CN112468518A - 访问数据处理方法、装置、存储介质及计算机设备 - Google Patents
访问数据处理方法、装置、存储介质及计算机设备 Download PDFInfo
- Publication number
- CN112468518A CN112468518A CN202110116602.3A CN202110116602A CN112468518A CN 112468518 A CN112468518 A CN 112468518A CN 202110116602 A CN202110116602 A CN 202110116602A CN 112468518 A CN112468518 A CN 112468518A
- Authority
- CN
- China
- Prior art keywords
- access request
- network access
- communication link
- data packet
- determining
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/60—Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- Bioethics (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Computing Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了一种访问数据处理方法、装置、存储介质及计算机设备,通过接收网络访问请求,网络访问请求携带流量数据包;解析流量数据包,得到传输控制协议数据包;对传输控制协议数据包进行分析,确定网络访问请求对应的通信链路协议;根据通信链路协议的属性确定网络访问请求的访问权限;按照访问权限进行访问控制。以此,通过对网络访问请求携带的流量数据包进行分析,进而确定网络访问请求对应的通信链路协议,根据通信链路协议的属性确定网络访问请求的访问权限。该方法可以提高访问数据处理的效率,而且可以有效对IPv6环境下的访问数据进行安全识别,提高了网络环境的安全性。
Description
技术领域
本发明涉及网络安全领域,具体涉及一种访问数据处理方法、装置、存储介质及计算机设备。
背景技术
近年来,随着互联网技术的不断发展,人们生活与互联网的联系越来越紧密,互联网数据中存储了大量的用户隐私信息,使得互联网数据的安全性显得尤为重要。
目前对访问网页或数据库的非法访问数据的识别,主要是对访问数据中包含的IP地址(Internet Protocol Address,互联网协议地址)进行识别。通过建立IP地址黑名单库,再将访问数据中包含的IP地址与IP地址黑名单库中的IP地址进行比对,若确定访问数据中包含的IP地址为IP地址黑名单库中包含的IP地址则可以确定访问数据是否为非法访问。
然而,基于访问数据的IP地址判断访问数据是否为非法访问的识别方法,主要适用于互联网通信协议第四版(Internet Protocol version 4,IPv4),IPv4地址数量有限,使用IP地址黑名单可以有效识别非法访问数据。目前随着互联网通信协议第六版(Internet Protocol version 6,IPv6)的部署以及普及,使得IP地址数量实现爆炸式增长,基于IPv6的IP地址数量接近无限,使得采用IP地址黑名单的方法难以识别和拦截非法访问数据。目前缺乏适用IPv6的非法访问数据识别方法。
发明内容
本发明实施例提供一种访问数据处理方法、装置、存储介质及计算机设备。该方法通过对网络访问请求的流量数据包进行识别,并根据识别结果进行访问控制。该方法可以提升访问数据处理效率,也可以有效对IPv6环境下的访问数据进行安全识别。
本申请第一方面提供一种访问数据处理方法,方法包括:
接收网络访问请求,所述网络访问请求携带流量数据包;
解析所述流量数据包,得到传输控制协议数据包;
对所述传输控制协议数据包进行分析,确定所述网络访问请求对应的通信链路协议;
根据所述通信链路协议的属性确定所述网络访问请求的访问权限;
按照所述访问权限进行访问控制。
相应的,本发明实施例第二方面提供一种访问数据处理装置,装置包括:
接收单元,用于接收网络访问请求,所述网络访问请求携带流量数据包;
解析单元,用于解析所述流量数据包,得到传输控制协议数据包;
分析单元,用于对所述传输控制协议数据包进行分析,确定所述网络访问请求对应的通信链路协议;
第一确定单元,用于根据所述通信链路协议的属性确定所述网络访问请求的访问权限;
控制单元,用于按照所述访问权限进行访问控制。
在一些实施例中,所述分析单元,包括:
第一获取子单元,用于获取所述传输控制协议数据包的最大数据分段大小;
第一计算子单元,用于根据所述最大数据分段大小计算所述传输控制协议数据包的最大数据传输单元;
第一确定子单元,用于根据所述最大数据传输单元确定所述网络访问请求对应的通信链路协议。
在一些实施例中,所述第一确定单元,包括:
第二确定子单元,用于当所述通信链路协议的属性属于预设的通信链路协议属性集合时,确定所述网络访问请求的访问权限为禁止访问;
第三确定子单元,用于当所述通信链路协议的属性不属于所述预设的通信链路协议属性集合时,确定所述网络访问请求的访问权限为允许访问。
在一些实施例中,所述装置还包括:
获取单元,用于获取握手信号以及应答信号,所述握手信号以及所述应答信号为根据所述传输控制协议数据包建立与访问者的会话的过程中产生的信号;
第二确定单元,用于确定与所述握手信号以及所述应答信号对应的第一操作系统;
整合单元,用于将所述传输控制协议数据包按照超文本传输协议格式进行整合,得到超文本传输协议数据包;
第三确定单元,用于确定与所述超文本传输协议数据包对应的第二操作系统;
对比单元,用于将所述第一操作系统与所述第二操作系统进行比对,得到比对结果;
所述第一确定单元还用于:
根据所述通信链路协议的属性与所述比对结果确定所述网络访问请求的访问权限。
在一些实施例中,所述第一确定单元还包括:
第四确定子单元,用于确定与所述通信链路协议的属性对应的第一置信度;
第五确定子单元,用于确定与所述比对结果对应的第二置信度;
第二计算子单元,用于根据所述第一置信度与所述第二置信度计算得到所述网络访问请求的目标置信度;
第六确定子单元,用于当所述目标置信度高于预设阈值时,确定所述访问请求的访问权限为禁止访问;
第七确定子单元,用于当所述目标置信度不高于所述预设阈值时,确定所述访问请求的访问权限为允许访问。
在一些实施例中,所述第一计算子单元,包括:
提取模块,用于提取所述超文本传输协议数据包的请求头数据;
评估模块,用于对所述请求头数据的属性类型进行置信度评估,得到第三置信度;
计算模块,用于根据所述第一置信度、所述第二置信度以及所述第三置信度计算得到所述网络访问请求的目标置信度。
在一些实施例中,所述评估模块,包括:
匹配子模块,用于将所述请求头数据中各字段的顺序与预设的字段顺序进行匹配,并根据匹配结果生成第一子置信度;
检测子模块,用于对所述请求头中包含的用户代理值进行检测,并根据检测结果生成第二子置信度;
计算子模块,用于根据所述第一子置信度与所述第二子置信度计算得到第三置信度。
在一些实施例中,所述装置还包括:
添加单元,用于当所述网络访问请求的目标置信度高于预设阈值时,将所述流量数据包添加至异常数据包样本库;
更新单元,用于根据所述异常数据包样本库中各数据包的置信度分布情况更新所述预设阈值。
此外,本申请实施例第三方面还提供一种存储介质,所述存储介质存储有多条指令,所述指令适于处理器进行加载,以执行本申请第一方面所提供的访问数据处理方法中的步骤。
本申请实施例第四方面提供一种计算机设备,包括存储器、处理器以及存储在所述存储器中并可以在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现本申请第一方面所提供的访问数据处理方法中的步骤。
本申请实施例第五方面提供一种计算机程序产品或计算机程序,所述计算机程序产品或计算机程序包括计算机指令,所述计算机指令存储在存储介质中。计算机设备的处理器从存储介质读取所述计算机指令,处理器执行所述计算机指令,使得所述计算机设备执行第一方面提供的访问数据处理方法中的步骤。
本申请实施例通过接收网络访问请求,网络访问请求携带流量数据包;解析流量数据包,得到传输控制协议数据包;对传输控制协议数据包进行分析,确定网络访问请求对应的通信链路协议;根据通信链路协议的属性确定网络访问请求的访问权限;按照访问权限进行访问控制。以此,通过对网络访问请求携带的流量数据包进行分析,进而确定网络访问请求数据包的访问权限。该方法可以提高访问数据处理的效率,而且可以有效对IPv6环境下的访问数据进行安全识别。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请实施例提供的访问数据处理场景示意图。
图2是本申请实施例提供的访问数据处理方法的流程示意图。
图3是本申请实施例提供的访问数据处理方法的另一流程示意图。
图4A是数据共享系统的示意图。
图4B是区块链的结构示意图。
图4C是区块链产生过程示意图。
图5是本申请实施例提供的访问数据处理装置的结构示意图。
图6是本申请实施例提供的访问数据处理装置的另一结构示意图。
图7是本申请实施例提供的访问数据处理装置的又一结构示意图。
图8是本申请实施例提供的访问数据处理装置的又一结构示意图。
图9是本申请实施例提供的访问数据处理装置的又一结构示意图。
图10是本申请实施例提供的访问数据处理装置的又一结构示意图。
图11是本申请提供的计算机设备的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供一种访问数据处理方法、装置、存储介质及计算机设备。其中,访问数据处理方法可以应用于访问数据处理装置中。该访问数据处理装置可以集成在计算机设备中,该电子装置可以是终端或服务器。其中,终端可以是智能手机、平板电脑、笔记本电脑、台式计算机等,服务器可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式系统,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、网络加速服务(Content DeliveryNetwork,CDN)、以及大数据和人工智能平台等基础云计算服务的云服务器。本申请中服务器可以与终端进行信息交互,终端与服务器可以通过有线或无线通信方式进行直接或间接地连接,本申请在此不做限制。
请参阅图1,为本申请提供的访问数据处理的场景示意图;如图所示,服务器A接收终端B发送的访问请求,终端B可以是智能手机、平板电脑、笔记本电脑、台式计算机等终端,也可以是其他服务器。服务器A对终端B发送的访问请求中包含的流量数据包进行解析,得到传输控制协议(Transmission Control Protocol,TCP)数据包,对TCP数据包进行分析,确定网络访问请求对应的通信链路协议,根据通信链路协议的属性确定网络访问请求的访问权限,按照访问权限进行访问控制。当服务器A确定终端B发送的访问请求对应的访问权限为允许访问时,服务器A将与该访问请求对应的数据流发送给终端B。当服务器A确定终端B发送的访问请求对应的访问权限为不允许访问时,服务器A向终端B发送不允许访问的通知消息。
其中,终端B可以是一个也可以是多个,终端数量不对本申请方案的保护范围造成限定。
需要说明的是,图1所示的访问数据处理场景示意图仅仅是一个示例,本申请实施例描述的访问数据处理场景是为了更加清楚地说明本申请的技术方案,并不构成对于本申请提供的技术方案的限定,本领域普通技术人员可知,随着访问数据处理的演变和新业务场景的出现,本申请提供的技术方案对于类似的技术问题,同样适用。
基于上述实施场景以下分别进行详细说明。
本申请实施例将从访问数据处理装置的角度进行描述,该访问数据处理装置可以集成在服务器中。其中,服务器可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式系统,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、网络加速服务(Content DeliveryNetwork,CDN)、以及大数据和人工智能平台等基础云计算服务的云服务器。如图2所示,为本申请提供的访问数据处理方法的流程示意图,该处理方法包括:
步骤101,接收网络访问请求。
其中,网络访问请求可以是接入服务器后台中的互联网的用户发送的访问请求,该用户可以是基于实体的网络设备(例如智能终端或物理服务器)发送的网络访问请求,也可以是基于虚拟的网络主体(例如云服务器)发送的网络访问请求。网络访问请求携带了流量包数据,流量包数据可以为经网络物理层传输的比特数据流。
该网络访问请求可以是正常用户的常规访问请求,也可能是攻击者的恶意访问请求。在互联网中,为了盗取服务器的资源,时刻存在着大量攻击者对服务器资源进行攻击,使得服务器资源的安全性受到极大的挑战。在相关技术中,互联网安全工作人员会在服务器上部署IP地址检测功能,并设置IP地址黑名单库,当检测到网络访问请求数据包对应的IP地址为IP地址黑名单库中的IP地址时,拒绝该网络访问请求对服务器的访问,从而实现对服务器中网络资源的保护。然而,在IPv4时代,IP地址数量有限而且IP地址的成本相对较高,采用上述方法对恶意网络访问请求进行识别以及拦截尚且有效。随着IPv6的部署以及普及,IP地址的数量实现爆炸式的增长,若仍然采用上述方法对恶意网络访问请求进行识别及拦截,随着时间推移,IP黑名单库中的IP地址数量必然也会急剧增长。此时采用上述方法对恶意网络访问请求进行识别,会消耗大量的处理资源而且识别的时效性很差,这样会使得防御效果大打折扣。进一步地,随着攻击者对大规模代理IP池,特别是动态IP代理池的广泛使用,IP地址已经变得不再可信。同一个IP地址,在1分钟前还被合法用户用于浏览网站,1分钟后已经被攻击者用作撞库攻击的代理IP。撞库是黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以登录的用户。很多用户在不同网站使用的是相同的帐号密码,因此黑客可以通过获取用户在A网站的账户从而尝试登录B网址,这就可以理解为撞库攻击。这样便使得采用IP黑名单库对恶意网络访问请求进行识别拦截的方案效果进一步降低。
根据开放系统互联(Open System Interconnection,OSI)参考模型,网络通信的工作可以分为7层,分别为物理层、数据链路层、网络层、传输层、会话层、表示层以及应用层。本申请的发明人在对相关技术进行研究的基础上,提出了本申请实施例提供的访问数据处理方法,通过对网络访问请求携带的流量数据对应的网络各层协议数据进行识别检测,实现对恶意网络访问请求的识别和拦截,具体实现过程请参阅以下步骤。
步骤102,解析流量包数据,得到TCP数据包。
其中,流量包数据可以是网络物理层传输的比特数据流。对流量包数据进行解析,可以是对比特数据流进行比特流封装,将比特流按照一定的格式封装成帧数据。而且,由于物理层上传输的比特流可能会出现错传、误传等情况,因此还会先对比特流进行错误检测,排除错传和误传的数据。这些操作一般在网络数据链路层实现。进一步地,在网络结构的网络层和传输层按照传输控制协议/网际协议(Transmission Control Protocol/InternetProtocol,TCP/IP)对封装得到的帧数据进行进一步处理,得到TCP/IP数据包,TCP数据包的报文段包括TCP头部和TCP数据部分。在网络结构的应用层,数据一般都以TCP数据包的形式进行传输。对接收访问请求的服务器而言,流量数据包也可以是经过解析后的TCP数据包。
步骤103,对TCP数据包进行分析,确定网络访问请求对应的通信链路协议。
其中,通信链路协议是指通过链路传送数据的一套规则,其中包括建立、维持和断开链路的规则,还包括在链路上传送数据的控制信息格式,以及对控制信息进行解释的规则。常见的通信链路协议包括:点对点协议(Point to Point Protocol,PPP)、点对点隧道协议(Point to Point Tunneling Protocol,PPTP)、虚拟专用网络(Virtual PrivateNetwork,VPN)、以太网上的点对点协议(Point-to-Point Protocol Over Ethernet,PPPoE)、第二层隧道协议(Layer 2 Tunneling Protocol,L2TP)等。PPP协议为在点对点连接上传输多协议数据包提供了一个标准方法。PPP 最初设计是为两个对等节点之间的IP流量传输提供一种封装协议。在 TCP/IP 协议集中它是一种用来同步调制连接的数据链路层协议。PPP协议是为在同等单元之间传输数据包这样的简单链路设计的链路层协议。这种链路提供全双工操作,并按照顺序传递数据包。设计目的主要是用来通过拨号或专线方式建立点对点连接发送数据,使其成为各种主机、网桥和路由器之间简单连接的一种共通的解决方案。PPTP协议是是PPP协议的一种扩展,它将PPP帧封装进IP包中,通过IP网络进行传输。它通过PPTP控制连接来创建、维护、终止一条隧道,同时使用通用路由封装多协议标签交换(Generic Routing Encapsulation,GRE)对PPP帧进行封装用来传输数据。PPTP协议假定在PPTP客户机和服务器之间有连通且可用的IP网络,因此如果PPTP客户机还没有接入网络,则首先需要建立从客户机到服务器的IP网络。VPN是在公用网络上建立专用网络,进行加密通讯。在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。VPN可通过服务器、硬件、软件等多种方式实现。PPPoE协议是将PPP封装在以太网框架中的一种网络隧道协议。由于协议中集成PPP协议,所以实现出传统以太网不能提供的身份验证、加密以及压缩等功能,也可用于缆线调制解调器和数字用户线路等以以太网协议向用户提供接入服务的协议体系。L2TP是一种工业标准的互联网隧道协议,功能大致和PPTP协议类似,比如同样可以对网络数据流进行加密。不过也有不同之处,比如PPTP要求网络为IP网络,L2TP要求面向数据包的点对点连接;PPTP使用单一隧道,L2TP使用多隧道;L2TP提供包头压缩、隧道验证,而PPTP不支持。
在一些实施例中,对TCP数据包进行分析,确定网络访问请求对应的通信链路协议,包括:
1、获取TCP数据包的最大数据分段大小;
2、根据最大数据分段大小计算TCP数据包的最大数据传输单元;
3、根据最大数据传输单元确定网络访问请求对应的通信链路协议。
其中,为了能够达到最佳的传输效能,通讯双方在根据TCP协议建立连接的时候通常要协商双方的最大数据分段大小(Maximum Segment Size,MSS),通讯双方会根据双方提供的MSS值确定这次连接的MSS值。一般情况下,会将双方提供的MSS值的最小值确定为这次连接的MSS值,并将该值记载在TCP数据包的头部数据中。因此可以在TCP数据包中的TCP头部数据中可以获得TCP数据中包含的MSS值。在获得了TCP数据包中包含的本次连接的MSS值后,根据MSS值计算本次连接中数据传输的最大数据传输单元(Maximum TransmissionUnit,MTU)。本次传输的MTU为本次连接的MSS加上40字节,其中该40字节包括IP数据包包头大小的20字节以及TCP数据段的包头大小的20字节。
根据互联网工程任务组发布的一系列备忘录(Request For Comments,RFC)894号文件对以太网上传输IP数据包的规定,以太网中数据传输的最大数据传输单元为1500字节。具体计算方法如下:以太网最大数据帧是1518字节,减去以太网帧的帧头14字节和帧尾循环冗余校验(Cyclic Redundancy Check, CRC)部分4字节,剩余承载上层协议的数据最大是1500字节。其中以太网帧的帧头14字节包括:目的媒体存取控制(Media AccessControl,MAC)地址6字节、源MAC地址6字节和类型字段2字节。进一步地,由于PPPoE协议的包头包尾也会占用8个字节,因此可以确定当访问请求对应的链路协议为PPPoE协议时,TCP数据包对应的最大数据传输单元应当为1492字节。同样地,也可以计算得到其他链路协议对应的MTU。
由于不同的链路协议对应的MTU各不相同,因此可以将根据TCP数据包中的MSS值计算得到的MTU值与每个链路协议对应的MTU值进行匹配,确定匹配一致的链路协议为本次网络访问请求对应的通信链路协议。
步骤104,根据通信链路协议的属性确定网络访问请求的访问权限。
其中,发明人经研究发现,目前外部提供的动态IP代理池服务,绝大多数是基于PPPoE协议、VPN或者PPTP协议建立通信。因此,对网络访问请求对应的链路协议进行检测确定,可以较大程度地识别采用动态IP代理池的恶意网络访问请求。
在一些实施例中,根据通信链路协议的属性确定网络访问请求的访问权限,包括:
当通信链路协议的属性属于预设的通信链路协议属性集合时,确定网络访问请求的访问权限为禁止访问;
当通信链路协议的属性不属于预设的通信链路协议属性集合时,确定网络访问请求的访问权限为允许访问。
其中,通信链路协议的属性可以是通信链路协议名称,也可以是通信链路协议对应的MTU值或其他可以将通讯链路协议之间进行明确区分的属性,此处不作限制。基于前述研究成果,目前外部提供的动态IP代理池服务,绝大多数是基于PPPoE协议、VPN或者PPTP协议建立通信,因此可以据此设置异常通信链路协议属性集合作为预设的通信链路协议属性集合。预设的通信链路协议属性集合可以包含PPPoE协议、VPN或者PPTP协议的协议名称,当根据TCP数据包确定的网络访问请求对应的通信链路协议名称为该预设的通信链路协议属性集合中任意一个元素时,则确定该网络访问请求的访问权限为禁止访问。否则,当根据TCP数据包确定的网络访问请求对应的通信链路协议名称与前述预设的通信链路协议属性集合中的任意一个元素都不相同时,则确定该网络访问请求的访问权限为允许访问。
本实施例中对数据链路层的链路协议进行检测以确定网络访问请求是否恶意访问只是一个可选的实施方式,根据本申请发明人的研究成果,通过对网络访问请求对应的通信链路协议进行检测,可以较大概率地识别和拦截攻击者通过动态IP代理池对服务器发起的恶意网络访问请求。
步骤105,按照访问权限进行访问控制。
其中,在对网络访问请求对应的通信链路协议进行识别,并根据识别出的链路协议确定了网络访问请求的访问权限后,根据访问权限对访问者的访问行为进行控制。当访问权限为禁止访问时,可以不允许访问者进行内容访问。当访问权限为允许访问时,可以进一步对允许访问的权限进行细化,可以细化为部分内容可访问或者全部内容可访问。当访问权限为部分内容可访问时,允许访问者访问该权限对应的内容;当访问权限为全部内容可访问时,允许访问者访问全部内容。
根据上述描述可知,本申请实施例提供的访问数据处理方法,通过接收网络访问请求,网络访问请求携带流量数据包;解析流量数据包,得到传输控制协议数据包;对传输控制协议数据包进行分析,确定网络访问请求对应的通信链路协议;根据通信链路协议的属性确定网络访问请求的访问权限;按照访问权限进行访问控制。以此,通过对网络访问请求携带的流量数据包中的数据进行分析,确定网络访问请求对应的链路协议,并进一步根据链路协议确定访问请求的访问权限。该方法仅需对访问请求携带的流量数据包进行分析即可以确定访问请求的访问权限,提高了访问数据处理的效率,而且可以有效对IPv6环境下的访问数据进行安全识别。
相应地,本申请实施例将从服务器的角度进一步对本申请提供的访问数据处理方法进行详细的描述。本实施例中的服务器可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式系统,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、网络加速服务(ContentDelivery Network,CDN)、以及大数据和人工智能平台等基础云计算服务的云服务器。如图3所示,为本申请提供的访问数据处理方法的另一流程示意图,该处理方法包括:
步骤201,服务器接收网络访问请求。
其中,在日常网络生活中,经常需要对服务器中的网络资源进行访问以获取需要的相关数据。服务器在接收到访问者发送的网络访问请求时,若直接将网络访问请求对应的访问数据发送给访问者,可能会导致网络资源的泄露,影响网络安全。因此一般情况下,当服务器接收到访问者发送的网络访问请求时,会对网络访问请求进行识别,以判定网络访问请求是否为恶意网络访问请求。并根据识别结果对网络访问请求的访问权限进行确定。
在本申请实施例中,网络访问请求携带了流量数据包,本申请提供的访问数据处理方法通过对网络访问请求携带的流量数据包进行识别以确定网络访问请求的访问权限。
步骤202,服务器解析流量数据包,得到TCP数据包。
其中,服务器对网络访问请求携带的流量数据包进行解析,可以得到网络访问请求对应的符合TCP协议TCP数据包以及符合IP协议的IP数据包。进一步地,服务器还可以对解析得到的TCP数据包进行进一步的组包处理,得到超文本传输协议(HyperText TransferProtocol,HTTP)数据包。然后,服务器再根据TCP数据包以及HTTP数据包中包含的数据对网络访问请求的访问权限进行进一步确定。
步骤203,服务器根据TCP数据包确定网络访问请求对应的通信链路协议。
其中,网络通讯中为了达到最佳的传输效能,在根据TCP协议建议连接的时候会协商通讯双方的MSS值,通讯双方会根据双方提供的MSS值确定本次通讯的MSS值,一般情况下会确定两者提供的MSS值中较小的MSS值作为本次通讯的MSS值。服务器可以在TCP数据包中的TCP头选项字段中可以获得本次通讯的MSS值,在获取到本次通讯的MSS值后,可以根据MSS值与通信链路协议对应的MTU值的换算关系换算得到网络访问请求对应的通信链路协议的MTU值。进一步地,可以根据不同通信链路协议与MTU值的对应关系确定与计算得到的MTU值相对应的通信链路协议,即确定了网络访问请求对应的通信链路协议。
步骤204,服务器根据TCP数据包确定网络访问请求对应的第一操作系统。
其中,服务器在解析得到TCP数据包后,可以根据TCP数据包中的数据对网络访问请求对应的第一操作系统进行确定。其中,在一些实施例中,根据TCP数据包确定网络访问请求对应的操作系统,包括:
1、获取握手信号以及应答信号,握手信号与应答信号为根据TCP协议建立与访问者的会话的过程中产生的信号;
2、确定与握手信号以及应答信号对应的第一操作系统。
其中,在基于TCP协议建立会话时,需要进行三次握手。具体地,访问者与服务器之间基于TCP协议建立会话时,访问者发送同步序列编号(Synchronize Sequence Numbers,SYN)至服务器并等待服务器的确认,SYN信号也可以称为握手信号,该步骤为第一次握手。服务器接收到SYN信号后,对访问者发送的SYN信号进行确认,同时服务器也向访问者发送一个SYN信号,该信号中包含了确认字符(Acknowledge Character,ACK),该确认字符也可以称为应答信号。即第二次握手服务器向访问者发送了SYN+ACK信号。访问者在接收到服务器发送的SYN+ACK信号后,再向服务器发送确认信号ACK信号。该信号发送完毕后,访问者和服务器进入连接成功状态,完成三次握手。在三次握手过程中,双方完成了如下数据交互:1、双方报文发送的开始序号;2、双方发送数据的缓存区大小;3、能被接收的MSS值;4、被支持的TCP选项。服务器对双方建立会话过程中产生的握手信号SYN以及应答信号ACK进行获取,并根据SYN信号以及ACK信号确定如下具体特征:
1、IP数据包初始生存时间值;
2、IP数据包头部数据中扩展头的长度;
3、TCP数据包头部数据中的MSS值;
4、TCP窗口大小;
5、TCP窗口大小的比例系数;
6、TCP数据包头部数据选项分布和顺序;
7、IP和TCP数据包特殊属性。
进一步地,可以对每个操作系统对应的上述特征值进行获取,每个操作系统对应的上述特征值可以从互联网中查找得到。例如,Linux 3.11版本对应的上述特征值如下:
1、IP数据包初始生存时间值:64;
2、IP数据包头部数据中扩展头的长度:0;
3、TCP窗口大小:MSS*20;
4、TCP窗口大小的比例系数:10;
5、TCP数据包头部数据选项分布和顺序:mss、sok、ts、nop、ws;
6、IP和TCP数据包特殊属性:DF。
然后,服务器再将每个操作系统对应的特征值与上述确定的特征值进行匹配,确定匹配合格的操作系统为网络访问请求对应的第一操作系统。
步骤205,服务器根据HTTP数据包确定网络访问请求对应的第二操作系统。
其中,服务器可以在HTTP数据包的报文中直接获取到网络访问请求对应的第二操作系统。一般情况下,网络访问请求对应的操作系统信息记载在HTTP数据包报文中的用户代理字段中,服务器可以直接对HTTP数据包报文中用户代理字段中记载的操作系统信息进行获取,得到网络访问请求对应的第二操作系统。当服务器根据HTTP数据包确定了网络访问请求对应的第二操作系统后,可以将该第二操作系统与根据TCP数据包确定的第一操作系统进行比对,得到比对结果。可以理解的是,比对结果可能是第一操作系统与第二操作系统相同,也可能是第一操作系统与第二操作系统不同。
步骤206,服务器对HTTP数据包中的请求头数据进行提取,并对请求头数据进行分析,得到分析结果。
其中,在一些实施例中,对请求头数据进行分析,得到分析结果,包括:
1、将请求头数据中各字段的顺序与预设的字段顺序进行匹配,得到第一分析结果;
2、对请求头中包含的用户代理值进行检测,得到第二分析结果。
其中,正常的请求头数据中各字段具有固定的字段顺序,确定该固定的字段顺序为预设的字段顺序。然后将HTTP数据包中请求头数据中各字段的顺序与该预设的字段顺序进行匹配,得到第一分析结果。可以理解的是,第一分析结果可以是匹配成功,也可以是匹配失败。
对请求头中包含的用户代理值进行检测,可以是检测请求头数据中是否存在用户代理值。一般情况下,正常的访问者会在HTTP请求报文的请求头中携带用户代理值作为标识。那么如果检测到请求头数据中不存在用户代理值,则确定用户代理值检测异常。
当检测到HTTP请求头数据中存在用户代理值时,对该用户代理值进行进一步检测,以确定该用户代理值是否为常见爬虫软件或者黑客工具对应的用户代理值。当检测到HTTP请求头数据中包含的用户代理值为常见爬虫软件或者黑客工具对应的用户代理值时,确定该用户代理值检测结果为检测异常。
当检测到HTTP请求头数据中包含的用户代理值不是常见爬虫软件或者黑客工具对应的用户代理值时,进一步对用户代理值的字节长度进行检测。由于正常访问者发送的网络访问请求对应的HTTP请求头中的用户代理值的长度范围为20字节至250字节。如果对用户代理值的字节长度进行检测得到的结果不在在20字节到250字节范围内时,确定该用户代理值检测结果为检测异常,否则确定该用户代理值检测结果为正常。
步骤207,服务器根据通信链路协议、比对结果以及分析结果确定网络访问请求的目标置信度。
其中,通信链路协议、比对结果以及分析结果分别为对网络访问请求携带的流量数据从三个角度进行特征分析得到的结果。对网络访问请求进行置信度评估,可以是分别对这三个角度进行特征分析得到的结果进行置信度确定,并根据分别确定的置信度进行加权求得网络访问请求的目标置信度。
具体地,当通信链路协议的属性属于预设的通信链路协议属性集合时,确定该通信链路协议为异常通信链路协议。即当通信链路协议为PPPoE协议、VPN或者PPTP协议中任意一种时,确定该通信链路协议为异常通信链路协议,此时可以确定该通信链路协议对应的第一置信度为100。当通信链路协议的属性不属于预设的通信链路协议属性集合时,确定该通信链路协议为正常通信链路协议。即当通信链路协议不是PPPoE协议、VPN或者PPTP协议中任意一种时,确定该通信链路协议为正常通信链路协议,此时可以确定该通信链路协议对应的第一置信度为0。
当服务器根据TCP数据包确定的网络访问请求对应的第一操作系统与服务器根据HTTP数据包确定的网络访问请求对应的第二操作系统相同时,则确定比对结果为正常,此时确定比对结果对应的第二置信度为0。当服务器根据TCP数据包确定的网络访问请求对应的第一操作系统与服务器根据HTTP数据包确定的网络访问请求对应的第二操作系统不同时,则确定比对结果为异常,此时确定比对结果对应的第二置信度为100。
由于对请求头数据进行分析的分析结果有多种可能性,因此对请求头数据进行分析的分析结果对应的第三置信度由多个子置信度进行综合计算得到。当请求头数据中各字段的顺序与预设的字段顺序进行匹配的匹配结果为匹配成功时,确定第一分析结果对应的第一子置信度为0。当请求头数据中各字段的顺序与预设的字段顺序进行匹配的匹配结果为匹配失败时,确定第一分析结果对应的第一子置信度为100。另一方面,对HTTP请求头数据中的用户代理值进行检测时,当不存在用户代理值时,确定第二分析结果对应的第二子置信度为90;当存在用户代理值但用户代理值为异常用户代理值时,确定第二分析结果对应的第二子置信度为100;当用户代理值非异常用户代理值但用户代理值的值长度不属于预设的长度范围时,确定第二分析结果对应的第二子置信度为100;当用户代理值存在其他未知异常时,确定第二分析结果对应的第二子置信度为30;当用户代理值为正常用户代理值时,确定第二分析结果对应的第二子置信度为0。当确定了第一子置信度与第二子置信度之后,可以将第一子置信度与第二子置信度的和作为分析结果对应的第三置信度。
当分别确定了通信链路协议对应的第一置信度,比对结果对应的第二置信度以及分析结果对应的第三置信度之后,对该三个置信度进行加权求和,得到网络访问请求的目标置信度。例如,可以设置第一置信度的权重系数为0.8,第二置信度的权重系数为0.3,第三置信度的权重系数为0.3。如此,例如当网络访问请求对应的通信链路协议为PPPoE协议,比对结果为第一操作系统与第二操作系统不同,分析结果为HTTP请求头字段顺序异常,用户代理值正常时,则确定第一置信度为100,第二置信度为100,第三置信度为100,则加权求得网络访问请求的目标置信度为140。
在一些实施例中,网络访问请求的目标置信度也可以由第一置信度与第二置信度进行加权求和计算得到。如上示例,当设置第一置信度的权重系数为0.8,第二置信度的权重系数为0.3;特征识别得到第一置信度为100,第二置信度为100时,则确定网络访问请求的目标置信度为110。
步骤208,服务器根据网络访问请求的目标置信度与预设阈值的对比关系确定网络访问请求的访问权限,并根据访问权限进行访问控制。
其中,当计算得到网络访问请求的目标置信度后,将网络访问请求的目标置信度与预设的阈值进行比较。当网络访问请求的目标置信度大于预设的阈值时,确定该网络访问请求的访问权限为不允许访问。当访问请求的目标置信度不大于预设的阈值时,确定该网络访问请求的访问权限为允许访问。当确定网络访问请求的访问权限为允许访问时,服务器将该网络访问请求对应对的访问资源发送给访问者;当确定网络访问请求的访问权限为不允许访问时,服务器将向访问者发送无访问权限的通知消息。
在一些实施例中,本申请实施例提供的访问数据处理方法还包括:
1、当网络访问请求的目标置信度高于预设阈值时,将流量数据包添加至异常数据包样本库;
2、根据异常数据包样本库中各数据包的置信度分布情况更新预设阈值。
其中,当确定网络访问请求的目标置信度高于预设阈值时,将该网络访问请求对应的流量数据包添加至异常数据包样本库,异常数据包样本库中包含了多个目标置信度值大于预设阈值的流量数据包。进一步地,对于每一个目标置信度大于预设阈值的流量数据包,服务器会进一步对该流量数据包进行安全性复核,以确定该流量数据包是否被误判为异常数据包。由于预设阈值的初始值在制定时没有参照标准,因此可能会出现标准过于严格的情况,使得较多并不存在异常的流量数据包被误判为异常流量数据,或者其对应的网络访问请求被判定为恶意网络访问请求进而被限制访问。因此,可以对异常数据包样本库中各数据包的置信度分布情况进行统计,并确定各置信度分布区域内流量数据包被误判的比例。再根据各数据包的置信度分布情况以及误判比例对预设阈值进行更新。例如,当预设阈值的初始值为60时,异常数据包中置信度值为60~70的数据包的复核结果中95%为误判,则可以将置信度阈值调整至70。
其中,本申请提供的访问数据处理方法可以与区块链技术结合使用,即当检测到网络访问请求的流量数据包的目标置信度高于预设阈值时,利用区块链技术将该流量数据包在包含多个服务器的数据共享系统里进行共享。参见图4A所示的数据共享系统,数据共享系统100是指用于进行节点与节点之间数据共享的系统,该数据共享系统中可以包括多个节点110,多个节点110可以是指数据共享系统中各个客户端,在本申请实施例中该节点110可以是服务器。每个节点110在进行正常工作可以接收到输入信息,并基于接收到的输入信息维护该数据共享系统内的共享数据。为了保证数据共享系统内的信息互通,数据共享系统中的每个节点之间可以存在信息连接,节点之间可以通过上述信息连接进行信息传输。例如,当数据共享系统中的任意节点接收到输入信息时,数据共享系统中的其他节点便根据共识算法获取该输入信息,将该输入信息作为共享数据中的数据进行存储,使得数据共享系统中全部节点上存储的数据均一致。
对于数据共享系统中的每个节点,均具有与其对应的节点标识,而且数据共享系统中的每个节点均可以存储有数据共享系统中其他节点的节点标识,以便后续根据其他节点的节点标识,将生成的区块广播至数据共享系统中的其他节点。每个节点中可维护一个如下表所示的节点标识列表,将节点名称和节点标识对应存储至该节点标识列表中。其中,节点标识可为IP(Internet Protocol,网络之间互联的协议)地址以及其他任一种能够用于标识该节点的信息,表1中仅以IP地址为例进行说明。表1
数据共享系统中的每个节点均存储一条相同的区块链。区块链由多个区块组成,参见图4B,区块链由多个区块组成,创始块中包括区块头和区块主体,区块头中存储有输入信息特征值、版本号、时间戳和难度值,区块主体中存储有输入信息;创始块的下一区块以创始块为父区块,下一区块中同样包括区块头和区块主体,区块头中存储有当前区块的输入信息特征值、父区块的区块头特征值、版本号、时间戳和难度值,并以此类推,使得区块链中每个区块中存储的区块数据均与父区块中存储的区块数据存在关联,保证了区块中输入信息的安全性。
在生成区块链中的各个区块时,参见图4C,区块链所在的节点在接收到输入信息时,对输入信息进行校验,完成校验后,将输入信息存储至内存池中,并更新其用于记录输入信息的哈希树;之后,将更新时间戳更新为接收到输入信息的时间,并尝试不同的随机数,多次进行特征值计算,使得计算得到的特征值可以满足下述公式:
其中,SHA256为计算特征值所用的特征值算法;version(版本号)为区块链中相关区块协议的版本信息;prev_hash为当前区块的父区块的区块头特征值;merkle_root为输入信息的特征值;ntime为更新时间戳的更新时间;nbits为当前难度,在一段时间内为定值,并在超出固定时间段后再次进行确定;x为随机数;TARGET为特征值阈值,该特征值阈值可以根据nbits确定得到。
这样,当计算得到满足上述公式的随机数时,便可将信息对应存储,生成区块头和区块主体,得到当前区块。随后,区块链所在节点根据数据共享系统中其他节点的节点标识,将新生成的区块分别发送给其所在的数据共享系统中的其他节点,由其他节点对新生成的区块进行校验,并在完成校验后将新生成的区块添加至其存储的区块链中。
根据上述描述可知,本申请实施例通过接收网络访问请求,网络访问请求携带流量数据包;解析流量数据包,得到传输控制协议数据包;对传输控制协议数据包进行分析,确定网络访问请求对应的通信链路协议;根据通信链路协议的属性确定网络访问请求的访问权限;按照访问权限进行访问控制。以此,通过对网络访问请求携带的流量数据包中的数据进行分析,确定网络访问请求对应的链路协议,并进一步根据链路协议确定访问请求的访问权限。该方法仅对访问请求携带的流量数据包进行分析即可以确定访问请求的访问权限,提高了访问数据处理的效率,而且可以有效对IPv6环境下的访问数据进行安全识别。进一步地,本申请实施例进一步对根据网络访问请求基于TCP协议建立会话时产生的握手信号和应答信号进行获取,再将根据该握手信号与应答信号中包含的特征值确定的操作系统与根据网络访问请求对应的HTTP请求头中记载的操作系统进行比对得到比对结果。以及进一步对HTTP数据包中请求头数据进行分析得到分析结果。最终根据网络访问请求的通信链路协议、比对结果以及分析结果计算网络访问请求的目标置信度,并根据目标置信度判定网络访问请求的访问权限。该方法进一步对网络访问请求的流量数据包进行其他特征识别,并将多个特征识别的结果进行加权计算目标置信度,根据目标置信度确定网络访问请求的访问权限,进一步提高了对网络访问请求进行异常识别的准确性。
为了更好地实施以上方法,本发明实施例还提供一种访问数据处理装置,该访问数据处理装置可以集成在网络设备,比如服务器等设备中。
例如,如图5所示,为本申请实施例提供的访问数据处理装置的结构示意图,该访问数据处理装置可以包括接收单元301、解析单元302、分析单元303、第一确定单元304和控制单元305,如下:
接收单元301,用于接收网络访问请求,网络访问请求携带流量数据包;
解析单元302,用于解析流量数据包,得到传输控制协议数据包;
分析单元303,用于对传输控制协议数据包进行分析,确定网络访问请求对应的通信链路协议;
第一确定单元304,用于根据通信链路协议的属性确定网络访问请求的访问权限;
控制单元305,用于按照访问权限进行访问控制。
在一些实施例中,如图6所示,为本申请提供的访问数据处理装置的另一结构示意图,其中分析单元303,包括:
第一获取子单元3031,用于获取传输控制协议数据包的最大数据分段大小;
第一计算子单元3032,用于根据最大数据分段大小计算传输控制协议数据包的最大数据传输单元;
第一确定子单元3033,用于根据最大数据传输单元确定网络访问请求对应的通信链路协议。
在一些实施例中,如图7所示,为本申请提供的访问数据处理装置的又一结构示意图,其中第一确定单元304,包括:
第二确定子单元3041,用于当通信链路协议的属性属于预设的通信链路协议属性集合时,确定网络访问请求的访问权限为禁止访问;
第三确定子单元3042,用于当通信链路协议的属性不属于预设的通信链路协议属性集合时,确定网络访问请求的访问权限为允许访问。
在一些实施例中,如图8所示,为本申请提供的访问数据处理装置的又一结构示意图,访问数据处理装置还包括:
获取单元306,用于获取握手信号以及应答信号,握手信号以及应答信号为根据传输控制协议数据包建立与访问者的会话的过程中产生的信号;
第二确定单元307,用于确定与握手信号以及应答信号对应的第一操作系统;
整合单元308,用于将传输控制协议数据包按照超文本传输协议格式进行整合,得到超文本传输协议数据包;
第三确定单元309,用于确定与超文本传输协议数据包对应的第二操作系统;
对比单元310,用于将第一操作系统与第二操作系统进行比对,得到比对结果;
第一确定单元304还用于:
根据通信链路协议的属性与比对结果确定网络访问请求的访问权限。
在一些实施例中,如图9所示,为本申请提供的访问数据处理装置的又一结构示意图,第一确定单元304包括:
第四确定子单元3043,用于确定与通信链路协议的属性对应的第一置信度;
第五确定子单元3044,用于确定与比对结果对应的第二置信度;
第二计算子单元3045,用于根据第一置信度与第二置信度计算得到网络访问请求的目标置信度;
第六确定子单元3046,用于当目标置信度高于预设阈值时,确定访问请求的访问权限为禁止访问;
第七确定子单元3047,用于当目标置信度不高于预设阈值时,确定访问请求的访问权限为允许访问。
在一些实施例中,第二计算子单元3045,包括:
提取模块,用于提取超文本传输协议数据包的请求头数据;
评估模块,用于对请求头数据的属性类型进行置信度评估,得到第三置信度;
计算模块,用于根据第一置信度、第二置信度以及第三置信度计算得到网络访问请求的目标置信度。
在一些实施例中,评估模块包括:
匹配子模块,用于将请求头数据中各字段的顺序与预设的字段顺序进行匹配,并根据匹配结果生成第一子置信度;
检测子模块,用于对请求头中包含的用户代理值进行检测,并根据检测结果生成第二子置信度;
计算子模块,用于根据第一子置信度与第二子置信度计算得到第三置信度。
在一些实施例中,如图10所示,为本申请提供的访问数据处理装置的又一结构示意图,本申请实施例提供的访问数据处理装置还包括:
添加单元311,用于当网络访问请求的目标置信度高于预设阈值时,将流量数据包添加至异常数据包样本库;
更新单元312,用于根据异常数据包样本库中各数据包的置信度分布情况更新所述预设阈值。
具体实施时,以上各个单元可以作为独立的实体来实现,也可以进行任意组合,作为同一或若干个实体来实现,以上各个单元的具体实施可参见前面的方法实施例,在此不再赘述。
由以上可知,本实施例通过接收单元301接收网络访问请求,网络访问请求携带流量数据包;解析单元302解析流量数据包,得到传输控制协议数据包;分析单元303对传输控制协议数据包进行分析,确定网络访问请求对应的通信链路协议;确定单元304根据通信链路协议的属性确定网络访问请求的访问权限;控制单元305按照访问权限进行访问控制。以此,通过对网络访问请求携带的流量数据包中的数据进行分析,确定网络访问请求对应的链路协议,并进一步根据链路协议确定访问请求的访问权限。该方法仅对访问请求携带的流量数据包进行分析即可以确定访问请求的访问权限,提高了访问数据处理的效率,而且可以有效对IPv6环境下的访问数据进行安全识别。
本申请实施例还提供一种计算机设备,如图11所示,为本申请提供的计算机设备的结构示意图。具体来讲:
该计算机设备可以包括一个或者一个以上处理核心的处理器401、一个或一个以上存储介质的存储器402、电源403和输入单元404等部件。本领域技术人员可以理解,图11中示出的计算机设备结构并不构成对计算机设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。其中:
处理器401是该计算机设备的控制中心,利用各种接口和线路连接整个计算机设备的各个部分,通过运行或执行存储在存储器402内的软件程序和/或模块,以及调用存储在存储器402内的数据,执行计算机设备的各种功能和处理数据,从而对计算机设备进行整体监控。可选的,处理器401可包括一个或多个处理核心;优选的,处理器401可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作系统、用户界面和应用程序等,调制解调处理器主要处理无线通信。可以理解的是,上述调制解调处理器也可以不集成到处理器401中。
存储器402可用于存储软件程序以及模块,处理器401通过运行存储在存储器402的软件程序以及模块,从而执行各种功能应用以及数据处理。存储器402可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能以及网页访问等)等;存储数据区可存储根据计算机设备的使用所创建的数据等。此外,存储器402可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。相应地,存储器402还可以包括存储器控制器,以提供处理器401对存储器402的访问。
计算机设备还包括给各个部件供电的电源403,优选的,电源403可以通过电源管理系统与处理器401逻辑相连,从而通过电源管理系统实现管理充电、放电、以及功耗管理等功能。电源403还可以包括一个或一个以上的直流或交流电源、再充电系统、电源故障检测电路、电源转换器或者逆变器、电源状态指示器等任意组件。
该计算机设备还可包括输入单元404,该输入单元404可用于接收输入的数字或字符信息,以及产生与用户设置以及功能控制有关的键盘、鼠标、操作杆、光学或者轨迹球信号输入。
尽管未示出,计算机设备还可以包括显示单元等,在此不再赘述。具体在本实施例中,计算机设备中的处理器401会按照如下的指令,将一个或一个以上的应用程序的进程对应的可执行文件加载到存储器402中,并由处理器401来运行存储在存储器402中的应用程序,从而实现各种功能,如下:
接收网络访问请求,网络访问请求携带流量数据包;解析流量数据包,得到传输控制协议数据包;对传输控制协议数据包进行分析,确定网络访问请求对应的通信链路协议;根据通信链路协议的属性确定网络访问请求的访问权限;按照访问权限进行访问控制。
应当说明的是,本申请实施例提供的服务器与上文实施例中的访问数据处理方法属于同一构思,以上各个操作的具体实施可参见前面的实施例,在此不作赘述。
本领域普通技术人员可以理解,上述实施例的各种方法中的全部或部分步骤可以通过指令来完成,或通过指令控制相关的硬件来完成,该指令可以存储于一存储介质中,并由处理器进行加载和执行。
为此,本发明实施例提供一种存储介质,其中存储有多条指令,该指令能够被处理器进行加载,以执行本发明实施例所提供的任一种访问数据处理方法中的步骤。例如,该指令可以执行如下步骤:
接收网络访问请求,网络访问请求携带流量数据包;解析流量数据包,得到传输控制协议数据包;对传输控制协议数据包进行分析,确定网络访问请求对应的通信链路协议;根据通信链路协议的属性确定网络访问请求的访问权限;按照访问权限进行访问控制。
以上各个操作的具体实施可参见前面的实施例,在此不再赘述。
其中,该存储介质可以包括:只读存储器(ROM,Read Only Memory)、随机存取记忆体(RAM,Random Access Memory)、磁盘或光盘等。
由于该存储介质中所存储的指令,可以执行本发明实施例所提供的任一种访问数据处理方法中的步骤,因此,可以实现本发明实施例所提供的任一种访问数据处理方法所能实现的有益效果,详见前面的实施例,在此不再赘述。
其中,根据本申请的一个方面,提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在存储介质中。计算机设备的处理器从存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行上述图2或者图3的各种可选实现方式中提供的访问数据处理方法。
以上对本发明实施例所提供的一种访问数据处理方法、装置、存储介质及计算机设备进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (15)
1.一种访问数据处理方法,其特征在于,所述方法包括:
接收网络访问请求,所述网络访问请求携带流量数据包;
解析所述流量数据包,得到传输控制协议数据包;
对所述传输控制协议数据包进行分析,确定所述网络访问请求对应的通信链路协议;
根据所述通信链路协议的属性确定所述网络访问请求的访问权限;
按照所述访问权限进行访问控制。
2.根据权利要求1所述的方法,其特征在于,所述对所述传输控制协议数据包进行分析,确定所述网络访问请求对应的通信链路协议,包括:
获取所述传输控制协议数据包的最大数据分段大小;
根据所述最大数据分段大小计算所述传输控制协议数据包的最大数据传输单元;
根据所述最大数据传输单元确定所述网络访问请求对应的通信链路协议。
3.根据权利要求2所述的方法,其特征在于,所述根据所述通信链路协议的属性确定所述访问请求的访问权限,包括:
当所述通信链路协议的属性属于预设的通信链路协议属性集合时,确定所述网络访问请求的访问权限为禁止访问;
当所述通信链路协议的属性不属于所述预设的通信链路协议属性集合时,确定所述网络访问请求的访问权限为允许访问。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
获取握手信号以及应答信号,所述握手信号以及所述应答信号为根据所述传输控制协议建立与访问者的会话的过程中产生的信号;
确定与所述握手信号以及所述应答信号对应的第一操作系统;
将所述传输控制协议数据包按照超文本传输协议格式进行整合,得到超文本传输协议数据包;
确定与所述超文本传输协议数据包对应的第二操作系统;
将所述第一操作系统与所述第二操作系统进行比对,得到比对结果;
所述根据所述通信链路协议的属性确定所述网络访问请求的访问权限,包括:
根据所述通信链路协议的属性与所述比对结果确定所述网络访问请求的访问权限。
5.根据权利要求4所述的方法,其特征在于,所述根据所述通信链路协议的属性与所述比对结果确定所述访问请求的访问权限,包括:
确定与所述通信链路协议的属性对应的第一置信度;
确定与所述比对结果对应的第二置信度;
根据所述第一置信度与所述第二置信度计算得到所述网络访问请求的目标置信度;
当所述目标置信度高于预设阈值时,确定所述访问请求的访问权限为禁止访问;
当所述目标置信度不高于所述预设阈值时,确定所述访问请求的访问权限为允许访问。
6.根据权利要求5所述的方法,其特征在于,所述根据所述第一置信度与所述第二置信度计算得到所述访问请求的目标置信度,包括:
提取所述超文本传输协议数据包的请求头数据;
对所述请求头数据的属性类型进行置信度评估,得到第三置信度;
根据所述第一置信度、所述第二置信度以及所述第三置信度计算得到所述网络访问请求的目标置信度。
7.根据权利要求6所述的方法,其特征在于,所述对所述请求头数据的属性类型进行置信度评估,得到第三置信度,包括:
将所述请求头数据中各字段的顺序与预设的字段顺序进行匹配,并根据匹配结果生成第一子置信度;
对所述请求头中包含的用户代理值进行检测,并根据检测结果生成第二子置信度;
根据所述第一子置信度与所述第二子置信度计算得到第三置信度。
8.根据权利要求5至7中任意一项所述的方法,其特征在于,所述方法还包括:
当所述网络访问请求的目标置信度高于预设阈值时,将所述流量数据包添加至异常数据包样本库;
根据所述异常数据包样本库中各数据包的置信度分布情况更新所述预设阈值。
9.一种访问数据处理装置,其特征在于,所述装置包括:
接收单元,用于接收网络访问请求,所述网络访问请求携带流量数据包;
解析单元,用于解析所述流量数据包,得到传输控制协议数据包;
分析单元,用于对所述传输控制协议数据包进行分析,确定所述网络访问请求对应的通信链路协议;
第一确定单元,用于根据所述通信链路协议的属性确定所述网络访问请求的访问权限;
控制单元,用于按照所述访问权限进行访问控制。
10.根据权利要求9所述的装置,其特征在于,所述分析单元,包括:
第一获取子单元,用于获取所述传输控制协议数据包的最大数据分段大小;
计算子单元,用于根据所述最大数据分段大小计算所述传输控制协议数据包的最大数据传输单元;
第一确定子单元,用于根据所述最大数据传输单元确定所述网络访问请求对应的通信链路协议。
11.根据权利要求10所述的装置,其特征在于,所述确定单元,包括:
第二确定子单元,用于当所述通信链路协议的属性属于预设的通信链路协议属性集合时,确定所述网络访问请求的访问权限为禁止访问;
第三确定子单元,用于当所述通信链路协议的属性不属于所述预设的通信链路协议属性集合时,确定所述网络访问请求的访问权限为允许访问。
12.根据权利要求9所述的装置,其特征在于,所述装置还包括:
获取单元,用于获取握手信号以及应答信号,所述握手信号以及所述应答信号为根据所述传输控制协议数据包建立与访问者的会话的过程中产生的信号;
第二确定单元,用于确定与所述握手信号以及所述应答信号对应的第一操作系统;
整合单元,用于将所述传输控制协议数据包按照超文本传输协议格式进行整合,得到超文本传输协议数据包;
第三确定单元,用于确定与所述超文本传输协议数据包对应的第二操作系统;
对比单元,用于将所述第一操作系统与所述第二操作系统进行比对,得到比对结果;
所述确定单元还用于:
根据所述通信链路协议的属性与所述比对结果确定所述网络访问请求的访问权限。
13.一种存储介质,其特征在于,所述存储介质存储有多条指令,所述指令适于处理器进行加载,以执行权利要求1至8中任一项所述的访问数据处理方法中的步骤。
14.一种计算机设备,其特征在于,所述计算机设备包括存储器、处理器以及存储在所述存储器中并可以在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现权利要求1至8中任意一项所述的访问数据处理方法。
15.一种计算机程序,其特征在于,所述计算机程序包括计算机指令,所述计算机指令存储在存储介质中,计算机设备的处理器从所述存储介质读取所述计算机指令,所述处理器执行所述计算机指令,使得所述计算机设备执行权利要求1至8任一项所述的访问数据处理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110116602.3A CN112468518B (zh) | 2021-01-28 | 2021-01-28 | 访问数据处理方法、装置、存储介质及计算机设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110116602.3A CN112468518B (zh) | 2021-01-28 | 2021-01-28 | 访问数据处理方法、装置、存储介质及计算机设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112468518A true CN112468518A (zh) | 2021-03-09 |
| CN112468518B CN112468518B (zh) | 2021-04-20 |
Family
ID=74802527
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110116602.3A Active CN112468518B (zh) | 2021-01-28 | 2021-01-28 | 访问数据处理方法、装置、存储介质及计算机设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112468518B (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113315761A (zh) * | 2021-05-13 | 2021-08-27 | 中国经济信息社有限公司 | 客户端和服务端数据传输方法和装置 |
| CN113453278A (zh) * | 2021-05-21 | 2021-09-28 | 深圳震有科技股份有限公司 | 一种基于5g upf下的tcp包分段组包方法及终端 |
| CN114285648A (zh) * | 2021-12-27 | 2022-04-05 | 中国工商银行股份有限公司 | 一种网络访问数据处理方法及装置 |
| CN114296419A (zh) * | 2021-04-09 | 2022-04-08 | 西华大学 | 一种安全的事件驱动网络化预测控制系统控制方法 |
| CN114390121A (zh) * | 2022-01-12 | 2022-04-22 | 深圳艾灵网络有限公司 | 数据传输方法、装置、设备及存储介质 |
| CN115037551A (zh) * | 2022-06-29 | 2022-09-09 | 北京奇艺世纪科技有限公司 | 连接权限控制方法、装置、电子设备及存储介质 |
| CN116471338A (zh) * | 2023-06-20 | 2023-07-21 | 中国电信股份有限公司江西分公司 | 一种基于SPACE6的协议转换技术的IPv6云转换平台 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103812850A (zh) * | 2012-11-15 | 2014-05-21 | 北京金山安全软件有限公司 | 控制病毒访问网络的方法及装置 |
| CN105939305A (zh) * | 2015-06-24 | 2016-09-14 | 杭州迪普科技有限公司 | 访问控制方法和装置 |
| CN106686157A (zh) * | 2017-01-25 | 2017-05-17 | 同盾科技有限公司 | 一种识别代理ip的方法及系统 |
| US10146933B1 (en) * | 2016-06-27 | 2018-12-04 | EMC IP Holding Company LLC | Access control using passwords derived from phrases provided by users |
| CN109040112A (zh) * | 2018-09-04 | 2018-12-18 | 北京明朝万达科技股份有限公司 | 网络控制方法和装置 |
| CN109391635A (zh) * | 2018-12-17 | 2019-02-26 | 北京奇安信科技有限公司 | 基于双向网闸的数据传输方法、装置、设备及介质 |
| CN110995562A (zh) * | 2019-12-16 | 2020-04-10 | 中国船舶重工集团海装风电股份有限公司 | 一种分散式风电场无线组网系统 |
| CN111666578A (zh) * | 2020-06-08 | 2020-09-15 | 北京百度网讯科技有限公司 | 数据管理的方法、装置、电子设备及计算机可读存储介质 |
| CN112019574A (zh) * | 2020-10-22 | 2020-12-01 | 腾讯科技(深圳)有限公司 | 异常网络数据检测方法、装置、计算机设备和存储介质 |
-
2021
- 2021-01-28 CN CN202110116602.3A patent/CN112468518B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103812850A (zh) * | 2012-11-15 | 2014-05-21 | 北京金山安全软件有限公司 | 控制病毒访问网络的方法及装置 |
| CN105939305A (zh) * | 2015-06-24 | 2016-09-14 | 杭州迪普科技有限公司 | 访问控制方法和装置 |
| US10146933B1 (en) * | 2016-06-27 | 2018-12-04 | EMC IP Holding Company LLC | Access control using passwords derived from phrases provided by users |
| CN106686157A (zh) * | 2017-01-25 | 2017-05-17 | 同盾科技有限公司 | 一种识别代理ip的方法及系统 |
| CN109040112A (zh) * | 2018-09-04 | 2018-12-18 | 北京明朝万达科技股份有限公司 | 网络控制方法和装置 |
| CN109391635A (zh) * | 2018-12-17 | 2019-02-26 | 北京奇安信科技有限公司 | 基于双向网闸的数据传输方法、装置、设备及介质 |
| CN110995562A (zh) * | 2019-12-16 | 2020-04-10 | 中国船舶重工集团海装风电股份有限公司 | 一种分散式风电场无线组网系统 |
| CN111666578A (zh) * | 2020-06-08 | 2020-09-15 | 北京百度网讯科技有限公司 | 数据管理的方法、装置、电子设备及计算机可读存储介质 |
| CN112019574A (zh) * | 2020-10-22 | 2020-12-01 | 腾讯科技(深圳)有限公司 | 异常网络数据检测方法、装置、计算机设备和存储介质 |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114296419B (zh) * | 2021-04-09 | 2023-09-29 | 西华大学 | 一种安全的事件驱动网络化预测控制系统控制方法 |
| CN114296419A (zh) * | 2021-04-09 | 2022-04-08 | 西华大学 | 一种安全的事件驱动网络化预测控制系统控制方法 |
| CN113315761A (zh) * | 2021-05-13 | 2021-08-27 | 中国经济信息社有限公司 | 客户端和服务端数据传输方法和装置 |
| CN113315761B (zh) * | 2021-05-13 | 2023-01-31 | 中国经济信息社有限公司 | 客户端和服务端数据传输方法和装置 |
| CN113453278B (zh) * | 2021-05-21 | 2022-12-09 | 深圳震有科技股份有限公司 | 一种基于5g upf下的tcp包分段组包方法及终端 |
| CN113453278A (zh) * | 2021-05-21 | 2021-09-28 | 深圳震有科技股份有限公司 | 一种基于5g upf下的tcp包分段组包方法及终端 |
| CN114285648A (zh) * | 2021-12-27 | 2022-04-05 | 中国工商银行股份有限公司 | 一种网络访问数据处理方法及装置 |
| CN114285648B (zh) * | 2021-12-27 | 2024-01-30 | 中国工商银行股份有限公司 | 一种网络访问数据处理方法及装置 |
| CN114390121A (zh) * | 2022-01-12 | 2022-04-22 | 深圳艾灵网络有限公司 | 数据传输方法、装置、设备及存储介质 |
| CN115037551A (zh) * | 2022-06-29 | 2022-09-09 | 北京奇艺世纪科技有限公司 | 连接权限控制方法、装置、电子设备及存储介质 |
| CN115037551B (zh) * | 2022-06-29 | 2024-04-26 | 北京奇艺世纪科技有限公司 | 连接权限控制方法、装置、电子设备及存储介质 |
| CN116471338A (zh) * | 2023-06-20 | 2023-07-21 | 中国电信股份有限公司江西分公司 | 一种基于SPACE6的协议转换技术的IPv6云转换平台 |
| CN116471338B (zh) * | 2023-06-20 | 2023-09-05 | 中国电信股份有限公司江西分公司 | 一种基于SPACE6的协议转换技术的IPv6云转换平台 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112468518B (zh) | 2021-04-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112468518B (zh) | 访问数据处理方法、装置、存储介质及计算机设备 | |
| US10630784B2 (en) | Facilitating a secure 3 party network session by a network device | |
| US10305904B2 (en) | Facilitating secure network traffic by an application delivery controller | |
| US8266267B1 (en) | Detection and prevention of encapsulated network attacks using an intermediate device | |
| US7386889B2 (en) | System and method for intrusion prevention in a communications network | |
| JP6858749B2 (ja) | 負荷平衡システムにおいて接続を確立するデバイス及び方法 | |
| US8234699B2 (en) | Method and system for establishing the identity of an originator of computer transactions | |
| CN110198297B (zh) | 流量数据监控方法、装置、电子设备及计算机可读介质 | |
| US20220263823A1 (en) | Packet Processing Method and Apparatus, Device, and Computer-Readable Storage Medium | |
| CN112235266B (zh) | 一种数据处理方法、装置、设备及存储介质 | |
| US10116538B2 (en) | Attributing network address translation device processed traffic to individual hosts | |
| Fox et al. | Internet infrastructure: networking, web services, and cloud computing | |
| US10027627B2 (en) | Context sharing between endpoint device and network security device using in-band communications | |
| CN111935212B (zh) | 安全路由器及基于安全路由器的物联网安全联网方法 | |
| CN102739684A (zh) | 一种基于虚拟IP地址的Portal认证方法及服务器 | |
| CN110691097A (zh) | 一种基于hpfeeds协议的工控蜜罐的系统及其工作方法 | |
| CN114844730A (zh) | 一种基于可信隧道技术构建的网络系统 | |
| WO2023279782A1 (zh) | 一种访问控制方法、访问控制系统及相关设备 | |
| Uroz et al. | Characterization and evaluation of IoT protocols for data exfiltration | |
| US8972543B1 (en) | Managing clients utilizing reverse transactions | |
| Lu et al. | Research on information steganography based on network data stream | |
| Salim et al. | Preventing ARP spoofing attacks through gratuitous decision packet | |
| US10454965B1 (en) | Detecting network packet injection | |
| CN113810330A (zh) | 发送验证信息的方法、装置及存储介质 | |
| CN110035041A (zh) | 一种识别应用攻击源的方法和设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 40040725 Country of ref document: HK |