基于行为策略的内网安全防护方法、系统及介质与流程

1.本发明涉及内网安全防护技术领域，具体的说，涉及了一种基于行为策略的内网安全防护方法、系统及介质。


背景技术：

2.随着网络的快速发展与应用，越来越多场景开始采用网络进行通信。内网安全问题也受到人们的日益重视。传统的方法往往通过增加终端安全性的方法，来确保内网安全，例如，通过在终端设备上部署杀毒软件、防火墙等方法，此种方法对于已知的威胁往往起到较好的防护，对于未知威胁往往无法进行有效防护。
3.将拟态界内的服务功能建立在dhr架构基础上并导入拟态伪装策略，使拟态界内运行环境与服务功能的映射关系多元化、多样化，造成漏洞后门及防御场景等认知的防御迷雾，从而提高设备对外服务功能的安全性。
4.虽然基于拟态原理构造网络设备对自身起到了较好的防护，但拟态防御功能只对拟态界内的服务功能进行了保护，脱离拟态界的功能是无法保证安全性的，同时受限于技术以及成本，很难将拟态界的范围扩展至无限大，因此，如何对异构执行体服务功能之外的暗功能或者其它功能进行防护，如何解决内网设备对于未知威胁的安全防护问题，对于提高内网设备的安全性具有非常重要的意义。
5.为了解决以上存在的问题，人们一直在寻求一种理想的技术解决方案。


技术实现要素：

6.本发明的目的是针对现有技术的不足，从而提供一种基于行为策略的内网安全防护方法、系统及介质。
7.为了实现上述目的，本发明所采用的技术方案是：本发明第一方面提供一种基于行为策略的内网安全防护方法，它包括以下步骤：建立内网主机对应的mac地址表hostlist（m1、m2、
……
、mn），其中，m1至mn表示n个与内网主机对应的mac地址；判断内网中是否存在第一类异常行为，若内网中存在第一类异常行为，则建立异常标识ⅰ与相关内网主机的mac地址之间的关联关系；判断内网中是否存在第二类异常行为，若内网中存在第二类异常行为，则建立异常标识ⅱ与相关内网主机的mac地址之间的关联关系；确定是否接收到新流量packets，响应于接收到的新流量packets，提取新流量packets中的目的mac地址，将该目的mac地址与内网主机对应的mac地址表hostlist进行比对；若所述mac地址表hostlist中存在所述目的mac地址，则判定新流量packets为内网报文，并判断新流量packets是否为基于连接协议的流量packets；若新流量packets不是基于连接协议的流量packets，则判断新流量packets中的
目的mac地址是否与异常标识ⅰ或者异常标识ⅱ关联，以及新流量packets中的源mac地址是否与异常标识ⅰ或者异常标识ⅱ关联；若均不关联，则生成第一流量控制策略；否则，生成第二流量控制策略。
8.本发明第二方面提供一种基于行为策略的内网安全防护系统，它包括策略学习器、与所述策略学习器通信连接的策略数据库、与所述策略数据库通信连接的第一策略裁决器、与所述策略数据库通信连接的第二策略裁决器以及分别与所述第一策略裁决器和所述第二策略裁决器通信连接的流量控制策略管理单元，所述流量控制策略管理单元包括第一判断模块、第二判断模块、第三判断模块和策略生成模块；所述策略学习器，用于建立内网主机对应的mac地址表hostlist（m1、m2、
……
、mn），其中，m1至mn表示n个与内网主机对应的mac地址，以及用于建立及更新每个内网主机的数据流量记录表hostdata，以及用于建立及更新每个内网主机的行为记录表action；所述策略数据库，用于构建内网主机标识、对应mac地址以及数据流量记录表hostdata之间的关联关系，生成并存储用户策略表list；以及用于构建内网主机标识、对应mac地址以及行为记录表action之间的关联关系，并存储行为记录表action；所述第一策略裁决器，用于判断内网中是否存在第一类异常行为，若内网中存在第一类异常行为，则建立异常标识ⅰ与相关内网主机的mac地址之间的关联关系；所述第二策略裁决器，用于判断内网中是否存在第二类异常行为，若内网中存在第二类异常行为，则建立异常标识ⅱ与相关内网主机的mac地址之间的关联关系；所述第一判断模块，用于在接收到的新流量packets时，判断新流量packets是否为内网报文；所述第二判断模块，用于在确定新流量packets为内网报文后，判断新流量packets是否为基于连接协议的流量packets；所述第三判断模块，用于在确定新流量packets不是基于连接协议的流量packets后，判断新流量packets中的目的mac地址是否与异常标识ⅰ或者异常标识ⅱ关联，以及新流量packets中的源mac地址是否与异常标识ⅰ或者异常标识ⅱ关联；所述策略生成模块，用于在新流量packets中的目的mac地址不与异常标识ⅰ及异常标识ⅱ关联，且新流量packets中的源mac地址不与异常标识ⅰ或者异常标识ⅱ关联时，生成第一流量控制策略；以及用于在新流量packets中的目的mac地址与异常标识ⅰ或者异常标识ⅱ关联，或者新流量packets中的源mac地址与异常标识ⅰ或者异常标识ⅱ关联时，生成第二流量控制策略。
9.本发明第三方面提供一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如上述基于行为策略的内网安全防护方法的步骤。
10.本发明相对现有技术具有突出的实质性特点和显著的进步，具体的说：1）本发明通过在传统数据交换的基础上引入策略学习器，生成用户策略表、数据流量记录表及行为记录表，策略判决器在相对正确公理的指导下，对用户的流量行为进行判决，并根据异常流量信息生成流量控制策略下发至数据交换单元，以此阻断内网中的未知威胁；
2）本发明实时监测内网中是否存在第一类异常行为及第二类异常行为，通过建立异常标识ⅰ、异常标识ⅱ与相关内网主机的mac地址之间的关联关系，对内网主机的mac地址进行异常标记，并在接收到新流量packets后，判断新流量packets的发送方mac地址及接收方mac地址是否被标记为异常状态，从而避免异常流量在内网中传播，同时确定流量转发速度；3）本发明对基于连接协议的流量packets，还判别新流量packets中的目的mac地址和源mac地址是否与交互异常标识关联，通过建立交互异常标识与相关内网主机的mac地址之间的关联关系，对发生异常交互行为的双方mac地址进行异常标记；在接收到新流量packets后，确保新流量packets的发送方及接收方之间未发生异常交互行为，从而确定基于连接协议的流量在内网中安全可靠地转发；4）本发明还对每个内网主机对应的辅助因子进行相似度裁决，根据判决结果识别内网中是否存在第三类异常行为，以此来判断异构执行体是否（内网主机）受到来自拟态界之外暗功能的威胁或者攻击；因此，本发明能够对异构执行体（内网主机）服务功能之外的暗功能或者其它功能进行防护，从而提高整个内网设备对外部威胁的深度感知能力，在一定程度上解决了内网主机无法感知拟态界之外暗功能威胁的问题。
附图说明
11.图1是本发明的基于行为策略的内网安全防护系统的结构示意图；图2是本发明的基于行为策略的内网安全防护方法的流程图；图3是本发明的识别交互异常行为流程图；图4是本发明的第一类异常行为识别流程图；图5是本发明的第二类异常行为识别流程图。
具体实施方式
12.下面通过具体实施方式，对本发明的技术方案做进一步的详细描述。
13.实施例1图2示出了一种基于行为策略的内网安全防护方法的流程图，所述基于行为策略的内网安全防护方法包括以下步骤：建立内网主机对应的mac地址表hostlist（m1、m2、
……
、mn），其中，m1至mn表示n个与内网主机对应的mac地址；判断内网中是否存在第一类异常行为，若内网中存在第一类异常行为，则建立异常标识ⅰ与相关内网主机的mac地址之间的关联关系；判断内网中是否存在第二类异常行为，若内网中存在第二类异常行为，则建立异常标识ⅱ与相关内网主机的mac地址之间的关联关系；确定是否接收到新流量packets，响应于接收到的新流量packets，提取新流量packets中的目的mac地址，将该目的mac地址与内网主机对应的mac地址表hostlist进行比对；若所述mac地址表hostlist中不存在所述目的mac地址，判定新流量packets非内
网报文，不进行处理；若所述mac地址表hostlist中存在所述目的mac地址，则判定新流量packets为内网报文，并判断新流量packets是否为基于连接协议的流量packets；若新流量packets不是基于连接协议的流量packets，则判断新流量packets中的目的mac地址是否与异常标识ⅰ或者异常标识ⅱ关联，以及新流量packets中的源mac地址是否与异常标识ⅰ或者异常标识ⅱ关联；若均不关联，则生成第一流量控制策略，以转发新流量packets；否则，生成第二流量控制策略，以丢弃新流量packets。
14.需要说明的是，本发明实时监测内网中是否存在第一类异常行为及第二类异常行为，通过建立异常标识ⅰ、异常标识ⅱ与相关内网主机的mac地址之间的关联关系，对内网主机的mac地址进行异常标记，并不断更新异常标识ⅰ、异常标识ⅱ与相关内网主机的mac地址之间的关联关系；在接收到新流量packets后，通过查找发送方mac地址及接收方mac地址是否与异常标识ⅰ和异常标识ⅱ关联，能够快速甄别新流量packets是否为异常流量，及时丢弃异常流量，从而避免异常流量在内网中传播，以阻断内网中的未知威胁。
15.由于针对无连接协议（例如，udp协议）的流量packets，无法进行交互行为异常判别，采用上述基于行为策略的内网安全防护方法即可；但是，内网中的流量除了无连接协议的流量packets还存在基于连接协议（例如，tcp协议）的流量packets，为了提高所述基于行为策略的内网安全防护方法的灵活性；在上述基于行为策略的内网安全防护方法的基础上，还设置以下步骤：若新流量packets为基于连接协议的流量packets，则判别新流量packets中的目的mac地址和源mac地址是否与交互异常标识关联；若新流量packets中的目的mac地址和源mac地址与交互异常标识均不关联，新流量packets中的目的mac地址与异常标识ⅰ和异常标识ⅱ均不关联，且新流量packets中的源mac地址与异常标识ⅰ和异常标识ⅱ均不关联，则判定新流量packets为正常流量，生成第一流量控制策略，以转发新流量packets；否则，判定新流量packets为异常流量，生成第二流量控制策略，以丢弃新流量packets。
16.本实施例给出了一种识别交互异常行为的具体实施方式，如附图3所示，判别内网主机之间的交互是否合法时，执行：按源mac地址进行分类，建立及更新每个内网主机对应的交互行为记录表f，构建内网主机标识、对应mac地址以及交互行为记录表f之间的关联关系；其中，交互行为记录表fi=（smac，dmac，fftype，fspeed，fpackets，t），1≤i≤n；其中，smac表示源mac地址，dmac表示目的mac地址，fftype表示报文类型，fspeed表示报文传输速率，fpackets表示报文总数目，t表示流量交互时间；基于交互行为记录表f，计算与报文传输速率fspeed关联的第一参数值k1，以及与报文总数目fpackets关联的第二参数值k2；若所述第一参数值k1和所述第二参数值k2均在预设范围内，则判定内网主机之间交互合法；否则，判定内网主机之间交互不合法，存在第三类异常行为，并建立交互异常标识与相关内网主机的mac地址之间的关联关系。
17.可以理解，内网主机之间的流量交互关系sxy=（fx，fy），fx表示第x个交互行为记
录表，fy表示第y个交互行为记录表；通过分析fx，fy是否存在以（fspeed，fpackets）为基础参数的正相关值k1，k2，计算公式为：k1=fx.fspeed/fy.fspeed，k2=fx.fpackets/fy.fpackets；若k1，k2的取值范围在[0.5-1.5]之间（正常情况下，流量的交互都是对等交互，k1、k2的理想值为1，考虑到有些协议在交互过程中会存在单向行为，按照50%的误差进行），则认为交互关系s为合法交互。
[0018]
需要说明的是，网络中报文的大小是不定的，报文长度有64、128、256、512byte等字节长度，在报文传输速率fspeed一定的情况下，由于报文长度可能是动态变化的，因此，报文总数目fpackets在单位时间内可能是不相同的；进而，fx.fpackets（第x个交互行为记录表中的fpackets）与fy.fpackets（第y个交互行为记录表中的fpackets）的值有可能是不相等的，同时fx.fspeed（第x个交互行为记录表中的fspeed）与fy.fspeed（第y个交互行为记录表中的fspeed）的值也有可能是不相等的。
[0019]
在一种具体实施方式中，内网主机pc1与内网主机pc2之间有tcp流量交互，内网主机pc1与内网主机pc2之间的流量交互关系s12=（f1，f2），f1、f2中的报文类型fftype为tcp报文，f1中fspeed为1mbps，fpackets为60000，f2中fspeed为1.01mbps，fpackets为60200，经过计算k1=0.99，k2=0.99，均在预设范围内，则可以判定pc1、pc2之间的交互为合法交互。
[0020]
具体的，所述第二流量控制策略为阻断携带某个端口号的流量packets通过、阻断基于某种协议的流量packets通过、阻断携带某个ip地址的流量packets通过或者阻断携带mac地址的流量packets通过。
[0021]
实施例2需要说明的是，smac、sip、sport、dmac、dip、dport、ftype、length异常，对应第一类异常行为，通过异常标识ⅰ进行标记。
[0022]
本实施例给出了一种识别第一类异常行为的具体实施方式，如附图4所示，确定内网中是否存在第一类异常行为时，执行：读取数据交换单元传递的每个流量packets，建立及更新每个内网主机的数据流量记录表hostdata ，以学习每个内网主机的流量行为；第i 个内网主机的数据流量记录表hostdata_i（smac、sip、sport、dmac、dip、dport、ftype、length），smac表示源mac地址，sip表示源ip地址，sport表示源端口号，dmac表示目的mac地址，dip表示目的ip地址，dport表示目的端口号，ftype表示报文类型，length表示报文长度；构建内网主机标识、对应mac地址以及数据流量记录表hostdata之间的关联关系，生成用户策略表listi（hostdata1、hostdata2、
……
、hostdatam），1≤i≤n；根据第一预设关键字段，从与内网主机标识关联的数据流量记录表hostdata中读取第一目标字段；其中，所述第一预设关键字段为smac、sip、sport、dmac、dip、dport、ftype或者length中的一个或者多个；对同一时间区间内，不同内网主机标识对应的第一目标字段进行择多判决，根据判决结果识别内网中是否存在第一类异常行为：若某个内网主机标识对应的第一目标字段与其他内网主机标识对应的第一目标字段均不相同，则判断该内网主机中存在第一类异常行为，其他内网主机中不存在第一类异常行为。
[0023]
需要说明的是，为了进一步提高安全可靠性，也可以对同一时间区间内，同一内网
主机标识对应的第一目标字段进行择多判决。
[0024]
可以理解，内网中的1个内网主机会和其它多个内网主机进行通信，因此一个源mac地址会对应多个hostdata，hostdata中包含有目的mac地址（其它pc机的mac地址），每个hostlist中的元素对应多条hostdata。
[0025]
具体的，所述第一预设关键字段为dport字段，因为网络中的攻击往往会通过端口进行攻击。在实际应用中，也可以选择其它字段，例如协议类型进行比较判别。
[0026]
在一种具体实施方式中，内网设置内网主机pc1、内网主机pc2和内网主机pc3，pc1对应的用户策略表list1（host1data1、host1data2、host1data3、
……
），pc2对应的用户策略表list2（host2data1、host2data2、host2data3、
……
），pc3对应的用户策略表list3（host3data1、host3data2、host3data3、
……
）。所述第一预设关键字段为dport字段，采取“查找法择多判决
”ꢀ
的判决策略，从host1data1中取出dport字段，在list2、list3中进行查找，是否有出现同样的dport，若list2、list3均不存在此字段，则判定host1data1为异常行为，说明内网中启动了非法端口号。
[0027]
假设内网所有主机中telnet端口号（23端口）默认都是关闭的，若在流量中突然出现了包含23端口的响应报文，则证明黑客或者内鬼开启了23端口，对内网主机进行远程控制；此时，认为23端口时非法端口号。
[0028]
实施例3需要说明的是，二层通信协议、三层通信协议、应用层通信协议、网络流量速率或者网络数据总量异常，对应第二类异常行为，通过异常标识ⅱ进行标记。
[0029]
本实施例给出了一种识别第二类异常行为的具体实施方式，如附图5所示，确定内网中是否存在第二类异常行为时，执行：根据预设时间区间和对应的数据流量记录表hostdata，建立及更新每个内网主机对应的行为记录表action（x1、x2、
……
、x6），其中，x1表示二层通信协议，x2表示三层通信协议，x3表示应用层通信协议，x4表示网络流量速率，x5表示网络数据总量，x6表示时间区间；建立内网主机标识、对应mac地址以及行为记录表action之间的关联关系；根据第二预设关键字段，从所述行为记录表action中选取第二目标字段；其中，所述第二预设关键字段为x1至x6中的一个或者多个；对同一时间区间内不同内网主机标识对应的第二目标字段进行择多判决，根据判决结果来识别内网中是否存在第二类异常行为：若某个内网主机标识对应的第二目标字段与其他内网主机标识对应的第二目标字段均不相同，则判断该内网主机中存在第二类异常行为，其他内网主机中不存在第二类异常行为。
[0030]
需要说明的是，网络数据总量x5与交互行为记录表f中的报文总数目fpackets不同，网络数据总量x
5 是针对每个用户行为，假如这个用户行为指的是用户进行ftp(file transfer protocal)文件下载，则ftp文件下载整个过程涉及二层报文的交换、三层路由的交互等，此种交互是一系列协议交互构成了用户行为；而fx的交互指的是只针对某个协议的交互，例如tcp协议或者arp协议是单一的流量行为交换。因此，网络数据总量x5与报文总数目应fpackets是不相等的。
[0031]
在一种具体实施方式中，内网设置内网主机pc1、内网主机pc2和内网主机pc3，根据list1分析出pc1对应的行为记录表action1（arp，0，0，0，10，1000，t1-t2），根据list2分
析出pc2对应的行为记录表action2（arp，0，0，0，1，100，t1-t2），根据list3分析出pc3对应的行为记录表action3（arp，0，0，0，1，100，t1-t2）；采取“查找法择多判决”的判决策略，此时可以判断出内网主机pc1在t1-t2时间段内，arp网络数据总量（报文的数量）与其它内网主机存在差异，因此确定在此时间段内内网主机pc1的行为异常。
[0032]
实施例4本实施与上述实施例的区别在于：所述基于行为策略的内网安全防护方法还包括以下步骤：判断每个内网主机是否存在第三类异常行为：记录每个内网主机对应的辅助因子，并进行相似度裁决，根据相似度裁决结果识别内网主机是否存在第三类异常行为；若确定某个内网主机存在第三类异常行为，则建立异常标识ⅲ与该内网主机的mac地址之间的关联关系；且在输出第一流量控制策略之前，还确定新流量packets中的目的mac地址和源mac地址是否与异常标识ⅲ关联，若关联，则由第二流量控制策略替换第一流量控制策略。
[0033]
需要说明的是，第三类异常行为的判别为内网主机的自我判别，相当于自我审查；第三类异常行为的判别程序可以安装在内网主机上，由内网主机运行并将异常标识ⅲ上传，建立异常标识ⅲ与该内网主机的mac地址之间的关联关系；从而在进行新流量转发时，还考虑内网主机的自我判别结果，从而进一步提高内网设备的安全性。
[0034]
可以理解，第三类异常行为的判别程序也可以安装在其他设备上，每个内网主机对应的辅助因子均上传该设备，并由该设备进行相似度裁决，根据相似度裁决结果识别内网主机是否存在第三类异常行为。
[0035]
具体的，设置数据捕获器，数据捕获器主要用来采集内网主机对应的辅助因子（多维空间元素），包括并不限定于：系统状态（cpu负载情况、内存使用情况、进程使用情况、硬盘使用情况、操作系统日志信息等）、流量状态（每个网卡的流量速率、业务报文数目、非业务报文数目、特定端口报文数目等）、裁决数据（异构执行体发送至裁决器的数据数目，可以按照业务类型不同进行分开统计）、物理状态（异构执行体运行硬件平台的物理状态，例如温度状态、风扇状态、外围设备接口状态）。
[0036]
需要说明的是，若内网主机是拟态设备，本实施例通过判决异构执行体拟态界功能之外的多维元素，以此来判断异构执行体是否受到来自拟态界之外暗功能的威胁或者攻击，从而提高整个拟态构造设备对外部威胁的深度感知能力。
[0037]
由于异构执行体相异性，多维空间元素（辅助因子）出现不一致的概率较大，很难通过一致性裁决或者择多裁决方法判别异构执行体是否受到威胁，此时的辅助裁决器使用相似度裁决的方法进行判别。
[0038]
例如，cpu使用率，异构执行体1cpu的使用率为10%，异构执行体2cpu的使用率为15%、异构执行体3cpu的使用率为12%，通过两两比较，三个异构执行体cpu的使用率差值不超过6%，即可认为cpu未受到威胁，不存在第三类异常行为。
[0039]
实施例5在上述基于行为策略的内网安全防护方法的基础上，本实施例给出了一种基于行为策略的内网安全防护系统的具体实施方式，如附图1所示：所述内网安全防护系统包括n个内网主机、分别与所述内网主机通信连接的数据
交换单元、与所述数据交换单元通信连接的策略学习器、与所述策略学习器通信连接的策略数据库、与所述策略数据库通信连接的第一策略裁决器、与所述策略数据库通信连接的第二策略裁决器以及分别与所述第一策略裁决器、所述第二策略裁决器和所述数据交换单元通信连接的流量控制策略管理单元，所述流量控制策略管理单元包括第一判断模块、第二判断模块、第三判断模块和策略生成模块；所述内网主机，用于通过所述数据交换单元接收流量packets或者通过所述数据交换单元向其他内网主机发送流量packets；所述策略学习器，用于建立内网主机对应的mac地址表hostlist（m1、m2、
……
、mn），其中，m1至mn表示n个与内网主机对应的mac地址，以及用于建立及更新每个内网主机的数据流量记录表hostdata，以及用于建立及更新每个内网主机的行为记录表action；所述策略数据库，用于构建内网主机标识、对应mac地址以及数据流量记录表hostdata之间的关联关系，生成并存储用户策略表list；以及用于构建内网主机标识、对应mac地址以及行为记录表action之间的关联关系，并存储行为记录表action；所述第一策略裁决器，用于判断内网中是否存在第一类异常行为，若内网中存在第一类异常行为，则建立异常标识ⅰ与相关内网主机的mac地址之间的关联关系；所述第二策略裁决器，用于判断内网中是否存在第二类异常行为，若内网中存在第二类异常行为，则建立异常标识ⅱ与相关内网主机的mac地址之间的关联关系；所述第一判断模块，用于在接收到的新流量packets时，判断新流量packets是否为内网报文；所述第二判断模块，用于在确定新流量packets为内网报文后，判断新流量packets是否为基于连接协议的流量packets；所述第三判断模块，用于在确定新流量packets不是基于连接协议的流量packets后，判断新流量packets中的目的mac地址是否与异常标识ⅰ或者异常标识ⅱ关联，以及新流量packets中的源mac地址是否与异常标识ⅰ或者异常标识ⅱ关联；所述策略生成模块，用于在新流量packets中的目的mac地址不与异常标识ⅰ及异常标识ⅱ关联，且新流量packets中的源mac地址不与异常标识ⅰ或者异常标识ⅱ关联时，生成第一流量控制策略；以及用于在新流量packets中的目的mac地址与异常标识ⅰ或者异常标识ⅱ关联，或者新流量packets中的源mac地址与异常标识ⅰ或者异常标识ⅱ关联时，生成第二流量控制策略。
[0040]
具体的，所述数据交换单元在接收到第二流量控制策略后，阻断新流量的转发，从而防止异常行为再次发生。
[0041]
进一步的，所述策略学习器，还用于建立及更新每个内网主机对应的交互行为记录表f，其中，交互行为记录表fi=（smac，dmac，fftype，fspeed，fpackets，t），1≤i≤n；smac表示源mac地址，dmac表示目的mac地址，fftype表示报文类型标识，fspeed表示报文传输速率，fpackets表示报文总数目，t表示流量交互时间；所述策略数据库，还用于构建内网主机标识、对应mac地址以及交互行为记录表f之间的关联关系，并存储交互行为记录表f；所述策略数据库还与第三策略裁决器通信连接，所述第三策略裁决器用于判别内网主机之间的交互是否合法，并在内网主机之间交互行为不合法时，建立交互异常标识与
相关内网主机的mac地址之间的关联关系。
[0042]
进一步的，所述流量控制策略管理单元还包括第四判断单元，所述第四判断单元用于在确定新流量packets为基于连接协议的流量packets后，判别新流量packets中的目的mac地址和源mac地址是否与交互异常标识关联；所述策略生成模块，还用于在新流量packets中的目的mac地址和源mac地址与交互异常标识均不关联，且新流量packets中的目的mac地址及源mac地址与异常标识ⅰ和异常标识ⅱ均不关联时，生成第一流量控制策略，否则，生成第二流量控制策略。
[0043]
实施例6本实施例给出了一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现如上述基于行为策略的内网安全防护方法的步骤。
[0044]
在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述或记载的部分，可以参见其它实施例的相关描述。
[0045]
本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的模块及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本技术的范围。
[0046]
在本技术所提供的实施例中，应该理解到，所揭露的系统，可以通过其它的方式实现。例如，以上所描述的系统实施例仅仅是示意性的，例如，上述模块的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。
[0047]
另外，在本技术各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。
[0048]
上述集成的模块如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本技术实现上述实施例方法中的全部或部分流程，也可以通过计算机程序来指令相关的硬件来完成，上述的计算机程序可存储于计算机可读存储介质中，该计算机程序在被处理器执行时，可实现上述各个方法实施例的步骤。其中，上述计算机程序包括计算机程序代码，上述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。
[0049]
最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制；尽管参照较佳实施例对本发明进行了详细的说明，所属领域的普通技术人员应当理解：依然可以对本发明的具体实施方式进行修改或者对部分技术特征进行等同替换；而不脱离本发明技术方案的精神，其均应涵盖在本发明请求保护的技术方案范围当中。