一种实现应用层流量监控的防火墙控制方法
【专利摘要】一种实现应用层流量监控的防火墙控制方法,包括如下步骤:防火墙在检测到有数据通过时,对数据对应的用户进行用户认证,并在认证通过后对用户的安全等级权重进行增加操作;防火墙在检测到用户进行业务链接时,对业务链接进行认证,并在业务链接通过后对用户的安全等级权重再次进行增加操作;防火墙在检测到用户进行应用类别的业务访问时,检测业务访问是否正常,如果是,则对用户的安全等级权重进一步进行增加操作,否则禁止用户的IP的访问动作。本发明可以避免僵尸设备或者黑客的网络入侵,提高网络安全性。
【专利说明】一种实现应用层流量监控的防火墙控制方法
【技术领域】
[0001]本发明涉及数据安全【技术领域】,特别涉及一种实现应用层流量监控的防火墙控制方法。
【背景技术】
[0002]现有技术均是基于IP(Internet Protocol,网络之间互连的协议)层面对单体用户进行网络的流量控制。由于当前的网络设备是基于IP层的IP五元组对用户和用户行为进行识别,而很少对应用程序进行流量控制。这是因为当前的网络设备无法实现对应用层的业务进行识别。随着下一代网络设备的发展,对业务的分类精度越来越高,基于IP层对用户的识别和用户行为的识别已经远远不能满足要求。以防火墙为例,如果识别出用户和用户行为是安全的,但无法避免此用户的设备被植入木马,以及对其应用层行为进行病毒植入。此时,该用户设备即可以视为一个僵尸设备,该僵尸设备被黑客操控。如果对用户进行用户认证通过和行为通过的情况下,木马在取得通行证的情况下进行病毒散播,则会给大量设备造成安全隐患。
[0003]针对上述问题,现有技术主要采用以下两种方式解决:
[0004]现有技术一:当前网络对网络用户进行用户身份认证,在用户身份认证通过后,SP认为用户是合法用户。对用户的合法身份进行安全行为的准入制度,也就是认为用户是合法的,则其行为也是合法的,对用户的访问操作进行全部放行操作。
[0005]现有技术二:对网络用户的行为进行认定,认定其行为合法后,连接通过,则后续其行为的应用也认为是合法的,并认为其合法性在不间断的一段时间内有效。
[0006]但是,上述现有技术采用的解决方案存在如下缺陷:当用户通过认证后,即使用户本身的行为是安全的,也不能避免用户的设备被感染成僵尸设备。当用户的设备受到感染时,则会改变其用户的应用特征。对于网络设备而言,用户的认证通过且用户的行为也通过,但用户的应用仍然无法通过时,通常都需要在目的设备上安装杀毒软件来防止此类问题的发生。但如果杀毒软件没有及时更新或者新病毒没有被杀毒软件强杀,则会造成无法防护的问题。
【发明内容】
[0007]本发明的目的是提供一种实现应用层流量监控的防火墙控制方法,该方法通过对用户和应用类别进行认证识别,然后在应用类别的基础上进行安全植入,当发现访问出现异常时,禁止该用户的IP的访问活动,从而避免僵尸设备或者黑客的网络入侵。
[0008]本发明的实施例提出一种实现应用层流量监控的防火墙控制方法,包括如下步骤:防火墙在检测到有数据通过时,对所述数据对应的用户进行用户认证,并在认证通过后对所述用户的安全等级权重进行增加操作;
[0009]所述防火墙在检测到所述用户进行业务链接时,对所述业务链接进行认证,并在所述业务链接通过后对所述用户的安全等级权重再次进行增加操作;[0010]所述防火墙在检测到所述用户进行应用类别的业务访问时,检测所述业务访问是否正常,如果是,则对所述用户的安全等级权重进一步进行增加操作,否则禁止所述用户的IP的访问动作。
[0011 ] 根据本发明的一个方面,所述对用户的安全等级权重进行增加操作,包括:所述防火墙对所述用户的安全等级权重进行加I操作。
[0012]根据本发明的另一个方面,所述检测所述业务访问是否正常,包括如下步骤:所述防火墙对所述用户的应用类别的业务进行病毒库扫描,如果扫描未发现病毒,则判断所述业务访问正常,否则判断所述业务访问异常。
[0013]根据本发明的又一方面,所述禁止所述用户的IP的访问动作,包括如下步骤:所述防火墙在判断所述业务访问异常时,将所述用户加入黑名单,并对所述黑名单中的用户在第一预设时间内进行阻拦以禁止所述用户的IP的访问动作。
[0014]根据本发明的再一方面,所述第一预设时间为24小时。
[0015]根据本发明的一个方面,在超过所述第一预设时间后,所述防火墙允许所述黑名单中的用户的IP进行访问。
[0016]根据本发明的另一个方面,所述防火墙在检测到所述用户再次访问且所述用户的安全等级权重大于I时,则对所述用户的应用链接每隔预设数量进行一次病毒库扫描,并且在扫描未发现病毒时,对所述用户的安全等级权重进行增加操作。
[0017]根据本发明的又一方面,在对所述用户的安全等级权重进行增加操作后,调整所述预设数量。
[0018]根据本发明的再一方面,所述预设数量为10个。
[0019]根据本发明的一个方面,所述防火墙在检测所述用户在第二预设时间内未执行访问动作时,每隔所述第一预设时间对所述用户的安全等级权重进行减少操作,直至所述用户的安全等级权重为O。
[0020]本发明的实现应用层流量监控的防火墙控制方法,先后对用户、业务链接和应用类别进行认证识别,并在认证通过后,对用户的安全等级权重进行动态调整,并且在检测到访问出现异常时,禁止该用户的IP的一切访问动作。
[0021]本发明的实现应用层流量监控的防火墙控制方法可以通过对用户的安全等级权重进行动态调整,并且可以简单且高效地处理网络应用中的僵尸病毒的攻击,对用户无需进行逐包检测病毒,而是抽样检测的方式,对每隔一定数量的数据包进行病毒检测,从而提高了检测效率,避免了僵尸设备或者黑客的网络入侵,提高了网络的安全性。
【专利附图】
【附图说明】
[0022]图1是根据本发明第一实施方式的实现应用层流量监控的防火墙控制方法的流程图;
[0023]图2是根据本发明第二实施方式的实现应用层流量监控的防火墙控制方法的流程。
【具体实施方式】
[0024]为使本发明的目的、技术方案和优点更加清楚明了,下面结合【具体实施方式】并参照附图,对本发明进一步详细说明。应该理解,这些描述只是示例性的,而并非要限制本发明的范围。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本发明的概念。
[0025]本发明是根据下一代防火墙的特点,针对应用业务进行强化监控的防火墙控制方法。
[0026]图1是根据本发明第一实施方式的实现应用层流量监控的防火墙控制方法的流程图。
[0027]如图1所示,本发明第一实施方式的实现应用层流量监控的防火墙控制方法,包括如下步骤:
[0028]步骤S101,防火墙在检测到有数据通过时,对上述数据的对应的用户进行用户认证,并在认证通过后对用户的安全等级权重进行增加操作。
[0029]具体地,当有数据通过防火墙时,防火墙对用户首先进行用户认证。在用户认证通过后,对用户的安全等级权重进行增加操作。在本发明的一个实施例中,对用户的安全等级权重进行增加操作,包括对用户的安全等级权重进行加I操作。
[0030]步骤S102,防火墙在检测到用户进行业务链接时,对上述业务链接进行认证,并在业务链接通过后对用户的安全等级权重再次进行增加操作。
[0031]具体地,防火墙在检测到用户进行业务链接时,当业务链接通过时,对用户的安全等级权重进行增加操作,即对用户的安全等级权重进行加I操作。
[0032]步骤S103,防火墙在检测到用户进行应用类别的业务访问时,检测该业务访问是否正常,如果是,则对用户的安全等级权重进一步进行增加操作,否则禁止用户的IP的访问动作。
[0033]防火墙在检测到用户进行应用类别的业务访问时,检测业务访问是否正常。
[0034]具体地,防火墙对用户的应用类别的业务进行病毒库扫描,即防火墙对用户的应用类别的业务进行第三方病毒扫描,如果扫描未发现病毒,则判断业务访问正常,对用户的安全等级权重进行加I操作。
[0035]如果扫描发现病毒,则判断业务访问异常。防火墙将用户加入黑名单,并对黑名单中的用户在第一预设时间内进行阻拦以禁止该用户的IP在第一预设时间内的一切访问动作。
[0036]在本发明的一个示例中,第一预设时间可以为24小时。
[0037]图2示出了本发明第二实施方式的实现应用层流量监控的防火墙控制方法。
[0038]如图2所示,在防火墙禁止用户的IP的访问动作之后,还包括如下步骤:
[0039]步骤S104,在超过第一预设时间后,防火墙允许黑名单中的用户的IP进行访问。
[0040]换言之,在黑名单中的用户超过24小时之后,防火墙允许黑名单中的用户的再次访问网络。
[0041]步骤S105,防火墙在检测到用户再次访问且用户的安全等级权重大于I时,则对用户的应用链接每隔预设数量进行一次病毒库扫描,并且在扫描未发现病毒时,对用户的安全等级权重进行增加操作。其中,预设数量可以为10个。
[0042]步骤S106,在对用户的安全等级权重进行增加操作后,调整预设数量。
[0043]具体地,当防火墙检测到用户再次访问网络时,则进一步判断用户的安全等级权重。如果用户的安全等级权重大于I,则对用户的应用链接进行第三方病毒库抽样检测。
[0044]防火墙每隔10个应用链接进行一次病毒扫描,并且扫描10次则将用户的安全等级权重加I。每当用户的安全等级权重加1,则病毒扫描的间隔增加10个,由此进行用户的
任度的动态计算。
[0045]在本发明的一个实施例中,防火墙在检测到用户在第二预设时间内未执行访问动作时,每隔第一预设时间对用户的安全等级权重进行减少操作,直至用户的安全等级权重为O。其中,第二预设时间可以为48小时。需要说明的是,第二预设时间是一个长时间的概念,48小时仅是出于示例目的,用户还可以设置为其他时长。
[0046]换言之,对于长时间不进行网络访问的用户,每隔24小时,用户的安全等级权重减1,直至安全等级权重减为O为止,删除用户登录网络记录。即将该用户作为初始用户登录对待,进行全面病毒扫描防御,以此来达到下一代网络防护墙的安全防护目的。当用户再次进行网络访问时,重复执行上述步骤。
[0047]由上可知,本发明对用户的应用行为采用动态权重计算方式。当用户长时间在线访问业务时,则可以认为此时业务是流畅的,并且随着访问的业务量增多,用户的安全等级权重越高,信任度越高,对用户扫描的次数越少。
[0048]当用户出现一次病毒扫描失败时,则将该用户记入黑名单,对该用户进行网络限行,并且网络通知客户设备已经感染病毒,无法再连入网络。当用户杀毒后再次重新记入用户的安全等级权重比值。对于长期不在线的用户权重相应的减小,当权重减少到一定值时,将该用户初始用户登录对待,进行全面病毒扫描防御,以此来达到下一代网络防护墙的安全防护目的。
[0049]本发明旨在保护一种实现应用层流量监控的防火墙控制方法,该方法是基于当前网络高风险度情况进行升级,改进成对应用程序进行识别和控制的防火墙控制方法。本发明利用防火墙对用户和业务链接认证后,对应用类别进行识别,然后在应用类别的基础上进行安全植入。当防火墙发现访问出现异常时,对用户进行黑名单记名,禁止该用户的IP的一切访问活动,以此来避免僵尸设备或者黑客的网络入侵。本发明可以根据对用户和业务链接的认证结果,对用户的安全等级权重进行动态调整,从而可以简单且高效地处理网络应用中的僵尸病毒的攻击,对用户无需进行逐包检测病毒,而是抽样检测的方式。即对每隔一定数量的数据包进行病毒检测,从而提高了检测效率,避免了僵尸设备或者黑客的网络入侵,提高了网络的安全性。
[0050]应当理解的是,本发明的上述【具体实施方式】仅仅用于示例性说明或解释本发明的原理,而不构成对本发明的限制。因此,在不偏离本发明的精神和范围的情况下所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。此外,本发明所附权利要求旨在涵盖落入所附权利要求范围和边界、或者这种范围和边界的等同形式内的全部变化和修改例。
【权利要求】
1.一种实现应用层流量监控的防火墙控制方法,其特征在于,包括如下步骤: 防火墙在检测到有数据通过时,对所述数据对应的用户进行用户认证,并在认证通过后对所述用户的安全等级权重进行增加操作; 所述防火墙在检测到所述用户进行业务链接时,对所述业务链接进行认证,并在所述业务链接通过后对所述用户的安全等级权重再次进行增加操作; 所述防火墙在检测到所述用户进行应用类别的业务访问时,检测所述业务访问是否正常,如果是,则对所述用户的安全等级权重进一步进行增加操作,否则禁止所述用户的IP的访问动作。
2.根据权利要求1所述的实现应用层流量监控的防火墙控制方法,其特征在于,所述对用户的安全等级权重进行增加操作,包括:所述防火墙对所述用户的安全等级权重进行加I操作。
3.根据权利要求1所述的实现应用层流量监控的防火墙控制方法,其特征在于,所述检测所述业务访问是否正常,包括如下步骤: 所述防火墙对所述用户的应用类别的业务进行病毒库扫描,如果扫描未发现病毒,则判断所述业务 访问正常,否则判断所述业务访问异常。
4.根据权利要求3所述的实现应用层流量监控的防火墙控制方法,其特征在于,所述禁止所述用户的IP的访问动作,包括如下步骤: 所述防火墙在判断所述业务访问异常时,将所述用户加入黑名单,并对所述黑名单中的用户在第一预设时间内进行阻拦以禁止所述用户的IP的访问动作。
5.根据权利要求4所述的实现应用层流量监控的防火墙控制方法,其特征在于,所述第一预设时间为24小时。
6.根据权利要求4所述的实现应用层流量监控的防火墙控制方法,其特征在于,在超过所述第一预设时间后,所述防火墙允许所述黑名单中的用户的IP进行访问。
7.根据权利要求6所述的实现应用层流量监控的防火墙控制方法,其特征在于,所述防火墙在检测到所述用户再次访问且所述用户的安全等级权重大于I时,则对所述用户的应用链接每隔预设数量进行一次病毒库扫描,并且在扫描未发现病毒时,对所述用户的安全等级权重进行增加操作。
8.根据权利要求7所述的实现应用层流量监控的防火墙控制方法,其特征在于,在对所述用户的安全等级权重进行增加操作后,调整所述预设数量。
9.根据权利要求7或8所述的实现应用层流量监控的防火墙控制方法,其特征在于,所述预设数量为10个。
10.根据权利要求1所述的实现应用层流量监控的防火墙控制方法,其特征在于,所述防火墙在检测所述用户在第二预设时间内未执行访问动作时,每隔所述第一预设时间对所述用户的安全等级权重进行减少操作,直至所述用户的安全等级权重为O。
【文档编号】H04L29/06GK103957185SQ201310699918
【公开日】2014年7月30日 申请日期:2013年12月16日 优先权日:2013年12月16日
【发明者】郭感应, 朱正路, 王智民 申请人:汉柏科技有限公司