[发明专利]一种基于用户身份过滤的方法以及防火墙有效
| 申请号: | 201110303744.7 | 申请日: | 2011-09-29 |
| 公开(公告)号: | CN102387135A | 公开(公告)日: | 2012-03-21 |
| 发明(设计)人: | 裘晓峰;郝明阳;赵粮;张春红;成城;纪阳 | 申请(专利权)人: | 北京邮电大学 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06 |
| 代理公司: | 中国国际贸易促进委员会专利商标事务所 11038 | 代理人: | 曾晖 |
| 地址: | 100876 *** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 基于 用户 身份 过滤 方法 以及 防火墙 | ||
1.一种防火墙,其特征在于:在线提取用户身份信息并执行基于用户身份信息的防火墙策略,包括:
应用识别模块,监听所有活动端口,根据应用层数据识别应用程序类型;
身份信息提取模块,根据应用识别模块提供的应用程序类型采用相应的身份提取方法来提取用户身份信息;
用户行为分析模块,根据用户身份信息形成用户当前的行为记录,将当前的行为记录提供给策略执行模块和用户行为数据库,将策略执行模块的处理结果写入用户行为数据库;
策略执行模块,根据用户当前的行为记录执行防火墙处理策略,将处理结果提交给用户行为分析模块;
用户行为数据库,存储用户行为分析模块提供的用户当前的行为记录和策略执行模块的处理结果;
防火墙管理模块,提供各模块的管理配置。
2.根据权利要求1所述防火墙,其特征在于,还包括:
所述用户行为分析模块从用户行为数据库获取用户的历史行为记录;根据用户当前的行为记录和历史行为记录生成新的用户行为记录,将新生成的用户行为记录写入用户行为数据库,并将其提交给策略执行模块,将策略执行模块的处理结果写入用户行为数据库。
3.根据权利要求1或2所述防火墙,其特征在于,用户行为数据库与其他防火墙的用户行为数据库连接形成分布式数据库系统。
4.根据权利要求1或2所述防火墙,其特征在于,用户行为分析模块从身份信息提取模块接收用户本次访问信息,包括应用程序类型、用户会话以及用户身份信息,并从防火墙的日志统计模块得到用户所属会话的相应信息,形成当前的用户行为记录。
5.根据权利要求1或2所述防火墙,其特征在于,防火墙管理模块实现对在线提取方法的升级,针对不同的应用采用不同的身份在线提取方法,通过升级增加可识别的应用的数量。
6.一种基于用户身份过滤的方法,其特征在于,包括:
当用户访问服务时,监听所有活动端口,根据应用层数据识别应用程序类型;
根据应用程序类型采用相应的身份提取方法来提取用户身份信息;
根据用户身份信息形成用户当前的行为记录;
根据用户当前的行为记录执行防火墙处理策略。
7.根据权利要求6所述基于用户身份过滤的方法,其特征在于,根据用户当前的行为记录执行防火墙处理策略,进一步包括:
获取用户的历史行为记录;
根据用户当前的行为记录和历史行为记录生成新的用户行为记录;
根据新的用户行为记录执行防火墙处理策略。
8.根据权利要求6或7所述基于用户身份过滤的方法,其特征在于,还包括:
将用户的行为记录存储到用户行为数据库,用户行为数据库与其他防火墙的用户行为数据库连接形成分布式数据库系统。
9.根据权利要求6或7所述基于用户身份过滤的方法,其特征在于,形成用户当前的行为记录,包括:
接收用户本次访问信息,包括应用程序类型、用户会话以及用户身份信息,并从防火墙的日志统计模块得到用户所属会话的相应信息,形成用户当前的行为记录。
10.根据权利要求6或7所述基于用户身份过滤的方法,其特征在于,执行防火墙处理策略,包括:
实现对在线提取方法的升级,针对不同的应用采用不同的身份在线提取方法,通过升级增加可识别的应用的数量。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于北京邮电大学,未经北京邮电大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201110303744.7/1.html,转载请声明来源钻瓜专利网。
- 上一篇:一种利用滩涂淤泥快速制备陶粒的方法
- 下一篇:一种拐臂角度检测工装
