專利名稱：：網(wǎng)絡(luò)行為監(jiān)控方法
技術(shù)領(lǐng)域：
：本發(fā)明涉及網(wǎng)絡(luò)通信領(lǐng)域，具體而言，涉及一種網(wǎng)絡(luò)4亍為監(jiān)控方法。
背景技術(shù)：
：隨著內(nèi)網(wǎng)安全重要性的提升，網(wǎng)絡(luò)行為管理通過對員工上網(wǎng)行為的失見范，監(jiān)一見和控制，以防止內(nèi)部攻擊的發(fā)生和維護7>司資源的合理利用。一爿殳用戶#皮歸到不同IP(InternetProtocol,網(wǎng)際十辦i義)地址,殳進4亍不同的控制，也可以對不同的用戶組進4亍控制?，F(xiàn)有網(wǎng)絡(luò)4亍為監(jiān)控基于IP地址和用戶，對用戶的上網(wǎng)行為進行規(guī)范，涵蓋了多方面的控制用戶網(wǎng)站訪問控制，如色情，游戲網(wǎng)頁等；用戶各種應(yīng)用的控制，如網(wǎng)絡(luò)游戲，P2P,網(wǎng)絡(luò)—見頻等；用戶即時通ifl控制，如用戶email和webmail4空制；防泄密等。當前因為網(wǎng)絡(luò)設(shè)備的移動性增加，接入設(shè)備的安全性得不到保障，這個才支術(shù)無法和用戶PC(PersonalComputer,個人電腦)的身份標識和健康狀況聯(lián)系，決定對i殳備的控制。在實現(xiàn)本發(fā)明的過程中，發(fā)明人發(fā)現(xiàn)隨著網(wǎng)絡(luò)設(shè)備移動性的增加，各個客戶端的IP地址可能因為各種原因而改變，例如，移動辦7>，或者^f吏用了DHCP(DynamicHostConfigurationProtocol,動態(tài)略也可能發(fā)生改變，無法達到失見范上網(wǎng)4亍為的目的。
發(fā)明內(nèi)容本發(fā)明提供了一種網(wǎng)絡(luò)行為監(jiān)控方法，能夠解決現(xiàn)有技術(shù)中當用戶IP發(fā)生改變時，其行為監(jiān)控策略也可能發(fā)生改變，無法達到規(guī)范上網(wǎng)4亍為的目的的問題。根據(jù)本發(fā)明的一個方面，提供了一種網(wǎng)絡(luò)行為監(jiān)控方法，包括在用戶接入網(wǎng)絡(luò)時，確定用戶的用戶角色；才艮據(jù)用戶角色從預(yù)先配置的行為監(jiān)控策略列表中查找對應(yīng)的行為監(jiān)控策略；以及采用行為監(jiān)控策略對用戶的網(wǎng)絡(luò)行為進行控制。上述實施例通過4艮據(jù)用戶角色來乂人預(yù)先配置的行為監(jiān)控策略列表中查找到的對應(yīng)于該用戶角色的行為監(jiān)控策略來控制用戶的網(wǎng)絡(luò)行為，從而才艮據(jù)用戶的角色而非IP地址失見范用戶的網(wǎng)絡(luò)行為，克服了現(xiàn)有技術(shù)中當用戶IP發(fā)生改變時，其行為監(jiān)控策略也可能發(fā)生改變，無法達到規(guī)范上網(wǎng)行為的目的的問題，進而能夠達到靈活方便地進行網(wǎng)絡(luò)行為監(jiān)控的技術(shù)效果。此處所i兌明的附圖用來才是供對本發(fā)明的進一步理解，構(gòu)成本申請的一部分，本發(fā)明的示意性實施例及其說明用于解釋本發(fā)明，并不構(gòu)成對本發(fā)明的不當限定。在附圖中圖1示出了根據(jù)本發(fā)明實施例的網(wǎng)絡(luò)行為監(jiān)控方法的流程以及圖2示出了4艮據(jù)本發(fā)明實施例的網(wǎng)絡(luò)行為監(jiān)控的示意圖。具體實施例方式下面將參考附圖并結(jié)合實施例，來詳細i兌明本發(fā)明。圖1示出了根據(jù)本發(fā)明實施例的網(wǎng)絡(luò)行為監(jiān)控方法的流程圖。參照圖1,根據(jù)本發(fā)明實施例的網(wǎng)絡(luò)行為監(jiān)控方法包括以下步驟步駛《S102,在用戶沖妄入網(wǎng)纟各時，確定用戶的用戶角色；步驟S104，根據(jù)用戶角色從預(yù)先配置的行為監(jiān)控策略列表中查找對應(yīng)的行為監(jiān)控策略；以及步驟S106,采用行為監(jiān)控策略對用戶的網(wǎng)絡(luò)行為進行控制。上述實施例通過根據(jù)用戶角色來從預(yù)先配置的行為監(jiān)控策略列表中查找到的對應(yīng)于該用戶角色的行為監(jiān)控策略來控制用戶的網(wǎng)絡(luò)行為，從而才艮據(jù)用戶的角色而非IP地址規(guī)范用戶的網(wǎng)絡(luò)行為，克服了現(xiàn)有技術(shù)中當用戶IP發(fā)生改變時，其行為監(jiān)控策略也可能發(fā)進而能夠達到靈活方便地進行網(wǎng)絡(luò)行為監(jiān)控的技術(shù)效果。本發(fā)明把基于用戶的網(wǎng)絡(luò)行為監(jiān)控提升到基于角色的網(wǎng)絡(luò)行為監(jiān)控，進一步對用戶接入設(shè)備，接入方式進行細粒度控制?？蛇x地，該行為監(jiān)控策略列表中還包括諸如接口、應(yīng)用程序、源地址、目的地址的其他參數(shù)，以1更于網(wǎng)絡(luò)管理人員采取更靈活多樣的網(wǎng)絡(luò)行為監(jiān)控策略。優(yōu)選地，在用戶接入網(wǎng)絡(luò)時，確定用戶的用戶角色具體包括在用戶4妄入網(wǎng)絡(luò)時，才艮據(jù)用戶的用戶屬性來確定用戶角色；其中，用戶屬性包括以下屬性中的至少一個用戶名、用戶組、IP地址、安全域、4妄入方式、用戶所^吏用的PC、用戶所4吏用PC的安全狀態(tài)、以及當前時間?？梢杂删W(wǎng)絡(luò)管理人員才艮據(jù)該網(wǎng)絡(luò)的實際情況來i殳置具體才艮據(jù)用戶屬性中的哪幾個參^t來確定用戶角色。例如，對于安全性要求較低的網(wǎng)絡(luò)，網(wǎng)絡(luò)管理人員可以i殳置只需要才艮據(jù)用戶名就可以確定用戶角色，對于安全性高求較高的網(wǎng)絡(luò)，網(wǎng)絡(luò)管理人員可以設(shè)置需要才艮據(jù)用戶名和用戶的安全域一起確定用戶角色。除上述幾種用戶屬性以外，也可以配置才艮據(jù)其他用戶屬性來確定用戶角色，例如，用戶其他角色的組合。可選地，也可以根據(jù)需要直接由網(wǎng)絡(luò)管理人員為4妄入的用戶分配用戶角色。優(yōu)選地，行為監(jiān)控策略列表包括多個用戶角色以及各個用戶角色分別對應(yīng)的行為監(jiān)控策略。該行為監(jiān)控策略列表是一個靜態(tài)的列表，由網(wǎng)絡(luò)管理人員配置。根據(jù)本發(fā)明實施例的網(wǎng)絡(luò)行為監(jiān)控方法通過在4亍為監(jiān)控策略列到對同一種用戶角色的用戶實現(xiàn)網(wǎng)絡(luò)行為監(jiān)控的目的，從而能夠避免在IP地址有變化時造成的網(wǎng)絡(luò)行為監(jiān)控不便，以達到便于網(wǎng)絡(luò)行為監(jiān)控的技術(shù)效果。優(yōu)選地，在根據(jù)用戶角色從預(yù)先配置的行為監(jiān)控策略列表中查找對應(yīng)的行為監(jiān)控策略之前還包括建立用戶角色列表；以及將用戶的IP地址和用戶的用戶角色插入到用戶角色列表中。該用戶角色列表是一個動態(tài)的列表，其中，由網(wǎng)絡(luò)管理人員預(yù)先配置了多個用戶角色。當新的用戶4妄入網(wǎng)鄉(xiāng)各中時，才艮據(jù)預(yù)先的配置，將新4妄入的用戶的IP地址及其所擁有的角色作為一個新的表項插入到用戶角色列表中，以便于查找數(shù)據(jù)流對應(yīng)的用戶角色，以對凄t據(jù)流采取相應(yīng)的行為監(jiān)控策略。可選地，用戶角色列表還可以包括用戶的其他屬性。優(yōu)選地，根據(jù)用戶角色從預(yù)先配置的行為監(jiān)控策略列表中查找對應(yīng)的行為監(jiān)控策略具體包括在數(shù)據(jù)流建立過程中，根據(jù)數(shù)據(jù)流中的IP地址從用戶角色列表中查找數(shù)據(jù)流對應(yīng)的用戶角色；以及根據(jù)數(shù)據(jù)流所對應(yīng)的用戶角色從行為監(jiān)控策略列表中查找對應(yīng)的行為監(jiān)控策略。在網(wǎng)絡(luò)中的lt據(jù)流建立過程中，可以才艮據(jù)凝:據(jù)流的IP凈艮文頭攜帶的源地址或目的地址來乂人用戶角色列表中查找該凝:據(jù)流對應(yīng)的用戶角色，然后4艮據(jù)該用戶角色從行為監(jiān)控策略列表中查找對應(yīng)的行為監(jiān)控策略，以達到根據(jù)用戶角色進行行為監(jiān)控的目的。優(yōu)選地，在才艮據(jù)用戶角色從預(yù)先配置的行為監(jiān)控策略列表中查找對應(yīng)的行為監(jiān)控策略之前還包括建立用戶角色列表；以及將用戶的IP;也址和安全i或以及用戶的用戶角色4翁入到用戶角色列表中。當將用戶的IP地址和安全域插入到用戶角色列表中的對應(yīng)用戶表項時，用戶角色列表至少包括用戶IP,安全i或及對應(yīng)的用戶角色，以1更于通過結(jié)合IP;也址和安全i或來查詢到用戶^J"應(yīng)的用戶角色，通過將IP地址與安全域結(jié)合來查找用戶，能夠更準確的為該翁:據(jù)流分配行為監(jiān)控策略。可選地，用戶角色列表還可以包括用戶的其他屬性。優(yōu)選地，根據(jù)用戶角色從預(yù)先配置的行為監(jiān)控策略列表中查找對應(yīng)的行為監(jiān)控策略具體包括在數(shù)據(jù)流建立過程中，根據(jù)數(shù)椐流中的IP地址和安全域從用戶角色列表中查找數(shù)據(jù)流對應(yīng)的用戶角色；以及根據(jù)數(shù)據(jù)流所對應(yīng)的用戶角色從行為監(jiān)控策略列表中查找對應(yīng)的行為監(jiān)控策略。在網(wǎng)絡(luò)中的數(shù)據(jù)流建立過程中，可以根據(jù)數(shù)據(jù)流攜帶的IP地址和安全域信息來從用戶角色列表中查找該數(shù)據(jù)流對應(yīng)的用戶角色，然后根據(jù)該用戶角色從行為監(jiān)控策略列表中查找對應(yīng)的行為監(jiān)控策略，以達到根據(jù)用戶角色進行行為監(jiān)控的目的。優(yōu)選地，在根據(jù)用戶角色從預(yù)先配置的行為監(jiān)控策略列表中查找對應(yīng)的行為監(jiān)控策略之前還包括建立用戶角色列表；以及將用戶的IP地址和接入方式以及用戶的用戶角色插入到用戶角色列表中。當將用戶的IP地址和接入方式插入到用戶角色列表中的對應(yīng)用戶表項時，用戶角色列表至少包括用戶IP，接入方式及對應(yīng)的用戶角色，以1更于通過結(jié)合IPi也址和4妄入方式來查詢用戶對應(yīng)的用戶角色。通過將IP地址與接入方式結(jié)合來查找用戶，能夠更準確地為該數(shù)據(jù)流查找行為監(jiān)控策略?？蛇x地，用戶角色列表還可以包括用戶的其他屬性。優(yōu)選地，根據(jù)用戶角色從預(yù)先配置的行為監(jiān)控策略列表中查找對應(yīng)的行為監(jiān)控策略具體包括在數(shù)據(jù)流建立過程中，根據(jù)數(shù)據(jù)流的IP地址和接入方式從用戶角色列表中查找數(shù)據(jù)流對應(yīng)的用戶角色；以及根據(jù)數(shù)據(jù)流所對應(yīng)的用戶角色從行為監(jiān)控策略列表中查找對應(yīng)的4于為監(jiān)控策略。在網(wǎng)絡(luò)中的數(shù)據(jù)流建立過程中，可以根據(jù)數(shù)據(jù)流攜帶的接入方式來從用戶角色列表中查找該數(shù)據(jù)流對應(yīng)的用戶角色，然后根據(jù)該用戶角色從行為監(jiān)控策略列表中查找對應(yīng)的行為監(jiān)控策略，以達到根據(jù)用戶角色進行行為監(jiān)控的目的。通過將IP地址與接入方式結(jié)合來查找用戶，能夠更準確地為該數(shù)據(jù)流查找4于為監(jiān)控策略?？蛇x地，也可以才艮據(jù)具體情況，將用戶的IP地址同時結(jié)合安全域和接入方式來查找用戶角色，以實現(xiàn)更精確地查找。優(yōu)選地，上述用戶支持多個用戶角色。根據(jù)本發(fā)明實施例的網(wǎng)絡(luò)行為監(jiān)控方法也支持一個用戶具有多個用戶角色的情況。當某一用戶同時具有多個用戶角色時，對其采用的網(wǎng)絡(luò)行為監(jiān)控策略取決于網(wǎng)絡(luò)管理人員在行為監(jiān)控策略列表中配置的各用戶角色之間的優(yōu)先級，綜合根據(jù)該用戶具有的多個用戶角色之間的優(yōu)先級來采取相應(yīng)的行為監(jiān)控。另外，由于用戶角色與當前時間相關(guān)，所以還可以根據(jù)數(shù)據(jù)流中的IP地址結(jié)合當前時間來在用戶列表中查找用戶角色，然后根椐該用戶角色查找對應(yīng)的行為監(jiān)控策略。在采用了才艮據(jù)本發(fā)明實施例的網(wǎng)絡(luò)4亍為監(jiān)控方法后，網(wǎng)絡(luò)管理人員只需要配置網(wǎng)絡(luò)行為管理策略列表和用戶角色列表，就能夠?qū)崿F(xiàn)針對用戶角色的網(wǎng)絡(luò)行為管理，從而能夠達到方《更靈活地進行網(wǎng)絡(luò)行為監(jiān)控的技術(shù)效果。圖2示出了^^艮據(jù)本發(fā)明實施例的網(wǎng)絡(luò)行為監(jiān)控的示意圖。如圖2所示，一個7>司的交換機支持802.1乂認證，當用戶認證后，系統(tǒng)^4居用戶的部門給這些用戶賦予角色。然后#4居用戶的角色(部門)決定他們上網(wǎng)的帶寬。表1示出了網(wǎng)絡(luò)行為監(jiān)控策略列表。表1<table>tableseeoriginaldocumentpage12</column></row><table>如表1所示，對沒有安裝AV系統(tǒng)的用戶，必須先到AV安裝服務(wù)器安裝AV軟件；對VP的網(wǎng)絡(luò)行為不做控制；對SSL接入的用戶，因為帶寬寶貴，不允許P2P的使用；公司禁止色情和游戲網(wǎng)頁，網(wǎng)絡(luò)游戲，視屏等影響工作的行為；公司工程部不允許上傳100K以上的文〗牛；運營部需要與外部交流，只能用MSN取卩天，不允i午傳文件。另夕卜，只需要將每一個行為策略的角色設(shè)置為"Any",即匹配所有用戶角色，才艮據(jù)本實施例的網(wǎng)絡(luò)^f亍為監(jiān)控方法就能夠?qū)崿F(xiàn)和相關(guān)技術(shù)中的網(wǎng)絡(luò)行為策略兼容。角色是"Any"的行為監(jiān)控策略退化成一^L行為策略。根據(jù)本實施例的網(wǎng)絡(luò)行為監(jiān)控方法結(jié)合了用戶角色、接口、源地址、目的地址、以及應(yīng)用程序來決定每個用戶的網(wǎng)絡(luò)4亍為監(jiān)控策略，所以能夠?qū)崿F(xiàn)方便靈活的對網(wǎng)絡(luò)行為進行監(jiān)控的技術(shù)效果。乂人以上的描述中，可以看出，本發(fā)明上述的實施例4艮據(jù)用戶角色來進行網(wǎng)絡(luò)行為監(jiān)控，從而實現(xiàn)了方便靈活地對網(wǎng)絡(luò)行為進行控制的技術(shù)效果。顯然，本領(lǐng)域的技術(shù)人員應(yīng)該明白，上述的本發(fā)明的各模塊或各步驟可以用通用的計算裝置來實現(xiàn)，它們可以集中在單個的計算裝置上，或者分布在多個計算裝置所組成的網(wǎng)絡(luò)上，可選地，它們可以用計算裝置可執(zhí)行的程序代碼來實現(xiàn)，從而，可以將它們存儲在存儲裝置中由計算裝置來執(zhí)行，或者將它們分別制作成各個集成電路模塊，或者將它們中的多個模塊或步驟制作成單個集成電路模塊來實現(xiàn)。這樣，本發(fā)明不限制于任何特定的硬件和軟件結(jié)合。以上所述^f義為本發(fā)明的優(yōu)選實施例而已，并不用于限制本發(fā)明，對于本領(lǐng)域的沖支術(shù)人員來i兌，本發(fā)明可以有各種更改和變化。凡在本發(fā)明的精神和原則之內(nèi)，所作的任何修改、等同替換、改進等，均應(yīng)包含在本發(fā)明的保護范圍之內(nèi)。權(quán)利要求1.一種網(wǎng)絡(luò)行為監(jiān)控方法，其特征在于，包括在用戶接入網(wǎng)絡(luò)時，確定所述用戶的用戶角色；根據(jù)所述用戶角色從預(yù)先配置的行為監(jiān)控策略列表中查找對應(yīng)的行為監(jiān)控策略；以及采用所述行為監(jiān)控策略對所述用戶的網(wǎng)絡(luò)行為進行監(jiān)控。2.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)行為監(jiān)控方法，其特征在于，在用戶4妻入網(wǎng)絡(luò)時，確定所述用戶的用戶角色具體包括在用戶4妄入網(wǎng)絡(luò)時，4艮據(jù)所述用戶的用戶屬性來確定所述用戶角色；其中，所述用戶屬性包^"以下屬性中的至少一個用戶名、用戶組、IP地址、安全域、4妄入方式、用戶所4吏用的PC、用戶所-使用PC的安全4犬態(tài)、以及當前時間。3.根據(jù)權(quán)利要求2所述的網(wǎng)絡(luò)行為監(jiān)控方法，其特征在于，所述行為監(jiān)控策略列表包括多個用戶角色以及各個所述用戶角色分別對應(yīng)的行為監(jiān)控策略。4.根據(jù)權(quán)利要求3所述的網(wǎng)絡(luò)行為監(jiān)控方法，其特征在于，在根據(jù)所述用戶角色從預(yù)先配置的行為監(jiān)控策略列表中查找對應(yīng)的行為監(jiān)控策略之前還包括建立用戶角色列表；以及將所述用戶的IP地址和所述用戶的用戶角色插入到所述用戶角色列表中。5.根據(jù)權(quán)利要求4所述的網(wǎng)絡(luò)行為監(jiān)控方法，其特征在于，根據(jù)所述用戶角色從預(yù)先配置的行為監(jiān)控策略列表中查找對應(yīng)的行為監(jiān)控策略具體包括在數(shù)據(jù)流建立過程中，4艮據(jù)所述數(shù)據(jù)流中的IP地址從所述用戶角色列表中查找所述數(shù)據(jù)流對應(yīng)的用戶角色；以及根據(jù)所述數(shù)據(jù)流所對應(yīng)的用戶角色從所述行為監(jiān)控策略列表中查找對應(yīng)的行為監(jiān)控策略。6.根據(jù)權(quán)利要求3所述的網(wǎng)絡(luò)行為監(jiān)控方法，其特征在于，在根據(jù)所述用戶角色從預(yù)先配置的行為監(jiān)控策略列表中查找對應(yīng)的行為監(jiān)控策略之前還包括建立用戶角色列表；以及將所述用戶的IP地址和安全域以及所述用戶的用戶角色插入到所述用戶角色列表中。7.根據(jù)權(quán)利要求6所述的網(wǎng)絡(luò)行為監(jiān)控方法，其特征在于，根據(jù)所述用戶角色從預(yù)先配置的行為監(jiān)控策略列表中查找對應(yīng)的行為監(jiān)控策略具體包括在凄t據(jù)流建立過程中，4艮據(jù)所述凄t據(jù)流中的IP地址和安全域從所述用戶角色列表中查找所述數(shù)據(jù)流對應(yīng)的用戶角色；以及根據(jù)所述數(shù)據(jù)流所對應(yīng)的用戶角色從所述行為監(jiān)控策略列表中查找對應(yīng)的行為監(jiān)控策略。8.根據(jù)權(quán)利要求3所述的網(wǎng)絡(luò)行為監(jiān)控方法，其特征在于，在根據(jù)所述用戶角色^^預(yù)先配置的^f亍為監(jiān)控策略列表中查找對應(yīng)的行為監(jiān)控策略之前還包括建立用戶角色列表；以及4夸所述用戶的IPi也址和^妄入方式以及所述用戶的用戶角色插入到所述用戶角色列表中。9.根據(jù)權(quán)利要求8所述的網(wǎng)絡(luò)行為監(jiān)控方法，其特征在于，根據(jù)所述用戶角色從預(yù)先配置的4亍為監(jiān)控策略列表中查找對應(yīng)的行為監(jiān)控策略具體包括在教:據(jù)流建立過程中，4艮據(jù)所述凄t據(jù)流中的IP地址和4妄入方式乂人所述用戶角色列表中查找所述凄t據(jù)流對應(yīng)的用戶角色；以及才艮據(jù)所述凄t據(jù)流所對應(yīng)的用戶角色從所述行為監(jiān)控策略列表中查找對應(yīng)的行為監(jiān)控策略。10.根據(jù)權(quán)利要求1-9中任一項所述的網(wǎng)絡(luò)行為監(jiān)控方法，其特征在于，所述用戶支持多個用戶角色。全文摘要本發(fā)明提供了一種網(wǎng)絡(luò)行為監(jiān)控方法，包括在用戶接入網(wǎng)絡(luò)時，確定用戶的用戶角色；根據(jù)用戶角色從預(yù)先配置的行為監(jiān)控策略列表中查找對應(yīng)的行為監(jiān)控策略；以及采用行為監(jiān)控策略對用戶的網(wǎng)絡(luò)行為進行控制。本發(fā)明實現(xiàn)了能夠針對用戶方便靈活地進行網(wǎng)絡(luò)行為監(jiān)控的技術(shù)效果。文檔編號H04L12/24GK101640608SQ200910081568公開日2010年2月3日申請日期2009年4月13日優(yōu)先權(quán)日2009年4月13日發(fā)明者劉向明,鐘王申請人:山石網(wǎng)科通信技術(shù)(北京)有限公司