本發(fā)明涉及網(wǎng)絡(luò)與信息安全領(lǐng)域，尤其涉及一種網(wǎng)絡(luò)訪(fǎng)問(wèn)控制方法及裝置。

背景技術(shù)：

現(xiàn)今主流的防火墻設(shè)備對(duì)網(wǎng)絡(luò)流量的控制還是基于五元組即源IP、目的IP、源端口、目的端口、網(wǎng)絡(luò)協(xié)議，隨著下一代防火墻的發(fā)展，防火墻逐漸能對(duì)應(yīng)用層進(jìn)行檢測(cè)，對(duì)應(yīng)用程序的訪(fǎng)問(wèn)控制、防病毒等能力都進(jìn)一步加強(qiáng)，但仍然無(wú)法根據(jù)用戶(hù)信息和訪(fǎng)問(wèn)行為進(jìn)行更細(xì)化的控制。由于APT(Advanced Persistent Threat，高級(jí)持續(xù)性威脅攻擊)的危害巨大，當(dāng)防火墻無(wú)法檢測(cè)出攻擊特征時(shí)，對(duì)用戶(hù)行為的分析并進(jìn)行控制就變得更加重要。

因此，有必要提出一種對(duì)用戶(hù)行為的分析并進(jìn)行控制的方法以解決現(xiàn)有技術(shù)中的存在的上述問(wèn)題。

技術(shù)實(shí)現(xiàn)要素：

本公開(kāi)要解決的一個(gè)技術(shù)問(wèn)題是如何提供一種網(wǎng)絡(luò)訪(fǎng)問(wèn)控制方法以解決現(xiàn)有技術(shù)中的對(duì)網(wǎng)絡(luò)流量的控制方式單一，對(duì)應(yīng)用程序的訪(fǎng)問(wèn)控制、防病毒能力不強(qiáng)的問(wèn)題。

本公開(kāi)提供一種網(wǎng)絡(luò)訪(fǎng)問(wèn)控制方法，包括：接收用戶(hù)對(duì)應(yīng)用群的訪(fǎng)問(wèn)行為，基于預(yù)設(shè)的用戶(hù)行為可信度數(shù)據(jù)庫(kù)確定所述用戶(hù)的訪(fǎng)問(wèn)行為的可信度，其中，所述預(yù)設(shè)的用戶(hù)行為可信度數(shù)據(jù)庫(kù)包括目標(biāo)應(yīng)用數(shù)據(jù)庫(kù)、用戶(hù)數(shù)據(jù)庫(kù)和用戶(hù)行為數(shù)據(jù)庫(kù)；根據(jù)所述用戶(hù)行為的可信度控制用戶(hù)的訪(fǎng)問(wèn)請(qǐng)求。

進(jìn)一步地，根據(jù)所述用戶(hù)行為的可信度控制用戶(hù)的訪(fǎng)問(wèn)請(qǐng)求包括： 如果用戶(hù)的訪(fǎng)問(wèn)行為的可信度小于設(shè)定閾值，則認(rèn)為所述用戶(hù)行為是不合法的，禁止所述用戶(hù)的訪(fǎng)問(wèn)；如果用戶(hù)的行為的可信度不小于設(shè)定閾值，則認(rèn)為所述用戶(hù)的訪(fǎng)問(wèn)行為是合法的，允許所述用戶(hù)的訪(fǎng)問(wèn)。

進(jìn)一步地，所述接收用戶(hù)對(duì)應(yīng)用群的訪(fǎng)問(wèn)行為，基于預(yù)設(shè)的用戶(hù)行為可信度數(shù)據(jù)庫(kù)確定所述用戶(hù)的訪(fǎng)問(wèn)行為的可信度之前還包括：在本地防火墻或AAA服務(wù)器設(shè)置用戶(hù)行為可信度數(shù)據(jù)庫(kù)；在接收到用戶(hù)的登陸請(qǐng)求后，基于本地防火墻或驗(yàn)證授權(quán)計(jì)費(fèi)AAA服務(wù)器認(rèn)證和監(jiān)測(cè)所述用戶(hù)的訪(fǎng)問(wèn)行為的可信度。

進(jìn)一步地，所述目標(biāo)應(yīng)用數(shù)據(jù)庫(kù)存儲(chǔ)的信息包括訪(fǎng)問(wèn)的應(yīng)用特征、應(yīng)用ID、服務(wù)端口、應(yīng)用行為類(lèi)型、應(yīng)用操作行為、扣分值，其中，設(shè)置用戶(hù)第一可信度分值、需要扣分的應(yīng)用行為類(lèi)型、應(yīng)用操作行為，所述扣分值為所述需要扣分應(yīng)用行為類(lèi)型、應(yīng)用操作行為的扣分值，如果用戶(hù)對(duì)應(yīng)用群的訪(fǎng)問(wèn)行為是所述需要扣分的應(yīng)用行為類(lèi)型、應(yīng)用操作行為時(shí)，根據(jù)所述應(yīng)用行為類(lèi)型、應(yīng)用操作行為的扣分值對(duì)用戶(hù)的第一可信度分值進(jìn)行扣分以確定所述用戶(hù)的第一可信度分值。

進(jìn)一步地，所述用戶(hù)數(shù)據(jù)庫(kù)存儲(chǔ)的信息包括用戶(hù)ID、密碼、創(chuàng)建時(shí)間、最近登錄時(shí)間、歷史行為記錄、第二可信度，其中，設(shè)置用戶(hù)第二可信度分值、需要扣分的歷史行為記錄以及所述需要扣分的歷史行為記錄的扣分值，如果用戶(hù)的歷史行為記錄是需要扣分的歷史行為記錄時(shí)，則根據(jù)所說(shuō)歷史行為記錄的扣分值實(shí)時(shí)更新所述用戶(hù)的第二可信度分值。

進(jìn)一步地，所述用戶(hù)行為數(shù)據(jù)庫(kù)存儲(chǔ)的信息包括用戶(hù)ID、時(shí)間、用戶(hù)行為類(lèi)型、用戶(hù)操作行為、源IP、目的IP、協(xié)議、源端口、目的端口、開(kāi)始時(shí)間、持續(xù)時(shí)間、數(shù)據(jù)包個(gè)數(shù)、流量大??；其中，設(shè)置用戶(hù)第三可信度分值、需要扣分的用戶(hù)行為類(lèi)型、用戶(hù)操作行為以及所述需要扣分的用戶(hù)行為類(lèi)型、用戶(hù)操作行為的扣分值，如果用戶(hù)行為是所述需要扣分的用戶(hù)行為類(lèi)型、用戶(hù)操作行為時(shí)，根據(jù)所述用戶(hù)行為類(lèi)型、用戶(hù)操作行為的扣分值對(duì)用戶(hù)的第三可信度分值進(jìn)行扣分以確定所述用戶(hù)的第三可信度分值。

進(jìn)一步地，所述用戶(hù)行為類(lèi)型包括：用戶(hù)登錄、常規(guī)訪(fǎng)問(wèn)、文件操作、賬號(hào)操作、域名查詢(xún)、系統(tǒng)更改。

進(jìn)一步地，所述用戶(hù)操作行為包括正常登錄、正常瀏覽訪(fǎng)問(wèn)、新建文件、文件拷貝、文件上傳、文件刪除、文件傳輸、下載越權(quán)文件、域名查詢(xún)、添加賬號(hào)、刪除賬號(hào)、修改賬號(hào)、修改啟動(dòng)項(xiàng)目、重啟系統(tǒng)、關(guān)閉系統(tǒng)。

進(jìn)一步地，根據(jù)所述用戶(hù)的第一、第二、第三可信度分值綜合確定所述用戶(hù)的訪(fǎng)問(wèn)行為的可信度，根據(jù)綜合得到的所述用戶(hù)行為可信度控制用戶(hù)的訪(fǎng)問(wèn)請(qǐng)求。

本公開(kāi)還提供一種網(wǎng)絡(luò)訪(fǎng)問(wèn)控制裝置，包括：接收模塊，用于接收用戶(hù)對(duì)應(yīng)用群的訪(fǎng)問(wèn)行為；處理模塊，用于基于預(yù)設(shè)的用戶(hù)行為可信度數(shù)據(jù)庫(kù)確定所述用戶(hù)的訪(fǎng)問(wèn)行為的可信度，其中，所述預(yù)設(shè)的用戶(hù)行為可信度數(shù)據(jù)庫(kù)包括目標(biāo)應(yīng)用數(shù)據(jù)庫(kù)、用戶(hù)數(shù)據(jù)庫(kù)和用戶(hù)行為數(shù)據(jù)庫(kù)；控制模塊，用于根據(jù)所述用戶(hù)行為的可信度控制用戶(hù)的訪(fǎng)問(wèn)請(qǐng)求。

進(jìn)一步地，控制模塊用于如果用戶(hù)的訪(fǎng)問(wèn)行為的可信度小于設(shè)定閾值，則認(rèn)為所述用戶(hù)行為是不合法的，禁止所述用戶(hù)的訪(fǎng)問(wèn)；如果用戶(hù)的行為的可信度不小于設(shè)定閾值，則認(rèn)為所述用戶(hù)的訪(fǎng)問(wèn)行為是合法的，允許所述用戶(hù)的訪(fǎng)問(wèn)。

進(jìn)一步地，設(shè)置模塊用于在本地防火墻或AAA服務(wù)器設(shè)置用戶(hù)行為可信度數(shù)據(jù)庫(kù)；在接收到用戶(hù)的登陸請(qǐng)求后，基于本地防火墻或AAA服務(wù)器認(rèn)證和監(jiān)測(cè)所述用戶(hù)的訪(fǎng)問(wèn)行為的可信度。

進(jìn)一步地，所述目標(biāo)應(yīng)用數(shù)據(jù)庫(kù)存儲(chǔ)的信息包括訪(fǎng)問(wèn)的應(yīng)用特征、應(yīng)用ID、服務(wù)端口、應(yīng)用行為類(lèi)型、應(yīng)用操作行為、扣分值，設(shè)置模塊用于設(shè)置用戶(hù)第一可信度分值、需要扣分的應(yīng)用行為類(lèi)型、應(yīng)用操作行為，所述扣分值為所述需要扣分應(yīng)用行為類(lèi)型、應(yīng)用操作行為的扣分值，處理模塊用于如果用戶(hù)對(duì)應(yīng)用群的訪(fǎng)問(wèn)行為是所述需要扣分的應(yīng)用行為類(lèi)型、應(yīng)用操作行為時(shí)，根據(jù)所述應(yīng)用行為類(lèi)型、應(yīng)用操作行為的扣分值對(duì)用戶(hù)的第一可信度分值進(jìn)行扣分以確定所述用戶(hù)的第一可信度分值。

進(jìn)一步地，所述用戶(hù)數(shù)據(jù)庫(kù)存儲(chǔ)的信息包括用戶(hù)ID、密碼、創(chuàng)建時(shí)間、最近登錄時(shí)間、歷史行為記錄、第二可信度，設(shè)置模塊用于設(shè)置用戶(hù)第二可信度分值、需要扣分的歷史行為記錄以及所述需要扣分的歷史行為記錄的扣分值，處理模塊用于如果用戶(hù)的歷史行為記錄是需要扣分的歷史行為記錄時(shí)，則根據(jù)所說(shuō)歷史行為記錄的扣分值實(shí)時(shí)更新所述用戶(hù)的第二可信度分值。

進(jìn)一步地，所述用戶(hù)行為數(shù)據(jù)庫(kù)存儲(chǔ)的信息包括用戶(hù)ID、時(shí)間、用戶(hù)行為類(lèi)型、用戶(hù)操作行為、源IP、目的IP、協(xié)議、源端口、目的端口、開(kāi)始時(shí)間、持續(xù)時(shí)間、數(shù)據(jù)包個(gè)數(shù)、流量大小，設(shè)置模塊用于設(shè)置用戶(hù)第三可信度分值、需要扣分的用戶(hù)行為類(lèi)型、用戶(hù)操作行為以及所述需要扣分的用戶(hù)行為類(lèi)型、用戶(hù)操作行為的扣分值，處理模塊用于如果用戶(hù)行為是所述需要扣分的用戶(hù)行為類(lèi)型、用戶(hù)操作行為時(shí)，根據(jù)所述用戶(hù)行為類(lèi)型、用戶(hù)操作行為的扣分值對(duì)用戶(hù)的第三可信度分值進(jìn)行扣分以確定所述用戶(hù)的第三可信度分值。

進(jìn)一步地，所述用戶(hù)行為類(lèi)型包括：用戶(hù)登錄、常規(guī)訪(fǎng)問(wèn)、文件操作、賬號(hào)操作、域名查詢(xún)、系統(tǒng)更改。

進(jìn)一步地，所述用戶(hù)操作行為包括正常登錄、正常瀏覽訪(fǎng)問(wèn)、新建文件、文件拷貝、文件上傳、文件刪除、文件傳輸、下載越權(quán)文件、域名查詢(xún)、添加賬號(hào)、刪除賬號(hào)、修改賬號(hào)、修改啟動(dòng)項(xiàng)目、重啟系統(tǒng)、關(guān)閉系統(tǒng)。

進(jìn)一步地，處理模塊用于根據(jù)所述用戶(hù)的第一、第二、第三可信度分值綜合確定所述用戶(hù)的訪(fǎng)問(wèn)行為的可信度，控制模塊根據(jù)綜合得到的所述用戶(hù)行為的可信度控制用戶(hù)的訪(fǎng)問(wèn)請(qǐng)求。

本公開(kāi)提供的網(wǎng)絡(luò)訪(fǎng)問(wèn)控制方法以及裝置，可以提供一種基于用戶(hù)行為模式分析的網(wǎng)絡(luò)訪(fǎng)問(wèn)控制方法和防火墻系統(tǒng)，根據(jù)用戶(hù)的歷史訪(fǎng)問(wèn)行為，計(jì)算用戶(hù)的行為可信系數(shù)從而進(jìn)行安全控制。

附圖說(shuō)明

圖1示出本發(fā)明一個(gè)實(shí)施例的網(wǎng)絡(luò)訪(fǎng)問(wèn)控制方法的流程圖。

圖2示出本發(fā)明一個(gè)實(shí)施例的網(wǎng)絡(luò)訪(fǎng)問(wèn)控制方法的流程示意圖。

圖3示出本發(fā)明一個(gè)實(shí)施例的一種網(wǎng)絡(luò)訪(fǎng)問(wèn)控制裝置的結(jié)構(gòu)框圖。

圖4示出本發(fā)明的另一個(gè)實(shí)施例的一種網(wǎng)絡(luò)訪(fǎng)問(wèn)控制裝置的結(jié)構(gòu)框圖。

具體實(shí)施方式

下面參照附圖對(duì)本發(fā)明進(jìn)行更全面的描述，其中說(shuō)明本發(fā)明的示例性實(shí)施例。

圖1示出本發(fā)明一個(gè)實(shí)施例的網(wǎng)絡(luò)訪(fǎng)問(wèn)控制方法的流程圖。如圖1所示，該方法主要包括：

步驟100，接收用戶(hù)對(duì)應(yīng)用群的訪(fǎng)問(wèn)行為，基于預(yù)設(shè)的用戶(hù)行為可信度數(shù)據(jù)庫(kù)確定所述用戶(hù)的訪(fǎng)問(wèn)行為的可信度，其中，所述預(yù)設(shè)的用戶(hù)行為可信度數(shù)據(jù)庫(kù)包括目標(biāo)應(yīng)用數(shù)據(jù)庫(kù)、用戶(hù)數(shù)據(jù)庫(kù)和用戶(hù)行為數(shù)據(jù)庫(kù)。

在一個(gè)實(shí)施例中，所述接收用戶(hù)對(duì)應(yīng)用群的訪(fǎng)問(wèn)行為后，基于預(yù)設(shè)的用戶(hù)行為可信度數(shù)據(jù)庫(kù)確定所述用戶(hù)的訪(fǎng)問(wèn)行為的可信度之前還包括：在本地防火墻或AAA(Authentication、Authorization、Accounting，驗(yàn)證授權(quán)計(jì)費(fèi))服務(wù)器設(shè)置用戶(hù)行為可信度數(shù)據(jù)庫(kù)；在接收到用戶(hù)的登陸請(qǐng)求后，基于本地防火墻或驗(yàn)證授權(quán)計(jì)費(fèi)AAA服務(wù)器認(rèn)證和監(jiān)測(cè)所述用戶(hù)的訪(fǎng)問(wèn)行為的可信度。

在一個(gè)實(shí)施例中，所述目標(biāo)應(yīng)用數(shù)據(jù)庫(kù)存儲(chǔ)的信息包括訪(fǎng)問(wèn)的應(yīng)用特征、應(yīng)用ID、服務(wù)端口、應(yīng)用行為類(lèi)型、應(yīng)用操作行為、扣分值，其中，設(shè)置用戶(hù)第一可信度分值、需要扣分的應(yīng)用行為類(lèi)型、應(yīng)用操作行為，所述扣分值為所述需要扣分應(yīng)用行為類(lèi)型、應(yīng)用操作行為的扣分值；如果用戶(hù)對(duì)應(yīng)用群的訪(fǎng)問(wèn)行為是所述需要扣分的應(yīng)用行為類(lèi)型、應(yīng)用操作行為時(shí)，根據(jù)所述應(yīng)用行為類(lèi)型、應(yīng)用操作行為的扣分值對(duì)用戶(hù)的第一可信度分值進(jìn)行扣分以確定所述用戶(hù)的第一可信度分值。

在一個(gè)實(shí)施例中，所述用戶(hù)數(shù)據(jù)庫(kù)存儲(chǔ)的信息包括用戶(hù)ID、密碼、創(chuàng)建時(shí)間、最近登錄時(shí)間、歷史行為記錄、第二可信度，其中，設(shè) 置用戶(hù)第二可信度分值、需要扣分的歷史行為記錄以及所述需要扣分的歷史行為記錄的扣分值，如果用戶(hù)的歷史行為記錄是需要扣分的歷史行為記錄時(shí)，則根據(jù)所說(shuō)歷史行為記錄的扣分值實(shí)時(shí)更新所述用戶(hù)的第二可信度分值。

在一個(gè)實(shí)施例中，所述用戶(hù)行為數(shù)據(jù)庫(kù)存儲(chǔ)的信息包括用戶(hù)ID、時(shí)間、用戶(hù)行為類(lèi)型、用戶(hù)操作行為、源IP、目的IP、協(xié)議、源端口、目的端口、開(kāi)始時(shí)間、持續(xù)時(shí)間、數(shù)據(jù)包個(gè)數(shù)、流量大小；其中，設(shè)置用戶(hù)第三可信度分值、需要扣分的用戶(hù)行為類(lèi)型、用戶(hù)操作行為以及所述需要扣分的用戶(hù)行為類(lèi)型、用戶(hù)操作行為的扣分值，如果用戶(hù)行為是所述需要扣分的用戶(hù)行為類(lèi)型、用戶(hù)操作行為時(shí)，根據(jù)所述用戶(hù)行為類(lèi)型、用戶(hù)操作行為的扣分值對(duì)用戶(hù)的第三可信度分值進(jìn)行扣分以確定所述用戶(hù)的第三可信度分值。

在一個(gè)實(shí)施例中，所述用戶(hù)行為類(lèi)型包括：用戶(hù)登錄、常規(guī)訪(fǎng)問(wèn)、文件操作、賬號(hào)操作、域名查詢(xún)、系統(tǒng)更改。例如，用戶(hù)登錄時(shí)發(fā)現(xiàn)異常登錄、常規(guī)訪(fǎng)問(wèn)中出現(xiàn)異常、文件操作是有刪除系統(tǒng)文件的操作、賬戶(hù)操作時(shí)有刪除賬戶(hù)的行為、域名查詢(xún)時(shí)短時(shí)的進(jìn)行連續(xù)的域名查詢(xún)、系統(tǒng)更改時(shí)更改用戶(hù)的賬戶(hù)名等。如果行為類(lèi)型出現(xiàn)如上所述的非法操作，則對(duì)用戶(hù)的第三可信度進(jìn)行扣分并實(shí)時(shí)更新用戶(hù)的可信度分值。

在一個(gè)實(shí)施例中，所述用戶(hù)操作行為包括正常登錄、正常瀏覽訪(fǎng)問(wèn)、新建文件、文件拷貝、文件上傳、文件刪除、文件傳輸、下載越權(quán)文件、域名查詢(xún)、添加賬號(hào)、刪除賬號(hào)、修改賬號(hào)、修改啟動(dòng)項(xiàng)目、重啟系統(tǒng)、關(guān)閉系統(tǒng)。例如，如果上述用戶(hù)操作行為出現(xiàn)非法操作，則對(duì)用戶(hù)的第三可信度進(jìn)行扣分并實(shí)時(shí)更新用戶(hù)的可信度分值。

步驟102，根據(jù)所述用戶(hù)行為的可信度控制用戶(hù)的訪(fǎng)問(wèn)請(qǐng)求。

具體地，根據(jù)所述用戶(hù)行為的可信度控制用戶(hù)的訪(fǎng)問(wèn)請(qǐng)求包括：如果用戶(hù)的訪(fǎng)問(wèn)行為的可信度小于設(shè)定閾值，則認(rèn)為所述用戶(hù)行為是不合法的，禁止所述用戶(hù)的訪(fǎng)問(wèn)；如果用戶(hù)的行為的可信度不小于設(shè)定閾值，則認(rèn)為所述用戶(hù)的訪(fǎng)問(wèn)行為是合法的，允許所述用戶(hù)的訪(fǎng)問(wèn)。

在一個(gè)實(shí)施例中，可以根據(jù)所述用戶(hù)的第一、第二、第三可信度分 值綜合確定所述用戶(hù)的訪(fǎng)問(wèn)行為的可信度，根據(jù)綜合得到的所述用戶(hù)行為的可信度控制用戶(hù)的訪(fǎng)問(wèn)請(qǐng)求。例如，可以通過(guò)加權(quán)平均的方式，根據(jù)第一、第二、第三可信度分值綜合確定所述用戶(hù)的訪(fǎng)問(wèn)行為的可信度，根據(jù)不同的應(yīng)用、用戶(hù)給第一、第二、第三可信度分配權(quán)重值。

本發(fā)明實(shí)施例提供的網(wǎng)絡(luò)訪(fǎng)問(wèn)控制方法，可以應(yīng)用于需要用戶(hù)賬號(hào)登錄驗(yàn)證，從而對(duì)用戶(hù)行為進(jìn)行控制的應(yīng)用場(chǎng)景?？梢蕴峁┮环N基于用戶(hù)行為模式分析的網(wǎng)絡(luò)訪(fǎng)問(wèn)控制方法和防火墻系統(tǒng)，可以根據(jù)用戶(hù)的歷史訪(fǎng)問(wèn)行為，計(jì)算用戶(hù)的行為可信系數(shù)從而進(jìn)行安全控制。

圖2示出本發(fā)明一個(gè)實(shí)施例的網(wǎng)絡(luò)訪(fǎng)問(wèn)控制方法的流程示意圖。參照?qǐng)D2所示，該方法包括：

步驟201，當(dāng)用戶(hù)訪(fǎng)問(wèn)應(yīng)用群時(shí)，輸入用戶(hù)名密碼通過(guò)防火墻本地認(rèn)證或AAA服務(wù)器認(rèn)證。

步驟202，根據(jù)用戶(hù)行為可信度數(shù)據(jù)庫(kù)中信息對(duì)用戶(hù)的行為進(jìn)行分析。

步驟203，判斷用戶(hù)行為的可信度是否超過(guò)設(shè)定閾值，該設(shè)定閾值可以是60分(100分制)，如果用戶(hù)通過(guò)認(rèn)證登錄后，可信度系數(shù)不達(dá)標(biāo)即不到60分，會(huì)立刻被迫退出，如果達(dá)到設(shè)定閾值則確定用戶(hù)行為可信度滿(mǎn)足要求，并允許用戶(hù)訪(fǎng)問(wèn)。

具體地，用戶(hù)行為模式分析模塊會(huì)關(guān)聯(lián)用戶(hù)行為可信度數(shù)據(jù)庫(kù)中的三個(gè)數(shù)據(jù)庫(kù)，用戶(hù)行為可信系數(shù)的計(jì)算可以主要是看用戶(hù)對(duì)應(yīng)用的訪(fǎng)問(wèn)動(dòng)作。某些比較危險(xiǎn)的行為，如系統(tǒng)關(guān)機(jī)等系統(tǒng)更改類(lèi)或刪除賬號(hào)等賬號(hào)操作類(lèi)行為即使持續(xù)時(shí)間短，產(chǎn)生流量小，但由于可能潛在的危害大，扣分值較大；而文件上傳下載等文件操作類(lèi)行為和流量大小持續(xù)時(shí)間關(guān)系密切，計(jì)算分值的時(shí)候時(shí)間應(yīng)作為相應(yīng)的影響系數(shù)來(lái)確定扣分值，例如如果用戶(hù)在一段時(shí)間內(nèi)持續(xù)高速的下載文件，則對(duì)該用戶(hù)的可信度進(jìn)行扣分。另外，當(dāng)實(shí)時(shí)計(jì)算出的用戶(hù)行為可信系數(shù)低于最低閾值時(shí)，會(huì)強(qiáng)行中斷用戶(hù)連接，并在防火墻的內(nèi)存中清除連接?？尚畔禂?shù)處在較低級(jí)別中，則會(huì)禁止對(duì)某些應(yīng)用的訪(fǎng)問(wèn)權(quán)限。

目標(biāo)應(yīng)用數(shù)據(jù)庫(kù)中包含了當(dāng)前應(yīng)用群中各應(yīng)用程序的數(shù)據(jù)，其中， 數(shù)據(jù)格式可以為【服務(wù)IP、應(yīng)用ID、服務(wù)端口、行為類(lèi)型、操作行為、扣分值】，扣分值和行為類(lèi)型密切相關(guān)，正常行為扣分值為0，異常行為視危害程度扣分會(huì)相應(yīng)增加，對(duì)每種需要扣分的行為類(lèi)型設(shè)定不同的扣分值。

以WEB應(yīng)用系統(tǒng)為例子，目標(biāo)應(yīng)用數(shù)據(jù)庫(kù)根據(jù)用戶(hù)的行為生成以下記錄：

【200.200.200.202、1、80、常規(guī)訪(fǎng)問(wèn)、瀏覽訪(fǎng)問(wèn)、0】

【200.200.200.202、1、80、文件操作、上傳文件、0】

【200.200.200.202、1、80、文件操作、下載文件、0】

【200.200.200.202、1、80、文件操作、下載越權(quán)文件、20】

其中，當(dāng)檢測(cè)的用戶(hù)的操作行為是下載越權(quán)文件的時(shí)候，則對(duì)用戶(hù)行為第一可信度扣20分。

用戶(hù)數(shù)據(jù)庫(kù)的的數(shù)據(jù)格式可以是【用戶(hù)ID、密碼、創(chuàng)建時(shí)間、最近登錄時(shí)間、歷史行為記錄、用戶(hù)行為信譽(yù)度】，其中“歷史行為記錄”是用戶(hù)所有行為的記錄結(jié)果，行為信譽(yù)度是0-100，該用戶(hù)行為信譽(yù)度即是第二可信度，用來(lái)確定用于的當(dāng)前的信譽(yù)情況。行為信譽(yù)度分值越高，行為信譽(yù)度越高，行為信譽(yù)度分值越低，行為信譽(yù)度越低。設(shè)置不同應(yīng)用的用戶(hù)行為信譽(yù)度標(biāo)準(zhǔn)，當(dāng)?shù)陀谠搼?yīng)用的某個(gè)標(biāo)準(zhǔn)，則將限制部分功能。

每個(gè)用戶(hù)初始的用戶(hù)行為信譽(yù)度是100，以用戶(hù)xiaoyf為例子，經(jīng)過(guò)簡(jiǎn)單的幾步操作獲取的信息包含【xiaoyf、123456aB、2015年1月1日15:00、2015年10月10日16:30、(用戶(hù)登錄|修改密碼|訪(fǎng)問(wèn)WEB應(yīng)用系統(tǒng)1|下載越權(quán)文件，80)。這些數(shù)據(jù)的來(lái)源與用戶(hù)行為數(shù)據(jù)庫(kù)相關(guān)聯(lián)，當(dāng)根據(jù)用戶(hù)數(shù)據(jù)庫(kù)檢測(cè)的用戶(hù)的操作行為是下載越權(quán)文件的時(shí)候，則對(duì)用戶(hù)行為第二可信度扣20分。

用戶(hù)行為數(shù)據(jù)庫(kù)的數(shù)據(jù)格式可以是【用戶(hù)ID、時(shí)間、行為類(lèi)型、源IP、目的IP、協(xié)議、源端口、目的端口、開(kāi)始時(shí)間、持續(xù)時(shí)間、數(shù)據(jù)包個(gè)數(shù)、流量大小】。設(shè)置用戶(hù)第三可信度分值，并事先設(shè)置需要扣分的用戶(hù)行為類(lèi)型、用戶(hù)操作行為以及需要扣分的用戶(hù)行為類(lèi)型、用戶(hù) 操作行為的扣分值，如果用戶(hù)行為是所述需要扣分的用戶(hù)行為類(lèi)型、用戶(hù)操作行為時(shí)，根據(jù)所述用戶(hù)行為類(lèi)型、用戶(hù)操作行為的扣分值對(duì)用戶(hù)的第三可信度分值進(jìn)行扣分以確定所述用戶(hù)的第三可信度分值。

以用戶(hù)xiaoyf為例子，用戶(hù)首先通過(guò)Radius認(rèn)證登錄系統(tǒng)，會(huì)生成如下的用戶(hù)行為記錄：

【xiaoyf、2015年10月20日10:00、用戶(hù)登錄、正常登錄、10.0.0.1、200.200.200.200、UDP、65500、1812、10:00、0.5秒、7、1KB】

【xiaoyf、2015年10月20日10:05、賬號(hào)操作、修改密碼、10.0.0.1、200.200.200.201、TCP、65500、80、10:03、10秒、20、100KB】

【xiaoyf、2015年10月20日10:05、常規(guī)訪(fǎng)問(wèn)、訪(fǎng)問(wèn)WEB應(yīng)用系統(tǒng)1、10.0.0.1、200.200.200.202、TCP、65500、80、10:05、10秒、20、100KB】

【xiaoyf、2015年10月20日10:05、文件操作、下載越權(quán)文件、10.0.0.1、200.200.200.202、TCP、65500、80、10:00、100秒、20、1000MB】

在上述用戶(hù)行為記錄中，由于200.200.200.202上并沒(méi)有提供FTP等下載服務(wù)，這里由于是較長(zhǎng)時(shí)間進(jìn)行文件下載，產(chǎn)生較大的流量，對(duì)比目標(biāo)應(yīng)用數(shù)據(jù)庫(kù)中有一條記錄：

【200.200.200.202、1、80、文件操作、下載越權(quán)文件、20】

因而xiaoyf用戶(hù)的第三可信度扣分20，目前的第三可信度為80。

本發(fā)明實(shí)施例的上述網(wǎng)絡(luò)訪(fǎng)問(wèn)控制方法，在防火墻內(nèi)部新增用戶(hù)行為模式分析模塊，該模塊關(guān)聯(lián)目標(biāo)應(yīng)用數(shù)據(jù)庫(kù)、用戶(hù)數(shù)據(jù)庫(kù)和用戶(hù)行為數(shù)據(jù)庫(kù)來(lái)計(jì)算用戶(hù)行為可信系數(shù)。用戶(hù)行為可信系數(shù)根據(jù)用戶(hù)的歷史訪(fǎng)問(wèn)行為計(jì)算，因而是動(dòng)態(tài)變化的。當(dāng)可信系數(shù)低于期望時(shí)，禁止訪(fǎng)問(wèn)網(wǎng)絡(luò)中敏感或者高度保密的資源，甚至禁止訪(fǎng)問(wèn)整個(gè)業(yè)務(wù)系統(tǒng)。

圖3示出本發(fā)明一個(gè)實(shí)施例的一種網(wǎng)絡(luò)訪(fǎng)問(wèn)控制裝置的結(jié)構(gòu)框圖，如圖3所示，該裝置300包括：接收模塊301，用于接收用戶(hù)對(duì)應(yīng)用群 的訪(fǎng)問(wèn)行為；處理模塊302，用于基于預(yù)設(shè)的用戶(hù)行為可信度數(shù)據(jù)庫(kù)確定所述用戶(hù)的訪(fǎng)問(wèn)行為的可信度，其中，所述預(yù)設(shè)的用戶(hù)行為可信度數(shù)據(jù)庫(kù)包括目標(biāo)應(yīng)用數(shù)據(jù)庫(kù)、用戶(hù)數(shù)據(jù)庫(kù)和用戶(hù)行為數(shù)據(jù)庫(kù)；控制模塊303，用于根據(jù)所述用戶(hù)行為的可信度控制用戶(hù)的訪(fǎng)問(wèn)請(qǐng)求。

在一個(gè)實(shí)施例中，控制模塊303用于如果用戶(hù)的訪(fǎng)問(wèn)行為的可信度小于設(shè)定閾值，則認(rèn)為所述用戶(hù)行為是不合法的，禁止所述用戶(hù)的訪(fǎng)問(wèn)；如果用戶(hù)的行為的可信度不小于設(shè)定閾值，則認(rèn)為所述用戶(hù)的訪(fǎng)問(wèn)行為是合法的，允許所述用戶(hù)的訪(fǎng)問(wèn)。

在一個(gè)實(shí)施例中，該裝置還包括設(shè)置模塊304，用于在本地防火墻或AAA服務(wù)器設(shè)置用戶(hù)行為可信度數(shù)據(jù)庫(kù)；在接收到用戶(hù)的登陸請(qǐng)求后，基于本地防火墻或AAA服務(wù)器認(rèn)證和監(jiān)測(cè)所述用戶(hù)的訪(fǎng)問(wèn)行為的可信度。

在一個(gè)實(shí)施例中，所述目標(biāo)應(yīng)用數(shù)據(jù)庫(kù)存儲(chǔ)的信息包括訪(fǎng)問(wèn)的應(yīng)用特征、應(yīng)用ID、服務(wù)端口、應(yīng)用行為類(lèi)型、應(yīng)用操作行為、扣分值，設(shè)置模塊304用于設(shè)置用戶(hù)第一可信度分值、需要扣分的應(yīng)用行為類(lèi)型、應(yīng)用操作行為，所述扣分值為所述需要扣分應(yīng)用行為類(lèi)型、應(yīng)用操作行為的扣分值，處理模塊302用于如果用戶(hù)對(duì)應(yīng)用群的訪(fǎng)問(wèn)行為是所述需要扣分的應(yīng)用行為類(lèi)型、應(yīng)用操作行為時(shí)，根據(jù)所述應(yīng)用行為類(lèi)型、應(yīng)用操作行為的扣分值對(duì)用戶(hù)的第一可信度分值進(jìn)行扣分以確定所述用戶(hù)的第一可信度分值。

在一個(gè)實(shí)施例中，所述用戶(hù)數(shù)據(jù)庫(kù)存儲(chǔ)的信息包括用戶(hù)ID、密碼、創(chuàng)建時(shí)間、最近登錄時(shí)間、歷史行為記錄、第二可信度，設(shè)置模塊304用于設(shè)置用戶(hù)第二可信度分值、需要扣分的歷史行為記錄以及所述需要扣分的歷史行為記錄的扣分值，處理模塊302用于如果用戶(hù)的歷史行為記錄是需要扣分的歷史行為記錄時(shí)，則根據(jù)所說(shuō)歷史行為記錄的扣分值實(shí)時(shí)更新所述用戶(hù)的第二可信度分值。

在一個(gè)實(shí)施例中，所述用戶(hù)行為數(shù)據(jù)庫(kù)存儲(chǔ)的信息包括用戶(hù)ID、時(shí)間、用戶(hù)行為類(lèi)型、用戶(hù)操作行為、源IP、目的IP、協(xié)議、源端口、目的端口、開(kāi)始時(shí)間、持續(xù)時(shí)間、數(shù)據(jù)包個(gè)數(shù)、流量大小，設(shè)置模 塊304用于設(shè)置用戶(hù)第三可信度分值、需要扣分的用戶(hù)行為類(lèi)型、用戶(hù)操作行為以及所述需要扣分的用戶(hù)行為類(lèi)型、用戶(hù)操作行為的扣分值，處理模塊302用于如果用戶(hù)行為是所述需要扣分的用戶(hù)行為類(lèi)型、用戶(hù)操作行為時(shí)，根據(jù)所述用戶(hù)行為類(lèi)型、用戶(hù)操作行為的扣分值對(duì)用戶(hù)的第三可信度分值進(jìn)行扣分以確定所述用戶(hù)的第三可信度分值。

在一個(gè)實(shí)施例中，所述用戶(hù)行為類(lèi)型包括：用戶(hù)登錄、常規(guī)訪(fǎng)問(wèn)、文件操作、賬號(hào)操作、域名查詢(xún)、系統(tǒng)更改；所述用戶(hù)操作行為包括正常登錄、正常瀏覽訪(fǎng)問(wèn)、新建文件、文件拷貝、文件上傳、文件刪除、文件傳輸、下載越權(quán)文件、域名查詢(xún)、添加賬號(hào)、刪除賬號(hào)、修改賬號(hào)、修改啟動(dòng)項(xiàng)目、重啟系統(tǒng)、關(guān)閉系統(tǒng)。

在一個(gè)實(shí)施例中，處理模塊302用于根據(jù)所述用戶(hù)的第一、第二、第三可信度分值綜合確定所述用戶(hù)的訪(fǎng)問(wèn)行為的可信度，控制模塊303根據(jù)綜合得到的所述用戶(hù)行為的可信度控制用戶(hù)的訪(fǎng)問(wèn)請(qǐng)求。

圖4示出本發(fā)明的另一個(gè)實(shí)施例的一種網(wǎng)絡(luò)訪(fǎng)問(wèn)控制裝置的結(jié)構(gòu)框圖。網(wǎng)絡(luò)訪(fǎng)問(wèn)控制裝置400可以是具備計(jì)算能力的主機(jī)服務(wù)器、個(gè)人計(jì)算機(jī)PC、或者可攜帶的便攜式計(jì)算機(jī)、移動(dòng)終端或其他終端等。本發(fā)明具體實(shí)施例并不對(duì)計(jì)算節(jié)點(diǎn)的具體實(shí)現(xiàn)做限定。

網(wǎng)絡(luò)訪(fǎng)問(wèn)控制裝置400包括處理器(processor)401、通信接口(Communications Interface)402、存儲(chǔ)器(memory)403和總線(xiàn)404。其中，處理器401、通信接口402、以及存儲(chǔ)器403通過(guò)總線(xiàn)404完成相互間的通信。

通信接口402用于與網(wǎng)絡(luò)設(shè)備通信，其中網(wǎng)絡(luò)設(shè)備包括例如虛擬機(jī)管理中心、共享存儲(chǔ)等。

處理器401用于執(zhí)行程序。處理器401可以是一個(gè)中央處理器CPU，或者可以是專(zhuān)用集成電路ASIC(Application Specific Integrated Circuit)，或者是被配置成實(shí)施本發(fā)明實(shí)施例的一個(gè)或多個(gè)集成電路。

存儲(chǔ)器403用于存放文件。存儲(chǔ)器403可以包含高速RAM存儲(chǔ)器，也可還包括非易失性存儲(chǔ)器(non-volatile memory)，例如至少一個(gè)磁盤(pán)存儲(chǔ)器。存儲(chǔ)器403也可以是存儲(chǔ)器陣列。存儲(chǔ)器403還可能被分 塊，并且塊可按一定的規(guī)則組合成虛擬卷。

在一種實(shí)施方式中，上述程序可為包括計(jì)算機(jī)操作指令的程序代碼。該程序具體可用于：接收用戶(hù)對(duì)應(yīng)用群的訪(fǎng)問(wèn)行為，基于預(yù)設(shè)的用戶(hù)行為可信度數(shù)據(jù)庫(kù)確定所述用戶(hù)的訪(fǎng)問(wèn)行為的可信度，其中，所述預(yù)設(shè)的用戶(hù)行為可信度數(shù)據(jù)庫(kù)包括目標(biāo)應(yīng)用數(shù)據(jù)庫(kù)、用戶(hù)數(shù)據(jù)庫(kù)和用戶(hù)行為數(shù)據(jù)庫(kù)；根據(jù)所述用戶(hù)行為的可信度控制用戶(hù)的訪(fǎng)問(wèn)請(qǐng)求。

在一個(gè)實(shí)施例中，根據(jù)所述用戶(hù)行為的可信度控制用戶(hù)的訪(fǎng)問(wèn)請(qǐng)求包括：如果用戶(hù)的訪(fǎng)問(wèn)行為的可信度小于設(shè)定閾值，則認(rèn)為所述用戶(hù)行為是不合法的，禁止所述用戶(hù)的訪(fǎng)問(wèn)；如果用戶(hù)的行為的可信度不小于設(shè)定閾值，則認(rèn)為所述用戶(hù)的訪(fǎng)問(wèn)行為是合法的，允許所述用戶(hù)的訪(fǎng)問(wèn)。

在一個(gè)實(shí)施例中，所述接收用戶(hù)對(duì)應(yīng)用群的訪(fǎng)問(wèn)行為，基于預(yù)設(shè)的用戶(hù)行為可信度數(shù)據(jù)庫(kù)確定所述用戶(hù)的訪(fǎng)問(wèn)行為的可信度之前還包括：在本地防火墻或AAA服務(wù)器設(shè)置用戶(hù)行為可信度數(shù)據(jù)庫(kù)；在接收到用戶(hù)的登陸請(qǐng)求后，基于本地防火墻或驗(yàn)證授權(quán)計(jì)費(fèi)AAA服務(wù)器認(rèn)證和監(jiān)測(cè)所述用戶(hù)的訪(fǎng)問(wèn)行為的可信度。

在一個(gè)實(shí)施例中，所述目標(biāo)應(yīng)用數(shù)據(jù)庫(kù)存儲(chǔ)的信息包括訪(fǎng)問(wèn)的應(yīng)用特征、應(yīng)用ID、服務(wù)端口、應(yīng)用行為類(lèi)型、應(yīng)用操作行為、扣分值，其中，設(shè)置用戶(hù)第一可信度分值、需要扣分的應(yīng)用行為類(lèi)型、應(yīng)用操作行為，所述扣分值為所述需要扣分應(yīng)用行為類(lèi)型、應(yīng)用操作行為的扣分值，如果用戶(hù)對(duì)應(yīng)用群的訪(fǎng)問(wèn)行為是所述需要扣分的應(yīng)用行為類(lèi)型、應(yīng)用操作行為時(shí)，根據(jù)所述應(yīng)用行為類(lèi)型、應(yīng)用操作行為的扣分值對(duì)用戶(hù)的第一可信度分值進(jìn)行扣分以確定所述用戶(hù)的第一可信度分值。

在一個(gè)實(shí)施例中，所述用戶(hù)數(shù)據(jù)庫(kù)存儲(chǔ)的信息包括用戶(hù)ID、密碼、創(chuàng)建時(shí)間、最近登錄時(shí)間、歷史行為記錄、第二可信度，其中，設(shè)置用戶(hù)第二可信度分值、需要扣分的歷史行為記錄以及所述需要扣分的歷史行為記錄的扣分值，如果用戶(hù)的歷史行為記錄是需要扣分的歷史行為記錄時(shí)，則根據(jù)所說(shuō)歷史行為記錄的扣分值實(shí)時(shí)更新所述用戶(hù)的第二可信度分值。

在一個(gè)實(shí)施例中，所述用戶(hù)行為數(shù)據(jù)庫(kù)存儲(chǔ)的信息包括用戶(hù)ID、時(shí)間、用戶(hù)行為類(lèi)型、用戶(hù)操作行為、源IP、目的IP、協(xié)議、源端口、目的端口、開(kāi)始時(shí)間、持續(xù)時(shí)間、數(shù)據(jù)包個(gè)數(shù)、流量大??；其中，設(shè)置用戶(hù)第三可信度分值、需要扣分的用戶(hù)行為類(lèi)型、用戶(hù)操作行為以及所述需要扣分的用戶(hù)行為類(lèi)型、用戶(hù)操作行為的扣分值，如果用戶(hù)行為是所述需要扣分的用戶(hù)行為類(lèi)型、用戶(hù)操作行為時(shí)，根據(jù)所述用戶(hù)行為類(lèi)型、用戶(hù)操作行為的扣分值對(duì)用戶(hù)的第三可信度分值進(jìn)行扣分以確定所述用戶(hù)的第三可信度分值。

在一個(gè)實(shí)施例中，所述用戶(hù)行為類(lèi)型包括：用戶(hù)登錄、常規(guī)訪(fǎng)問(wèn)、文件操作、賬號(hào)操作、域名查詢(xún)、系統(tǒng)更改；所述用戶(hù)操作行為包括正常登錄、正常瀏覽訪(fǎng)問(wèn)、新建文件、文件拷貝、文件上傳、文件刪除、文件傳輸、下載越權(quán)文件、域名查詢(xún)、添加賬號(hào)、刪除賬號(hào)、修改賬號(hào)、修改啟動(dòng)項(xiàng)目、重啟系統(tǒng)、關(guān)閉系統(tǒng)。

在一個(gè)實(shí)施例中，根據(jù)所述用戶(hù)的第一、第二、第三可信度分值綜合確定所述用戶(hù)的訪(fǎng)問(wèn)行為的可信度。

本領(lǐng)域普通技術(shù)人員可以意識(shí)到，本文所描述的實(shí)施例中的各示例性單元及算法步驟，能夠以電子硬件、或者計(jì)算機(jī)軟件和電子硬件的結(jié)合來(lái)實(shí)現(xiàn)。這些功能究竟以硬件還是軟件形式來(lái)實(shí)現(xiàn)，取決于技術(shù)方案的特定應(yīng)用和設(shè)計(jì)約束條件。專(zhuān)業(yè)技術(shù)人員可以針對(duì)特定的應(yīng)用選擇不同的方法來(lái)實(shí)現(xiàn)所描述的功能，但是這種實(shí)現(xiàn)不應(yīng)認(rèn)為超出本發(fā)明的范圍。

如果以計(jì)算機(jī)軟件的形式來(lái)實(shí)現(xiàn)功能并作為獨(dú)立的產(chǎn)品銷(xiāo)售或使用時(shí)，則在一定程度上可認(rèn)為本發(fā)明的技術(shù)方案的全部或部分(例如對(duì)現(xiàn)有技術(shù)做出貢獻(xiàn)的部分)是以計(jì)算機(jī)軟件產(chǎn)品的形式體現(xiàn)的。該計(jì)算機(jī)軟件產(chǎn)品通常存儲(chǔ)在計(jì)算機(jī)可讀取的非易失性存儲(chǔ)介質(zhì)中，包括若干指令用以使得計(jì)算機(jī)設(shè)備(可以是個(gè)人計(jì)算機(jī)、服務(wù)器、或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各實(shí)施例方法的全部或部分步驟。而前述的存儲(chǔ)介質(zhì)包括U盤(pán)、移動(dòng)硬盤(pán)、只讀存儲(chǔ)器(ROM，Read-Only Memory)、隨機(jī)存取存儲(chǔ)器(RAM，Random Access Memory)、磁碟或者光盤(pán)等各種 可以存儲(chǔ)程序代碼的介質(zhì)。

本發(fā)明的描述是為了示例和描述起見(jiàn)而給出的，而并不是無(wú)遺漏的或者將本發(fā)明限于所公開(kāi)的形式。很多修改和變化對(duì)于本領(lǐng)域的普通技術(shù)人員而言是顯然的。選擇和描述實(shí)施例是為了更好說(shuō)明本發(fā)明的原理和實(shí)際應(yīng)用，并且使本領(lǐng)域的普通技術(shù)人員能夠理解本發(fā)明從而設(shè)計(jì)適于特定用途的帶有各種修改的各種實(shí)施例。