訪問(wèn)控制方法和裝置的制造方法
【專(zhuān)利摘要】本發(fā)明提供一種訪問(wèn)控制方法和裝置,應(yīng)用在網(wǎng)絡(luò)設(shè)備上����,所述方法包括:在接收到客戶(hù)端設(shè)備發(fā)送的業(yè)務(wù)報(bào)文后����,解析所述業(yè)務(wù)報(bào)文的報(bào)文特征��;判斷所述報(bào)文特征是否匹配協(xié)議識(shí)別表��,所述協(xié)議識(shí)別表包括報(bào)文特征與協(xié)議類(lèi)型的對(duì)應(yīng)關(guān)系���;如果匹配�����,則根據(jù)匹配到的表項(xiàng)確定所述業(yè)務(wù)報(bào)文的協(xié)議類(lèi)型����;根據(jù)所述協(xié)議類(lèi)型�,對(duì)所述業(yè)務(wù)報(bào)文進(jìn)行訪問(wèn)控制處理����。應(yīng)用本發(fā)明實(shí)施例,網(wǎng)絡(luò)設(shè)備在接收到自客戶(hù)端設(shè)備發(fā)送的業(yè)務(wù)報(bào)文后���,基于業(yè)務(wù)報(bào)文的報(bào)文特征����,根據(jù)協(xié)議識(shí)別表可以快速識(shí)別業(yè)務(wù)報(bào)文的協(xié)議類(lèi)型,無(wú)需對(duì)業(yè)務(wù)報(bào)文進(jìn)行載荷內(nèi)容讀取����、應(yīng)用層信息重組等繁瑣操作,因此��,對(duì)網(wǎng)絡(luò)設(shè)備的CPU消耗小�,且識(shí)別效率高。
【專(zhuān)利說(shuō)明】
訪問(wèn)控制方法和裝置
技術(shù)領(lǐng)域
[0001] 本發(fā)明設(shè)及計(jì)算機(jī)技術(shù)領(lǐng)域����,尤其設(shè)及一種訪問(wèn)控制方法和裝置。
【背景技術(shù)】
[0002] 隨著網(wǎng)絡(luò)信息系統(tǒng)應(yīng)用的發(fā)展����,網(wǎng)絡(luò)技術(shù)應(yīng)用逐漸呈現(xiàn)復(fù)雜化、多元化趨勢(shì)��,運(yùn)種 趨勢(shì)會(huì)導(dǎo)致網(wǎng)絡(luò)出口擁堵����、職員工作狀態(tài)無(wú)法監(jiān)控,甚至泄漏公司機(jī)密和法律違規(guī)等嚴(yán)重 問(wèn)題。為解決上述問(wèn)題�����,可W對(duì)用戶(hù)的網(wǎng)絡(luò)應(yīng)用的訪問(wèn)進(jìn)行控制處理���,相關(guān)技術(shù)中����,可W采 用DPUDe巧Packet Inspection,深度包檢測(cè))技術(shù)對(duì)業(yè)務(wù)報(bào)文的協(xié)議類(lèi)型進(jìn)行檢測(cè)識(shí)別���, 從而確定該業(yè)務(wù)報(bào)文的所屬應(yīng)用��,并對(duì)該所屬應(yīng)用進(jìn)行訪問(wèn)控制處理����。
[0003] 但是����,DPI技術(shù)在識(shí)別業(yè)務(wù)報(bào)文的協(xié)議類(lèi)型中,對(duì)網(wǎng)絡(luò)設(shè)備(例如��,防火墻�����、路由 器)的CPU消耗較大�,且識(shí)別效率較低。
【發(fā)明內(nèi)容】
[0004] 有鑒于此���,本發(fā)明提供一種訪問(wèn)控制方法和裝置���,W解決對(duì)業(yè)務(wù)報(bào)文進(jìn)行協(xié)議類(lèi) 型識(shí)別過(guò)程中,網(wǎng)絡(luò)設(shè)備的CPU消耗較大�����,識(shí)別效率較低的問(wèn)題����。 陽(yáng)0化]具體地,本發(fā)明是通過(guò)如下技術(shù)方案實(shí)現(xiàn)的:
[0006] 本發(fā)明提供一種訪問(wèn)控制方法����,應(yīng)用在網(wǎng)絡(luò)設(shè)備上,所述方法包括:
[0007] 在接收到客戶(hù)端設(shè)備發(fā)送的業(yè)務(wù)報(bào)文后��,解析所述業(yè)務(wù)報(bào)文的報(bào)文特征����;
[0008] 判斷所述報(bào)文特征是否匹配協(xié)議識(shí)別表����,所述協(xié)議識(shí)別表包括報(bào)文特征與協(xié)議類(lèi) 型的對(duì)應(yīng)關(guān)系����;
[0009] 如果匹配,則根據(jù)匹配到的表項(xiàng)確定所述業(yè)務(wù)報(bào)文的協(xié)議類(lèi)型����;
[0010] 根據(jù)所述協(xié)議類(lèi)型,對(duì)所述業(yè)務(wù)報(bào)文進(jìn)行訪問(wèn)控制處理��。
[0011] 本發(fā)明提供一種訪問(wèn)控制裝置�����,應(yīng)用在網(wǎng)絡(luò)設(shè)備上�,所述裝置包括:
[0012] 解析單元,用于在接收到客戶(hù)端設(shè)備發(fā)送的業(yè)務(wù)報(bào)文后�,解析所述業(yè)務(wù)報(bào)文的報(bào) 文特征;
[0013] 第一判斷單元����,用于判斷所述報(bào)文特征是否匹配協(xié)議識(shí)別表�,所述協(xié)議識(shí)別表包 括報(bào)文特征與協(xié)議類(lèi)型的對(duì)應(yīng)關(guān)系����;
[0014] 協(xié)議確定單元�����,用于當(dāng)所述報(bào)文特征匹配協(xié)議識(shí)別表時(shí)��,根據(jù)匹配到的表項(xiàng)確定 所述業(yè)務(wù)報(bào)文的協(xié)議類(lèi)型��;
[0015] 執(zhí)行單元�,用于根據(jù)所述協(xié)議類(lèi)型,對(duì)所述業(yè)務(wù)報(bào)文進(jìn)行訪問(wèn)控制處理��。
[0016] 應(yīng)用本發(fā)明實(shí)施例�����,網(wǎng)絡(luò)設(shè)備在接收到自客戶(hù)端設(shè)備發(fā)送的業(yè)務(wù)報(bào)文后���,基于業(yè) 務(wù)報(bào)文的報(bào)文特征�����,根據(jù)協(xié)議識(shí)別表可W快速識(shí)別業(yè)務(wù)報(bào)文的協(xié)議類(lèi)型���,無(wú)需對(duì)業(yè)務(wù)報(bào)文 進(jìn)行載荷內(nèi)容讀取��、應(yīng)用層信息重組等繁瑣操作���,因此,對(duì)網(wǎng)絡(luò)設(shè)備的CPU消耗小�����,且識(shí)別 效率高��。
【附圖說(shuō)明】
[0017] 圖I是本發(fā)明一示例性實(shí)施例示出的一種訪問(wèn)控制方法的流程圖���;
[001引圖2是本發(fā)明一示例性實(shí)施例示出的另一種訪問(wèn)控制方法的流程圖����;
[0019] 圖3是本發(fā)明一示例性實(shí)施例示出的一種訪問(wèn)控制裝置的一硬件結(jié)構(gòu)示意圖���;
[0020] 圖4是本發(fā)明一示例性實(shí)施例示出的一種訪問(wèn)控制裝置的結(jié)構(gòu)框圖��;
[0021] 圖5是本發(fā)明一示例性實(shí)施例示出的另一種訪問(wèn)控制裝置的結(jié)構(gòu)框圖��;
[0022] 圖6是本發(fā)明一示例性實(shí)施例示出的另一種訪問(wèn)控制裝置的結(jié)構(gòu)框圖��。
【具體實(shí)施方式】
[0023] 運(yùn)里將詳細(xì)地對(duì)示例性實(shí)施例進(jìn)行說(shuō)明�,其示例表示在附圖中。下面的描述設(shè)及 附圖時(shí)�����,除非另有表示�,不同附圖中的相同數(shù)字表示相同或相似的要素�。W下示例性實(shí)施例 中所描述的實(shí)施方式并不代表與本發(fā)明相一致的所有實(shí)施方式。相反���,它們僅是與如所附 權(quán)利要求書(shū)中所詳述的���、本發(fā)明的一些方面相一致的裝置和方法的例子。
[0024] 在本發(fā)明使用的術(shù)語(yǔ)是僅僅出于描述特定實(shí)施例的目的��,而非旨在限制本發(fā)明�����。 在本發(fā)明和所附權(quán)利要求書(shū)中所使用的單數(shù)形式的"一種"���、"所述"和"該"也旨在包括多 數(shù)形式���,除非上下文清楚地表示其他含義���。還應(yīng)當(dāng)理解,本文中使用的術(shù)語(yǔ)"和/或"是指 并包含一個(gè)或多個(gè)相關(guān)聯(lián)的列出項(xiàng)目的任何或所有可能組合����。
[00巧]應(yīng)當(dāng)理解,盡管在本發(fā)明可能采用術(shù)語(yǔ)第一����、第二、第=等來(lái)描述各種信息��,但運(yùn) 些信息不應(yīng)限于運(yùn)些術(shù)語(yǔ)���。運(yùn)些術(shù)語(yǔ)僅用來(lái)將同一類(lèi)型的信息彼此區(qū)分開(kāi)���。例如,在不脫離 本發(fā)明范圍的情況下�,第一信息也可W被稱(chēng)為第二信息,類(lèi)似地����,第二信息也可W被稱(chēng)為第 一信息��。取決于語(yǔ)境����,如在此所使用的詞語(yǔ)"如果"可W被解釋成為"在……時(shí)"或"當(dāng)…… 時(shí)"或"響應(yīng)于確定"���。
[00%] 本技術(shù)領(lǐng)域人員可W理解的是,DPI技術(shù)是一種基于應(yīng)用層的流量檢測(cè)和控制技 術(shù)���,能夠?qū)?yīng)用層的內(nèi)容進(jìn)行深度分析�,從而根據(jù)應(yīng)用層的凈荷特征識(shí)別業(yè)務(wù)報(bào)文的應(yīng)用 類(lèi)型或內(nèi)容����,例如,當(dāng)IP報(bào)文通過(guò)基于DPI技術(shù)的網(wǎng)絡(luò)設(shè)備時(shí)�����,網(wǎng)絡(luò)設(shè)備可W通過(guò)深入讀取 IP報(bào)文載荷的內(nèi)容來(lái)對(duì)OSI屯層協(xié)議中的應(yīng)用層信息進(jìn)行重組��,從而識(shí)別IP報(bào)文的應(yīng)用層 協(xié)議�,然后按照網(wǎng)絡(luò)設(shè)備中的流量管理策略對(duì)該IP報(bào)文進(jìn)行訪問(wèn)控制處理�。綜上所述�,對(duì) 于每一個(gè)業(yè)務(wù)報(bào)文,如果采用DPI的識(shí)別方式����,都要進(jìn)行上述載荷內(nèi)容讀取、應(yīng)用層信息重 組等操作�,因此,運(yùn)種協(xié)議識(shí)別方式對(duì)所在網(wǎng)絡(luò)設(shè)備的CPU消耗較大�,且識(shí)別效率較低。 [0027] 在本發(fā)明實(shí)施例的網(wǎng)絡(luò)設(shè)備中�����,當(dāng)網(wǎng)絡(luò)設(shè)備接收到來(lái)自客戶(hù)端設(shè)備的業(yè)務(wù)報(bào)文 時(shí)���,可W從該業(yè)務(wù)報(bào)文中提取出報(bào)文特征��,并將該報(bào)文特征匹配協(xié)議識(shí)別表���,其中,該協(xié)議 識(shí)別表存儲(chǔ)了一個(gè)或者多個(gè)報(bào)文特征與協(xié)議類(lèi)型的對(duì)應(yīng)關(guān)系����,當(dāng)該報(bào)文特征能夠匹配上該 協(xié)議識(shí)別表中的任一個(gè)表項(xiàng)時(shí)���,就可W根據(jù)該表項(xiàng)確定該業(yè)務(wù)報(bào)文的協(xié)議類(lèi)型,管理員可 W在網(wǎng)絡(luò)設(shè)備中配置流量管理策略����,運(yùn)樣,網(wǎng)絡(luò)設(shè)備就可W根據(jù)該協(xié)議類(lèi)型���,對(duì)業(yè)務(wù)報(bào)文進(jìn) 行訪問(wèn)控制處理��,例如�,放通協(xié)議類(lèi)型命中白名單的業(yè)務(wù)報(bào)文�,阻止協(xié)議類(lèi)型命中黑名單的 業(yè)務(wù)報(bào)文����。需要說(shuō)明的是,本發(fā)明實(shí)施例中設(shè)及到的協(xié)議類(lèi)型主要包括業(yè)務(wù)報(bào)文的應(yīng)用層 協(xié)議類(lèi)型�。
[002引圖1是本發(fā)明一示例性實(shí)施例示出的一種訪問(wèn)控制方法的流程圖。如圖1所示�, 一種訪問(wèn)控制方法,應(yīng)用在網(wǎng)絡(luò)設(shè)備上�,所述方法包括:
[0029] 步驟S110,在接收到客戶(hù)端設(shè)備發(fā)送的業(yè)務(wù)報(bào)文后,解析所述業(yè)務(wù)報(bào)文的報(bào)文特 征。
[0030] 在本發(fā)明實(shí)施例中��,網(wǎng)絡(luò)設(shè)備(例如���,防火墻���、路由器)接收到客戶(hù)端設(shè)備發(fā)送的 業(yè)務(wù)報(bào)文時(shí),可W解析業(yè)務(wù)報(bào)文的報(bào)文特征�����,所述報(bào)文特征可W為:業(yè)務(wù)報(bào)文的目的IP地 址����、目的端口號(hào)和傳輸層協(xié)議類(lèi)型中的一個(gè)或者多個(gè)。
[0031] 步驟S120,判斷所述報(bào)文特征是否匹配協(xié)議識(shí)別表����,其中,所述協(xié)議識(shí)別表包括報(bào) 文特征與協(xié)議類(lèi)型的對(duì)應(yīng)關(guān)系����。若匹配,則執(zhí)行步驟S130�。
[0032] 所述協(xié)議識(shí)別表中可W存儲(chǔ)有報(bào)文特征與協(xié)議類(lèi)型的對(duì)應(yīng)關(guān)系�����。在本實(shí)施例中����, 所述協(xié)議識(shí)別表可W由管理員或者技術(shù)人員進(jìn)行設(shè)置����,也可W由網(wǎng)絡(luò)設(shè)備在接收到業(yè)務(wù)報(bào) 文后,采用相關(guān)技術(shù)中的識(shí)別方式對(duì)協(xié)議類(lèi)型進(jìn)行識(shí)別�����,并根據(jù)識(shí)別結(jié)果生成所述協(xié)議識(shí) 別表�,本發(fā)明對(duì)此不作特殊限制。
[0033] 在本步驟中����,可朗尋步驟SllO中解析到的報(bào)文特征與協(xié)議識(shí)別表進(jìn)行匹配�����,如果 所述解析到的報(bào)文特征與所述協(xié)議表中任意一個(gè)表項(xiàng)中存儲(chǔ)的報(bào)文特征匹配上����,則執(zhí)行步 驟 S130�。
[0034] 表 1
[0035]
[0036] 表1為本實(shí)施例一種協(xié)議識(shí)別表的示意圖����,如表1中所示,該表項(xiàng)中存儲(chǔ)了目的IP 地址為211. 11. 172. 183與協(xié)議類(lèi)型為天涯博客協(xié)議的對(duì)應(yīng)關(guān)系�����,表1中僅是作為一種協(xié)議 識(shí)別表的示例表項(xiàng)�,不作為對(duì)協(xié)議識(shí)別表的限制,只要滿(mǎn)足協(xié)議識(shí)別表中是報(bào)文特征和協(xié) 議類(lèi)型的對(duì)應(yīng)關(guān)系即可���,比如�����,所述協(xié)議識(shí)別表中還可W存儲(chǔ)目的IP地址���、目的端口號(hào)與 協(xié)議類(lèi)型的對(duì)應(yīng)關(guān)系,如下表2所示:
[0037] 表 2
[0038]
[0039] 步驟S130,根據(jù)匹配到的表項(xiàng)確定所述業(yè)務(wù)報(bào)文的協(xié)議類(lèi)型���。
[0040] 在本步驟中�,根據(jù)所述報(bào)文特征匹配到的表項(xiàng),可W確定業(yè)務(wù)報(bào)文的協(xié)議類(lèi)型����。W 表1中所示表項(xiàng)為例,假設(shè)業(yè)務(wù)報(bào)文的報(bào)文特征為目的IP地址211. 11. 172. 183,與表1中 所示的表項(xiàng)中的目的IP地址匹配��,則根據(jù)該表項(xiàng)可W確定該業(yè)務(wù)報(bào)文的協(xié)議類(lèi)型為天涯 博客協(xié)議��。
[0041] 步驟S140,根據(jù)所述協(xié)議類(lèi)型�����,對(duì)所述業(yè)務(wù)報(bào)文進(jìn)行訪問(wèn)控制處理���。
[0042] 管理員或者技術(shù)人員可W根據(jù)實(shí)際應(yīng)用需要�,在網(wǎng)絡(luò)設(shè)備中配置流量管理策略�, 例如,將需要放通的業(yè)務(wù)報(bào)文的協(xié)議類(lèi)型存儲(chǔ)到白名單中�����,將要阻止訪問(wèn)的業(yè)務(wù)報(bào)文的協(xié) 議類(lèi)型存儲(chǔ)到黑名單中��,從而可W對(duì)業(yè)務(wù)報(bào)文進(jìn)行訪問(wèn)控制處理���。假設(shè)���,需要阻止訪問(wèn)QQ、 天涯博客���、網(wǎng)絡(luò)游戲等�,則可W將需要過(guò)濾的應(yīng)用程序的協(xié)議類(lèi)型保存到黑名單中�,從而丟 棄該協(xié)議類(lèi)型的業(yè)務(wù)報(bào)文,W阻止QQ���、天涯博客�、網(wǎng)絡(luò)游戲等的業(yè)務(wù)訪問(wèn)�����。
[0043] 應(yīng)用上述實(shí)施例�,網(wǎng)絡(luò)設(shè)備在接收到自客戶(hù)端設(shè)備發(fā)送的業(yè)務(wù)報(bào)文后,基于業(yè)務(wù) 報(bào)文的報(bào)文特征���,根據(jù)協(xié)議識(shí)別表可W快速識(shí)別業(yè)務(wù)報(bào)文的協(xié)議類(lèi)型���,無(wú)需對(duì)業(yè)務(wù)報(bào)文進(jìn) 行載荷內(nèi)容讀取��、應(yīng)用層信息重組等繁瑣操作����,因此���,對(duì)網(wǎng)絡(luò)設(shè)備的CPU消耗小��,且識(shí)別效 率高�。
[0044] 根據(jù)本發(fā)明的一優(yōu)選實(shí)施例���,當(dāng)所述業(yè)務(wù)報(bào)文的報(bào)文特征匹配上所述協(xié)議識(shí)別表 時(shí)�����,還可W更新該匹配到的表項(xiàng)的表項(xiàng)時(shí)間����,在到達(dá)預(yù)設(shè)時(shí)間周期時(shí)�,將刪除當(dāng)前時(shí)間與表 項(xiàng)時(shí)間的時(shí)間差值大于或者等于預(yù)設(shè)差值的表項(xiàng)。比如��,如表3中所示的表項(xiàng):
[0045] 表 3
[0046]
[0047] 女日表3中巧I小,'四化二'r巧W��,化二'r巧W口'J巧W口'J IW刀-方�����。為13:01�����,13:03�����, 13:00,假設(shè)預(yù)設(shè)時(shí)間周期為5min�,到達(dá)預(yù)設(shè)時(shí)間周期時(shí)的當(dāng)前時(shí)間為13:06,運(yùn)S個(gè)表項(xiàng) 的時(shí)間差值分別為5min����,3min,6min����,再假設(shè)預(yù)設(shè)差值為4min,因此���,可W刪除目的IP地址 為211. 11. 172. 183���、協(xié)議類(lèi)型為天涯博客協(xié)議��、表項(xiàng)時(shí)間為13:01的表項(xiàng)���,W及刪除目的IP 地址為117. 27. 230. 86、協(xié)議類(lèi)型為網(wǎng)絡(luò)游戲協(xié)議W及表項(xiàng)時(shí)間為13:00的表項(xiàng)�。
[0048] 應(yīng)用上述優(yōu)選實(shí)施例,可W將長(zhǎng)時(shí)間沒(méi)有被匹配到的表項(xiàng)刪除�����,避免協(xié)議識(shí)別表 越來(lái)越多���,減少對(duì)網(wǎng)絡(luò)設(shè)備的內(nèi)存空間的耗費(fèi)����。 W例圖2是本發(fā)明一示例性實(shí)施例示出的另一種訪問(wèn)控制方法的流程圖�。基于前述圖 1所示的實(shí)施例�����,本發(fā)明還提供另一種可選實(shí)施例,當(dāng)圖1中的步驟S120確定所述業(yè)務(wù)報(bào)文 的報(bào)文特征沒(méi)有匹配協(xié)議識(shí)別表時(shí)�,如圖2所示,一種訪問(wèn)控制方法���,還包括:
[0050] 步驟S210,當(dāng)業(yè)務(wù)報(bào)文的報(bào)文特征沒(méi)有匹配協(xié)議識(shí)別表時(shí)�,通過(guò)第一檢測(cè)技術(shù)檢 測(cè)所述業(yè)務(wù)報(bào)文的協(xié)議類(lèi)型�����。
[0051] 第一檢測(cè)技術(shù)可W是DPI技術(shù)�����,在通過(guò)協(xié)議識(shí)別表無(wú)法確定所述業(yè)務(wù)報(bào)文的協(xié)議 類(lèi)型時(shí)����,可W通過(guò)DPI技術(shù)對(duì)業(yè)務(wù)報(bào)文的協(xié)議類(lèi)型進(jìn)行檢測(cè)��。
[0052] 步驟S220,判斷檢測(cè)出的所述協(xié)議類(lèi)型是否匹配預(yù)設(shè)類(lèi)型�,若匹配,執(zhí)行步驟 S230〇
[0053] 管理員或者技術(shù)人員可W提取流量較大�,且服務(wù)器較穩(wěn)定的應(yīng)用程序的協(xié)議類(lèi)型 作為預(yù)設(shè)類(lèi)型,例如�����,QQ協(xié)議、微信協(xié)議�、網(wǎng)絡(luò)游戲協(xié)議等。然而�,對(duì)于FTP、RTSP�����、P2P等協(xié) 商協(xié)議���,其服務(wù)器變化較快�、不穩(wěn)定�����,所W��,協(xié)商協(xié)議不作為本發(fā)明實(shí)施例中的預(yù)設(shè)類(lèi)型的 協(xié)議���。
[0054] 步驟S230,將所述業(yè)務(wù)報(bào)文的報(bào)文特征與檢測(cè)出的所述協(xié)議類(lèi)型的對(duì)應(yīng)關(guān)系保存 至協(xié)議識(shí)別表中�。
[0055] 在本步驟中��,可W提取協(xié)議類(lèi)型匹配預(yù)設(shè)類(lèi)型的業(yè)務(wù)報(bào)文的報(bào)文特征,例如��,業(yè)務(wù) 報(bào)文的目的IP地址�、目的端口號(hào)和傳輸層協(xié)議類(lèi)型中的一個(gè)或者多個(gè),且將報(bào)文特征與業(yè) 務(wù)報(bào)文的協(xié)議類(lèi)型的對(duì)應(yīng)關(guān)系保存到協(xié)議識(shí)別表中�,更新協(xié)議識(shí)別表的表項(xiàng)。
[0056] 可選地���,當(dāng)?shù)谝粰z測(cè)技術(shù)不能檢測(cè)出業(yè)務(wù)報(bào)文的協(xié)議類(lèi)型時(shí)����,可W通過(guò)第二檢測(cè) 技術(shù)�,例如���,F(xiàn)PI (Flow Pattern Inspection,流模型檢測(cè))技術(shù)�����,檢測(cè)業(yè)務(wù)報(bào)文的協(xié)議類(lèi)型����。 由于FPI技術(shù)主要是檢測(cè)協(xié)商協(xié)議�,因此��,通過(guò)FPI技術(shù)檢測(cè)出的協(xié)議類(lèi)型不屬于預(yù)設(shè)類(lèi) 型�����,不必將業(yè)務(wù)報(bào)文的報(bào)文特征與檢測(cè)出的協(xié)議類(lèi)型的對(duì)應(yīng)關(guān)系更新到協(xié)議識(shí)別表中����。
[0057] 應(yīng)用上述可選實(shí)施例��,在通過(guò)協(xié)議識(shí)別表無(wú)法確定業(yè)務(wù)報(bào)文的協(xié)議類(lèi)型時(shí)�����,可W 通過(guò)DPI檢測(cè)技術(shù)對(duì)業(yè)務(wù)報(bào)文的協(xié)議類(lèi)型進(jìn)行檢測(cè)�����,并根據(jù)預(yù)設(shè)類(lèi)型對(duì)檢測(cè)出的協(xié)議類(lèi)型 進(jìn)行篩選����,將匹配預(yù)設(shè)類(lèi)型的協(xié)議類(lèi)型W及報(bào)文特征的對(duì)應(yīng)關(guān)系保存到協(xié)議識(shí)別表中,因 此����,可W不斷更新和完善協(xié)議識(shí)別表��。
[005引與前述訪問(wèn)控制方法的實(shí)施例相對(duì)應(yīng)�,本發(fā)明還提供了訪問(wèn)控制裝置的實(shí)施例����。
[0059] 本發(fā)明訪問(wèn)控制裝置400的實(shí)施例可W應(yīng)用在網(wǎng)絡(luò)設(shè)備上,例如�����,防火墻�、路由 器。裝置實(shí)施例可W通過(guò)軟件實(shí)現(xiàn)����,也可W通過(guò)硬件或者軟硬件結(jié)合的方式實(shí)現(xiàn)���。W軟件 實(shí)現(xiàn)為例����,作為一個(gè)邏輯意義上的裝置��,是通過(guò)其所在網(wǎng)絡(luò)設(shè)備的處理器將非易失性存儲(chǔ) 器中對(duì)應(yīng)的計(jì)算機(jī)程序指令讀取到內(nèi)存中運(yùn)行形成的�。從硬件層面而言���,如圖3所示,為本 發(fā)明一示例性實(shí)施例示出的一種訪問(wèn)控制裝置的一硬件結(jié)構(gòu)示意圖�����,除了圖3所示的處理 器����、內(nèi)存、網(wǎng)絡(luò)接口���、W及非易失性存儲(chǔ)器之外����,實(shí)施例中訪問(wèn)控制裝置400所在的網(wǎng)絡(luò)設(shè) 備通常根據(jù)該設(shè)備的實(shí)際功能���,還可W包括其他硬件��,對(duì)此不再寶述����。
[0060] 圖4是本發(fā)明一示例性實(shí)施例示出的一種訪問(wèn)控制裝置的結(jié)構(gòu)框圖�。如圖4所 示�����,一種訪問(wèn)控制裝置400,應(yīng)用在網(wǎng)絡(luò)設(shè)備上����,所述裝置包括:解析單元401����、第一判斷單 元402、協(xié)議確定單元403和執(zhí)行單元404��。
[0061] 解析單元401用于在接收到客戶(hù)端設(shè)備發(fā)送的業(yè)務(wù)報(bào)文后���,解析所述業(yè)務(wù)報(bào)文的 報(bào)文特征�����。
[0062] 第一判斷單元402用于判斷所述報(bào)文特征是否匹配協(xié)議識(shí)別表���,所述協(xié)議識(shí)別表 包括報(bào)文特征與協(xié)議類(lèi)型的對(duì)應(yīng)關(guān)系����。
[0063] 協(xié)議確定單元403用于當(dāng)所述報(bào)文特征匹配協(xié)議識(shí)別表時(shí)�����,根據(jù)匹配到的表項(xiàng)確 定所述業(yè)務(wù)報(bào)文的協(xié)議類(lèi)型���。
[0064] 執(zhí)行單元404用于根據(jù)所述協(xié)議類(lèi)型,對(duì)所述業(yè)務(wù)報(bào)文進(jìn)行訪問(wèn)控制處理�。
[0065] 圖5是本發(fā)明一示例性實(shí)施例示出的另一種訪問(wèn)控制裝置的結(jié)構(gòu)框圖?����;谏鲜?圖4所示的實(shí)施例�����,如圖5所示�����,訪問(wèn)控制裝置400還可W包括:時(shí)間更新單元405和表項(xiàng) 刪除單元406���。
[0066] 時(shí)間更新單元405用于當(dāng)所述報(bào)文特征匹配所述協(xié)議識(shí)別表時(shí)�����,更新匹配到的表 項(xiàng)的表項(xiàng)時(shí)間�����,表項(xiàng)刪除單元406用于在到達(dá)預(yù)設(shè)時(shí)間周期時(shí)���,刪除當(dāng)前時(shí)間與表項(xiàng)時(shí)間 的時(shí)間差值大于或者等于預(yù)設(shè)差值的表項(xiàng)��。
[0067] 圖6是本發(fā)明一示例性實(shí)施例示出的另一種訪問(wèn)控制裝置的結(jié)構(gòu)框圖���。基于上述 圖4所示的實(shí)施例�,當(dāng)?shù)谝慌袛鄦卧?02確定所述報(bào)文特征沒(méi)有匹配協(xié)議識(shí)別表時(shí),本發(fā)明 還提供一種可選實(shí)施例�,如圖6所示,訪問(wèn)控制裝置400還可W包括:第一檢測(cè)單元407�����、第 二判斷單元408和表項(xiàng)保存單元409��。
[0068] 第一檢測(cè)單元407用于當(dāng)所述報(bào)文特征沒(méi)有匹配協(xié)議識(shí)別表時(shí)�����,通過(guò)第一檢測(cè)技 術(shù)檢測(cè)所述業(yè)務(wù)報(bào)文的協(xié)議類(lèi)型����,其中,所述第一檢測(cè)技術(shù)可W為DPI技術(shù)�,第二判斷單元 408用于判斷檢測(cè)出的所述協(xié)議類(lèi)型是否匹配預(yù)設(shè)類(lèi)型,表項(xiàng)保存單元409用于當(dāng)檢測(cè)出 的所述協(xié)議類(lèi)型匹配上預(yù)設(shè)類(lèi)型時(shí)���,將所述業(yè)務(wù)報(bào)文的報(bào)文特征與檢測(cè)出的所述協(xié)議類(lèi)型 的對(duì)應(yīng)關(guān)系保存至協(xié)議識(shí)別表中���。
[0069] 優(yōu)選地,還可W包括第二檢測(cè)單元410,用于當(dāng)所述第一檢測(cè)技術(shù)沒(méi)有檢測(cè)出所述 業(yè)務(wù)報(bào)文的協(xié)議類(lèi)型時(shí)����,通過(guò)第二檢測(cè)技術(shù)檢測(cè)所述業(yè)務(wù)報(bào)文的協(xié)議類(lèi)型。其中���,第二檢測(cè) 技術(shù)可W為FPI技術(shù)����。
[0070] 上述裝置中各個(gè)單元的功能和作用的實(shí)現(xiàn)過(guò)程具體詳見(jiàn)上述方法中對(duì)應(yīng)步驟的 實(shí)現(xiàn)過(guò)程����,在此不再寶述���。
[0071] 對(duì)于裝置實(shí)施例而言,由于其基本對(duì)應(yīng)于方法實(shí)施例����,所W相關(guān)之處參見(jiàn)方法實(shí) 施例的部分說(shuō)明即可。W上所描述的裝置實(shí)施例僅僅是示意性的�����,其中所述作為分離部件 說(shuō)明的單元可W是或者也可W不是物理上分開(kāi)的�����,作為單元顯示的部件可W是或者也可W 不是物理單元��,即可W位于一個(gè)地方��,或者也可W分布到多個(gè)網(wǎng)絡(luò)單元上��??蒞根據(jù)實(shí)際的 需要選擇其中的部分或者全部模塊來(lái)實(shí)現(xiàn)本發(fā)明方案的目的。本領(lǐng)域普通技術(shù)人員在不付 出創(chuàng)造性勞動(dòng)的情況下���,即可W理解并實(shí)施�����。
[0072] W上所述僅為本發(fā)明的較佳實(shí)施例而已�����,并不用W限制本發(fā)明��,凡在本發(fā)明的精 神和原則之內(nèi)��,所做的任何修改�、等同替換�、改進(jìn)等,均應(yīng)包含在本發(fā)明保護(hù)的范圍之內(nèi)�。
【主權(quán)項(xiàng)】
1. 一種訪問(wèn)控制方法,應(yīng)用在網(wǎng)絡(luò)設(shè)備上���,其特征在于���,所述方法包括: 在接收到客戶(hù)端設(shè)備發(fā)送的業(yè)務(wù)報(bào)文后,解析所述業(yè)務(wù)報(bào)文的報(bào)文特征�����; 判斷所述報(bào)文特征是否匹配協(xié)議識(shí)別表,所述協(xié)議識(shí)別表包括報(bào)文特征與協(xié)議類(lèi)型的 對(duì)應(yīng)關(guān)系���; 如果匹配��,則根據(jù)匹配到的表項(xiàng)確定所述業(yè)務(wù)報(bào)文的協(xié)議類(lèi)型�; 根據(jù)所述協(xié)議類(lèi)型�,對(duì)所述業(yè)務(wù)報(bào)文進(jìn)行訪問(wèn)控制處理。2. 根據(jù)權(quán)利要求1所述的方法�,其特征在于,所述方法還包括: 當(dāng)所述報(bào)文特征匹配所述協(xié)議識(shí)別表時(shí)��,更新匹配到的表項(xiàng)的表項(xiàng)時(shí)間��; 在到達(dá)預(yù)設(shè)時(shí)間周期時(shí)�,刪除當(dāng)前時(shí)間與表項(xiàng)時(shí)間的時(shí)間差值大于或者等于預(yù)設(shè)差值 的表項(xiàng)。3. 根據(jù)權(quán)利要求1所述的方法��,其特征在于���,所述方法還包括: 當(dāng)所述報(bào)文特征沒(méi)有匹配協(xié)議識(shí)別表時(shí)���,通過(guò)第一檢測(cè)技術(shù)檢測(cè)所述業(yè)務(wù)報(bào)文的協(xié)議 類(lèi)型�; 判斷檢測(cè)出的所述協(xié)議類(lèi)型是否匹配預(yù)設(shè)類(lèi)型���; 如果匹配�����,則將所述業(yè)務(wù)報(bào)文的報(bào)文特征與檢測(cè)出的所述協(xié)議類(lèi)型的對(duì)應(yīng)關(guān)系保存至 協(xié)議識(shí)別表中���。4. 根據(jù)權(quán)利要求3所述的方法�����,其特征在于�����,所述方法還包括: 當(dāng)所述第一檢測(cè)技術(shù)沒(méi)有檢測(cè)出所述業(yè)務(wù)報(bào)文的協(xié)議類(lèi)型時(shí)��,通過(guò)第二檢測(cè)技術(shù)檢測(cè) 所述業(yè)務(wù)報(bào)文的協(xié)議類(lèi)型�����。5. 根據(jù)權(quán)利要求4所述的方法�����,其特征在于,所述第一檢測(cè)技術(shù)為DPI深度包檢測(cè)技 術(shù)�����,所述第二檢測(cè)技術(shù)為FPI流模型檢測(cè)技術(shù)�。6. -種訪問(wèn)控制裝置,應(yīng)用在網(wǎng)絡(luò)設(shè)備上��,其特征在于����,所述裝置包括: 解析單元,用于在接收到客戶(hù)端設(shè)備發(fā)送的業(yè)務(wù)報(bào)文后����,解析所述業(yè)務(wù)報(bào)文的報(bào)文特 征; 第一判斷單元���,用于判斷所述報(bào)文特征是否匹配協(xié)議識(shí)別表�,所述協(xié)議識(shí)別表包括報(bào) 文特征與協(xié)議類(lèi)型的對(duì)應(yīng)關(guān)系�; 協(xié)議確定單元,用于當(dāng)所述報(bào)文特征匹配協(xié)議識(shí)別表時(shí)�,根據(jù)匹配到的表項(xiàng)確定所述 業(yè)務(wù)報(bào)文的協(xié)議類(lèi)型����; 執(zhí)行單元�����,用于根據(jù)所述協(xié)議類(lèi)型����,對(duì)所述業(yè)務(wù)報(bào)文進(jìn)行訪問(wèn)控制處理。7. 根據(jù)權(quán)利要求6所述的裝置���,其特征在于,所述裝置還包括: 時(shí)間更新單元�����,用于當(dāng)所述報(bào)文特征匹配所述協(xié)議識(shí)別表時(shí)�,更新匹配到的表項(xiàng)的表 項(xiàng)時(shí)間; 表項(xiàng)刪除單元����,用于在到達(dá)預(yù)設(shè)時(shí)間周期時(shí),刪除當(dāng)前時(shí)間與表項(xiàng)時(shí)間的時(shí)間差值大 于或者等于預(yù)設(shè)差值的表項(xiàng)�。8. 根據(jù)權(quán)利要求6所述的裝置��,其特征在于��,所述裝置還包括: 第一檢測(cè)單元�����,用于當(dāng)所述報(bào)文特征沒(méi)有匹配協(xié)議識(shí)別表時(shí)����,通過(guò)第一檢測(cè)技術(shù)檢測(cè) 所述業(yè)務(wù)報(bào)文的協(xié)議類(lèi)型����; 第二判斷單元,用于判斷檢測(cè)出的所述協(xié)議類(lèi)型是否匹配預(yù)設(shè)類(lèi)型�����; 表項(xiàng)保存單元�����,用于當(dāng)檢測(cè)出的所述協(xié)議類(lèi)型匹配預(yù)設(shè)類(lèi)型時(shí)��,將所述業(yè)務(wù)報(bào)文的報(bào) 文特征與檢測(cè)出的所述協(xié)議類(lèi)型的對(duì)應(yīng)關(guān)系保存至協(xié)議識(shí)別表中。9. 根據(jù)權(quán)利要求8所述的裝置����,其特征在于,所述裝置還包括: 第二檢測(cè)單元���,用于當(dāng)所述第一檢測(cè)技術(shù)沒(méi)有檢測(cè)出所述業(yè)務(wù)報(bào)文的協(xié)議類(lèi)型時(shí)��,通 過(guò)第二檢測(cè)技術(shù)檢測(cè)所述業(yè)務(wù)報(bào)文的協(xié)議類(lèi)型�����。10. 根據(jù)權(quán)利要求9所述的裝置����,其特征在于�����,所述第一檢測(cè)技術(shù)為DPI深度包檢測(cè)技 術(shù)���,所述第二檢測(cè)技術(shù)為FPI流模型檢測(cè)技術(shù)。
【文檔編號(hào)】H04L29/06GK105939305SQ201510358582
【公開(kāi)日】2016年9月14日
【申請(qǐng)日】2015年6月24日
【發(fā)明人】張曉東
【申請(qǐng)人】杭州迪普科技有限公司