CN106850509B - 网络访问控制方法及装置 - Google Patents
网络访问控制方法及装置 Download PDFInfo
- Publication number
- CN106850509B CN106850509B CN201510887520.3A CN201510887520A CN106850509B CN 106850509 B CN106850509 B CN 106850509B CN 201510887520 A CN201510887520 A CN 201510887520A CN 106850509 B CN106850509 B CN 106850509B
- Authority
- CN
- China
- Prior art keywords
- user
- behavior
- credibility
- access
- application
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 32
- 230000006399 behavior Effects 0.000 claims abstract description 384
- 238000012986 modification Methods 0.000 claims description 17
- 230000004048 modification Effects 0.000 claims description 17
- 238000012545 processing Methods 0.000 claims description 16
- 238000012217 deletion Methods 0.000 claims description 15
- 230000037430 deletion Effects 0.000 claims description 15
- 238000013475 authorization Methods 0.000 claims description 7
- 230000005540 biological transmission Effects 0.000 claims description 7
- 230000015572 biosynthetic process Effects 0.000 claims description 2
- 238000003786 synthesis reaction Methods 0.000 claims description 2
- 238000004891 communication Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 238000012544 monitoring process Methods 0.000 description 3
- 230000002155 anti-virotic effect Effects 0.000 description 2
- 230000006378 damage Effects 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000005856 abnormality Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开一种网络访问控制方法及装置,涉及网络与信息安全领域,其中,该方法包括:接收用户对应用群的访问行为,基于预设的用户行为可信度数据库确定所述用户的访问行为的可信度,其中,所述预设的用户行为可信度数据库包括目标应用数据库、用户数据库和用户行为数据库;根据所述用户行为的可信度控制用户的访问请求。本发明提供的方法以及装置,可以提供一种基于用户行为模式分析的网络访问控制方法和防火墙系统,根据用户的历史访问行为,计算用户的行为可信系数从而进行安全控制。
Description
技术领域
本发明涉及网络与信息安全领域,尤其涉及一种网络访问控制方法及装置。
背景技术
现今主流的防火墙设备对网络流量的控制还是基于五元组即源IP、目的IP、源端口、目的端口、网络协议,随着下一代防火墙的发展,防火墙逐渐能对应用层进行检测,对应用程序的访问控制、防病毒等能力都进一步加强,但仍然无法根据用户信息和访问行为进行更细化的控制。由于APT(Advanced Persistent Threat,高级持续性威胁攻击)的危害巨大,当防火墙无法检测出攻击特征时,对用户行为的分析并进行控制就变得更加重要。
因此,有必要提出一种对用户行为的分析并进行控制的方法以解决现有技术中的存在的上述问题。
发明内容
本公开要解决的一个技术问题是如何提供一种网络访问控制方法以解决现有技术中的对网络流量的控制方式单一,对应用程序的访问控制、防病毒能力不强的问题。
本公开提供一种网络访问控制方法,包括:接收用户对应用群的访问行为,基于预设的用户行为可信度数据库确定所述用户的访问行为的可信度,其中,所述预设的用户行为可信度数据库包括目标应用数据库、用户数据库和用户行为数据库;根据所述用户行为的可信度控制用户的访问请求。
进一步地,根据所述用户行为的可信度控制用户的访问请求包括:如果用户的访问行为的可信度小于设定阈值,则认为所述用户行为是不合法的,禁止所述用户的访问;如果用户的行为的可信度不小于设定阈值,则认为所述用户的访问行为是合法的,允许所述用户的访问。
进一步地,所述接收用户对应用群的访问行为,基于预设的用户行为可信度数据库确定所述用户的访问行为的可信度之前还包括:在本地防火墙或AAA服务器设置用户行为可信度数据库;在接收到用户的登陆请求后,基于本地防火墙或验证授权计费AAA服务器认证和监测所述用户的访问行为的可信度。
进一步地,所述目标应用数据库存储的信息包括访问的应用特征、应用ID、服务端口、应用行为类型、应用操作行为、扣分值,其中,设置用户第一可信度分值、需要扣分的应用行为类型、应用操作行为,所述扣分值为所述需要扣分应用行为类型、应用操作行为的扣分值,如果用户对应用群的访问行为是所述需要扣分的应用行为类型、应用操作行为时,根据所述应用行为类型、应用操作行为的扣分值对用户的第一可信度分值进行扣分以确定所述用户的第一可信度分值。
进一步地,所述用户数据库存储的信息包括用户ID、密码、创建时间、最近登录时间、历史行为记录、第二可信度,其中,设置用户第二可信度分值、需要扣分的历史行为记录以及所述需要扣分的历史行为记录的扣分值,如果用户的历史行为记录是需要扣分的历史行为记录时,则根据所说历史行为记录的扣分值实时更新所述用户的第二可信度分值。
进一步地,所述用户行为数据库存储的信息包括用户ID、时间、用户行为类型、用户操作行为、源IP、目的IP、协议、源端口、目的端口、开始时间、持续时间、数据包个数、流量大小;其中,设置用户第三可信度分值、需要扣分的用户行为类型、用户操作行为以及所述需要扣分的用户行为类型、用户操作行为的扣分值,如果用户行为是所述需要扣分的用户行为类型、用户操作行为时,根据所述用户行为类型、用户操作行为的扣分值对用户的第三可信度分值进行扣分以确定所述用户的第三可信度分值。
进一步地,所述用户行为类型包括:用户登录、常规访问、文件操作、账号操作、域名查询、系统更改。
进一步地,所述用户操作行为包括正常登录、正常浏览访问、新建文件、文件拷贝、文件上传、文件删除、文件传输、下载越权文件、域名查询、添加账号、删除账号、修改账号、修改启动项目、重启系统、关闭系统。
进一步地,根据所述用户的第一、第二、第三可信度分值综合确定所述用户的访问行为的可信度,根据综合得到的所述用户行为可信度控制用户的访问请求。
本公开还提供一种网络访问控制装置,包括:接收模块,用于接收用户对应用群的访问行为;处理模块,用于基于预设的用户行为可信度数据库确定所述用户的访问行为的可信度,其中,所述预设的用户行为可信度数据库包括目标应用数据库、用户数据库和用户行为数据库;控制模块,用于根据所述用户行为的可信度控制用户的访问请求。
进一步地,控制模块用于如果用户的访问行为的可信度小于设定阈值,则认为所述用户行为是不合法的,禁止所述用户的访问;如果用户的行为的可信度不小于设定阈值,则认为所述用户的访问行为是合法的,允许所述用户的访问。
进一步地,设置模块用于在本地防火墙或AAA服务器设置用户行为可信度数据库;在接收到用户的登陆请求后,基于本地防火墙或AAA服务器认证和监测所述用户的访问行为的可信度。
进一步地,所述目标应用数据库存储的信息包括访问的应用特征、应用ID、服务端口、应用行为类型、应用操作行为、扣分值,设置模块用于设置用户第一可信度分值、需要扣分的应用行为类型、应用操作行为,所述扣分值为所述需要扣分应用行为类型、应用操作行为的扣分值,处理模块用于如果用户对应用群的访问行为是所述需要扣分的应用行为类型、应用操作行为时,根据所述应用行为类型、应用操作行为的扣分值对用户的第一可信度分值进行扣分以确定所述用户的第一可信度分值。
进一步地,所述用户数据库存储的信息包括用户ID、密码、创建时间、最近登录时间、历史行为记录、第二可信度,设置模块用于设置用户第二可信度分值、需要扣分的历史行为记录以及所述需要扣分的历史行为记录的扣分值,处理模块用于如果用户的历史行为记录是需要扣分的历史行为记录时,则根据所说历史行为记录的扣分值实时更新所述用户的第二可信度分值。
进一步地,所述用户行为数据库存储的信息包括用户ID、时间、用户行为类型、用户操作行为、源IP、目的IP、协议、源端口、目的端口、开始时间、持续时间、数据包个数、流量大小,设置模块用于设置用户第三可信度分值、需要扣分的用户行为类型、用户操作行为以及所述需要扣分的用户行为类型、用户操作行为的扣分值,处理模块用于如果用户行为是所述需要扣分的用户行为类型、用户操作行为时,根据所述用户行为类型、用户操作行为的扣分值对用户的第三可信度分值进行扣分以确定所述用户的第三可信度分值。
进一步地,所述用户行为类型包括:用户登录、常规访问、文件操作、账号操作、域名查询、系统更改。
进一步地,所述用户操作行为包括正常登录、正常浏览访问、新建文件、文件拷贝、文件上传、文件删除、文件传输、下载越权文件、域名查询、添加账号、删除账号、修改账号、修改启动项目、重启系统、关闭系统。
进一步地,处理模块用于根据所述用户的第一、第二、第三可信度分值综合确定所述用户的访问行为的可信度,控制模块根据综合得到的所述用户行为的可信度控制用户的访问请求。
本公开提供的网络访问控制方法以及装置,可以提供一种基于用户行为模式分析的网络访问控制方法和防火墙系统,根据用户的历史访问行为,计算用户的行为可信系数从而进行安全控制。
附图说明
图1示出本发明一个实施例的网络访问控制方法的流程图。
图2示出本发明一个实施例的网络访问控制方法的流程示意图。
图3示出本发明一个实施例的一种网络访问控制装置的结构框图。
图4示出本发明的另一个实施例的一种网络访问控制装置的结构框图。
具体实施方式
下面参照附图对本发明进行更全面的描述,其中说明本发明的示例性实施例。
图1示出本发明一个实施例的网络访问控制方法的流程图。如图1所示,该方法主要包括:
步骤100,接收用户对应用群的访问行为,基于预设的用户行为可信度数据库确定所述用户的访问行为的可信度,其中,所述预设的用户行为可信度数据库包括目标应用数据库、用户数据库和用户行为数据库。
在一个实施例中,所述接收用户对应用群的访问行为后,基于预设的用户行为可信度数据库确定所述用户的访问行为的可信度之前还包括:在本地防火墙或AAA(Authentication、Authorization、Accounting,验证授权计费)服务器设置用户行为可信度数据库;在接收到用户的登陆请求后,基于本地防火墙或验证授权计费AAA服务器认证和监测所述用户的访问行为的可信度。
在一个实施例中,所述目标应用数据库存储的信息包括访问的应用特征、应用ID、服务端口、应用行为类型、应用操作行为、扣分值,其中,设置用户第一可信度分值、需要扣分的应用行为类型、应用操作行为,所述扣分值为所述需要扣分应用行为类型、应用操作行为的扣分值;如果用户对应用群的访问行为是所述需要扣分的应用行为类型、应用操作行为时,根据所述应用行为类型、应用操作行为的扣分值对用户的第一可信度分值进行扣分以确定所述用户的第一可信度分值。
在一个实施例中,所述用户数据库存储的信息包括用户ID、密码、创建时间、最近登录时间、历史行为记录、第二可信度,其中,设置用户第二可信度分值、需要扣分的历史行为记录以及所述需要扣分的历史行为记录的扣分值,如果用户的历史行为记录是需要扣分的历史行为记录时,则根据所说历史行为记录的扣分值实时更新所述用户的第二可信度分值。
在一个实施例中,所述用户行为数据库存储的信息包括用户ID、时间、用户行为类型、用户操作行为、源IP、目的IP、协议、源端口、目的端口、开始时间、持续时间、数据包个数、流量大小;其中,设置用户第三可信度分值、需要扣分的用户行为类型、用户操作行为以及所述需要扣分的用户行为类型、用户操作行为的扣分值,如果用户行为是所述需要扣分的用户行为类型、用户操作行为时,根据所述用户行为类型、用户操作行为的扣分值对用户的第三可信度分值进行扣分以确定所述用户的第三可信度分值。
在一个实施例中,所述用户行为类型包括:用户登录、常规访问、文件操作、账号操作、域名查询、系统更改。例如,用户登录时发现异常登录、常规访问中出现异常、文件操作是有删除系统文件的操作、账户操作时有删除账户的行为、域名查询时短时的进行连续的域名查询、系统更改时更改用户的账户名等。如果行为类型出现如上所述的非法操作,则对用户的第三可信度进行扣分并实时更新用户的可信度分值。
在一个实施例中,所述用户操作行为包括正常登录、正常浏览访问、新建文件、文件拷贝、文件上传、文件删除、文件传输、下载越权文件、域名查询、添加账号、删除账号、修改账号、修改启动项目、重启系统、关闭系统。例如,如果上述用户操作行为出现非法操作,则对用户的第三可信度进行扣分并实时更新用户的可信度分值。
步骤102,根据所述用户行为的可信度控制用户的访问请求。
具体地,根据所述用户行为的可信度控制用户的访问请求包括:如果用户的访问行为的可信度小于设定阈值,则认为所述用户行为是不合法的,禁止所述用户的访问;如果用户的行为的可信度不小于设定阈值,则认为所述用户的访问行为是合法的,允许所述用户的访问。
在一个实施例中,可以根据所述用户的第一、第二、第三可信度分值综合确定所述用户的访问行为的可信度,根据综合得到的所述用户行为的可信度控制用户的访问请求。例如,可以通过加权平均的方式,根据第一、第二、第三可信度分值综合确定所述用户的访问行为的可信度,根据不同的应用、用户给第一、第二、第三可信度分配权重值。
本发明实施例提供的网络访问控制方法,可以应用于需要用户账号登录验证,从而对用户行为进行控制的应用场景。可以提供一种基于用户行为模式分析的网络访问控制方法和防火墙系统,可以根据用户的历史访问行为,计算用户的行为可信系数从而进行安全控制。
图2示出本发明一个实施例的网络访问控制方法的流程示意图。参照图2所示,该方法包括:
步骤201,当用户访问应用群时,输入用户名密码通过防火墙本地认证或AAA服务器认证。
步骤202,根据用户行为可信度数据库中信息对用户的行为进行分析。
步骤203,判断用户行为的可信度是否超过设定阈值,该设定阈值可以是60分(100分制),如果用户通过认证登录后,可信度系数不达标即不到60分,会立刻被迫退出,如果达到设定阈值则确定用户行为可信度满足要求,并允许用户访问。
具体地,用户行为模式分析模块会关联用户行为可信度数据库中的三个数据库,用户行为可信系数的计算可以主要是看用户对应用的访问动作。某些比较危险的行为,如系统关机等系统更改类或删除账号等账号操作类行为即使持续时间短,产生流量小,但由于可能潜在的危害大,扣分值较大;而文件上传下载等文件操作类行为和流量大小持续时间关系密切,计算分值的时候时间应作为相应的影响系数来确定扣分值,例如如果用户在一段时间内持续高速的下载文件,则对该用户的可信度进行扣分。另外,当实时计算出的用户行为可信系数低于最低阈值时,会强行中断用户连接,并在防火墙的内存中清除连接。可信系数处在较低级别中,则会禁止对某些应用的访问权限。
目标应用数据库中包含了当前应用群中各应用程序的数据,其中,数据格式可以为【服务IP、应用ID、服务端口、行为类型、操作行为、扣分值】,扣分值和行为类型密切相关,正常行为扣分值为0,异常行为视危害程度扣分会相应增加,对每种需要扣分的行为类型设定不同的扣分值。
以WEB应用系统为例子,目标应用数据库根据用户的行为生成以下记录:
【200.200.200.202、1、80、常规访问、浏览访问、0】
【200.200.200.202、1、80、文件操作、上传文件、0】
【200.200.200.202、1、80、文件操作、下载文件、0】
【200.200.200.202、1、80、文件操作、下载越权文件、20】
其中,当检测的用户的操作行为是下载越权文件的时候,则对用户行为第一可信度扣20分。
用户数据库的的数据格式可以是【用户ID、密码、创建时间、最近登录时间、历史行为记录、用户行为信誉度】,其中“历史行为记录”是用户所有行为的记录结果,行为信誉度是0-100,该用户行为信誉度即是第二可信度,用来确定用于的当前的信誉情况。行为信誉度分值越高,行为信誉度越高,行为信誉度分值越低,行为信誉度越低。设置不同应用的用户行为信誉度标准,当低于该应用的某个标准,则将限制部分功能。
每个用户初始的用户行为信誉度是100,以用户xiaoyf为例子,经过简单的几步操作获取的信息包含【xiaoyf、123456aB、2015年1月1日15:00、2015年10月10日16:30、(用户登录|修改密码|访问WEB应用系统1|下载越权文件,80)。这些数据的来源与用户行为数据库相关联,当根据用户数据库检测的用户的操作行为是下载越权文件的时候,则对用户行为第二可信度扣20分。
用户行为数据库的数据格式可以是【用户ID、时间、行为类型、源IP、目的IP、协议、源端口、目的端口、开始时间、持续时间、数据包个数、流量大小】。设置用户第三可信度分值,并事先设置需要扣分的用户行为类型、用户操作行为以及需要扣分的用户行为类型、用户操作行为的扣分值,如果用户行为是所述需要扣分的用户行为类型、用户操作行为时,根据所述用户行为类型、用户操作行为的扣分值对用户的第三可信度分值进行扣分以确定所述用户的第三可信度分值。
以用户xiaoyf为例子,用户首先通过Radius认证登录系统,会生成如下的用户行为记录:
【xiaoyf、2015年10月20日10:00、用户登录、正常登录、10.0.0.1、200.200.200.200、UDP、65500、1812、10:00、0.5秒、7、1KB】
【xiaoyf、2015年10月20日10:05、账号操作、修改密码、10.0.0.1、200.200.200.201、TCP、65500、80、10:03、10秒、20、100KB】
【xiaoyf、2015年10月20日10:05、常规访问、访问WEB应用系统1、10.0.0.1、200.200.200.202、TCP、65500、80、10:05、10秒、20、100KB】
【xiaoyf、2015年10月20日10:05、文件操作、下载越权文件、10.0.0.1、200.200.200.202、TCP、65500、80、10:00、100秒、20、1000MB】
在上述用户行为记录中,由于200.200.200.202上并没有提供FTP等下载服务,这里由于是较长时间进行文件下载,产生较大的流量,对比目标应用数据库中有一条记录:
【200.200.200.202、1、80、文件操作、下载越权文件、20】
因而xiaoyf用户的第三可信度扣分20,目前的第三可信度为80。
本发明实施例的上述网络访问控制方法,在防火墙内部新增用户行为模式分析模块,该模块关联目标应用数据库、用户数据库和用户行为数据库来计算用户行为可信系数。用户行为可信系数根据用户的历史访问行为计算,因而是动态变化的。当可信系数低于期望时,禁止访问网络中敏感或者高度保密的资源,甚至禁止访问整个业务系统。
图3示出本发明一个实施例的一种网络访问控制装置的结构框图,如图3所示,该装置300包括:接收模块301,用于接收用户对应用群的访问行为;处理模块302,用于基于预设的用户行为可信度数据库确定所述用户的访问行为的可信度,其中,所述预设的用户行为可信度数据库包括目标应用数据库、用户数据库和用户行为数据库;控制模块303,用于根据所述用户行为的可信度控制用户的访问请求。
在一个实施例中,控制模块303用于如果用户的访问行为的可信度小于设定阈值,则认为所述用户行为是不合法的,禁止所述用户的访问;如果用户的行为的可信度不小于设定阈值,则认为所述用户的访问行为是合法的,允许所述用户的访问。
在一个实施例中,该装置还包括设置模块304,用于在本地防火墙或AAA服务器设置用户行为可信度数据库;在接收到用户的登陆请求后,基于本地防火墙或AAA服务器认证和监测所述用户的访问行为的可信度。
在一个实施例中,所述目标应用数据库存储的信息包括访问的应用特征、应用ID、服务端口、应用行为类型、应用操作行为、扣分值,设置模块304用于设置用户第一可信度分值、需要扣分的应用行为类型、应用操作行为,所述扣分值为所述需要扣分应用行为类型、应用操作行为的扣分值,处理模块302用于如果用户对应用群的访问行为是所述需要扣分的应用行为类型、应用操作行为时,根据所述应用行为类型、应用操作行为的扣分值对用户的第一可信度分值进行扣分以确定所述用户的第一可信度分值。
在一个实施例中,所述用户数据库存储的信息包括用户ID、密码、创建时间、最近登录时间、历史行为记录、第二可信度,设置模块304用于设置用户第二可信度分值、需要扣分的历史行为记录以及所述需要扣分的历史行为记录的扣分值,处理模块302用于如果用户的历史行为记录是需要扣分的历史行为记录时,则根据所说历史行为记录的扣分值实时更新所述用户的第二可信度分值。
在一个实施例中,所述用户行为数据库存储的信息包括用户ID、时间、用户行为类型、用户操作行为、源IP、目的IP、协议、源端口、目的端口、开始时间、持续时间、数据包个数、流量大小,设置模块304用于设置用户第三可信度分值、需要扣分的用户行为类型、用户操作行为以及所述需要扣分的用户行为类型、用户操作行为的扣分值,处理模块302用于如果用户行为是所述需要扣分的用户行为类型、用户操作行为时,根据所述用户行为类型、用户操作行为的扣分值对用户的第三可信度分值进行扣分以确定所述用户的第三可信度分值。
在一个实施例中,所述用户行为类型包括:用户登录、常规访问、文件操作、账号操作、域名查询、系统更改;所述用户操作行为包括正常登录、正常浏览访问、新建文件、文件拷贝、文件上传、文件删除、文件传输、下载越权文件、域名查询、添加账号、删除账号、修改账号、修改启动项目、重启系统、关闭系统。
在一个实施例中,处理模块302用于根据所述用户的第一、第二、第三可信度分值综合确定所述用户的访问行为的可信度,控制模块303根据综合得到的所述用户行为的可信度控制用户的访问请求。
图4示出本发明的另一个实施例的一种网络访问控制装置的结构框图。网络访问控制装置400可以是具备计算能力的主机服务器、个人计算机PC、或者可携带的便携式计算机、移动终端或其他终端等。本发明具体实施例并不对计算节点的具体实现做限定。
网络访问控制装置400包括处理器(processor)401、通信接口(CommunicationsInterface)402、存储器(memory)403和总线404。其中,处理器401、通信接口402、以及存储器403通过总线404完成相互间的通信。
通信接口402用于与网络设备通信,其中网络设备包括例如虚拟机管理中心、共享存储等。
处理器401用于执行程序。处理器401可以是一个中央处理器CPU,或者可以是专用集成电路ASIC(Application Specific Integrated Circuit),或者是被配置成实施本发明实施例的一个或多个集成电路。
存储器403用于存放文件。存储器403可以包含高速RAM存储器,也可还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。存储器403也可以是存储器阵列。存储器403还可能被分块,并且块可按一定的规则组合成虚拟卷。
在一种实施方式中,上述程序可为包括计算机操作指令的程序代码。该程序具体可用于:接收用户对应用群的访问行为,基于预设的用户行为可信度数据库确定所述用户的访问行为的可信度,其中,所述预设的用户行为可信度数据库包括目标应用数据库、用户数据库和用户行为数据库;根据所述用户行为的可信度控制用户的访问请求。
在一个实施例中,根据所述用户行为的可信度控制用户的访问请求包括:如果用户的访问行为的可信度小于设定阈值,则认为所述用户行为是不合法的,禁止所述用户的访问;如果用户的行为的可信度不小于设定阈值,则认为所述用户的访问行为是合法的,允许所述用户的访问。
在一个实施例中,所述接收用户对应用群的访问行为,基于预设的用户行为可信度数据库确定所述用户的访问行为的可信度之前还包括:在本地防火墙或AAA服务器设置用户行为可信度数据库;在接收到用户的登陆请求后,基于本地防火墙或验证授权计费AAA服务器认证和监测所述用户的访问行为的可信度。
在一个实施例中,所述目标应用数据库存储的信息包括访问的应用特征、应用ID、服务端口、应用行为类型、应用操作行为、扣分值,其中,设置用户第一可信度分值、需要扣分的应用行为类型、应用操作行为,所述扣分值为所述需要扣分应用行为类型、应用操作行为的扣分值,如果用户对应用群的访问行为是所述需要扣分的应用行为类型、应用操作行为时,根据所述应用行为类型、应用操作行为的扣分值对用户的第一可信度分值进行扣分以确定所述用户的第一可信度分值。
在一个实施例中,所述用户数据库存储的信息包括用户ID、密码、创建时间、最近登录时间、历史行为记录、第二可信度,其中,设置用户第二可信度分值、需要扣分的历史行为记录以及所述需要扣分的历史行为记录的扣分值,如果用户的历史行为记录是需要扣分的历史行为记录时,则根据所说历史行为记录的扣分值实时更新所述用户的第二可信度分值。
在一个实施例中,所述用户行为数据库存储的信息包括用户ID、时间、用户行为类型、用户操作行为、源IP、目的IP、协议、源端口、目的端口、开始时间、持续时间、数据包个数、流量大小;其中,设置用户第三可信度分值、需要扣分的用户行为类型、用户操作行为以及所述需要扣分的用户行为类型、用户操作行为的扣分值,如果用户行为是所述需要扣分的用户行为类型、用户操作行为时,根据所述用户行为类型、用户操作行为的扣分值对用户的第三可信度分值进行扣分以确定所述用户的第三可信度分值。
在一个实施例中,所述用户行为类型包括:用户登录、常规访问、文件操作、账号操作、域名查询、系统更改;所述用户操作行为包括正常登录、正常浏览访问、新建文件、文件拷贝、文件上传、文件删除、文件传输、下载越权文件、域名查询、添加账号、删除账号、修改账号、修改启动项目、重启系统、关闭系统。
在一个实施例中,根据所述用户的第一、第二、第三可信度分值综合确定所述用户的访问行为的可信度。
本领域普通技术人员可以意识到,本文所描述的实施例中的各示例性单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件形式来实现,取决于技术方案的特定应用和设计约束条件。专业技术人员可以针对特定的应用选择不同的方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
如果以计算机软件的形式来实现功能并作为独立的产品销售或使用时,则在一定程度上可认为本发明的技术方案的全部或部分(例如对现有技术做出贡献的部分)是以计算机软件产品的形式体现的。该计算机软件产品通常存储在计算机可读取的非易失性存储介质中,包括若干指令用以使得计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各实施例方法的全部或部分步骤。而前述的存储介质包括U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
本发明的描述是为了示例和描述起见而给出的,而并不是无遗漏的或者将本发明限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显然的。选择和描述实施例是为了更好说明本发明的原理和实际应用,并且使本领域的普通技术人员能够理解本发明从而设计适于特定用途的带有各种修改的各种实施例。
Claims (12)
1.一种网络访问控制方法,其特征在于,包括:
接收用户对应用群的访问行为,基于预设的用户行为可信度数据库确定所述用户的访问行为的可信度,其中,所述预设的用户行为可信度数据库包括目标应用数据库、用户数据库和用户行为数据库;
根据所述用户行为的可信度控制用户的访问请求;
其中,所述目标应用数据库存储的信息包括访问的应用特征、应用ID、服务端口、应用行为类型、应用操作行为、扣分值;所述用户数据库存储的信息还包括用户ID、密码、创建时间、最近登录时间、历史行为记录、第二可信度;
设置用户第一可信度分值、需要扣分的应用行为类型、应用操作行为,所述扣分值为所述需要扣分应用行为类型、应用操作行为的扣分值;如果用户对应用群的访问行为是所述需要扣分的应用行为类型、应用操作行为时,根据所述应用行为类型、应用操作行为的扣分值对用户的第一可信度分值进行扣分以确定所述用户的第一可信度分值;
设置用户第二可信度分值、需要扣分的历史行为记录以及所述需要扣分的历史行为记录的扣分值;如果用户的历史行为记录是需要扣分的历史行为记录时,则根据所说历史行为记录的扣分值实时更新所述用户的第二可信度分值;
设置用户第三可信度分值、需要扣分的用户行为类型、用户操作行为以及所述需要扣分的用户行为类型、用户操作行为的扣分值;如果用户行为是所述需要扣分的用户行为类型、用户操作行为时,根据所述用户行为类型、用户操作行为的扣分值对用户的第三可信度分值进行扣分以确定所述用户的第三可信度分值;
根据所述用户的第一、第二、第三可信度分值综合确定所述用户的访问行为可信度。
2.根据权利要求1所述的方法,其特征在于,根据所述用户行为的可信度控制用户的访问请求包括:
如果用户的访问行为的可信度小于设定阈值,则禁止所述用户的访问;
如果用户的行为的可信度不小于设定阈值,则允许所述用户的访问。
3.根据权利要求1所述的方法,其特征在于,所述接收用户对应用群的访问行为,基于预设的用户行为可信度数据库确定所述用户的访问行为的可信度之前还包括:
在本地防火墙或验证授权计费AAA服务器设置用户行为可信度数据库;
在接收到用户的登陆请求后,基于本地防火墙或AAA服务器认证和监测所述用户的访问行为的可信度。
4.根据权利要求3所述的方法,其特征在于,所述用户行为数据库存储的信息包括用户ID、时间、用户行为类型、用户操作行为、源IP、目的IP、协议、源端口、目的端口、开始时间、持续时间、数据包个数、流量大小。
5.根据权利要求4中所述的方法,其特征在于,所述用户行为类型包括:用户登录、常规访问、文件操作、账号操作、域名查询、系统更改;
所述用户操作行为包括正常登录、正常浏览访问、新建文件、文件拷贝、文件上传、文件删除、文件传输、下载越权文件、域名查询、添加账号、删除账号、修改账号、修改启动项目、重启系统、关闭系统。
6.根据权利要求1-5中任一所述的方法,其特征在于,
根据综合得到的所述用户访问行为可信度控制用户的访问请求。
7.一种网络访问控制装置,其特征在于,包括:
接收模块,用于接收用户对应用群的访问行为;
处理模块,用于基于预设的用户行为可信度数据库确定所述用户的访问行为的可信度,其中,所述预设的用户行为可信度数据库包括目标应用数据库、用户数据库和用户行为数据库;
控制模块,用于根据所述用户行为的可信度控制用户的访问请求;
其中,所述目标应用数据库存储的信息包括访问的应用特征、应用ID、服务端口、应用行为类型、应用操作行为、扣分值;所述用户数据库存储的信息还包括用户ID、密码、创建时间、最近登录时间、历史行为记录、第二可信度;所述网络访问控制装置还包括:设置模块;
设置模块用于设置用户第一可信度分值、需要扣分的应用行为类型、应用操作行为,所述扣分值为所述需要扣分应用行为类型、应用操作行为的扣分值;处理模块用于如果用户对应用群的访问行为是所述需要扣分的应用行为类型、应用操作行为时,根据所述应用行为类型、应用操作行为的扣分值对用户的第一可信度分值进行扣分以确定所述用户的第一可信度分值;
设置模块用于设置用户第二可信度分值、需要扣分的历史行为记录以及所述需要扣分的历史行为记录的扣分值;处理模块用于如果用户的历史行为记录是需要扣分的历史行为记录时,则根据所说历史行为记录的扣分值实时更新所述用户的第二可信度分值;
设置模块用于设置用户第三可信度分值、需要扣分的用户行为类型、用户操作行为以及所述需要扣分的用户行为类型、用户操作行为的扣分值;处理模块用于如果用户行为是所述需要扣分的用户行为类型、用户操作行为时,根据所述用户行为类型、用户操作行为的扣分值对用户的第三可信度分值进行扣分以确定所述用户的第三可信度分值;
处理模块用于根据所述用户的第一、第二、第三可信度分值综合确定所述用户访问行为的可信度。
8.根据权利要求7所述的装置,其特征在于,
控制模块用于:如果用户的访问行为的可信度小于设定阈值,则禁止所述用户的访问;
如果用户的行为的可信度不小于设定阈值,则允许所述用户的访问。
9.根据权利要求7所述的装置,其特征在于,
设置模块,用于在本地防火墙或验证授权计费AAA服务器设置用户行为可信度数据库;在接收到用户的登陆请求后,基于本地防火墙或AAA服务器认证和监测所述用户的访问行为的可信度。
10.根据权利要求9所述的装置,其特征在于,所述用户行为数据库存储的信息包括用户ID、时间、用户行为类型、用户操作行为、源IP、目的IP、协议、源端口、目的端口、开始时间、持续时间、数据包个数、流量大小。
11.根据权利要求10中所述的装置,其特征在于,所述用户行为类型包括:用户登录、常规访问、文件操作、账号操作、域名查询、系统更改;
所述用户操作行为包括正常登录、正常浏览访问、新建文件、文件拷贝、文件上传、文件删除、文件传输、下载越权文件、域名查询、添加账号、删除账号、修改账号、修改启动项目、重启系统、关闭系统。
12.根据权利要求7-11中任一所述的装置,其特征在于,
控制模块根据综合得到的所述用户访问行为的可信度控制用户的访问请求。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510887520.3A CN106850509B (zh) | 2015-12-07 | 2015-12-07 | 网络访问控制方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510887520.3A CN106850509B (zh) | 2015-12-07 | 2015-12-07 | 网络访问控制方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106850509A CN106850509A (zh) | 2017-06-13 |
| CN106850509B true CN106850509B (zh) | 2020-04-14 |
Family
ID=59150489
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510887520.3A Active CN106850509B (zh) | 2015-12-07 | 2015-12-07 | 网络访问控制方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106850509B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107426196B (zh) * | 2017-06-30 | 2022-06-21 | 全球能源互联网研究院 | 一种识别web入侵的方法及系统 |
| CN107846482B (zh) * | 2017-11-03 | 2021-06-18 | 赛尔网络有限公司 | 域名备案子系统及应用其的域名管理系统 |
| CN108197444A (zh) | 2018-01-23 | 2018-06-22 | 北京百度网讯科技有限公司 | 一种分布式环境下的权限管理方法、装置及服务器 |
| CN109376008A (zh) * | 2018-09-25 | 2019-02-22 | 阿里巴巴集团控股有限公司 | 一种虚拟资源的分配方法和装置 |
| CN112241551A (zh) * | 2020-09-30 | 2021-01-19 | 航天信息股份有限公司 | 一种面向数据库访问的用户行为管控方法及系统 |
| CN114915427B (zh) * | 2022-06-06 | 2023-10-13 | 中国联合网络通信集团有限公司 | 访问控制方法、装置、设备及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102449633A (zh) * | 2009-06-01 | 2012-05-09 | 皇家飞利浦电子股份有限公司 | 访问权限的动态确定 |
| CN104317790A (zh) * | 2014-07-22 | 2015-01-28 | 翔傲信息科技(上海)有限公司 | 一种基于大数据的用户行为的控制方法及系统 |
| CN105022964A (zh) * | 2015-06-01 | 2015-11-04 | 国家计算机网络与信息安全管理中心 | 一种基于行为预测控制的可信网络群体构建方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8898793B2 (en) * | 2011-01-14 | 2014-11-25 | Nokia Corporation | Method and apparatus for adjusting context-based factors for selecting a security policy |
-
2015
- 2015-12-07 CN CN201510887520.3A patent/CN106850509B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102449633A (zh) * | 2009-06-01 | 2012-05-09 | 皇家飞利浦电子股份有限公司 | 访问权限的动态确定 |
| CN104317790A (zh) * | 2014-07-22 | 2015-01-28 | 翔傲信息科技(上海)有限公司 | 一种基于大数据的用户行为的控制方法及系统 |
| CN105022964A (zh) * | 2015-06-01 | 2015-11-04 | 国家计算机网络与信息安全管理中心 | 一种基于行为预测控制的可信网络群体构建方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106850509A (zh) | 2017-06-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106850509B (zh) | 网络访问控制方法及装置 | |
| US11055411B2 (en) | System and method for protection against ransomware attacks | |
| US11343280B2 (en) | System and method for identifying and controlling polymorphic malware | |
| US9846776B1 (en) | System and method for detecting file altering behaviors pertaining to a malicious attack | |
| EP3365828B1 (en) | Methods for data loss prevention from malicious applications and targeted persistent threats | |
| JP5396051B2 (ja) | 承認済みファイルと信頼されたドメインのデータベースを作成及び更新する方法及びシステム | |
| US10878119B2 (en) | Secure and temporary access to sensitive assets by virtual execution instances | |
| US8627476B1 (en) | Altering application behavior based on content provider reputation | |
| KR101558715B1 (ko) | 서버 결합된 멀웨어 방지를 위한 시스템 및 방법 | |
| US20170206349A1 (en) | Alternate files returned for suspicious processes in a compromised computer network | |
| US20150302182A1 (en) | Comparing applications and assessing differences | |
| US7533413B2 (en) | Method and system for processing events | |
| US10142343B2 (en) | Unauthorized access detecting system and unauthorized access detecting method | |
| US20090238474A1 (en) | String searching facility | |
| US20080256634A1 (en) | Target data detection in a streaming environment | |
| CN107463841B (zh) | 检测恶意计算机系统的系统和方法 | |
| US20220188444A1 (en) | Systems and methods for securing virtualized execution instances | |
| US11636219B2 (en) | System, method, and apparatus for enhanced whitelisting | |
| CN114003943A (zh) | 一种用于机房托管管理的安全双控管理平台 | |
| CN109997138A (zh) | 用于检测计算设备上的恶意进程的系统和方法 | |
| CN110619214A (zh) | 一种监控软件正常运行的方法和装置 | |
| TWI617939B (zh) | 攻擊節點偵測裝置、方法及其電腦程式產品 | |
| CN110865774A (zh) | 一种打印设备的信息安全检测方法及装置 | |
| JP7320462B2 (ja) | アクセス権に基づいてコンピューティングデバイス上でタスクを実行するシステムおよび方法 | |
| CN113722703A (zh) | 白名单自适应程序管理方法、系统、终端及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| EE01 | Entry into force of recordation of patent licensing contract |
Application publication date: 20170613 Assignee: Tianyiyun Technology Co.,Ltd. Assignor: CHINA TELECOM Corp.,Ltd. Contract record no.: X2024110000020 Denomination of invention: Network access control methods and devices Granted publication date: 20200414 License type: Common License Record date: 20240315 |
|
| EE01 | Entry into force of recordation of patent licensing contract |