本發(fā)明涉及網(wǎng)絡與信息安全領域，尤其涉及一種網(wǎng)絡訪問控制方法及裝置。

背景技術：

現(xiàn)今主流的防火墻設備對網(wǎng)絡流量的控制還是基于五元組即源IP、目的IP、源端口、目的端口、網(wǎng)絡協(xié)議，隨著下一代防火墻的發(fā)展，防火墻逐漸能對應用層進行檢測，對應用程序的訪問控制、防病毒等能力都進一步加強，但仍然無法根據(jù)用戶信息和訪問行為進行更細化的控制。由于APT(Advanced Persistent Threat，高級持續(xù)性威脅攻擊)的危害巨大，當防火墻無法檢測出攻擊特征時，對用戶行為的分析并進行控制就變得更加重要。

因此，有必要提出一種對用戶行為的分析并進行控制的方法以解決現(xiàn)有技術中的存在的上述問題。

技術實現(xiàn)要素：

本公開要解決的一個技術問題是如何提供一種網(wǎng)絡訪問控制方法以解決現(xiàn)有技術中的對網(wǎng)絡流量的控制方式單一，對應用程序的訪問控制、防病毒能力不強的問題。

本公開提供一種網(wǎng)絡訪問控制方法，包括：接收用戶對應用群的訪問行為，基于預設的用戶行為可信度數(shù)據(jù)庫確定所述用戶的訪問行為的可信度，其中，所述預設的用戶行為可信度數(shù)據(jù)庫包括目標應用數(shù)據(jù)庫、用戶數(shù)據(jù)庫和用戶行為數(shù)據(jù)庫；根據(jù)所述用戶行為的可信度控制用戶的訪問請求。

進一步地，根據(jù)所述用戶行為的可信度控制用戶的訪問請求包括： 如果用戶的訪問行為的可信度小于設定閾值，則認為所述用戶行為是不合法的，禁止所述用戶的訪問；如果用戶的行為的可信度不小于設定閾值，則認為所述用戶的訪問行為是合法的，允許所述用戶的訪問。

進一步地，所述接收用戶對應用群的訪問行為，基于預設的用戶行為可信度數(shù)據(jù)庫確定所述用戶的訪問行為的可信度之前還包括：在本地防火墻或AAA服務器設置用戶行為可信度數(shù)據(jù)庫；在接收到用戶的登陸請求后，基于本地防火墻或驗證授權計費AAA服務器認證和監(jiān)測所述用戶的訪問行為的可信度。

進一步地，所述目標應用數(shù)據(jù)庫存儲的信息包括訪問的應用特征、應用ID、服務端口、應用行為類型、應用操作行為、扣分值，其中，設置用戶第一可信度分值、需要扣分的應用行為類型、應用操作行為，所述扣分值為所述需要扣分應用行為類型、應用操作行為的扣分值，如果用戶對應用群的訪問行為是所述需要扣分的應用行為類型、應用操作行為時，根據(jù)所述應用行為類型、應用操作行為的扣分值對用戶的第一可信度分值進行扣分以確定所述用戶的第一可信度分值。

進一步地，所述用戶數(shù)據(jù)庫存儲的信息包括用戶ID、密碼、創(chuàng)建時間、最近登錄時間、歷史行為記錄、第二可信度，其中，設置用戶第二可信度分值、需要扣分的歷史行為記錄以及所述需要扣分的歷史行為記錄的扣分值，如果用戶的歷史行為記錄是需要扣分的歷史行為記錄時，則根據(jù)所說歷史行為記錄的扣分值實時更新所述用戶的第二可信度分值。

進一步地，所述用戶行為數(shù)據(jù)庫存儲的信息包括用戶ID、時間、用戶行為類型、用戶操作行為、源IP、目的IP、協(xié)議、源端口、目的端口、開始時間、持續(xù)時間、數(shù)據(jù)包個數(shù)、流量大小；其中，設置用戶第三可信度分值、需要扣分的用戶行為類型、用戶操作行為以及所述需要扣分的用戶行為類型、用戶操作行為的扣分值，如果用戶行為是所述需要扣分的用戶行為類型、用戶操作行為時，根據(jù)所述用戶行為類型、用戶操作行為的扣分值對用戶的第三可信度分值進行扣分以確定所述用戶的第三可信度分值。

進一步地，所述用戶行為類型包括：用戶登錄、常規(guī)訪問、文件操作、賬號操作、域名查詢、系統(tǒng)更改。

進一步地，所述用戶操作行為包括正常登錄、正常瀏覽訪問、新建文件、文件拷貝、文件上傳、文件刪除、文件傳輸、下載越權文件、域名查詢、添加賬號、刪除賬號、修改賬號、修改啟動項目、重啟系統(tǒng)、關閉系統(tǒng)。

進一步地，根據(jù)所述用戶的第一、第二、第三可信度分值綜合確定所述用戶的訪問行為的可信度，根據(jù)綜合得到的所述用戶行為可信度控制用戶的訪問請求。

本公開還提供一種網(wǎng)絡訪問控制裝置，包括：接收模塊，用于接收用戶對應用群的訪問行為；處理模塊，用于基于預設的用戶行為可信度數(shù)據(jù)庫確定所述用戶的訪問行為的可信度，其中，所述預設的用戶行為可信度數(shù)據(jù)庫包括目標應用數(shù)據(jù)庫、用戶數(shù)據(jù)庫和用戶行為數(shù)據(jù)庫；控制模塊，用于根據(jù)所述用戶行為的可信度控制用戶的訪問請求。

進一步地，控制模塊用于如果用戶的訪問行為的可信度小于設定閾值，則認為所述用戶行為是不合法的，禁止所述用戶的訪問；如果用戶的行為的可信度不小于設定閾值，則認為所述用戶的訪問行為是合法的，允許所述用戶的訪問。

進一步地，設置模塊用于在本地防火墻或AAA服務器設置用戶行為可信度數(shù)據(jù)庫；在接收到用戶的登陸請求后，基于本地防火墻或AAA服務器認證和監(jiān)測所述用戶的訪問行為的可信度。

進一步地，所述目標應用數(shù)據(jù)庫存儲的信息包括訪問的應用特征、應用ID、服務端口、應用行為類型、應用操作行為、扣分值，設置模塊用于設置用戶第一可信度分值、需要扣分的應用行為類型、應用操作行為，所述扣分值為所述需要扣分應用行為類型、應用操作行為的扣分值，處理模塊用于如果用戶對應用群的訪問行為是所述需要扣分的應用行為類型、應用操作行為時，根據(jù)所述應用行為類型、應用操作行為的扣分值對用戶的第一可信度分值進行扣分以確定所述用戶的第一可信度分值。

進一步地，所述用戶數(shù)據(jù)庫存儲的信息包括用戶ID、密碼、創(chuàng)建時間、最近登錄時間、歷史行為記錄、第二可信度，設置模塊用于設置用戶第二可信度分值、需要扣分的歷史行為記錄以及所述需要扣分的歷史行為記錄的扣分值，處理模塊用于如果用戶的歷史行為記錄是需要扣分的歷史行為記錄時，則根據(jù)所說歷史行為記錄的扣分值實時更新所述用戶的第二可信度分值。

進一步地，所述用戶行為數(shù)據(jù)庫存儲的信息包括用戶ID、時間、用戶行為類型、用戶操作行為、源IP、目的IP、協(xié)議、源端口、目的端口、開始時間、持續(xù)時間、數(shù)據(jù)包個數(shù)、流量大小，設置模塊用于設置用戶第三可信度分值、需要扣分的用戶行為類型、用戶操作行為以及所述需要扣分的用戶行為類型、用戶操作行為的扣分值，處理模塊用于如果用戶行為是所述需要扣分的用戶行為類型、用戶操作行為時，根據(jù)所述用戶行為類型、用戶操作行為的扣分值對用戶的第三可信度分值進行扣分以確定所述用戶的第三可信度分值。

進一步地，所述用戶行為類型包括：用戶登錄、常規(guī)訪問、文件操作、賬號操作、域名查詢、系統(tǒng)更改。

進一步地，所述用戶操作行為包括正常登錄、正常瀏覽訪問、新建文件、文件拷貝、文件上傳、文件刪除、文件傳輸、下載越權文件、域名查詢、添加賬號、刪除賬號、修改賬號、修改啟動項目、重啟系統(tǒng)、關閉系統(tǒng)。

進一步地，處理模塊用于根據(jù)所述用戶的第一、第二、第三可信度分值綜合確定所述用戶的訪問行為的可信度，控制模塊根據(jù)綜合得到的所述用戶行為的可信度控制用戶的訪問請求。

本公開提供的網(wǎng)絡訪問控制方法以及裝置，可以提供一種基于用戶行為模式分析的網(wǎng)絡訪問控制方法和防火墻系統(tǒng)，根據(jù)用戶的歷史訪問行為，計算用戶的行為可信系數(shù)從而進行安全控制。

附圖說明

圖1示出本發(fā)明一個實施例的網(wǎng)絡訪問控制方法的流程圖。

圖2示出本發(fā)明一個實施例的網(wǎng)絡訪問控制方法的流程示意圖。

圖3示出本發(fā)明一個實施例的一種網(wǎng)絡訪問控制裝置的結構框圖。

圖4示出本發(fā)明的另一個實施例的一種網(wǎng)絡訪問控制裝置的結構框圖。

具體實施方式

下面參照附圖對本發(fā)明進行更全面的描述，其中說明本發(fā)明的示例性實施例。

圖1示出本發(fā)明一個實施例的網(wǎng)絡訪問控制方法的流程圖。如圖1所示，該方法主要包括：

步驟100，接收用戶對應用群的訪問行為，基于預設的用戶行為可信度數(shù)據(jù)庫確定所述用戶的訪問行為的可信度，其中，所述預設的用戶行為可信度數(shù)據(jù)庫包括目標應用數(shù)據(jù)庫、用戶數(shù)據(jù)庫和用戶行為數(shù)據(jù)庫。

在一個實施例中，所述接收用戶對應用群的訪問行為后，基于預設的用戶行為可信度數(shù)據(jù)庫確定所述用戶的訪問行為的可信度之前還包括：在本地防火墻或AAA(Authentication、Authorization、Accounting，驗證授權計費)服務器設置用戶行為可信度數(shù)據(jù)庫；在接收到用戶的登陸請求后，基于本地防火墻或驗證授權計費AAA服務器認證和監(jiān)測所述用戶的訪問行為的可信度。

在一個實施例中，所述目標應用數(shù)據(jù)庫存儲的信息包括訪問的應用特征、應用ID、服務端口、應用行為類型、應用操作行為、扣分值，其中，設置用戶第一可信度分值、需要扣分的應用行為類型、應用操作行為，所述扣分值為所述需要扣分應用行為類型、應用操作行為的扣分值；如果用戶對應用群的訪問行為是所述需要扣分的應用行為類型、應用操作行為時，根據(jù)所述應用行為類型、應用操作行為的扣分值對用戶的第一可信度分值進行扣分以確定所述用戶的第一可信度分值。

在一個實施例中，所述用戶數(shù)據(jù)庫存儲的信息包括用戶ID、密碼、創(chuàng)建時間、最近登錄時間、歷史行為記錄、第二可信度，其中，設 置用戶第二可信度分值、需要扣分的歷史行為記錄以及所述需要扣分的歷史行為記錄的扣分值，如果用戶的歷史行為記錄是需要扣分的歷史行為記錄時，則根據(jù)所說歷史行為記錄的扣分值實時更新所述用戶的第二可信度分值。

在一個實施例中，所述用戶行為數(shù)據(jù)庫存儲的信息包括用戶ID、時間、用戶行為類型、用戶操作行為、源IP、目的IP、協(xié)議、源端口、目的端口、開始時間、持續(xù)時間、數(shù)據(jù)包個數(shù)、流量大?。黄渲?，設置用戶第三可信度分值、需要扣分的用戶行為類型、用戶操作行為以及所述需要扣分的用戶行為類型、用戶操作行為的扣分值，如果用戶行為是所述需要扣分的用戶行為類型、用戶操作行為時，根據(jù)所述用戶行為類型、用戶操作行為的扣分值對用戶的第三可信度分值進行扣分以確定所述用戶的第三可信度分值。

在一個實施例中，所述用戶行為類型包括：用戶登錄、常規(guī)訪問、文件操作、賬號操作、域名查詢、系統(tǒng)更改。例如，用戶登錄時發(fā)現(xiàn)異常登錄、常規(guī)訪問中出現(xiàn)異常、文件操作是有刪除系統(tǒng)文件的操作、賬戶操作時有刪除賬戶的行為、域名查詢時短時的進行連續(xù)的域名查詢、系統(tǒng)更改時更改用戶的賬戶名等。如果行為類型出現(xiàn)如上所述的非法操作，則對用戶的第三可信度進行扣分并實時更新用戶的可信度分值。

在一個實施例中，所述用戶操作行為包括正常登錄、正常瀏覽訪問、新建文件、文件拷貝、文件上傳、文件刪除、文件傳輸、下載越權文件、域名查詢、添加賬號、刪除賬號、修改賬號、修改啟動項目、重啟系統(tǒng)、關閉系統(tǒng)。例如，如果上述用戶操作行為出現(xiàn)非法操作，則對用戶的第三可信度進行扣分并實時更新用戶的可信度分值。

步驟102，根據(jù)所述用戶行為的可信度控制用戶的訪問請求。

具體地，根據(jù)所述用戶行為的可信度控制用戶的訪問請求包括：如果用戶的訪問行為的可信度小于設定閾值，則認為所述用戶行為是不合法的，禁止所述用戶的訪問；如果用戶的行為的可信度不小于設定閾值，則認為所述用戶的訪問行為是合法的，允許所述用戶的訪問。

在一個實施例中，可以根據(jù)所述用戶的第一、第二、第三可信度分 值綜合確定所述用戶的訪問行為的可信度，根據(jù)綜合得到的所述用戶行為的可信度控制用戶的訪問請求。例如，可以通過加權平均的方式，根據(jù)第一、第二、第三可信度分值綜合確定所述用戶的訪問行為的可信度，根據(jù)不同的應用、用戶給第一、第二、第三可信度分配權重值。

本發(fā)明實施例提供的網(wǎng)絡訪問控制方法，可以應用于需要用戶賬號登錄驗證，從而對用戶行為進行控制的應用場景?？梢蕴峁┮环N基于用戶行為模式分析的網(wǎng)絡訪問控制方法和防火墻系統(tǒng)，可以根據(jù)用戶的歷史訪問行為，計算用戶的行為可信系數(shù)從而進行安全控制。

圖2示出本發(fā)明一個實施例的網(wǎng)絡訪問控制方法的流程示意圖。參照圖2所示，該方法包括：

步驟201，當用戶訪問應用群時，輸入用戶名密碼通過防火墻本地認證或AAA服務器認證。

步驟202，根據(jù)用戶行為可信度數(shù)據(jù)庫中信息對用戶的行為進行分析。

步驟203，判斷用戶行為的可信度是否超過設定閾值，該設定閾值可以是60分(100分制)，如果用戶通過認證登錄后，可信度系數(shù)不達標即不到60分，會立刻被迫退出，如果達到設定閾值則確定用戶行為可信度滿足要求，并允許用戶訪問。

具體地，用戶行為模式分析模塊會關聯(lián)用戶行為可信度數(shù)據(jù)庫中的三個數(shù)據(jù)庫，用戶行為可信系數(shù)的計算可以主要是看用戶對應用的訪問動作。某些比較危險的行為，如系統(tǒng)關機等系統(tǒng)更改類或刪除賬號等賬號操作類行為即使持續(xù)時間短，產(chǎn)生流量小，但由于可能潛在的危害大，扣分值較大；而文件上傳下載等文件操作類行為和流量大小持續(xù)時間關系密切，計算分值的時候時間應作為相應的影響系數(shù)來確定扣分值，例如如果用戶在一段時間內持續(xù)高速的下載文件，則對該用戶的可信度進行扣分。另外，當實時計算出的用戶行為可信系數(shù)低于最低閾值時，會強行中斷用戶連接，并在防火墻的內存中清除連接?？尚畔禂?shù)處在較低級別中，則會禁止對某些應用的訪問權限。

目標應用數(shù)據(jù)庫中包含了當前應用群中各應用程序的數(shù)據(jù)，其中， 數(shù)據(jù)格式可以為【服務IP、應用ID、服務端口、行為類型、操作行為、扣分值】，扣分值和行為類型密切相關，正常行為扣分值為0，異常行為視危害程度扣分會相應增加，對每種需要扣分的行為類型設定不同的扣分值。

以WEB應用系統(tǒng)為例子，目標應用數(shù)據(jù)庫根據(jù)用戶的行為生成以下記錄：

【200.200.200.202、1、80、常規(guī)訪問、瀏覽訪問、0】

【200.200.200.202、1、80、文件操作、上傳文件、0】

【200.200.200.202、1、80、文件操作、下載文件、0】

【200.200.200.202、1、80、文件操作、下載越權文件、20】

其中，當檢測的用戶的操作行為是下載越權文件的時候，則對用戶行為第一可信度扣20分。

用戶數(shù)據(jù)庫的的數(shù)據(jù)格式可以是【用戶ID、密碼、創(chuàng)建時間、最近登錄時間、歷史行為記錄、用戶行為信譽度】，其中“歷史行為記錄”是用戶所有行為的記錄結果，行為信譽度是0-100，該用戶行為信譽度即是第二可信度，用來確定用于的當前的信譽情況。行為信譽度分值越高，行為信譽度越高，行為信譽度分值越低，行為信譽度越低。設置不同應用的用戶行為信譽度標準，當?shù)陀谠搼玫哪硞€標準，則將限制部分功能。

每個用戶初始的用戶行為信譽度是100，以用戶xiaoyf為例子，經(jīng)過簡單的幾步操作獲取的信息包含【xiaoyf、123456aB、2015年1月1日15:00、2015年10月10日16:30、(用戶登錄|修改密碼|訪問WEB應用系統(tǒng)1|下載越權文件，80)。這些數(shù)據(jù)的來源與用戶行為數(shù)據(jù)庫相關聯(lián)，當根據(jù)用戶數(shù)據(jù)庫檢測的用戶的操作行為是下載越權文件的時候，則對用戶行為第二可信度扣20分。

用戶行為數(shù)據(jù)庫的數(shù)據(jù)格式可以是【用戶ID、時間、行為類型、源IP、目的IP、協(xié)議、源端口、目的端口、開始時間、持續(xù)時間、數(shù)據(jù)包個數(shù)、流量大小】。設置用戶第三可信度分值，并事先設置需要扣分的用戶行為類型、用戶操作行為以及需要扣分的用戶行為類型、用戶 操作行為的扣分值，如果用戶行為是所述需要扣分的用戶行為類型、用戶操作行為時，根據(jù)所述用戶行為類型、用戶操作行為的扣分值對用戶的第三可信度分值進行扣分以確定所述用戶的第三可信度分值。

以用戶xiaoyf為例子，用戶首先通過Radius認證登錄系統(tǒng)，會生成如下的用戶行為記錄：

【xiaoyf、2015年10月20日10:00、用戶登錄、正常登錄、10.0.0.1、200.200.200.200、UDP、65500、1812、10:00、0.5秒、7、1KB】

【xiaoyf、2015年10月20日10:05、賬號操作、修改密碼、10.0.0.1、200.200.200.201、TCP、65500、80、10:03、10秒、20、100KB】

【xiaoyf、2015年10月20日10:05、常規(guī)訪問、訪問WEB應用系統(tǒng)1、10.0.0.1、200.200.200.202、TCP、65500、80、10:05、10秒、20、100KB】

【xiaoyf、2015年10月20日10:05、文件操作、下載越權文件、10.0.0.1、200.200.200.202、TCP、65500、80、10:00、100秒、20、1000MB】

在上述用戶行為記錄中，由于200.200.200.202上并沒有提供FTP等下載服務，這里由于是較長時間進行文件下載，產(chǎn)生較大的流量，對比目標應用數(shù)據(jù)庫中有一條記錄：

【200.200.200.202、1、80、文件操作、下載越權文件、20】

因而xiaoyf用戶的第三可信度扣分20，目前的第三可信度為80。

本發(fā)明實施例的上述網(wǎng)絡訪問控制方法，在防火墻內部新增用戶行為模式分析模塊，該模塊關聯(lián)目標應用數(shù)據(jù)庫、用戶數(shù)據(jù)庫和用戶行為數(shù)據(jù)庫來計算用戶行為可信系數(shù)。用戶行為可信系數(shù)根據(jù)用戶的歷史訪問行為計算，因而是動態(tài)變化的。當可信系數(shù)低于期望時，禁止訪問網(wǎng)絡中敏感或者高度保密的資源，甚至禁止訪問整個業(yè)務系統(tǒng)。

圖3示出本發(fā)明一個實施例的一種網(wǎng)絡訪問控制裝置的結構框圖，如圖3所示，該裝置300包括：接收模塊301，用于接收用戶對應用群 的訪問行為；處理模塊302，用于基于預設的用戶行為可信度數(shù)據(jù)庫確定所述用戶的訪問行為的可信度，其中，所述預設的用戶行為可信度數(shù)據(jù)庫包括目標應用數(shù)據(jù)庫、用戶數(shù)據(jù)庫和用戶行為數(shù)據(jù)庫；控制模塊303，用于根據(jù)所述用戶行為的可信度控制用戶的訪問請求。

在一個實施例中，控制模塊303用于如果用戶的訪問行為的可信度小于設定閾值，則認為所述用戶行為是不合法的，禁止所述用戶的訪問；如果用戶的行為的可信度不小于設定閾值，則認為所述用戶的訪問行為是合法的，允許所述用戶的訪問。

在一個實施例中，該裝置還包括設置模塊304，用于在本地防火墻或AAA服務器設置用戶行為可信度數(shù)據(jù)庫；在接收到用戶的登陸請求后，基于本地防火墻或AAA服務器認證和監(jiān)測所述用戶的訪問行為的可信度。

在一個實施例中，所述目標應用數(shù)據(jù)庫存儲的信息包括訪問的應用特征、應用ID、服務端口、應用行為類型、應用操作行為、扣分值，設置模塊304用于設置用戶第一可信度分值、需要扣分的應用行為類型、應用操作行為，所述扣分值為所述需要扣分應用行為類型、應用操作行為的扣分值，處理模塊302用于如果用戶對應用群的訪問行為是所述需要扣分的應用行為類型、應用操作行為時，根據(jù)所述應用行為類型、應用操作行為的扣分值對用戶的第一可信度分值進行扣分以確定所述用戶的第一可信度分值。

在一個實施例中，所述用戶數(shù)據(jù)庫存儲的信息包括用戶ID、密碼、創(chuàng)建時間、最近登錄時間、歷史行為記錄、第二可信度，設置模塊304用于設置用戶第二可信度分值、需要扣分的歷史行為記錄以及所述需要扣分的歷史行為記錄的扣分值，處理模塊302用于如果用戶的歷史行為記錄是需要扣分的歷史行為記錄時，則根據(jù)所說歷史行為記錄的扣分值實時更新所述用戶的第二可信度分值。

在一個實施例中，所述用戶行為數(shù)據(jù)庫存儲的信息包括用戶ID、時間、用戶行為類型、用戶操作行為、源IP、目的IP、協(xié)議、源端口、目的端口、開始時間、持續(xù)時間、數(shù)據(jù)包個數(shù)、流量大小，設置模 塊304用于設置用戶第三可信度分值、需要扣分的用戶行為類型、用戶操作行為以及所述需要扣分的用戶行為類型、用戶操作行為的扣分值，處理模塊302用于如果用戶行為是所述需要扣分的用戶行為類型、用戶操作行為時，根據(jù)所述用戶行為類型、用戶操作行為的扣分值對用戶的第三可信度分值進行扣分以確定所述用戶的第三可信度分值。

在一個實施例中，所述用戶行為類型包括：用戶登錄、常規(guī)訪問、文件操作、賬號操作、域名查詢、系統(tǒng)更改；所述用戶操作行為包括正常登錄、正常瀏覽訪問、新建文件、文件拷貝、文件上傳、文件刪除、文件傳輸、下載越權文件、域名查詢、添加賬號、刪除賬號、修改賬號、修改啟動項目、重啟系統(tǒng)、關閉系統(tǒng)。

在一個實施例中，處理模塊302用于根據(jù)所述用戶的第一、第二、第三可信度分值綜合確定所述用戶的訪問行為的可信度，控制模塊303根據(jù)綜合得到的所述用戶行為的可信度控制用戶的訪問請求。

圖4示出本發(fā)明的另一個實施例的一種網(wǎng)絡訪問控制裝置的結構框圖。網(wǎng)絡訪問控制裝置400可以是具備計算能力的主機服務器、個人計算機PC、或者可攜帶的便攜式計算機、移動終端或其他終端等。本發(fā)明具體實施例并不對計算節(jié)點的具體實現(xiàn)做限定。

網(wǎng)絡訪問控制裝置400包括處理器(processor)401、通信接口(Communications Interface)402、存儲器(memory)403和總線404。其中，處理器401、通信接口402、以及存儲器403通過總線404完成相互間的通信。

通信接口402用于與網(wǎng)絡設備通信，其中網(wǎng)絡設備包括例如虛擬機管理中心、共享存儲等。

處理器401用于執(zhí)行程序。處理器401可以是一個中央處理器CPU，或者可以是專用集成電路ASIC(Application Specific Integrated Circuit)，或者是被配置成實施本發(fā)明實施例的一個或多個集成電路。

存儲器403用于存放文件。存儲器403可以包含高速RAM存儲器，也可還包括非易失性存儲器(non-volatile memory)，例如至少一個磁盤存儲器。存儲器403也可以是存儲器陣列。存儲器403還可能被分 塊，并且塊可按一定的規(guī)則組合成虛擬卷。

在一種實施方式中，上述程序可為包括計算機操作指令的程序代碼。該程序具體可用于：接收用戶對應用群的訪問行為，基于預設的用戶行為可信度數(shù)據(jù)庫確定所述用戶的訪問行為的可信度，其中，所述預設的用戶行為可信度數(shù)據(jù)庫包括目標應用數(shù)據(jù)庫、用戶數(shù)據(jù)庫和用戶行為數(shù)據(jù)庫；根據(jù)所述用戶行為的可信度控制用戶的訪問請求。

在一個實施例中，根據(jù)所述用戶行為的可信度控制用戶的訪問請求包括：如果用戶的訪問行為的可信度小于設定閾值，則認為所述用戶行為是不合法的，禁止所述用戶的訪問；如果用戶的行為的可信度不小于設定閾值，則認為所述用戶的訪問行為是合法的，允許所述用戶的訪問。

在一個實施例中，所述接收用戶對應用群的訪問行為，基于預設的用戶行為可信度數(shù)據(jù)庫確定所述用戶的訪問行為的可信度之前還包括：在本地防火墻或AAA服務器設置用戶行為可信度數(shù)據(jù)庫；在接收到用戶的登陸請求后，基于本地防火墻或驗證授權計費AAA服務器認證和監(jiān)測所述用戶的訪問行為的可信度。

在一個實施例中，所述目標應用數(shù)據(jù)庫存儲的信息包括訪問的應用特征、應用ID、服務端口、應用行為類型、應用操作行為、扣分值，其中，設置用戶第一可信度分值、需要扣分的應用行為類型、應用操作行為，所述扣分值為所述需要扣分應用行為類型、應用操作行為的扣分值，如果用戶對應用群的訪問行為是所述需要扣分的應用行為類型、應用操作行為時，根據(jù)所述應用行為類型、應用操作行為的扣分值對用戶的第一可信度分值進行扣分以確定所述用戶的第一可信度分值。

在一個實施例中，所述用戶數(shù)據(jù)庫存儲的信息包括用戶ID、密碼、創(chuàng)建時間、最近登錄時間、歷史行為記錄、第二可信度，其中，設置用戶第二可信度分值、需要扣分的歷史行為記錄以及所述需要扣分的歷史行為記錄的扣分值，如果用戶的歷史行為記錄是需要扣分的歷史行為記錄時，則根據(jù)所說歷史行為記錄的扣分值實時更新所述用戶的第二可信度分值。

在一個實施例中，所述用戶行為數(shù)據(jù)庫存儲的信息包括用戶ID、時間、用戶行為類型、用戶操作行為、源IP、目的IP、協(xié)議、源端口、目的端口、開始時間、持續(xù)時間、數(shù)據(jù)包個數(shù)、流量大??；其中，設置用戶第三可信度分值、需要扣分的用戶行為類型、用戶操作行為以及所述需要扣分的用戶行為類型、用戶操作行為的扣分值，如果用戶行為是所述需要扣分的用戶行為類型、用戶操作行為時，根據(jù)所述用戶行為類型、用戶操作行為的扣分值對用戶的第三可信度分值進行扣分以確定所述用戶的第三可信度分值。

在一個實施例中，所述用戶行為類型包括：用戶登錄、常規(guī)訪問、文件操作、賬號操作、域名查詢、系統(tǒng)更改；所述用戶操作行為包括正常登錄、正常瀏覽訪問、新建文件、文件拷貝、文件上傳、文件刪除、文件傳輸、下載越權文件、域名查詢、添加賬號、刪除賬號、修改賬號、修改啟動項目、重啟系統(tǒng)、關閉系統(tǒng)。

在一個實施例中，根據(jù)所述用戶的第一、第二、第三可信度分值綜合確定所述用戶的訪問行為的可信度。

本領域普通技術人員可以意識到，本文所描述的實施例中的各示例性單元及算法步驟，能夠以電子硬件、或者計算機軟件和電子硬件的結合來實現(xiàn)。這些功能究竟以硬件還是軟件形式來實現(xiàn)，取決于技術方案的特定應用和設計約束條件。專業(yè)技術人員可以針對特定的應用選擇不同的方法來實現(xiàn)所描述的功能，但是這種實現(xiàn)不應認為超出本發(fā)明的范圍。

如果以計算機軟件的形式來實現(xiàn)功能并作為獨立的產(chǎn)品銷售或使用時，則在一定程度上可認為本發(fā)明的技術方案的全部或部分(例如對現(xiàn)有技術做出貢獻的部分)是以計算機軟件產(chǎn)品的形式體現(xiàn)的。該計算機軟件產(chǎn)品通常存儲在計算機可讀取的非易失性存儲介質中，包括若干指令用以使得計算機設備(可以是個人計算機、服務器、或者網(wǎng)絡設備等)執(zhí)行本發(fā)明各實施例方法的全部或部分步驟。而前述的存儲介質包括U盤、移動硬盤、只讀存儲器(ROM，Read-Only Memory)、隨機存取存儲器(RAM，Random Access Memory)、磁碟或者光盤等各種 可以存儲程序代碼的介質。

本發(fā)明的描述是為了示例和描述起見而給出的，而并不是無遺漏的或者將本發(fā)明限于所公開的形式。很多修改和變化對于本領域的普通技術人員而言是顯然的。選擇和描述實施例是為了更好說明本發(fā)明的原理和實際應用，并且使本領域的普通技術人員能夠理解本發(fā)明從而設計適于特定用途的帶有各種修改的各種實施例。