随着园区网规模的扩大和网络应用的普及,网络安全、性能等问题日益增多,为网络管理工作带来很大压力。因此,包括拓扑管理、故障管理、配置管理、流量管理、性能管理、安全管理以及计费管理等各项功能的各种网络管理软件相继出现并不断增强和完善。这些功能大都是基于SNMP等协议和设备MIB信息库实现的,可支持网络管理员实施网络性能监测、网络故障判断、网络配置调整和安全威胁发现等网络管理工作。然而当前园区网中的性能、安全等问题多起源于终端用户主机,只针对网络设备的管理方式还不具备从源头上解决流量限制及终端安全防御等方面的功能。因此,研究识别园区网终端用户上网行为分析其对网络性能和安全的影响,并加以上网行为评估和控制的技术,可进一步完善网络管理软件功能,增强园区网安全性,提高网络性能,保证园区网正常业务开展,具有较高的实际意义。近两年,关于网络用户行为管理技术的研究发展较快,各大网络管理软件产品厂商纷纷推出用户行为管理软件。其中,基于主机完整性检测技术以及基于网络流量分析技术的用户行为管理软件已经基本成熟并用于商业用途。基于主机完整性检测的用户行为管理,通过检查主机进程、注册表、已安装软件、安全防御软件及输入输出接口的安全状况,以避免用户终端遭受病毒、木马攻击导致给园区网带来安全威胁。但是这种基于识别主机完整性信息的网络用户行为管理技术,不能识别出具有避绕主机完整性检查的攻击行为。基于网络流量分析技术的用户行为管理软件,通过检查网络中的数据流,发现安全威胁,确定性能状态,这种方法在已经发生安全威胁或者性能下降之后才能定位网络异常,可能错过解决问题的最佳时机。针对以上问题,本文通过在用户终端主机中截断网卡驱动与传输协议驱动之间的数据传递,捕获用户主机发送的所有数据包,利用TCP/IP协议规范性分析方法分析每个数据包,识别出用户访问位置、访问方式和访问目的三个方面的行为,并依据用户信誉度模型,对照用户信誉等级与行为规则,评估用户行为的合法性,进而在数据包发送之前,根据行为的合法性,判断数据包的发送或丢弃情况,以控制用户行为。用户行为管理功能将建立在现有网络管理系统的基础之上,采用C/S架构实现。服务器负责维护用户身份信息和信誉度信息,认证用户身份并授权用户访问,配置和下发用户规则。客户端负责收集用户身份信息和主机状态信息向服务器端发起认证,接收并维护服务器授权信息及规则信息,采集、分析、评估和控制用户行为并控制信誉度变更。