上網行為監控方法、裝置和系統的制作方法
【專利摘要】本發明提供了一種上網行為監控方法、裝置和系統。上網行為監控方法包括:在特征代碼庫內存儲用于表征網絡數據的應用程序來源的特征碼;從獲取到的網絡數據中提取該網絡數據的特征碼,將特征碼與特征代碼庫中的特征碼進行匹配;根據匹配的結果對網絡數據進行分流或者行為管理。本發明通過對網絡數據的特征碼分析來定位網絡數據是何種應用程序發送的,可以不需要用戶電腦安裝監控程序,就能監控用戶電腦的上網行為。
【專利說明】上網行為監控方法、裝置和系統
【技術領域】
[0001] 本發明涉及網絡數據監控領域,特別涉及一種上網行為監控方法、裝置和系統。
【背景技術】
[0002] 要監控用戶電腦中的網絡行為,通常都需要在用戶的電腦中安裝一個監控程序, 該監控程序需要監控用戶電腦中的網絡行為已經數據上報到監控服務器中。
[0003] 然而,在很多網絡環境中,比如小區、公共場所等,終端用戶是不允許在自己的設 備中裝任何不明客戶端的。
【發明內容】
[0004] 本發明提供了一種不需要用戶電腦安裝監控程序,就能監控用戶電腦的上網行為 的上網行為監控方法、裝置和系統。
[0005] 為解決上述問題,作為本發明的第一個方面,提供了一種上網行為監控方法,包 括:在特征代碼庫內存儲用于表征網絡數據的應用程序來源的特征碼;從獲取到的網絡數 據中提取該網絡數據的特征碼,將特征碼與特征代碼庫中的特征碼進行匹配;根據匹配的 結果對網絡數據進行分流或者行為管理。
[0006] 進一步地,特征碼包括目標域名、和/或流量特征、和/或數據結構特征、和/或地 址范圍等。
[0007] 進一步地,流量特征包括:數據包大小、會話連接上的數據流量大小、上行速率、下 行速率。
[0008] 進一步地,特征代碼庫內的特征碼下載于特征碼服務器。
[0009] 進一步地,上網行為監控方法還包括:提取未匹配特征碼的網絡數據中的特征構 建表征該網絡數據的應用程序來源的特征碼,將該特征碼加入特征代碼庫。
[0010] 進一步地,上網行為監控方法還包括:將構建的特征碼上傳到特征碼服務器。
[0011] 作為本發明的第二個方面,提供了一種上網行為監控裝置,其特征在于,包括:特 征碼存儲模塊,存儲用于表征網絡數據的應用程序來源的特征碼;征碼識別模塊,從獲取到 的網絡數據中提取該網絡數據的特征碼,將特征碼與特征代碼庫中的特征碼進行匹配;控 制模塊,根據匹配的結果對網絡數據進行分流或者行為管理。
[0012] 進一步地,上網行為監控裝置還包括:特征碼下載模塊,用于從特征碼服務器下載 更新特征碼存儲模塊內存儲的特征碼。
[0013] 進一步地,特征碼識別模塊提取未匹配特征碼的網絡數據中的特征以構建表征該 網絡數據的應用程序來源的特征碼,將該特征碼加入特征碼存儲模塊。
[0014] 作為本發明的第三個方面,提供了一種上網行為監控系統,包括特征碼服務器和 與特征碼服務器連接的上網行為監控裝置,該上網行為監控裝置是上述的上網行為監控裝 置。
[0015] 本發明通過對網絡數據的特征碼分析來定位網絡數據是何種應用程序發送的,可 以不需要用戶電腦安裝監控程序,就能監控用戶電腦的上網行為。
【專利附圖】
【附圖說明】
[0016] 圖1示意性地示出了本發明一個實施例的原理圖。
【具體實施方式】
[0017] 以下結合附圖對本發明的實施例進行詳細說明,但是本發明可以由權利要求限定 和覆蓋的多種不同方式實施。
[0018] 由于在很多網絡環境中,比如小區、公共場所等,終端用戶是不允許在自己的設備 中裝任何不明客戶端的,為了解決這個問題,那么本發明只能從用戶的數據上著手解決。
[0019] 作為本發明的第一方面,提供了一種上網行為監控方法,特別地,該上網行為監控 方法可適用于路由器(例如多WAN無線智能行為管理企業級路由器)等設備。
[0020] 請參考圖1,該上網行為監控方法包括:在特征代碼庫內存儲用于表征網絡數據 的應用程序來源的特征碼;從獲取到的網絡數據中提取該網絡數據的特征碼,將特征碼與 特征代碼庫中的特征碼進行匹配;根據匹配的結果對網絡數據進行分流或者行為管理。
[0021] 可以預先對目前的主流軟件(應用程序)進行識別,以識別出各應用程序發送的 數據都具有什么樣的特征。其原理如下:
[0022] 例如:對于某一娛樂活動來說,參加要求為身高180cm、戴眼鏡、學歷為本科的人 才能報名參加;那么在審核報名者的時候,就可以根據身高、裝備、學歷這3項特征來過濾 報名者。
[0023] 同理,各種應用程序發出的數據報文都是有自己特有的特征,如果知道這些特征 具體是屬于哪個應用程序的數據報文,就可以通過這些數據報文的特征來判斷這些數據是 屬于哪個應用程序。進一步地,如果知道這些數據是屬于哪個應用程序,那么就可以對這些 數據進行行為管理策略。
[0024] 因此,本發明中的上網行為監控方法可以實現不需要在用戶電腦中安裝監控程 序,就能監控用戶電腦的上網行為,并且實現對指定的數據進行網絡分流的目的。特別地, 當需要對禁止使用某一應用程序時,如果發現網絡數據中存在與該應用程序相匹配的特征 碼,那么就可以阻止該應用程序的數據通過路由器傳遞;如果是允許的合法程序,則可以正 常運行。這樣,就能達到監控用戶電腦的上網行為的目的。
[0025] 為了提高特征碼識別的識別率,本發明可采用關聯性規則智能學習模式來識別。 所謂關聯性規則智能學習即(例如路由器等)在通過特征碼識別到某個應用程序的數據 后,把該特征做一個標記,例如將一個數據包中的目標IP和端口作為特征碼時,那么在同 一條會話連接上,由該目標IP發起的其它連接就優先被直接標記為該應用程序的會話連 接,而不會再到特征庫中去進行特征碼匹配。
[0026] 優選地,特征碼包括目標域名、和/或流量特征、和/或數據結構特征、和/或地址 范圍等,通過這些方式可實現智能學習。這樣,在各種網絡環境中,利用本發明特征碼識別 的識別率在98%以上,只有2%的網絡流量未能識別出是什么應用程序發送的。優選地,流 量特征包括:數據包大小、會話連接上的數據流量大小、上行速率、下行速率。
[0027] 另外,網絡上的數據都是由各種應用程序發出來的,不同的應用程序發出的數據 格式是不同的,而同一個應用程序發出的數據格式一定是有規律的,因此,數據結構特征就 是利用這個數據規律來進行特征匹配。
[0028] 此外,同一個服務器上的數據請求的目標域名是一致的,本發明中的地址范圍特 征就可以根據域名來做特征標記,這樣來自同一個域名的數據,在沒有其他特征匹配條件 的情況下,就可以認為它是來自同一個應用程序。
[0029] 本發明中的特征碼在識別上,通過智能學習模式就可以避免反復匹配特征庫造成 大量時間浪費,從而高速的匹配特征規則達到對指定用戶的指定數據進行分流或者行為管 理。
[0030] 現有技術中的其它同類產品在匹配特征碼的時候,需要對特征代碼庫進行逐條匹 配,因而會造成大量的系統開銷。為此,優選地,特征代碼庫內的特征碼下載于特征碼服務 器。這樣,可以將所有最新的特征碼都放在該特征碼服務器中,所有使用本發明的客戶端 (例如路由器寺)連上網絡后,都會到特征碼服務器上去檢查是否有更新特征碼,如果有 更新的特征碼,那么客戶端會自動下載特征碼,然后自動升級特征代碼庫,這樣可以實現實 時更新當前最新的特征代碼庫。請參考圖1,多WAN無線智能行為管理企業級路由器通過 INTER網絡和WAY0S特征碼云服務器進行連接,首先查詢驗證特征碼是否有需要更新的內 容。如果有需要更新的,那么會自動更新到路由器終端。
[0031] 因此,本發明為了對規則進行高速匹配,采用動態庫的形式更新特征碼,免去了系 統對規則的解析過程。這樣能大大的減少匹配規則時造成的大量系統開銷。
[0032] 優選地,上網行為監控方法還包括:提取未匹配特征碼的網絡數據中的特征構建 表征該網絡數據的應用程序來源的特征碼,將該特征碼加入特征代碼庫。
[0033] 優選地,上網行為監控方法還包括:將構建的特征碼上傳到特征碼服務器。
[0034] 作為本發明的第二方面,提供了一種上網行為監控裝置(例如路由器等),包括: 特征碼存儲模塊,存儲用于表征網絡數據的應用程序來源的特征碼;特征碼識別模塊,從 獲取到的網絡數據中提取該網絡數據的特征碼,將特征碼與特征代碼庫中的特征碼進行匹 配;控制模塊,根據匹配的結果對網絡數據進行分流或者行為管理。
[0035] 優選地,上網行為監控裝置還包括:特征碼下載模塊,用于從特征碼服務器下載更 新特征碼存儲模塊內存儲的特征碼。
[0036] 優選地,特征碼識別模塊提取未匹配特征碼的網絡數據中的特征以構建表征該網 絡數據的應用程序來源的特征碼,將該特征碼加入特征碼存儲模塊。
[0037] 作為本發明的第三方面,提供了一種上網行為監控系統,包括特征碼服務器和與 特征碼服務器連接的上網行為監控裝置,該上網行為監控裝置是上述的上網行為監控裝 置。
[0038] 本發明通過對網絡數據的特征碼分析來定位網絡數據是何種應用程序發送的,可 以不需要用戶電腦安裝監控程序,就能監控用戶電腦的上網行為。
[0039] 以上所述僅為本發明的優選實施例而已,并不用于限制本發明,對于本領域的技 術人員來說,本發明可以有各種更改和變化。凡在本發明的精神和原則之內,所作的任何修 改、等同替換、改進等,均應包含在本發明的保護范圍之內。
【權利要求】
1. 一種上網行為監控方法,其特征在于,包括: 在特征代碼庫內存儲用于表征網絡數據的應用程序來源的特征碼; 從獲取到的所述網絡數據中提取該所述網絡數據的特征碼,將所述特征碼與所述特征 代碼庫中的特征碼進行匹配; 根據所述匹配的結果對所述網絡數據進行分流或者行為管理。
2. 根據權利要求1所述的上網行為監控方法,其特征在于,所述特征碼包括目標域名、 和/或流量特征、和/或數據結構特征、和/或地址范圍等。
3. 根據權利要求2所述的上網行為監控方法,其特征在于,所述流量特征包括:數據包 大小、和/或會話連接上的數據流量大小、和/或上行諫率、和/或下行諫率。
4. 根據權利要求1所述的上網行為監控方法,其特征在于,所述特征代碼庫內的特征 碼下載于特征碼服務器。
5. 根據權利要求1所述的上網行為監控方法,其特征在于,所述上網行為監控方法還 包括:提取未匹配特征碼的網絡數據中的特征構建表征該網絡數據的應用程序來源的特征 碼,將該特征碼加入所述特征代碼庫。
6. 根據權利要求5所述的上網行為監控方法,其特征在于,所述上網行為監控方法還 包括:將構建的所述特征碼上傳到特征碼服務器。
7. -種上網行為監控裝置,其特征在于,包括: 特征碼存儲模塊,存儲用于表征所述網絡數據的應用程序來源的特征碼; 特征碼識別模塊,從獲取到的所述網絡數據中提取該所述網絡數據的特征碼,將所述 特征碼與所述特征代碼庫中的特征碼進行匹配; 控制模塊,根據所述匹配的結果對所述網絡數據進行分流或者行為管理。
8. 根據權利要求1所述的上網行為監控裝置,其特征在于,所述上網行為監控裝置還 包括:特征碼下載模塊,用于從特征碼服務器下載更新所述特征碼存儲模塊內存儲的特征 碼。
9. 根據權利要求1所述的上網行為監控裝置,其特征在于,所述特征碼識別模塊提取 未匹配特征碼的網絡數據中的特征以構建表征該網絡數據的應用程序來源的特征碼,將該 特征碼加入所述特征碼存儲模塊。
10. -種上網行為監控系統,包括特征碼服務器和與所述特征碼服務器連接的上網行 為監控裝置,其特征在于,所述上網行為監控裝置是權利要求7至9中任一項所述的上網行 為監控裝置。
【文檔編號】H04L29/08GK104104526SQ201310115338
【公開日】2014年10月15日 申請日期:2013年4月1日 優先權日:2013年4月1日
【發明者】蹇浩林 申請人:深圳維盟科技有限公司