CN106789486B - 共享接入的检测方法、装置、电子设备及计算机可读存储介质 - Google Patents
共享接入的检测方法、装置、电子设备及计算机可读存储介质 Download PDFInfo
- Publication number
- CN106789486B CN106789486B CN201710161589.7A CN201710161589A CN106789486B CN 106789486 B CN106789486 B CN 106789486B CN 201710161589 A CN201710161589 A CN 201710161589A CN 106789486 B CN106789486 B CN 106789486B
- Authority
- CN
- China
- Prior art keywords
- user terminal
- strategy
- policy
- address
- preset
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/2854—Wide area networks, e.g. public data networks
- H04L12/2856—Access arrangements, e.g. Internet access
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种共享接入的检测方法,该方法可应用于局域网的网关设备,可包括:收集来自用户终端的HTTP报文,并获取所述HTTP报文携带的预设标识字段;基于所述预设的标识字段,判断所述用户终端的终端类型;如果所述用户终端是移动终端,则将该用户终端的IP地址与预设的策略组中的策略进行匹配,并基于匹配到的策略,对所述用户终端进行接入控制;其中,所述策略组包含若干个不同类型的策略;所述不同类型的策略被预配置的IP列表类型不同。使用本申请提供的方法,可实现通过预配置的策略组对接入的用户终端进行管控,以提高公司内网的安全性。
Description
技术领域
本申请涉及计算机通信领域,尤其涉及共享接入的检测方法及装置。
背景技术
网络共享接入是指多台用户终端通过NAT(Network Address Translation,网络地址转换)、HTTP代理等方式,共享一个公网IP进行上网的行为。
然而,在实际应用中,很多员工采用共享接入的方式通过公司内网环境进行上网,例如在公司网络环境中私建无线热点进行上网,从而大大降低了公司的内网安全。
发明内容
有鉴于此,本申请提供一种共享接入的检测方法及装置,用以通过预配置的策略组对接入的用户终端进行管控,以提高公司内网的安全性。
具体地,本申请是通过如下技术方案实现的:
根据本申请的第一方面,提供一种共享接入的检测方法,所述方法应用于局域网的网关设备,所述方法包括:
收集来自用户终端的HTTP报文,并获取所述HTTP报文携带的预设标识字段;
基于所述预设的标识字段,判断所述用户终端的终端类型;
如果所述用户终端是移动终端,则将该用户终端的IP地址与预设的策略组中的策略进行匹配,并基于匹配到的策略,对所述用户终端进行接入控制;其中,所述策略组包含若干个不同类型的策略;所述不同类型的策略被预配置的 IP列表类型不同。
根据本申请的第二方面,提供一种共享接入的检测装置,所述装置应用于局域网的网关设备,所述装置包括:
获取单元,用于收集来自用户终端的HTTP报文,并获取所述HTTP报文携带的预设标识字段;
判断单元,用于基于所述预设的标识字段,判断所述用户终端的终端类型;
匹配单元,用于如果所述用户终端是移动终端,则将该用户终端的IP地址与预设的策略组中的策略进行匹配,并基于匹配到的策略,对所述用户终端进行接入控制;其中,所述策略组包含若干个不同类型的策略;所述不同类型的策略被预配置的IP列表类型不同。
本申请提出一种共享接入的检测方法,通过网关设备收集来自用户终端的 HTTP报文,并获取所述HTTP报文携带的预设标识字段,并可基于所述预设的标识字段,判断所述用户终端的终端类型。如果所述用户终端是移动终端,网关设备可将该用户终端的IP地址与预设的策略组中的策略进行匹配,并基于匹配到的策略,对所述用户终端进行接入控制;其中,所述策略组包含若干个不同类型的策略;所述不同类型的策略被预配置的IP列表类型不同。
由于策略组包含多个不同类型的策略,且不同类型的策略的匹配项对应IP 列表的类型不同,使得网关设备可基于用户终端的IP地址,查找与该IP地址匹配的策略,并基于匹配到的策略对用户终端进行接入控制,因此可有效地提高网络环境的安全性。
附图说明
图1是本申请一示例性实施例示出的一种共享接入的检测方法的流程图;
图2是本申请一示例性实施例示出的一种共享接入的检测装置所在设备的硬件结构图;
图3是本申请一示例性实施例示出的一种共享接入的检测装置的框图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
随着互联网,尤其是无线网络的迅速发展,主要依赖于无线网络的移动设备也日益增多,成为人们生活中不可缺少的一部分。
然而,在实际应用中,尤其是对内网安全性要求较高的应用中,例如公司内部网络,很多员工采用共享接入的方式通过公司内网环境进行上网,例如在公司网络环境中私建无线热点进行上网,由于缺乏对共享接入的终端设备的管理控制,所以大大降低了公司的内网安全。
本申请提出一种共享接入的检测方法,通过网关设备收集来自用户终端的 HTTP报文,并获取所述HTTP报文携带的预设标识字段,并可基于所述预设的标识字段,判断所述用户终端的终端类型。如果所述用户终端是移动终端,网关设备可将该用户终端的IP地址与预设的策略组中的策略进行匹配,并基于匹配到的策略,对所述用户终端进行接入控制;其中,所述策略组包含若干个不同类型的策略;所述不同类型的策略对应的预配置的IP列表类型不同。
由于策略组包含多个不同类型的策略,且不同类型的策略的匹配项对应IP 列表的类型不同,使得网关设备可基于用户终端的IP地址,查找与该IP地址匹配的策略,并基于匹配到的策略对用户终端进行接入控制,因此可有效地提高网络环境的安全性。
参见图1,图1是本申请一示例性实施例示出的一种共享接入的检测方法的流程图,该共享接入的检测方法可包括如下所述步骤。
步骤101:网关设备收集来自用户终端的HTTP报文,并获取所述HTTP报文携带的预设标识字段;
步骤102:网关设备基于所述预设的标识字段,判断所述用户终端的终端类型;
步骤103:如果所述用户终端是移动终端,网关设备将该用户终端的IP地址与预设的策略组中的策略进行匹配,并基于匹配到的策略,对所述用户终端进行接入控制;其中,所述策略组包含若干个不同类型的策略;所述不同类型的策略对应被预配置的IP列表类型不同。
其中,上述标识字段,主要用于标识用户终端的终端类型,如移动用户终端、PC终端等。上述标识字段可为HTTP报文中的UA(User-Agent,用户代理) 字段。通常UA字段可携带用户终端的操作***及其版本、CPU类型、浏览器及其版本、浏览器渲染引擎、浏览器语言、浏览器插件等信息。网关设备可通过UA字段携带的信息,识别用户终端的终端类型。当然,上述标识字段也可为开发人员添加的字段,这里只是对标识字段进行示例性地说明,不对其进行具体地限定。
上述预设的策略组,可包含若干个不同类型的策略。每个策略都可包括匹配项和执行动作,匹配项用于策略匹配,执行动作可用于基于匹配到的策略对匹配对象,如用户终端,执行相应的处理。例如,假设上述策略为白名单策略,该白名单策略的匹配项可为若干个受信IP地址,执行动作可为对用户终端的交互报文进行转发等。
在本申请实施例中,上述策略组中的策略的匹配项可为IP地址列表,并且每种类型的策略的匹配项所对应的IP地址列表不同。例如,该策略组可包括白名单策略,白名单策略的匹配项可为预先配置的若干个受信IP。该策略组可还包括告警策略,告警策略的匹配项可为预先设置的第一网段。
这里只是对策略组,策略及其匹配项和执行动作的示例性说明,不对其进行具体地限定。
在本申请实施例中,由于策略组包含多个不同类型的策略,且不同类型的策略的匹配项对应IP列表的类型不同,使得网关设备可基于用户终端的IP地址,查找与该IP地址匹配的策略,并基于匹配到的策略对用户终端进行接入控制,因此可有效地提高网络环境的安全性。
在实现时,网关设备可收集来自用户终端的HTTP报文,并可获取所述HTTP 报文携带的预设标识字段。网关设备可基于该预设的标识字段,判断该用户终端的终端类型。
在一种可选的实现方式中,上述标识字段可为UA字段,网关设备可基于 HTTP协议,解析从来自用户终端的HTTP报文,并提取该HTTP报文的UA字段。网关设备可通过UA字段携带的操作***和终端型号等信息,判断该用户终端的终端类型。
例如,网关设备获取UA字段的程序可为:
GET/portal.php?wifiname=T_T&url=http%3A%2F%2F192.168.253.1%3A808 7%2Fgoto HTTP/1.1
User-Agent:Dalvik/2.1.0(Linux;U;Android 5.1;m2note Build/LMY47D)
Host:freewifi.360.cn
Connection:Keep-Alive
Accept-Encoding:gzip
其中,User-Agent即为UA字段,Android 5.1可为该用户终端的操作***及该操作***的版本号,m2note可为该用户终端的终端型号。网关设备通过执行上述程序可确定该用户终端的操作***为安卓5.1***,用户终端为魅族m2 note移动终端。
在本申请实施例中,如果网关设备确定上述用户终端为PC终端,则不该用户终端进行任何处理。
如果网关设备确定上述用户终端为移动终端,网关设备可获取HTTP报文中携带的该用户终端的IP地址,并将该用户终端的IP地址与预设的策略组中策略进行匹配。
如果该用户终端的IP地址与策略组中的任一策略匹配,网关设备则可基于该用户终端的IP地址匹配到的策略,对该用户终端进行与匹配到的策略相应的接入控制。
在一种可选的实现方式中,上述预设的策略组中可包括白名单策略,且该白名单策略的优先级高于该预设的策略组中的其他策略。该白名单策略的匹配项可包括开发人员预先配置的受信IP地址,执行动作可包括转发动作,如对IP 地址为受信IP地址的用户终端的交互报文进行转发。
在实现时,网关设备可将上述用户终端的IP地址先与上述预设的策略组中的白名单策略进行匹配。如果该用户终端的IP地址与该白名单策略匹配项中的任一受信IP地址匹配,则可转发该用户终端的交互报文。如果该用户终端的IP 地址与该白名单策略匹配项中所有的受信IP地址都不匹配,则可将该用户终端的IP地址进一步与该策略组中的其他策略进行匹配。
在一种可选的实现方式中,上述策略组中的其他策略可为告警策略和阻断策略。其中,告警策略的匹配项可包括网络管理人员预配置的第一网段,执行动作可包括告警动作。上述阻断策略的匹配项可包括网络管理人员预配置的第二网段,执行动作可包括阻断该用户终端的交互报文转发的动作。
如果上述用户终端的IP地址与上述白名单策略匹配项中所有的受信IP地址都不匹配,网关设备则可将该用户终端的IP地址与上述告警策略和阻断策略进行匹配。
如果该用户终端的IP地址属于该告警策略匹配项中的预设的第一网段,网管设备则可确定该用户终端的IP地址与告警策略匹配,并进行告警动作。例如,通过面向网络管理人员的Web接入控制页面或者接入控制客户端向网络管理人员发出告警信息等。
如果该用户终端的IP地址属于上述阻断策略匹配项的预设的第二网段,网关设备则可确定该用户终端的IP地址与阻断策略匹配。网关设备则可在预设的时长内阻断该用户终端的报文转发。
需要说明的是,为了便于网路管理人员对接入终端的管控,网络管理人员可通过接入控制客户端或者接入控制Web页面提供的交互界面,对上述策略进行配置、查看各在线的IP地址对应的用户终端的状态信息、以及对各在线IP地址进行管理等操作。
在配置策略时,网络管理人员可根据实际需求来配置上述策略,如配置白名单策略匹配项包括若干个受信IP地址,配置上述告警策略匹配项包括第一网段以及配置上述阻断策略匹配项包括第二网段。
在配置时,网络管理人员可实际需求,对上述受信IP地址,第一网段及第二网段进行设置。例如,网络管理人员可将公司审批通过的移动终端的IP地址设置为受信IP地址,可将对内网安全性要求较为严苛的研发部等的网段设置为第二网段等。其中,上述受信IP地址可属于上述第一网段或者第二网段,也可不属于上述第一网段或者第二网段。
当然,网关设备也可根据采集到的各个网段的流量以及各个网段流量的历史趋势,来自主识别并确定出可疑网段,并将识别出的可疑网段设置为上述第一网段或者第二网段。
当然,这里只是对上述策略及其匹配项IP列表的设定进行示例性地说明,不对其进行具体地限定。
此外,网络管理人员还可通过上述接入控制客户端或者接入控制Web页面,为上述阻断策略的执行动作设置一定的时长,防止永久性的执行阻断动作。
在本申请实施例中,网关设备在上述用户终端IP地址匹配到上述策略组中的任一策略后,可将该用户终端的IP地址添加至在线列表,以方便网络管理人员对在线列表中的IP地址进行管控。其中,在线列表中可包括在线用户终端的 IP地址。
网络管理人员可通过上述接入控制客户端或者接入控制Web页面对该在线列表中的IP地址进行管控,例如,冻结在线列表中的某IP地址,禁止该IP地址进行报文交互,或者将冻结了的某IP地址进行解冻,或者将在线列表中的某 IP地址设置为受信IP地址,添加至受信IP列表等。同时,网络管理人员还可从在线列表中查看各个用户终端的在线状态等信息,更好地对接入的用户终端进行管理和控制。
在本申请实施例中,为了方便管理人员查看网关设备对接入的用户终端的检测处理结果,网关设备可在基于匹配到的策略中的执行动作对上述用户终端的HTTP报文处理后,生成与该执行动作对应日志文件,并可将生成的日志文件通过上述接入控制客户端或者上述接入控制Web页面的可视化界面进行展示,输出。
本申请提出一种共享接入的检测方法,通过网关设备收集来自用户终端的 HTTP报文,并获取所述HTTP报文携带的预设标识字段,并可基于所述预设的标识字段,判断所述用户终端的终端类型。如果所述用户终端是移动终端,网关设备可将该用户终端的IP地址与预设的策略组中的策略进行匹配,并基于匹配到的策略,对所述用户终端进行接入控制;其中,所述策略组包含若干个不同类型的策略;所述不同类型的策略对应的预配置的IP列表类型不同。
由于策略组包含多个不同类型的策略,且不同类型的策略的匹配项对应IP 列表的类型不同,使得网关设备可基于用户终端的IP地址,查找与该IP地址匹配的策略,并基于匹配到的策略对用户终端进行接入控制,因此可有效地提高网络环境的安全性。
下面通过一个具体的例子,对上述共享接入的检测方法进行详细地说明。
假设,上述预设的策略组可包括白名单策略、告警策略与阻断策略,并且白名单策略的优先级高于告警策略和阻断策略。其中,白名单策略的匹配项可包括开发人员预先配置的受信IP地址,执行动作可包括转发动作。告警策略的匹配项可包括网络管理人员预配置的第一网段,执行动作可包括告警动作。阻断策略的匹配项可包括网络管理人员预配置的第二网段,执行动作可包括阻断该用户终端的交互报文转发的动作。
网络管理人员可根据实际需求,将上述告警策略的匹配项的第一网段设置为168.192.1.0-168.192.1.127,将上述阻断策略的匹配项的第二网段设置为 168.192.2.0-168.192.1.63,将阻断时长设置为60分钟,以及将若干个受信IP地址设置为168.192.1.5、168.192.1.8等等。
假设有4台用户终端,分别为用户终端A-用户终端D。其中,用户终端A 的终端类型为PC终端,IP地址为168.192.1.220;用户终端B的终端类型为移动终端,IP地址为168.192.1.5;用户终端C的终端类型为移动终端,IP地址为 168.192.1.125;用户终端D的终端类型为移动终端,IP地址为168.192.2.32。
网关设备可采集来自于用户终端的HTTP报文,并通过HTTP报文的UA 字段确定上述4台用户终端,以及上述4台用户终端的终端类型。
网关设备可确定出上述用户终端A的终端类型为PC端,确定上述用户终端B-C的终端类型为移动终端。此时,网关设备可不对用户终端A进行任何处理,而将用户终端B-C的IP地址分别与上述预设的策略组中的策略进行匹配。
在实现时,网关设备可将用户终端B的IP地址与策略组中的白名单策略进行匹配,通过匹配操作,网关设备确定用户终端B的与白名单策略匹配项中的受信IP地址168.192.1.5匹配。网关设备可转发用户终端B的交互报文。
网关设备可将用户终端C的IP地址与白名单策略进行匹配。在确定用户终端C的IP地址与白名单策略匹配项中的任一受信IP地址都不匹配时,网关设备可将该用户终端C的IP地址进一步与告警策略和阻断策略进行匹配。
在确定用户终端C的IP地址与告警策略匹配时,网关设备可向网络管理人员发出告警信息。
网关设备可将用户终端D的IP地址与白名单策略进行匹配。在确定用户终端D的IP地址与白名单策略匹配项中的任一受信IP地址都不匹配时,网关设备可将该用户终端D的IP地址进一步与告警策略和阻断策略进行匹配。
在确定用户终端D的IP地址与阻断策略匹配时,网关设备可阻断拦截用户终端D的交互报文的转发,阻断时间为60分钟。
与前述共享接入的检测方法的实施例相对应,本申请还提供了共享接入的检测装置的实施例。
本申请共享接入的检测方法装置的实施例可以应用在网关设备上。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在网关设备的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言,如图2所示,为本申请共享接入的检测方法装置所在网关设备的一种硬件结构图,除了图2所示的处理器、内存、网络出接口、以及非易失性存储器之外,实施例中装置所在的网关设备通常根据该网关设备的实际功能,还可以包括其他硬件,对此不再赘述。
请参考图3,图3是本申请一示例性实施例示出的一种共享接入的检测装置的框图。该装置应用于网关设备,可包括:获取单元310、判断单元320和匹配单元330。
获取单元310,用于收集来自用户终端的HTTP报文,并获取所述HTTP报文携带的预设标识字段;
判断单元320,用于基于所述预设的标识字段,判断所述用户终端的终端类型;
匹配单元330,用于如果所述用户终端是移动终端,则将该用户终端的IP 地址与预设的策略组中的策略进行匹配,并基于匹配到的策略,对所述用户终端进行接入控制;其中,所述策略组包含若干个不同类型的策略;所述不同类型的策略被预配置的IP列表类型不同。
在一种可选的实现方式中,所述预设的策略组包括白名单策略;所述白名单策略的匹配项包括若干个受信IP地址,执行动作包括转发动作;所述白名单策略的优先级高于策略组中的其他策略;
所述匹配单元330,具体用于将所述用户终端的IP地址与所述白名单策略进行匹配;如果所述用户终端的IP地址与所述白名单策略匹配项中的任一受信 IP地址匹配,则转发所述用户终端的交互报文。
在另一种可选的实现方式中,所述策略组还包括告警策略和阻断策略;其中,所述告警策略的匹配项包括预设的第一网段,执行动作包括告警动作;所述阻断策略的匹配项包括预设的第二网段,执行动作包括阻断转发动作;
所述匹配单元330,还具体用于如果所述用户终端的IP地址与所述白名单策略匹配项中所有的受信IP地址都不匹配,则将所述用户终端的IP地址进一步与所述告警策略和所述阻断策略进行匹配;如果所述用户终端的IP地址属于所述告警策略匹配项的预设的第一网段,则进行告警;如果所述用户终端的IP地址属于所述阻断策略匹配项的预设的第二网段,则在预设的时长内阻断所述用户终端的报文转发。
在另一种可选的实现方式中,所述装置还包括:
生成单元340,用于基于匹配到的策略中的执行动作对所述报文进行处理后,生成与该执行动作对应的日志文件;将生成的日志文件通过预设的可视化界面输出。
在另一种可选的实现方式中,所述预设的标识字段为UA字段。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (12)
1.一种共享接入的检测方法,其特征在于,所述方法应用于局域网的网关设备,所述方法包括:
收集来自用户终端的HTTP报文,并获取所述HTTP报文携带的预设标识字段;
基于所述预设的标识字段,判断所述用户终端的终端类型;
如果所述用户终端是PC终端,则不对该用户终端进行任何处理;如果所述用户终端是移动终端,则将该用户终端的IP地址与预设的策略组中的策略进行匹配,并基于匹配到的策略,对所述用户终端进行接入控制;其中,所述策略组包含若干个不同类型的策略,所述策略组包括白名单策略,所述白名单策略的匹配项包括若干个受信IP地址且所述白名单策略的优先级高于策略组中的其他策略;所述不同类型的策略被预配置的IP列表类型不同。
2.根据权利要求1所述的方法,其特征在于,所述基于匹配到的策略,对所述用户终端进行接入控制,包括:
将所述用户终端的IP地址与所述白名单策略进行匹配;
如果所述用户终端的IP地址与所述白名单策略匹配项中的任一受信IP地址匹配,则转发所述用户终端的交互报文。
3.根据权利要求2所述的方法,其特征在于,所述策略组还包括告警策略和阻断策略;其中,所述告警策略的匹配项包括预设的第一网段,执行动作包括告警动作;所述阻断策略的匹配项包括预设的第二网段,执行动作包括阻断转发动作;
所述基于匹配到的策略,对所述用户终端进行接入控制,还包括:
如果所述用户终端的IP地址与所述白名单策略匹配项中所有的受信IP地址都不匹配,则将所述用户终端的IP地址进一步与所述告警策略和所述阻断策略进行匹配;
如果所述用户终端的IP地址属于所述告警策略匹配项的预设的第一网段,则进行告警;
如果所述用户终端的IP地址属于所述阻断策略匹配项的预设的第二网段,则在预设的时长内阻断所述用户终端的报文转发。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
基于匹配到的策略中的执行动作对所述报文进行处理后,生成与该执行动作对应的日志文件;
将生成的日志文件通过预设的可视化界面输出。
5.根据权利要求1所述的方法,其特征在于,所述预设的标识字段为UA字段。
6.一种共享接入的检测装置,其特征在于,所述装置应用于局域网的网关设备,所述装置包括:
获取单元,用于收集来自用户终端的HTTP报文,并获取所述HTTP报文携带的预设标识字段;
判断单元,用于基于所述预设的标识字段,判断所述用户终端的终端类型;
匹配单元,用于如果所述用户终端是PC终端,则不对该用户终端进行任何处理;如果所述用户终端是移动终端,则将该用户终端的IP地址与预设的策略组中的策略进行匹配,并基于匹配到的策略,对所述用户终端进行接入控制;其中,所述策略组包含若干个不同类型的策略,所述策略组包括白名单策略,所述白名单策略的匹配项包括若干个受信IP地址且所述白名单策略的优先级高于策略组中的其他策略;所述不同类型的策略被预配置的IP列表类型不同。
7.根据权利要求6所述的装置,其特征在于,所述匹配单元,具体用于:
将所述用户终端的IP地址与所述白名单策略进行匹配;如果所述用户终端的IP地址与所述白名单策略匹配项中的任一受信IP地址匹配,则转发所述用户终端的交互报文。
8.根据权利要求7所述的装置,其特征在于,所述策略组还包括告警策略和阻断策略;其中,所述告警策略的匹配项包括预设的第一网段,执行动作包括告警动作;所述阻断策略的匹配项包括预设的第二网段,执行动作包括阻断转发动作;
所述匹配单元,还具体用于如果所述用户终端的IP地址与所述白名单策略匹配项中所有的受信IP地址都不匹配,则将所述用户终端的IP地址进一步与所述告警策略和所述阻断策略进行匹配;如果所述用户终端的IP地址属于所述告警策略匹配项的预设的第一网段,则进行告警;如果所述用户终端的IP地址属于所述阻断策略匹配项的预设的第二网段,则在预设的时长内阻断所述用户终端的报文转发。
9.根据权利要求6所述的装置,其特征在于,所述装置还包括:
生成单元,用于基于匹配到的策略中的执行动作对所述报文进行处理后,生成与该执行动作对应的日志文件;将生成的日志文件通过预设的可视化界面输出。
10.根据权利要求6所述的装置,其特征在于,所述预设的标识字段为UA字段。
11.一种电子设备,其特征在于,包括:
处理器;
用于存储处理器可执行程序的存储器;
其中,所述处理器通过运行所述可执行程序以实现如权利要求1-5中任一项所述的方法。
12.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-5中任一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710161589.7A CN106789486B (zh) | 2017-03-17 | 2017-03-17 | 共享接入的检测方法、装置、电子设备及计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710161589.7A CN106789486B (zh) | 2017-03-17 | 2017-03-17 | 共享接入的检测方法、装置、电子设备及计算机可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106789486A CN106789486A (zh) | 2017-05-31 |
| CN106789486B true CN106789486B (zh) | 2020-08-04 |
Family
ID=58967645
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710161589.7A Active CN106789486B (zh) | 2017-03-17 | 2017-03-17 | 共享接入的检测方法、装置、电子设备及计算机可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106789486B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107948199B (zh) * | 2017-12-27 | 2021-05-25 | 北京奇安信科技有限公司 | 一种对终端共享接入进行快速检测的方法及装置 |
| CN108900429A (zh) * | 2018-06-12 | 2018-11-27 | 北京奇安信科技有限公司 | 一种共享接入多策略控制方法及装置 |
| CN111615819B (zh) * | 2018-08-23 | 2021-06-08 | 华为技术有限公司 | 一种传输数据的方法和装置 |
| CN111263345B (zh) * | 2018-11-30 | 2022-11-08 | ***通信集团山东有限公司 | 一种用户终端的识别方法和装置 |
| CN114338139B (zh) * | 2021-12-27 | 2023-03-24 | 北京安博通科技股份有限公司 | 一种上网行为管理支持终端类型控制的方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101977239A (zh) * | 2010-11-11 | 2011-02-16 | 华为技术有限公司 | 一种制定策略的方法、策略服务器及网关 |
| CN105939231A (zh) * | 2016-05-16 | 2016-09-14 | 杭州迪普科技有限公司 | 共享接入检测方法和共享接入检测装置 |
| CN106604278A (zh) * | 2016-12-14 | 2017-04-26 | 炫彩互动网络科技有限公司 | 一种多权限的移动网络共享方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100217877A1 (en) * | 2007-10-16 | 2010-08-26 | Telefonaktiebolaget L M Ericssson (Publ) | Method and System for Enabling Access Policy and Charging Control |
-
2017
- 2017-03-17 CN CN201710161589.7A patent/CN106789486B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101977239A (zh) * | 2010-11-11 | 2011-02-16 | 华为技术有限公司 | 一种制定策略的方法、策略服务器及网关 |
| CN105939231A (zh) * | 2016-05-16 | 2016-09-14 | 杭州迪普科技有限公司 | 共享接入检测方法和共享接入检测装置 |
| CN106604278A (zh) * | 2016-12-14 | 2017-04-26 | 炫彩互动网络科技有限公司 | 一种多权限的移动网络共享方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106789486A (zh) | 2017-05-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106789486B (zh) | 共享接入的检测方法、装置、电子设备及计算机可读存储介质 | |
| US11082436B1 (en) | System and method for offloading packet processing and static analysis operations | |
| CN105991595B (zh) | 网络安全防护方法及装置 | |
| US8935750B2 (en) | System and method for restricting pathways to harmful hosts in computer networks | |
| US20210240826A1 (en) | Building multi-representational learning models for static analysis of source code | |
| US10218717B1 (en) | System and method for detecting a malicious activity in a computing environment | |
| CN112187825A (zh) | 一种基于拟态防御的蜜罐防御方法、***、设备及介质 | |
| CN112995151B (zh) | 访问行为处理方法和装置、存储介质及电子设备 | |
| CN104426906A (zh) | 识别计算机网络内的恶意设备 | |
| CN105939326A (zh) | 处理报文的方法及装置 | |
| JP2019021294A (ja) | DDoS攻撃判定システムおよび方法 | |
| CN111565203B (zh) | 业务请求的防护方法、装置、***和计算机设备 | |
| CN111800412A (zh) | 高级可持续威胁溯源方法、***、计算机设备及存储介质 | |
| CN110351237B (zh) | 用于数控机床的蜜罐方法及装置 | |
| CN113810381B (zh) | 一种爬虫检测方法、web应用云防火墙、装置和存储介质 | |
| CN113518042B (zh) | 一种数据处理方法、装置、设备及存储介质 | |
| JP2015179416A (ja) | ブラックリスト拡充装置、ブラックリスト拡充方法およびブラックリスト拡充プログラム | |
| JP2015179979A (ja) | 攻撃検知システム、攻撃検知装置、攻撃検知方法および攻撃検知プログラム | |
| CN112311722A (zh) | 一种访问控制方法、装置、设备及计算机可读存储介质 | |
| CN113098852A (zh) | 一种日志处理方法及装置 | |
| CN116723020A (zh) | 网络服务模拟方法、装置、电子设备及存储介质 | |
| CN115633359A (zh) | Pfcp会话安全检测方法、装置、电子设备和存储介质 | |
| CN111786938B (zh) | 防止恶意获取资源的方法、***和电子设备 | |
| US11075911B2 (en) | Group-based treatment of network addresses | |
| CN104363256B (zh) | 一种手机病毒的识别和控制方法、设备与*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20210615 Address after: 310051 05, room A, 11 floor, Chung Cai mansion, 68 Tong Xing Road, Binjiang District, Hangzhou, Zhejiang. Patentee after: Hangzhou Dip Information Technology Co.,Ltd. Address before: 6 / F, Zhongcai building, 68 Tonghe Road, Binjiang District, Hangzhou City, Zhejiang Province Patentee before: Hangzhou DPtech Technologies Co.,Ltd. |