專利名稱:一種網(wǎng)絡(luò)行為管理系統(tǒng)及方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計算機互聯(lián)網(wǎng)技術(shù)領(lǐng)域,尤其涉及一種網(wǎng)絡(luò)行為管理系統(tǒng)及方法。
背景技術(shù):
隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展,企業(yè)內(nèi)部網(wǎng)絡(luò)日益龐大,網(wǎng)絡(luò)拓撲結(jié)構(gòu)越來越復(fù) 雜,網(wǎng)絡(luò)的保密性和安全性越發(fā)顯得重要。與此同時,越來越多的企業(yè)對網(wǎng)絡(luò)管理的精 細化需求逐漸強烈,如需要控制員工在上班時間玩網(wǎng)絡(luò)游戲、炒股、觀看在線視頻等?,F(xiàn)有的網(wǎng)絡(luò)安全技術(shù)有IDS、IPS等。IDS (Intrusion Detection System,入侵檢測 系統(tǒng))是在網(wǎng)絡(luò)攻防抵抗環(huán)境中實現(xiàn)的網(wǎng)絡(luò)入侵檢測預(yù)警評估及響應(yīng)的控制系統(tǒng)?;?旁路檢測的IDS通過連接在網(wǎng)絡(luò)上的站點來捕獲網(wǎng)絡(luò)上的數(shù)據(jù)包,并分析其是否具有已 知的攻擊模式,以此來判定是否為入侵者,當(dāng)發(fā)現(xiàn)有可疑現(xiàn)象時就會產(chǎn)生告警。IDS偵 測速度快、占用資源少,但IDS控制性較差,且具有滯后性,處理效率也較低。IPS (Intrusion Prevention System,入侵防御系統(tǒng))是一種能夠監(jiān)視網(wǎng)絡(luò)資料傳輸 行為的計算機網(wǎng)絡(luò)安全系統(tǒng),其能夠即時中斷、調(diào)整及隔離一些不正?;蚴蔷哂袀π?的網(wǎng)絡(luò)資料傳輸行為。目前,IPS產(chǎn)品能夠提供網(wǎng)絡(luò)層以上的入侵和攻擊審查檢測。然 而,由于IPS需要對數(shù)據(jù)包進行緩存后再進行處理,因此IPS延遲大,性能很差。ICG是北京網(wǎng)康科技有限公司推出的一款專業(yè)的上網(wǎng)行為管理產(chǎn)品,是面向企 業(yè)用戶的軟硬件一體化的控制管理網(wǎng)關(guān),其能夠提供強大的網(wǎng)絡(luò)管理功能。然而如果直接將ICG產(chǎn)品的審計模塊部分串接到傳輸數(shù)據(jù)包的數(shù)據(jù)通路中,則 由于ICG處理過多事務(wù)(處理整個通路中的數(shù)據(jù)),將會導(dǎo)致處理速度緩慢,使得ICG產(chǎn) 品所接入的客戶網(wǎng)絡(luò)規(guī)模有太大限制。如果將ICG產(chǎn)品作為旁路并聯(lián)至數(shù)據(jù)通路中,則 ICG審計模塊在審計某一數(shù)據(jù)包時,該數(shù)據(jù)包已經(jīng)離開ICG產(chǎn)品系統(tǒng),即使得出數(shù)據(jù)包 非法,也不能有針對性的阻塞該數(shù)據(jù)包。因此,此種方式控制效果很差。
發(fā)明內(nèi)容
本發(fā)明提供了一種能解決以上問題的網(wǎng)絡(luò)行為管理系統(tǒng)及方法。在第一方面,本發(fā)明提供了一種網(wǎng)絡(luò)行為管理系統(tǒng)。該系統(tǒng)包括審計模塊、策 略模塊和延遲及控制模塊。該策略模塊用于根據(jù)其內(nèi)置策略實時檢測流經(jīng)該策略模塊的 數(shù)據(jù)包,并且復(fù)制符合該內(nèi)置策略的數(shù)據(jù)包至該審計模塊,且將該符合內(nèi)置策略的數(shù)據(jù) 包發(fā)送至該延遲及控制模塊。該審計模塊用于對所述復(fù)制的數(shù)據(jù)包進行應(yīng)用層內(nèi)容審 計,以審計該數(shù)據(jù)包是否為非法數(shù)據(jù)包,并將該審計結(jié)果發(fā)送至該延遲及控制模塊。該 延遲及控制模塊用于對所述來自該策略模塊的數(shù)據(jù)包進行延遲處理,并基于來自審計模 塊的審計結(jié)果對該被延遲數(shù)據(jù)包進行控制和處理。在第二方面,本發(fā)明提供了一種網(wǎng)絡(luò)行為管理方法。該方法首先實時檢測網(wǎng) 絡(luò)中的數(shù)據(jù)包,并復(fù)制符合特定策略的數(shù)據(jù)包,然后再將該符合特定策略數(shù)據(jù)包進行延 時處理。再對所述復(fù)制數(shù)據(jù)包進行應(yīng)用層內(nèi)容審計,以審計處該數(shù)據(jù)包是否為非法數(shù)據(jù)包。最后基于所述審計結(jié)果,對所述符合特定策略數(shù)據(jù)包進行控制和處理。本發(fā)明能夠根據(jù)用戶需求智能地判定何種數(shù)據(jù)包需要延遲,并對此種數(shù)據(jù)包做 應(yīng)用層內(nèi)容審計,從而決定是否需要阻止該被延遲數(shù)據(jù)包。本發(fā)明不僅能夠為企業(yè)內(nèi)網(wǎng) 提供精細化的管理,而且此種網(wǎng)絡(luò)行為管理方法處理事務(wù)效率極高,且在控制效果和性 能上有著極為顯著的提高。
下面將參照附圖對 本發(fā)明的具體實施方案進行更詳細的說明,在附圖中圖1是本發(fā)明一個實施例的網(wǎng)絡(luò)行為管理系統(tǒng)框圖;圖2是本發(fā)明另一個實施例的網(wǎng)絡(luò)行為管理系統(tǒng)框圖;圖3是本發(fā)明一個實施例的多個CPU與多個延遲隊列一一對應(yīng)的關(guān)系示意圖;圖4是本發(fā)明一個實施例的網(wǎng)絡(luò)行為管理流程圖。
具體實施例方式圖1是本發(fā)明一個實施例的網(wǎng)絡(luò)行為管理系統(tǒng)框圖。該系統(tǒng)包括ICG審計模塊 110、策略模塊120、延遲及控制模塊130。圖1中,策略模塊120位于數(shù)據(jù)通路上,其用于控制經(jīng)過該策略模塊120的數(shù)據(jù) 包是直接通過該數(shù)據(jù)通路還是通過該延遲及控制模塊130進行延遲處理。其中,該數(shù)據(jù) 通路是傳輸網(wǎng)絡(luò)中數(shù)據(jù)包的一條通路。具體地,該策略模塊120根據(jù)其內(nèi)置策略允許一部分數(shù)據(jù)包通過該數(shù)據(jù)通路, 而阻止或暫時阻止另一部分數(shù)據(jù)包通過該數(shù)據(jù)通路,且將此部分數(shù)據(jù)包(被阻止或被暫 時阻止的數(shù)據(jù)包)發(fā)送至該控制模塊130。該控制模塊130首先對此部分數(shù)據(jù)包(被阻止 或被暫時阻止的數(shù)據(jù)包)進行延遲處理,然后再基于該ICG審計模塊110的審計結(jié)果,對 此部分數(shù)據(jù)包做控制和處理。其中,該策略模塊120中內(nèi)置策略為IP地址方式,和/或 網(wǎng)卡端口方式,和/或應(yīng)用類型方式。例如,IP地址從0.0.0.1到0.0.0.10的所有終端發(fā) 送的數(shù)據(jù)包均需要經(jīng)過該延遲及控制模塊130進行延遲處理,而其他數(shù)據(jù)包則直接通過 該數(shù)據(jù)通路。又如,網(wǎng)卡端口從1到10的所有終端發(fā)送的數(shù)據(jù)包均需要經(jīng)過該延遲及控 制模塊130進行延遲處理,而其他數(shù)據(jù)包則直接通過該數(shù)據(jù)通路。還如,應(yīng)用類型為論 壇發(fā)帖的所有數(shù)據(jù)包均需要經(jīng)過該延遲及控制模塊130進行延遲處理,而其他應(yīng)用類型 數(shù)據(jù)包則直接通過該數(shù)據(jù)通路。該應(yīng)用類型種類有多種,如訪問非法網(wǎng)站類、炒股類、 觀看在線視頻類、網(wǎng)絡(luò)聊天類、收發(fā)電子郵件類、論壇發(fā)帖類、玩網(wǎng)絡(luò)游戲類等。由于數(shù)據(jù)包本身就攜帶IP地址、網(wǎng)卡端口號,因此,該策略模塊120可以直接 識別出每一數(shù)據(jù)包的IP地址、網(wǎng)卡端口號。然而,任何數(shù)據(jù)包中都不直接攜帶該數(shù)據(jù)包 的應(yīng)用類型,基于此種情況,圖2給出了具體解決方案。圖2是本發(fā)明另一個實施例的網(wǎng) 絡(luò)行為管理系統(tǒng)框圖。該圖2是在圖1基礎(chǔ)上,增加了一個DPI設(shè)備,該DPI設(shè)備(深 度包檢測設(shè)備)用于確定經(jīng)過其數(shù)據(jù)包的應(yīng)用類型。需要說明的是,策略模塊120中的內(nèi)置策略不限于以上所述幾種方式,即可以 是除IP地址方式、網(wǎng)卡端口方式、應(yīng)用類型方式以外的任何一種策略。較佳地,該策略模塊120的內(nèi)置策略由ICG審計模塊110來配置,即該ICG審計模塊110具有配置該策略模塊120內(nèi)置策略的功能。此外,該策略模塊120還可以用于實時檢測網(wǎng)絡(luò)環(huán)境,具有異常狀況處理機 制。舉例如,該策略模塊120可以實時檢測系統(tǒng)中各CPU負載情況,檢測網(wǎng)絡(luò)流量,檢 測ICG審計模塊110是否正常工作等。因此,該ICG審計模塊110還可以配置該策略模塊120所檢測網(wǎng)絡(luò)環(huán)境的具體功 能,如配置該ICG審計模塊110是否需要具有檢測網(wǎng)絡(luò)中CPU負載情況的功能,是否需 要具有檢測網(wǎng)絡(luò)流量的功能,是否需 要具有檢測該ICG審計模塊的功能等。該ICG審計模塊110不僅可以配置該策略模塊120所具有功能,而且還可以關(guān)閉 該策略模塊120。在關(guān)閉該策略模塊120后,該策略模塊120無任何功能,即其不對數(shù)據(jù) 通路上的任何數(shù)據(jù)包做處理或控制,而是直接將所有數(shù)據(jù)包放行。該ICG審計模塊110除了可以用于配置該策略模塊120所具有功能之外,還用于 從該策略模塊120中復(fù)制經(jīng)由該策略模塊120的且符合其內(nèi)置策略的數(shù)據(jù)包,并對該數(shù)據(jù) 包進行應(yīng)用層內(nèi)容審計。即該ICG審計模塊110是一個應(yīng)用層內(nèi)容審計模塊,其能夠?qū)?計出數(shù)據(jù)包應(yīng)用層內(nèi)容。具體地,該ICG審計模塊110能夠識別出用戶是否訪問非法網(wǎng)站,用戶是否在炒 股、觀看視頻、上網(wǎng)聊天,且能夠?qū)彶槌鲇脩羰瞻l(fā)電子郵件中的郵件內(nèi)容、用戶通過聊 天工作進行聊天的內(nèi)容、用戶在論壇上發(fā)帖的內(nèi)容等應(yīng)用層信息。因此,用戶可以通過 向該ICG審計模塊110中設(shè)置何種類型數(shù)據(jù)包為非法數(shù)據(jù)包,即何種網(wǎng)絡(luò)活動為非法網(wǎng)絡(luò) 活動,以完成對企業(yè)內(nèi)網(wǎng)的精細化管理。舉例如,用戶可以設(shè)置玩網(wǎng)絡(luò)游戲、觀看在線 視頻為非法網(wǎng)絡(luò)活動,從而提高員工工作效率。該延遲及控制模塊130用于接收來自策略模塊120的數(shù)據(jù)包,并對該數(shù)據(jù)包進行 延遲處理,并且基于來自ICG審計模塊110對該數(shù)據(jù)包所作出的審計結(jié)果,對該數(shù)據(jù)包進 行控制和處理。且該控制和處理結(jié)果有多種,舉例如,一種是放行該數(shù)據(jù)包,即將該數(shù) 據(jù)包發(fā)送至數(shù)據(jù)通路后繼續(xù)傳輸;另一種是阻止該數(shù)據(jù)包,或直接丟棄該數(shù)據(jù)包;還有 一種是修改數(shù)據(jù)包內(nèi)容,如修改數(shù)據(jù)包內(nèi)容為提示信息內(nèi)容,而不是原本網(wǎng)頁內(nèi)容,然 后再將該修改后的數(shù)據(jù)包發(fā)送至請求方;再有一種是對數(shù)據(jù)包所屬連接進行控制,如控 制TCP連接。該延遲及控制模塊130對數(shù)據(jù)包所作出的控制和處理有多種,在此不一一 列舉。若系統(tǒng)中僅有一個CPU(處理器),則該延遲及控制模塊130中的延遲隊列數(shù)量 為1個。并且該延遲及控制模塊130對數(shù)據(jù)包進行延遲處理的方式為,首先接收該數(shù)據(jù) 包;然后將該數(shù)據(jù)包放入到該延遲隊列中,并對該數(shù)據(jù)包進行延遲處理;最后再將該數(shù) 據(jù)包從該延遲隊列中發(fā)送出去。若系統(tǒng)中的CPU數(shù)量為多個,則該延遲及控制模塊130中的延遲隊列數(shù)量也是 多個,且該延遲隊列數(shù)量也該CPU數(shù)量相同,并且延遲隊列與CPU是一一對應(yīng)的,參見 圖3。圖3是本發(fā)明一個實施例的多個CPU與多個延遲隊列一一對應(yīng)的關(guān)系示意圖。 圖3中,CPU_1與延遲隊列_1相對應(yīng),CPU_2與延遲隊列_2相對應(yīng),......,CPU_n與
延遲隊列_11相對應(yīng)。也就是說,CPU_1處理的數(shù)據(jù)包通過該延遲及控制模塊130時,該 延遲及控制模塊130將其放入到延遲隊列_1進行延遲處理;同樣,CPU_2處理的數(shù)據(jù)包通過該延遲及控制模塊130時,該延遲及控制模塊130將該數(shù)據(jù)包放入到延遲隊列_2中 進行延遲處理;......;理的數(shù)據(jù)包通過該延遲及控制模塊130時,該延遲及控制
模塊130將該數(shù)據(jù)包放入到延遲隊列_n中進行延遲處理。因此,此種CPU與延遲隊列 一一對應(yīng)的方式,不需要同步,避免了競爭,提高了系統(tǒng)性能。較佳地,該延遲及控制模塊130中延遲隊列數(shù)量可根據(jù)系統(tǒng)CPU數(shù)量子適應(yīng)配置。圖4是本發(fā)明一個實施例的網(wǎng)絡(luò)行為管理流程圖。在步驟410,策略模塊120依據(jù)ICG審計模塊110的配置策略,實時檢測經(jīng)過該 策略模塊120的數(shù)據(jù)包。在步驟420,一旦檢測到有數(shù)據(jù)包符合該策略模塊120的內(nèi)置策略,則該策略模 塊120復(fù)制該數(shù)據(jù)包,再將該復(fù)制的數(shù)據(jù)包存儲起來,然后通知該ICG審計模塊110來取 該復(fù)制的數(shù)據(jù)包,或者該ICG審計模塊定期到該策略模塊120中獲取該復(fù)制數(shù)據(jù)包。然 后,該策略模塊120再將該數(shù)據(jù)包發(fā)送至該延遲及控制模塊130。舉例如,該策略模塊120中的內(nèi)置策略為IP地址為0.0.0.1的終端所發(fā)送數(shù)據(jù)包 需要經(jīng)過該延遲及控制模塊130進行延遲處理,則該策略模塊120實時檢測經(jīng)過其數(shù)據(jù) 包所屬終端IP地址是否為0.0.0.1,如果是,則復(fù)制該數(shù)據(jù)包,并將該復(fù)制數(shù)據(jù)包存儲起 來,然后再將該數(shù)據(jù)包發(fā)送至該延遲及控制模塊130。在步驟430,該ICG審計模塊110獲取到該復(fù)制數(shù)據(jù)包之后,對該數(shù)據(jù)包進行應(yīng) 用層內(nèi)容審計,識別出該數(shù)據(jù)包是否為非法數(shù)據(jù)包,然后再將該識別結(jié)果發(fā)送至該延遲 及控制模塊130。舉例如,若用戶在ICG審計模塊110中設(shè)置玩網(wǎng)絡(luò)游戲為非法網(wǎng)絡(luò)活動,且該 ICG審計模塊110審計出該數(shù)據(jù)包也為玩網(wǎng)絡(luò)游戲數(shù)據(jù)包時,則判定出該數(shù)據(jù)包為非法數(shù) 據(jù)包,并將該數(shù)據(jù)包是非法數(shù)據(jù)包這一審計結(jié)果發(fā)送至該延遲及控制模塊130。在步驟440,該延遲及控制模塊130接收來自該策略模塊110的數(shù)據(jù)包,并對該 數(shù)據(jù)包進行延遲處理,如延遲一毫秒,在此期間內(nèi)該延遲及控制模塊130等待接收該ICG 審計模塊110的審計結(jié)果,并在接收到該ICG審計模塊120的審計結(jié)果后,即在得到該數(shù) 據(jù)包是否為非法數(shù)據(jù)包這一結(jié)果后,根據(jù)該結(jié)果對該數(shù)據(jù)包進行處理。一個例子中,該延遲及控制模塊130通過延遲隊列方式對數(shù)據(jù)包進行延遲處 理。另一個例子中,該延遲時間可以由用戶自行配置。此外,若該延遲及控制模塊130在延遲時間內(nèi)(如一毫秒)并未收到該ICG審計 模塊110的審計結(jié)果,即若該ICG審計模塊110審計數(shù)據(jù)包所需時間超過系統(tǒng)設(shè)定的延遲 時間,則該延遲及控制模塊130直接將該數(shù)據(jù)包發(fā)送至該數(shù)據(jù)通路,以防止其影響網(wǎng)絡(luò) 速度。在步驟441,如果該延遲及控制模塊130接收到來自該ICG審計模塊110的審計 結(jié)果為該數(shù)據(jù)包是非法數(shù)據(jù)包,則該延遲及控制模塊130阻止該數(shù)據(jù)包的傳輸,或丟棄 該數(shù)據(jù)包,或者斷開該數(shù)據(jù)包所屬連接。在步驟442,如果該延遲及控制模塊130接收到來自該ICG審計模塊110的審計 結(jié)果為該數(shù)據(jù)包是合法數(shù)據(jù)包,則該延遲及控制模塊130放行該數(shù)據(jù)包,即其將該數(shù)據(jù) 包發(fā)送至該數(shù)據(jù)通路繼續(xù)傳輸。
需要說明的是,對數(shù)據(jù)包進行應(yīng)用層審計不限于采用ICG設(shè)備,即可以采用任 意一種能夠?qū)徲嫅?yīng)用層數(shù)據(jù)包的設(shè)備。顯而易見,在不偏離本發(fā)明的 真實精神和范圍的前提下,在此描述的本發(fā)明可 以有許多變化。因此,所有對于本領(lǐng)域技術(shù)人員來說顯而易見的改變,都應(yīng)包括在本 權(quán)利要求書所涵蓋的范圍之內(nèi)。本發(fā)明所要求保護的范圍僅由所述的權(quán)利要求書進行限定。
權(quán)利要求
1.一種網(wǎng)絡(luò)行為管理系統(tǒng),其特征在于,包括審計模塊(110)、策略模塊(120)、延 遲及控制模塊(130);該策略模塊(120)用于根據(jù)其內(nèi)置策略實時檢測流經(jīng)該策略模塊的數(shù)據(jù)包,并且 復(fù)制符合該內(nèi)置策略的數(shù)據(jù)包,且將該符合內(nèi)置策略的數(shù)據(jù)包發(fā)送至該延遲及控制模塊 (130);該審計模塊(110)用于對所述復(fù)制的數(shù)據(jù)包進行應(yīng)用層內(nèi)容審計,以審計該數(shù)據(jù)包 是否為非法數(shù)據(jù)包,并將該審計結(jié)果發(fā)送至該延遲及控制模塊(130);該延遲及控制模塊(130)用于對所述來自該策略模塊(120)的數(shù)據(jù)包進行延遲處 理, 并基于來自審計模塊(110)的審計結(jié)果對該被延遲數(shù)據(jù)包進行控制和處理。
2.如權(quán)利要求1所述的一種網(wǎng)絡(luò)行為管理系統(tǒng),其特征在于,所述策略模塊(120)將 不符合其內(nèi)置策略的數(shù)據(jù)包直接通過數(shù)據(jù)通路傳輸出去。
3.如權(quán)利要求1所述的一種網(wǎng)絡(luò)行為管理系統(tǒng),其特征在于,所述策略模塊(120)中 內(nèi)置策略為IP地址方式,和/或網(wǎng)卡端口方式,和/或應(yīng)用類型方式。
4.如權(quán)利要求3所述的一種網(wǎng)絡(luò)行為管理系統(tǒng),其特征在于,所述應(yīng)用類型包括訪問 非法網(wǎng)站類、炒股類、觀看在線視頻類、網(wǎng)絡(luò)聊天類、收發(fā)電子郵件類、論壇發(fā)帖類、 玩網(wǎng)絡(luò)游戲類中的一個或多個。
5.如權(quán)利要求3或4所述的一種網(wǎng)絡(luò)行為管理系統(tǒng),其特征在于,通過DPI設(shè)備來確 定數(shù)據(jù)包的應(yīng)用類型。
6.如權(quán)利要求1所述的一種網(wǎng)絡(luò)行為管理系統(tǒng),其特征在于,所述策略模塊(120)的 內(nèi)置策略由審計模塊(110)來配置。
7.如權(quán)利要求1所述的一種網(wǎng)絡(luò)行為管理系統(tǒng),其特征在于,所述審計模塊(110)為 ICG審計設(shè)備。
8.如權(quán)利要求1所述的一種網(wǎng)絡(luò)行為管理系統(tǒng),其特征在于,所述延遲及控制模塊 (130)采用延遲隊列方式對其接收到的數(shù)據(jù)包進行延遲處理。
9.如權(quán)利要求1所述的一種網(wǎng)絡(luò)行為管理系統(tǒng),其特征在于,所述延遲及控制模塊 (130)在接收到該數(shù)據(jù)包為合法數(shù)據(jù)包這一審計結(jié)果后,將該數(shù)據(jù)包發(fā)送至數(shù)據(jù)通路中繼 續(xù)傳輸。
10.如權(quán)利要求1所述的一種網(wǎng)絡(luò)行為管理系統(tǒng),其特征在于,所述延遲及控制模塊 (130)在接收到該數(shù)據(jù)包為非法數(shù)據(jù)包這一審計結(jié)果后,阻止該非法數(shù)據(jù)包傳輸,或者丟 棄該非法數(shù)據(jù)包,或者斷開該非法數(shù)據(jù)包所屬連接。
11.如權(quán)利要求1所述的一種網(wǎng)絡(luò)行為管理系統(tǒng),其特征在于,該系統(tǒng)包括多個 CPU,該延遲及控制模塊(130)包括多個延遲隊列;并且其每一延遲隊列均與該多核 CPU中每一 CPU——對應(yīng)。
12.—種網(wǎng)絡(luò)行為管理方法,其特征在于,包括實時檢測網(wǎng)絡(luò)中的數(shù)據(jù)包,并復(fù)制符合特定策略的數(shù)據(jù)包,然后再將該符合特定策 略數(shù)據(jù)包進行延時處理;然后對所述復(fù)制數(shù)據(jù)包進行應(yīng)用層內(nèi)容審計,以審計處該數(shù)據(jù)包是否為非法數(shù)據(jù)包;最后基于所述審計結(jié)果,對所述符合特定策略數(shù)據(jù)包進行控制和處理。
13.如權(quán)利要求12所述的一種網(wǎng)絡(luò)行為管理方法,其特征在于,在所述審計結(jié)果為該 數(shù)據(jù)包為合法數(shù)據(jù)包情況下,放行該數(shù)據(jù)包。
14.如權(quán)利要求12所述的一種網(wǎng)絡(luò)行為管理方法,其特征在于,在所述審計結(jié)果為該 數(shù)據(jù)包為非法數(shù)據(jù)包情況下,阻止該數(shù)據(jù)包的傳輸,或者丟棄該數(shù)據(jù)包,或者斷開該數(shù) 據(jù)包所屬連接。
15.如權(quán)利要求12所述的一種網(wǎng)絡(luò)行為管理方法,其特征在于,在所述數(shù)據(jù)包的延遲 時間內(nèi),并未得到所述審計結(jié)果情況下,放行該數(shù)據(jù)包。
全文摘要
本發(fā)明涉及一種網(wǎng)絡(luò)行為管理系統(tǒng)及方法。本發(fā)明包括審計模塊、策略模塊、延遲及控制模塊。該策略模塊用于根據(jù)其內(nèi)置策略實時檢測流經(jīng)該策略模塊的數(shù)據(jù)包,并且復(fù)制符合該內(nèi)置策略的數(shù)據(jù)包,且將該符合內(nèi)置策略的數(shù)據(jù)包發(fā)送至該延遲及控制模塊。該審計模塊用于對所述復(fù)制的數(shù)據(jù)包進行應(yīng)用層內(nèi)容審計,以審計該數(shù)據(jù)包是否為非法數(shù)據(jù)包,并將該審計結(jié)果發(fā)送至該延遲及控制模塊。該延遲及控制模塊用于對來自該策略模塊的數(shù)據(jù)包進行延遲處理,并基于來自審計模塊的審計結(jié)果對該被延遲數(shù)據(jù)包進行控制和處理。本發(fā)明控制效果佳、性能較高,且能夠廣泛應(yīng)用于企業(yè)內(nèi)部網(wǎng)絡(luò)中。
文檔編號H04L12/24GK102014010SQ20101061746
公開日2011年4月13日 申請日期2010年12月31日 優(yōu)先權(quán)日2010年12月31日
發(fā)明者張瑞娟, 楊東曉 申請人:北京網(wǎng)康科技有限公司