网络访问控制方法及装置制造方法及图纸

本发明专利技术公开一种网络访问控制方法及装置，涉及网络与信息安全领域，其中，该方法包括：接收用户对应用群的访问行为，基于预设的用户行为可信度数据库确定所述用户的访问行为的可信度，其中，所述预设的用户行为可信度数据库包括目标应用数据库、用户数据库和用户行为数据库；根据所述用户行为的可信度控制用户的访问请求。本发明专利技术提供的方法以及装置，可以提供一种基于用户行为模式分析的网络访问控制方法和防火墙系统，根据用户的历史访问行为，计算用户的行为可信系数从而进行安全控制。

【技术实现步骤摘要】
网络访问控制方法及装置
本专利技术涉及网络与信息安全领域，尤其涉及一种网络访问控制方法及装置。
技术介绍
现今主流的防火墙设备对网络流量的控制还是基于五元组即源IP、目的IP、源端口、目的端口、网络协议，随着下一代防火墙的发展，防火墙逐渐能对应用层进行检测，对应用程序的访问控制、防病毒等能力都进一步加强，但仍然无法根据用户信息和访问行为进行更细化的控制。由于APT(AdvancedPersistentThreat，高级持续性威胁攻击)的危害巨大，当防火墙无法检测出攻击特征时，对用户行为的分析并进行控制就变得更加重要。因此，有必要提出一种对用户行为的分析并进行控制的方法以解决现有技术中的存在的上述问题。
技术实现思路
本公开要解决的一个技术问题是如何提供一种网络访问控制方法以解决现有技术中的对网络流量的控制方式单一，对应用程序的访问控制、防病毒能力不强的问题。本公开提供一种网络访问控制方法，包括：接收用户对应用群的访问行为，基于预设的用户行为可信度数据库确定所述用户的访问行为的可信度，其中，所述预设的用户行为可信度数据库包括目标应用数据库、用户数据库和用户行为数据库；根据所述用户行为的可信度控制用户的访问请求。进一步地，根据所述用户行为的可信度控制用户的访问请求包括：如果用户的访问行为的可信度小于设定阈值，则认为所述用户行为是不合法的，禁止所述用户的访问；如果用户的行为的可信度不小于设定阈值，则认为所述用户的访问行为是合法的，允许所述用户的访问。进一步地，所述接收用户对应用群的访问行为，基于预设的用户行为可信度数据库确定所述用户的访问行为的可信度之前还包括：在本地防火墙或AAA服务器设置用户行为可信度数据库；在接收到用户的登陆请求后，基于本地防火墙或验证授权计费AAA服务器认证和监测所述用户的访问行为的可信度。进一步地，所述目标应用数据库存储的信息包括访问的应用特征、应用ID、服务端口、应用行为类型、应用操作行为、扣分值，其中，设置用户第一可信度分值、需要扣分的应用行为类型、应用操作行为，所述扣分值为所述需要扣分应用行为类型、应用操作行为的扣分值，如果用户对应用群的访问行为是所述需要扣分的应用行为类型、应用操作行为时，根据所述应用行为类型、应用操作行为的扣分值对用户的第一可信度分值进行扣分以确定所述用户的第一可信度分值。进一步地，所述用户数据库存储的信息包括用户ID、密码、创建时间、最近登录时间、历史行为记录、第二可信度，其中，设置用户第二可信度分值、需要扣分的历史行为记录以及所述需要扣分的历史行为记录的扣分值，如果用户的历史行为记录是需要扣分的历史行为记录时，则根据所说历史行为记录的扣分值实时更新所述用户的第二可信度分值。进一步地，所述用户行为数据库存储的信息包括用户ID、时间、用户行为类型、用户操作行为、源IP、目的IP、协议、源端口、目的端口、开始时间、持续时间、数据包个数、流量大小；其中，设置用户第三可信度分值、需要扣分的用户行为类型、用户操作行为以及所述需要扣分的用户行为类型、用户操作行为的扣分值，如果用户行为是所述需要扣分的用户行为类型、用户操作行为时，根据所述用户行为类型、用户操作行为的扣分值对用户的第三可信度分值进行扣分以确定所述用户的第三可信度分值。进一步地，所述用户行为类型包括：用户登录、常规访问、文件操作、账号操作、域名查询、系统更改。进一步地，所述用户操作行为包括正常登录、正常浏览访问、新建文件、文件拷贝、文件上传、文件删除、文件传输、下载越权文件、域名查询、添加账号、删除账号、修改账号、修改启动项目、重启系统、关闭系统。进一步地，根据所述用户的第一、第二、第三可信度分值综合确定所述用户的访问行为的可信度，根据综合得到的所述用户行为可信度控制用户的访问请求。本公开还提供一种网络访问控制装置，包括：接收模块，用于接收用户对应用群的访问行为；处理模块，用于基于预设的用户行为可信度数据库确定所述用户的访问行为的可信度，其中，所述预设的用户行为可信度数据库包括目标应用数据库、用户数据库和用户行为数据库；控制模块，用于根据所述用户行为的可信度控制用户的访问请求。进一步地，控制模块用于如果用户的访问行为的可信度小于设定阈值，则认为所述用户行为是不合法的，禁止所述用户的访问；如果用户的行为的可信度不小于设定阈值，则认为所述用户的访问行为是合法的，允许所述用户的访问。进一步地，设置模块用于在本地防火墙或AAA服务器设置用户行为可信度数据库；在接收到用户的登陆请求后，基于本地防火墙或AAA服务器认证和监测所述用户的访问行为的可信度。进一步地，所述目标应用数据库存储的信息包括访问的应用特征、应用ID、服务端口、应用行为类型、应用操作行为、扣分值，设置模块用于设置用户第一可信度分值、需要扣分的应用行为类型、应用操作行为，所述扣分值为所述需要扣分应用行为类型、应用操作行为的扣分值，处理模块用于如果用户对应用群的访问行为是所述需要扣分的应用行为类型、应用操作行为时，根据所述应用行为类型、应用操作行为的扣分值对用户的第一可信度分值进行扣分以确定所述用户的第一可信度分值。进一步地，所述用户数据库存储的信息包括用户ID、密码、创建时间、最近登录时间、历史行为记录、第二可信度，设置模块用于设置用户第二可信度分值、需要扣分的历史行为记录以及所述需要扣分的历史行为记录的扣分值，处理模块用于如果用户的历史行为记录是需要扣分的历史行为记录时，则根据所说历史行为记录的扣分值实时更新所述用户的第二可信度分值。进一步地，所述用户行为数据库存储的信息包括用户ID、时间、用户行为类型、用户操作行为、源IP、目的IP、协议、源端口、目的端口、开始时间、持续时间、数据包个数、流量大小，设置模块用于设置用户第三可信度分值、需要扣分的用户行为类型、用户操作行为以及所述需要扣分的用户行为类型、用户操作行为的扣分值，处理模块用于如果用户行为是所述需要扣分的用户行为类型、用户操作行为时，根据所述用户行为类型、用户操作行为的扣分值对用户的第三可信度分值进行扣分以确定所述用户的第三可信度分值。进一步地，所述用户行为类型包括：用户登录、常规访问、文件操作、账号操作、域名查询、系统更改。进一步地，所述用户操作行为包括正常登录、正常浏览访问、新建文件、文件拷贝、文件上传、文件删除、文件传输、下载越权文件、域名查询、添加账号、删除账号、修改账号、修改启动项目、重启系统、关闭系统。进一步地，处理模块用于根据所述用户的第一、第二、第三可信度分值综合确定所述用户的访问行为的可信度，控制模块根据综合得到的所述用户行为的可信度控制用户的访问请求。本公开提供的网络访问控制方法以及装置，可以提供一种基于用户行为模式分析的网络访问控制方法和防火墙系统，根据用户的历史访问行为，计算用户的行为可信系数从而进行安全控制。附图说明图1示出本专利技术一个实施例的网络访问控制方法的流程图。图2示出本专利技术一个实施例的网络访问控制方法的流程示意图。图3示出本专利技术一个实施例的一种网络访问控制装置的结构框图。图4示出本专利技术的另一个实施例的一种网络访问控制装置的结构框图。具体实施方式下面参照附图对本专利技术进行更全面的描述，其中说明本专利技术的示例性实施例。图1示出本专利技术一个实施例的网络访问本文档来自技高网...

【技术保护点】
一种网络访问控制方法，其特征在于，包括：接收用户对应用群的访问行为，基于预设的用户行为可信度数据库确定所述用户的访问行为的可信度，其中，所述预设的用户行为可信度数据库包括目标应用数据库、用户数据库和用户行为数据库；根据所述用户行为的可信度控制用户的访问请求。

【技术特征摘要】
1.一种网络访问控制方法，其特征在于，包括：接收用户对应用群的访问行为，基于预设的用户行为可信度数据库确定所述用户的访问行为的可信度，其中，所述预设的用户行为可信度数据库包括目标应用数据库、用户数据库和用户行为数据库；根据所述用户行为的可信度控制用户的访问请求。2.根据权利要求1所述的方法，其特征在于，根据所述用户行为的可信度控制用户的访问请求包括：如果用户的访问行为的可信度小于设定阈值，则认为所述用户行为是不合法的，禁止所述用户的访问；如果用户的行为的可信度不小于设定阈值，则认为所述用户的访问行为是合法的，允许所述用户的访问。3.根据权利要求1所述的方法，其特征在于，所述接收用户对应用群的访问行为，基于预设的用户行为可信度数据库确定所述用户的访问行为的可信度之前还包括：在本地防火墙或验证授权计费AAA服务器设置用户行为可信度数据库；在接收到用户的登陆请求后，基于本地防火墙或AAA服务器认证和监测所述用户的访问行为的可信度。4.根据权利要求3所述的方法，其特征在于，所述目标应用数据库存储的信息包括访问的应用特征、应用ID、服务端口、应用行为类型、应用操作行为、扣分值，其中，设置用户第一可信度分值、需要扣分的应用行为类型、应用操作行为，所述扣分值为所述需要扣分应用行为类型、应用操作行为的扣分值，如果用户对应用群的访问行为是所述需要扣分的应用行为类型、应用操作行为时，根据所述应用行为类型、应用操作行为的扣分值对用户的第一可信度分值进行扣分以确定所述用户的第一可信度分值。5.根据权利要求3所述的方法，其特征在于，所述用户数据库存储的信息包括用户ID、密码、创建时间、最近登录时间、历史行为记录、第二可信度，其中，设置用户第二可信度分值、需要扣分的历史行为记录以及所述需要扣分的历史行为记录的扣分值，如果用户的历史行为记录是需要扣分的历史行为记录时，则根据所说历史行为记录的扣分值实时更新所述用户的第二可信度分值。6.根据权利要求3所述的方法，其特征在于，所述用户行为数据库存储的信息包括用户ID、时间、用户行为类型、用户操作行为、源IP、目的IP、协议、源端口、目的端口、开始时间、持续时间、数据包个数、流量大小；其中，设置用户第三可信度分值、需要扣分的用户行为类型、用户操作行为以及所述需要扣分的用户行为类型、用户操作行为的扣分值，如果用户行为是所述需要扣分的用户行为类型、用户操作行为时，根据所述用户行为类型、用户操作行为的扣分值对用户的第三可信度分值进行扣分以确定所述用户的第三可信度分值。7.根据权利要求6中所述的方法，其特征在于，所述用户行为类型包括：用户登录、常规访问、文件操作、账号操作、域名查询、系统更改；所述用户操作行为包括正常登录、正常浏览访问、新建文件、文件拷贝、文件上传、文件删除、文件传输、下载越权文件、域名查询、添加账号、删除账号、修改账号、修改启动项目、重启系统、关闭系统。8.根据权利要求1-7中任一所述的方法，其特征在于，根据所述用户的第一、第二、第三可信度分值综合确定所述用户的访问行为可信度，根据综合得到的所述用户访问行为可信度控制用户的访问请求。9.一种网络访问控制...

【专利技术属性】
技术研发人员：肖宇峰，金华敏，沈军，汪来富，刘东鑫，林飞，黄维龙，
申请(专利权)人：中国电信股份有限公司，
类型：发明
国别省市：北京,11