收藏
下载资源 加入会员免费下载

一种实现应用层流量监控的防火墙控制方法.pdf

上传人:000****221 文档编号:4762004 上传时间:2018-11-08 格式:PDF 页数:8 大小:1.18MB
返回 下载 相关 举报
摘要
申请专利号:

CN201310699918.5

 申请日:

2013.12.16
公开号:

CN103957185A

 公开日:

2014.07.30
当前法律状态:

实审

 有效性:

审中
法律详情:

实质审查的生效IPC(主分类):H04L 29/06申请日:20131216|||公开
IPC分类号:

H04L29/06; H04L29/08

 主分类号:

H04L29/06
申请人:

汉柏科技有限公司
发明人:

郭感应; 朱正路; 王智民
地址:

300384 天津市西青区华苑产业区海泰西18号西3楼104室
优先权:

专利代理机构:

北京天奇智新知识产权代理有限公司 11340

 代理人:

陆军
PDF下载: PDF下载
内容摘要

一种实现应用层流量监控的防火墙控制方法,包括如下步骤:防火墙在检测到有数据通过时,对数据对应的用户进行用户认证,并在认证通过后对用户的安全等级权重进行增加操作;防火墙在检测到用户进行业务链接时,对业务链接进行认证,并在业务链接通过后对用户的安全等级权重再次进行增加操作;防火墙在检测到用户进行应用类别的业务访问时,检测业务访问是否正常,如果是,则对用户的安全等级权重进一步进行增加操作,否则禁止用户的IP的访问动作。本发明可以避免僵尸设备或者黑客的网络入侵,提高网络安全性。

权利要求书

权利要求书1.  一种实现应用层流量监控的防火墙控制方法,其特征在于,包括如下步骤:防火墙在检测到有数据通过时,对所述数据对应的用户进行用户认证,并在认证通过后对所述用户的安全等级权重进行增加操作;所述防火墙在检测到所述用户进行业务链接时,对所述业务链接进行认证,并在所述业务链接通过后对所述用户的安全等级权重再次进行增加操作;所述防火墙在检测到所述用户进行应用类别的业务访问时,检测所述业务访问是否正常,如果是,则对所述用户的安全等级权重进一步进行增加操作,否则禁止所述用户的IP的访问动作。2.  根据权利要求1所述的实现应用层流量监控的防火墙控制方法,其特征在于,所述对用户的安全等级权重进行增加操作,包括:所述防火墙对所述用户的安全等级权重进行加1操作。3.  根据权利要求1所述的实现应用层流量监控的防火墙控制方法,其特征在于,所述检测所述业务访问是否正常,包括如下步骤:所述防火墙对所述用户的应用类别的业务进行病毒库扫描,如果扫描未发现病毒,则判断所述业务访问正常,否则判断所述业务访问异常。4.  根据权利要求3所述的实现应用层流量监控的防火墙控制方法,其特征在于,所述禁止所述用户的IP的访问动作,包括如下步骤:所述防火墙在判断所述业务访问异常时,将所述用户加入黑名单,并对所述黑名单中的用户在第一预设时间内进行阻拦以禁止所述用户的IP的访问动作。5.  根据权利要求4所述的实现应用层流量监控的防火墙控制方法,其特征在于,所述第一预设时间为24小时。6.  根据权利要求4所述的实现应用层流量监控的防火墙控制方法,其特征在于,在超过所述第一预设时间后,所述防火墙允许所述黑名单中的用户的IP进行访问。7.  根据权利要求6所述的实现应用层流量监控的防火墙控制方法, 其特征在于,所述防火墙在检测到所述用户再次访问且所述用户的安全等级权重大于1时,则对所述用户的应用链接每隔预设数量进行一次病毒库扫描,并且在扫描未发现病毒时,对所述用户的安全等级权重进行增加操作。8.  根据权利要求7所述的实现应用层流量监控的防火墙控制方法,其特征在于,在对所述用户的安全等级权重进行增加操作后,调整所述预设数量。9.  根据权利要求7或8所述的实现应用层流量监控的防火墙控制方法,其特征在于,所述预设数量为10个。10.  根据权利要求1所述的实现应用层流量监控的防火墙控制方法,其特征在于,所述防火墙在检测所述用户在第二预设时间内未执行访问动作时,每隔所述第一预设时间对所述用户的安全等级权重进行减少操作,直至所述用户的安全等级权重为0。

说明书

说明书一种实现应用层流量监控的防火墙控制方法
技术领域
本发明涉及数据安全技术领域,特别涉及一种实现应用层流量监控的防火墙控制方法。
背景技术
现有技术均是基于IP(Internet Protocol,网络之间互连的协议)层面对单体用户进行网络的流量控制。由于当前的网络设备是基于IP层的IP五元组对用户和用户行为进行识别,而很少对应用程序进行流量控制。这是因为当前的网络设备无法实现对应用层的业务进行识别。随着下一代网络设备的发展,对业务的分类精度越来越高,基于IP层对用户的识别和用户行为的识别已经远远不能满足要求。以防火墙为例,如果识别出用户和用户行为是安全的,但无法避免此用户的设备被植入木马,以及对其应用层行为进行病毒植入。此时,该用户设备即可以视为一个僵尸设备,该僵尸设备被黑客操控。如果对用户进行用户认证通过和行为通过的情况下,木马在取得通行证的情况下进行病毒散播,则会给大量设备造成安全隐患。
针对上述问题,现有技术主要采用以下两种方式解决:
现有技术一:当前网络对网络用户进行用户身份认证,在用户身份认证通过后,即认为用户是合法用户。对用户的合法身份进行安全行为的准入制度,也就是认为用户是合法的,则其行为也是合法的,对用户的访问操作进行全部放行操作。
现有技术二:对网络用户的行为进行认定,认定其行为合法后,连接通过,则后续其行为的应用也认为是合法的,并认为其合法性在不间断的一段时间内有效。
但是,上述现有技术采用的解决方案存在如下缺陷:当用户通过认证后,即使用户本身的行为是安全的,也不能避免用户的设备被感染成僵尸设备。当用户的设备受到感染时,则会改变其用户的应用特征。对于网络设备而言,用户的认证通过且用户的行为也通过,但用户的应用仍然无法通过时,通常都需要在目的设备上安装杀毒软件来防止此类问题的发生。但如果杀毒软件没有及时更新或者新病毒没有被杀毒软件强杀,则会造成无法防护的问题。
发明内容
本发明的目的是提供一种实现应用层流量监控的防火墙控制方法,该方法通过对用户和应用类别进行认证识别,然后在应用类别的基础上进行安全植入,当发现访问出现异常时,禁止该用户的IP的访问活动,从而避免僵尸设备或者黑客的网络入侵。
本发明的实施例提出一种实现应用层流量监控的防火墙控制方法,包括如下步骤:防火墙在检测到有数据通过时,对所述数据对应的用户进行用户认证,并在认证通过后对所述用户的安全等级权重进行增加操作;
所述防火墙在检测到所述用户进行业务链接时,对所述业务链接进行认证,并在所述业务链接通过后对所述用户的安全等级权重再次进行增加操作;
所述防火墙在检测到所述用户进行应用类别的业务访问时,检测所述业务访问是否正常,如果是,则对所述用户的安全等级权重进一步进行增加操作,否则禁止所述用户的IP的访问动作。
根据本发明的一个方面,所述对用户的安全等级权重进行增加操作,包括:所述防火墙对所述用户的安全等级权重进行加1操作。
根据本发明的另一个方面,所述检测所述业务访问是否正常,包括如下步骤:所述防火墙对所述用户的应用类别的业务进行病毒库扫描,如果扫描未发现病毒,则判断所述业务访问正常,否则判断所述业务访问异常。
根据本发明的又一方面,所述禁止所述用户的IP的访问动作,包括如下步骤:所述防火墙在判断所述业务访问异常时,将所述用户加入黑名 单,并对所述黑名单中的用户在第一预设时间内进行阻拦以禁止所述用户的IP的访问动作。
根据本发明的再一方面,所述第一预设时间为24小时。
根据本发明的一个方面,在超过所述第一预设时间后,所述防火墙允许所述黑名单中的用户的IP进行访问。
根据本发明的另一个方面,所述防火墙在检测到所述用户再次访问且所述用户的安全等级权重大于1时,则对所述用户的应用链接每隔预设数量进行一次病毒库扫描,并且在扫描未发现病毒时,对所述用户的安全等级权重进行增加操作。
根据本发明的又一方面,在对所述用户的安全等级权重进行增加操作后,调整所述预设数量。
根据本发明的再一方面,所述预设数量为10个。
根据本发明的一个方面,所述防火墙在检测所述用户在第二预设时间内未执行访问动作时,每隔所述第一预设时间对所述用户的安全等级权重进行减少操作,直至所述用户的安全等级权重为0。
本发明的实现应用层流量监控的防火墙控制方法,先后对用户、业务链接和应用类别进行认证识别,并在认证通过后,对用户的安全等级权重进行动态调整,并且在检测到访问出现异常时,禁止该用户的IP的一切访问动作。
本发明的实现应用层流量监控的防火墙控制方法可以通过对用户的安全等级权重进行动态调整,并且可以简单且高效地处理网络应用中的僵尸病毒的攻击,对用户无需进行逐包检测病毒,而是抽样检测的方式,对每隔一定数量的数据包进行病毒检测,从而提高了检测效率,避免了僵尸设备或者黑客的网络入侵,提高了网络的安全性。
附图说明
图1是根据本发明第一实施方式的实现应用层流量监控的防火墙控制方法的流程图;
图2是根据本发明第二实施方式的实现应用层流量监控的防火墙控制方法的流程。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明了,下面结合具体实施方式并参照附图,对本发明进一步详细说明。应该理解,这些描述只是示例性的,而并非要限制本发明的范围。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本发明的概念。
本发明是根据下一代防火墙的特点,针对应用业务进行强化监控的防火墙控制方法。
图1是根据本发明第一实施方式的实现应用层流量监控的防火墙控制方法的流程图。
如图1所示,本发明第一实施方式的实现应用层流量监控的防火墙控制方法,包括如下步骤:
步骤S101,防火墙在检测到有数据通过时,对上述数据的对应的用户进行用户认证,并在认证通过后对用户的安全等级权重进行增加操作。
具体地,当有数据通过防火墙时,防火墙对用户首先进行用户认证。在用户认证通过后,对用户的安全等级权重进行增加操作。在本发明的一个实施例中,对用户的安全等级权重进行增加操作,包括对用户的安全等级权重进行加1操作。
步骤S102,防火墙在检测到用户进行业务链接时,对上述业务链接进行认证,并在业务链接通过后对用户的安全等级权重再次进行增加操作。
具体地,防火墙在检测到用户进行业务链接时,当业务链接通过时,对用户的安全等级权重进行增加操作,即对用户的安全等级权重进行加1操作。
步骤S103,防火墙在检测到用户进行应用类别的业务访问时,检测该业务访问是否正常,如果是,则对用户的安全等级权重进一步进行增加操作,否则禁止用户的IP的访问动作。
防火墙在检测到用户进行应用类别的业务访问时,检测业务访问是否正常。
具体地,防火墙对用户的应用类别的业务进行病毒库扫描,即防火墙对用户的应用类别的业务进行第三方病毒扫描,如果扫描未发现病毒,则判断业务访问正常,对用户的安全等级权重进行加1操作。
如果扫描发现病毒,则判断业务访问异常。防火墙将用户加入黑名单,并对黑名单中的用户在第一预设时间内进行阻拦以禁止该用户的IP在第一预设时间内的一切访问动作。
在本发明的一个示例中,第一预设时间可以为24小时。
图2示出了本发明第二实施方式的实现应用层流量监控的防火墙控制方法。
如图2所示,在防火墙禁止用户的IP的访问动作之后,还包括如下步骤:
步骤S104,在超过第一预设时间后,防火墙允许黑名单中的用户的IP进行访问。
换言之,在黑名单中的用户超过24小时之后,防火墙允许黑名单中的用户的再次访问网络。
步骤S105,防火墙在检测到用户再次访问且用户的安全等级权重大于1时,则对用户的应用链接每隔预设数量进行一次病毒库扫描,并且在扫描未发现病毒时,对用户的安全等级权重进行增加操作。其中,预设数量可以为10个。
步骤S106,在对用户的安全等级权重进行增加操作后,调整预设数量。
具体地,当防火墙检测到用户再次访问网络时,则进一步判断用户的安全等级权重。如果用户的安全等级权重大于1,则对用户的应用链接进行第三方病毒库抽样检测。
防火墙每隔10个应用链接进行一次病毒扫描,并且扫描10次则将用户的安全等级权重加1。每当用户的安全等级权重加1,则病毒扫描的间隔增加10个,由此进行用户的信任度的动态计算。
在本发明的一个实施例中,防火墙在检测到用户在第二预设时间内未执行访问动作时,每隔第一预设时间对用户的安全等级权重进行减少操作,直至用户的安全等级权重为0。其中,第二预设时间可以为48小时。需要说明的是,第二预设时间是一个长时间的概念,48小时仅是出于示例 目的,用户还可以设置为其他时长。
换言之,对于长时间不进行网络访问的用户,每隔24小时,用户的安全等级权重减1,直至安全等级权重减为0为止,删除用户登录网络记录。即将该用户作为初始用户登录对待,进行全面病毒扫描防御,以此来达到下一代网络防护墙的安全防护目的。当用户再次进行网络访问时,重复执行上述步骤。
由上可知,本发明对用户的应用行为采用动态权重计算方式。当用户长时间在线访问业务时,则可以认为此时业务是流畅的,并且随着访问的业务量增多,用户的安全等级权重越高,信任度越高,对用户扫描的次数越少。
当用户出现一次病毒扫描失败时,则将该用户记入黑名单,对该用户进行网络限行,并且网络通知客户设备已经感染病毒,无法再连入网络。当用户杀毒后再次重新记入用户的安全等级权重比值。对于长期不在线的用户权重相应的减小,当权重减少到一定值时,将该用户初始用户登录对待,进行全面病毒扫描防御,以此来达到下一代网络防护墙的安全防护目的。
本发明旨在保护一种实现应用层流量监控的防火墙控制方法,该方法是基于当前网络高风险度情况进行升级,改进成对应用程序进行识别和控制的防火墙控制方法。本发明利用防火墙对用户和业务链接认证后,对应用类别进行识别,然后在应用类别的基础上进行安全植入。当防火墙发现访问出现异常时,对用户进行黑名单记名,禁止该用户的IP的一切访问活动,以此来避免僵尸设备或者黑客的网络入侵。本发明可以根据对用户和业务链接的认证结果,对用户的安全等级权重进行动态调整,从而可以简单且高效地处理网络应用中的僵尸病毒的攻击,对用户无需进行逐包检测病毒,而是抽样检测的方式。即对每隔一定数量的数据包进行病毒检测,从而提高了检测效率,避免了僵尸设备或者黑客的网络入侵,提高了网络的安全性。
应当理解的是,本发明的上述具体实施方式仅仅用于示例性说明或解释本发明的原理,而不构成对本发明的限制。因此,在不偏离本发明的精神和范围的情况下所做的任何修改、等同替换、改进等,均应包含在本发 明的保护范围之内。此外,本发明所附权利要求旨在涵盖落入所附权利要求范围和边界、或者这种范围和边界的等同形式内的全部变化和修改例。

一种实现应用层流量监控的防火墙控制方法.pdf_第1页
第1页 / 共8页
一种实现应用层流量监控的防火墙控制方法.pdf_第2页
第2页 / 共8页
一种实现应用层流量监控的防火墙控制方法.pdf_第3页
第3页 / 共8页
点击查看更多>>
资源描述

《一种实现应用层流量监控的防火墙控制方法.pdf》由会员分享,可在线阅读,更多相关《一种实现应用层流量监控的防火墙控制方法.pdf(8页珍藏版)》请在专利查询网上搜索。

1、(10)申请公布号 CN 103957185 A (43)申请公布日 2014.07.30 CN 103957185 A (21)申请号 201310699918.5 (22)申请日 2013.12.16 H04L 29/06(2006.01) H04L 29/08(2006.01) (71)申请人 汉柏科技有限公司 地址 300384 天津市西青区华苑产业区海泰 西 18 号西 3 楼 104 室 (72)发明人 郭感应 朱正路 王智民 (74)专利代理机构 北京天奇智新知识产权代理 有限公司 11340 代理人 陆军 (54) 发明名称 一种实现应用层流量监控的防火墙控制方法 (57) 摘。

2、要 一种实现应用层流量监控的防火墙控制方 法, 包括如下步骤 : 防火墙在检测到有数据通过 时, 对数据对应的用户进行用户认证, 并在认证通 过后对用户的安全等级权重进行增加操作 ; 防火 墙在检测到用户进行业务链接时, 对业务链接进 行认证, 并在业务链接通过后对用户的安全等级 权重再次进行增加操作 ; 防火墙在检测到用户进 行应用类别的业务访问时, 检测业务访问是否正 常, 如果是, 则对用户的安全等级权重进一步进行 增加操作, 否则禁止用户的 IP 的访问动作。本发 明可以避免僵尸设备或者黑客的网络入侵, 提高 网络安全性。 (51)Int.Cl. 权利要求书 1 页 说明书 4 页 附。

3、图 2 页 (19)中华人民共和国国家知识产权局 (12)发明专利申请 权利要求书1页 说明书4页 附图2页 (10)申请公布号 CN 103957185 A CN 103957185 A 1/1 页 2 1. 一种实现应用层流量监控的防火墙控制方法, 其特征在于, 包括如下步骤 : 防火墙在检测到有数据通过时, 对所述数据对应的用户进行用户认证, 并在认证通过 后对所述用户的安全等级权重进行增加操作 ; 所述防火墙在检测到所述用户进行业务链接时, 对所述业务链接进行认证, 并在所述 业务链接通过后对所述用户的安全等级权重再次进行增加操作 ; 所述防火墙在检测到所述用户进行应用类别的业务访问时。

4、, 检测所述业务访问是否正 常, 如果是, 则对所述用户的安全等级权重进一步进行增加操作, 否则禁止所述用户的 IP 的访问动作。 2. 根据权利要求 1 所述的实现应用层流量监控的防火墙控制方法, 其特征在于, 所述 对用户的安全等级权重进行增加操作, 包括 : 所述防火墙对所述用户的安全等级权重进行 加 1 操作。 3. 根据权利要求 1 所述的实现应用层流量监控的防火墙控制方法, 其特征在于, 所述 检测所述业务访问是否正常, 包括如下步骤 : 所述防火墙对所述用户的应用类别的业务进行病毒库扫描, 如果扫描未发现病毒, 则 判断所述业务访问正常, 否则判断所述业务访问异常。 4. 根据权。

5、利要求 3 所述的实现应用层流量监控的防火墙控制方法, 其特征在于, 所述 禁止所述用户的 IP 的访问动作, 包括如下步骤 : 所述防火墙在判断所述业务访问异常时, 将所述用户加入黑名单, 并对所述黑名单中 的用户在第一预设时间内进行阻拦以禁止所述用户的 IP 的访问动作。 5. 根据权利要求 4 所述的实现应用层流量监控的防火墙控制方法, 其特征在于, 所述 第一预设时间为 24 小时。 6. 根据权利要求 4 所述的实现应用层流量监控的防火墙控制方法, 其特征在于, 在超 过所述第一预设时间后, 所述防火墙允许所述黑名单中的用户的 IP 进行访问。 7. 根据权利要求 6 所述的实现应用。

6、层流量监控的防火墙控制方法, 其特征在于, 所述 防火墙在检测到所述用户再次访问且所述用户的安全等级权重大于 1 时, 则对所述用户的 应用链接每隔预设数量进行一次病毒库扫描, 并且在扫描未发现病毒时, 对所述用户的安 全等级权重进行增加操作。 8. 根据权利要求 7 所述的实现应用层流量监控的防火墙控制方法, 其特征在于, 在对 所述用户的安全等级权重进行增加操作后, 调整所述预设数量。 9.根据权利要求7或8所述的实现应用层流量监控的防火墙控制方法, 其特征在于, 所 述预设数量为 10 个。 10. 根据权利要求 1 所述的实现应用层流量监控的防火墙控制方法, 其特征在于, 所述 防火墙。

7、在检测所述用户在第二预设时间内未执行访问动作时, 每隔所述第一预设时间对所 述用户的安全等级权重进行减少操作, 直至所述用户的安全等级权重为 0。 权 利 要 求 书 CN 103957185 A 2 1/4 页 3 一种实现应用层流量监控的防火墙控制方法 技术领域 0001 本发明涉及数据安全技术领域, 特别涉及一种实现应用层流量监控的防火墙控制 方法。 背景技术 0002 现有技术均是基于IP(Internet Protocol,网络之间互连的协议)层面对单体用 户进行网络的流量控制。由于当前的网络设备是基于 IP 层的 IP 五元组对用户和用户行为 进行识别, 而很少对应用程序进行流量控。

8、制。这是因为当前的网络设备无法实现对应用层 的业务进行识别。随着下一代网络设备的发展, 对业务的分类精度越来越高, 基于 IP 层对 用户的识别和用户行为的识别已经远远不能满足要求。以防火墙为例, 如果识别出用户和 用户行为是安全的, 但无法避免此用户的设备被植入木马, 以及对其应用层行为进行病毒 植入。此时, 该用户设备即可以视为一个僵尸设备, 该僵尸设备被黑客操控。如果对用户进 行用户认证通过和行为通过的情况下, 木马在取得通行证的情况下进行病毒散播, 则会给 大量设备造成安全隐患。 0003 针对上述问题, 现有技术主要采用以下两种方式解决 : 0004 现有技术一 : 当前网络对网络用。

9、户进行用户身份认证, 在用户身份认证通过后, 即 认为用户是合法用户。对用户的合法身份进行安全行为的准入制度, 也就是认为用户是合 法的, 则其行为也是合法的, 对用户的访问操作进行全部放行操作。 0005 现有技术二 : 对网络用户的行为进行认定, 认定其行为合法后, 连接通过, 则后续 其行为的应用也认为是合法的, 并认为其合法性在不间断的一段时间内有效。 0006 但是, 上述现有技术采用的解决方案存在如下缺陷 : 当用户通过认证后, 即使用户 本身的行为是安全的, 也不能避免用户的设备被感染成僵尸设备。当用户的设备受到感染 时, 则会改变其用户的应用特征。对于网络设备而言, 用户的认证。

10、通过且用户的行为也通 过, 但用户的应用仍然无法通过时, 通常都需要在目的设备上安装杀毒软件来防止此类问 题的发生。但如果杀毒软件没有及时更新或者新病毒没有被杀毒软件强杀, 则会造成无法 防护的问题。 发明内容 0007 本发明的目的是提供一种实现应用层流量监控的防火墙控制方法, 该方法通过对 用户和应用类别进行认证识别, 然后在应用类别的基础上进行安全植入, 当发现访问出现 异常时, 禁止该用户的 IP 的访问活动, 从而避免僵尸设备或者黑客的网络入侵。 0008 本发明的实施例提出一种实现应用层流量监控的防火墙控制方法, 包括如下步 骤 : 防火墙在检测到有数据通过时, 对所述数据对应的用。

11、户进行用户认证, 并在认证通过后 对所述用户的安全等级权重进行增加操作 ; 0009 所述防火墙在检测到所述用户进行业务链接时, 对所述业务链接进行认证, 并在 所述业务链接通过后对所述用户的安全等级权重再次进行增加操作 ; 说 明 书 CN 103957185 A 3 2/4 页 4 0010 所述防火墙在检测到所述用户进行应用类别的业务访问时, 检测所述业务访问是 否正常, 如果是, 则对所述用户的安全等级权重进一步进行增加操作, 否则禁止所述用户的 IP 的访问动作。 0011 根据本发明的一个方面, 所述对用户的安全等级权重进行增加操作, 包括 : 所述防 火墙对所述用户的安全等级权重。

12、进行加 1 操作。 0012 根据本发明的另一个方面, 所述检测所述业务访问是否正常, 包括如下步骤 : 所述 防火墙对所述用户的应用类别的业务进行病毒库扫描, 如果扫描未发现病毒, 则判断所述 业务访问正常, 否则判断所述业务访问异常。 0013 根据本发明的又一方面, 所述禁止所述用户的 IP 的访问动作, 包括如下步骤 : 所 述防火墙在判断所述业务访问异常时, 将所述用户加入黑名单, 并对所述黑名单中的用户 在第一预设时间内进行阻拦以禁止所述用户的 IP 的访问动作。 0014 根据本发明的再一方面, 所述第一预设时间为 24 小时。 0015 根据本发明的一个方面, 在超过所述第一预。

13、设时间后, 所述防火墙允许所述黑名 单中的用户的 IP 进行访问。 0016 根据本发明的另一个方面, 所述防火墙在检测到所述用户再次访问且所述用户的 安全等级权重大于 1 时, 则对所述用户的应用链接每隔预设数量进行一次病毒库扫描, 并 且在扫描未发现病毒时, 对所述用户的安全等级权重进行增加操作。 0017 根据本发明的又一方面, 在对所述用户的安全等级权重进行增加操作后, 调整所 述预设数量。 0018 根据本发明的再一方面, 所述预设数量为 10 个。 0019 根据本发明的一个方面, 所述防火墙在检测所述用户在第二预设时间内未执行访 问动作时, 每隔所述第一预设时间对所述用户的安全等。

14、级权重进行减少操作, 直至所述用 户的安全等级权重为 0。 0020 本发明的实现应用层流量监控的防火墙控制方法, 先后对用户、 业务链接和应用 类别进行认证识别, 并在认证通过后, 对用户的安全等级权重进行动态调整, 并且在检测到 访问出现异常时, 禁止该用户的 IP 的一切访问动作。 0021 本发明的实现应用层流量监控的防火墙控制方法可以通过对用户的安全等级权 重进行动态调整, 并且可以简单且高效地处理网络应用中的僵尸病毒的攻击, 对用户无需 进行逐包检测病毒, 而是抽样检测的方式, 对每隔一定数量的数据包进行病毒检测, 从而提 高了检测效率, 避免了僵尸设备或者黑客的网络入侵, 提高了。

15、网络的安全性。 附图说明 0022 图 1 是根据本发明第一实施方式的实现应用层流量监控的防火墙控制方法的流 程图 ; 0023 图 2 是根据本发明第二实施方式的实现应用层流量监控的防火墙控制方法的流 程。 具体实施方式 0024 为使本发明的目的、 技术方案和优点更加清楚明了, 下面结合具体实施方式并参 说 明 书 CN 103957185 A 4 3/4 页 5 照附图, 对本发明进一步详细说明。应该理解, 这些描述只是示例性的, 而并非要限制本发 明的范围。此外, 在以下说明中, 省略了对公知结构和技术的描述, 以避免不必要地混淆本 发明的概念。 0025 本发明是根据下一代防火墙的特。

16、点, 针对应用业务进行强化监控的防火墙控制方 法。 0026 图 1 是根据本发明第一实施方式的实现应用层流量监控的防火墙控制方法的流 程图。 0027 如图 1 所示, 本发明第一实施方式的实现应用层流量监控的防火墙控制方法, 包 括如下步骤 : 0028 步骤 S101, 防火墙在检测到有数据通过时, 对上述数据的对应的用户进行用户认 证, 并在认证通过后对用户的安全等级权重进行增加操作。 0029 具体地, 当有数据通过防火墙时, 防火墙对用户首先进行用户认证。 在用户认证通 过后, 对用户的安全等级权重进行增加操作。 在本发明的一个实施例中, 对用户的安全等级 权重进行增加操作, 包括。

17、对用户的安全等级权重进行加 1 操作。 0030 步骤 S102, 防火墙在检测到用户进行业务链接时, 对上述业务链接进行认证, 并在 业务链接通过后对用户的安全等级权重再次进行增加操作。 0031 具体地, 防火墙在检测到用户进行业务链接时, 当业务链接通过时, 对用户的安全 等级权重进行增加操作, 即对用户的安全等级权重进行加 1 操作。 0032 步骤 S103, 防火墙在检测到用户进行应用类别的业务访问时, 检测该业务访问是 否正常, 如果是, 则对用户的安全等级权重进一步进行增加操作, 否则禁止用户的 IP 的访 问动作。 0033 防火墙在检测到用户进行应用类别的业务访问时, 检测。

18、业务访问是否正常。 0034 具体地, 防火墙对用户的应用类别的业务进行病毒库扫描, 即防火墙对用户的应 用类别的业务进行第三方病毒扫描, 如果扫描未发现病毒, 则判断业务访问正常, 对用户的 安全等级权重进行加 1 操作。 0035 如果扫描发现病毒, 则判断业务访问异常。 防火墙将用户加入黑名单, 并对黑名单 中的用户在第一预设时间内进行阻拦以禁止该用户的 IP 在第一预设时间内的一切访问动 作。 0036 在本发明的一个示例中, 第一预设时间可以为 24 小时。 0037 图 2 示出了本发明第二实施方式的实现应用层流量监控的防火墙控制方法。 0038 如图 2 所示, 在防火墙禁止用户。

19、的 IP 的访问动作之后, 还包括如下步骤 : 0039 步骤 S104, 在超过第一预设时间后, 防火墙允许黑名单中的用户的 IP 进行访问。 0040 换言之, 在黑名单中的用户超过 24 小时之后, 防火墙允许黑名单中的用户的再次 访问网络。 0041 步骤 S105, 防火墙在检测到用户再次访问且用户的安全等级权重大于 1 时, 则对 用户的应用链接每隔预设数量进行一次病毒库扫描, 并且在扫描未发现病毒时, 对用户的 安全等级权重进行增加操作。其中, 预设数量可以为 10 个。 0042 步骤 S106, 在对用户的安全等级权重进行增加操作后, 调整预设数量。 0043 具体地, 当防。

20、火墙检测到用户再次访问网络时, 则进一步判断用户的安全等级权 说 明 书 CN 103957185 A 5 4/4 页 6 重。如果用户的安全等级权重大于 1, 则对用户的应用链接进行第三方病毒库抽样检测。 0044 防火墙每隔 10 个应用链接进行一次病毒扫描, 并且扫描 10 次则将用户的安全等 级权重加 1。每当用户的安全等级权重加 1, 则病毒扫描的间隔增加 10 个, 由此进行用户的 信任度的动态计算。 0045 在本发明的一个实施例中, 防火墙在检测到用户在第二预设时间内未执行访问动 作时, 每隔第一预设时间对用户的安全等级权重进行减少操作, 直至用户的安全等级权重 为 0。其中,。

21、 第二预设时间可以为 48 小时。需要说明的是, 第二预设时间是一个长时间的概 念, 48 小时仅是出于示例目的, 用户还可以设置为其他时长。 0046 换言之, 对于长时间不进行网络访问的用户, 每隔 24 小时, 用户的安全等级权重 减 1, 直至安全等级权重减为 0 为止, 删除用户登录网络记录。即将该用户作为初始用户登 录对待, 进行全面病毒扫描防御, 以此来达到下一代网络防护墙的安全防护目的。 当用户再 次进行网络访问时, 重复执行上述步骤。 0047 由上可知, 本发明对用户的应用行为采用动态权重计算方式。当用户长时间在线 访问业务时, 则可以认为此时业务是流畅的, 并且随着访问的。

22、业务量增多, 用户的安全等级 权重越高, 信任度越高, 对用户扫描的次数越少。 0048 当用户出现一次病毒扫描失败时, 则将该用户记入黑名单, 对该用户进行网络限 行, 并且网络通知客户设备已经感染病毒, 无法再连入网络。 当用户杀毒后再次重新记入用 户的安全等级权重比值。 对于长期不在线的用户权重相应的减小, 当权重减少到一定值时, 将该用户初始用户登录对待, 进行全面病毒扫描防御, 以此来达到下一代网络防护墙的安 全防护目的。 0049 本发明旨在保护一种实现应用层流量监控的防火墙控制方法, 该方法是基于当前 网络高风险度情况进行升级, 改进成对应用程序进行识别和控制的防火墙控制方法。本。

23、发 明利用防火墙对用户和业务链接认证后, 对应用类别进行识别, 然后在应用类别的基础上 进行安全植入。当防火墙发现访问出现异常时, 对用户进行黑名单记名, 禁止该用户的 IP 的一切访问活动, 以此来避免僵尸设备或者黑客的网络入侵。本发明可以根据对用户和业 务链接的认证结果, 对用户的安全等级权重进行动态调整, 从而可以简单且高效地处理网 络应用中的僵尸病毒的攻击, 对用户无需进行逐包检测病毒, 而是抽样检测的方式。 即对每 隔一定数量的数据包进行病毒检测, 从而提高了检测效率, 避免了僵尸设备或者黑客的网 络入侵, 提高了网络的安全性。 0050 应当理解的是, 本发明的上述具体实施方式仅仅用于示例性说明或解释本发明的 原理, 而不构成对本发明的限制。 因此, 在不偏离本发明的精神和范围的情况下所做的任何 修改、 等同替换、 改进等, 均应包含在本发明的保护范围之内。 此外, 本发明所附权利要求旨 在涵盖落入所附权利要求范围和边界、 或者这种范围和边界的等同形式内的全部变化和修 改例。 说 明 书 CN 103957185 A 6 1/2 页 7 图 1 说 明 书 附 图 CN 103957185 A 7 2/2 页 8 图 2 说 明 书 附 图 CN 103957185 A 8 。

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 电学 > 电通信技术


copyright@ 2017-2020 zhuanlichaxun.net网站版权所有
经营许可证编号:粤ICP备2021068784号-1