数据流控制方法和系统的制作方法

数据流控制方法和系统的制作方法
【专利摘要】本发明提供了一种数据流控制方法，所述方法包括：获取被控网络中的终端发出的数据包；根据所述数据包识别所述终端的终端类型；获取预设的控制配置信息，所述控制配置信息包括控制参数和与所述控制参数对应的控制动作；判断所述识别出的终端类型是否与所述控制参数匹配，若是则根据所述控制参数对应的控制动作阻断或放通所述数据包。本发明提供的数据流控制方法，可针对不同的终端类型进行差异化的数据流控制，对一种类型的终端的数据流控制不会影响到其它类型的终端的访问行为，兼顾节省网络资源和保证正常访问网络需求。本发明还提供了一种数据流控制系统。
【专利说明】数据流控制方法和系统

【技术领域】
[0001] 本发明涉及通信【技术领域】，特别是涉及一种数据流控制方法和系统。

【背景技术】
[0002] 随着技术的进步，企业会通过建立WiFi (-种能使终端通过无线电波连接到无线 网络的技术）接入点以满足办公需求。但随着智能终端，比如智能手机、平板电脑等的普 及，内部网络中的一些用户会通过这些智能终端接入企业WiFi进行娱乐等于工作无关的 行为，这些智能终端会发出大量无用的数据流，占用网络资源，影响正常工作需求。但若对 内部网络发出的所有数据流进行统一限制，又可能导致正常的数据流被拦截，从而影响到 正常工作需求。


【发明内容】

[0003] 基于此，有必要针对将内部网络发出的所有数据流进行统一限制会影响到正常数 据流的问题，提供一种数据流控制方法和系统。
[0004] 一种数据流控制方法，所述方法包括：
[0005] 获取被控网络中的终端发出的数据包；
[0006] 根据所述数据包识别所述终端的终端类型；
[0007] 获取预设的控制配置信息，所述控制配置信息包括控制参数和与所述控制参数对 应的控制动作；
[0008] 判断所述识别出的终端类型是否与所述控制参数匹配，若是则根据所述控制参数 对应的控制动作阻断或放通所述数据包。
[0009] 一种数据流控制系统，所述系统包括：
[0010] 数据包获取模块，用于获取被控网络中的终端发出的数据包；
[0011] 终端类型识别模块，用于根据所述数据包识别所述终端的终端类型；
[0012] 控制配置信息获取模块，用于获取预设的控制配置信息，所述控制配置信息包括 控制参数和与所述控制参数对应的控制动作；
[0013] 控制执行模块，用于判断所述识别出的终端类型是否与所述控制参数匹配，若是 则根据所述控制参数对应的控制动作阻断或放通所述数据包。
[0014] 上述数据流控制方法和系统，根据被控网络中的终端发出的数据包来识别发送数 据包的终端的终端类型，并获取预设的控制配置信息，从而根据控制配置信息和终端类型 阻断或放通数据包，可针对不同的终端类型进行差异化的数据流控制，对一种类型的终端 的数据流控制不会影响到其它类型的终端的访问行为，兼顾节省网络资源和保证正常访问 网络需求。

【专利附图】

【附图说明】
[0015] 图1为一个实施例中数据流控制方法的流程示意图；
[0016] 图2为一个实施例中设置控制参数的终端类型的界面示意图；
[0017] 图3为一个具体应用场景中数据流控制方法的应用的流程示意图；
[0018] 图4为一个实施例中数据流控制系统的结构框图；
[0019] 图5为图4中的终端类型识别模块的一个实施例的结构框图；
[0020] 图6为另一个实施例中数据流控制系统的结构框图；
[0021] 图7为再一个实施例中数据流控制系统的结构框图。

【具体实施方式】
[0022] 为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对 本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并 不用于限定本发明。
[0023] 除非上下文另有特定清楚的描述，本发明中的元件和组件，数量既可以单个的形 式存在，也可以多个的形式存在，本发明并不对此进行限定。本发明中的步骤虽然用标号进 行了排列，但并不用于限定步骤的先后次序，除非明确说明了步骤的次序或者某步骤的执 行需要其他步骤作为基础，否则步骤的相对次序是可以调整的。可以理解，本文中所使用的 术语"和/或"涉及且涵盖相关联的所列项目中的一者或一者以上的任何和所有可能的组 合。
[0024] 如图1所示，在一个实施例中，提供了一种数据流控制方法，该方法包括：
[0025] 步骤102,获取被控网络中的终端发出的数据包。
[0026] 被控网络是指需要控制数据流的网络，可以是企业网或任意局域网。被控网络中 包括若干终端，终端之间通过多级交换机互联或桥接，被控网络中的终端发出的数据包形 成数据流。被控网络中的终端通过网关与外部网络通信，该网关为被控网络的互联网出口。 可在该网关处获取被控网络中的终端发出的数据包，在其它实施例中，也可在被控网络中 连接终端与网关的交换机处获取被控网络中的终端发出的数据包。
[0027] 步骤104,根据数据包识别终端的终端类型。
[0028] 终端类型可以大致分为计算机类型和移动终端类型，移动终端类型又可按照移动 终端上运行的操作系统的区别细分为安卓（Android)系统移动终端类型、苹果系统（ios) 移动终端类型、微软（Windows Phone)系统移动终端类型以及塞班（Symbian)系统移动终 端类型等。可设置默认终端类型，当根据数据包无法识别终端的终端类型时，可识别终端类 型为默认终端类型。默认终端类型可以是上述计算机类型或移动终端类型；或者可以是根 据该数据包无法识别的终端类型，比如可称为"其它终端"类型。
[0029] 在一个实施例中，步骤104包括：获取数据包的应用层协议特征信息和/或应用特 征信息，根据应用层协议特征信息和/或应用特征信息识别终端的终端类型。
[0030] 在一个实施例中，获取数据包的应用层协议特征信息的步骤可具体为：通过对数 据包进行深度检测（DPI,Deep Packet Inspection)获取数据包的应用层协议特征信息。可 通过对数据包进行深度检测获取数据包的正文部分包含的应用层协议的协议头，例如HTTP 协议头、FTP协议头等。在另一个实施例中，获取数据包的应用特征信息的步骤，具体可为 获取终端上发送数据包的应用的名称、应用标识、端口号和数据结构中的至少一种。
[0031] 步骤106,获取预设的控制配置信息，控制配置信息包括控制参数和与控制参数对 应的控制动作。
[0032] 预设的控制配置信息，是用于确定根据终端类型如何进行数据流控制的信息。控 制配置信息至少包括控制动作和终端类型，控制动作用以确定对数据包具体进行何种操 作，比如放通，以将数据包发送给外部网络；或阻断，以丢弃数据包从而阻止与外部网络通 信。控制参数为被控制的数据包应当具备的参数。控制参数包括的终端类型表示需要对哪 种终端类型的终端进行上述控制动作。
[0033] 在一个实施例中，控制配置信息是可编辑的。用户可通过对控制配置信息进行编 辑以设定数据流控制策略，以满足不同的需求。如图2所示，用户可设定对何种终端类型进 行数据流控制。
[0034] 步骤108,判断识别出的终端类型是否与控制参数匹配，若是则执行步骤110,如 否则执行步骤112。
[0035] 控制配置信息中包含了终端类型和与终端类型对应的控制动作，可判断识别出的 终端类型是否与控制参数匹配，从而根据匹配判断结果来执行不同的动作。
[0036] 步骤110,根据控制参数对应的控制动作阻断或放通数据包。
[0037] 当识别出的终端类型与控制参数中的终端类型匹配时，此时说明数据包满足控制 条件，则根据控制配置信息中设定的控制动作，阻断或放通数据包。
[0038] 步骤112,放通数据包。
[0039] 当识别出的终端类型与控制参数中的终端类型不匹配时，此时说明数据包不满足 控制条件，则可直接放通该数据包。
[0040] 上述数据流控制方法，根据被控网络中的终端发出的数据包来识别发送数据包的 终端的终端类型，并获取预设的控制配置信息，从而根据控制配置信息和终端类型阻断或 放通数据包，可针对不同的终端类型进行差异化的数据流控制，对一种类型的终端的数据 流控制不会影响到其它类型的终端的访问行为，兼顾节省网络资源和保证正常访问网络需 求。
[0041] 在一个实施例中，获取数据包的应用层协议特征信息，根据应用层协议特征信息 识别终端的终端类型，包括：获取数据包中的HTTP协议头，根据HTTP协议头获取用户代理 信息，根据用户代理信息识别终端类型。
[0042] 本实施例中，用户代理信息即为UA(User Agent)信息，用户通过终端上的浏览器 访问网站时，终端发送的用于访问网站的数据包中会包含HTTP协议头，HTTP协议头中会包 含用户代理信息。用户代理信息中会包含终端类型信息，从而根据该终端类型信息可识别 终端类型。而且用户代理信息中也会附带终端上操作系统的操作系统信息，从而可根据该 操作系统信息识别终端类型。
[0043] 举例说明，如下为平板电脑iPad上的浏览器中的用户代理信息：
[0044] User-Agent:Mozilla/5.0(iPad ；CPU 0S5_1_11 ike Mac OS X) AppleffebKit/534. 46(KHTML, like Gecko)Version/5. lMobile/9B206Safari/7534. 48. 3
[0045] 可见，可根据用户代理信息中的"iPad"、"Mobile"等关键字识别终端的终端类型 为移动终端类型。
[0046] 在一个实施例中，获取数据包的应用特征信息，根据应用特征信息识别终端的终 端类型，包括：获取数据包的应用特征信息，查找预设特征库中与应用特征信息匹配的特征 信息，判定终端的终端类型为与匹配的特征信息对应的预设终端类型。
[0047] 本实施例中，预设了特征库，特征库中包括多个表示应用特征信息的特征信息，且 特征库中的特征信息与预设终端类型对应。计算机和移动终端上运行的应用会有区别，一 些计算机应用只能运行在计算机上，而一些移动应用只能运行在移动终端上，比如微信、手 机QQ等只能运行在移动终端上。预设特征库中预设这些与终端类型相关的计算机应用和/ 或移动应用的特征信息，并且存储这些特征信息与预设终端类型的对应关系。当在预设特 征库中查找到与应用特征信息匹配的特征信息时，可根据该对应关系直接判定终端的终端 类型。
[0048] 需要说明的是，上述两个实施例中根据数据包的应用层协议特征信息和应用特征 信息来识别终端类型的步骤并不冲突，可在一个实施例中合并存在，可通过对上述两种识 别步骤的识别结果进行逻辑与和/或逻辑或来综合决定终端类型。
[0049] 在一个实施例中，步骤104包括：当根据数据包能够识别出终端的终端类型时，则 根据数据包获取终端标识，记录该终端标识和识别出的终端类型的对应关系以及终端类型 识别结果有效期限。
[0050] 终端标识用于唯一标识出终端，可以是终端的IP地址和/或MAC (Medium/Media Access Control，介质访问控制）地址，或者是与终端对应的用户标识。由于数据包是各种 各样的，而并不是每个数据包都能够识别出终端类型，比如数据包中不包括用于判别终端 类型的应用层协议特征信息或应用特征信息。因此当根据数据包能够识别出终端类型时， 则记录该终端标识和识别出的终端类型的对应关系以及终端类型识别结果有效期限。这样 表示记录的终端标识对应的终端的终端类型的识别结果，在上述终端类型识别结果有效期 限内是有效的；若超过期限则识别结果失效。
[0051] 当已经存在已记录的终端标识和终端类型的对应关系以及终端类型识别结果有 效期限时，则根据当前识别的终端类型识别结果更新已记录的终端标识和终端类型的对应 关系以及终端类型识别结果有效期限。
[0052] 终端类型识别结果有效期限是预设值，可根据一些待控制应用的数据包发送周期 来确定，比如根据即时通信应用发送的用于保持在线状态的保持在线数据包的发送周期来 确定，可设置为保持在线数据包的发送周期的3倍以上，从而可保证至少能够根据保持在 线数据包识别出终端类型；还可以直接将终端类型识别结果有效期限设置为定值，比如5 分钟以上，基本可保证识别出的终端类型的正确性。
[0053] 举例说明，对每个经过的数据包都识别是不是移动终端，如果是，则记录移动终端 标识对应移动终端类型，并设定5分钟内都是移动终端类型。假设过了 3分钟，又识别为移 动终端类型，则再重新标记5分钟内都是移动终端类型，以此类推，只要识别出终端类型， 就将期限顺延5分钟，并重新开始计时。如果5分钟内都没有识别到移动终端，就判定识别 失效，不是移动终端类型了。
[0054] 在一个实施例中，步骤104还包括：当根据数据包不能识别出终端的终端类型时， 则根据数据包获取终端标识，根据终端标识和已记录的终端标识与终端类型的对应关系以 及记录的终端类型识别结果有效期限识别终端的终端类型。
[0055] 在后续识别过程中，当根据后续数据包无法直接识别该终端的终端类型时，则可 以根据后续数据包获取终端标识，从而根据后续数据包的终端标识、先前识别并记录的终 端类型和终端类型识别结果有效期限，来识别发送后续数据包的终端的终端类型。
[0056] 本实施例中，由于并不是每个数据包都能够据以识别出终端类型，因此记录一次 识别的识别结果，并将记录的识别结果应用到后续识别过程中，可保证对该终端的数据流 进行控制的持续有效。
[0057] 在一个实施例中，控制参数还包括与控制动作对应的源地址标识和/或目标地址 标识和/或用户属性和/或应用类型和/或控制时限；该数据流控制方法还包括：获取当 前时间，和/或根据数据包获取源地址标识和/或目标地址标识和/或用户属性和/或应 用类型；则步骤108?步骤110具体包括：判断识别出的终端类型以及获取的当前时间和/ 或源地址标识和/或目标地址标识和/或用户属性和/或应用类型，是否与控制参数匹配， 若是则根据控制参数对应的控制动作阻断或放通数据包。
[0058] 控制参数的源地址标识和目标地址标识，分别为需要被控制数据流的终端应当具 体的源地址标识和目标地址标识。源地址标识用于唯一确定发送数据包的终端的位置，t匕 如源IP ;目标地址标识用于唯一确定接收数据包的终端的位置，比如目标IP。用户属性表 示对何种属性的用户进行控制，用户属性包括用户标识和/或用户所属组和/或所属域等， 从而可对个别用户或者特定用户群体进行相应的数据流控制。
[0059] 控制参数的应用类型表示哪一种类型的应用发送的数据包会被控制。控制参数的 应用类型可以包括应用类别，比如即时通信类、游戏应用类等，也可以包括URL(统一资源 定位符）类别，比如"新闻门户网站"，"社交网络"，"钓鱼网站"等。可预设URL库，当用户 访问的URL存在于URL库中时，表示访问的URL符合控制URL类别。
[0060] 控制时限是指需要进行数据流控制的时间段，比如可设置控制开始时间及控制持 续时长，或者可设置控制开始时间及结束时间，表示在该时间段内对数据流进行控制。
[0061] 可直接根据数据包对应的连接中获取对应该数据包的源地址标识、目标地址标 识、用户属性等信息。数据包对应的连接包括一个五元组，当访问网站时，数据包对应的连 接包括协议类型、源IP、目标IP、源端口以及访问的服务器的端口。可根据数据包中的数据 正文确定应用特征信息，根据应用特征信息与预设特征信息的匹配程度来识别发送数据包 的应用所对应的应用类型。当前时间是指执行相应的步骤的当时的系统时间。
[0062] 本实施例中，除了判断发送数据包的终端的终端类型是否与控制参数中的终端类 型匹配，还判断获取的当前时间和/或源地址标识和/或目标地址标识和/或用户属性和/ 或应用类型，是否分别与控制配置信息中对应的控制时限、和/或源地址标识、和/或目标 地址标识、和/或用户属性、和/或应用类型匹配。当匹配时则根据控制参数对应的控制动 作阻断或放通数据包。若不匹配，则可直接放通该数据包。
[0063] 在一个实施例中，步骤110或步骤112之后，还包括：若阻断数据包，则记录阻断日 志；和/或，若放通数据包，则记录访问日志。
[0064] 记录阻断日志，比如记录阻断的数据包对应的终端类型和/或源地址标识和/或 目标地址标识和/或用户属性和/或应用类型，以及记录阻断时间等。记录访问日志，比如 记录放通的数据包对应的终端类型和/或源地址标识和/或目标地址标识和/或用户属性 和/或应用类型，以及记录放通时间等。可根据记录的阻断日志和/或访问日志进行学习， 改进识别终端类型的算法。可通过邮件等方式将阻断日志和/或访问日志发送给日志中的 用户属性中的用户标识对应的终端。
[0065] 下面用一个具体应用场景来说明上述数据流控制方法的原理。如图3所示，具体 包括如下步骤：
[0066] 预设设置控制配置信息如下：
[0067] 终〗而类型：智能终立而；
[0068] 源 IP :所有；
[0069] 目标IP :所有；
[0070] 用户属性：所有；
[0071] 应用类型（包括URL类别）：微信；
[0072] 时间：上班时间（比如预设为8 :00?18 :00);
[0073] 动作：阻断。
[0074] 具体控制数据流时，获取被控网络中的终端发出的数据包，根据数据包识别终端 的终端类型，再从数据包对应的连接中获取源IP、用户名、所属组、域上的安全组等用户属 性、目标IP、源IP等信息，根据数据包的数据内容确定应用类型，并获取当前时间。然后用 获取的信息与配置信息中的相应信息进行匹配，若不匹配则直接放通数据包。当匹配时，则 按照控制配置信息中设定控制动作阻断或放通该数据包。当放通数据包时记录访问日志， 当阻断数据包时记录阻断日志。
[0075] 如图4所示，在一个实施例中，提供了一种数据流控制系统，该系统包括：数据包 获取模块402、终端类型识别模块404、控制配置信息获取模块406和控制执行模块408。
[0076] 数据包获取模块402,用于获取被控网络中的终端发出的数据包。
[0077] 终端类型识别模块404,用于根据数据包识别终端的终端类型。
[0078] 控制配置信息获取模块406,用于获取预设的控制配置信息，控制配置信息包括控 制参数和与控制参数对应的控制动作。
[0079] 控制执行模块408,用于判断识别出的终端类型是否与控制参数匹配，若是则根据 控制参数对应的控制动作阻断或放通数据包。
[0080] 在一个实施例中，终端类型识别模块404还用于获取数据包的应用层协议特征信 息和/或应用特征信息，根据应用层协议特征信息和/或应用特征信息识别终端的终端类 型。
[0081] 在一个实施例中，终端类型识别模块404还用于获取数据包中的HTTP协议头，根 据HTTP协议头获取用户代理信息，根据用户代理信息识别终端类型。
[0082] 在一个实施例中，终端类型识别模块404还用于获取数据包的应用特征信息，查 找预设特征库中与应用特征信息匹配的特征信息，判定终端的终端类型为与匹配的特征信 息对应的预设终端类型。
[0083] 如图5所示，在一个实施例中，终端类型识别模块404还包括：第一处理模块404a 和第二处理模块404b。
[0084] 第一处理模块404a，用于当根据数据包能够识别出终端的终端类型时，则根据数 据包获取终端标识，记录终端标识和识别出的终端类型的对应关系以及终端类型识别结果 有效期限。
[0085] 第二处理模块404b，用于当根据数据包不能识别出终端的终端类型时，则根据数 据包获取终端标识，根据终端标识和已记录的终端标识与终端类型的对应关系以及记录的 终端类型识别结果有效期限识别终端的终端类型。
[0086] 在一个实施例中，控制参数还包括与控制动作对应的源地址标识和/或目标地址 标识和/或用户属性和/或应用类型和/或控制时限。
[0087] 如图6所示，该数据流控制系统还包括数据获取模块405,用于获取当前时间，和/ 或根据数据包获取源地址标识和/或目标地址标识和/或用户属性和/或应用类型。
[0088] 控制执行模块408还用于判断识别出的终端类型以及获取的当前时间和/或源地 址标识和/或目标地址标识和/或用户属性和/或应用类型，是否与控制参数匹配，若是则 根据控制参数对应的控制动作阻断或放通数据包。
[0089] 如图7所示，在一个实施例中，该数据流控制系统还包括：日志记录模块410,用于 若阻断数据包，则记录阻断日志；和/或，若放通数据包，则记录访问日志。
[0090] 以上所述实施例仅表达了本发明的几种实施方式，其描述较为具体和详细，但并 不能因此而理解为对本发明专利范围的限制。应当指出的是，对于本领域的普通技术人员 来说，在不脱离本发明构思的前提下，还可以做出若干变形和改进，这些都属于本发明的保 护范围。因此，本发明专利的保护范围应以所附权利要求为准。
【权利要求】
1. 一种数据流控制方法，所述方法包括： 获取被控网络中的终端发出的数据包； 根据所述数据包识别所述终端的终端类型； 获取预设的控制配置信息，所述控制配置信息包括控制参数和与所述控制参数对应的 控制动作； 判断所述识别出的终端类型是否与所述控制参数匹配，若是则根据所述控制参数对应 的控制动作阻断或放通所述数据包。
2. 根据权利要求1所述的方法，其特征在于，所述根据所述数据包识别所述终端的终 端类型，包括：获取所述数据包的应用层协议特征信息和/或应用特征信息，根据所述应用 层协议特征信息和/或应用特征信息识别所述终端的终端类型。
3. 根据权利要求1所述的方法，其特征在于，所述根据所述数据包识别所述终端的终 端类型，包括： 当根据所述数据包能够识别出所述终端的终端类型时，则根据所述数据包获取终端标 识，记录所述终端标识和识别出的终端类型的对应关系以及终端类型识别结果有效期限； 当根据所述数据包不能识别出所述终端的终端类型时，则根据数据包获取终端标识， 根据所述终端标识和已记录的终端标识与终端类型的对应关系以及记录的终端类型识别 结果有效期限识别所述终端的终端类型。
4. 根据权利要求1所述的方法，其特征在于，所述控制参数还包括与所述控制动作对 应的源地址标识和/或目标地址标识和/或用户属性和/或应用类型和/或控制时限； 所述方法还包括：获取当前时间，和/或根据所述数据包获取源地址标识和/或目标地 址标识和/或用户属性和/或应用类型； 所述判断所述识别出的终端类型是否与所述控制参数匹配，若是则根据所述控制参数 对应的控制动作阻断或放通所述数据包，包括： 判断所述识别出的终端类型以及所述获取的当前时间和/或源地址标识和/或目标地 址标识和/或用户属性和/或应用类型，是否与所述控制参数匹配，若是则根据所述控制参 数对应的控制动作阻断或放通所述数据包。
5. 根据权利要求1所述的方法，其特征在于，所述方法还包括：若阻断所述数据包，则 记录阻断日志；和/或，若放通所述数据包，则记录访问日志。
6. -种数据流控制系统，其特征在于，所述系统包括： 数据包获取模块，用于获取被控网络中的终端发出的数据包； 终端类型识别模块，用于根据所述数据包识别所述终端的终端类型； 控制配置信息获取模块，用于获取预设的控制配置信息，所述控制配置信息包括控制 参数和与所述控制参数对应的控制动作； 控制执行模块，用于判断所述识别出的终端类型是否与所述控制参数匹配，若是则根 据所述控制参数对应的控制动作阻断或放通所述数据包。
7. 根据权利要求6所述的系统，其特征在于，所述终端类型识别模块还用于获取所述 数据包的应用层协议特征信息和/或应用特征信息，根据所述应用层协议特征信息和/或 应用特征信息识别所述终端的终端类型。
8. 根据权利要求6所述的系统，其特征在于，所述终端类型识别模块还包括： 第一处理模块，用于当根据所述数据包能够识别出所述终端的终端类型时，则根据所 述数据包获取终端标识，记录所述终端标识和识别出的终端类型的对应关系以及终端类型 识别结果有效期限； 第二处理模块，用于当根据所述数据包不能识别出所述终端的终端类型时，则根据数 据包获取终端标识，根据所述终端标识和已记录的终端标识与终端类型的对应关系以及记 录的终端类型识别结果有效期限识别所述终端的终端类型。
9. 根据权利要求6所述的系统，其特征在于，所述控制参数还包括与所述控制动作对 应的源地址标识和/或目标地址标识和/或用户属性和/或应用类型和/或控制时限； 所述系统还包括数据获取模块，用于获取当前时间，和/或根据所述数据包获取源地 址标识和/或目标地址标识和/或用户属性和/或应用类型； 所述控制执行模块还用于判断所述识别出的终端类型以及所述获取的当前时间和/ 或源地址标识和/或目标地址标识和/或用户属性和/或应用类型，是否与所述控制参数 匹配，若是则根据所述控制参数对应的控制动作阻断或放通所述数据包。
10. 根据权利要求6所述的系统，其特征在于，所述系统还包括：日志记录模块，用于若 阻断所述数据包，则记录阻断日志；和/或，若放通所述数据包，则记录访问日志。
【文档编号】H04W28/10GK104113880SQ201410251152
【公开日】2014年10月22日 申请日期:2014年6月6日 优先权日:2014年6月6日
【发明者】袁义金 申请人:深圳市深信服电子科技有限公司