户(Who,一般是用户名、IP、MAC地址)在什么时间(When)什么地点(Where)用什么上网工具(How)使用了哪些应用(What)来做管控策略,由于这些维度的内容都是固定的,缺乏灵活性,例如,传统网关通过限制P2P下载速度超过2M的用户来进行网络管控,若恶意用户长时间以1.SM下载速度进行P2P下载,传统的网络管控方法无法对该恶意用户进行管控,导致网络管控能力弱。
【发明内容】
[0004]基于此,有必要针对上述技术问题,提供一种提高网络管控能力的网络管控方法和装置。
[0005]一种网络管控方法,所述方法包括:
[0006]获取用户标识的动态属性;
[0007]根据预设的动态属性与网络管控方式的映射关系,获取所述用户标识的动态属性所对应的网络管控方式;
[0008]对所述用户标识对应的网络行为执行所述网络管控方式。
[0009]在其中一个实施例中,所述获取用户标识的动态属性的步骤之前,所述方法还包括:
[0010]获取网络行为异常的用户标识;
[0011]对所述用户标识标记与所述网络行为异常相匹配的动态属性。
[0012]在其中一个实施例中,所述对所述用户标识标记与所述网络行为异常相匹配的动态属性的步骤之后,所述方法还包括:
[0013]判断所述网络行为异常是否消失,若是,则清除对用户标识标记的与网络行为异常相匹配的动态属性。
[0014]在其中一个实施例中,所述方法还包括:
[0015]获取执行所述网络管控方式对应的管控时间;
[0016]判断所述管控时间是否达到预设阈值,若是,则进一步判断用户标识的动态属性是否存在,若否,则解除对所述用户标识对应网络行为执行的网络管控方式。
[0017]在其中一个实施例中,所述网络管控方式包括以下至少一种:应用管控、权限管控、流量限制以及上网审计。
[0018]一种网络管控装置,所述装置包括:
[0019]属性获取模块,用于获取用户标识的动态属性;
[0020]方式获取模块,用于根据预设的动态属性与网络管控方式的映射关系,获取所述用户标识的动态属性所对应的网络管控方式;
[0021]网络管控模块,用于对所述用户标识对应的网络行为执行所述网络管控方式。
[0022]在其中一个实施例中,所述装置还包括:
[0023]标识获取模块,用于获取网络行为异常的用户标识;
[0024]属性标记模块,用于对所述用户标识标记与所述网络行为异常相匹配的动态属性。
[0025]在其中一个实施例中,所述装置还包括:
[0026]属性消除模块,用于判断所述网络行为异常是否消失,若是,则清除对用户标识标记的与网络行为异常相匹配的动态属性。
[0027]在其中一个实施例中,所述装置还包括:
[0028]时间获取模块,用于获取执行所述网络管控方式对应的管控时间;
[0029]管控解除模块,用于判断所述管控时间是否达到预设阈值,若是,则进一步判断用户标识的动态属性是否存在,若否,则解除对所述用户标识对应网络行为执行的网络管控方式。
[0030]在其中一个实施例中,所述网络管控方式包括以下至少一种:应用管控、权限管控、流量限制以及上网审计。
[0031]上述网络管控方法和装置,用户可以预先设置动态属性以及动态属性对应的网络管控方式,根据用户标识的动态属性对应的网络管控方式对网络行为进行管控,本发明提供的方法和装置在固定的维度上增加了动态属性的维度,使得用户可以更灵活的指定网络管控策略,相比传统固定维度的网络管控方式,提高了网络管控能力。
【附图说明】
[0032]图1为一个实施例中网络管控方法的流程示意图;
[0033]图2为另一个实施例中网络管控方法的流程示意图;
[0034]图3为一个实施例中网络管控装置的结构示意图;
[0035]图4为一个实施例中网络管控装置的结构示意图;
[0036]图5为一个实施例中网络管控装置的结构示意图;
[0037]图6为一个实施例中网络管控装置的结构示意图。
【具体实施方式】
[0038]为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
[0039]如图1所示,在一个实施例中,提供的一种网络管控方法,该方法包括如下步骤:
[0040]步骤101,获取用户标识的动态属性。
[0041]通过用户标识可以确定唯一的上网对象。具体的,用户标识包括但不限于:用户名称以及用户所在终端的IP地址或者物理地址。动态属性是指用户标识对应网络行为进行标记的标签,本实施例中,用户可以预先定义动态属性的内容。例如,将网络下载流量超过2M/S的动态属性定义为恶意下载。在一个实施例中动态属性包括但不限于以下至少一种:恶意下载、带宽滥用、违规热点使用以及计算机病毒感染等。
[0042]步骤103,根据预设的动态属性与网络管控方式的映射关系,获取用户标识的动态属性所对应的网络管控方式。
[0043]网络管控方式是指为包含动态属性的用户设置的网络管控策略,在一个实施例中,显示建立动态属性与网络管控方式映射关系的配置界面,接收用户预先在配置界面为动态属性配置的网络管控方式。根据用户标识的动态属性即可确定对应的网络管控方式。网络管控方式包括放通、拒绝以及告警之外还包括自定义的网络管控方式。
[0044]在一个实施例中,网络管控方式包括但不限于以下至少一种:应用管控、权限管控、流量限制以及上网审计。例如,恶意下载和带宽滥用的动态属性对应的网络管控方式为流量限制,违规热点使用对应的网络管控方式为权限管控,计算机病毒感染对应的网络管控方式为上网审计等。动态属性与网络管控方式的映射关系包括但不限于一对多也或多对一的映射关系。步骤105,对用户标识对应的网络行为执行网络管控方式。
[0045]执行网络管控方式的用户标识其某些网络行为将会受到相对应的限制,例如,网络管控方式为流量限制,执行流量限制的网络管控的用户标识对应的网络下载速度将会限制在预设的范围内。
[0046]上述网络管控方法,用户可以预先设置动态属性以及动态属性对应的网络管控方式,根据用户标识的动态属性对应的网络管控方式对网络行为进行管控,本发明提供的方法和装置在固定的维度上增加了动态属性的维度,使得用户可以更灵活的指定网络管控策略,相比传统固定维度的网络管控方式,提高了网络管控能力。
[0047]如图2所示,在一个实施例中,提供的一种网络管控方法包括如下步骤:
[0048]步骤201,获取网络行为异常的用户标识。
[0049]在一个实施例中,通过安全网关中包含的网络监测模块实时监测用户的网络行为,将网络行为异常的用户标识标记出来。具体的,网络监测模块包括但不限于以下至少一种:流量监测模块、病毒木马监测模块以及违规设置热点监测模块。为了方便后续对网络行为异常的用户进行处理,进一步的,网络监测模块将网络行为异常的用户标识打上相对应的异常标记。例如,感染了计算机病毒的用户,则在用户标识打上中毒标记。从监控的用户标识中提取出存在异常标记的用户标识,该用户标识即为网络行为异常的用户标识。
[0050]在另一个实施例中,通过与外部服务器连接,例如,通过与