CN112104625A - 一种进程访问的控制方法及装置 - Google Patents
一种进程访问的控制方法及装置 Download PDFInfo
- Publication number
- CN112104625A CN112104625A CN202010915417.6A CN202010915417A CN112104625A CN 112104625 A CN112104625 A CN 112104625A CN 202010915417 A CN202010915417 A CN 202010915417A CN 112104625 A CN112104625 A CN 112104625A
- Authority
- CN
- China
- Prior art keywords
- target
- target process
- historical
- security attribute
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 921
- 230000008569 process Effects 0.000 title claims abstract description 872
- 230000002159 abnormal effect Effects 0.000 claims abstract description 82
- 238000012544 monitoring process Methods 0.000 claims abstract description 20
- 238000012545 processing Methods 0.000 claims description 27
- 238000003860 storage Methods 0.000 claims description 14
- 238000004590 computer program Methods 0.000 claims description 12
- 238000001514 detection method Methods 0.000 claims description 11
- 238000005516 engineering process Methods 0.000 abstract description 14
- 238000010586 diagram Methods 0.000 description 25
- 230000006870 function Effects 0.000 description 14
- 238000012986 modification Methods 0.000 description 10
- 230000004048 modification Effects 0.000 description 10
- 230000004044 response Effects 0.000 description 9
- 238000004891 communication Methods 0.000 description 6
- 238000011160 research Methods 0.000 description 4
- 238000004422 calculation algorithm Methods 0.000 description 3
- 241000700605 Viruses Species 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 2
- 230000002155 anti-virotic effect Effects 0.000 description 2
- 238000013473 artificial intelligence Methods 0.000 description 2
- 230000006399 behavior Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 150000003839 salts Chemical class 0.000 description 2
- 238000012384 transportation and delivery Methods 0.000 description 2
- 230000004075 alteration Effects 0.000 description 1
- 230000002547 anomalous effect Effects 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000010219 correlation analysis Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000002787 reinforcement Effects 0.000 description 1
- 238000013468 resource allocation Methods 0.000 description 1
- 238000012954 risk control Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/60—Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本申请实施例提供了一种进程访问的控制方法及装置,涉及云安全技术领域,该方法包括:监听各个业务应用所创建的进程的业务访问请求。当监听到的目标业务访问请求中未携带目标进程的访问票据时,根据各个历史进程的特征信息以及安全属性标签,确定目标进程的安全属性标签。当目标进程的安全属性标签为异常时,拦截目标业务访问请求,否则向认证服务器请求目标进程的访问票据。本申请中基于云安全技术对每个业务访问请求均进行认证,不再依赖边界划分,从而提高了企业业务系统的安全性,同时给远程办公带来便利。采用各个历史进程的特征信息以及安全属性标签,对目标进程的安全属性标签进行认证,从而提高业务访问请求认证的效率。
Description
技术领域
本发明实施例涉及云安全技术领域,尤其涉及一种进程访问的控制方法及装置。
背景技术
在企业中,为了保证企业内部信息安全,需要对员工访问企业业务系统的请求做相应的身份鉴权。传统的处理方式是基于区域的授信控制,即基于用户所在的网络位置划分信任区域,用户可以通过处于企业内网环境的计算机直接访问企业的业务系统,但是该方法严重依赖边界划分,当边界被突破后,就无法有效隔离和保护企业的数据安全,给业务系统带来安全威胁,同时给远程办公工带来不便。
发明内容
本申请实施例提供了一种进程访问的控制方法及装置,用于提高业务系统的安全性。
一方面,本申请实施例提供了一种进程访问的控制方法,该方法包括:
监听各个业务应用所创建进程的业务访问请求;
针对各个业务访问请求中的任意一个目标业务访问请求,当监听到所述目标业务访问请求中未携带目标进程的访问票据时,根据各个历史进程的特征信息以及安全属性标签,确定所述目标进程的安全属性标签;
当所述目标进程的安全属性标签为异常时,拦截所述目标业务访问请求,否则向认证服务器请求所述目标进程的访问票据。
一方面,本申请实施例提供了一种进程访问的控制装置,该装置包括:
监听模块,用于监听各个业务应用所创建进程的业务访问请求;
检测模块,用于针对各个业务访问请求中的任意一个目标业务访问请求,当监听到所述目标业务访问请求中未携带目标进程的访问票据时,根据各个历史进程的特征信息以及安全属性标签,确定所述目标进程的安全属性标签;
处理模块,用于当所述目标进程的安全属性标签为异常时,拦截所述目标业务访问请求,否则向认证服务器请求所述目标进程的访问票据。
可选地,所述各个历史进程的特征信息以及安全属性标签保存在安全信息库中;
所述处理模块还用于:
接收所述认证服务器发送的所述目标进程的访问票据,并将所述目标业务访问请求发送给业务服务器,所述目标进程的访问票据是所述认证服务器对所述目标进程安全认证通过时发送的;或者
接收所述认证服务器发送的访问票据拒绝消息,并在所述安全信息库中保存所述目标进程的特征信息和安全属性标签,且将所述目标进程的安全属性标签设置为异常,所述目标进程的访问票据拒绝消息是所述认证服务器对所述目标进程安全认证未通过时发送的。
可选地,所述处理模块还用于:
所述接收所述认证服务器对所述目标进程安全认证通过时发送的所述目标进程的访问票据之后,接收所述认证服务器发送的所述目标进程的安全属性鉴定结果,所述目标进程的安全属性鉴定结果是所述认证服务器将所述目标进程的特征信息异步发送给威胁情报平台,由所述威胁情报平台鉴定获得的;
根据所述安全属性鉴定结果,确定所述目标进程的安全属性标签为异常时,在所述安全信息库中保存所述目标进程的特征信息和安全属性标签,且将所述目标进程的安全属性标签设置为异常。
可选地,所述处理模块还用于:
通过网关应用中断所述目标进程与所述业务服务器的网络连接,并清除所述目标进程的访问票据。
可选地,所述处理模块具体用于:
获取所述目标进程对应的目标进程链,所述目标进程链包括所述目标进程以及与所述目标进程存在层级关系的关联进程;
将所述目标进程链中每个进程的特征信息和安全属性标签保存进所述安全信息库中,且将所述目标进程链的安全属性标签设置为异常。
可选地,所述检测模块具体用于:
获取所述目标进程的特征信息;
根据所述目标进程的特征信息,查询所述安全信息库中的各个历史进程链;
当各个历史进程链中存在与所述目标进程匹配的历史进程时,确定所述目标进程的安全属性标签为异常。
可选地,所述检测模块具体用于:
获取与所述目标进程存在层级关系的关联进程的特征信息;
根据所述关联进程的特征信息,查询所述安全信息库中的各个历史进程链;
当各个历史进程链中存在与所述关联进程匹配的历史进程时,确定所述目标进程的安全属性标签为异常。
可选地,所述各个业务应用是目标用户账号当前访问的业务应用;
所述检测模块还用于:
监听各个业务应用所创建进程的业务访问请求之前,确定所述目标用户账号具有访问所述各个业务应用的权限。
一方面,本申请实施例提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述进程访问的控制方法的步骤。
一方面,本申请实施例提供了一种计算机可读存储介质,其存储有可由计算机设备执行的计算机程序,当所述程序在计算机设备上运行时,使得所述计算机设备执行上述进程访问的控制方法的步骤。
本申请实施例中,监听到业务应用所创建的目标进程的目标业务访问请求后,先判断目标业务访问请求中是否携带目标进程的访问票据时,若没有访问票据,则向认证服务器请求目标进程的访问票据,获得目标进程的访问票据之后才能将业务访问请求发送给业务服务器,该方案对每个业务访问请求均进行认证,不再依赖边界划分,从而提高了企业数据的安全性,同时给远程办公带来便利,提高了员工办公的灵活性。另外,在向认证服务器请求目标进程的访问票据之前,先采用各个历史进程的特征信息以及安全属性标签,对目标进程的安全属性标签进行认证,若目标进程的安全属性标签为异常时,直接拦截目标业务访问请求,从而提高业务访问请求认证的效率,降低认证服务器的认证处理压力。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种进程链的结构示意图;
图2为本申请实施例提供的一种系统架构的结构示意图;
图3为本申请实施例提供的一种认证应用的登录页面的示意图;
图4为本申请实施例提供的一种认证应用的功能页面的示意图;
图5为本申请实施例提供的一种认证应用的功能页面的示意图;
图6为本申请实施例提供的一种认证应用的功能页面的示意图;
图7为本申请实施例提供的一种认证应用的配置页面的示意图;
图8为本申请实施例提供的一种业务应用的配置信息的示意图;
图9为本申请实施例提供的一种进程访问的控制方法的流程示意图;
图10a为本申请实施例提供的一种进程链的结构示意图;
图10b为本申请实施例提供的一种进程链的结构示意图;
图11a为本申请实施例提供的一种进程链的结构示意图;
图11b为本申请实施例提供的一种进程链的结构示意图;
图11c为本申请实施例提供的一种进程链的结构示意图;
图12为本申请实施例提供的一种进程访问的控制方法的流程示意图;
图13为本申请实施例提供的一种访问票据申请方法的流程示意图;
图14为本申请实施例提供的一种进程访问的控制装置的结构示意图;
图15为本申请实施例提供的一种计算机设备的结构示意图。
具体实施方式
为了使本发明的目的、技术方案及有益效果更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
为了方便理解,下面对本发明实施例中涉及的名词进行解释。
云技术(Cloud technology)是指在广域网或局域网内将硬件、软件、网络等系列资源统一起来,实现数据的计算、储存、处理和共享的一种托管技术。
云技术(Cloud technology)基于云计算商业模式应用的网络技术、信息技术、整合技术、管理平台技术、应用技术等的总称,可以组成资源池,按需所用,灵活便利。云计算技术将变成重要支撑。技术网络系统的后台服务需要大量的计算、存储资源,如视频网站、图片类网站和更多的门户网站。伴随着互联网行业的高度发展和应用,将来每个物品都有可能存在自己的识别标志,都需要传输到后台系统进行逻辑处理,不同程度级别的数据将会分开处理,各类行业数据皆需要强大的系统后盾支撑,只能通过云计算来实现。
云安全(Cloud Security)是指基于云计算商业模式应用的安全软件、硬件、用户、机构、安全云平台的总称。云安全融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,并发送到服务端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。
云安全主要研究方向包括:1.云计算安全,主要研究如何保障云自身及云上各种应用的安全,包括云计算机系统安全、用户数据的安全存储与隔离、用户接入认证、信息传输安全、网络攻击防护、合规审计等;2.安全基础设施的云化,主要研究如何采用云计算新建与整合安全基础设施资源,优化安全防护机制,包括通过云计算技术构建超大规模安全事件、信息采集与处理平台,实现对海量信息的采集与关联分析,提升全网安全事件把控能力及风险控制能力;3.云安全服务,主要研究各种基于云计算平台为用户提供的安全服务,如防病毒服务等。本申请实施例中,基于云安全技术对各个业务应用中进程的业务访问请求进行控制,以提高业务系统的安全性。
MD5:MD5信息摘要算法(MD5 Message-Digest Algorithm),一种被广泛使用的密码散列函数,可以产生出一个128位(16字节)的散列值,用于确保信息传输完整一致。
SHA256:安全散列算法(Secure Hash Algorithm 256,简称SHA256),用于计算出一个数字消息所对应到的,长度固定的字符串(又称消息摘要)的算法。
可信业务应用:管理端授信的,终端设备上可访问企业内部业务系统的应用载体,包括应用名、应用MD5、签名信息等。
风险应用:对企业的办公安全构成威胁的应用,服务端拒绝其访问应用内部业务系统。
进程:是计算机中的程序关于某数据集合上的一次运行活动,是系统进行资源分配和调度的基本单位,是操作系统结构的基础。在当代面向线程设计的计算机结构中,进程是线程的容器。程序是指令、数据及其组织形式的描述,进程是程序的实体。
进程链:如果某个进程生成了一个子进程,它的子进程又生成了一个子进程,直到最后一个子进程不再产生新的子进程,那么这一系列进程被称为进程链。举例来说,如图1所示,进程A是直接进行网络访问的进程,进程B和进程C为进程A的子进程,进程D和进程E为进程B的子进程,则进程A、进程B、进程C、进程D和进程E共同组成了一个进程链。
访问票据:针对每个网络访问的进程发放一个网络访问票据,由客户端根据指定用户的登录票据、进程信息、设备信息等从服务端置换得到,用来精细化控制每个网络访问。
SGA:smart gate agent,智能网关,进行网络访问的转发。
下面对本申请实施例的设计思想进行介绍。
为了保证企业内部信息安全,传统的处理方式是基于区域的授信控制,即基于用户所在的网络位置划分信任区域,用户可以通过处于企业内网环境的计算机直接访问企业的业务系统,但是该方法严重依赖边界划分,当边界被突破后,就无法有效隔离和保护企业的数据安全,从而给企业带来安全威胁,同时给远程办公工带来不便。
通过分析发现,若对用户的每次访问请求均进行认证,然后基于认证结果判断是否允许用户访问企业的业务系统,这样就可以消除对边界划分的依赖,既提高了企业数据的安全性,同时给远程办公带来便利。鉴于此,本申请实施例提供了一种进程访问的控制方法,该方法包括:监听各个业务应用所创建进程的业务访问请求。针对各个业务访问请求中的任意一个目标业务访问请求,当监听到目标业务访问请求中未携带目标进程的访问票据时,根据各个历史进程的特征信息以及安全属性标签,确定目标进程的安全属性标签当目标进程的安全属性标签为异常时,拦截目标业务访问请求,否则向认证服务器请求目标进程的访问票据。
本申请实施例中,监听到业务应用所创建的目标进程的目标业务访问请求后,先判断目标业务访问请求中是否携带目标进程的访问票据时,若没有访问票据,则向认证服务器请求目标进程的访问票据,获得目标进程的访问票据之后才能将业务访问请求发送给业务服务器,该方案对每个业务访问请求均进行认证,不再依赖边界划分,从而提高了企业数据的安全性,同时给远程办公带来便利,提高了员工办公的灵活性。另外,在向认证服务器请求目标进程的访问票据之前,先采用各个历史进程的特征信息以及安全属性标签,对目标进程的安全属性标签进行认证,若目标进程的安全属性标签为异常时,直接拦截目标业务访问请求,从而提高业务访问请求认证的效率,减少了认证服务器的认证处理压力。
参考图2,其为本申请实施例适用的一种系统架构图,该系统架构至少包括终端设备201、认证服务器202、业务服务器203。
终端设备201上预先安装认证应用和多个业务应用,其中,业务应用可以是会议应用、通讯应用、搜索应用、音视频应用等。管理员预先配置目标用户账号对各个业务应用的访问权限。当目标用户采用目标用户账号登录认证应用后,目标用户可以基于目标用户账号访问终端设备201中目标用户账号具有访问权限的业务应用。认证应用监听各个业务应用所创建进程的业务访问请求,针对各个业务访问请求中的任意一个目标业务访问请求,当监听到目标业务访问请求中未携带目标进程的访问票据时,根据各个历史进程的特征信息以及安全属性标签,确定目标进程的安全属性标签。当目标进程的安全属性标签为异常时,拦截目标业务访问请求,否则向认证服务器202请求目标进程的访问票据。
当监听到的目标业务访问请求中携带目标进程的访问票据时,将目标业务访问请求发送给业务服务器203。终端设备201可以包括一个或多个处理器2011、存储器2012、与认证服务器202和业务服务器203。交互的I/O接口2013以及显示面板2014等。终端设备201可以是智能手机、平板电脑、笔记本电脑、台式计算机、智能音箱、智能手表等,但并不局限于此。
认证服务器202是认证应用的后台服务器,为认证应用提供服务。具体地,认证服务器202接收到终端设备201发送的目标进程的访问票据申请请求时,对目标进程进行安全认证,在认证通过后,发送目标进程的访问票据给终端设备201,在认证未通过时,发送访问票据拒绝消息给终端设备201。认证服务器202可以包括一个或多个处理器2021、存储器2022以及与终端设备201交互的I/O接口2023等。此外,认证服务器202还可以配置数据库2024。认证服务器202可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式系统,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、内容分发网络(Content Delivery Network,CDN)、以及大数据和人工智能平台等基础云计算服务的云服务器。终端设备201与认证服务器202可以通过有线或无线通信方式进行直接或间接地连接,本申请在此不做限制。
业务服务器203是业务应用的后台服务器,为业务应用提供服务。具体地,业务服务器203接收到目标进程发送的目标业务访问请求时,将目标业务访问请求的响应数据发送给终端设备201。业务服务器203可以包括一个或多个处理器2031、存储器2032以及与终端设备201交互的I/O接口2033等。此外,业务服务器203还可以配置数据库2034。业务服务器203可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式系统,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、内容分发网络(Content Delivery Network,CDN)、以及大数据和人工智能平台等基础云计算服务的云服务器。终端设备201与业务服务器203可以通过有线或无线通信方式进行直接或间接地连接,本申请在此不做限制。
下面结合上述系统架构对本申请实施例中进程访问的控制方法所适用的场景进行示例介绍。
在企业办公场景中,目标用户在终端设备201中启动认证应用,认证应用显示登陆页面,登录页面具体如图3所示,登陆页面中显示提示信息“请先登录”以及两种可选的登陆方式,分别为扫描登陆和账号登陆,目标用户可以通过扫描二维码或直接输入的方式,将目标用户账号输入认证应用。
认证应用对目标用户账号进行鉴权,鉴权通过后显示功能页面,功能页面具体如图4所示,功能页面显示提示信息“您已连接公司内网,可以访问内部资源”,还显示了“账号已登录”按钮、“办公安全防护”按钮、“可信应用已配置”按钮。
当目标用户在认证应用中点击“办公安全防护”按钮时,认证应用显示办公安全防护的内容,具体如图5所示。办公安全防护的内容包括安全防护策略、杀毒防护引擎以及安全加固策略,其中,安全防护策略包括应用入口防护、系统底层防护。
当目标用户在认证应用中点击“可信应用已配置”按钮时,认证应用显示目标用户账号具有访问权限的可信业务应用以及目标用户账号不具有访问权限的拦截业务应用,具体如图6所示。由图6可知,目标用户账号的可信业务应用为终端设备201中安装的任意业务应用。目标用户账号的可信业务应用由管理员基于目标用户账号的身份权限预先配置的。
具体实施中,针对目标用户账号的可信业务应用的配置页面如图7所示,配置页面显示目标用户账号以及目标用户账号的可信业务应用,每个可信业务应用的配置信息包括:进程名、应用名、操作系统、厂家、签名信息、版本、MD5、SHA256等。以会议应用举例来说,会议应用的配置信息如图8所示,会议应用的进程名为进程M,业务应用名为XX会议,操作系统为A系统,厂家为N厂家,版本为1.1.1,签名为88888xys,MD5为12345E,SHA256为werfd123。
当目标用户点击终端设备201中安装浏览器W时,认证应用先判断目标用户账号是否有访问浏览器W的权限。由于预先配置了目标用户账号的可信业务应用为终端设备201中安装的所有业务应用,故确定目标用户账号具有访问浏览器W的权限,然后监听浏览器W所创建的各个进程的业务访问请求。
针对各个业务访问请求中的任意一个目标业务访问请求,当监听到的目标业务访问请求中携带目标进程的访问票据时,认证应用通过终端设备201将目标业务访问请求发送给浏览器W对应的业务服务器203。浏览器W对应的业务服务器203接收到目标进程发送的目标业务访问请求时,将目标业务访问请求的响应数据发送给终端设备201,浏览器W基于目标业务访问请求的响应数据渲染页面并显示。
当监听到的目标业务访问请求中未携带目标进程的访问票据时,根据各个历史进程的特征信息以及安全属性标签,确定目标进程的安全属性标签。当目标进程的安全属性标签为异常时,拦截目标业务访问请求,否则向认证服务器202请求目标进程的访问票据。认证服务器202接收到终端设备201发送的目标进程的访问票据请求时,对目标进程进行安全认证,在认证通过后,发送目标进程的访问票据给终端设备201,在认证未通过时,发送访问票据拒绝消息给终端设备201。
当认证应用接收到认证服务器202发送的目标进程的访问票据时,认证应用通过终端设备201将目标业务访问请求发送给浏览器W对应的业务服务器203。浏览器W对应的业务服务器203接收到目标进程发送的目标业务访问请求时,将目标业务访问请求的响应数据发送给终端设备201,浏览器W基于目标业务访问请求的响应数据渲染页面并显示。当认证应用接收到认证服务器202发送的访问票据拒绝消息时,拦截目标业务访问请求。
基于图2所示的系统架构图,本申请实施例提供了一种进程访问的控制方法的流程,如图9所示,该方法的流程由进程访问的控制装置执行,该装置可以是图1所示的终端设备101中安装的认证应用,包括以下步骤:
步骤S901,监听各个业务应用所创建进程的业务访问请求。
具体地,各个业务应用是目标用户账号当前访问的业务应用。预先采集用户可能使用的业务应用的应用信息,由认证服务器通过送检服务对业务应用的应用信息进行检测,获得检测结果为安全的可信业务应用集合。管理员基于目标用户账号的身份信息,从可信应用业务集合中选取目标用户账号的可信业务应用,可以针对不同用户账号配置不同的可信业务应用。
目标用户采用目标账号登陆认证应用,然后基于目标用户账号访问终端设备上安装的任一业务应用。认证应用监测到目标用户账号访问业务应用时,先根据预先配置的目标用户账号的可信业务应用,判断目标用户账号是否具有访问当前访问的业务应用的权限,若没有,则直接中断目标用户账号对业务应用的访问,否则监听目标用户账号当前访问的业务应用创建的各个进程的业务访问请求,业务访问请求是根据实际的业务需求生成的。
步骤S902,当监听到目标业务访问请求中未携带目标进程的访问票据时,根据各个历史进程的特征信息以及安全属性标签,确定目标进程的安全属性标签。
具体地,目标业务访问请求为监听到的各个业务访问请求中的任意一个业务访问请求,目标进程为发送目标业务访问请求的进程,目标业务访问请求包括操作系统信息、统一资源定位系统(Uniform Resource Locator,简称URL)访问信息、设备信息、用户登录信息代理、登录票据等。访问票据是由认证服务器对目标进程认证通过后提供给目标进程的。为了提高业务访问的安全性,访问票据具有生命周期,访问票据只有在生命周期内有效,超出生命周期将失效。比如,访问票据的生命周期为30分钟,在访问票据生成后的30分钟内有效,当超出30分钟后,访问票据失效,需要重新向认证服务器请求。
当目标业务访问请求中携带目标进程的访问票据时,认证应用将目标业务访问请求发送给业务服务器。业务服务器接收到目标进程发送的目标业务访问请求时,将目标业务访问请求的响应数据发送给终端设备中的业务应用。
安全属性标签包括异常、未知、正常。具体实施中,各个历史进程的安全属性标签可以全部为异常;也可以是部分历史进程的安全属性标签为异常、另一部的历史进程安全属性标签为正常;也可以是部分历史进程的安全属性标签为异常、另一部的历史进程安全属性标签为未知;还可以是一部分历史进程的安全属性标签为异常,一部分历史进程的安全属性标签为未知,一部分历史进程的安全属性标签为正常,对此,本申请不做具体限定。
步骤S903,当目标进程的安全属性标签为异常时,拦截目标业务访问请求,否则向认证服务器请求目标进程的访问票据。
本申请实施例中,监听到业务应用所创建的目标进程的目标业务访问请求后,先判断目标业务访问请求中是否携带目标进程的访问票据时,若没有访问票据,则向认证服务器请求目标进程的访问票据,获得目标进程的访问票据之后才能将目标业务访问请求发送给业务服务器,该方案对每个业务访问请求均进行认证,不再依赖边界划分,从而提高了企业数据的安全性,同时给远程办公带来便利,提高了员工办公的灵活性。另外,在向认证服务器请求目标进程的访问票据之前,先采用各个历史进程的特征信息以及安全属性标签,对目标进程的安全属性标签进行认证,若目标进程的安全属性标签为异常时,直接拦截目标业务访问请求,从而提高业务访问请求认证的效率,降低认证服务器的认证处理压力。
可选地,在上述步骤S902中,各个历史进程的特征信息以及安全属性标签保存在安全信息库中。为了提高安全信息库的安全性,认证应用对安全信息库进行加密,加密密钥是基于每个终端设备的硬件特征以及salt(盐)生成,其中,终端设备的硬件特征包括设备的基本输入输出系统(Basic Input Output System,简称BIOS)的唯一识别码、设备的BIOS序列号等,从而保证每个终端设备的密钥不同,增大破解难度。
下面具体介绍几种认证应用确定目标进程的安全属性标签的实施方式:
实施方式一,安全信息库中各个历史进程的安全属性标签为异常,将目标进程的特征信息和各个历史进程的特征信息进行比对,当各个历史进程的特征信息中存在与目标进程的特征信息匹配的历史进程时,确定目标进程的安全属性标签为异常,否则确定目标进程的安全属性标签为未知。
示例性地,设定安全信息库中保存了5个历史进程的特征信息以及安全属性标签,5个历史进程分别为历史进程A、历史进程B、历史进程C、历史进程D和历史进程E,5个历史进程的安全属性标签均为异常。将目标进程X的特征信息和5个历史进程的特征信息进行比对,若历史进程A的特征信息与目标进程X的特征信息匹配,则确定目标进程X的安全属性标签为异常。
实施方式二,安全信息库中的各个历史进程中一部分历史进程的安全属性标签为异常,一部分历史进程的安全属性标签为未知。将目标进程的特征信息和各个历史进程的特征信息进行比对,当各个历史进程的特征信息中存在与目标进程的特征信息匹配的目标历史进程时,将目标历史进程的安全属性标签确定为目标进程的安全属性标签。
示例性地,设定安全信息库中保存了5个历史进程的特征信息以及安全属性标签,5个历史进程分别为历史进程A、历史进程B、历史进程C、历史进程D和历史进程E,其中,历史进程A、历史进程B、历史进程C的安全属性标签均为异常,历史进程D和历史进程E的安全属性标签均为未知。将目标进程X的特征信息和5个历史进程的特征信息进行比对,若历史进程A的特征信息与目标进程X的特征信息匹配,而历史进程A的安全属性标签均为异常,则确定目标进程X的安全属性标签为异常。
实施方式三,安全信息库中以进程链的形式保存各个历史进程的特征信息以及安全属性标签,每个历史进程链的特征信息包括历史进程链中各个历史进程之间的层级关系、历史进程链中每个历史进程的特征信息以及安全属性标签,每条历史进程链中至少存在一个历史进程的安全属性标签为异常,即安全信息库中每条历史进程链为异常的进程链。
在确定目标进程的安全属性标签时,先获取目标进程的特征信息,然后根据目标进程的特征信息,查询安全信息库中的各个历史进程链。当各个历史进程链中存在与目标进程匹配的历史进程时,确定目标进程的安全属性标签为异常,否则确定目标进程的安全属性标签为未知。
具体地,目标进程的特征信息包括目标进程的进程绝对路径、MD5、签名信息、进程修改时间、SHA256、版权信息等。与目标进程的特征信息匹配的历史进程的安全属性标签可能为异常,也可能为未知或正常。不同历史进程链上的历史进程可以完全不同,也可以存在部分相同的历史进程,对此,本申请不做具体限定。
示例性地,设定安全信息库中保存了8个历史进程的特征信息以及安全属性标签,8个历史进程分别为历史进程A、历史进程B、历史进程C、历史进程D、历史进程E、历史进程F、历史进程G、历史进程H。历史进程B和历史进程G的安全属性标签均为异常,历史进程A、历史进程C、历史进程D、历史进程E、历史进程F、历史进程H的安全属性标签均为正常。安全信息库中的8个历史进程位于两条进程链,分别为历史进程链1和历史进程链2,历史进程链1的结构如图10a所示,历史进程B和历史进程C为历史进程A的子进程,历史进程F为历史进程B的子进程。历史进程链2的结构如图10b所示,历史进程D和历史进程E为历史进程G的子进程,历史进程H为历史进程D的子进程。
将目标进程X的特征信息与历史进程链1和历史进程链2中的历史进程的特征信息进行比对,若历史进程链1中的历史进程A的特征信息与目标进程X的特征信息匹配,则确定目标进程X的安全属性标签为异常。
实施方式四,安全信息库中以进程链的形式保存各个历史进程的特征信息以及安全属性标签,每条历史进程链中至少存在一个历史进程的安全属性标签为异常,即安全信息库中每条历史进程链为异常的进程链。
在确定目标进程的安全属性标签时,先获取目标进程的特征信息,然后根据目标进程的特征信息,查询安全信息库中的各个历史进程链。当历史进程链中存在与目标进程匹配的历史进程时,该历史进程链为与目标进程匹配的历史进程链。当与目标进程匹配的历史进程链的数量大于或等于预设阈值时,确定目标进程的安全属性标签为异常,否则确定目标进程的安全属性标签为未知。
示例性地,设定安全信息库中保存了8个历史进程的特征信息以及安全属性标签,8个历史进程分别为历史进程A、历史进程B、历史进程C、历史进程D、历史进程E、历史进程F、历史进程G、历史进程H。历史进程B、历史进程D和历史进程G的安全属性标签均为异常,历史进程A、历史进程C、历史进程E、历史进程F、历史进程H的安全属性标签均为正常。
安全信息库中的8个历史进程位于3条进程链,分别为历史进程链1、历史进程链2和历史进程链3,历史进程链1的结构如图11a所示,历史进程链1包括历史进程A、历史进程B、历史进程C,其中,历史进程B和历史进程C为历史进程A的子进程。历史进程链2的结构如图11b所示,历史进程链2包括历史进程D、历史进程E、历史进程F,其中,历史进程D和历史进程E为历史进程F的子进程。历史进程链3的结构如图11c所示,历史进程链3包括历史进程D、历史进程G、历史进程H,其中,历史进程D和历史进程G为历史进程H的子进程。
预设阈值为2,将目标进程X的特征信息与历史进程链1、历史进程链2和历史进程链3中的历史进程的特征信息进行比对,若历史进程链2和历史进程链3中的历史进程D的特征信息均与目标进程X的特征信息匹配,则确定目标进程X的安全属性标签为异常。
实施方式五,安全信息库中以进程链的形式保存各个历史进程的特征信息以及安全属性标签,每条历史进程链中至少存在一个历史进程的安全属性标签为异常,即安全信息库中每条历史进程链为异常的进程链。
在确定目标进程的安全属性标签时,先获取与目标进程存在层级关系的关联进程的特征信息,然后根据关联进程的特征信息,查询安全信息库中的各个历史进程链。当各个历史进程链中存在与关联进程匹配的历史进程时,确定目标进程的安全属性标签为异常,否则确定目标进程的安全属性标签为未知。
具体地,与目标进程存在层级关系的关联进程可以是目标进程的子进程,也可以是目标进程的父进程、还可以是同级进程等。关联进程的特征信息包括关联进程的进程绝对路径、MD5、签名信息、进程修改时间、SHA256、版权信息等。与关联进程的特征信息匹配的历史进程的安全属性标签可能为异常,也可能为未知或正常。
示例性地,设定安全信息库中保存了8个历史进程的特征信息以及安全属性标签,8个历史进程分别为历史进程A、历史进程B、历史进程C、历史进程D、历史进程E、历史进程F、历史进程G、历史进程H。历史进程B和历史进程G的安全属性标签均为异常,历史进程A、历史进程C、历史进程D、历史进程E、历史进程F、历史进程H的安全属性标签均为正常。安全信息库中的8个历史进程位于两条进程链,分别为历史进程链1和历史进程链2,历史进程链1的结构如图10a所示,历史进程B和历史进程C为历史进程A的子进程,历史进程F为历史进程B的子进程。历史进程链2的结构如图10b所示,历史进程D和历史进程E为历史进程G的子进程,历史进程H为历史进程D的子进程。
获取与目标进程X的关联进程Y的特征信息,将关联进程Y的特征信息与历史进程链1和历史进程链2中的历史进程的特征信息进行比对,若关联进程Y的特征信息与历史进程链2中的历史进程G的特征信息匹配,则确定目标进程X的安全属性标签为异常。
实施方式六,安全信息库中以进程链的形式保存各个历史进程的特征信息以及安全属性标签,每条历史进程链中至少存在一个历史进程的安全属性标签为异常,即安全信息库中每条历史进程链为异常的进程链。
在确定目标进程的安全属性标签时,先获取与目标进程存在层级关系的关联进程的特征信息,然后根据关联进程的特征信息,查询安全信息库中的各个历史进程链。当历史进程链中存在与关联进程匹配的历史进程时,确定该历史进程链为与关联进程匹配的历史进程链。当与关联进程匹配的历史进程链的数量大于等于预设阈值时,确定目标进程的安全属性标签为异常,否则确定目标进程的安全属性标签为未知。
示例性地,设定安全信息库中保存了8个历史进程的特征信息以及安全属性标签,8个历史进程分别为历史进程A、历史进程B、历史进程C、历史进程D、历史进程E、历史进程F、历史进程G、历史进程H。历史进程B、历史进程D和历史进程G的安全属性标签均为异常,历史进程A、历史进程C、历史进程E、历史进程F、历史进程H的安全属性标签均为正常。
安全信息库中的8个历史进程位于3条进程链,分别为历史进程链1、历史进程链2和历史进程链3,历史进程链1的结构如图11a所示,历史进程链1包括历史进程A、历史进程B、历史进程C,其中,历史进程B和历史进程C为历史进程A的子进程。历史进程链2包括历史进程D、历史进程E、历史进程F,其中,历史进程D和历史进程E为历史进程F的子进程。历史进程链3包括历史进程D、历史进程G、历史进程H,其中,历史进程D和历史进程G为历史进程H的子进程。
预设阈值为2,获取与目标进程X的关联进程Y的特征信息,将关联进程Y的特征信息与历史进程链1、历史进程链2和历史进程链3中的历史进程的特征信息进行比对,若历史进程链2和历史进程链3中的历史进程D的特征信息与关联进程Y的特征信息匹配,则确定目标进程X的安全属性标签为异常。
需要说明的是,本申请实施例中,确定发送目标业务请求的目标进程的安全属性标签的实施方式并不仅限于上述几种,还可以是其他实施方式,比如安全信息库中并不仅仅保存异常的进程链,可以同时保存正常和异常的进程链,然后将目标进程或关联进程与安全信息库进程匹配,确定目标进程的安全属性标签。又比如将上述几种实施方式进行组合,确定目标进程的安全属性标签等,对此,本申请不做具体限定。
本申请实施例中,在向认证服务器请求目标进程的访问票据之前,先采用各个历史进程的特征信息以及安全属性标签,对目标进程的安全属性标签进行认证,若目标进程的安全属性标签为异常时,直接拦截目标业务访问请求,从而提高业务访问请求认证的效率。其次,利用进程链中进程的层级关系对目标进程进行安全认证,从而提高安全认证的准确性。另外,将认证服务器对网络访问进程的判断能力迁移一部分到终端设备,既降低了认证服务器针对海量网络访问的压力,有效缓解了分布式部署环境中服务器的请求压力,同时增强了访问的安全性和灵活度。
可选地,在上述步骤S903中,认证应用通过终端设备向认证服务器请求目标进程的访问票据之后,认证服务器对目标进程进行安全认证。
当认证服务器对目标进程安全认证通过时,发送目标进程的访问票据给认证应用。认证应用接收认证服务器发送的目标进程的访问票据,并将目标业务访问请求发送给业务服务器。
当认证服务器对目标进程安全认证未通过时,发送目标进程的访问票据拒绝消息给认证应用。认证应用接收认证服务器发送的访问票据拒绝消息,并在安全信息库中保存目标进程的特征信息和安全属性标签,且将目标进程的安全属性标签设置为异常。
具体实施中,认证应用通过终端设备向认证服务器发送访问票据申请请求,访问票据申请请求中携带目标进程的特征信息以及目标业务访问请求的属性信息,其中,目标进程的特征信息包括:进程绝对路径、MD5、签名信息、进程修改时间、SHA256、版权信息。目标业务访问请求的属性信息包括url访问信息、设备信息、用户登录信息代理、登录票据等,其中,登陆票据为目标用户账号成功登陆认证应用后获得的票据。
认证服务器对目标进程的特征信息以及目标业务访问请求的属性信息进行认证,认证方式包括判断登陆票据是否满足预设规则、判断目标进程的签名信息和验签结果是否满足预设规则等。在认证通过后,认证服务器生成目标进程的访问票据并将目标进程的访问票据发送给认证应用,认证应用接收到目标进程的访问票据之后,将目标业务访问请求发送给业务服务器,否则认证服务器发送访问票据消息给认证应用,认证应用拦截目标进程发送的目标业务访问请求,在安全信息库中保存目标进程的特征信息和安全属性标签。
一种可能的实施方式,可以将目标进程的特征信息和安全属性标签以进程链的形式保存在安全信息库中,具体为:
获取目标进程对应的目标进程链,目标进程链包括目标进程以及与目标进程存在层级关系的关联进程,然后将目标进程链中每个进程的特征信息和安全属性标签保存进安全信息库中,且将目标进程链的安全属性标签设置为异常。
示例性地,设定目标进程X的关联进程为关联进程Y和关联进程Z,其中关联进程X和关联进程Z为目标进程X的子进程,关联进程X和关联进程Z的安全属性标签为未知,目标进程X的安全属性标签为异常,则将由目标进程X、关联进程X和关联进程Z组成的进程链S保存在安全数据库,并将进程链S的安全属性标签设置为异常。
本申请实施例中,当采用各个历史进程的特征信息以及安全属性标签确定目标进程的安全属性标签并非异常时,由认证服务器进一步对目标进程进行安全认证,通过多重认证后才将目标业务访问请求发送给业务服务器,从而提高了业务系统的安全性。
可选地,认证服务器在接收到目标进程的特征信息之后,将目标进程的特征信息异步发送给威胁情报平台,由威胁情报平台对目标进程的特征信息进行安全属性鉴定,并将安全属性鉴定结果发送给认证服务器,再由认证服务器将安全属性鉴定结果发送给认证应用。
具体实施中,认证服务器在接收到目标进程的特征信息之后,可以先判断距离上次送检的时间间隔是否超出预设时间范围,若是,则直接将目标进程的特征信息加入送检队列,否则等待。可选地,为了保证业务访问响应的时效性,认证应用可以先采集目标进程的部分特征信息给认证服务器,由认证服务器基于目标进程的部分特征信息对目标进程进行安全认证,其中,该部分特征信息可以是所需采集时长较短的特征信息,比如进程绝对路径、MD5、签名信息、进程修改时间、版权信息等。认证应用后续采集完所需采集时长较长的特征信息后(比如SHA256、进程证书链的详细信息),再将目标进程的所有特征信息进程异步送检,从而获得更加准确的安全属性鉴定结果。
认证应用接收认证服务器发送的目标进程的访问票据之后,若接收到的安全属性鉴定结果表明目标进程的安全属性标签为异常时,在安全信息库中保存目标进程的特征信息和安全属性标签,目标进程的安全属性标签为异常,目标进程的特征信息和安全属性标签可以以进程链的形式保存在安全信息库中,故目标进程在后续向认证服务器申请访问票据时,认证应用可以直接拒绝。另外,认证应用也可以单独缓存进程的安全属性鉴定结果并定期更新,当安全属性鉴定结果表明目标进程的安全属性标签为异常时,可以在本地缓存的目标进程的特征信息,并标记目标进程为异常进程,具体可以对目标进程的MD5进程标记。目标进程在后续向认证服务器申请访问票据时,可以通过查询本地缓存的安全属性鉴定结果,然后直接拒绝访问票据申请。
进一步地,由于认证应用接收认证服务器发送的目标进程的访问票据之后,认证应用将目标业务访问请求发送给业务服务器,而安全属性鉴定结果表明目标进程的安全属性标签为异常,此时需要中断目标进程与业务服务器的网络连接,本申请实施例提供以下两种中断的实施方式:
实施方式一,进程级的业务访问中断,即通过网关应用中断目标进程与业务服务器的网络连接,并清除目标进程的访问票据。
具体地,认证服务器基于威胁情报平台的安全属性鉴定结果确定目标进程的安全属性标签为异常时,下发任务型策略给认证应用,任务型策略中包括目标进程的特征信息。认证应用根据目标进程的进程绝对路径,获取目标进程的最新更新时间,然后将任务型策略中目标进程的进程更新时间和获取的目标进程的最新更新时间进程比对,若不一致,则说明目标进程已经更新,则不触发业务访问中断,否则推送目标进程的进程标识给网关应用。网关应用根据已建立链接的进程句柄信息,断开目标进程对应的链接,同时清除缓存的目标进程的访问票据。认证应用获知目标进程的中断结果后,将目标进程的中断结果上报给认证服务器,同时清除缓存的目标进程的访问票据。
实施方式二,设备级的业务访问中断,即通过网关应用中断终端设备上当前与业务服务器存在网络连接的所有进程的网络连接。
具体地,网关应用根据终端设备上已建立链接的进程句柄信息,断开所有进程对应的链接,同时清除缓存的进程的访问票据。认证应用获知各个进程的中断结果后,将各个进程的中断结果上报给认证服务器。
本申请实施例中,认证服务器对目标进程安全认证的同时,认证服务器将目标进程的特征信息异步发送给威胁情报平台进行安全鉴定,通过多重认证提高认证的准确性,并及时中断异常进程的网络连接,从而提高业务服务器的安全性。
可选地,认证服务器在接收认证服务器发送的访问票据拒绝消息之后,在安全信息库中保存目标进程的特征信息和安全属性标签,且将目标进程的安全属性标签设置为异常。若威胁情报平台的安全属性鉴定结果表明目标进程的安全属性标签为正常,此时可以从安全信息库中删除目标进程的特征信息和安全属性标签,或者将安全信息库中的目标进程的安全属性标签修改为正常。
本申请实施例中,认证服务器对目标进程安全认证的同时,认证服务器将目标进程的特征信息异步发送给威胁情报平台进行安全鉴定,通过多重认证提高认证的准确性,同时及时更新安全信息库,便于后续基于安全信息库对进程进行认证,提高进程认证效率。
为了更好地解释本申请实施例,下面以办公应用场景为例,介绍本申请实施例提供的一种进程访问的控制方法,该方法由终端设备上安装的认证应用和认证服务器交互执行,如图12所示,包括以下步骤:
可信业务应用配置过程:
企业管理员预先将每个企业员工账号的可信业务应用设置为任意应用,当企业员工账号访问任意一个业务应用时,认证应用采集业务应用的应用信息,然后将业务应用的应用信息发送给认证服务器,认证服务器通过送检服务检测业务应用的安全性,其中,送检服务指的是将业务应用的应用信息发送给威胁情报平台进行鉴定,基于各个业务应用的检测结果获得企业的可信应用集合。
获得企业的可信应用集合之后,企业管理员根据每个企业员工账号的权限,为每个企业员账号配置可信业务应用,每个企业员工账号的可信业务应用是从预先获得企业的可信应用集合中选择的。
访问票据申请过程:
如图13所示,认证应用监听企业员工账号当前访问的业务应用,基于企业员工账号的可信应用,判断企业员工账号是否具有访问当前访问的业务应用的权限,若有,则监听业务应用所创建进程的业务访问请求,否则,中断企业员工账号对业务应用的访问。
认证应用监听到目标业务访问请求中携带目标进程的访问票据时,认证应用通过终端设备将目标业务访问请求发送给业务服务器。业务服务器接收到目标进程发送的目标业务访问请求时,将目标业务访问请求的响应数据发送给终端设备中的业务应用。
认证应用监听到的目标业务访问请求中未携带目标进程的访问票据时,获取目标进程的相关信息,目标进程的相关信息包括目标进程的特征信息以及与目标进程存在层级关系的关联进程的特征信息。采用目标进程的特征信息或关联进程的特征信息查询进程链库,进程链库中每个历史进程链的安全属性标签为异常,即每个历史进程链中至少存在一个历史进程的安全属性标签为异常。
当进程链库中存在与目标进程匹配的历史进程和/或与关联进程匹配的历史进程时,确定目标进程的安全属性标签为异常,则拦截目标业务请求。否则发送访问票据申请请求给认证服务器,访问票据申请请求包括目标进程的特征信息和目标业务访问请求的属性信息,其中,目标进程的特征信息包括目标进程的进程绝对路径、MD5、签名信息、进程修改时间、SHA256、版权信息等。目标业务访问请求包括操作系统信息、url访问信息、设备信息、用户登录信息代理、登录票据等。
认证服务器判断目标进程的签名信息以及验签结果是否符合预设规则,若是,确定目标进程为安全属性标签为正常,并发送目标进程的访问票据给认证应用,否则发送访问票据拒绝消息给认证应用。当认证应用接收到认证服务器发送的目标进程的访问票据时,认证应用通过终端设备将目标业务访问请求发送给业务服务器。业务服务器接收到目标进程发送的目标业务访问请求时,将目标业务访问请求的响应数据发送给终端设备中的业务应用。当认证应用接收到认证服务器发送的访问票据拒绝消息时,拦截目标业务访问请求。
进程链库更新过程:
当认证应用接收到认证服务器发送的访问票据拒绝消息时,确定目标进程对应的目标进程链,目标进程链包括目标进程以及与目标进程存在层级关系的关联进程,然后将目标进程链中每个进程的特征信息和安全属性标签保存进安全信息库中,且将目标进程链的安全属性标签设置为异常。
异步送检过程:
认证服务器在接收到目标进程的特征信息之后,将目标进程的特征信息异步发送给威胁情报平台,由威胁情报平台对目标进程的特征信息进行安全属性鉴定,并将安全属性鉴定结果发送给认证服务器,再由认证服务器将安全属性鉴定结果发送给认证应用。认证应用本地缓存认证服务器每次异步送检获得的安全属性鉴定结果,并定期更新。另外,认证应用也可以根据安全属性鉴定结果更新进程链库。
认证应用将目标业务访问请求发送给业务服务器之后,若接收到的安全属性鉴定结果表明目标进程的安全属性标签为异常时,认证应用通过网关应用中断目标进程与业务服务器的网络连接,并清除目标进程的访问票据,同时以弹窗的形式提醒企业员工。
本申请实施例中,监听到业务应用所创建的目标进程的目标业务访问请求后,先判断目标业务访问请求中是否携带目标进程的访问票据时,若没有访问票据,则向认证服务器请求目标进程的访问票据,获得目标进程的访问票据之后才能将目标业务访问请求发送给业务服务器,该方案对每个业务访问请求均进行认证,故不是依赖边界划分,从而提高了企业数据的安全性,同时给远程办公带来便利,提高了员工办公的灵活性。其次,在向认证服务器请求目标进程的访问票据之前,先采用各个历史进程的特征信息以及安全属性标签,对目标进程的安全属性标签进行认证,若目标进程的安全属性标签为异常时,直接拦截目标业务访问请求,从而提高业务访问请求认证的效率。另外,将认证服务器对网络访问进程的判断能力迁移一部分到终端设备,既降低了认证服务器针对海量网络访问的压力,有效缓解了分布式部署环境中服务器的请求压力,同时增强了访问的安全性和灵活度。
基于相同的技术构思,本申请实施例提供了一种进程访问的控制装置,如图14所示,该装置1400包括:
监听模块1401,用于监听各个业务应用所创建进程的业务访问请求;
检测模块1402,用于针对各个业务访问请求中的任意一个目标业务访问请求,当监听到目标业务访问请求中未携带目标进程的访问票据时,根据各个历史进程的特征信息以及安全属性标签,确定目标进程的安全属性标签;
处理模块1403,用于当目标进程的安全属性标签为异常时,拦截目标业务访问请求,否则向认证服务器请求目标进程的访问票据。
可选地,各个历史进程的特征信息以及安全属性标签保存在安全信息库中;
处理模块1403还用于:
向认证服务器请求目标进程的访问票据之后,接收认证服务器发送的目标进程的访问票据,并将目标业务访问请求发送给业务服务器,目标进程的访问票据是认证服务器对目标进程安全认证通过时发送的;或者
接收认证服务器发送的访问票据拒绝消息,并在安全信息库中保存目标进程的特征信息和安全属性标签,且将目标进程的安全属性标签设置为异常,目标进程的访问票据拒绝消息是认证服务器对目标进程安全认证未通过时发送的。
可选地,处理模块1403还用于:
接收认证服务器对目标进程安全认证通过时发送的目标进程的访问票据之后,接收认证服务器发送的目标进程的安全属性鉴定结果,目标进程的安全属性鉴定结果是认证服务器将目标进程的特征信息异步发送给威胁情报平台,由威胁情报平台鉴定获得的;
根据安全属性鉴定结果,确定目标进程的安全属性标签为异常时,在安全信息库中保存目标进程的特征信息和安全属性标签,且将目标进程的安全属性标签设置为异常。
可选地,处理模块1403还用于:
通过网关应用中断目标进程与业务服务器的网络连接,并清除目标进程的访问票据。
可选地,处理模块1403具体用于:
获取目标进程对应的目标进程链,目标进程链包括目标进程以及与目标进程存在层级关系的关联进程;
将目标进程链中每个进程的特征信息和安全属性标签保存进安全信息库中,且将目标进程链的安全属性标签设置为异常。
可选地,检测模块1402具体用于:
获取目标进程的特征信息;
根据目标进程的特征信息,查询安全信息库中的各个历史进程链;
当各个历史进程链中存在与目标进程匹配的历史进程时,确定目标进程的安全属性标签为异常。
可选地,检测模块1402具体用于:
获取与目标进程存在层级关系的关联进程的特征信息;
根据关联进程的特征信息,查询安全信息库中的各个历史进程链;
当各个历史进程链中存在与关联进程匹配的历史进程时,确定目标进程的安全属性标签为异常。
可选地,各个业务应用是目标用户账号当前访问的业务应用;
检测模块1402还用于:
监听目标用户账号当前访问的业务应用创建的各个进程的业务访问请求之前,确定目标用户账号具有访问各个业务应用的权限。
基于相同的技术构思,本申请实施例提供了一种计算机设备,如图15所示,包括至少一个处理器1501,以及与至少一个处理器连接的存储器1502,本申请实施例中不限定处理器1501与存储器1502之间的具体连接介质,图15中处理器1501和存储器1502之间通过总线连接为例。总线可以分为地址总线、数据总线、控制总线等。
在本申请实施例中,存储器1502存储有可被至少一个处理器1501执行的指令,至少一个处理器1501通过执行存储器1502存储的指令,可以执行上述进程访问的控制方法中所包括的步骤。
其中,处理器1501是计算机设备的控制中心,可以利用各种接口和线路连接计算机设备的各个部分,通过运行或执行存储在存储器1502内的指令以及调用存储在存储器1502内的数据,从而控制进程访问。可选的,处理器1501可包括一个或多个处理单元,处理器1501可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作系统、用户界面和应用程序等,调制解调处理器主要处理无线通信。可以理解的是,上述调制解调处理器也可以不集成到处理器1501中。在一些实施例中,处理器1501和存储器1502可以在同一芯片上实现,在一些实施例中,它们也可以在独立的芯片上分别实现。
处理器1501可以是通用处理器,例如中央处理器(CPU)、数字信号处理器、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件,可以实现或者执行本申请实施例中公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。
存储器1502作为一种非易失性计算机可读存储介质,可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块。存储器1502可以包括至少一种类型的存储介质,例如可以包括闪存、硬盘、多媒体卡、卡型存储器、随机访问存储器(Random AccessMemory,RAM)、静态随机访问存储器(Static Random Access Memory,SRAM)、可编程只读存储器(Programmable Read Only Memory,PROM)、只读存储器(Read Only Memory,ROM)、带电可擦除可编程只读存储器(Electrically Erasable Programmable Read-Only Memory,EEPROM)、磁性存储器、磁盘、光盘等等。存储器1502是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。本申请实施例中的存储器1502还可以是电路或者其它任意能够实现存储功能的装置,用于存储程序指令和/或数据。
基于同一发明构思,本申请实施例提供了一种计算机可读存储介质,其存储有可由计算机设备执行的计算机程序,当程序在计算机设备上运行时,使得计算机设备执行上述进程访问的控制方法的步骤。
本领域内的技术人员应明白,本发明的实施例可提供为方法、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (11)
1.一种进程访问的控制方法,其特征在于,包括:
监听各个业务应用所创建进程的业务访问请求;
针对各个业务访问请求中的任意一个目标业务访问请求,当监听到所述目标业务访问请求中未携带目标进程的访问票据时,根据各个历史进程的特征信息以及安全属性标签,确定所述目标进程的安全属性标签;
当所述目标进程的安全属性标签为异常时,拦截所述目标业务访问请求,否则向认证服务器请求所述目标进程的访问票据。
2.如权利要求1所述的方法,其特征在于,所述各个历史进程的特征信息以及安全属性标签保存在安全信息库中;
所述向认证服务器请求所述目标进程的访问票据之后,还包括:
接收所述认证服务器发送的所述目标进程的访问票据,并将所述目标业务访问请求发送给业务服务器,所述目标进程的访问票据是所述认证服务器对所述目标进程安全认证通过时发送的;或者
接收所述认证服务器发送的访问票据拒绝消息,并在所述安全信息库中保存所述目标进程的特征信息和安全属性标签,且将所述目标进程的安全属性标签设置为异常,所述目标进程的访问票据拒绝消息是所述认证服务器对所述目标进程安全认证未通过时发送的。
3.如权利要求2所述的方法,其特征在于,所述接收所述认证服务器发送的所述目标进程的访问票据之后,还包括:
接收所述认证服务器发送的所述目标进程的安全属性鉴定结果,所述目标进程的安全属性鉴定结果是所述认证服务器将所述目标进程的特征信息异步发送给威胁情报平台,由所述威胁情报平台鉴定获得的;
根据所述安全属性鉴定结果,确定所述目标进程的安全属性标签为异常时,在所述安全信息库中保存所述目标进程的特征信息和安全属性标签,且将所述目标进程的安全属性标签设置为异常。
4.如权利要求3所述的方法,其特征在于,还包括:
通过网关应用中断所述目标进程与所述业务服务器的网络连接,并清除所述目标进程的访问票据。
5.如权利要求2至4任一项所述的方法,其特征在于,所述在所述安全信息库中保存所述目标进程的特征信息和安全属性标签,具体包括:
获取所述目标进程对应的目标进程链,所述目标进程链包括所述目标进程以及与所述目标进程存在层级关系的关联进程;
将所述目标进程链中每个进程的特征信息和安全属性标签,保存进所述安全信息库中,且将所述目标进程链的安全属性标签设置为异常。
6.如权利要求5所述的方法,其特征在于,所述根据各个历史进程的特征信息以及安全属性标签,确定所述目标进程的安全属性标签,包括:
获取所述目标进程的特征信息;
根据所述目标进程的特征信息,查询所述安全信息库中的各个历史进程链;
当各个历史进程链中存在与所述目标进程匹配的历史进程时,确定所述目标进程的安全属性标签为异常。
7.如权利要求5所述的方法,其特征在于,所述根据各个历史进程的特征信息以及安全属性标签,确定所述目标进程的安全属性标签,包括:
获取与所述目标进程存在层级关系的关联进程的特征信息;
根据所述关联进程的特征信息,查询所述安全信息库中的各个历史进程链;
当各个历史进程链中存在与所述关联进程匹配的历史进程时,确定所述目标进程的安全属性标签为异常。
8.如权利要求5所述的方法,其特征在于,所述各个业务应用是目标用户账号当前访问的业务应用;
所述监听各个业务应用所创建进程的业务访问请求之前,还包括:
确定所述目标用户账号具有访问所述各个业务应用的权限。
9.一种进程访问的控制装置,其特征在于,包括:
监听模块,用于监听各个业务应用所创建进程的业务访问请求;
检测模块,用于针对各个业务访问请求中的任意一个目标业务访问请求,当监听到所述目标业务访问请求中未携带目标进程的访问票据时,根据各个历史进程的特征信息以及安全属性标签,确定所述目标进程的安全属性标签;
处理模块,用于当所述目标进程的安全属性标签为异常时,拦截所述目标业务访问请求,否则向认证服务器请求所述目标进程的访问票据。
10.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求1~8任一权利要求所述方法的步骤。
11.一种计算机可读存储介质,其特征在于,其存储有可由计算机设备执行的计算机程序,当所述程序在计算机设备上运行时,使得所述计算机设备执行权利要求1~8任一所述方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010915417.6A CN112104625B (zh) | 2020-09-03 | 2020-09-03 | 一种进程访问的控制方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010915417.6A CN112104625B (zh) | 2020-09-03 | 2020-09-03 | 一种进程访问的控制方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112104625A true CN112104625A (zh) | 2020-12-18 |
CN112104625B CN112104625B (zh) | 2024-04-16 |
Family
ID=73757161
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010915417.6A Active CN112104625B (zh) | 2020-09-03 | 2020-09-03 | 一种进程访问的控制方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112104625B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114745145A (zh) * | 2021-01-07 | 2022-07-12 | 腾讯科技(深圳)有限公司 | 业务数据访问方法、装置和设备及计算机存储介质 |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2001011452A2 (en) * | 1999-08-05 | 2001-02-15 | Sun Microsystems, Inc. | Access management system and method employing secure credentials |
CN1567868A (zh) * | 2003-07-02 | 2005-01-19 | 华为技术有限公司 | 基于以太网认证系统的认证方法 |
US20070133763A1 (en) * | 2005-09-20 | 2007-06-14 | Accenture S.P.A. | Authentication and authorization architecture for an access gateway |
CN103685151A (zh) * | 2012-09-03 | 2014-03-26 | 腾讯科技(深圳)有限公司 | 账号单点登录保护方法及装置 |
CN105871854A (zh) * | 2016-04-11 | 2016-08-17 | 浙江工业大学 | 基于动态授权机制的自适应云访问控制方法 |
US9455972B1 (en) * | 2013-09-30 | 2016-09-27 | Emc Corporation | Provisioning a mobile device with a security application on the fly |
CN106027577A (zh) * | 2016-08-04 | 2016-10-12 | 四川无声信息技术有限公司 | 一种异常访问行为检测方法及装置 |
CN106101149A (zh) * | 2016-08-15 | 2016-11-09 | 深圳前海信息技术有限公司 | 基于访问控制列表的进程访问控制方法及装置 |
CN109815656A (zh) * | 2018-12-11 | 2019-05-28 | 平安科技(深圳)有限公司 | 登录认证方法、装置、设备及计算机可读存储介质 |
CN110417778A (zh) * | 2019-07-30 | 2019-11-05 | 中国工商银行股份有限公司 | 访问请求的处理方法和装置 |
-
2020
- 2020-09-03 CN CN202010915417.6A patent/CN112104625B/zh active Active
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2001011452A2 (en) * | 1999-08-05 | 2001-02-15 | Sun Microsystems, Inc. | Access management system and method employing secure credentials |
CN1567868A (zh) * | 2003-07-02 | 2005-01-19 | 华为技术有限公司 | 基于以太网认证系统的认证方法 |
US20070133763A1 (en) * | 2005-09-20 | 2007-06-14 | Accenture S.P.A. | Authentication and authorization architecture for an access gateway |
CN103685151A (zh) * | 2012-09-03 | 2014-03-26 | 腾讯科技(深圳)有限公司 | 账号单点登录保护方法及装置 |
US9455972B1 (en) * | 2013-09-30 | 2016-09-27 | Emc Corporation | Provisioning a mobile device with a security application on the fly |
CN105871854A (zh) * | 2016-04-11 | 2016-08-17 | 浙江工业大学 | 基于动态授权机制的自适应云访问控制方法 |
CN106027577A (zh) * | 2016-08-04 | 2016-10-12 | 四川无声信息技术有限公司 | 一种异常访问行为检测方法及装置 |
CN106101149A (zh) * | 2016-08-15 | 2016-11-09 | 深圳前海信息技术有限公司 | 基于访问控制列表的进程访问控制方法及装置 |
CN109815656A (zh) * | 2018-12-11 | 2019-05-28 | 平安科技(深圳)有限公司 | 登录认证方法、装置、设备及计算机可读存储介质 |
CN110417778A (zh) * | 2019-07-30 | 2019-11-05 | 中国工商银行股份有限公司 | 访问请求的处理方法和装置 |
Non-Patent Citations (3)
Title |
---|
刘明聪;王娜;周宁;: "基于依赖分析的云组合服务信息流控制机制", 计算机科学, no. 04 * |
李栋栋, 虎嵩林: "一种统一授权和访问控制模型的设计实现", 计算机工程与应用, no. 06 * |
黄晶晶;方群;: "基于上下文和角色的云计算访问控制模型", 计算机应用, no. 02 * |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114745145A (zh) * | 2021-01-07 | 2022-07-12 | 腾讯科技(深圳)有限公司 | 业务数据访问方法、装置和设备及计算机存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN112104625B (zh) | 2024-04-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11057366B2 (en) | Federated identity management with decentralized computing platforms | |
US11818169B2 (en) | Detecting and mitigating attacks using forged authentication objects within a domain | |
US11968227B2 (en) | Detecting KERBEROS ticket attacks within a domain | |
US10574698B1 (en) | Configuration and deployment of decoy content over a network | |
KR102130122B1 (ko) | 온라인 사기를 검출하기 위한 시스템 및 방법 | |
Genc et al. | Examination of a new defense mechanism: Honeywords | |
US9979726B2 (en) | System and method for web application security | |
US20190334940A1 (en) | Web application security methods and systems | |
CN112073400A (zh) | 一种访问控制方法、系统、装置及计算设备 | |
CN111262889A (zh) | 一种云服务的权限认证方法、装置、设备及介质 | |
CN110569658A (zh) | 基于区块链网络的用户信息处理方法、装置、电子设备及存储介质 | |
WO2021002884A1 (en) | Data breach prevention and remediation | |
US20230308459A1 (en) | Authentication attack detection and mitigation with embedded authentication and delegation | |
US10860382B1 (en) | Resource protection using metric-based access control policies | |
US11444968B1 (en) | Distributed system for autonomous discovery and exploitation of an organization's computing and/or human resources to evaluate capacity and/or ability to detect, respond to, and mitigate effectiveness of intrusion attempts by, and reconnaissance efforts of, motivated, antagonistic, third parties | |
Sehgal et al. | Future trends in cloud computing | |
US9075996B2 (en) | Evaluating a security stack in response to a request to access a service | |
US10474810B2 (en) | Controlling access to web resources | |
CN112104625B (zh) | 一种进程访问的控制方法及装置 | |
Kang et al. | A strengthening plan for enterprise information security based on cloud computing | |
Sanfilippo et al. | Stride-based threat modeling for mysql databases | |
Shahriar et al. | Mobile anti-phishing: Approaches and challenges | |
CN110971606A (zh) | 一种Web应用开发中的HACCP安全体系的构建方法以及应用方法 | |
US20240022546A1 (en) | Master ledger and local host log extension detection and mitigation of forged authentication attacks | |
Bhandari et al. | A Preliminary Study On Emerging Cloud Computing Security Challenges |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
TA01 | Transfer of patent application right |
Effective date of registration: 20210914 Address after: 100086 Beijing Haidian District Zhichun Road 49 No. 3 West 309 Applicant after: TENCENT CLOUD COMPUTING (BEIJING) Co.,Ltd. Address before: 35th floor, Tencent building, Keji Zhongyi Road, high tech Zone, Nanshan District, Shenzhen City, Guangdong Province Applicant before: TENCENT TECHNOLOGY (SHENZHEN) Co.,Ltd. |
|
TA01 | Transfer of patent application right | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |