CN111628983A - 准入控制方法、装置、计算机设备、介质和程序产品 - Google Patents

准入控制方法、装置、计算机设备、介质和程序产品 Download PDF

Info

Publication number
CN111628983A
CN111628983A CN202010438808.3A CN202010438808A CN111628983A CN 111628983 A CN111628983 A CN 111628983A CN 202010438808 A CN202010438808 A CN 202010438808A CN 111628983 A CN111628983 A CN 111628983A
Authority
CN
China
Prior art keywords
application
information
terminal device
terminal equipment
preset
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202010438808.3A
Other languages
English (en)
Inventor
余盈宽
施佳杰
徐涛
欧国华
张巨世
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Qianxin Technology Group Co Ltd
Secworld Information Technology Beijing Co Ltd
Original Assignee
Qianxin Technology Group Co Ltd
Secworld Information Technology Beijing Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Qianxin Technology Group Co Ltd, Secworld Information Technology Beijing Co Ltd filed Critical Qianxin Technology Group Co Ltd
Priority to CN202010438808.3A priority Critical patent/CN111628983A/zh
Publication of CN111628983A publication Critical patent/CN111628983A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/22Matching criteria, e.g. proximity measures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Data Mining & Analysis (AREA)
  • Theoretical Computer Science (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Evolutionary Computation (AREA)
  • Evolutionary Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Artificial Intelligence (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

本公开提供了一种准入控制方法,应用于准入服务器,包括:接收来自终端设备的多个数据包;针对多个数据包中的每个数据包,基于数据包,确定终端设备的特征信息,并且,在确定终端设备的特征信息与预先构建的预定应用的特征模板不相匹配的情况下,确定终端设备处于可疑状态。接着,在确定终端设备处于可疑状态的保持时长超过预定时长的情况下,向终端设备发送控制信息,该控制信息用于指示终端设备对预定应用进行安装并运行。本公开还提供了一种准入控制装置、计算机设备、介质和程序产品。

Description

准入控制方法、装置、计算机设备、介质和程序产品
技术领域
本公开涉及一种准入控制方法、装置、计算机设备、介质和程序产品。
背景技术
准入控制技术用于防止各种黑客攻击技术对企业安全造成危害。例如,借助网络准入控制(Network Access Control,NAC)技术,可以控制经过授权的、合法、安全、值得信任的终端设备接入企业网络,而未经授权的终端设备不得接入。
在准入控制方案中,通常预先制定统一的安全策略标准。在终端设备发送数据包时,基于预先制定的安全策略标准来对终端设备的安全状态进行检测,并根据检测结果执行相应的处置策略。当安全策略标准的粒度较大或维度较单一时,无法实现更精准的准入控制。
发明内容
本公开的一个方面提供了一种准入控制方法,应用于准入服务器,该方法包括:接收来自终端设备的多个数据包;针对多个数据包中的每个数据包,基于数据包,确定终端设备的特征信息,并且,在确定终端设备的特征信息与预先构建的预定应用的特征模板不相匹配的情况下,确定终端设备处于可疑状态。接着,在确定终端设备处于可疑状态的保持时长超过预定时长的情况下,向终端设备发送控制信息,该控制信息用于指示终端设备对预定应用进行安装并运行。
可选地,上述基于数据包,确定终端设备的特征信息包括:提取数据包的基本信息,基本信息包括如下至少一项:源IP地址、目的IP地址、源端口和目的端口;利用深度报文检测技术,确定数据包的应用信息,所述应用信息包括如下至少一项:应用名称、应用类型和应用行为参数;接着,由上述基本信息和上述应用信息构成终端设备的特征信息。
可选地,上述方法还包括:构建预定应用的特征模板,该过程包括:基于来自预定应用的样本数据包,确定预定应用的特征信息。其中,预定应用的特征信息包括:样本数据包的基本信息和应用信息,样本数据包的基本信息包括如下至少一项:源IP地址、目的IP地址、源端口和目的端口,所述应用信息包括如下至少一项:应用名称、应用类型和应用行为参数。然后,基于预定应用的特征信息,构建预定应用的特征模板。
可选地,上述方法还包括:在确定终端设备的特征信息与预先构建的预定应用的特征模板相匹配的情况下,确定终端设备处于可信状态,进而可以准许针对所述终端设备的所述数据包进行响应。
可选地,上述方法还包括:将终端设备的特征信息与预定应用的特征模板进行匹配。如果匹配成功,则在预定存储区保存针对终端设备的预定标签。上述在确定终端设备的特征信息与预定应用的特征模板不相匹配的情况下,确定终端设备处于可疑状态包括:在任一时刻,如果预定存储区中不存在针对终端设备的预定标签,则确定终端设备处于可疑状态。上述方法还包括:从上述确定终端设备处于可疑状态的任一时刻开始经过预定时长后,确定预定存储区中是否存在针对终端设备的预定标签,如果否,则确定终端设备处于可疑状态的保持时长超过预定时长。
可选地,上述控制信息包括重定向页面,该重定向页面为针对预定应用的安装页面。
本公开的另一个方面提供了一种准入控制装置,应用于准入服务器,该装置包括:接收模块、检测模块和控制模块。接收模块用于接收来自终端设备的多个数据包。检测模块用于针对多个数据包中的每个数据包执行操作。检测模块包括特征分析子模块和状态分析子模块。特征分析子模块用于基于数据包,确定终端设备的特征信息;状态分析子模块,用于在确定终端设备的特征信息与预先构建的预定应用的特征模板不相匹配的情况下,确定终端设备处于可疑状态。控制模块用于在确定终端设备处于可疑状态的保持时长超过预定时长的情况下,向终端设备发送控制信息,该控制信息用于指示终端设备对预定应用进行安装并运行。
本公开的另一个方面提供了一种计算机可读存储介质,其上存储有可执行指令,该指令被处理器执行时使处理器执行如上文中任一实施例所述的方法。
本公开的另一个方面提供了一种计算机设备,该计算机设备包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序。处理器执行计算机程序时用于实现如上文中任一实施例所述的方法。
本公开的另一个方面提供了一种计算机程序产品,包括计算机可读指令。其中,计算机可读指令被执行时用于执行如上文中任一实施例所述的方法。
附图说明
为了更完整地理解本公开及其优势,现在将参考结合附图的以下描述,其中:
图1示意性示出了根据本公开实施例的准入控制方法和装置的应用场景;
图2示意性示出了根据本公开实施例的准入控制方法的流程图;
图3示意性示出了根据本公开实施例的预定应用的特征模板的示例示意图;
图4示意性示出了根据本公开另一实施例的预定应用的特征模板的示例示意图;
图5示意性示出了根据本公开实施例的记录预定标签的过程的示例示意图;
图6示意性示出了根据本公开实施例的准入控制装置的框图;以及
图7示意性示出了根据本公开实施例的计算机设备的框图。
具体实施方式
以下,将参照附图来描述本公开的实施例。但是应该理解,这些描述只是示例性的,而并非要限制本公开的范围。在下面的详细描述中,为便于解释,阐述了许多具体的细节以提供对本公开实施例的全面理解。然而,明显地,一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本公开的概念。
在此使用的术语仅仅是为了描述具体实施例,而并非意在限制本公开。在此使用的术语“包括”、“包含”等表明了所述特征、步骤、操作和/或部件的存在,但是并不排除存在或添加一个或多个其他特征、步骤、操作或部件。
在此使用的所有术语(包括技术和科学术语)具有本领域技术人员通常所理解的含义,除非另外定义。应注意,这里使用的术语应解释为具有与本说明书的上下文相一致的含义,而不应以理想化或过于刻板的方式来解释。
在使用类似于“A、B和C等中至少一个”这样的表述的情况下,一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如,“具有A、B和C中至少一个的系统”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的系统等)。在使用类似于“A、B或C等中至少一个”这样的表述的情况下,一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如,“具有A、B或C中至少一个的系统”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的系统等)。
附图中示出了一些方框图和/或流程图。应理解,方框图和/或流程图中的一些方框或其组合可以由计算机程序指令来实现。这些计算机程序指令可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器,从而这些指令在由该处理器执行时可以创建用于实现这些方框图和/或流程图中所说明的功能/操作的装置。本公开的技术可以硬件和/或软件(包括固件、微代码等)的形式来实现。另外,本公开的技术可以采取存储有指令的计算机可读存储介质上的计算机程序产品的形式,该计算机程序产品可供指令执行系统使用或者结合指令执行系统使用。
本公开的一个方面提供了一种准入控制方法,应用于准入服务器。该准入控制方法可以包括接收过程、检测过程和控制过程。在接收过程中,接收来自终端设备的多个数据包,然后进行检测过程。在检测过程中,针对多个数据包中的每个数据包执行如下操作:基于数据包,确定终端设备的特征信息,并且,在确定终端设备的特征信息与预先构建的预定应用的特征模板不相匹配的情况下,确定终端设备处于可疑状态。接着进行控制过程,在确定终端设备处于可疑状态的保持时长超过预定时长的情况下,向终端设备发送控制信息,该控制信息用于指示终端设备对预定应用进行安装并运行。
图1示意性示出了根据本公开实施例的准入控制方法和装置的应用场景。需要注意的是,图1所示仅为可以应用本公开实施例的场景的示例,以帮助本领域技术人员理解本公开的技术内容,但并不意味着本公开实施例不可以用于其他设备、系统、环境或场景。
如图1所示,该应用场景可以包括终端设备101、102、103,网络接入设备(例如交换机)104和准入服务器105、106。
终端设备101、102、103可以是各种电子设备,例如智能手机、平板电脑、便携式计算机、台式计算机等。终端设备101、102、103中可以安装各种应用程序以执行不同功能。示例性地,终端设备101、102、103在期望执行预定操作的情况下,需要发送请求消息。交换机104接收来自终端设备101、102、103的请求消息,并按照预先定义的路由规则将请求消息转发至准入服务器105、106。准入服务器105、106对接收到的请求消息中的数据包进行检测分析,以确定发送请求消息的终端设备(例如终端设备101)是否可信。在确定终端设备101可信的情况下,准许该终端设备101执行预定操作。在确定终端设备101不可信(即可疑)的情况下,禁止该终端设备执行预定操作。
根据本公开实施例的准入控制方法可以由准入服务器105、106执行,相应地,根据本公开实施例的准入控制装置可以设置于准入服务器105、106中。
应当理解,图1中的终端设备、交换机和准入服务器的类型和数目仅仅是示意性的。根据实现需要,可以具有各种类型、任意数目的终端设备、交换机和准入服务器。
准入控制技术用于防止各种黑客攻击技术对企业安全造成危害。例如,借助网络准入控制技术,可以控制经过授权的、合法、安全、值得信任的终端设备接入企业网络,而未经授权的终端设备不得接入。在准入控制方案中,通常预先制定统一的安全策略标准。在终端设备发送数据包时,基于预先制定的安全策略标准来对终端设备的安全状态进行检测。并根据检测结果执行相应的处置策略。当安全策略标准的粒度较大或维度较单一时,无法实现更精准的准入控制。
根据本公开实施例,提供了一种准入控制方法,以实现更为精准的准入控制。下面结合图例对该方法进行示例性说明。应注意,以下方法中各个步骤的序号仅作为该步骤的表示以便描述,而不应被看作表示该各个步骤的执行顺序。除非明确指出,否则该方法不需要完全按照所示顺序来执行。
图2示意性示出了根据本公开实施例的准入控制方法的流程图,该方法可以由准入服务器执行。
如图2所示,该方法可以包括操作S210~S230。
在操作S210,接收来自终端设备的多个数据包。
在操作S220,针对多个数据包中的每个数据包,基于该数据包,确定终端设备的特征信息,并且,在确定终端设备的特征信息与预先构建的预定应用的特征模板不相匹配的情况下,确定终端设备处于可疑状态。
在本操作S220中,可以理解,针对同一终端设备,随着该终端设备所发送的数据包的变化,该终端设备的特征信息可以变化的。从而导致同一终端设备在发送不同数据包时可能处于不同的状态。
示例性地,准入服务器中预先构建有预定应用A1的特征模板,例如预定应用A1为一个反病毒软件。在接收到来自终端终端设备的数据包后,可以依据数据包中的标识信息来确定发送该数据包的终端设备。针对每个数据包执行如下操作:例如在t1时刻接收到来自终端设备B1第一数据包,可以基于该第一数据包确定发送该第一数据包的终端设备B1在t1时刻的特征信息。然后将所确定的特征信息与应用A1的特征模板进行匹配,匹配维度的数量和分布可以根据需要在特征模板中进行配置。如果匹配失败,表示终端设备B1在t1时刻未运行预定应用A1,导致该终端设备B1中可能存在病毒威胁。因此可以确定发送该第一数据包的终端设备B1在t1时刻处于可疑状态。接着例如在t2时刻接收到来自终端设备B1的第二数据包,同理地,可以基于该第二数据包确定终端设备B1在t2时刻的特征信息。然后将所确定的特征信息与应用A1的特征模板进行匹配,如果依然匹配失败,表示终端设备B1在t2时刻仍未运行预定应用A1,仍然处于可疑状态。
在操作S230,在确定终端设备处于可疑状态的保持时长超过预定时长的情况下,向终端设备发送控制信息。
其中,控制信息用于指示终端设备对预定应用进行安装并运行。示例性地,在上文中的例子中,从上述t1时刻开始,经过预定时长后,例如在t3时刻,确定终端设备B1是否仍然处于可疑状态。如果是,则说明终端设备B1处于可疑状态的保持时长超过预定时长。此时需要采用针对可疑状态的控制策略,例如向终端设备B1发送用于指示该终端设备B1安装并运行应用A1的控制信息。
本领域技术人员可以理解,根据本公开实施例的准入控制方法,预先构建预定应用的特征模板,从应用粒度出发来对发送数据包的终端设备进行安全检测,并可以通过特征模板的具体设置来调节安全检测的维度分布。示例性地,将终端设备的特征信息与预定应用的特征模板进行匹配,在二者不相匹配的情况下确定并记录终端设备处于可疑状态。并且,在准入服务器确定某个终端设备处于可疑状态的保持时长超过预定时长的情况下,向该终端设备推送控制信息,以指示该终端设备安装并运行预定应用。从而实现基于终端设备中应用状态的准入控制策略。
根据本公开的实施例,上述基于数据包,确定终端设备的特征信息包括:提取数据包的基本信息,基本信息包括如下至少一项:源IP地址、目的IP地址、源端口和目的端口。利用深度检测技术,例如基于数据包的深度检测技术(Deep Packet Inspection,DPI)确定数据包的应用信息,该应用信息可以指数据包的源应用信息,用于表征发送该数据包的应用的一个或多个信息。例如,应用信息可以包括如下至少一项:应用名称、应用类型和应用行为参数。其中应用行为参数例如可以包括:下载行为参数如GET方法、提交行为参数如POST方法等。接着,由上述基本信息和上述应用信息构成终端设备的特征信息。
为进行针对终端设备的特征信息的安全检测过程,根据本公开实施例的准入控制方法需要预先构建预定应用的特征模板。示例性地,该构建过程可以包括:针对任意一个预定应用,基于来自该预定应用的样本数据包,确定该预定应用的特征信息。例如,该预定应用的特征信息可以包括:来源于该预定应用的样本数据包的基本信息和应用信息。然后,基于预定应用的特征信息,构建预定应用的特征模板。其中,样本数据包的基本信息可以通过基于数据包的普通检测技术获得,例如可以包括如下至少一项:源IP地址、目的IP地址、源端口和目的端口;样本数据包的应用信息可以通过基于数据包的深度检测技术获得,例如可以包括如下至少一项:应用名称、应用类型和应用行为参数。可以理解,预定应用的特征模板中可以设置多个维度的特征信息,以实现在准入控制中更精细的安全检测。
图3示意性示出了根据本公开实施例的预定应用的特征模板的示例示意图。如图3所示,分别展示了预定应用A1的特征模板301和预定应用A2的特征模板302。在预定应用A1的特征模板中,包括预定应用A1的一个或多个维度的特征信息,例如包括预定应用A1的目的IP地址、目的端口和应用信息。在预定应用A2的特征模板中,包括预定应用A2的一个或多个维度的特征信息,例如包括预定应用A2的源IP地址、目的IP地址、源端口、目的端口和应用信息。
当准入服务器接收到数据包后,根据该数据包中的标识信息(例如源IP地址)来确定发送该数据包的终端设备B2。再基于该数据包进行普通检测和深度检测,从而得到该终端设备B2的特征信息。根据本公开的实施例,可以将终端设备B2的特征信息分别与预定应用A1的特征模板以及预定应用A2的特征模板进行匹配。
示例性地,如果准入控制策略预先定义预定应用A1和A2均为终端设备必须安装且运行的应用,则在终端设备B2的特征信息与预定应用A1的特征模板相匹配且终端设备B2的特征信息与预定应用A2的特征模板也相匹配的情况下,可以确定终端设备B1的特征信息与预先构建的预定应用的特征模板相匹配,即终端设备B1当前不处于可疑状态,否则终端设备B1当前处于可疑状态。示例性地,如果准入控制策略预先定义预定应用A1和A2之一为终端设备必须安装且运行的应用,则在终端设备B2的特征信息与预定应用A1和A2中至少一个的特征模板相匹配的情况下,可以确定终端设备B1的特征信息与预先构建的预定应用的特征模板相匹配,即终端设备B1当前不处于可疑状态,否则终端设备B1当前处于可疑状态。
其中,将终端设备的特征信息与任一预定应用的特征模板进行匹配的过程例如可以包括:计算终端设备的特征信息与该预定应用的特征模板之间的匹配度。当匹配度大于等于预定阈值时,确定终端设备的特征信息与该预定应用的特征模板相匹配。
进一步地,在将终端设备的特征信息与预先构建的预定应用的特征模板进行匹配根据本公开的准入控制方法还可以包括:在确定终端设备的特征信息与预先构建的预定应用的特征模板相匹配的情况下,说明该终端设备已安装并运行预定应用,例如预定应用为安全检测应用。故可以确定终端设备当前处于可信状态,进而可以准许针对该终端设备的当前数据包进行响应。该针对处于可信状态的终端设备的准入策略可以根据场景进行设置,例如在网络准入控制场景中,准入服务器在确定一个终端设备当前处于可信状态后,可以准入该终端设备接入预设网络。在其他实施例中,在存在多个预定应用时,可以针对不同的预定应用设置不同的准入策略。当一个终端设备的特征信息与预定应用A1相匹配时,根据针对预定应用A1的准入策略对该终端设备当前的数据包进行处理。当一个终端设备的特征信息与预定应用A2相匹配时,根据针对预定应用A2的准入策略对该终端设备当前的数据包进行处理。
图4示意性示出了根据本公开另一实施例的预定应用的特征模板的示例示意图。如图4所示,展示了预定应用A3的特征模板401,例如准入控制策略预先定义预定应用A3为终端设备必须安装且运行的应用。在预定应用A3的特征模板中,除了预定应用A3的目的IP地址、目的端口和应用信息之外,还可以包括预定应用A3的唯一性的标签“A3”。准入服务器可以利用上述标签来对终端设备所处的状态进行标识。
示例性地,当准入服务器接收到数据包后,根据该数据包中的标识信息(例如源IP地址)来确定发送该数据包的终端设备B3。再基于该数据包进行普通检测和深度检测,从而得到该终端设备B3的特征信息。根据本公开的实施例,可以将终端设备B3的特征信息与预定应用A3的特征模板进行匹配。如果匹配成功,则在准入服务器的预定存储区保存针对该终端设备B3的预定标签。例如,针对该终端设备B3的预定标签可以为键值(key-value)对的形式,以终端设备B3的标识信息(例如源IP地址)为键,以相匹配的预定应用A3的标签“A3”为值,例如表示为“IP(B3)-A3”。如果终端设备B3的特征信息与预定应用A3的特征模板不相匹配,则不存储相应的预定标签。每个预定标签具有一定的有效时长。例如在经过上述预定标签“IP(B3)-A3”的有效时长后,如果来自终端设备B3的数据包所分析得到的特征信息与预定应用A3的特征模板不相匹配时,则删除上述预定标签“IP(B3)-A3”。
根据本公开的实施例,上述在确定终端设备的特征信息与预定应用的特征模板不相匹配的情况下,确定终端设备处于可疑状态包括:在任一时刻,如果预定存储区中不存在针对终端设备的预定标签,则确定终端设备处于可疑状态。在此基础上,根据本公开实施例的准入控制方法还可以包括:从上述确定终端设备处于可疑状态的任一时刻开始经过预定时长后,确定预定存储区中是否存在针对终端设备的预定标签,如果否,则确定终端设备处于可疑状态的保持时长超过预定时长。
下面通过一个例子来对准入服务器通过预定标签记录终端设备状态的过程进行示例性说明。
例如,准入服务器中预先构建有预定应用A3的特征模板以及普通应用A4和A5的特征模板,例如,准入控制策略预先定义预定应用A3为终端设备必须安装且运行的应用,表征当终端设备的特征信息与预定应用A3的特征模板不相匹配时,可以确定终端设备处于可疑状态。预定应用A3的唯一性标签为“A3”,普通应用A4的唯一性标签为“A4”,普通应用A5的唯一性标签为“A5”。
当准入服务器接收到数据包后,根据该数据包中的标识信息(例如源IP地址)来确定发送该数据包的终端设备,例如为终端设备B3。例如可以设置预定应用A3针对终端设备B3的预定标签为“IP(B3)-A3”,其有效时长为T1;普通应用A4针对终端设备B3的普通标签为“IP(B3)-A4”,其有效时长为T2;普通应用A5针对终端设备B3的普通标签为“IP(B3)-A5”,其有效时长为T3。上述T1、T2和T3可以相同或不同,每个预定标签的有效时长从生成后开始计时。此外,还可以设置预定时长为T4。
图5示意性示出了根据本公开实施例的记录预定标签的过程的示例示意图。
如图5所示,例如,准入服务器在t1时刻接收到来自终端设备B3的第一数据包,基于第一数据包确定终端设备B3在t1时刻的特征信息。将终端设备B3在t1时刻的特征信息分别与A3、A4和A5的特征模板进行匹配。在t1时刻,如果终端设备B3仅与普通应用A4的特征模板相匹配,则将普通标签“IP(B3)-A4”添加存储至预定存储区,并从t1时刻开始计时普通标签“IP(B3)-A4”的有效时长。此时,预定存储区中不存在预定标签“IP(B3)-A3”,说明终端设备B3处于可疑状态。
准入服务器在t2时刻接收到来自终端设备B3的第二数据包,基于第二数据包确定终端设备B3在t2时刻的特征信息。将终端设备B3在t2时刻的特征信息分别与A3、A4和A5的特征模板进行匹配。在t2时刻,如果终端设备B3仅与普通应用A5的特征模板相匹配,且尚未达到普通标签“IP(B3)-A4”的有效时长,则将普通标签“IP(B3)-A5”添加存储至预定存储区,并从t2时刻开始计时普通标签“IP(B3)-A5”的有效时长。此时,预定存储区中不存在预定标签“IP(B3)-A3”,说明终端设备B3处于可疑状态。
准入服务器在t3时刻接收到来自终端设备B3的第三数据包,基于第三数据包确定终端设备B3在t3时刻的特征信息。将终端设备B3在t3时刻的特征信息分别与A3、A4和A5的特征模板进行匹配。在t3时刻,如果终端设备B3与A3、A4和A5的特征模板均不相匹配,此时尚未达到普通标签“IP(B3)-A5”的有效时长T2但已达到普通标签“IP(B3)-A5”的有效时长T1,则将预定存储区中的普通标签“IP(B3)-A4”删除。此时,预定存储区中仍不存在预定标签“IP(B3)-A3”,说明终端设备B3仍处于可疑状态。从t1时刻到t3时刻,如果t3时刻和t1时刻之间的时间间隔超过预定时长T4,预定存储区中始终未存在预定标签“IP(B3)-A3”,说明终端设备处于可疑状态的保持时长超过预定时长。能够较为准确地确定终端设备B3中未运行预定应用A3,故可以向终端设备B3推送控制信息,以指示终端设备B3安装并运行预定应用A3。
根据本公开的实施例,准入服务器向终端设备推送的控制信息可以包括重定向(redirect)页面,该重定向页面为针对预定应用的安装页面。从而在终端设备侧基于该重定向页面可以实现页面跳转,例如跳转到可以直接下载并安装预定应用的页面,以使终端设备可以快速进行准入控制的后续修复策略,以尽快满足准入服务器针对终端设备的准入要求。
图6示意性示出了根据本公开实施例的准入控制装置的框图,该装置可以设置于准入服务器中。
如图6所示,准入控制装置600可以包括:接收模块610、检测模块620和控制模块630。
接收模块610用于接收来自终端设备的多个数据包。
检测模块620用于针对多个数据包中的每个数据包执行操作。
示例性地,检测模块620可以包括特征分析子模块621和状态分析子模块622。其中,特征分析子模块621用于基于数据包,确定终端设备的特征信息。状态分析子模块622用于在确定终端设备的特征信息与预先构建的预定应用的特征模板不相匹配的情况下,确定终端设备处于可疑状态。
控制模块630用于在确定终端设备处于可疑状态的保持时长超过预定时长的情况下,向终端设备发送控制信息,该控制信息用于指示终端设备对预定应用进行安装并运行。
需要说明的是,装置部分实施例中各模块/单元/子单元等的实施方式、解决的技术问题、实现的功能、以及达到的技术效果分别与方法部分实施例中各对应的步骤的实施方式、解决的技术问题、实现的功能、以及达到的技术效果相同或类似,在此不再赘述。
根据本公开的实施例的模块、子模块、单元、子单元中的任意多个、或其中任意多个的至少部分功能可以在一个模块中实现。根据本公开实施例的模块、子模块、单元、子单元中的任意一个或多个可以被拆分成多个模块来实现。根据本公开实施例的模块、子模块、单元、子单元中的任意一个或多个可以至少被部分地实现为硬件电路,例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上系统、基板上的系统、封装上的系统、专用集成电路(ASIC),或可以通过对电路进行集成或封装的任何其他的合理方式的硬件或固件来实现,或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者,根据本公开实施例的模块、子模块、单元、子单元中的一个或多个可以至少被部分地实现为计算机程序模块,当该计算机程序模块被运行时,可以执行相应的功能。
图7示意性示出了根据本公开的实施例的适于实现上文描述的方法的计算机设备的框图。图7示出的计算机设备仅仅是一个示例,不应对本公开实施例的功能和使用范围带来任何限制。
如图7所示,计算机设备700包括处理器710和计算机可读存储介质720。该计算机设备700可以执行根据本公开实施例的方法。
具体地,处理器710例如可以包括通用微处理器、指令集处理器和/或相关芯片组和/或专用微处理器(例如,专用集成电路(ASIC)),等等。处理器710还可以包括用于缓存用途的板载存储器。处理器710可以是用于执行根据本公开实施例的方法流程的不同动作的单一处理单元或者是多个处理单元。
计算机可读存储介质720,例如可以是非易失性的计算机可读存储介质,具体示例包括但不限于:磁存储装置,如磁带或硬盘(HDD);光存储装置,如光盘(CD-ROM);存储器,如随机存取存储器(RAM)或闪存;等等。
计算机可读存储介质720可以包括计算机程序721,该计算机程序721可以包括代码/计算机可执行指令,其在由处理器710执行时使得处理器710执行根据本公开实施例的方法或其任何变形。
计算机程序721可被配置为具有例如包括计算机程序模块的计算机程序代码。例如,在示例实施例中,计算机程序721中的代码可以包括一个或多个程序模块,例如包括721A、模块721B、……。应当注意,模块的划分方式和个数并不是固定的,本领域技术人员可以根据实际情况使用合适的程序模块或程序模块组合,当这些程序模块组合被处理器710执行时,使得处理器710可以执行根据本公开实施例的方法或其任何变形。
根据本公开的实施例,接收模块610、检测模块620和控制模块630中的至少一个可以实现为参考图7描述的计算机程序模块,其在被处理器710执行时,可以实现上文所述的方法。
本公开还提供了一种计算机可读存储介质,该计算机可读存储介质可以是上述实施例中描述的设备/装置/系统中所包含的;也可以是单独存在,而未装配入该设备/装置/系统中。上述计算机可读存储介质承载有一个或者多个程序,当上述一个或者多个程序被执行时,实现根据本公开实施例的方法。
根据本公开的实施例,计算机可读存储介质可以是非易失性的计算机可读存储介质,例如可以包括但不限于:便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
附图中的流程图和框图,图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
本领域技术人员可以理解,本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合和/或结合,即使这样的组合或结合没有明确记载于本公开中。特别地,在不脱离本公开精神和教导的情况下,本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合和/或结合。所有这些组合和/或结合均落入本公开的范围。
尽管已经参照本公开的特定示例性实施例示出并描述了本公开,但是本领域技术人员应该理解,在不背离所附权利要求及其等同物限定的本公开的精神和范围的情况下,可以对本公开进行形式和细节上的多种改变。因此,本公开的范围不应该限于上述实施例,而是应该不仅由所附权利要求来进行确定,还由所附权利要求的等同物来进行限定。

Claims (10)

1.一种准入控制方法,应用于准入服务器,所述方法包括:
接收来自终端设备的多个数据包;
针对所述多个数据包中的每个数据包,
基于所述数据包,确定所述终端设备的特征信息;以及
在确定所述特征信息与预先构建的预定应用的特征模板不相匹配的情况下,确定所述终端设备处于可疑状态;以及
在确定所述终端设备处于可疑状态的保持时长超过预定时长的情况下,向所述终端设备发送控制信息,所述控制信息用于指示所述终端设备对所述预定应用进行安装并运行。
2.根据权利要求1所述的方法,其中,所述基于所述数据包,确定所述终端设备的特征信息包括:
提取所述数据包的基本信息,所述基本信息包括如下至少一项:源IP地址、目的IP地址、源端口和目的端口;
利用深度检测技术,确定所述数据包的应用信息,所述应用信息包括如下至少一项:应用名称、应用类型和应用行为参数;以及
由所述基本信息和所述应用信息构成所述特征信息。
3.根据权利要求1所述的方法,还包括:构建预定应用的特征模板;
所述构建预定应用的特征模板包括:
基于来自所述预定应用的样本数据包,确定所述预定应用的特征信息,其中,所述特征信息包括:所述样本数据包的基本信息和应用信息,所述样本数据包的基本信息包括如下至少一项:源IP地址、目的IP地址、源端口和目的端口,所述应用信息包括如下至少一项:应用名称、应用类型和应用行为参数;以及
基于所述预定应用的特征信息,构建所述预定应用的特征模板。
4.根据权利要求1所述的方法,还包括:
在确定所述特征信息与预先构建的预定应用的特征模板相匹配的情况下,确定所述终端设备处于可信状态;以及
准许针对所述终端设备的所述数据包进行响应。
5.根据权利要求1所述的方法,还包括:
将所述特征信息与所述特征模板进行匹配;以及
如果匹配成功,则在预定存储区保存针对所述终端设备的预定标签;
所述在确定所述特征信息与预先构建的预定应用的特征模板不相匹配的情况下,确定所述终端设备处于可疑状态包括:在任一时刻,如果所述预定存储区中不存在所述预定标签,则确定所述终端设备处于可疑状态;
所述方法还包括:从所述任一时刻开始经过预定时长后,确定所述预定存储区中是否存在所述预定标签,如果否,则确定所述终端设备处于可疑状态的保持时长超过预定时长。
6.根据权利要求1所述的方法,其中,所述控制信息包括重定向页面,所述重定向页面为针对所述预定应用的安装页面。
7.一种准入控制装置,应用于准入服务器,所述装置包括:
接收模块,用于接收来自终端设备的多个数据包;
检测模块,用于针对所述多个数据包中的每个数据包执行操作,包括:
特征分析子模块,用于基于所述数据包,确定所述终端设备的特征信息;以及
状态分析子模块,用于在确定所述特征信息与预先构建的预定应用的特征模板不相匹配的情况下,确定所述终端设备处于可疑状态;以及
控制模块,用于在确定所述终端设备处于可疑状态的保持时长超过预定时长的情况下,向所述终端设备发送控制信息,所述控制信息用于指示所述终端设备对所述预定应用进行安装并运行。
8.一种计算机可读存储介质,其上存储有可执行指令,该指令被处理器执行时使处理器执行如权利要求1~6中任一项所述的方法。
9.一种计算机设备,所述计算机设备包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时用于实现如权利要求1~6中任一项所述的方法。
10.一种计算机程序产品,包括计算机可读指令,其中,所述计算机可读指令被执行时用于执行如权利要求1~6中任一项所述的方法。
CN202010438808.3A 2020-05-21 2020-05-21 准入控制方法、装置、计算机设备、介质和程序产品 Pending CN111628983A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010438808.3A CN111628983A (zh) 2020-05-21 2020-05-21 准入控制方法、装置、计算机设备、介质和程序产品

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010438808.3A CN111628983A (zh) 2020-05-21 2020-05-21 准入控制方法、装置、计算机设备、介质和程序产品

Publications (1)

Publication Number Publication Date
CN111628983A true CN111628983A (zh) 2020-09-04

Family

ID=72272535

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010438808.3A Pending CN111628983A (zh) 2020-05-21 2020-05-21 准入控制方法、装置、计算机设备、介质和程序产品

Country Status (1)

Country Link
CN (1) CN111628983A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114697380A (zh) * 2022-03-11 2022-07-01 杭州盈高科技有限公司 访问请求的重定向方法、系统、装置以及存储介质

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114697380A (zh) * 2022-03-11 2022-07-01 杭州盈高科技有限公司 访问请求的重定向方法、系统、装置以及存储介质
CN114697380B (zh) * 2022-03-11 2023-07-14 杭州盈高科技有限公司 访问请求的重定向方法、系统、装置以及存储介质

Similar Documents

Publication Publication Date Title
US10666686B1 (en) Virtualized exploit detection system
US10445502B1 (en) Susceptible environment detection system
CN109829297B (zh) 监控装置、方法及其电脑存储介质
US9438623B1 (en) Computer exploit detection using heap spray pattern matching
JP6334069B2 (ja) 悪意のあるコードの検出の精度保証のためのシステムおよび方法
US9910988B1 (en) Malware analysis in accordance with an analysis plan
US11831609B2 (en) Network security system with enhanced traffic analysis based on feedback loop
US9438613B1 (en) Dynamic content activation for automated analysis of embedded objects
US8893278B1 (en) Detecting malware communication on an infected computing device
US10621338B1 (en) Method to detect forgery and exploits using last branch recording registers
RU2680736C1 (ru) Сервер и способ для определения вредоносных файлов в сетевом трафике
US10515214B1 (en) System and method for classifying malware within content created during analysis of a specimen
WO2015180690A1 (zh) 验证信息的读取方法及装置
US10673878B2 (en) Computer security apparatus
US10068089B1 (en) Systems and methods for network security
KR20160090905A (ko) 보안 규칙 평가를 포함하는 보호 시스템
US9385869B1 (en) Systems and methods for trusting digitally signed files in the absence of verifiable signature conditions
US11012313B2 (en) Apparatus, method and computer program product for trust management
US8955092B2 (en) Systems and methods for eliminating redundant security analyses on network data packets
US10339307B2 (en) Intrusion detection system in a device comprising a first operating system and a second operating system
CN110134700B (zh) 数据上链方法、装置、计算机设备和存储介质
US20190230086A1 (en) Authority management method and device in distributed environment, and server
US10462141B2 (en) Network device information validation for access control and information security
US10469449B2 (en) Port authentication control for access control and information security
US11558365B1 (en) Multi-second factor authentication

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20200904

RJ01 Rejection of invention patent application after publication