CN109246064A - 安全访问控制、网络访问规则的生成方法、装置及设备 - Google Patents
安全访问控制、网络访问规则的生成方法、装置及设备 Download PDFInfo
- Publication number
- CN109246064A CN109246064A CN201710560386.5A CN201710560386A CN109246064A CN 109246064 A CN109246064 A CN 109246064A CN 201710560386 A CN201710560386 A CN 201710560386A CN 109246064 A CN109246064 A CN 109246064A
- Authority
- CN
- China
- Prior art keywords
- access request
- log
- networkaccess rules
- request log
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Abstract
本申请实施例公开了一种安全访问控制、网络访问规则的生成方法、装置及设备,该安全访问控制方法包括:当网络访问规则的更新条件满足时,获取当前允许进行网络访问的访问请求对应的目标访问请求日志;基于所述目标访问请求日志生成网络访问规则,根据生成的网络访问规则更新当前的网络访问规则;基于更新后的所述网络访问规则,对接收到网络访问请求进行安全访问控制。利用本申请实施例,可以通过生成的用于判定能够进行网络访问的网络访问规则(即白名单)对访问请求进行是否响应的检测与判定,使得只有满足该网络访问规则的访问请求才可以被响应,从而避免新的漏洞或新的网络攻击形态造成的漏报,提高网络访问的安全性。
Description
技术领域
本申请涉及计算机技术领域,尤其涉及一种安全访问控制、网络访问规则的生成方法、装置及设备。
背景技术
随着Web应用的日益普遍,对Web应用的网络攻击也越来越多,如XSS(Cross SiteScripting,跨站脚本攻击)、SQL(Structured Query Language,结构化查询语言)注入等,同时Web应用的系统及依赖的基础应用程序,出现的漏洞也是层出不穷。
WAF(Web Application Firewall)是抵御对Web应用的网络攻击的重要工具。WAF处于用户与应用的后台服务器之间,对网络访问请求进行实时安全检测,阻断各种网络攻击请求。目前WAF主要基于规则进行防御,即由安全运营人员根据已知的安全漏洞、攻击案例,并结合自己的安全经验,从中抽象出特征数据,形成用于检测网络攻击的规则(即黑名单),最后配置到WAF,实现安全检测与防御。
但是,现有的规则生成方法,主要依赖安全运营人员的经验生成,而一旦有新的网络攻击形态出现,就需要手工提取其中的特征,增加到上述规则中,然而,如果出现漏洞后,没有及时更新上述规则,则WAF将无法检测到相应形态的网络攻击,从而造成网络攻击出现漏报的情况,而且,现有的规则是针对攻击特征构建,而漏洞会不断出现,未知威胁层出不穷,尽管规则在不断更新,但是安全问题却始终无法得到彻底解决。
发明内容
本申请实施例的目的是提供一种安全访问控制、网络访问规则的生成方法、装置及设备,以实现避免新的漏洞或新的网络攻击形态造成的漏报,提高网络访问的安全性。
为解决上述技术问题,本申请实施例是这样实现的:
本申请实施例提供一种安全访问控制方法,所述方法包括:
当网络访问规则的更新条件满足时,获取当前允许进行网络访问的访问请求对应的目标访问请求日志;
基于所述目标访问请求日志生成网络访问规则,根据生成的网络访问规则更新当前的网络访问规则;
基于更新后的所述网络访问规则,对接收到网络访问请求进行安全访问控制。
可选地,所述预设的网络访问规则的更新条件包括以下中的一种或多种:当前时间距前一次更新网络访问规则的时间间隔达到预设值,和获取的待分析的网络访问日志的数量达到预设值。
可选地,所述基于更新后的所述网络访问规则,对接收到网络访问请求进行安全访问控制,包括:
如果接收到的所述网络访问请求与所述更新后的网络访问规则相匹配,则响应所述网络访问请求;
如果接收到的所述网络访问请求与所述更新后的网络访问规则不匹配,则拒绝响应所述网络访问请求。
可选地,所述根据生成的网络访问规则更新当前的网络访问规则,包括:
将所述当前的网络访问规则中未包含、而生成的网络访问规则中包含的规则内容添加到所述当前的网络访问规则,以更新当前的网络访问规则;和/或,
将所述当前的网络访问规则和生成的网络访问规则中包含的相同类别的不同规则内容进行合并,以更新当前的网络访问规则。
本申请实施例提供的一种网络访问规则的生成方法,所述方法包括:
获取待分析的访问请求日志;
从所述待分析的访问请求日志中选取目标访问请求日志,所述目标访问请求日志为允许进行网络访问的访问请求所对应的访问请求日志;
基于所述目标访问请求日志生成用于判定允许进行网络访问的网络访问规则。
可选地,所述从所述待分析的访问请求日志中选取目标访问请求日志,包括:
从所述待分析的访问请求日志中选取攻击日志,以及所述攻击日志的来源地址信息对应的第一访问请求日志;
将所述攻击日志和所述第一访问请求日志从所述待分析的访问请求日志中删除,将剩余的访问请求日志作为所述目标访问请求日志。
可选地,所述将所述攻击日志和所述第一访问请求日志从所述待分析的访问请求日志中删除之后,所述方法还包括:
从剩余的访问请求日志中删除符合预设条件的访问请求日志;其中,所述符合预设条件的访问请求日志包括:包含指定字段和/或指定关键字的访问请求日志,和/或,静态资源的访问请求日志。
可选地,所述基于所述目标访问请求日志生成用于判定允许进行网络访问的网络访问规则,包括:
将所述目标访问请求日志中的指定字符串进行拆分,得到多个字段;
获取所述多个字段中的预定字段的指标参数;
根据所述预定字段的指标参数,生成用于判定允许进行网络访问的网络访问规则。
可选地,所述指标参数包括不同参数值的数目;
所述根据所述预定字段的指标参数,生成用于判定允许进行网络访问的网络访问规则,包括:
如果所述不同参数值的数目小于预定参数阈值,则根据所述预定字段的指标参数,生成用于判定允许进行网络访问的网络访问规则。
可选地,所述方法还包括:
如果所述不同参数值的数目不小于预定参数阈值,则将所述预定字段的指标参数进行泛化处理,得到泛化后的指标参数;
根据所述预定字段的指标参数和所述泛化后的指标参数,生成用于判定允许进行网络访问的网络访问规则。
可选地,所述基于所述目标访问请求日志生成用于判定允许进行网络访问的网络访问规则,包括:
如果所述目标访问请求日志中包括访问请求路径的数目超过第一预定数目阈值,且包括的源地址信息的数目超过第二预定数目阈值,则基于所述目标访问请求日志生成用于判定允许进行网络访问的网络访问规则。
可选地,所述方法还包括:
将所述网络访问规则提供给服务器,以使服务器基于所述网络访问规则进行安全访问控制。
本申请实施例还提供一种安全访问控制方法,所述方法包括:
获取当前允许进行网络访问的访问请求对应的目标访问请求日志;
基于所述目标访问请求日志生成网络访问规则;
根据生成的网络访问规则,对接收到网络访问请求进行安全访问控制。
本申请实施例还提供一种安全访问控制装置,所述装置包括:
日志获取模块,当网络访问规则的更新条件满足时,获取当前允许进行网络访问的访问请求对应的目标访问请求日志;
规则更新模块,用于基于所述目标访问请求日志生成网络访问规则,根据生成的网络访问规则更新当前的网络访问规则;
访问控制模块,用于基于更新后的所述网络访问规则,对接收到网络访问请求进行安全访问控制。
可选地,所述预设的网络访问规则的更新条件包括以下中的一种或多种:当前时间距前一次更新网络访问规则的时间间隔达到预设值,和获取的待分析的网络访问日志的数量达到预设值。
本申请实施例提供的一种网络访问规则的生成装置,所述装置包括:
日志获取模块,用于获取待分析的访问请求日志;
目标日志获取模块,用于从所述待分析的访问请求日志中选取目标访问请求日志,所述目标访问请求日志为允许进行网络访问的访问请求所对应的访问请求日志;
规则生成模块,用于基于所述目标访问请求日志生成用于判定允许进行网络访问的网络访问规则。
可选地,所述目标日志获取模块,包括:
第一日志获取单元,用于从所述待分析的访问请求日志中选取攻击日志,以及所述攻击日志的来源地址信息对应的第一访问请求日志;
目标日志获取单元,用于将所述攻击日志和所述第一访问请求日志从所述待分析的访问请求日志中删除,将剩余的访问请求日志作为所述目标访问请求日志。
可选地,所述装置还包括:
日志删除模块,用于从剩余的访问请求日志中删除符合预设条件的访问请求日志;其中,所述符合预设条件的访问请求日志包括:包含指定字段和/或指定关键字的访问请求日志,和/或,静态资源的访问请求日志。
可选地,所述规则生成模块,包括:
拆分单元,用于将所述目标访问请求日志中的指定字符串进行拆分,得到多个字段;
指标参数获取单元,用于获取所述多个字段中的预定字段的指标参数;
规则生成单元,用于根据所述预定字段的指标参数,生成用于判定允许进行网络访问的网络访问规则。
可选地,所述规则生成模块,用于如果所述目标访问请求日志中包括访问请求路径的数目超过第一预定数目阈值,且包括的源地址信息的数目超过第二预定数目阈值,则基于所述目标访问请求日志生成用于判定允许进行网络访问的网络访问规则。
本申请实施例还提供一种安全访问控制装置,所述装置包括:
日志获取模块,用于获取当前允许进行网络访问的访问请求对应的目标访问请求日志;
规则生成模块,用于基于所述目标访问请求日志生成网络访问规则;
访问控制模块,用于根据生成的网络访问规则,对接收到网络访问请求进行安全访问控制。
本申请实施例还提供一种安全访问控制设备,包括:
处理器;以及
被安排成存储计算机可执行指令的存储器,所述可执行指令在被执行时使所述处理器:
当网络访问规则的更新条件满足时,获取当前允许进行网络访问的访问请求对应的目标访问请求日志;
基于所述目标访问请求日志生成网络访问规则,根据生成的网络访问规则更新当前的网络访问规则;
基于更新后的所述网络访问规则,对接收到网络访问请求进行安全访问控制。
本申请实施例还提供一种网络访问规则的生成设备,包括:
处理器;以及
被安排成存储计算机可执行指令的存储器,所述可执行指令在被执行时使所述处理器:
获取待分析的访问请求日志;
从所述待分析的访问请求日志中选取目标访问请求日志,所述目标访问请求日志为允许进行网络访问的访问请求所对应的访问请求日志;
基于所述目标访问请求日志生成用于判定允许进行网络访问的网络访问规则。
本申请实施例还提供一种安全访问控制设备,包括:
处理器;以及
被安排成存储计算机可执行指令的存储器,所述可执行指令在被执行时使所述处理器:
获取当前允许进行网络访问的访问请求对应的目标访问请求日志;
基于所述目标访问请求日志生成网络访问规则;
根据生成的网络访问规则,对接收到网络访问请求进行安全访问控制。
由以上本申请实施例提供的技术方案可见,本申请实施例通过从获取的待分析的访问请求日志中选取允许进行网络访问的访问请求对应的目标访问请求日志,进而基于该目标访问请求日志生成用于判定允许进行网络访问的网络访问规则,以便可以通过生成的网络访问规则对访问请求进行检测,以判定能否对该访问请求进行响应,这样,通过生成的用于判定允许进行网络访问的网络访问规则(即白名单)对访问请求进行是否响应的检测与判定,使得只有满足该网络访问规则的访问请求才可以被响应,从而避免新的漏洞或新的网络攻击形态造成的漏报,提高网络访问的安全性。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本申请一种网络访问规则的生成方法实施例;
图2为本申请一种安全访问控制方法实施例;
图3为本申请一种安全访问控制系统的结构示意图;
图4为本申请另一种安全访问控制方法实施例;
图5为本申请一种网络访问规则的生成装置实施例;
图6为本申请一种安全访问控制装置实施例;
图7为本申请另一种安全访问控制装置实施例;
图8为本申请一种网络访问规则的生成设备实施例;
图9为本申请一种安全访问控制设备实施例;
图10为本申请另一种安全访问控制设备实施例。
具体实施方式
本申请实施例提供一种安全访问控制、网络访问规则的生成方法、装置及设备。
为了使本技术领域的人员更好地理解本申请中的技术方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
如图1所示,本申请实施例提供一种网络访问规则的生成方法,该方法的执行主体可以为服务器,也可以为终端设备如个人计算机等。本申请实施例提供的方法可以应用于公有云服务系统中,尤其是web应用防护系统中,该方法具体可以包括以下步骤:
在步骤S101中,获取待分析的访问请求日志。
其中,访问请求日志是在网络访问过程中,记录的服务器接收访问请求以及处理访问请求等各种原始信息的文件,通常是以“.log”结尾的文件,网络的访问请求日志中可以包括空间运营情况和网络访问请求的记录等。网络的访问请求日志具体可以如HTTP(HyperText Transfer Protocol,超文本传输协议)请求日志、FTP(File TransferProtocol,文件传输协议)请求日志等,相应的,网络的访问请求可以包括HTTP请求、FTP请求。
在实施中,可以预先设定访问请求的记录机制,通过设定的机制可以将接收到的访问请求记录到预定的访问请求日志中,具体地,可以通过通常使用的黑名单等方式,在系统中设定网络访问的黑名单。当用户需要访问某个网站时,可以在浏览器的地址栏中输入该网站的网址,输入完成后,可以点击浏览器中的跳转按键。此时,浏览器可以生成网络的访问请求发送给上述网站的服务器,其中,该访问请求中可以包括源IP(InternetProtocol,网络之间互联的协议)地址、目的IP地址、url(Uniform Resource Locator,统一资源定位符)等。在服务器响应该访问请求之前,可以通过黑名单对该访问请求进行分析过滤,如果分析后确定该访问请求为黑名单所指定需要拦截的访问请求,则可以拒绝响应该访问请求,同时,可以将访问请求相应的信息记录在访问请求日志中。而如果分析后确定该访问请求不是黑名单所指定需要拦截的访问请求,则可以依据设定的通信协议向此访问请求的发起者提供相应的网络访问服务,同时,也可以将此访问请求的相关信息记录在访问请求日志中。当服务器向用户提供网络访问服务的时长达到预定时长或周期后,可以从本地的指定存储位置查找到该访问请求日志,可以将该访问请求日志作为待分析的访问请求日志。
在步骤S102中,从待分析的访问请求日志中选取目标访问请求日志,该目标访问请求日志为允许进行网络访问的访问请求所对应的访问请求日志。
在实施中,可以预先设定目标访问请求日志的选取策略,本申请实施例中的选取策略可以通过多种方式确定,例如,通过关键字来选取目标访问请求日志,或者通过预定算法(如特征提取算法,例如向量空间模型算法、布尔逻辑算法等)分别计算与黑名单所指定需要拦截的访问请求之间的距离(如欧氏距离或马氏距离等),可以将距离大于预定阈值的访问请求日志选取为目标访问请求日志等。
以关键字的方式为例,可以预先采集多个访问请求日志,可以根据预定的分词方式将每个访问请求日志中的每一条日志内容进行分词,得到多个不同的分词结果,可以统计上述分词结果中各个词语或字符的出现频率,基于出现频率的大小关系,确定选取策略的关键词。通过上述步骤S101的处理得到待分析的访问请求日志后,可以对访问请求日志中的日志内容进行逐条分析,将每条日志内容根据预定的分词方式划分为多个部分,将每个部分的词语或字符与上述关键词进行匹配,如果两者匹配,则可以将该条日志内容作为目标访问请求日志中的日志内容,如果两者不匹配,则可以对下一条日志内容继续进行关键字匹配,直到网络访问请求日志中的每一条日志内容都完成上述关键字匹配处理,从而得到选取的目标访问请求日志。
在步骤S103中,基于上述目标访问请求日志生成用于判定允许进行网络访问的网络访问规则。
在实施中,可以对目标访问请求日志中的每一条日志内容进行分析,提取每一条日志内容中包含的特征,可以通过统计分析等方式对目标访问请求日志中的日志内容进行统计分析,得到日志内容中各个特征的统计结果,可以基于得到的统计结果进行总结、整理,得到用于判定允许进行网络访问的通用网络访问规则。例如,目标访问请求日志中包括3条日志内容,分别为www.A.com/BC/idex.htm?d=1234、www.A.com/BC/idex.htm?k=DDDD、www.A.com/BC/idex.htm?d=9999,则可以发现上述3条日志内容中都包含一个共同的部分,即www.A.com/BC/idex.htm?,可以将这部分内容作为固定内容,其它内容为可变化的内容,而且,后边只包括两个参数,即d和k,并且,参数d的取值为4位数字,参数d的取值为4位大写字母,如果使用N表示数字,E表示英文字母,则参数d可以表示为NNNN,参数k可以表示为EEEE,或者,可以将参数d表示为N(4),参数k表示为E(4),其中(4)表示数字或字母的位数,这样,得到的网络访问规则可以为:www.A.com/BC/idex.htm?d=N(4)和www.A.com/BC/idex.htm?k=E(4)。因此,当接收到访问请求后,可以提取其中的url,并判断其是否满足上述网络访问规则,若访问请求中的url为www.A.com/BC/idex.htm?k=DDDD,则可以确定该url满足上述网络访问规则,此时,可以响应该访问请求,即向发起该访问请求的终端设备提供相应的网络访问服务。若访问请求中的url为www.A.com/CC,则可以确定该url不满足上述网络访问规则,此时,可以拒绝该访问请求,即禁止向发起该访问请求的终端设备提供相应的网络访问服务。
本申请实施例提供一种网络访问规则的生成方法,通过从获取的待分析的访问请求日志中选取允许进行网络访问的访问请求对应的目标访问请求日志,进而基于该目标访问请求日志生成用于判定允许进行网络访问的网络访问规则,以便可以通过生成的网络访问规则对访问请求进行检测,以判定能否对该访问请求进行响应,这样,通过生成的用于判定允许进行网络访问的网络访问规则(即白名单)对访问请求进行是否响应的检测与判定,使得只有满足该网络访问规则的访问请求才可以被响应,从而避免新的漏洞或新的网络攻击形态造成的漏报,提高网络访问的安全性。
如图2所示,本申请实施例提供一种安全访问控制方法,该方法的执行主体可以为服务器或者终端设备,如个人计算机等。该方法具体可以包括以下步骤:
在步骤S201中,当网络访问规则的更新条件满足时,获取当前允许进行网络访问的访问请求对应的目标访问请求日志。
在实施中,预设的网络访问规则的更新条件可以包括多种,例如设定网络访问规则的更新周期,每当到达更新周期时,可以获取当前允许进行网络访问的访问请求对应的目标访问请求日志,其中,获取当前允许进行网络访问的访问请求对应的目标访问请求日志的处理方式可以参见上述步骤S101,在此不再赘述。再或者,也可以设定获取网络访问日志的数量阈值,当到达该数量阈值时,可以获取当前允许进行网络访问的访问请求对应的目标访问请求日志。又或者,还可以设置更新按键,当需要对网络访问规则进行更新(例如当前的网络访问规则无法满足当前需求,如阻止了大量用户的正常访问)时,用户可以点击相应应用程序中的更新按键,此时,可以获取当前允许进行网络访问的访问请求对应的目标访问请求日志。又或者,还可以设置更新机制,用户可以通过该更新机制向网络访问规则中添加相应的信息,通过该信息可以触发获取当前允许进行网络访问的访问请求对应的目标访问请求日志等。
在步骤S202中,基于上述目标访问请求日志生成网络访问规则,并根据生成的网络访问规则更新当前的网络访问规则。
在实施中,例如对于设定网络访问规则的更新周期的情况,基于上述目标访问请求日志生成网络访问规则,即通过上述步骤S101~步骤S103的处理获取网络访问规则,可以使用本次获取的网络访问规则对上一周期获取的网络访问规则进行更新。再或者,对于设定获取网络访问日志的数量阈值的情况,可以通过上述步骤S101~步骤S103的处理获取网络访问规则,可以使用本次获取的网络访问规则对上一次获取的网络访问规则进行更新。又或者,对于设置更新按键的情况,可以通过上述步骤S101~步骤S103的处理获取网络访问规则,可以使用本次获取的网络访问规则对上一次获取的网络访问规则进行更新。又或者,对于设置更新机制的情况,用户可以通过上传的信息对当前的网络访问规则进行更新等。
需要说明的是,当前的网络访问规则可能只是基于某一个时间段得到的网络访问规则,或者是基于历史数据得到的网络访问规则,这样,当前的网络访问规则难免会不全面或不够准确,为此,可以根据生成的网络访问规则更新当前的网络访问规则的处理,具体可以是基于生成的网络访问规则向当前的网络访问规则中添加新的网络访问规则,也可以是对当前的网络访问规则中的部分网络访问规则的内容进行修改完善,例如,当前的网络访问规则中包含www.A.com/BC/idex.htm?k=E(4),生成的网络访问规则中包含www.A.com/BC/idex.htm?k=E(8),则相应的更新后的网络访问规则中可以包含www.A.com/BC/idex.htm?k=E(4,8),其中,(4,8)表示最小值为4,最大值为8。
在步骤S203中,基于更新后的网络访问规则,对接收到网络访问请求进行安全访问控制。
其中,网络访问请求可以是用于向数据提供者请求网络访问的消息,网络访问请求可以根据网络通信协议的不同,其具体组成结构也不同,例如HTTP请求、FTP请求等。该网络访问请求与上述步骤S101~步骤S103中的访问请求可以是同一种访问请求。
在实施中,当某用户需要访问某一网站时,该用户可以打开其终端设备(如手机、平板电脑或个人计算机等)中安装的浏览器,可以在浏览器的地址栏中输入需要访问的网站的网络地址,输入完成后,可以点击浏览器中的跳转到按键,终端设备可以获取用户输入的网络地址、终端设备的相关信息(如终端设备的设备标识(如MAC(Media AccessControl,介质访问控制)地址、设备名称等)、IP地址等),以及当前网络通信协议等,若当前网络通信协议为HTTP协议,则可以通过获取的上述信息生成HTTP请求(即网络访问请求)发送给该网站的服务器,从而,服务器可以接收到该网络访问请求。
在接收到网络访问请求后,可以对该网络访问请求进行分析,例如,可以将该网络访问请求划分为多个部分,其中可以包括主机的网络地址、网络访问请求对应的网络通信协议类型、网络访问请求对应的访问资源的位置信息、参数名称和参数值等,可以将上述每一个部分分别与上述实施例一中生成的网络访问规则相匹配,如果上述网络访问请求中的每一个部分均与网络访问规则中一条规则相匹配,则可以确定该网络访问请求为正常访问请求,可以响应该网络访问请求,如果上述网络访问请求中存在至少一个部分均不与网络访问规则中任何一条规则相匹配,则可以确定该网络访问请求为异常访问请求(如网络攻击等),可以拒绝响应该网络访问请求。
本申请实施例提供一种安全访问控制方法,通过从获取的待分析的访问请求日志中选取允许进行网络访问的访问请求对应的目标访问请求日志,进而基于该目标访问请求日志生成用于判定允许进行网络访问的网络访问规则,以便可以通过生成的网络访问规则对访问请求进行检测,以判定能否对该访问请求进行响应,这样,通过生成的用于判定允许进行网络访问的网络访问规则(即白名单)对访问请求进行是否响应的检测与判定,使得只有满足该网络访问规则的访问请求才可以被响应,从而避免新的漏洞或新的网络攻击形态造成的漏报,提高网络访问的安全性。
本申请实施例提供了一种安全访问控制方法,该方法的执行主体可以是网络访问规则的生成装置和服务器(即网络访问规则管理服务器),此外,在实际应用中,网络访问规则的生成装置也可以集成在服务器中。网络访问系统的组成可以参见图3所示,可以包括网络访问规则的生成装置、用户使用的终端设备、服务器和网站服务器,其中,网络访问规则可以由服务器管理,可以设置于该服务器中使用,也可以将其提供给网站服务器使用;用户使用的终端设备可以是发起网络访问的设备,具体可以是手机、平板电脑或个人计算机等终端设备,图3中以手机为例进行说明;网络访问规则的生成装置可以是服务器,也可以是终端设备,如个人计算机等。本申请实施例中以终端设备和服务器作为执行主体进行详细说明,对于其它形式的执行主体可以参照本申请实施例执行,在此不再赘述。
本申请实施例提供的安全访问控制方法具体包括如下步骤:
由于本申请实施例提供的安全访问控制方法主要是基于用于判定允许进行网络访问的网络访问规则进行的,因此,需要预先生成该网络访问规则,然后,基于该网络访问规则进行网络访问,以下步骤S301~步骤S308提供了一种网络访问规则的生成方法,以下步骤S309~步骤S311提供了一种安全访问控制方法。本申请实施例提供的网络访问规则的生成方法和安全访问控制方法可以应用于任何需要对web应用进行入侵检测或入侵防护的系统(如web应用防护系统)中,尤其是对于网站功能已经完善,网站的相应内容基本固定变化不大的网站,如股票类网站等,上述方法能非常有效的解决安全问题,也能够保证网站的正常运行。此外,对于安全性要求极高的网站,采用本实施例的方案,能有效避免新的攻击手段对网站安全产生威胁,使网站能够始终保持很高的安全性。
在步骤S301中,网络访问规则的生成装置获取待分析的访问请求日志。
步骤S301的步骤内容与上述实施例一中的步骤S101的步骤内容相同,在此不再赘述。
在步骤S302中,网络访问规则的生成装置从待分析的访问请求日志中选取攻击日志,以及该攻击日志的来源地址信息对应的第一访问请求日志。
其中,攻击日志可以是由检测到的携带有病毒程序或木马程序的访问请求生成的日志。源地址信息可以是访问请求的发送者所使用的网络地址的相关信息,如IP地址、服务端口号等,其中的服务端口号可以为80或8080等。
在实施中,在获取待分析的访问请求日志之前,可以通过通常使用的黑名单的方式对访问请求进行检测,例如,如图3所示,可以根据当前已知的网站漏洞、网站服务器安装的操作系统漏洞等生成黑名单。基于该黑名单可以对服务器接收到的访问请求进行过滤,拦截与黑名单中记录的信息相匹配的访问请求,可以将拦截的访问请求作为异常访问请求或网络攻击,此时可以将上述网络攻击事件记录在上述访问请求日志中。
通过黑名单检测的方式,在获取了一定数量的访问请求之后,就可以将其作为待分析的访问请求日志,可以从上述访问请求日志中选取攻击日志,同时,为了防止同一个用户的其他攻击数据未被web应用防护系统检测出,而导致最终生成的网络访问规则出现偏差、甚至错误,可以提取攻击日志的来源地址信息,在网络访问请求日志中选取这些来源地址信息在预定时间段内或预定时长内(如某一天等)的所有访问请求日志作为第一访问请求日志。
在步骤S303中,网络访问规则的生成装置将上述攻击日志和上述第一访问请求日志从待分析的访问请求日志中删除,并从剩余的访问请求日志中获取包括指定字段和/或指定关键字的第二访问请求日志。
其中,指定字段和指定关键字可以根据实际情况进行设定,指定字段和指定关键字可以是与web应用防护系统的安全问题相关的字段和关键字,具体如扫描器、网络爬虫等网络访问请求中的指定字段和指定关键字。
在实施中,由于攻击日志和第一访问请求日志是不能作为生成网络访问规则的依据的,因此,可以将上述攻击日志和上述第一访问请求日志从上述网络访问请求日志中删除。此外,考虑到扫描器和网络爬虫对应的网络访问请求对于生成网络访问规则并没有起到任何作用,因此,可以获取扫描器和网络爬虫对应的访问请求构成的访问请求日志,即第二访问请求日志。由于扫描器和网络爬虫对应的访问请求中通常会包含有某一个或多个特殊字段和/或特殊关键字,例如User_Agent字段、“spider”关键字、“scan”关键字等,因此,可以从剩余的访问请求日志中查找包括User_Agent字段的访问请求日志,并从中获取User_Agent字段中还包括“spider”关键字和/或“scan”关键字的访问请求日志作为第二访问请求日志,或者,将包括User_Agent字段的访问请求日志作为第二访问请求日志,又或者将包括“spider”关键字和/或“scan”关键字的访问请求日志作为第二访问请求日志。
需要说明的是,对于扫描器对应的访问请求除了可以通过上述方式处理外,还可以通过以下方式处理,具体可以包括以下内容:可以从基于黑名单的拦截页面入手,对通过黑名单拦截的提示页面进行相应修改,结合扫描器与用户正常进行网络访问之前的区别(即用户不会对响应页面的埋点链接进行访问),将基于黑名单拦截的访问请求日志与埋点的访问请求日志关联分析,从而识别出扫描器对应的访问请求。
另外,对于不包含指定字段和/或指定关键字的扫描器和网络爬虫对应的访问请求,如果该扫描器和网络爬虫对应的访问请求为常见的扫描器和网络爬虫对应的访问请求,则可以通过其特有的特征来获取相应的访问请求日志作为第二访问请求日志。
在步骤S304中,网络访问规则的生成装置从剩余的访问请求日志中删除第二访问请求日志,最终剩余的访问请求日志作为允许进行网络访问的网络访问请求对应的目标访问请求日志。
另外,除了上述两种访问请求日志对于生成网络访问规则没有起到任何作用、甚至会影响网络访问规则的准确性外,还可能会有其它对于生成网络访问规则起不到任何作用、甚至可能会影响网络访问规则准确性的访问请求或访问请求日志,以下再提供一种对于生成网络访问规则不会起到任何作用的访问请求日志,具体可以参见以下内容:在从剩余的访问请求日志中删除第二访问请求日志之后,从剩余的访问请求日志中删除静态资源的访问请求日志,最终剩余的访问请求日志作为允许进行网络访问的网络访问请求对应的目标访问请求日志。
其中,静态资源可以是在使用或运行的过程中不需要更改的资源,例如,html文件、htm文件、css(Cascading Style Sheets,层叠样式表)文件、js(jump if sign,汇编语言条件转移指令)文件、jpg文件、ico文件和文本文件等。
在实施中,考虑到进行网络攻击或网络入侵的过程通常是通过访问请求中的请求参数进行的,而静态资源的访问请求中并不会携带任何请求参数,这样,该访问请求也就不会对网站服务器或网站的相关页面的安全构成威胁,因此,可以从剩余的访问请求日志中获取静态资源的访问请求日志,可以将静态资源的访问请求日志从剩余的访问请求日志中删除,最终剩余的访问请求日志即可作为允许进行网络访问的访问请求对应的目标访问请求日志。
在步骤S305中,如果上述目标访问请求日志中包括访问请求路径的数目超过第一预定数目阈值,且包括的源地址信息的数目超过第二预定数目阈值,则网络访问规则的生成装置将目标访问请求日志中的指定字符串进行拆分,得到多个字段。
其中,访问请求路径可以是网络地址中去掉参数部分的地址路径,例如,网络地址为www.A.com/BC/idex.htm?d=1234,则访问请求路径可以为www.A.com/BC/idex.htm。第一预定数目阈值可以根据实际情况进行设定,例如1000或1500等。第二预定数目阈值可以根据实际情况进行设定,例如50或80等。指定字符串可以根据实际情况预先设定,例如目标访问请求日志中的参数部分,具体如GET类型的网络访问请求中url的Query_String部分,或者,POST类型的网络访问请求的Post_Body部分。
在实施中,为了能够使得生成的网络访问规则具有普遍适用性,避免出现误报的情况,可以设定生成网络访问规则的执行或触发条件,如果获取的目标访问请求日志满足上述执行或触发条件,则可以执行后续的相关处理,如果获取的目标访问请求日志不满足上述执行或触发条件,则可以将目标访问请求日志存储到指定的存储区域中,等待与下一次获取的目标访问请求日志合并,并对合并后的目标访问请求日志进行上述是否满足执行或触发条件的判断过程。
例如,如果第一预定数目阈值为1000,第二预定数目阈值为50,则在获取到目标访问请求日志后,可以统计其中包含的访问请求路径的数目,如果该数目小于或等于1000,则可以将目标访问请求日志存储到指定的存储区域中,以备下一次使用,如果该数目大于1000,则可以获取目标访问请求日志中包含的源地址信息的数目,如果该数目小于或等于50,则可以将目标访问请求日志存储到指定的存储区域中,以备下一次使用,如果该数目大于50,则可以确定该目标访问请求日志满足上述执行或触发条件,此时,可以提取目标访问请求日志中包含的指定字符串,如GET类型的网络访问请求中url的Query_String部分,或者,POST类型的网络访问请求的Post_Body部分,然后,可以对指定字符串进行字段拆分,得到多个不同的字段。其中,字段可以包括主机(即Host)字段、请求类型(即Method)字段、资源地址(即Url)字段、参数名(即Param_Name)字段和参数值(即Param_Value)字段。例如,目标访问请求日志中包括一个GET类型的网络访问请求和一个POST类型的网络访问请求,具体如表1所示。
表1
| Host | Method | Url | Post_Data |
| www.a.com | GET | /cms/index.htm?c=AAA%20A&id=123 | |
| www.a.com | POST | /admin/post.jsp | t=124&c=submit |
通过上述方式将指定字符串进行字段拆分后,可以得到以下拆分结果,如表2所示。
表2
| Host | Method | Url | Param_Name | Param_Value |
| www.a.com | GET | /cms/index.htm | c | AAA%20A |
| www.a.com | GET | /cms/index.htm | id | 123 |
| www.a.com | POST | /admin/post.jsp | t | 124 |
| www.a.com | POST | /admin/post.jsp | c | submit |
需要说明的是,由于访问请求中会包含有多种不同编码。对于相同的一个数值,如果使用的编码不同,该数值的差别很大,因此,在完成上述字段拆分的处理后,还可以对拆分后的字段内容进行解码,例如,对其中的Url解码,具体如上述示例中的%20,其代表的是空格,此外,还可以包括汉字解码,即将其Unicode表示统一处理成UTF8格式等。
在步骤S306中,网络访问规则的生成装置获取上述多个字段中的预定字段的指标参数。
其中,预定字段可以是多个字段中的一个字段,也可以是多个字段中的多个字段,具体可以根据实际情况设定。指标参数可以根据实际情况设定,例如Url访问次数、参数名访问次数等。
在实施中,为了在生成网络访问规则时,方便提取目标访问请求日志中各个日志内容之间的相同之处和不同之处,可以通过频率统计和/或多维数据统计,计算如Url访问次数、参数名访问次数和参数值访问次数等指标参数,具体地,首先,针对Host字段、Method字段、Url字段,统计目标访问请求日志中各个Url的访问次数,从而得到不同的Host字段、Method字段和Url字段对应的Url访问次数,如表2中,Url字段为/cms/index.htm,若www.a.com/cms/index.htm的访问次数为1500次,则相应的Url访问次数为1500;其次,针对Host字段、Method字段、Url字段和Param_Name字段,统计目标访问请求日志中各个参数名的访问次数和不同参数值的数目,从而得到不同的Host字段、Method字段、Url字段和Param_Name字段对应的参数名访问次数和不同参数值的数目;最后,针对Host字段、Method字段、Url字段、Param_Name字段和Param_Value字段,统计目标访问请求日志中不同参数值出现的次数,从而得到不同的Host字段、Method字段、Url字段、Param_Name字段和Param_Value字段对应的参数值出现的次数。
在步骤S307中,网络访问规则的生成装置根据上述预定字段的指标参数,生成用于判定允许进行网络访问的网络访问规则。
在实施中,可以分别对上述预定字段的指标参数进行分析,可以根据每个预定字段的不同之处和相同之处进行统计,确定各个预定字段中的指标参数是否是每一个网络访问请求所必需的参数,以及各指标参数所确定的取值范围。可以通过上述统计结果,分析并生成用于判定允许进行网络访问的网络访问规则,通过该网络访问规则可以对接收到的访问请求进行检测,确定该访问请求中是否包含上述确定出的必需参数,以及其指标参数的取值是否在所确定的取值范围内,如果均满足上述条件,则该访问请求为正常的访问请求,如果不满足上述任何一个条件,则该访问请求为异常的访问请求。
在实际应用中,上述步骤S307的处理可以多种多样,以下提供一种可选的处理方式,具体可以包括以下内容:
一方面,如果不同参数值的数目小于预定参数阈值,则根据上述每个字段的指标参数,生成用于判定允许进行网络访问的网络访问规则。
其中,预定参数阈值可以根据实际情况设定,例如5或10等。
在实施中,可以预先设置不同参数值的参数阈值(即预定参数阈值)。可以将得到的不同参数值的数目与预定参数阈值相比较,如果不同参数值的数目小于预定参数阈值,则可以表明上述参数值是由固定值构成,此时,可以将上述预定字段的指标参数使用该固定值表示,例如,管理员类型分为高、中和低,可以分别以H、M和L表示上述三个类型,如果其参数值为固定值,则可以使用正则表达式表示该固定值,具体可以表示为[HML](1),其含义为参数值的取值为H、M和L中的一个。
另一方面,如果不同参数值的数目不小于预定参数阈值,则可以基于上述目标访问请求日志生成用于判定允许进行网络访问的网络访问规则,具体处理如可以提取目标访问请求日志中的网络地址或url,可将提取的网络地址或url作为允许进行网络访问的网络访问规则,该网络访问规则可以表格的形式存储,在使用时,可以通过查表的方式确定是否响应相应的访问请求,或者,也可以参照上述步骤S103的处理方式处理。
对于不同参数值的数目不小于预定参数阈值的情况,可以有多种处理方式或方法,以下提供一种可选的处理方式,具体可以包括:如果不同参数值的数目不小于预定参数阈值,则将上述预定字段的指标参数进行泛化处理,得到泛化后的指标参数;根据上述预定字段的指标参数和上述泛化后的指标参数,生成用于判定允许进行网络访问的网络访问规则。
其中,泛化处理可以是一个从相对低层概念到更高层概念,且对与目标数据相关的大量数据进行抽象概述的分析过程。
在实施中,如果不同参数值的数目不小于预定参数阈值,则表明上述参数值不是固定值,且参数值的数目较多,为了简化网络访问规则的具体表示形式,可以对上述预定字段的指标参数进行泛化处理,通过泛化处理可以将具体数据值转化为预定的值类型。为此,可以做以下设定:N:表示0-9构成的整型数字;D:表示实数值、浮点数、负数等;A:表示A-Z大写或小写英文字符;C:表示中文汉字;标点符号,如:“,”、“-”等英文标点符号:每种都是一个单独的值类型;预定的值类型:即将预定参数值合并在一起构成的特定数据类型,如:JSON类型、XML类型等。基于上述内容,可以参见以下具体示例,如参数值为ABC124,则可转化为AAANNN,可进一步合并为AN;再如,参数值为hell,-123,则可转化为AAAA,-NNN,可进一步合并为A,-N;又如,若参数值可以表示为{“key”:“host”,“value”:234},则其类型为JSON类型。
基于上述泛化处理方式,可以将上述预定字段的指标参数进行泛化处理,得到泛化后的指标参数。可以基于上述预定字段的指标参数和上述泛化后的指标参数,进一步分析各指标参数是否为必选参数、各指标参数的取值范围和各指标参数的取值长度等。其中,对于各指标参数是否为必选指标参数的处理,例如,对某个Url来说,指标参数A是不是每次访问请求中都会携带,如果是,则指标参数A为必需指标参数。若该Url中的指标参数A中参数名访问次数等于Url访问次数,则说明指标参数A对于该Url来说是必选指标参数。对于各指标参数的取值范围的处理,可以通过对各指标参数的参数值进行合并去重,得到泛化后的指标参数,可参见上述相关内容。对于各指标参数的取值长度的处理,可以计算各指标参数的参数值的最大长度和最小长度,以构成相应指标参数的取值长度。
根据上述各指标参数是否为必选参数、各指标参数的取值范围和各指标参数的取值长度等结果构造网络访问规则。该网络访问规则的构造方式可以多种多样,以下提供一种可选的实现方式,即正则表达式方式,主要利用的正则语法。通过上述方式,可以使用[ANC]表示取值范围,其中的中括号内的ANC,大写或小写英文字符和/或整型数字和/或中文汉字组成的数值,该数值可以表示相应的指标参数的参数值只能从中括号内提供的内容中选出,如果该指标参数的参数值超出中括号内界定的范围,则可以确定相应的网络访问请求不满足网络访问规则。对于指标参数的取值长度的限定,可以使用(min_length,max_lenth)表示,其中,min_length表示最小长度,max_length表示最大长度。对于指标参数是可选指标参数还是必选指标参数的限定,可以使用“?”表示指标参数是可选指标参数。
最终,基于上面示例数据,可以形成用于判定允许进行网络访问的网络访问规则(或可称为白名单规则),具体可以如下表3所示。
表3
| Host | Method | Url | 网络访问规则 |
| www.a.com | GET | /cms/index.htm | [A](4,7) |
| www.a.com | GET | /cms/index.htm | [N](3) |
| www.a.com | POST | /admin/post.jsp | [N](3) |
| www.a.com | POST | /admin/post.jsp | [A](6) |
其中,[A](4,7)表示参数值中包括最少4位、最大7位英文字符,[N](3)表示参数值中包括3位整形数字,[A](6)表示参数值中包括6位英文字符。
需要说明的是,上述泛化处理的过程中做出的设定(即上述数字、英文字符等设定)仅是一个示例性说明,除了上述表示方式外,还可以包括多种表示方式,本申请实施例对此不做限定。
如图3所示,网络访问规则可以设置于服务器(即网络访问规则管理服务器)中,网络访问规则的生成装置可以对访问请求日志进行相应的分析处理,生成网络访问规则,具体可以参见上述步骤S301~步骤S307。生成网络访问规则后,可以将该网络访问规则进行调整(即可以根据实际情况调整上述网络访问规则,以使其更加准确),然后可以将其提供给服务器,参见下述步骤S308,最后,服务器可以基于该网络访问规则进行安全访问控制,具体可以参见下述步骤S309~步骤S311。
在步骤S308中,网络访问规则的生成装置将上述网络访问规则提供给服务器,以使服务器基于该网络访问规则进行安全访问控制。
在步骤S309中,当网络访问规则的更新条件满足时,获取当前允许进行网络访问的访问请求对应的目标访问请求日志,基于目标访问请求日志生成网络访问规则,根据生成的网络访问规则更新当前的网络访问规则。
其中,预设的网络访问规则的更新条件包括以下中的一种或多种:当前时间距前一次更新网络访问规则的时间间隔达到预设值,和获取的待分析的网络访问日志的数量达到预设值。预设值可以根据实际情况进行设定,具体可以为:时间间隔为12小时或24小时等,网络访问日志的数量达到1万条或10万条等。
根据生成的网络访问规则更新当前的网络访问规则的具体处理可以包括多种方式,以下提供一种可选的处理方式,具体可以包括:将当前的网络访问规则中未包含,而生成的网络访问规则中包含的规则内容添加到当前的网络访问规则,以更新当前的网络访问规则;和/或,将当前的网络访问规则和生成的网络访问规则中包含的相同类别的不同规则内容进行合并,以更新当前的网络访问规则。
其中,规则内容的类别可以有多种划分方式,例如,主机的网络地址相同,则可以作为一个类别,如www.A.com/BC与www.A.com/DC的网络地址中的主机的网络地址都为www.A.com,则上述两个网络地址对应的规则内容可以属于同一类别,或者,网络地址中除了参数部分以外的部分相同,则可以作为一个类别,如上述示例中的www.A.com/BC/idex.htm?d=1234、www.A.com/BC/idex.htm?k=DDDD和www.A.com/BC/idex.htm?d=9999,由于三者只是d或k的参数部分不同,因此可以将三者划分为同一个类别,又或者,也可以www.A.com/BC/idex.htm?d=1234和www.A.com/BC/idex.htm?d=9999属于同一类别,而www.A.com/BC/idex.htm?k=DDDD属于另一类别,即网络地址中除了参数数值部分以外的部分相同,则可以作为一个类别,基于此,如果当前的网络访问规则中包含www.A.com/BC/idex.htm?d=N(4),生成的网络访问规则中包含www.A.com/BC/idex.htm?d=N(6),则将当前的网络访问规则和生成的网络访问规则中包含的相同类别的不同规则内容进行合并的处理结果可以为:www.A.com/BC/idex.htm?d=N(4,6)。除了上述方式外,还可以包括多种划分方式,具体可以根据实际情况设定,本申请实施例对此不做限定。对于上述步骤内容的具体处理可以参见上述步骤S201~步骤S203的相关内容,在此不再赘述。
在步骤S310中,如果接收到的网络访问请求与更新后的网络访问规则相匹配,则服务器响应该网络访问请求。
在步骤S311中,如果接收到的网络访问请求与更新后的网络访问规则不匹配,则服务器拒绝响应该网络访问请求。
上述步骤S309~步骤S311的具体处理可以参见上述实施例一中的相关内容,在此不再赘述。
本申请实施例提供一种安全访问控制方法,通过从获取的待分析的访问请求日志中选取允许进行网络访问的访问请求对应的目标访问请求日志,进而基于该目标访问请求日志生成用于判定允许进行网络访问的网络访问规则,以便可以通过生成的网络访问规则对访问请求进行检测,以判定能否对该访问请求进行响应,这样,通过生成的用于判定允许进行网络访问的网络访问规则(即白名单)对访问请求进行是否响应的检测与判定,使得只有满足该网络访问规则的访问请求才可以被响应,从而避免新的漏洞或新的网络攻击形态造成的漏报,提高网络访问的安全性。
如图4所示,本申请实施例提供一种安全访问控制方法,该方法的执行主体可以为服务器,也可以为终端设备如个人计算机等。本申请实施例提供的方法可以应用于公有云服务系统中,尤其是web应用防护系统中,该方法具体可以包括以下步骤:
在步骤S401中,获取当前允许进行网络访问的访问请求对应的目标访问请求日志。
在实施中,可以预先设定访问请求的记录机制,通过设定的机制可以将接收到的访问请求记录到预定的访问请求日志中,具体地,可以通过通常使用的黑名单等方式,在系统中设定网络访问的黑名单。当用户需要访问某个网站时,可以通过用户的终端设备向服务器发送网络的访问请求。在服务器响应该访问请求之前,可以通过黑名单对该访问请求进行分析过滤,如果分析后确定该访问请求为黑名单所指定需要拦截的访问请求,则可以拒绝响应该访问请求,同时,可以将该访问请求相应的信息记录在拒绝访问请求日志中。而如果分析后确定该访问请求不是黑名单所指定需要拦截的访问请求,则可以依据设定的通信协议向此访问请求的发起者提供相应的网络访问服务,同时,也可以将此访问请求的相关信息记录在允许访问请求日志中。
当服务器向用户提供网络访问服务的时长达到预定时长或周期后,可以从本地的指定存储位置中存储的历史访问请求日志(包括上述拒绝访问请求日志和允许访问请求日志)中查找到允许访问请求日志,可以将该允许访问请求日志作为当前允许进行网络访问的访问请求对应的目标访问请求日志。
此外,还可以从允许访问请求日志中删除包括指定字段和/或指定关键字的第二访问请求日志(具体处理过程可以参见上述步骤S303和步骤S304),剩余的允许访问请求日志作为当前允许进行网络访问的访问请求对应的目标访问请求日志。
需要说明是,上述处理是通过黑名单的方式获取当前允许进行网络访问的访问请求对应的目标访问请求日志的,在实际应用中,除了上述方式外,还可以通过在系统中设定当前允许进行网络访问的条件或规则(即白名单)来获取目标访问请求日志,具体处理可以参见上述相关内容,在此不再赘述。
在步骤S402中,基于上述目标访问请求日志生成网络访问规则。
上述步骤S402的具体处理过程可以参见上述步骤S103的相关内容,或者,上述步骤S402的具体处理过程可以通过上述步骤S305~步骤S307实现,具体可参见上述相关内容,在此不再赘述。
在步骤S403中,根据生成的网络访问规则,对接收到网络访问请求进行安全访问控制。
上述步骤S402的具体处理过程可以参见上述步骤S203的相关内容,在此不再赘述。
此外,服务器还可以定时或不定时对生成的网络访问规则进行更新,具体处理可以参见上述步骤S201和步骤S202的相关内容,在此不再赘述。
本申请实施例提供一种安全访问控制方法,通过获取的允许进行网络访问的访问请求对应的目标访问请求日志生成用于判定允许进行网络访问的网络访问规则,以便可以通过生成的网络访问规则对访问请求进行检测,以判定能否对该访问请求进行响应,这样,通过生成的用于判定允许进行网络访问的网络访问规则(即白名单)对访问请求进行是否响应的检测与判定,使得只有满足该网络访问规则的访问请求才可以被响应,从而避免新的漏洞或新的网络攻击形态造成的漏报,提高网络访问的安全性。
以上为本申请实施例提供的安全访问控制方法,基于同样的思路,本申请实施例还提供一种网络访问规则的生成装置,如图5所示。
所述网络访问规则的生成装置包括:日志获取模块501、目标日志获取模块502和规则生成模块503,其中:
日志获取模块501,用于获取待分析的访问请求日志;
目标日志获取模块502,用于从所述待分析的访问请求日志中选取目标访问请求日志,所述目标访问请求日志为允许进行网络访问的访问请求所对应的访问请求日志;
规则生成模块503,用于基于所述目标访问请求日志生成用于判定允许进行网络访问的网络访问规则。
本申请实施例中,所述目标日志获取模块502,包括:
第一日志获取单元,用于从所述待分析的访问请求日志中选取攻击日志,以及所述攻击日志的来源地址信息对应的第一访问请求日志;
目标日志获取单元,用于将所述攻击日志和所述第一访问请求日志从所述待分析的访问请求日志中删除,将剩余的访问请求日志作为所述目标访问请求日志。
本申请实施例中,所述装置还包括:
日志删除模块,用于从剩余的访问请求日志中删除符合预设条件的访问请求日志;其中,所述符合预设条件的访问请求日志包括:包含指定字段和/或指定关键字的访问请求日志,和/或,静态资源的访问请求日志。
本申请实施例中,所述规则生成模块503,包括:
拆分单元,用于将所述目标访问请求日志中的指定字符串进行拆分,得到多个字段;
指标参数获取单元,用于获取所述多个字段中的预定字段的指标参数;
规则生成单元,用于根据所述预定字段的指标参数,生成用于判定允许进行网络访问的网络访问规则。
本申请实施例中,所述指标参数包括不同参数值的数目,
所述规则生成模块503,用于如果所述不同参数值的数目小于预定参数阈值,则根据所述预定字段的指标参数,生成用于判定允许进行网络访问的网络访问规则。
本申请实施例中,所述规则生成模块503,还用于如果所述不同参数值的数目不小于预定参数阈值,则将所述预定字段的指标参数进行泛化处理,得到泛化后的指标参数;根据所述预定字段的指标参数和所述泛化后的指标参数,生成用于判定允许进行网络访问的网络访问规则。
本申请实施例中,所述规则生成模块503,用于如果所述目标访问请求日志中包括访问请求路径的数目超过第一预定数目阈值,且包括的源地址信息的数目超过第二预定数目阈值,则基于所述目标访问请求日志生成用于判定允许进行网络访问的网络访问规则。
本申请实施例中,所述装置还包括:
规则提供模块,用于将所述网络访问规则提供给服务器,以使服务器基于所述网络访问规则进行安全访问控制。
本申请实施例提供一种网络访问规则的生成装置,通过从获取的待分析的访问请求日志中选取允许进行网络访问的访问请求对应的目标访问请求日志,进而基于该目标访问请求日志生成用于判定允许进行网络访问的网络访问规则,以便可以通过生成的网络访问规则对访问请求进行检测,以判定能否对该访问请求进行响应,这样,通过生成的用于判定允许进行网络访问的网络访问规则(即白名单)对访问请求进行是否响应的检测与判定,使得只有满足该网络访问规则的访问请求才可以被响应,从而避免新的漏洞或新的网络攻击形态造成的漏报,提高网络访问的安全性。
基于同样的思路,本申请实施例还提供一种安全访问控制装置,如图6所示。
所述安全访问控制装置包括:日志获取模块601、规则更新模块602和访问控制模块603,其中:
日志获取模块601,用于当网络访问规则的更新条件满足时,获取当前允许进行网络访问的访问请求对应的目标访问请求日志;
规则更新模块602,用于基于所述目标访问请求日志生成网络访问规则,根据生成的网络访问规则更新当前的网络访问规则;
访问控制模块603,用于基于更新后的所述网络访问规则,对接收到网络访问请求进行安全访问控制。
本申请实施例中,所述预设的网络访问规则的更新条件包括以下中的一种或多种:当前时间距前一次更新网络访问规则的时间间隔达到预设值,和获取的待分析的网络访问日志的数量达到预设值。
本申请实施例中,所述访问控制模块603,用于如果接收到的所述网络访问请求与所述更新后的网络访问规则相匹配,则响应所述网络访问请求;如果接收到的所述网络访问请求与所述更新后的网络访问规则不匹配,则拒绝响应所述网络访问请求。
本申请实施例中,所述规则更新模块602,用于将所述当前的网络访问规则中未包含,而生成的网络访问规则中包含的规则内容添加到所述当前的网络访问规则,以更新当前的网络访问规则;和/或,将所述当前的网络访问规则和生成的网络访问规则中包含的相同类别的不同规则内容进行合并,以更新当前的网络访问规则。
本申请实施例提供一种安全访问控制设备,通过从获取的待分析的访问请求日志中选取允许进行网络访问的访问请求对应的目标访问请求日志,进而基于该目标访问请求日志生成用于判定允许进行网络访问的网络访问规则,以便可以通过生成的网络访问规则对访问请求进行检测,以判定能否对该访问请求进行响应,这样,通过生成的用于判定允许进行网络访问的网络访问规则(即白名单)对访问请求进行是否响应的检测与判定,使得只有满足该网络访问规则的访问请求才可以被响应,从而避免新的漏洞或新的网络攻击形态造成的漏报,提高网络访问的安全性。
基于同样的思路,本申请实施例还提供一种安全访问控制装置,如图7所示。
所述安全访问控制装置包括:日志获取模块701、规则生成模块702和访问控制模块703,其中:
日志获取模块701,用于获取当前允许进行网络访问的访问请求对应的目标访问请求日志;
规则生成模块702,用于基于所述目标访问请求日志生成网络访问规则;
访问控制模块703,用于根据生成的网络访问规则,对接收到网络访问请求进行安全访问控制。
本申请实施例中,所述装置还包括:
日志删除模块,用于从目标访问请求日志中删除符合预设条件的访问请求日志;其中,所述符合预设条件的访问请求日志包括:包含指定字段和/或指定关键字的访问请求日志,和/或,静态资源的访问请求日志。
本申请实施例中,所述规则生成模块702,包括:
拆分单元,用于将所述目标访问请求日志中的指定字符串进行拆分,得到多个字段;
指标参数获取单元,用于获取所述多个字段中的预定字段的指标参数;
规则生成单元,用于根据所述预定字段的指标参数,生成网络访问规则。
本申请实施例中,所述指标参数包括不同参数值的数目,
所述规则生成模块702,用于如果所述不同参数值的数目小于预定参数阈值,则根据所述预定字段的指标参数,生成网络访问规则。
本申请实施例中,所述规则生成模块702,还用于如果所述不同参数值的数目不小于预定参数阈值,则将所述预定字段的指标参数进行泛化处理,得到泛化后的指标参数;根据所述预定字段的指标参数和所述泛化后的指标参数,生成网络访问规则。
本申请实施例中,所述规则生成模块702,用于如果所述目标访问请求日志中包括访问请求路径的数目超过第一预定数目阈值,且包括的源地址信息的数目超过第二预定数目阈值,则基于所述目标访问请求日志生成网络访问规则。
本申请实施例中,所述访问控制模块703,用于如果接收到的所述网络访问请求与所述网络访问规则相匹配,则响应所述网络访问请求;如果接收到的所述网络访问请求与所述网络访问规则不匹配,则拒绝响应所述网络访问请求。
本申请实施例提供一种安全访问控制装置,通过获取的允许进行网络访问的访问请求对应的目标访问请求日志生成用于判定允许进行网络访问的网络访问规则,以便可以通过生成的网络访问规则对访问请求进行检测,以判定能否对该访问请求进行响应,这样,通过生成的用于判定允许进行网络访问的网络访问规则(即白名单)对访问请求进行是否响应的检测与判定,使得只有满足该网络访问规则的访问请求才可以被响应,从而避免新的漏洞或新的网络攻击形态造成的漏报,提高网络访问的安全性。
基于以上为本申请实施例提供的网络访问规则的生成装置,基于同样的思路,本申请实施例还提供一种网络访问规则的生成设备,如图8所示。
该网络访问规则的生成设备可以为上述实施例提供的终端设备或服务器等。
网络访问规则的生成设备可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上的处理器801和存储器802,存储器802中可以存储有一个或一个以上存储应用程序或数据。其中,存储器802可以是短暂存储或持久存储。存储在存储器802的应用程序可以包括一个或一个以上模块(图示未示出),每个模块可以包括对网络访问规则的生成设备中的一系列计算机可执行指令。更进一步地,处理器801可以设置为与存储器802通信,在网络访问规则的生成设备上执行存储器802中的一系列计算机可执行指令。网络访问规则的生成设备还可以包括一个或一个以上电源803,一个或一个以上有线或无线网络接口804,一个或一个以上输入输出接口805,一个或一个以上键盘806。
具体在本实施例中,网络访问规则的生成设备包括有存储器,以及一个或一个以上的程序,其中一个或者一个以上程序存储于存储器中,且一个或者一个以上程序可以包括一个或一个以上模块,且每个模块可以包括对网络访问规则的生成设备中的一系列计算机可执行指令,且经配置以由一个或者一个以上处理器执行该一个或者一个以上程序包含用于进行以下计算机可执行指令:
获取待分析的访问请求日志;
从所述待分析的访问请求日志中选取目标访问请求日志,所述目标访问请求日志为允许进行网络访问的访问请求所对应的访问请求日志;
基于所述目标访问请求日志生成用于判定允许进行网络访问的网络访问规则。
可选地,所述可执行指令在被执行时,还可以使所述处理器:
从所述待分析的访问请求日志中选取攻击日志,以及所述攻击日志的来源地址信息对应的第一访问请求日志;
将所述攻击日志和所述第一访问请求日志从所述待分析的访问请求日志中删除,将剩余的访问请求日志作为所述目标访问请求日志。
可选地,所述可执行指令在被执行时,还可以使所述处理器:
从剩余的访问请求日志中删除符合预设条件的访问请求日志;其中,所述符合预设条件的访问请求日志包括:包含指定字段和/或指定关键字的访问请求日志,和/或,静态资源的访问请求日志。
可选地,所述可执行指令在被执行时,还可以使所述处理器:
将所述目标访问请求日志中的指定字符串进行拆分,得到多个字段;
获取所述多个字段中的预定字段的指标参数;
根据所述预定字段的指标参数,生成用于判定允许进行网络访问的网络访问规则。
可选地,所述指标参数包括不同参数值的数目;
所述可执行指令在被执行时,还可以使所述处理器:
如果所述不同参数值的数目小于预定参数阈值,则根据所述预定字段的指标参数,生成用于判定允许进行网络访问的网络访问规则。
可选地,所述可执行指令在被执行时,还可以使所述处理器:
如果所述不同参数值的数目不小于预定参数阈值,则将所述预定字段的指标参数进行泛化处理,得到泛化后的指标参数;
根据所述预定字段的指标参数和所述泛化后的指标参数,生成用于判定允许进行网络访问的网络访问规则。
可选地,所述可执行指令在被执行时,还可以使所述处理器:
如果所述目标访问请求日志中包括访问请求路径的数目超过第一预定数目阈值,且包括的源地址信息的数目超过第二预定数目阈值,则基于所述目标访问请求日志生成用于判定允许进行网络访问的网络访问规则。
可选地,所述可执行指令在被执行时,还可以使所述处理器:
将所述网络访问规则提供给服务器,以使服务器基于所述网络访问规则进行安全访问控制。
本申请实施例提供一种网络访问规则的生成设备,通过从获取的待分析的访问请求日志中选取允许进行网络访问的访问请求对应的目标访问请求日志,进而基于该目标访问请求日志生成用于判定允许进行网络访问的网络访问规则,以便可以通过生成的网络访问规则对访问请求进行检测,以判定能否对该访问请求进行响应,这样,通过生成的用于判定允许进行网络访问的网络访问规则(即白名单)对访问请求进行是否响应的检测与判定,使得只有满足该网络访问规则的访问请求才可以被响应,从而避免新的漏洞或新的网络攻击形态造成的漏报,提高网络访问的安全性。
基于同样的思路,本申请实施例还提供一种安全访问控制设备,如图9所示。
该安全访问控制设备可以为上述实施例提供的终端设备或服务器等。
安全访问控制设备可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上的处理器901和存储器902,存储器902中可以存储有一个或一个以上存储应用程序或数据。其中,存储器902可以是短暂存储或持久存储。存储在存储器902的应用程序可以包括一个或一个以上模块(图示未示出),每个模块可以包括对安全访问控制设备中的一系列计算机可执行指令。更进一步地,处理器901可以设置为与存储器902通信,在安全访问控制设备上执行存储器902中的一系列计算机可执行指令。安全访问控制设备还可以包括一个或一个以上电源903,一个或一个以上有线或无线网络接口904,一个或一个以上输入输出接口905,一个或一个以上键盘906。
具体在本实施例中,安全访问控制设备包括有存储器,以及一个或一个以上的程序,其中一个或者一个以上程序存储于存储器中,且一个或者一个以上程序可以包括一个或一个以上模块,且每个模块可以包括对安全访问控制设备中的一系列计算机可执行指令,且经配置以由一个或者一个以上处理器执行该一个或者一个以上程序包含用于进行以下计算机可执行指令:
当网络访问规则的更新条件满足时,获取当前允许进行网络访问的访问请求对应的目标访问请求日志;
基于所述目标访问请求日志生成网络访问规则,根据生成的网络访问规则更新当前的网络访问规则;
基于更新后的所述网络访问规则,对接收到网络访问请求进行安全访问控制。
可选地,所述预设的网络访问规则的更新条件包括以下中的一种或多种:当前时间距前一次更新网络访问规则的时间间隔达到预设值,和获取的待分析的网络访问日志的数量达到预设值。
可选地,所述可执行指令在被执行时,还可以使所述处理器:
如果接收到的所述网络访问请求与所述更新后的网络访问规则相匹配,则响应所述网络访问请求;
如果接收到的所述网络访问请求与所述更新后的网络访问规则不匹配,则拒绝响应所述网络访问请求。
可选地,所述可执行指令在被执行时,还可以使所述处理器:
将所述当前的网络访问规则中未包含,而生成的网络访问规则中包含的规则内容添加到所述当前的网络访问规则,以更新当前的网络访问规则;和/或,
将所述当前的网络访问规则和生成的网络访问规则中包含的相同类别的不同规则内容进行合并,以更新当前的网络访问规则。
本申请实施例提供一种安全访问控制设备,通过从获取的待分析的访问请求日志中选取允许进行网络访问的访问请求对应的目标访问请求日志,进而基于该目标访问请求日志生成用于判定允许进行网络访问的网络访问规则,以便可以通过生成的网络访问规则对访问请求进行检测,以判定能否对该访问请求进行响应,这样,通过生成的用于判定允许进行网络访问的网络访问规则(即白名单)对访问请求进行是否响应的检测与判定,使得只有满足该网络访问规则的访问请求才可以被响应,从而避免新的漏洞或新的网络攻击形态造成的漏报,提高网络访问的安全性。
基于同样的思路,本申请实施例还提供一种安全访问控制设备,如图10所示。
该安全访问控制设备可以为上述实施例提供的终端设备或服务器等。
安全访问控制设备可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上的处理器1001和存储器1002,存储器1002中可以存储有一个或一个以上存储应用程序或数据。其中,存储器1002可以是短暂存储或持久存储。存储在存储器1002的应用程序可以包括一个或一个以上模块(图示未示出),每个模块可以包括对安全访问控制设备中的一系列计算机可执行指令。更进一步地,处理器1001可以设置为与存储器1002通信,在安全访问控制设备上执行存储器1002中的一系列计算机可执行指令。安全访问控制设备还可以包括一个或一个以上电源1003,一个或一个以上有线或无线网络接口1004,一个或一个以上输入输出接口1005,一个或一个以上键盘1006。
具体在本实施例中,安全访问控制设备包括有存储器,以及一个或一个以上的程序,其中一个或者一个以上程序存储于存储器中,且一个或者一个以上程序可以包括一个或一个以上模块,且每个模块可以包括对安全访问控制设备中的一系列计算机可执行指令,且经配置以由一个或者一个以上处理器执行该一个或者一个以上程序包含用于进行以下计算机可执行指令:
获取当前允许进行网络访问的访问请求对应的目标访问请求日志;
基于所述目标访问请求日志生成网络访问规则;
根据生成的网络访问规则,对接收到网络访问请求进行安全访问控制。
可选地,所述可执行指令在被执行时,还可以使所述处理器:
从目标访问请求日志中删除符合预设条件的访问请求日志;其中,所述符合预设条件的访问请求日志包括:包含指定字段和/或指定关键字的访问请求日志,和/或,静态资源的访问请求日志。
可选地,所述可执行指令在被执行时,还可以使所述处理器:
将所述目标访问请求日志中的指定字符串进行拆分,得到多个字段;
获取所述多个字段中的预定字段的指标参数;
根据所述预定字段的指标参数,生成网络访问规则。
可选地,所述可执行指令在被执行时,还可以使所述处理器:
所述指标参数包括不同参数值的数目,如果所述不同参数值的数目小于预定参数阈值,则根据所述预定字段的指标参数,生成网络访问规则。
可选地,所述可执行指令在被执行时,还可以使所述处理器:
如果所述不同参数值的数目不小于预定参数阈值,则将所述预定字段的指标参数进行泛化处理,得到泛化后的指标参数;
根据所述预定字段的指标参数和所述泛化后的指标参数,生成网络访问规则。
可选地,所述可执行指令在被执行时,还可以使所述处理器:
如果所述目标访问请求日志中包括访问请求路径的数目超过第一预定数目阈值,且包括的源地址信息的数目超过第二预定数目阈值,则基于所述目标访问请求日志生成网络访问规则。
可选地,所述可执行指令在被执行时,还可以使所述处理器:
如果接收到的所述网络访问请求与所述网络访问规则相匹配,则响应所述网络访问请求;
如果接收到的所述网络访问请求与所述网络访问规则不匹配,则拒绝响应所述网络访问请求。
本申请实施例提供一种安全访问控制设备,通过获取的允许进行网络访问的访问请求对应的目标访问请求日志生成用于判定允许进行网络访问的网络访问规则,以便可以通过生成的网络访问规则对访问请求进行检测,以判定能否对该访问请求进行响应,这样,通过生成的用于判定允许进行网络访问的网络访问规则(即白名单)对访问请求进行是否响应的检测与判定,使得只有满足该网络访问规则的访问请求才可以被响应,从而避免新的漏洞或新的网络攻击形态造成的漏报,提高网络访问的安全性。
在20世纪90年代,对于一个技术的改进可以很明显地区分是硬件上的改进(例如,对二极管、晶体管、开关等电路结构的改进)还是软件上的改进(对于方法流程的改进)。然而,随着技术的发展,当今的很多方法流程的改进已经可以视为硬件电路结构的直接改进。设计人员几乎都通过将改进的方法流程编程到硬件电路中来得到相应的硬件电路结构。因此,不能说一个方法流程的改进就不能用硬件实体模块来实现。例如,可编程逻辑器件(Programmable Logic Device,PLD)(例如现场可编程门阵列(Field Programmable GateArray,FPGA))就是这样一种集成电路,其逻辑功能由用户对器件编程来确定。由设计人员自行编程来把一个数字系统“集成”在一片PLD上,而不需要请芯片制造厂商来设计和制作专用的集成电路芯片。而且,如今,取代手工地制作集成电路芯片,这种编程也多半改用“逻辑编译器(logic compiler)”软件来实现,它与程序开发撰写时所用的软件编译器相类似,而要编译之前的原始代码也得用特定的编程语言来撰写,此称之为硬件描述语言(Hardware Description Language,HDL),而HDL也并非仅有一种,而是有许多种,如ABEL(Advanced Boolean Expression Language)、AHDL(Altera Hardware DescriptionLanguage)、Confluence、CUPL(Cornell University Programming Language)、HDCal、JHDL(Java Hardware Description Language)、Lava、Lola、MyHDL、PALASM、RHDL(RubyHardware Description Language)等,目前最普遍使用的是VHDL(Very-High-SpeedIntegrated Circuit Hardware Description Language)与Verilog。本领域技术人员也应该清楚,只需要将方法流程用上述几种硬件描述语言稍作逻辑编程并编程到集成电路中,就可以很容易得到实现该逻辑方法流程的硬件电路。
控制器可以按任何适当的方式实现,例如,控制器可以采取例如微处理器或处理器以及存储可由该(微)处理器执行的计算机可读程序代码(例如软件或固件)的计算机可读介质、逻辑门、开关、专用集成电路(Application Specific Integrated Circuit,ASIC)、可编程逻辑控制器和嵌入微控制器的形式,控制器的例子包括但不限于以下微控制器:ARC 625D、Atmel AT91SAM、Microchip PIC18F26K20以及Silicone Labs C8051F320,存储器控制器还可以被实现为存储器的控制逻辑的一部分。本领域技术人员也知道,除了以纯计算机可读程序代码方式实现控制器以外,完全可以通过将方法步骤进行逻辑编程来使得控制器以逻辑门、开关、专用集成电路、可编程逻辑控制器和嵌入微控制器等的形式来实现相同功能。因此这种控制器可以被认为是一种硬件部件,而对其内包括的用于实现各种功能的装置也可以视为硬件部件内的结构。或者甚至,可以将用于实现各种功能的装置视为既可以是实现方法的软件模块又可以是硬件部件内的结构。
上述实施例阐明的系统、装置、模块或单元,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。一种典型的实现设备为计算机。具体的,计算机例如可以为个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任何设备的组合。
为了描述的方便,描述以上装置时以功能分为各种单元分别描述。当然,在实施本申请时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
本领域技术人员应明白,本申请的实施例可提供为方法、系统或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请可以在由计算机执行的计算机可执行指令的一般上下文中描述,例如程序模块。一般地,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本申请,在这些分布式计算环境中,由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中,程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。
Claims (24)
1.一种安全访问控制方法,其特征在于,所述方法包括:
当网络访问规则的更新条件满足时,获取当前允许进行网络访问的访问请求对应的目标访问请求日志;
基于所述目标访问请求日志生成网络访问规则,根据生成的网络访问规则更新当前的网络访问规则;
基于更新后的所述网络访问规则,对接收到网络访问请求进行安全访问控制。
2.根据权利要求1所述的方法,其特征在于,所述预设的网络访问规则的更新条件包括以下中的一种或多种:当前时间距前一次更新网络访问规则的时间间隔达到预设值,和获取的待分析的网络访问日志的数量达到预设值。
3.根据权利要求1所述的方法,其特征在于,所述基于更新后的所述网络访问规则,对接收到网络访问请求进行安全访问控制,包括:
如果接收到的所述网络访问请求与所述更新后的网络访问规则相匹配,则响应所述网络访问请求;
如果接收到的所述网络访问请求与所述更新后的网络访问规则不匹配,则拒绝响应所述网络访问请求。
4.根据权利要求1所述的方法,其特征在于,所述根据生成的网络访问规则更新当前的网络访问规则,包括:
将所述当前的网络访问规则中未包含、而生成的网络访问规则中包含的规则内容添加到所述当前的网络访问规则,以更新当前的网络访问规则;和/或,
将所述当前的网络访问规则和生成的网络访问规则中包含的相同类别的不同规则内容进行合并,以更新当前的网络访问规则。
5.一种网络访问规则的生成方法,其特征在于,所述方法包括:
获取待分析的访问请求日志;
从所述待分析的访问请求日志中选取目标访问请求日志,所述目标访问请求日志为允许进行网络访问的访问请求所对应的访问请求日志;
基于所述目标访问请求日志生成用于判定允许进行网络访问的网络访问规则。
6.根据权利要求5所述的方法,其特征在于,所述从所述待分析的访问请求日志中选取目标访问请求日志,包括:
从所述待分析的访问请求日志中选取攻击日志,以及所述攻击日志的来源地址信息对应的第一访问请求日志;
将所述攻击日志和所述第一访问请求日志从所述待分析的访问请求日志中删除,将剩余的访问请求日志作为所述目标访问请求日志。
7.根据权利要求6所述的方法,其特征在于,所述将所述攻击日志和所述第一访问请求日志从所述待分析的访问请求日志中删除之后,所述方法还包括:
从剩余的访问请求日志中删除符合预设条件的访问请求日志;其中,所述符合预设条件的访问请求日志包括:包含指定字段和/或指定关键字的访问请求日志,和/或,静态资源的访问请求日志。
8.根据权利要求5所述的方法,其特征在于,所述基于所述目标访问请求日志生成用于判定允许进行网络访问的网络访问规则,包括:
将所述目标访问请求日志中的指定字符串进行拆分,得到多个字段;
获取所述多个字段中的预定字段的指标参数;
根据所述预定字段的指标参数,生成用于判定允许进行网络访问的网络访问规则。
9.根据权利要求8所述的方法,其特征在于,所述指标参数包括不同参数值的数目;
所述根据所述预定字段的指标参数,生成用于判定允许进行网络访问的网络访问规则,包括:
如果所述不同参数值的数目小于预定参数阈值,则根据所述预定字段的指标参数,生成用于判定允许进行网络访问的网络访问规则。
10.根据权利要求9所述的方法,其特征在于,所述方法还包括:
如果所述不同参数值的数目不小于预定参数阈值,则将所述预定字段的指标参数进行泛化处理,得到泛化后的指标参数;
根据所述预定字段的指标参数和所述泛化后的指标参数,生成用于判定允许进行网络访问的网络访问规则。
11.根据权利要求5所述的方法,其特征在于,所述基于所述目标访问请求日志生成用于判定允许进行网络访问的网络访问规则,包括:
如果所述目标访问请求日志中包括访问请求路径的数目超过第一预定数目阈值,且包括的源地址信息的数目超过第二预定数目阈值,则基于所述目标访问请求日志生成用于判定允许进行网络访问的网络访问规则。
12.根据权利要求5-11中任一项所述的方法,其特征在于,所述方法还包括:
将所述网络访问规则提供给服务器,以使服务器基于所述网络访问规则进行安全访问控制。
13.一种安全访问控制方法,其特征在于,所述方法包括:
获取当前允许进行网络访问的访问请求对应的目标访问请求日志;
基于所述目标访问请求日志生成网络访问规则;
根据生成的网络访问规则,对接收到网络访问请求进行安全访问控制。
14.一种安全访问控制装置,其特征在于,所述装置包括:
日志获取模块,用于当网络访问规则的更新条件满足时,获取当前允许进行网络访问的访问请求对应的目标访问请求日志;
规则更新模块,用于基于所述目标访问请求日志生成网络访问规则,根据生成的网络访问规则更新当前的网络访问规则;
访问控制模块,用于基于更新后的所述网络访问规则,对接收到网络访问请求进行安全访问控制。
15.根据权利要求14所述的装置,其特征在于,所述预设的网络访问规则的更新条件包括以下中的一种或多种:当前时间距前一次更新网络访问规则的时间间隔达到预设值,和获取的待分析的网络访问日志的数量达到预设值。
16.一种网络访问规则的生成装置,其特征在于,所述装置包括:
日志获取模块,用于获取待分析的访问请求日志;
目标日志获取模块,用于从所述待分析的访问请求日志中选取目标访问请求日志,所述目标访问请求日志为允许进行网络访问的访问请求所对应的访问请求日志;
规则生成模块,用于基于所述目标访问请求日志生成用于判定允许进行网络访问的网络访问规则。
17.根据权利要求16所述的装置,其特征在于,所述目标日志获取模块,包括:
第一日志获取单元,用于从所述待分析的访问请求日志中选取攻击日志,以及所述攻击日志的来源地址信息对应的第一访问请求日志;
目标日志获取单元,用于将所述攻击日志和所述第一访问请求日志从所述待分析的访问请求日志中删除,将剩余的访问请求日志作为所述目标访问请求日志。
18.根据权利要求17所述的装置,其特征在于,所述装置还包括:
日志删除模块,用于从剩余的访问请求日志中删除符合预设条件的访问请求日志;其中,所述符合预设条件的访问请求日志包括:包含指定字段和/或指定关键字的访问请求日志,和/或,静态资源的访问请求日志。
19.根据权利要求16所述的装置,其特征在于,所述规则生成模块,包括:
拆分单元,用于将所述目标访问请求日志中的指定字符串进行拆分,得到多个字段;
指标参数获取单元,用于获取所述多个字段中的预定字段的指标参数;
规则生成单元,用于根据所述预定字段的指标参数,生成用于判定允许进行网络访问的网络访问规则。
20.根据权利要求16所述的装置,其特征在于,所述规则生成模块,用于如果所述目标访问请求日志中包括访问请求路径的数目超过第一预定数目阈值,且包括的源地址信息的数目超过第二预定数目阈值,则基于所述目标访问请求日志生成用于判定允许进行网络访问的网络访问规则。
21.一种安全访问控制装置,其特征在于,所述装置包括:
日志获取模块,用于获取当前允许进行网络访问的访问请求对应的目标访问请求日志;
规则生成模块,用于基于所述目标访问请求日志生成网络访问规则;
访问控制模块,用于根据生成的网络访问规则,对接收到网络访问请求进行安全访问控制。
22.一种安全访问控制设备,其特征在于,包括:
处理器;以及
被安排成存储计算机可执行指令的存储器,所述可执行指令在被执行时使所述处理器:
当网络访问规则的更新条件满足时,获取当前允许进行网络访问的访问请求对应的目标访问请求日志;
基于所述目标访问请求日志生成网络访问规则,根据生成的网络访问规则更新当前的网络访问规则;
基于更新后的所述网络访问规则,对接收到网络访问请求进行安全访问控制。
23.一种网络访问规则的生成设备,其特征在于,包括:
处理器;以及
被安排成存储计算机可执行指令的存储器,所述可执行指令在被执行时使所述处理器:
获取待分析的访问请求日志;
从所述待分析的访问请求日志中选取目标访问请求日志,所述目标访问请求日志为允许进行网络访问的访问请求所对应的访问请求日志;
基于所述目标访问请求日志生成用于判定允许进行网络访问的网络访问规则。
24.一种安全访问控制设备,其特征在于,包括:
处理器;以及
被安排成存储计算机可执行指令的存储器,所述可执行指令在被执行时使所述处理器:
获取当前允许进行网络访问的访问请求对应的目标访问请求日志;
基于所述目标访问请求日志生成网络访问规则;
根据生成的网络访问规则,对接收到网络访问请求进行安全访问控制。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710560386.5A CN109246064B (zh) | 2017-07-11 | 2017-07-11 | 安全访问控制、网络访问规则的生成方法、装置及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710560386.5A CN109246064B (zh) | 2017-07-11 | 2017-07-11 | 安全访问控制、网络访问规则的生成方法、装置及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109246064A true CN109246064A (zh) | 2019-01-18 |
| CN109246064B CN109246064B (zh) | 2021-09-03 |
Family
ID=65083835
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710560386.5A Active CN109246064B (zh) | 2017-07-11 | 2017-07-11 | 安全访问控制、网络访问规则的生成方法、装置及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109246064B (zh) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110012096A (zh) * | 2019-04-03 | 2019-07-12 | 中国工商银行股份有限公司 | 移动客户端服务更新管理方法、装置及系统 |
| CN110071941A (zh) * | 2019-05-08 | 2019-07-30 | 北京奇艺世纪科技有限公司 | 一种网络攻击检测方法、设备、存储介质及计算机设备 |
| CN111182060A (zh) * | 2019-12-30 | 2020-05-19 | 北京健康之家科技有限公司 | 报文的检测方法及装置 |
| CN111726364A (zh) * | 2020-06-29 | 2020-09-29 | 浙江军盾信息科技有限公司 | 一种主机入侵防范方法、系统及相关装置 |
| CN111756644A (zh) * | 2020-06-30 | 2020-10-09 | 深圳壹账通智能科技有限公司 | 热点限流方法、系统、设备及存储介质 |
| CN111913913A (zh) * | 2020-08-07 | 2020-11-10 | 星辰天合(北京)数据科技有限公司 | 访问请求的处理方法和装置 |
| CN112491863A (zh) * | 2020-11-23 | 2021-03-12 | 中国联合网络通信集团有限公司 | Ip地址黑灰名单分析方法、服务器、终端及存储介质 |
| CN114079574A (zh) * | 2020-08-14 | 2022-02-22 | 中移动信息技术有限公司 | 数据过滤的方法、装置、设备及存储介质 |
| CN115037531A (zh) * | 2022-05-25 | 2022-09-09 | 杭州默安科技有限公司 | 一种未授权访问漏洞检测方法、设备、系统 |
| CN115051845A (zh) * | 2022-06-08 | 2022-09-13 | 北京启明星辰信息安全技术有限公司 | 一种可疑流量识别方法、装置、设备和存储介质 |
| CN115314271A (zh) * | 2022-07-29 | 2022-11-08 | 云盾智慧安全科技有限公司 | 一种访问请求的检测方法、系统及计算机存储介质 |
| CN116032570A (zh) * | 2022-12-15 | 2023-04-28 | 中国联合网络通信集团有限公司 | 网络访问管理方法、装置、电子设备和存储介质 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103118035A (zh) * | 2013-03-07 | 2013-05-22 | 星云融创(北京)信息技术有限公司 | 分析网站访问请求参数合法范围的方法及装置 |
| CN103179132A (zh) * | 2013-04-09 | 2013-06-26 | 中国信息安全测评中心 | 一种检测和防御cc攻击的方法及装置 |
| US8903986B1 (en) * | 2010-04-05 | 2014-12-02 | Symantec Corporation | Real-time identification of URLs accessed by automated processes |
| CN105306465A (zh) * | 2015-10-30 | 2016-02-03 | 新浪网技术(中国)有限公司 | 网站安全访问实现方法及装置 |
| CN105404813A (zh) * | 2015-10-26 | 2016-03-16 | 浪潮电子信息产业股份有限公司 | 一种基于主机防御系统的日志生成方法、装置及系统 |
| CN105556534A (zh) * | 2013-07-12 | 2016-05-04 | 三星电子株式会社 | 用于在发生拒绝时建议响应指南的电子设备和方法 |
| CN106657057A (zh) * | 2016-12-20 | 2017-05-10 | 北京金堤科技有限公司 | 反爬虫系统及方法 |
| CN106789868A (zh) * | 2016-09-05 | 2017-05-31 | 中国人民财产保险股份有限公司 | 一种网站用户行为识别与管控系统 |
-
2017
- 2017-07-11 CN CN201710560386.5A patent/CN109246064B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8903986B1 (en) * | 2010-04-05 | 2014-12-02 | Symantec Corporation | Real-time identification of URLs accessed by automated processes |
| CN103118035A (zh) * | 2013-03-07 | 2013-05-22 | 星云融创(北京)信息技术有限公司 | 分析网站访问请求参数合法范围的方法及装置 |
| CN103179132A (zh) * | 2013-04-09 | 2013-06-26 | 中国信息安全测评中心 | 一种检测和防御cc攻击的方法及装置 |
| CN105556534A (zh) * | 2013-07-12 | 2016-05-04 | 三星电子株式会社 | 用于在发生拒绝时建议响应指南的电子设备和方法 |
| CN105404813A (zh) * | 2015-10-26 | 2016-03-16 | 浪潮电子信息产业股份有限公司 | 一种基于主机防御系统的日志生成方法、装置及系统 |
| CN105306465A (zh) * | 2015-10-30 | 2016-02-03 | 新浪网技术(中国)有限公司 | 网站安全访问实现方法及装置 |
| CN106789868A (zh) * | 2016-09-05 | 2017-05-31 | 中国人民财产保险股份有限公司 | 一种网站用户行为识别与管控系统 |
| CN106657057A (zh) * | 2016-12-20 | 2017-05-10 | 北京金堤科技有限公司 | 反爬虫系统及方法 |
Cited By (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110012096A (zh) * | 2019-04-03 | 2019-07-12 | 中国工商银行股份有限公司 | 移动客户端服务更新管理方法、装置及系统 |
| CN110071941A (zh) * | 2019-05-08 | 2019-07-30 | 北京奇艺世纪科技有限公司 | 一种网络攻击检测方法、设备、存储介质及计算机设备 |
| CN110071941B (zh) * | 2019-05-08 | 2021-10-29 | 北京奇艺世纪科技有限公司 | 一种网络攻击检测方法、设备、存储介质及计算机设备 |
| CN111182060A (zh) * | 2019-12-30 | 2020-05-19 | 北京健康之家科技有限公司 | 报文的检测方法及装置 |
| CN111726364A (zh) * | 2020-06-29 | 2020-09-29 | 浙江军盾信息科技有限公司 | 一种主机入侵防范方法、系统及相关装置 |
| CN111726364B (zh) * | 2020-06-29 | 2023-04-07 | 杭州安恒信息安全技术有限公司 | 一种主机入侵防范方法、系统及相关装置 |
| CN111756644B (zh) * | 2020-06-30 | 2023-04-07 | 深圳壹账通智能科技有限公司 | 热点限流方法、系统、设备及存储介质 |
| CN111756644A (zh) * | 2020-06-30 | 2020-10-09 | 深圳壹账通智能科技有限公司 | 热点限流方法、系统、设备及存储介质 |
| CN111913913A (zh) * | 2020-08-07 | 2020-11-10 | 星辰天合(北京)数据科技有限公司 | 访问请求的处理方法和装置 |
| CN111913913B (zh) * | 2020-08-07 | 2024-02-13 | 北京星辰天合科技股份有限公司 | 访问请求的处理方法和装置 |
| CN114079574A (zh) * | 2020-08-14 | 2022-02-22 | 中移动信息技术有限公司 | 数据过滤的方法、装置、设备及存储介质 |
| CN112491863B (zh) * | 2020-11-23 | 2022-07-29 | 中国联合网络通信集团有限公司 | Ip地址黑灰名单分析方法、服务器、终端及存储介质 |
| CN112491863A (zh) * | 2020-11-23 | 2021-03-12 | 中国联合网络通信集团有限公司 | Ip地址黑灰名单分析方法、服务器、终端及存储介质 |
| CN115037531A (zh) * | 2022-05-25 | 2022-09-09 | 杭州默安科技有限公司 | 一种未授权访问漏洞检测方法、设备、系统 |
| CN115051845A (zh) * | 2022-06-08 | 2022-09-13 | 北京启明星辰信息安全技术有限公司 | 一种可疑流量识别方法、装置、设备和存储介质 |
| CN115314271A (zh) * | 2022-07-29 | 2022-11-08 | 云盾智慧安全科技有限公司 | 一种访问请求的检测方法、系统及计算机存储介质 |
| CN115314271B (zh) * | 2022-07-29 | 2023-11-24 | 云盾智慧安全科技有限公司 | 一种访问请求的检测方法、系统及计算机存储介质 |
| CN116032570A (zh) * | 2022-12-15 | 2023-04-28 | 中国联合网络通信集团有限公司 | 网络访问管理方法、装置、电子设备和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109246064B (zh) | 2021-09-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109246064A (zh) | 安全访问控制、网络访问规则的生成方法、装置及设备 | |
| Jain et al. | A machine learning based approach for phishing detection using hyperlinks information | |
| Rao et al. | Jail-Phish: An improved search engine based phishing detection system | |
| Egele et al. | Towards detecting compromised accounts on social networks | |
| Marchal et al. | Off-the-hook: An efficient and usable client-side phishing prevention application | |
| Egele et al. | Compa: Detecting compromised accounts on social networks. | |
| US11429625B2 (en) | Query engine for remote endpoint information retrieval | |
| US11463459B2 (en) | Network security intrusion detection | |
| CN106899549B (zh) | 一种网络安全检测方法及装置 | |
| CN111585956B (zh) | 一种网址防刷验证方法与装置 | |
| Cao et al. | JShield: Towards real-time and vulnerability-based detection of polluted drive-by download attacks | |
| Setianto et al. | GPT-2C: A parser for honeypot logs using large pre-trained language models | |
| Chen et al. | Ai@ ntiphish—machine learning mechanisms for cyber-phishing attack | |
| Alam et al. | Cyner: A python library for cybersecurity named entity recognition | |
| RU2659482C1 (ru) | Способ защиты веб-приложений при помощи интеллектуального сетевого экрана с использованием автоматического построения моделей приложений | |
| Thakur et al. | An intelligent algorithmically generated domain detection system | |
| Alam et al. | Looking beyond IoCs: Automatically extracting attack patterns from external CTI | |
| CN113067792A (zh) | 一种xss攻击识别方法、装置、设备及介质 | |
| US20200167477A1 (en) | Security Testing Tool Using Crowd-Sourced Data | |
| Park | Text-based phishing detection using a simulation model | |
| Almukaynizi et al. | A logic programming approach to predict enterprise-targeted cyberattacks | |
| Park et al. | ARTAS: automatic research trend analysis system for information security | |
| Rao et al. | Methods to detect cyberthreats on twitter | |
| Ram Naresh Yadav et al. | A vector space model approach for web attack classification using machine learning technique | |
| CN113973014B (zh) | 一种网络设备弱口令漏洞的监控方法、装置及设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |