數(shù)據(jù)流控制方法和系統(tǒng)的制作方法
【專利摘要】本發(fā)明提供了一種數(shù)據(jù)流控制方法�����,所述方法包括:獲取被控網(wǎng)絡(luò)中的終端發(fā)出的數(shù)據(jù)包����;根據(jù)所述數(shù)據(jù)包識別所述終端的終端類型;獲取預(yù)設(shè)的控制配置信息����,所述控制配置信息包括控制參數(shù)和與所述控制參數(shù)對應(yīng)的控制動作;判斷所述識別出的終端類型是否與所述控制參數(shù)匹配�����,若是則根據(jù)所述控制參數(shù)對應(yīng)的控制動作阻斷或放通所述數(shù)據(jù)包。本發(fā)明提供的數(shù)據(jù)流控制方法����,可針對不同的終端類型進(jìn)行差異化的數(shù)據(jù)流控制���,對一種類型的終端的數(shù)據(jù)流控制不會影響到其它類型的終端的訪問行為���,兼顧節(jié)省網(wǎng)絡(luò)資源和保證正常訪問網(wǎng)絡(luò)需求。本發(fā)明還提供了一種數(shù)據(jù)流控制系統(tǒng)���。
【專利說明】數(shù)據(jù)流控制方法和系統(tǒng)
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及通信【技術(shù)領(lǐng)域】����,特別是涉及一種數(shù)據(jù)流控制方法和系統(tǒng)�。
【背景技術(shù)】
[0002] 隨著技術(shù)的進(jìn)步,企業(yè)會通過建立WiFi (-種能使終端通過無線電波連接到無線 網(wǎng)絡(luò)的技術(shù))接入點(diǎn)以滿足辦公需求����。但隨著智能終端,比如智能手機(jī)���、平板電腦等的普 及�,內(nèi)部網(wǎng)絡(luò)中的一些用戶會通過這些智能終端接入企業(yè)WiFi進(jìn)行娛樂等于工作無關(guān)的 行為,這些智能終端會發(fā)出大量無用的數(shù)據(jù)流�����,占用網(wǎng)絡(luò)資源���,影響正常工作需求�����。但若對 內(nèi)部網(wǎng)絡(luò)發(fā)出的所有數(shù)據(jù)流進(jìn)行統(tǒng)一限制����,又可能導(dǎo)致正常的數(shù)據(jù)流被攔截��,從而影響到 正常工作需求�。
【發(fā)明內(nèi)容】
[0003] 基于此,有必要針對將內(nèi)部網(wǎng)絡(luò)發(fā)出的所有數(shù)據(jù)流進(jìn)行統(tǒng)一限制會影響到正常數(shù) 據(jù)流的問題��,提供一種數(shù)據(jù)流控制方法和系統(tǒng)����。
[0004] 一種數(shù)據(jù)流控制方法���,所述方法包括:
[0005] 獲取被控網(wǎng)絡(luò)中的終端發(fā)出的數(shù)據(jù)包;
[0006] 根據(jù)所述數(shù)據(jù)包識別所述終端的終端類型�����;
[0007] 獲取預(yù)設(shè)的控制配置信息����,所述控制配置信息包括控制參數(shù)和與所述控制參數(shù)對 應(yīng)的控制動作�;
[0008] 判斷所述識別出的終端類型是否與所述控制參數(shù)匹配,若是則根據(jù)所述控制參數(shù) 對應(yīng)的控制動作阻斷或放通所述數(shù)據(jù)包�����。
[0009] 一種數(shù)據(jù)流控制系統(tǒng)��,所述系統(tǒng)包括:
[0010] 數(shù)據(jù)包獲取模塊����,用于獲取被控網(wǎng)絡(luò)中的終端發(fā)出的數(shù)據(jù)包;
[0011] 終端類型識別模塊���,用于根據(jù)所述數(shù)據(jù)包識別所述終端的終端類型���;
[0012] 控制配置信息獲取模塊�,用于獲取預(yù)設(shè)的控制配置信息�����,所述控制配置信息包括 控制參數(shù)和與所述控制參數(shù)對應(yīng)的控制動作�����;
[0013] 控制執(zhí)行模塊�,用于判斷所述識別出的終端類型是否與所述控制參數(shù)匹配,若是 則根據(jù)所述控制參數(shù)對應(yīng)的控制動作阻斷或放通所述數(shù)據(jù)包���。
[0014] 上述數(shù)據(jù)流控制方法和系統(tǒng)�,根據(jù)被控網(wǎng)絡(luò)中的終端發(fā)出的數(shù)據(jù)包來識別發(fā)送數(shù) 據(jù)包的終端的終端類型����,并獲取預(yù)設(shè)的控制配置信息,從而根據(jù)控制配置信息和終端類型 阻斷或放通數(shù)據(jù)包��,可針對不同的終端類型進(jìn)行差異化的數(shù)據(jù)流控制�,對一種類型的終端 的數(shù)據(jù)流控制不會影響到其它類型的終端的訪問行為,兼顧節(jié)省網(wǎng)絡(luò)資源和保證正常訪問 網(wǎng)絡(luò)需求。
【專利附圖】
【附圖說明】
[0015] 圖1為一個實(shí)施例中數(shù)據(jù)流控制方法的流程示意圖�����;
[0016] 圖2為一個實(shí)施例中設(shè)置控制參數(shù)的終端類型的界面示意圖��;
[0017] 圖3為一個具體應(yīng)用場景中數(shù)據(jù)流控制方法的應(yīng)用的流程示意圖�;
[0018] 圖4為一個實(shí)施例中數(shù)據(jù)流控制系統(tǒng)的結(jié)構(gòu)框圖;
[0019] 圖5為圖4中的終端類型識別模塊的一個實(shí)施例的結(jié)構(gòu)框圖����;
[0020] 圖6為另一個實(shí)施例中數(shù)據(jù)流控制系統(tǒng)的結(jié)構(gòu)框圖;
[0021] 圖7為再一個實(shí)施例中數(shù)據(jù)流控制系統(tǒng)的結(jié)構(gòu)框圖�����。
【具體實(shí)施方式】
[0022] 為了使本發(fā)明的目的�����、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白���,以下結(jié)合附圖及實(shí)施例,對 本發(fā)明進(jìn)行進(jìn)一步詳細(xì)說明�。應(yīng)當(dāng)理解,此處所描述的具體實(shí)施例僅僅用以解釋本發(fā)明,并 不用于限定本發(fā)明���。
[0023] 除非上下文另有特定清楚的描述�,本發(fā)明中的元件和組件�,數(shù)量既可以單個的形 式存在,也可以多個的形式存在�,本發(fā)明并不對此進(jìn)行限定。本發(fā)明中的步驟雖然用標(biāo)號進(jìn) 行了排列�,但并不用于限定步驟的先后次序,除非明確說明了步驟的次序或者某步驟的執(zhí) 行需要其他步驟作為基礎(chǔ)���,否則步驟的相對次序是可以調(diào)整的�����??梢岳斫?�,本文中所使用的 術(shù)語"和/或"涉及且涵蓋相關(guān)聯(lián)的所列項目中的一者或一者以上的任何和所有可能的組 合���。
[0024] 如圖1所示��,在一個實(shí)施例中���,提供了一種數(shù)據(jù)流控制方法���,該方法包括:
[0025] 步驟102,獲取被控網(wǎng)絡(luò)中的終端發(fā)出的數(shù)據(jù)包。
[0026] 被控網(wǎng)絡(luò)是指需要控制數(shù)據(jù)流的網(wǎng)絡(luò)��,可以是企業(yè)網(wǎng)或任意局域網(wǎng)�����。被控網(wǎng)絡(luò)中 包括若干終端�����,終端之間通過多級交換機(jī)互聯(lián)或橋接���,被控網(wǎng)絡(luò)中的終端發(fā)出的數(shù)據(jù)包形 成數(shù)據(jù)流���。被控網(wǎng)絡(luò)中的終端通過網(wǎng)關(guān)與外部網(wǎng)絡(luò)通信���,該網(wǎng)關(guān)為被控網(wǎng)絡(luò)的互聯(lián)網(wǎng)出口�。 可在該網(wǎng)關(guān)處獲取被控網(wǎng)絡(luò)中的終端發(fā)出的數(shù)據(jù)包���,在其它實(shí)施例中���,也可在被控網(wǎng)絡(luò)中 連接終端與網(wǎng)關(guān)的交換機(jī)處獲取被控網(wǎng)絡(luò)中的終端發(fā)出的數(shù)據(jù)包��。
[0027] 步驟104,根據(jù)數(shù)據(jù)包識別終端的終端類型��。
[0028] 終端類型可以大致分為計算機(jī)類型和移動終端類型�����,移動終端類型又可按照移動 終端上運(yùn)行的操作系統(tǒng)的區(qū)別細(xì)分為安卓(Android)系統(tǒng)移動終端類型�、蘋果系統(tǒng)(ios) 移動終端類型���、微軟(Windows Phone)系統(tǒng)移動終端類型以及塞班(Symbian)系統(tǒng)移動終 端類型等�?��?稍O(shè)置默認(rèn)終端類型�,當(dāng)根據(jù)數(shù)據(jù)包無法識別終端的終端類型時���,可識別終端類 型為默認(rèn)終端類型���。默認(rèn)終端類型可以是上述計算機(jī)類型或移動終端類型�;或者可以是根 據(jù)該數(shù)據(jù)包無法識別的終端類型���,比如可稱為"其它終端"類型�����。
[0029] 在一個實(shí)施例中����,步驟104包括:獲取數(shù)據(jù)包的應(yīng)用層協(xié)議特征信息和/或應(yīng)用特 征信息�����,根據(jù)應(yīng)用層協(xié)議特征信息和/或應(yīng)用特征信息識別終端的終端類型��。
[0030] 在一個實(shí)施例中�,獲取數(shù)據(jù)包的應(yīng)用層協(xié)議特征信息的步驟可具體為:通過對數(shù) 據(jù)包進(jìn)行深度檢測(DPI,Deep Packet Inspection)獲取數(shù)據(jù)包的應(yīng)用層協(xié)議特征信息?���??通過對數(shù)據(jù)包進(jìn)行深度檢測獲取數(shù)據(jù)包的正文部分包含的應(yīng)用層協(xié)議的協(xié)議頭��,例如HTTP 協(xié)議頭����、FTP協(xié)議頭等��。在另一個實(shí)施例中���,獲取數(shù)據(jù)包的應(yīng)用特征信息的步驟,具體可為 獲取終端上發(fā)送數(shù)據(jù)包的應(yīng)用的名稱��、應(yīng)用標(biāo)識���、端口號和數(shù)據(jù)結(jié)構(gòu)中的至少一種��。
[0031] 步驟106,獲取預(yù)設(shè)的控制配置信息���,控制配置信息包括控制參數(shù)和與控制參數(shù)對 應(yīng)的控制動作。
[0032] 預(yù)設(shè)的控制配置信息���,是用于確定根據(jù)終端類型如何進(jìn)行數(shù)據(jù)流控制的信息����?�??制配置信息至少包括控制動作和終端類型����,控制動作用以確定對數(shù)據(jù)包具體進(jìn)行何種操 作�����,比如放通���,以將數(shù)據(jù)包發(fā)送給外部網(wǎng)絡(luò);或阻斷����,以丟棄數(shù)據(jù)包從而阻止與外部網(wǎng)絡(luò)通 信?���?刂茀?shù)為被控制的數(shù)據(jù)包應(yīng)當(dāng)具備的參數(shù)?����?刂茀?shù)包括的終端類型表示需要對哪 種終端類型的終端進(jìn)行上述控制動作���。
[0033] 在一個實(shí)施例中���,控制配置信息是可編輯的。用戶可通過對控制配置信息進(jìn)行編 輯以設(shè)定數(shù)據(jù)流控制策略�����,以滿足不同的需求�。如圖2所示,用戶可設(shè)定對何種終端類型進(jìn) 行數(shù)據(jù)流控制�。
[0034] 步驟108,判斷識別出的終端類型是否與控制參數(shù)匹配,若是則執(zhí)行步驟110,如 否則執(zhí)行步驟112����。
[0035] 控制配置信息中包含了終端類型和與終端類型對應(yīng)的控制動作,可判斷識別出的 終端類型是否與控制參數(shù)匹配�,從而根據(jù)匹配判斷結(jié)果來執(zhí)行不同的動作。
[0036] 步驟110,根據(jù)控制參數(shù)對應(yīng)的控制動作阻斷或放通數(shù)據(jù)包���。
[0037] 當(dāng)識別出的終端類型與控制參數(shù)中的終端類型匹配時�����,此時說明數(shù)據(jù)包滿足控制 條件�����,則根據(jù)控制配置信息中設(shè)定的控制動作����,阻斷或放通數(shù)據(jù)包。
[0038] 步驟112,放通數(shù)據(jù)包�����。
[0039] 當(dāng)識別出的終端類型與控制參數(shù)中的終端類型不匹配時�,此時說明數(shù)據(jù)包不滿足 控制條件,則可直接放通該數(shù)據(jù)包����。
[0040] 上述數(shù)據(jù)流控制方法,根據(jù)被控網(wǎng)絡(luò)中的終端發(fā)出的數(shù)據(jù)包來識別發(fā)送數(shù)據(jù)包的 終端的終端類型����,并獲取預(yù)設(shè)的控制配置信息,從而根據(jù)控制配置信息和終端類型阻斷或 放通數(shù)據(jù)包��,可針對不同的終端類型進(jìn)行差異化的數(shù)據(jù)流控制���,對一種類型的終端的數(shù)據(jù) 流控制不會影響到其它類型的終端的訪問行為����,兼顧節(jié)省網(wǎng)絡(luò)資源和保證正常訪問網(wǎng)絡(luò)需 求。
[0041] 在一個實(shí)施例中�����,獲取數(shù)據(jù)包的應(yīng)用層協(xié)議特征信息,根據(jù)應(yīng)用層協(xié)議特征信息 識別終端的終端類型,包括:獲取數(shù)據(jù)包中的HTTP協(xié)議頭����,根據(jù)HTTP協(xié)議頭獲取用戶代理 信息,根據(jù)用戶代理信息識別終端類型���。
[0042] 本實(shí)施例中�����,用戶代理信息即為UA(User Agent)信息�,用戶通過終端上的瀏覽器 訪問網(wǎng)站時���,終端發(fā)送的用于訪問網(wǎng)站的數(shù)據(jù)包中會包含HTTP協(xié)議頭��,HTTP協(xié)議頭中會包 含用戶代理信息��。用戶代理信息中會包含終端類型信息�����,從而根據(jù)該終端類型信息可識別 終端類型�。而且用戶代理信息中也會附帶終端上操作系統(tǒng)的操作系統(tǒng)信息,從而可根據(jù)該 操作系統(tǒng)信息識別終端類型�����。
[0043] 舉例說明�����,如下為平板電腦iPad上的瀏覽器中的用戶代理信息:
[0044] User-Agent:Mozilla/5.0(iPad �;CPU 0S5_1_11 ike Mac OS X) AppleffebKit/534. 46(KHTML, like Gecko)Version/5. lMobile/9B206Safari/7534. 48. 3
[0045] 可見,可根據(jù)用戶代理信息中的"iPad"�����、"Mobile"等關(guān)鍵字識別終端的終端類型 為移動終端類型�。
[0046] 在一個實(shí)施例中,獲取數(shù)據(jù)包的應(yīng)用特征信息�����,根據(jù)應(yīng)用特征信息識別終端的終 端類型��,包括:獲取數(shù)據(jù)包的應(yīng)用特征信息,查找預(yù)設(shè)特征庫中與應(yīng)用特征信息匹配的特征 信息��,判定終端的終端類型為與匹配的特征信息對應(yīng)的預(yù)設(shè)終端類型��。
[0047] 本實(shí)施例中�,預(yù)設(shè)了特征庫,特征庫中包括多個表示應(yīng)用特征信息的特征信息��,且 特征庫中的特征信息與預(yù)設(shè)終端類型對應(yīng)����。計算機(jī)和移動終端上運(yùn)行的應(yīng)用會有區(qū)別�����,一 些計算機(jī)應(yīng)用只能運(yùn)行在計算機(jī)上����,而一些移動應(yīng)用只能運(yùn)行在移動終端上,比如微信��、手 機(jī)QQ等只能運(yùn)行在移動終端上�����。預(yù)設(shè)特征庫中預(yù)設(shè)這些與終端類型相關(guān)的計算機(jī)應(yīng)用和/ 或移動應(yīng)用的特征信息,并且存儲這些特征信息與預(yù)設(shè)終端類型的對應(yīng)關(guān)系�����。當(dāng)在預(yù)設(shè)特 征庫中查找到與應(yīng)用特征信息匹配的特征信息時���,可根據(jù)該對應(yīng)關(guān)系直接判定終端的終端 類型���。
[0048] 需要說明的是,上述兩個實(shí)施例中根據(jù)數(shù)據(jù)包的應(yīng)用層協(xié)議特征信息和應(yīng)用特征 信息來識別終端類型的步驟并不沖突�����,可在一個實(shí)施例中合并存在����,可通過對上述兩種識 別步驟的識別結(jié)果進(jìn)行邏輯與和/或邏輯或來綜合決定終端類型。
[0049] 在一個實(shí)施例中����,步驟104包括:當(dāng)根據(jù)數(shù)據(jù)包能夠識別出終端的終端類型時,則 根據(jù)數(shù)據(jù)包獲取終端標(biāo)識�,記錄該終端標(biāo)識和識別出的終端類型的對應(yīng)關(guān)系以及終端類型 識別結(jié)果有效期限。
[0050] 終端標(biāo)識用于唯一標(biāo)識出終端�,可以是終端的IP地址和/或MAC (Medium/Media Access Control�����,介質(zhì)訪問控制)地址����,或者是與終端對應(yīng)的用戶標(biāo)識�����。由于數(shù)據(jù)包是各種 各樣的���,而并不是每個數(shù)據(jù)包都能夠識別出終端類型���,比如數(shù)據(jù)包中不包括用于判別終端 類型的應(yīng)用層協(xié)議特征信息或應(yīng)用特征信息����。因此當(dāng)根據(jù)數(shù)據(jù)包能夠識別出終端類型時, 則記錄該終端標(biāo)識和識別出的終端類型的對應(yīng)關(guān)系以及終端類型識別結(jié)果有效期限�����。這樣 表示記錄的終端標(biāo)識對應(yīng)的終端的終端類型的識別結(jié)果��,在上述終端類型識別結(jié)果有效期 限內(nèi)是有效的;若超過期限則識別結(jié)果失效���。
[0051] 當(dāng)已經(jīng)存在已記錄的終端標(biāo)識和終端類型的對應(yīng)關(guān)系以及終端類型識別結(jié)果有 效期限時��,則根據(jù)當(dāng)前識別的終端類型識別結(jié)果更新已記錄的終端標(biāo)識和終端類型的對應(yīng) 關(guān)系以及終端類型識別結(jié)果有效期限�。
[0052] 終端類型識別結(jié)果有效期限是預(yù)設(shè)值�,可根據(jù)一些待控制應(yīng)用的數(shù)據(jù)包發(fā)送周期 來確定,比如根據(jù)即時通信應(yīng)用發(fā)送的用于保持在線狀態(tài)的保持在線數(shù)據(jù)包的發(fā)送周期來 確定����,可設(shè)置為保持在線數(shù)據(jù)包的發(fā)送周期的3倍以上,從而可保證至少能夠根據(jù)保持在 線數(shù)據(jù)包識別出終端類型�;還可以直接將終端類型識別結(jié)果有效期限設(shè)置為定值,比如5 分鐘以上���,基本可保證識別出的終端類型的正確性���。
[0053] 舉例說明,對每個經(jīng)過的數(shù)據(jù)包都識別是不是移動終端��,如果是��,則記錄移動終端 標(biāo)識對應(yīng)移動終端類型��,并設(shè)定5分鐘內(nèi)都是移動終端類型。假設(shè)過了 3分鐘�����,又識別為移 動終端類型��,則再重新標(biāo)記5分鐘內(nèi)都是移動終端類型�����,以此類推�����,只要識別出終端類型���, 就將期限順延5分鐘�����,并重新開始計時。如果5分鐘內(nèi)都沒有識別到移動終端���,就判定識別 失效�,不是移動終端類型了。
[0054] 在一個實(shí)施例中���,步驟104還包括:當(dāng)根據(jù)數(shù)據(jù)包不能識別出終端的終端類型時�, 則根據(jù)數(shù)據(jù)包獲取終端標(biāo)識�����,根據(jù)終端標(biāo)識和已記錄的終端標(biāo)識與終端類型的對應(yīng)關(guān)系以 及記錄的終端類型識別結(jié)果有效期限識別終端的終端類型���。
[0055] 在后續(xù)識別過程中����,當(dāng)根據(jù)后續(xù)數(shù)據(jù)包無法直接識別該終端的終端類型時��,則可 以根據(jù)后續(xù)數(shù)據(jù)包獲取終端標(biāo)識�����,從而根據(jù)后續(xù)數(shù)據(jù)包的終端標(biāo)識���、先前識別并記錄的終 端類型和終端類型識別結(jié)果有效期限���,來識別發(fā)送后續(xù)數(shù)據(jù)包的終端的終端類型���。
[0056] 本實(shí)施例中,由于并不是每個數(shù)據(jù)包都能夠據(jù)以識別出終端類型����,因此記錄一次 識別的識別結(jié)果,并將記錄的識別結(jié)果應(yīng)用到后續(xù)識別過程中�����,可保證對該終端的數(shù)據(jù)流 進(jìn)行控制的持續(xù)有效���。
[0057] 在一個實(shí)施例中�����,控制參數(shù)還包括與控制動作對應(yīng)的源地址標(biāo)識和/或目標(biāo)地址 標(biāo)識和/或用戶屬性和/或應(yīng)用類型和/或控制時限����;該數(shù)據(jù)流控制方法還包括:獲取當(dāng) 前時間����,和/或根據(jù)數(shù)據(jù)包獲取源地址標(biāo)識和/或目標(biāo)地址標(biāo)識和/或用戶屬性和/或應(yīng) 用類型;則步驟108?步驟110具體包括:判斷識別出的終端類型以及獲取的當(dāng)前時間和/ 或源地址標(biāo)識和/或目標(biāo)地址標(biāo)識和/或用戶屬性和/或應(yīng)用類型��,是否與控制參數(shù)匹配����, 若是則根據(jù)控制參數(shù)對應(yīng)的控制動作阻斷或放通數(shù)據(jù)包。
[0058] 控制參數(shù)的源地址標(biāo)識和目標(biāo)地址標(biāo)識��,分別為需要被控制數(shù)據(jù)流的終端應(yīng)當(dāng)具 體的源地址標(biāo)識和目標(biāo)地址標(biāo)識�����。源地址標(biāo)識用于唯一確定發(fā)送數(shù)據(jù)包的終端的位置�����,t匕 如源IP ;目標(biāo)地址標(biāo)識用于唯一確定接收數(shù)據(jù)包的終端的位置�����,比如目標(biāo)IP���。用戶屬性表 示對何種屬性的用戶進(jìn)行控制����,用戶屬性包括用戶標(biāo)識和/或用戶所屬組和/或所屬域等, 從而可對個別用戶或者特定用戶群體進(jìn)行相應(yīng)的數(shù)據(jù)流控制�����。
[0059] 控制參數(shù)的應(yīng)用類型表示哪一種類型的應(yīng)用發(fā)送的數(shù)據(jù)包會被控制�。控制參數(shù)的 應(yīng)用類型可以包括應(yīng)用類別�����,比如即時通信類�����、游戲應(yīng)用類等�����,也可以包括URL(統(tǒng)一資源 定位符)類別��,比如"新聞門戶網(wǎng)站"��,"社交網(wǎng)絡(luò)"����,"釣魚網(wǎng)站"等����?���?深A(yù)設(shè)URL庫���,當(dāng)用戶 訪問的URL存在于URL庫中時�����,表示訪問的URL符合控制URL類別����。
[0060] 控制時限是指需要進(jìn)行數(shù)據(jù)流控制的時間段�,比如可設(shè)置控制開始時間及控制持 續(xù)時長,或者可設(shè)置控制開始時間及結(jié)束時間�����,表示在該時間段內(nèi)對數(shù)據(jù)流進(jìn)行控制�����。
[0061] 可直接根據(jù)數(shù)據(jù)包對應(yīng)的連接中獲取對應(yīng)該數(shù)據(jù)包的源地址標(biāo)識、目標(biāo)地址標(biāo) 識����、用戶屬性等信息。數(shù)據(jù)包對應(yīng)的連接包括一個五元組����,當(dāng)訪問網(wǎng)站時,數(shù)據(jù)包對應(yīng)的連 接包括協(xié)議類型����、源IP、目標(biāo)IP���、源端口以及訪問的服務(wù)器的端口����?�?筛鶕?jù)數(shù)據(jù)包中的數(shù)據(jù) 正文確定應(yīng)用特征信息�����,根據(jù)應(yīng)用特征信息與預(yù)設(shè)特征信息的匹配程度來識別發(fā)送數(shù)據(jù)包 的應(yīng)用所對應(yīng)的應(yīng)用類型�。當(dāng)前時間是指執(zhí)行相應(yīng)的步驟的當(dāng)時的系統(tǒng)時間����。
[0062] 本實(shí)施例中��,除了判斷發(fā)送數(shù)據(jù)包的終端的終端類型是否與控制參數(shù)中的終端類 型匹配�,還判斷獲取的當(dāng)前時間和/或源地址標(biāo)識和/或目標(biāo)地址標(biāo)識和/或用戶屬性和/ 或應(yīng)用類型,是否分別與控制配置信息中對應(yīng)的控制時限�����、和/或源地址標(biāo)識��、和/或目標(biāo) 地址標(biāo)識����、和/或用戶屬性����、和/或應(yīng)用類型匹配。當(dāng)匹配時則根據(jù)控制參數(shù)對應(yīng)的控制動 作阻斷或放通數(shù)據(jù)包�。若不匹配,則可直接放通該數(shù)據(jù)包�����。
[0063] 在一個實(shí)施例中,步驟110或步驟112之后���,還包括:若阻斷數(shù)據(jù)包���,則記錄阻斷日 志;和/或�,若放通數(shù)據(jù)包,則記錄訪問日志���。
[0064] 記錄阻斷日志����,比如記錄阻斷的數(shù)據(jù)包對應(yīng)的終端類型和/或源地址標(biāo)識和/或 目標(biāo)地址標(biāo)識和/或用戶屬性和/或應(yīng)用類型����,以及記錄阻斷時間等。記錄訪問日志���,比如 記錄放通的數(shù)據(jù)包對應(yīng)的終端類型和/或源地址標(biāo)識和/或目標(biāo)地址標(biāo)識和/或用戶屬性 和/或應(yīng)用類型��,以及記錄放通時間等�����??筛鶕?jù)記錄的阻斷日志和/或訪問日志進(jìn)行學(xué)習(xí), 改進(jìn)識別終端類型的算法��?���?赏ㄟ^郵件等方式將阻斷日志和/或訪問日志發(fā)送給日志中的 用戶屬性中的用戶標(biāo)識對應(yīng)的終端。
[0065] 下面用一個具體應(yīng)用場景來說明上述數(shù)據(jù)流控制方法的原理�。如圖3所示,具體 包括如下步驟:
[0066] 預(yù)設(shè)設(shè)置控制配置信息如下:
[0067] 終〗而類型:智能終立而�����;
[0068] 源 IP :所有�;
[0069] 目標(biāo)IP :所有��;
[0070] 用戶屬性:所有���;
[0071] 應(yīng)用類型(包括URL類別):微信��;
[0072] 時間:上班時間(比如預(yù)設(shè)為8 :00?18 :00);
[0073] 動作:阻斷�。
[0074] 具體控制數(shù)據(jù)流時�,獲取被控網(wǎng)絡(luò)中的終端發(fā)出的數(shù)據(jù)包�,根據(jù)數(shù)據(jù)包識別終端 的終端類型����,再從數(shù)據(jù)包對應(yīng)的連接中獲取源IP、用戶名�����、所屬組��、域上的安全組等用戶屬 性�、目標(biāo)IP、源IP等信息���,根據(jù)數(shù)據(jù)包的數(shù)據(jù)內(nèi)容確定應(yīng)用類型����,并獲取當(dāng)前時間���。然后用 獲取的信息與配置信息中的相應(yīng)信息進(jìn)行匹配�,若不匹配則直接放通數(shù)據(jù)包���。當(dāng)匹配時�����,則 按照控制配置信息中設(shè)定控制動作阻斷或放通該數(shù)據(jù)包���。當(dāng)放通數(shù)據(jù)包時記錄訪問日志�, 當(dāng)阻斷數(shù)據(jù)包時記錄阻斷日志��。
[0075] 如圖4所示�����,在一個實(shí)施例中����,提供了一種數(shù)據(jù)流控制系統(tǒng)�,該系統(tǒng)包括:數(shù)據(jù)包 獲取模塊402、終端類型識別模塊404�、控制配置信息獲取模塊406和控制執(zhí)行模塊408。
[0076] 數(shù)據(jù)包獲取模塊402,用于獲取被控網(wǎng)絡(luò)中的終端發(fā)出的數(shù)據(jù)包�。
[0077] 終端類型識別模塊404,用于根據(jù)數(shù)據(jù)包識別終端的終端類型。
[0078] 控制配置信息獲取模塊406,用于獲取預(yù)設(shè)的控制配置信息��,控制配置信息包括控 制參數(shù)和與控制參數(shù)對應(yīng)的控制動作。
[0079] 控制執(zhí)行模塊408,用于判斷識別出的終端類型是否與控制參數(shù)匹配���,若是則根據(jù) 控制參數(shù)對應(yīng)的控制動作阻斷或放通數(shù)據(jù)包�。
[0080] 在一個實(shí)施例中�����,終端類型識別模塊404還用于獲取數(shù)據(jù)包的應(yīng)用層協(xié)議特征信 息和/或應(yīng)用特征信息����,根據(jù)應(yīng)用層協(xié)議特征信息和/或應(yīng)用特征信息識別終端的終端類 型。
[0081] 在一個實(shí)施例中��,終端類型識別模塊404還用于獲取數(shù)據(jù)包中的HTTP協(xié)議頭�,根 據(jù)HTTP協(xié)議頭獲取用戶代理信息,根據(jù)用戶代理信息識別終端類型����。
[0082] 在一個實(shí)施例中,終端類型識別模塊404還用于獲取數(shù)據(jù)包的應(yīng)用特征信息���,查 找預(yù)設(shè)特征庫中與應(yīng)用特征信息匹配的特征信息�,判定終端的終端類型為與匹配的特征信 息對應(yīng)的預(yù)設(shè)終端類型��。
[0083] 如圖5所示,在一個實(shí)施例中�,終端類型識別模塊404還包括:第一處理模塊404a 和第二處理模塊404b。
[0084] 第一處理模塊404a�,用于當(dāng)根據(jù)數(shù)據(jù)包能夠識別出終端的終端類型時,則根據(jù)數(shù) 據(jù)包獲取終端標(biāo)識����,記錄終端標(biāo)識和識別出的終端類型的對應(yīng)關(guān)系以及終端類型識別結(jié)果 有效期限。
[0085] 第二處理模塊404b��,用于當(dāng)根據(jù)數(shù)據(jù)包不能識別出終端的終端類型時��,則根據(jù)數(shù) 據(jù)包獲取終端標(biāo)識�,根據(jù)終端標(biāo)識和已記錄的終端標(biāo)識與終端類型的對應(yīng)關(guān)系以及記錄的 終端類型識別結(jié)果有效期限識別終端的終端類型。
[0086] 在一個實(shí)施例中��,控制參數(shù)還包括與控制動作對應(yīng)的源地址標(biāo)識和/或目標(biāo)地址 標(biāo)識和/或用戶屬性和/或應(yīng)用類型和/或控制時限�����。
[0087] 如圖6所示�����,該數(shù)據(jù)流控制系統(tǒng)還包括數(shù)據(jù)獲取模塊405,用于獲取當(dāng)前時間�,和/ 或根據(jù)數(shù)據(jù)包獲取源地址標(biāo)識和/或目標(biāo)地址標(biāo)識和/或用戶屬性和/或應(yīng)用類型。
[0088] 控制執(zhí)行模塊408還用于判斷識別出的終端類型以及獲取的當(dāng)前時間和/或源地 址標(biāo)識和/或目標(biāo)地址標(biāo)識和/或用戶屬性和/或應(yīng)用類型��,是否與控制參數(shù)匹配��,若是則 根據(jù)控制參數(shù)對應(yīng)的控制動作阻斷或放通數(shù)據(jù)包����。
[0089] 如圖7所示,在一個實(shí)施例中��,該數(shù)據(jù)流控制系統(tǒng)還包括:日志記錄模塊410,用于 若阻斷數(shù)據(jù)包���,則記錄阻斷日志���;和/或,若放通數(shù)據(jù)包���,則記錄訪問日志����。
[0090] 以上所述實(shí)施例僅表達(dá)了本發(fā)明的幾種實(shí)施方式��,其描述較為具體和詳細(xì)�����,但并 不能因此而理解為對本發(fā)明專利范圍的限制。應(yīng)當(dāng)指出的是��,對于本領(lǐng)域的普通技術(shù)人員 來說����,在不脫離本發(fā)明構(gòu)思的前提下,還可以做出若干變形和改進(jìn)�,這些都屬于本發(fā)明的保 護(hù)范圍。因此���,本發(fā)明專利的保護(hù)范圍應(yīng)以所附權(quán)利要求為準(zhǔn)�����。
【權(quán)利要求】
1. 一種數(shù)據(jù)流控制方法����,所述方法包括: 獲取被控網(wǎng)絡(luò)中的終端發(fā)出的數(shù)據(jù)包�����; 根據(jù)所述數(shù)據(jù)包識別所述終端的終端類型����; 獲取預(yù)設(shè)的控制配置信息,所述控制配置信息包括控制參數(shù)和與所述控制參數(shù)對應(yīng)的 控制動作���; 判斷所述識別出的終端類型是否與所述控制參數(shù)匹配�,若是則根據(jù)所述控制參數(shù)對應(yīng) 的控制動作阻斷或放通所述數(shù)據(jù)包�。
2. 根據(jù)權(quán)利要求1所述的方法,其特征在于���,所述根據(jù)所述數(shù)據(jù)包識別所述終端的終 端類型��,包括:獲取所述數(shù)據(jù)包的應(yīng)用層協(xié)議特征信息和/或應(yīng)用特征信息�����,根據(jù)所述應(yīng)用 層協(xié)議特征信息和/或應(yīng)用特征信息識別所述終端的終端類型�。
3. 根據(jù)權(quán)利要求1所述的方法����,其特征在于,所述根據(jù)所述數(shù)據(jù)包識別所述終端的終 端類型��,包括: 當(dāng)根據(jù)所述數(shù)據(jù)包能夠識別出所述終端的終端類型時���,則根據(jù)所述數(shù)據(jù)包獲取終端標(biāo) 識�,記錄所述終端標(biāo)識和識別出的終端類型的對應(yīng)關(guān)系以及終端類型識別結(jié)果有效期限; 當(dāng)根據(jù)所述數(shù)據(jù)包不能識別出所述終端的終端類型時���,則根據(jù)數(shù)據(jù)包獲取終端標(biāo)識�, 根據(jù)所述終端標(biāo)識和已記錄的終端標(biāo)識與終端類型的對應(yīng)關(guān)系以及記錄的終端類型識別 結(jié)果有效期限識別所述終端的終端類型��。
4. 根據(jù)權(quán)利要求1所述的方法�,其特征在于,所述控制參數(shù)還包括與所述控制動作對 應(yīng)的源地址標(biāo)識和/或目標(biāo)地址標(biāo)識和/或用戶屬性和/或應(yīng)用類型和/或控制時限����; 所述方法還包括:獲取當(dāng)前時間,和/或根據(jù)所述數(shù)據(jù)包獲取源地址標(biāo)識和/或目標(biāo)地 址標(biāo)識和/或用戶屬性和/或應(yīng)用類型���; 所述判斷所述識別出的終端類型是否與所述控制參數(shù)匹配���,若是則根據(jù)所述控制參數(shù) 對應(yīng)的控制動作阻斷或放通所述數(shù)據(jù)包,包括: 判斷所述識別出的終端類型以及所述獲取的當(dāng)前時間和/或源地址標(biāo)識和/或目標(biāo)地 址標(biāo)識和/或用戶屬性和/或應(yīng)用類型�,是否與所述控制參數(shù)匹配,若是則根據(jù)所述控制參 數(shù)對應(yīng)的控制動作阻斷或放通所述數(shù)據(jù)包����。
5. 根據(jù)權(quán)利要求1所述的方法�����,其特征在于,所述方法還包括:若阻斷所述數(shù)據(jù)包�,則 記錄阻斷日志;和/或�,若放通所述數(shù)據(jù)包,則記錄訪問日志��。
6. -種數(shù)據(jù)流控制系統(tǒng)�,其特征在于,所述系統(tǒng)包括: 數(shù)據(jù)包獲取模塊��,用于獲取被控網(wǎng)絡(luò)中的終端發(fā)出的數(shù)據(jù)包����; 終端類型識別模塊,用于根據(jù)所述數(shù)據(jù)包識別所述終端的終端類型����; 控制配置信息獲取模塊,用于獲取預(yù)設(shè)的控制配置信息���,所述控制配置信息包括控制 參數(shù)和與所述控制參數(shù)對應(yīng)的控制動作�����; 控制執(zhí)行模塊����,用于判斷所述識別出的終端類型是否與所述控制參數(shù)匹配,若是則根 據(jù)所述控制參數(shù)對應(yīng)的控制動作阻斷或放通所述數(shù)據(jù)包�����。
7. 根據(jù)權(quán)利要求6所述的系統(tǒng)����,其特征在于,所述終端類型識別模塊還用于獲取所述 數(shù)據(jù)包的應(yīng)用層協(xié)議特征信息和/或應(yīng)用特征信息�����,根據(jù)所述應(yīng)用層協(xié)議特征信息和/或 應(yīng)用特征信息識別所述終端的終端類型�。
8. 根據(jù)權(quán)利要求6所述的系統(tǒng),其特征在于�����,所述終端類型識別模塊還包括: 第一處理模塊,用于當(dāng)根據(jù)所述數(shù)據(jù)包能夠識別出所述終端的終端類型時���,則根據(jù)所 述數(shù)據(jù)包獲取終端標(biāo)識�����,記錄所述終端標(biāo)識和識別出的終端類型的對應(yīng)關(guān)系以及終端類型 識別結(jié)果有效期限���; 第二處理模塊�,用于當(dāng)根據(jù)所述數(shù)據(jù)包不能識別出所述終端的終端類型時,則根據(jù)數(shù) 據(jù)包獲取終端標(biāo)識�,根據(jù)所述終端標(biāo)識和已記錄的終端標(biāo)識與終端類型的對應(yīng)關(guān)系以及記 錄的終端類型識別結(jié)果有效期限識別所述終端的終端類型。
9. 根據(jù)權(quán)利要求6所述的系統(tǒng)��,其特征在于�,所述控制參數(shù)還包括與所述控制動作對 應(yīng)的源地址標(biāo)識和/或目標(biāo)地址標(biāo)識和/或用戶屬性和/或應(yīng)用類型和/或控制時限; 所述系統(tǒng)還包括數(shù)據(jù)獲取模塊�����,用于獲取當(dāng)前時間����,和/或根據(jù)所述數(shù)據(jù)包獲取源地 址標(biāo)識和/或目標(biāo)地址標(biāo)識和/或用戶屬性和/或應(yīng)用類型; 所述控制執(zhí)行模塊還用于判斷所述識別出的終端類型以及所述獲取的當(dāng)前時間和/ 或源地址標(biāo)識和/或目標(biāo)地址標(biāo)識和/或用戶屬性和/或應(yīng)用類型,是否與所述控制參數(shù) 匹配���,若是則根據(jù)所述控制參數(shù)對應(yīng)的控制動作阻斷或放通所述數(shù)據(jù)包���。
10. 根據(jù)權(quán)利要求6所述的系統(tǒng),其特征在于���,所述系統(tǒng)還包括:日志記錄模塊��,用于若 阻斷所述數(shù)據(jù)包���,則記錄阻斷日志;和/或���,若放通所述數(shù)據(jù)包�����,則記錄訪問日志���。
【文檔編號】H04W28/10GK104113880SQ201410251152
【公開日】2014年10月22日 申請日期:2014年6月6日 優(yōu)先權(quán)日:2014年6月6日
【發(fā)明者】袁義金 申請人:深圳市深信服電子科技有限公司