專利名稱：一種網(wǎng)絡(luò)行為控制系統(tǒng)及方法
技術(shù)領(lǐng)域：
本發(fā)明涉及計(jì)算機(jī)網(wǎng)絡(luò)，尤其涉及網(wǎng)絡(luò)安全領(lǐng)域。
背景技術(shù)：
近年來，隨著互聯(lián)網(wǎng)的迅速發(fā)展，網(wǎng)絡(luò)用戶在互聯(lián)網(wǎng)上表現(xiàn)出來的行為 趨于多樣化。此種趨勢(shì)在豐富了網(wǎng)絡(luò)內(nèi)容的同時(shí)，也帶來了風(fēng)險(xiǎn)如機(jī)密信息 外泄等，因此網(wǎng)絡(luò)運(yùn)營商和網(wǎng)絡(luò)提供者對(duì)其用戶行為的管理已經(jīng)成為越來越 迫切的需求。這種需求意味著不僅需要識(shí)別用戶在網(wǎng)絡(luò)上的行為，更需要對(duì) 其中的非法行為進(jìn)行控制。
識(shí)別用戶網(wǎng)上行為的主要技術(shù)是協(xié)議識(shí)別，協(xié)議識(shí)別就是根據(jù)數(shù)據(jù)包特
征識(shí)別出HTTP、 FTP等協(xié)議。目前主流協(xié)議識(shí)別技術(shù)大多受到連接的限制， 能夠識(shí)別出連接使用的協(xié)議，卻無法進(jìn)一步識(shí)別連接內(nèi)的信息。對(duì)于一條連 接只對(duì)應(yīng)一種行為來說，用戶行為能夠通過識(shí)別一條或多條連接來確定。對(duì) 于一條連接對(duì)應(yīng)多種行為來說也就是對(duì)于連接重用來說，僅僅通過識(shí)別連接 使用的協(xié)議是無法確定用戶正在進(jìn)行的真實(shí)操作，因?yàn)檫B接重用的目的就是 隱匿用戶的網(wǎng)絡(luò)行為。
協(xié)議識(shí)別方法主要有基于IP/端口識(shí)別技術(shù)、基于行為模式識(shí)別技術(shù)、 基于統(tǒng)計(jì)信息識(shí)別技術(shù)、基于DPI (深度包檢測(cè))識(shí)別技術(shù)。其中，基于IP/ 端口識(shí)別技術(shù)利用的是某些軟件使用固定端口及服務(wù)器IP可窮舉的特點(diǎn)， 人工統(tǒng)計(jì)IP/端口信息，一旦發(fā)現(xiàn)有連接匹配信息就能夠識(shí)別出相應(yīng)的應(yīng)用。 由于該基于IP/端口識(shí)別模式使用的IP/端口特征碼本身就是用于描述連接 信息，因此IP/端口識(shí)別技術(shù)不具備連接內(nèi)進(jìn)一步分析的能力，進(jìn)而不適用 于連接重用情況。
基于行為模式識(shí)別技術(shù)和基于統(tǒng)計(jì)信息識(shí)別技術(shù)利用的是某些網(wǎng)絡(luò)軟 件和用戶行為的特定規(guī)律進(jìn)行識(shí)別，不具有通用性且識(shí)別精度也很難滿足商
業(yè)化需求。且基于行為模式識(shí)別技術(shù)和基于統(tǒng)計(jì)信息識(shí)別技術(shù)的控制策略都
是基于網(wǎng)絡(luò)節(jié)點(diǎn)或連接，因此即使這兩種識(shí)別技術(shù)能夠識(shí)別單連接上的多種
用戶行為也無法通過制定策略進(jìn)行區(qū)別控制。DPI識(shí)別技術(shù)利用數(shù)據(jù)包載荷的固定特征進(jìn)行識(shí)別，識(shí)別結(jié)果精確可靠。 但是DPI本身存在效率低下的缺點(diǎn)，而且策略控制上同樣存在困難。為了進(jìn) 一步精確且高效地識(shí)別基于連接重用的用戶行為，開發(fā)人員做了大量工作， 并取得了一定的效果。如申請(qǐng)人為北京網(wǎng)康科技有限公司，申請(qǐng)?zhí)枮?2008102272823，發(fā)明名稱為一種防木馬的網(wǎng)絡(luò)安全系統(tǒng)及方法的中國發(fā)明 專利，公開了 一種精確識(shí)別用戶行為的方法，進(jìn)而識(shí)別網(wǎng)絡(luò)中是否存在木馬。
針對(duì)連接重用的網(wǎng)路行為(也就是針對(duì)一條連接的多種網(wǎng)絡(luò)行為)，識(shí) 別用戶的網(wǎng)絡(luò)行為是基礎(chǔ)，但最終目的還是控制用戶的非法網(wǎng)絡(luò)行為。如某 些公司允許員工通過MSN聊天，但卻不允許員工通過MSN傳輸文件以免公司 內(nèi)部機(jī)密文件被外泄，而MSN又是通過同 一條TCP連接傳輸聊天信息及發(fā)送 文件。因此如果通過傳統(tǒng)的丟棄數(shù)據(jù)包的方法阻止用戶之間傳輸文件，雖然 傳輸文件被成功阻止但是卻導(dǎo)致聊天中斷。而目前很多公司允許如聊天等行 為，因此當(dāng)前迫切需求一種在不中斷連接的條件下控制非法網(wǎng)絡(luò)行為的方法。

發(fā)明內(nèi)容
針對(duì)以上問題，本發(fā)明提供了一種能夠在不中斷連接情況下有效控制非 法網(wǎng)絡(luò)-f亍為的系統(tǒng)及方法。
在第一方面，本發(fā)明提供了一種網(wǎng)絡(luò)設(shè)備，內(nèi)通信對(duì)端與外通信對(duì)端通 過該網(wǎng)絡(luò)設(shè)備及互聯(lián)網(wǎng)相連，以便該內(nèi)通信對(duì)端與外通信對(duì)端相互發(fā)送數(shù)據(jù)。 所述網(wǎng)絡(luò)設(shè)備包括替換模塊，在該網(wǎng)絡(luò)設(shè)備識(shí)別出其接收到數(shù)據(jù)包所屬連接 為連接重用且該數(shù)據(jù)包為非法數(shù)據(jù)包情況下，將該非法數(shù)據(jù)包替換成合法數(shù) 據(jù)包或者無效數(shù)據(jù)包，以便在不中斷連接的同時(shí)阻止該非法數(shù)據(jù)包的傳輸。
在第二方面，本發(fā)明提供了一種網(wǎng)絡(luò)行為控制方法，該方法包括截獲內(nèi) 通信對(duì)端與外通信對(duì)端通過網(wǎng)絡(luò)設(shè)備及互聯(lián)網(wǎng)相互傳輸數(shù)據(jù)的數(shù)據(jù)包；再識(shí) 別所述數(shù)據(jù)包所屬連接是否為連接重用，且識(shí)別該數(shù)據(jù)包是否為非法數(shù)據(jù)包; 在識(shí)別出該數(shù)據(jù)包的連接為連接重用且該數(shù)據(jù)包為非法數(shù)據(jù)包時(shí)，將該非法 數(shù)據(jù)包替換成合法數(shù)據(jù)包或者無效數(shù)據(jù)包，以便在不中斷連接的同時(shí)阻止該 非法數(shù)據(jù)包的傳輸。
本發(fā)明針對(duì)連接重用情況，通過修改同 一條連接上的非法行為相關(guān)數(shù)據(jù) 包的方式，達(dá)到了在不中斷連接情況下仍舊能夠有效阻止非法行為的目的。 本發(fā)明的系統(tǒng)及方法能夠允許合法行為的同時(shí)抑制非法行為，彌補(bǔ)了以往在阻止非法行為同時(shí)所帶來的中斷合法行為的不足。


圖l是網(wǎng)絡(luò)行為控制系統(tǒng)框圖2是識(shí)別及控制非法行為流程圖3是MSN文件傳輸數(shù)據(jù)包載荷示意圖;
圖4是MSN聊天數(shù)據(jù)包栽荷示意圖5是修改后的域名栽荷示意圖6是HTTP數(shù)據(jù)包載荷示意圖7是H. 245連接示意圖。
具體實(shí)施例方式
為了使本發(fā)明的目的和技術(shù)方案更加清晰，以下結(jié)合附圖以及實(shí)施例對(duì) 本發(fā)明的網(wǎng)絡(luò)行為控制系統(tǒng)及方法進(jìn)行詳細(xì)說明。
圖1是網(wǎng)絡(luò)行為控制系統(tǒng)框圖。該系統(tǒng)包括內(nèi)通信對(duì)端110、網(wǎng)路設(shè)備 120、互聯(lián)網(wǎng)130和外通信對(duì)端140。內(nèi)通信對(duì)端110和外通信對(duì)端140均為 通信終端，如計(jì)算才幾終端等。內(nèi)通信對(duì)端110與外通信對(duì)端140通過網(wǎng)絡(luò)設(shè) 備120及互聯(lián)網(wǎng)130相互發(fā)送數(shù)據(jù)。網(wǎng)路設(shè)備12Q連接在內(nèi)通信對(duì)端IIO與 外通信對(duì)端140之間，并位于內(nèi)通信對(duì)端IIO—側(cè)，其硬件實(shí)體通常為路由 器、交換機(jī)、網(wǎng)關(guān)等。
網(wǎng)路設(shè)備120包括替換模塊121和識(shí)別模塊122，識(shí)別模塊122用于識(shí) 別其接收到的數(shù)據(jù)包所屬連接是否為連接重用以及識(shí)別該數(shù)據(jù)包是否為包 含部分或全部非法行為的非法數(shù)據(jù)包。所述非法數(shù)據(jù)包包括部分或全部非法 行為的原因是， 一個(gè)非法數(shù)據(jù)包可能包含一個(gè)或多個(gè)非法行為，同時(shí)一個(gè)非 法行為也可能包含在一個(gè)或多個(gè)非法數(shù)據(jù)包中。具體非法行為由用戶配置， 舉例如非法行為為內(nèi)通信對(duì)端110向外部發(fā)送文件或接收來自外部文件。
替換模塊121，在識(shí)別模塊122識(shí)別出其接收到的數(shù)據(jù)包所屬連接為連 接重用且該數(shù)據(jù)包為非法數(shù)據(jù)包情況下，將該非法數(shù)據(jù)包替換成合法數(shù)據(jù)包 或無效數(shù)據(jù)包，以便在不中斷連接的同時(shí)阻止該非法行為。需要說明的是， 具有與替換模塊121和識(shí)別模塊122同樣功能的一個(gè)模塊也在本發(fā)明的保護(hù) 范圍之內(nèi)。圖1中，實(shí)線為外發(fā)行為路徑，即由內(nèi)通信對(duì)端110向外通信對(duì)端140 外發(fā)數(shù)據(jù)包的路徑；虛線為內(nèi)入行為路徑，即由外通信對(duì)端140向內(nèi)通信對(duì) 端110發(fā)送數(shù)據(jù)包的路徑。
內(nèi)通信對(duì)端110向外通信對(duì)端140發(fā)送數(shù)據(jù)包，首先需要向網(wǎng)路設(shè)備120 中的識(shí)別模塊122發(fā)送行為請(qǐng)求。識(shí)別模塊122接收到包含該行為請(qǐng)求的數(shù) 據(jù)包后，識(shí)別該數(shù)據(jù)包內(nèi)容，具體識(shí)別方法參見申請(qǐng)?zhí)枮?008102272823, 申請(qǐng)人:為北京網(wǎng)康科技有限公司，發(fā)明名稱為一種防木馬的網(wǎng)絡(luò)安全系統(tǒng)及 方法的中國發(fā)明專利。當(dāng)識(shí)別模塊122識(shí)別出該數(shù)據(jù)包所屬連接為連接重用 且該數(shù)據(jù)包包含部分或全部非法行為后，即識(shí)別出該數(shù)據(jù)包符合系統(tǒng)配置 的非法數(shù)據(jù)包后，識(shí)別模塊122將該非法數(shù)據(jù)包發(fā)送至替換模塊121。替換 模塊121接收該非法數(shù)據(jù)包，并對(duì)該非法數(shù)據(jù)包做替換處理，再將替換后的 數(shù)據(jù)包通過互聯(lián)網(wǎng)130發(fā)送至外通信對(duì)端140。當(dāng)識(shí)別模塊122識(shí)別出來自 內(nèi)通信對(duì)端110的數(shù)據(jù)包為合法數(shù)據(jù)包時(shí)，直接將該合法數(shù)據(jù)包通過互聯(lián)網(wǎng) 130發(fā)送至外通信對(duì)端140。
同樣，外通信對(duì)端140向內(nèi)通信對(duì)端IIO發(fā)送數(shù)據(jù)包，首先需要通過互 聯(lián)網(wǎng)130向網(wǎng)絡(luò)設(shè)備120中的識(shí)別模塊122發(fā)送行為請(qǐng)求。識(shí)別模塊122接 收到包含該行為請(qǐng)求的數(shù)據(jù)包后，識(shí)別該數(shù)據(jù)包內(nèi)容。當(dāng)識(shí)別模塊122識(shí)別 出該數(shù)據(jù)包所屬連接為連接重用且該數(shù)據(jù)包包含部分或全部非法行為后，即 識(shí)別出該數(shù)據(jù)包符合系統(tǒng)配置的非法數(shù)據(jù)包后，將該非法數(shù)據(jù)包發(fā)送至替換 模塊121。替換模塊121接收該非法數(shù)據(jù)包，并對(duì)該非法數(shù)據(jù)包做替換處理， 再將替換后的數(shù)據(jù)包發(fā)送至內(nèi)通信對(duì)端110。當(dāng)識(shí)別模塊122識(shí)別出來自外 通信對(duì)端140的數(shù)據(jù)包為合法數(shù)據(jù)包時(shí)，直接將該合法數(shù)據(jù)包發(fā)送至內(nèi)通信 對(duì)端110。
圖l僅是示意性地描述了本發(fā)明一個(gè)實(shí)施例的網(wǎng)絡(luò)行為控制系統(tǒng)，實(shí)際 上本發(fā)明的網(wǎng)絡(luò)行為控制系統(tǒng)也可以包括除圖1以外的其它設(shè)備，而該增加 其它設(shè)備的系統(tǒng)與圖1所示系統(tǒng)具有相同功能，舉例如內(nèi)通信對(duì)端110與外 通信對(duì)端140通過中轉(zhuǎn)服務(wù)器相互發(fā)送數(shù)據(jù)。
下面針對(duì)連接重用詳細(xì)闡述在不中斷連接情況下控制非法行為的方法。 圖2是識(shí)別及控制非法行為流程圖。圖2中，首先識(shí)別數(shù)據(jù)包內(nèi)容，再判定 該數(shù)據(jù)包是否合法，在該數(shù)據(jù)包合法情況下繼續(xù)識(shí)別其它數(shù)據(jù)包內(nèi)容。在判 定該數(shù)據(jù)包不合法情況下，判定該非法數(shù)據(jù)包是否屬于連接重用，若該非法數(shù)據(jù)包的連接為連接重用，則將該非法數(shù)據(jù)包修改成合法數(shù)據(jù)包或無效數(shù)據(jù)
包，具體修改方法將在以下內(nèi)容中得到詳細(xì)闡述；然后重新計(jì)算修改后數(shù)據(jù) 包校檢和并替換原有校檢和；最后將該修改后的數(shù)據(jù)包發(fā)送出去。若該數(shù)據(jù) 包非法且該非法數(shù)據(jù)包的連接為單連接，則直接丟棄該非法數(shù)據(jù)包進(jìn)而該單 連接斷開。
數(shù)據(jù)包包括一個(gè)或多個(gè)域，該域包括域名和域值也可以僅包括域名或僅 包括域值。本發(fā)明通過修改非法數(shù)據(jù)包域的方式將該非法數(shù)據(jù)包修改成合法 數(shù)據(jù)包或無效數(shù)據(jù)包，進(jìn)而達(dá)到不中斷連接情況下仍舊能夠有效地阻止非法 行為的目的。下面以MSN連接、HTTP連接為例闡述修改非法數(shù)據(jù)包的方法。
一.以MSN連接為例闡述修改非法數(shù)據(jù)包的方法。
舉例如testlin@mail.test.edu.cn為內(nèi)通信對(duì)端110的用戶， testar斷otma i I. com為夕卜通信對(duì)端140的用戶。
圖3是MSN文件傳輸數(shù)據(jù)包載荷示意圖，該MSN文件傳輸數(shù)據(jù)包包括文 件傳輸請(qǐng)求數(shù)據(jù)包310和文件接收數(shù)據(jù)包320。在該MSN文件傳輸數(shù)據(jù)包載 荷示意圖中,to:〈msnmsgr:testar柳otmai I. com〉表示 MSN 接收方為 testar@hotmai I. com; from: <msnmsgr: test I in@mai I. test. edu. cn〉表示MSN 發(fā)送方為testlin@mail.test.edu.cn;域名INVITE表示文件傳車俞請(qǐng)求； MSNSLP/1.0 200 OK表示接收文件。因此通過圖3可知，用戶 test I in@mai I. test. edu. cn向用戶testar@hotmai I. com發(fā)送文件傳輸請(qǐng)求 且用戶testar@hotma i I com接收了由test I i n@ma i I. test. edu. cn發(fā)送的文 件。
假設(shè)網(wǎng)絡(luò)模塊120設(shè)置為不允許內(nèi)通信對(duì)端110向外部傳輸文件，則將 該不合法的傳輸文件數(shù)據(jù)包修改成合法的聊天數(shù)據(jù)包，進(jìn)而解決了 test I in@mai I. test. edu. cn與testar@hotma i I. com連接不中斷的同B十成功 地阻止了內(nèi)通信對(duì)端110向外部發(fā)送文件。
具體修改內(nèi)容參見圖4，圖4是MSN聊天數(shù)據(jù)包載荷示意圖。圖4中的 聊天發(fā)送數(shù)據(jù)包410及發(fā)送方聊天信息420是替換模塊121將文件傳輸請(qǐng)求 數(shù)據(jù)包310替換掉的內(nèi)容。替換后外通信對(duì)端140接收到MSN自動(dòng)生成的數(shù) 據(jù)包即自動(dòng)生成接收數(shù)據(jù)包430，由于文件傳輸請(qǐng)求數(shù)據(jù)包310被替換模塊 121替換，因此MSN不再生成接收文件數(shù)據(jù)包320。由于MSN聊天發(fā)送數(shù)據(jù) 包與文件傳輸請(qǐng)求數(shù)據(jù)包格式相差很大，因此直接將文件傳輸請(qǐng)求數(shù)據(jù)包310替換成聊天發(fā)送數(shù)據(jù)包410及聊天內(nèi)容"hel lo"。圖4中的自動(dòng)生成接 收數(shù)據(jù)包430由MSN在用戶聊天過程中自動(dòng)生成，以便用戶 testar@hotmail.com 能夠4委收到聊天內(nèi)容 "hello "。 用戶 testar@hotmai I. com在接收到 "heI Io"后回復(fù)"test"，當(dāng)然接收方回復(fù) 信息440可以是任意testar斷otmai I. com想要發(fā)送內(nèi)容或者沒有回復(fù)內(nèi)容。 本發(fā)明通過將文件傳輸請(qǐng)求數(shù)據(jù)包310替換成聊天發(fā)送數(shù)據(jù)包410,使得文 件傳輸請(qǐng)求得不到響應(yīng)，因此非法的文件傳輸被阻塞，合法的聊天正常進(jìn)行。 需要說明的是，也可以將非法的文件請(qǐng)求數(shù)據(jù)包修改成系統(tǒng)設(shè)定的任意其他 合法數(shù)據(jù)包。
在本發(fā)明的另 一個(gè)實(shí)施例中，將非法的文件傳輸請(qǐng)求數(shù)據(jù)包域名INVITE 修改成無效域名，進(jìn)而使得該非法數(shù)據(jù)包修改成為無效數(shù)據(jù)包。具體修改內(nèi) 容參見圖5，圖5是修改后的域名載荷示意圖。替換模塊121將圖3中的文 件傳輸請(qǐng)求包310中的傳輸文件域名INVITE替換成無意義的"……"，當(dāng) 然也可以將該非法域名INVITE替換成其他任何無意義內(nèi)容。由于MSN客戶 端無法從圖5所示數(shù)據(jù)包中解析出合法域名，因此只能將該數(shù)據(jù)包忽略，對(duì) 于修改后的數(shù)據(jù)包MSN無反應(yīng)，進(jìn)而內(nèi)通信對(duì)端110在發(fā)送傳輸文件請(qǐng)求后 不會(huì)得到任何響應(yīng)，因此實(shí)現(xiàn)了內(nèi)通信對(duì)端110與外通信對(duì)端140能夠正常 聊天的同時(shí)有效阻止內(nèi)通信對(duì)端110向外部傳輸文件。
二.以HTTP連接為例修改非法數(shù)據(jù)包的方法。
圖6是HTTP數(shù)據(jù)包載荷示意圖。其中，POST http表示向http地址上 傳數(shù)據(jù)；GET http表示向http地址下載數(shù)據(jù)；HTTP/1. 1 200 OK表示接收 到請(qǐng)求，其即可以用來表示收到上傳數(shù)據(jù)請(qǐng)求也可以用來表示下載數(shù)據(jù)請(qǐng)求。
假設(shè)網(wǎng)絡(luò)模塊120設(shè)置為不允許內(nèi)通信對(duì)端110訪問MSN網(wǎng)站，則本發(fā) 明將非法域值修改成合法域值，進(jìn)而使得該非法數(shù)據(jù)包修改成為合法數(shù)據(jù)包， 以便實(shí)現(xiàn)不中斷http連接情況下有效地阻止了內(nèi)通信對(duì)端110的用戶訪問 MSN網(wǎng)站。在本發(fā)明的一個(gè)實(shí)施例中，將GET后面地址替換成允許用戶訪問 的合法地址或者無效地址，則此時(shí)用戶將會(huì)訪問替換后的該合法地址或該無 效地址。由于將非法MSN地址修改成其他地址，因此用戶無法正常訪問MSN 網(wǎng)站，而此時(shí)http連接并未中斷，因此用戶可以正常訪問其他合法地址。
在本發(fā)明的另 一 個(gè)實(shí)施例中，將content-length:96修改成 content-1 ength:0。該content-1 ength后面長度用于告知用戶要上傳或下栽數(shù)據(jù)的長度，將長度值96修改成0，則此時(shí)用戶上傳或下栽數(shù)據(jù)長度為0， 這就意味著沒有數(shù)據(jù)上傳或下載，因此用戶無法正常訪問MSN網(wǎng)站。需要說
網(wǎng)站。舉例如將域名GET替換成域名P0ST，替換后內(nèi)通信對(duì)端110的用戶下 載網(wǎng)頁變成了上傳行為，而該用戶卻并未指定具體的上傳數(shù)據(jù)，因此替換后 的該P(yáng)OST操作無效，也就不能正常訪問MSN網(wǎng)站。當(dāng)然也可以將域名GET 修改成ABC等任意非http域名，則此時(shí)該修 文后的非http域名會(huì)被忽略， 進(jìn)而包含該非http域名的數(shù)據(jù)包會(huì)被忽略，因此導(dǎo)致用戶無法訪問MSN網(wǎng) 站。
前文僅以MSN連接、http連接為例闡述在連接重用中如何在不中斷連接 情況下阻止非法行為允許合法行為的執(zhí)行，實(shí)際上只要通過本發(fā)明的系統(tǒng)或 方法成功阻止非法行為的同時(shí)合法行為能夠正常進(jìn)行且連接不中斷都在本 發(fā)明保護(hù)范圍之內(nèi)。舉例如VOIP協(xié)議族H. 323協(xié)議的子協(xié)議H. 245 (多媒體 通信控制協(xié)議)，同樣能夠通過本發(fā)明方法實(shí)現(xiàn)同一條連接上阻止非法行為 而允許合法行為。圖7是H. 245連接示意圖，從該圖7可知H. 245連接屬于 連接重用。在該H. 245連接中，域值主要是為主叫方、被叫方、設(shè)定的信息、 系統(tǒng)參數(shù)等；域名主要有terminalcapabilityset (終端容量設(shè)定請(qǐng)求)、 terminalcapabilitysetack(終端容量設(shè)定確認(rèn))、openlogicalchannel (打 開邏輯信道請(qǐng)求)、openlogicalchannelack (打開邏輯信道確認(rèn))、 openlogicalchannelreject( 打開 逕 4尋 4言 道才巨 纟色 ) 、 openlogicalchannelconf irm (打開邏輯信道完成)等等。由于在H. 245連 接中，請(qǐng)求設(shè)定終端容量的行為、確認(rèn)設(shè)定終端容量的行為、請(qǐng)求打開邏輯 信道的行為、確認(rèn)打開邏輯信道的行為、拒絕打開邏輯信道的行為以及完成 打開邏輯信道的行為等等均能夠被同一條連接所使用，因此通過本發(fā)明方法 修改系統(tǒng)設(shè)定的以上所述非法域值或者非法域名，就能夠達(dá)到不中斷連接的 同時(shí)阻止非法行為而允許合法行為。
本發(fā)明還提供了一種用于控制網(wǎng)絡(luò)行為的計(jì)算機(jī)系統(tǒng)，該計(jì)算機(jī)系統(tǒng)包 括替換模塊，該替換才莫塊與前文所述的替換模塊121具有同樣的功能。外通 信對(duì)端140通過互^:網(wǎng)130與該計(jì)算^L系統(tǒng)相連，以4更該外通信對(duì)端與該計(jì) 算機(jī)系統(tǒng)相互發(fā)送數(shù)據(jù)。所述替換模塊在所述計(jì)算機(jī)系統(tǒng)識(shí)別出其發(fā)送或接 收數(shù)據(jù)包所屬連接為連接重用且該數(shù)據(jù)包為非法數(shù)據(jù)包情況下，將該非法數(shù)據(jù)包替換成合法數(shù)據(jù)包或者無效數(shù)據(jù)包，以便在不中斷連接的同時(shí)阻止非法 行為。
顯而易見，在不偏離本發(fā)明的真實(shí)精神和范圍的前^是下，在此描述的本 發(fā)明可以有許多變化。因此，所有對(duì)于本領(lǐng)域技術(shù)人員來說顯而易見的改變， 都應(yīng)包括在本權(quán)利要求書所涵蓋的范圍之內(nèi)。本發(fā)明所要求保護(hù)的范圍僅由 所述的權(quán)利要求書進(jìn)行限定。
權(quán)利要求
1.一種網(wǎng)絡(luò)設(shè)備(120)，其中內(nèi)通信對(duì)端(110)與外通信對(duì)端(140)通過該網(wǎng)絡(luò)設(shè)備(120)及互聯(lián)網(wǎng)(130)相連，以便該內(nèi)通信對(duì)端(110)與外通信對(duì)端(140)相互發(fā)送數(shù)據(jù)；其特征在于所述網(wǎng)絡(luò)設(shè)備(120)包括替換模塊(121)，在所述網(wǎng)絡(luò)設(shè)備(120)識(shí)別出其接收到數(shù)據(jù)包所屬連接為連接重用且該數(shù)據(jù)包為非法數(shù)據(jù)包情況下，將該非法數(shù)據(jù)包替換成合法數(shù)據(jù)包或者無效數(shù)據(jù)包，以便在不中斷連接的同時(shí)阻止該非法數(shù)據(jù)包的傳輸。
2. 如權(quán)利要求1所述的一種網(wǎng)絡(luò)設(shè)備(120),其特征在于，所述網(wǎng)絡(luò) 設(shè)備(120)包括識(shí)別模塊(122)，用于識(shí)別其接收到的數(shù)據(jù)包的連接是否 為連接重用以及識(shí)別該數(shù)據(jù)包是否為非法數(shù)據(jù)包。
3. 如權(quán)利要求1所述的一種網(wǎng)絡(luò)設(shè)備(120)，其特征在于，所述替換 模塊(122)用于將非法數(shù)據(jù)包中的非法域名修改成合法域名或無效域名。
4. 如權(quán)利要求1所述的一種網(wǎng)絡(luò)設(shè)備(120)，其特征在于，所述替換 模塊(122)用于將非法數(shù)據(jù)包中的非法域值修改成合法域值或無效域值。
5. 如權(quán)利要求1所述的一種網(wǎng)絡(luò)設(shè)備(120),其特征在于，所述連接 重用為MSN連接、HTTP連接或H. 245連接。
6. —種網(wǎng)絡(luò)行為控制方法，包括截獲內(nèi)通信對(duì)端(110)與外通信對(duì)端(140)通過網(wǎng)絡(luò)設(shè)備(120)及 互聯(lián)網(wǎng)(130)相互傳輸數(shù)據(jù)的數(shù)據(jù)包；識(shí)別所述數(shù)據(jù)包所屬連接是否為連接重用，且識(shí)別該數(shù)據(jù)包是否為非法 數(shù)據(jù)包；在識(shí)別出所述數(shù)據(jù)包的連接為連接重用且該數(shù)據(jù)包為非法數(shù)據(jù)包時(shí)，將 該非法數(shù)據(jù)包替換成合法數(shù)據(jù)包或者無效數(shù)據(jù)包，以便在不中斷連接的同時(shí) 阻止該非法數(shù)據(jù)包的傳輸。
7. 如權(quán)利要求6所述的一種網(wǎng)絡(luò)行為控制方法，包括在將非法數(shù)據(jù)包中 的非法行為替換成合法行為之后，首先計(jì)算該修改后數(shù)據(jù)包的校驗(yàn)和并替換 原校驗(yàn)和，然后再發(fā)送該替換校驗(yàn)和后的數(shù)據(jù)包。
8. 如權(quán)利要求6所述的一種網(wǎng)絡(luò)行為控制方法，其特征在于，所述非法數(shù)據(jù)包包括非法域名，合法數(shù)據(jù)包中的域名均為合法域名和/或無效域名。
9. 如權(quán)利要求6所述的一種網(wǎng)絡(luò)行為控制方法，其特征在于，所述非法 數(shù)據(jù)包包括非法域值，合法數(shù)據(jù)包中的域值均為合法域值和/或無效域值。
10. 如權(quán)利要求6所述的一種網(wǎng)絡(luò)行為控制方法，其特征在于，所述連 接重用為MSN連接、HTTP連接或H. 245連接。
11. 一種計(jì)算機(jī)系統(tǒng)，其中一外通信對(duì)端通過互聯(lián)網(wǎng)與該計(jì)算機(jī)系統(tǒng)相 連，以便該外通信對(duì)端與該計(jì)算機(jī)系統(tǒng)相互發(fā)送數(shù)據(jù)；其特征在于所述計(jì)算 才幾系統(tǒng)包4舌替換模塊，在所述計(jì)算機(jī)系統(tǒng)識(shí)別出其發(fā)送或接收數(shù)據(jù)包所屬連接為連 接重用且該數(shù)據(jù)包為非法數(shù)據(jù)包情況下，將該非法數(shù)據(jù)包替換成合法數(shù)據(jù)包 或者無效數(shù)據(jù)包，以便在不中斷連接的同時(shí)阻止該非法數(shù)據(jù)包的傳輸。
全文摘要
本發(fā)明涉及計(jì)算機(jī)安全領(lǐng)域，尤其涉及一種網(wǎng)絡(luò)行為控制系統(tǒng)及方法。本發(fā)明通過網(wǎng)絡(luò)設(shè)備(120)截獲內(nèi)通信對(duì)端(110)與外通信對(duì)端(140)通過互聯(lián)網(wǎng)(130)相互傳輸數(shù)據(jù)的數(shù)據(jù)包，在識(shí)別模塊(122)識(shí)別出該數(shù)據(jù)包的連接為連接重用且該數(shù)據(jù)包為非法數(shù)據(jù)包情況下，替換模塊(121)將該非法數(shù)據(jù)包替換成合法數(shù)據(jù)包或者無效數(shù)據(jù)包，進(jìn)而實(shí)現(xiàn)了不中斷連接的同時(shí)有效地阻止了非法行為。本發(fā)明的系統(tǒng)及方法在局域網(wǎng)防御系統(tǒng)中具有重要應(yīng)用價(jià)值。
文檔編號(hào)H04L29/06GK101610259SQ200910089659
公開日2009年12月23日 申請(qǐng)日期2009年7月28日 優(yōu)先權(quán)日2009年7月28日
發(fā)明者林 劉, 周知遠(yuǎn), 張永臣 申請(qǐng)人:北京網(wǎng)康科技有限公司