CN113194075B - 访问请求的处理方法、装置、设备及存储介质 - Google Patents
访问请求的处理方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN113194075B CN113194075B CN202110384058.0A CN202110384058A CN113194075B CN 113194075 B CN113194075 B CN 113194075B CN 202110384058 A CN202110384058 A CN 202110384058A CN 113194075 B CN113194075 B CN 113194075B
- Authority
- CN
- China
- Prior art keywords
- access request
- element data
- target
- rule
- reference element
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了一种访问请求的处理方法、装置、设备及存储介质。其中,方法包括:响应于待发送至目标进程的访问请求,获取访问请求中包含的至少一个参考元素数据;对各参考元素数据与目标进程对应的当前通信规则中的各目标元素数据进行规则运算;根据规则运算结果,生成是否将访问请求发送至目标进程的指示信息。本发明实施例的方案,可以将不满足规则运算结果的访问请求进行拦截,提升了工业互联网的安全性,减少了工业互联网被攻击的概率。
Description
技术领域
本发明实施例涉及计算机技术领域,尤其涉及一种访问请求的处理方法、装置、设备及存储介质。
背景技术
随着科学技术的不断发展,工业互联网得到了迅猛的发展。工业互联网可以极大地提高生产效率以及管理效率。
在工业互联网极大地提高生产效率以及管理效率的同时,工业互联网面临的安全问题也越来越复杂,工业互联网面临的安全挑战也日益凸显,成为制约工业互联网发展的关键问题。
如何提升工业互联网的安全问题是业内关注的重点问题。
发明内容
本发明实施例提供一种访问请求的处理方法、装置、设备及存储介质,以提升工业互联网的安全性,减少工业互联网被攻击的概率。
第一方面,本发明实施例提供了一种访问请求的处理方法,包括:
响应于待发送至目标进程的访问请求,获取所述访问请求中包含的至少一个参考元素数据;
对各所述参考元素数据与所述目标进程对应的当前通信规则中的各目标元素数据进行规则运算;
根据规则运算结果,生成是否将所述访问请求发送至所述目标进程的指示信息。
第二方面,本发明实施例还提供了一种访问请求的处理装置,包括:
参考元素数据获取模块,用于响应于待发送至目标进程的访问请求,获取所述访问请求中包含的至少一个参考元素数据;
规则运算模块,用于对各所述参考元素数据与所述目标进程对应的当前通信规则中的各目标元素数据进行规则运算;
指示信息生成模块,用于根据规则运算结果,生成是否将所述访问请求发送至所述目标进程的指示信息。
第三方面,本发明实施例还提供了一种访问请求的处理设备,所述访问请求的处理设备包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如本发明实施例中任一实施例所述的访问请求的处理方法。
第四方面,本发明实施例还提供了一种包含计算机可执行指令的存储介质,所述计算机可执行指令在由计算机处理器执行时用于执行如本发明实施例中任一实施例所述的访问请求的处理方法。
本发明实施例通过响应于待发送至目标进程的访问请求,获取访问请求中包含的至少一个参考元素数据;对各参考元素数据与目标进程对应的当前通信规则中的各目标元素数据进行规则运算;根据规则运算结果,生成是否将访问请求发送至目标进程的指示信息,可以将不满足规则运算结果的访问请求进行拦截,提升了工业互联网的安全性,减少了工业互联网被攻击的概率。
附图说明
图1是本发明实施例一中的一种访问请求的处理方法的流程图;
图2是本发明实施例二中的一种访问请求的处理方法的流程图;
图3是本发明实施例三中的一种访问请求的处理方法的流程图;
图4是本发明实施例四中的一种访问请求的处理方法的流程图;
图5是本发明实施例四中的一种访问请求处理系统的结构示意图;
图6是本发明实施例四中的一种访问请求的处理方法的时序图;
图7是本发明实施例五中的一种访问请求的处理装置的结构示意图;
图8是本发明实施例六中的一种访问请求的处理设备的结构示意图。
具体实施方式
下面结合附图和实施例对本发明实施例作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释本发明实施例,而非对本发明实施例的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本发明实施例相关的部分而非全部结构。
实施例一
图1为本发明实施例一提供的访问请求的处理方法的流程图,本实施例可适用于对工业互联网中各设备之间的数据访问请求进行处理,以对工业互联网的安全进行提升的情况,该方法可以由访问请求的处理装置来执行,该装置可以通过软件和/或硬件的方式实现,并集成在访问请求的处理设备中,在本实施例中,访问请求的处理设备可以为计算机服务器或者平板电脑等电子设备;具体的,参考图1,该方法具体包括如下步骤:
步骤110、响应于待发送至目标进程的访问请求,获取访问请求中包含的至少一个参考元素数据。
其中,目标进程可以为数据处理进程、监控进程或者日志生成进程等,本实施例中对其不加以限定。
在本实施例的一个可选实现方式中,在接收到待发送至目标进程的访问请求时,可以获取访问请求中所包含的参考元素数据;需要说明的是,通过各参考元素可以确定请求访问目标进程的请求方的互联网协议地址(Internet Protocol,IP)、目标进程的IP地址或者访问请求的通信协议等,本实施例中对其不加以限定。
步骤120、对各参考元素数据与目标进程对应的当前通信规则中的各目标元素数据进行规则运算。
需要说明的是,与目标进程对应的通信规则不是固定不变的,每个通信规则中都可以包括源IP地址、目的IP地址、发包进程用户账户标记(User Identification,UID)、发包进程文件标记、收包进程UID标记以及收包进程文件标记等。还需要说明的是,不同通信规则所包括的目标元素数据的类型可以相同,但具体数值可以不同。
在本实施例的一个可选实现方式中,在获取到访问请求中包含的至少一个参考元素数据之后,可以进一步的对各参考元素数据与目标进程对应的当前通信规则中的各目标元素数据进行规则计算。其中,规则计算可以为逻辑运算、数学运算或者集合运算等,本实施例中对其不加以限定。
在本实施例的一个可选实现方式中,在获取到访问请求中包含的至少一个参考元素数据之后,可以进一步的对各参考元素数据与各目标元素数据进行数学运算,例如,分别对各元素数据进行减法运算,得到最终的运算结果;也可以进一步的对各参考元素数据与各目标元素数据进行逻辑运算,例如,分别对各元素数据进行与运算,得到最终的运算结果。
步骤130、根据规则运算结果,生成是否将访问请求发送至目标进程的指示信息。
在本实施例的一个可选实现方式中,在对各参考元素数据与各目标元素数据进行规则运算之后,可以进一步的根据规则运算结果,生成是否将访问请求发送至目标进程的指示信息;例如,可以根据规则运算结果,生成将访问请求发送至目标进程的指示信息;或者,根据规则运算结果,生成不将访问请求发送至目标进程的指示信息。
在本实施例的一个可选实现方式中,在对各参考元素数据与各目标元素数据进行规则运算之后,可以对规则运算结果进行判断,确定规则运算结果是否满足访问请求发送条件;若是,则生成将访问请求发送至目标进程的指示信息;否则,生成不将访问请求发送至目标进程的指示信息。
本发明实施例的方案,通过响应于待发送至目标进程的访问请求,获取访问请求中包含的至少一个参考元素数据;对各参考元素数据与目标进程对应的当前通信规则中的各目标元素数据进行规则运算;根据规则运算结果,生成是否将访问请求发送至目标进程的指示信息,可以将不满足规则运算结果的访问请求进行拦截,提升了工业互联网的安全性,减少了工业互联网被攻击的概率。
实施例二
图2是本发明实施例二中的一种访问请求的处理方法的流程图,本实施例是对上述各技术方案的进一步细化,本实施例中的技术方案可以与上述一个或者多个实施例中的各个可选方案结合。如图2所示,访问请求的处理方法可以包括如下步骤:
步骤210、每间隔设定时间,接收系统下发的通信规则,并将接收到的通信规则更新为当前的通信规则。
其中,设定时间可以为1小时、1天或者1周等时间间隔,本实施例中对其不加以限定。
其中,通信规则包括至少一个目标元素数据;目标元素数据包括下述至少一项:源IP地址、目的IP地址、发包进程UID标记、发包进程文件标记、收包进程UID标记以及收包进程文件标记。
在本实施例的一个可选实现方式中,在响应于待发送至目标进程的访问请求,获取访问请求中包含的至少一个参考元素数据之前,还可以每间隔设定时间,接收系统下发的通信规则,并将接收到的通信规则更新为当前的通信规则。
示例性的,通信系统可以每间隔1天为每个进程分配通信规则,当接收到通信系统下发的分配至目标进程的通信规则A之后,可以将通信规则A存储在目标进程的指定位置,并将通信规则A更新为当前通信规则;可以理解的是,此时如果接收到待发送至目标进程的访问请求,则可以将访问请求中所携带的各参考元素数据与通信规则A中的各目标元素数据进行规则运算。
步骤220、对访问请求所携带的数据包进行解析,得到各参考元素数据。
其中,参考元素数据与目标元素数据的数据类型相同,即参考元素数据中也可以包括:源IP地址、目的IP地址、发包进程UID标记、发包进程文件标记、收包进程UID标记以及收包进程文件标记等,不同之处在于,每个数据类型中的具体元素数据可能不同;例如,参考元素数据中的源IP地址可以为123.163.128.1,而目标元素数据中的源IP地址可以为123.163.128.2。
在本实施例的一个可选实现方式中,在接收到待发送至目标进程的访问请求之后,可以进一步的对访问请求携带的数据包进行解析,从而得到多个参考元素数据。
需要说明的是,本实施例中涉及到的待发送至目标进程的访问请求可以由一个参考进程发出;其中,参考进程与目标进程可以在同一设备中,也可以在两个不同的设备中,本实施例中对其不加以限定。需要说明的是,本实施例中访问请求所携带的数据包即为发出访问请求的参考进程所对应的规则元素的数据包。
步骤230、对各参考元素数据与目标进程对应的当前通信规则中的各目标元素数据进行规则运算。
步骤240、根据规则运算结果,生成是否将访问请求发送至目标进程的指示信息。
本实施例的方案,在响应于待发送至目标进程的访问请求之前,还可以每间隔设定时间,接收系统下发的通信规则,并将接收到的通信规则更新为当前的通信规则,可以对每个进程中的通信规则进行定时更换,以防止由于通信规则长期无变化,而使通信规则被破解,造成非法访问请求被顺利发送的问题,为提升工业互联网的安全提供依据。
实施例三
图3是本发明实施例三中的一种访问请求的处理方法的流程图,本实施例是对上述各技术方案的进一步细化,本实施例中的技术方案可以与上述一个或者多个实施例中的各个可选方案结合。如图3所示,访问请求的处理方法可以包括如下步骤:
步骤310、响应于待发送至目标进程的访问请求,获取访问请求中包含的至少一个参考元素数据。
步骤320、分别确定与各参考元素数据组成的参考集合,以及各目标元素数据组成的目标集合;确定与参考集合以及目标集合对应的交集,作为规则运算结果。
在本实施例的一个可选实现方式中,在获取到访问请求中所包含的至少一个参考元素数据之后,可以进一步的确定各参考元素数据所组成的参考集合,以及目标进程的通信规则中的各目标元素数据所组成的目标集合;其中,参考集合中包含与访问请求对应的全部参考元素数据,目标集合中包含目标进程的通信规则中的全部目标元素数据。
进一步的,可以确定参考集合与目标集合的交集,并将二者之间的交集作为规则运算结果;需要说明的是,参考集合与目标集合的交集中包含的元素数据既是参考元素数据也是目标元素数据,其包含的是参考元素数据集合与目标元素数据集合中的相同元素数据。
步骤330、当与参考集合以及目标集合对应的交集对应的元素数据的个数大于设定阈值时,生成将访问请求发送至目标进程的指示信息。
其中,设定阈值可以为3个、5个或者10个等,本实施例中对其不加以限定。
在本实施例的一个可选实现方式中,在确定与参考集合以及目标集合对应的交集,作为规则运算结果之后,可以进一步的对参考集合于目标集合的交集中所包含的元素数据的个数进行统计;当统计得到的元素数据的个数大于设定阈值时,则生成将访问请求发送至目标进程的指示信息。
示例性的,在确定与参考集合以及目标集合对应的交集,作为规则运算结果之后,如果统计得到交集中包含的元素数据的个数为6个(设定阈值为5个),则可以生成将访问请求发送至目标进程的指示信息;否则,可以生成不将访问请求发送至目标进程的指示信息。
步骤340、根据指示信息将访问请求转发至目标进程。
在本实施例的一个可选实现方式中,在生成将访问请求发送至目标进程的指示信息之后,可以进一步的根据指示信息将访问请求转发至目标进程。
在本实施例的另一个可选实现方式中,如果根据规则计算结果生成不将访问请求发送至目标进程的指示信息,则此时可以根据指示信息将访问请求进行拦截,并删除访问请求中携带的各参考元素数据。这样设置的好处在于,可以对非法访问请求进行拦截,并对其进行删除处理,可以避免非法访问请求带来的不良影响,进一步提升了工业互联网的安全性。
本实施例的方案,可以分别确定与各参考元素数据组成的参考集合,以及各目标元素数据组成的目标集合;确定与参考集合以及目标集合对应的交集,作为规则运算结果,可以快速地确定规则运算结果,为后续生成是否将访问请求转发至目标进程的至少信息提供依据,为提升工业互联网的安全性提供保障。
实施例四
图4是本发明实施例四中的一种访问请求的处理方法的流程图,本实施例是对上述各技术方案的进一步细化,本实施例中的技术方案可以与上述一个或者多个实施例中的各个可选方案结合。如图4所示,访问请求的处理方法可以包括如下步骤:
步骤410、响应于待发送至目标进程的访问请求,获取访问请求中包含的至少一个参考元素数据。
步骤420、分别提取与各参考元素数据对应的参考特征值,以及与各目标元素数据对应的目标特征值;确定参考特征值与目标特征值的一致性,作为规则运算结果。
在本实施例的一个可选实现方式中,在获取到访问请求中所包含的至少一个参考元素数据之后,可以进一步的提取与各参考元素数据对应的参考特征值,以及与各目标元素数据对应的目标特征值;进一步的,可以确定参考特征值与目标特征值的一致性,并将一致性结果作为规则运算结果。
在本实施例的一个可选实现方式中,可以分别将各参考元素数据以及各目标元素数据输入至预先训练的机器学习模型中,从而得到与各参考元素数据对应的参考特征值,以及与各目标元素数据对应的目标特征值。
在本实施例的另一个可选实现方式中,可以分别对各参考元素数据以及各目标元素数据进行主成分分析或者线性成分分析,从而得到与各参考元素数据对应的参考特征值,以及与各目标元素数据对应的目标特征值。
进一步的,可以分别计算参考特征值与目标特征值的余弦相似度,并将余弦相似度结果作为一致性结果,即规则运算结果。
步骤430、当参考特征值与目标特征值的一致性大于设定一致性阈值时,生成将访问请求发送至目标进程的指示信息。
其中,设定一致性阈值可以为0.8、0.9或者0.92等,本实施例中对其不加以限定。
在本实施例的一个可选实现方式中,在确定参考特征值与目标特征值的一致性,作为规则运算结果之后,可以进一步的确定一致性结果是否大于设定一致性阈值,当一致性结果大于设定一致性阈值时,可以生成将访问请求发送至目标进程的指示信息
示例性的,在确定参考特征值与目标特征值的一致性,作为规则运算结果之后,如果一致性结果为0.9(设定一致性阈值为0.85),则可以生成将访问请求发送至目标进程的指示信息;否则,可以生成不将访问请求发送至目标进程的指示信息。
步骤440、根据指示信息将访问请求转发至目标进程。
本实施例的方案,可以分别提取与各所述参考元素数据对应的参考特征值,以及与各所述目标元素数据对应的目标特征值;确定所述参考特征值与所述目标特征值的一致性,作为规则运算结果,为后续生成是否将所述访问请求转发至所述目标进程的至少信息提供依据,为提升工业互联网的安全性提供保障。
为了使本领域技术人员更好地理解本实施例涉及到的访问请求的处理方法,图5是本发明实施例四中的一种访问请求处理系统的结构示意图,参考图5,该系统包括:安全通信管理系统510、通信设备520、通信设备530以及通信设备540;其中,安全通信管理系统510包括:通信规则生成模块、规则下发模块以及通信拓扑模块;通信设备520、通信设备530以及通信设备540中包括内核、通信规则存储模块、至少一个进程以及与每个进程对应的文件。
需要说明的是,通信规则生成模块主要用于生成集群服务器间不同进程间网络通信的规则,规则包含的要素运算规则和运算元素,运算元素包含但不限于源IP、目的IP、发包进程UID标记、发包进程文件标记、收包进程UID标记、收包进程文件标记等;运算规则用于计算网络数据包是否可通过TCP/IP协议栈或被丢弃。通信规则下发模块主要用于通过管理系统与分布式内核间的规则推送和搜集校验。通信拓扑模块主要用于展示集群全局的进程间通信链路规则,包括进程间的单向链路许可、双向链路许可、双向链路拒绝。通信管理系统可以通过通信拓扑模块查看全局安全通信效果,通过规则生成模块,调整局部或全局通信规则,并通过规则下发模块下发到分布式内核,达到修改全局安全通信的效果。
还需要说明的是,内核,即操作系统分布式内核通信规则引擎,主要用于在收包进程所在TCP/IP协议栈进行规则计算,通过计算收到的数据包携带的CIPSO标记中的规则元素,结合本机收包进程的规则元素,通过通信规则存储模块中记录的运算规则进行运算,确定收到的数据包是否可以通过内核协议栈到达收到进程,还是在内核协议栈丢弃数据包,完成链路许可或拒绝。
其中,通信规则存储模块,主要用于持久化存储安全通信管理系统下发的规则,并被内核通信规则引擎加载。
在本实施例中,基于安全规则填充的CIPSO协议格式,借助IP扩展协议的CIPSO格式,自定义CIPSO字段,使用安全规则元素填充,使得数据包的IP帧携带运算元素。文件系统扩展属性EA,借助应用程序静态文件的扩展属性存储运算元素,使运算元素可以随程序文件在不同操作系统间流动。并能与规则DB中记录的规则进行交叉互验。
图6是本发明实施例四中的一种访问请求的处理方法的时序图,本实施例中参与的模块主要包括有:安全通信管理系统601、操作系统A内核规则引擎602、操作系统A进程a6021、操作系统B内核规则引擎603、操作系统B进程c6031;参考图6,其主要包括如下步骤:
步骤610、生成通信规则。
步骤611、将生成的不同通信规则分别下发至操作系统A进程a6021,以及操作系统B进程c6031。
步骤612、通信拓扑展示。
步骤620、接收并加载通信规则。
步骤621、将通信规则进行存储。
步骤630、生成对操作系统B进程c6031的访问请求。
步骤640、对数据包中的规则元素与操作系统B进程c6031中的规则元素进行规则运算。
步骤650、生成是否可以访问操作系统B进程c6031的指示信息。
其中,指示信息包括允许访问或者拒绝访问。
需要说明的是,源进程(即进程a6021)和源进程所在系统的内核(即系统A的内核)、目标进程(即进程c6031)和目标进程所在系统的内核(即系统B的内核),即系统A的内核和A的进程均属于操作系统A,系统B的内核和B的进程均属于操作系统B;规则运算位于目标进程所在操作系统的内核中,也就是不符合规则的通信包会经过网卡到达内核,在内核中就会被丢弃,进而不会到达实际的目标进程。
本发明实施例的方案,基于分布式操作系统内核规则引擎作为进程间通信的通信控制基础,结合安全通信管理系统对通信规则进行全局管理,能够及时对跨主机及主机内的全局进程进行通信链路管控。有效提升了通信安全性,并能通过及时更新规则,起到网络访问授权、流量管控、应急处置网络入侵等效果。
实施例五
图7是本发明实施例五中的一种访问请求的处理装置的结构示意图,该装置可以执行上述各实施例中涉及到的访问请求的处理方法。参照图7,该装置包括:参考元素数据获取模块710、规则运算模块720以及指示信息生成模块730。
参考元素数据获取模块710,用于响应于待发送至目标进程的访问请求,获取所述访问请求中包含的至少一个参考元素数据;
规则运算模块720,用于对各所述参考元素数据与所述目标进程对应的当前通信规则中的各目标元素数据进行规则运算;
指示信息生成模块730,用于根据规则运算结果,生成是否将所述访问请求发送至所述目标进程的指示信息。
本实施例的方案,通过参考元素数据获取模块获取所述访问请求中包含的至少一个参考元素数据;通过规则运算模块对各所述参考元素数据与所述目标进程对应的当前通信规则中的各目标元素数据进行规则运算;通过指示信息生成模块生成是否将所述访问请求发送至所述目标进程的指示信息,可以将不满足规则运算结果的访问请求进行拦截,提升了工业互联网的安全性,减少了工业互联网被攻击的概率。
在本实施例的一个可选实现方式中,访问请求的处理装置,还包括:通信规则更新模块,用于
每间隔设定时间,接收系统下发的通信规则,并将接收到的所述通信规则更新为当前的通信规则;
其中,所述通信规则包括至少一个目标元素数据;所述目标元素数据包括下述至少一项:源互联网协议IP地址、目的IP地址、发包进程用户账户UID标记、发包进程文件标记、收包进程UID标记以及收包进程文件标记。
在本实施例的一个可选实现方式中,参考元素数据获取模块710,具体用于
对所述访问请求所携带的数据包进行解析,得到各所述参考元素数据;
其中,所述参考元素数据与所述目标元素数据的数据类型相同。
在本实施例的一个可选实现方式中,规则运算模块720,具体用于
分别确定与各所述参考元素数据组成的参考集合,以及各所述目标元素数据组成的目标集合;
确定与所述参考集合以及所述目标集合对应的交集,作为规则运算结果。
在本实施例的一个可选实现方式中,规则运算模块720,具体用于
分别提取与各所述参考元素数据对应的参考特征值,以及与各所述目标元素数据对应的目标特征值;
确定所述参考特征值与所述目标特征值的一致性,作为规则运算结果。
在本实施例的一个可选实现方式中,指示信息生成模块730,具体用于
当与所述参考集合以及所述目标集合对应的交集对应的元素数据的个数大于设定阈值时,生成将所述访问请求发送至所述目标进程的指示信息;
或者,当所述参考特征值与所述目标特征值的一致性大于设定一致性阈值时,生成将所述访问请求发送至所述目标进程的指示信息。
在本实施例的一个可选实现方式中,访问请求的处理装置,还包括:指示模块,用于
根据所述指示信息将所述访问请求转发至所述目标进程;
或者,根据所述指示信息将所述访问请求进行拦截,并删除所述访问请求中携带的各所述参考元素数据。
本发明实施例所提供的访问请求的处理装置可执行本发明任意实施例所提供的访问请求的处理方法,具备执行方法相应的功能模块和有益效果。
实施例六
图8为本发明实施例六提供的一种访问请求的处理设备的结构示意图,如图8所示,该访问请求的处理设备包括处理器80、存储器81、输入装置82和输出装置83;访问请求的处理设备中处理器80的数量可以是一个或多个,图8中以一个处理器80为例;访问请求的处理设备中的处理器80、存储器81、输入装置82和输出装置83可以通过总线或其他方式连接,图8中以通过总线连接为例。
存储器81作为一种计算机可读存储介质,可用于存储软件程序、计算机可执行程序以及模块,如本发明实施例中的访问请求的处理方法对应的程序指令/模块(例如,访问请求的处理装置中的参考元素数据获取模块710、规则运算模块720以及指示信息生成模块730)。处理器80通过运行存储在存储器81中的软件程序、指令以及模块,从而执行访问请求的处理设备的各种功能应用以及数据处理,即实现上述的访问请求的处理方法。
存储器81可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序;存储数据区可存储根据终端的使用所创建的数据等。此外,存储器81可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实例中,存储器81可进一步包括相对于处理器80远程设置的存储器,这些远程存储器可以通过网络连接至访问请求的处理设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
输入装置82可用于接收输入的数字或字符信息,以及产生与访问请求的处理设备的用户设置以及功能控制有关的键信号输入。输出装置83可包括显示屏等显示设备。
实施例七
本发明实施例七还提供一种包含计算机可执行指令的存储介质,所述计算机可执行指令在由计算机处理器执行时用于执行一种访问请求的处理方法,该方法包括:
响应于待发送至目标进程的访问请求,获取所述访问请求中包含的至少一个参考元素数据;
对各所述参考元素数据与所述目标进程对应的当前通信规则中的各目标元素数据进行规则运算;
根据规则运算结果,生成是否将所述访问请求发送至所述目标进程的指示信息。
当然,本发明实施例所提供的一种包含计算机可执行指令的存储介质,其计算机可执行指令不限于如上所述的方法操作,还可以执行本发明任意实施例所提供的访问请求的处理方法中的相关操作。
通过以上关于实施方式的描述,所属领域的技术人员可以清楚地了解到,本发明可借助软件及必需的通用硬件来实现,当然也可以通过硬件实现,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如计算机的软盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(RandomAccess Memory,RAM)、闪存(FLASH)、硬盘或光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
值得注意的是,上述访问请求的处理装置的实施例中,所包括的各个单元和模块只是按照功能逻辑进行划分的,但并不局限于上述的划分,只要能够实现相应的功能即可;另外,各功能单元的具体名称也只是为了便于相互区分,并不用于限制本发明的保护范围。
注意,上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解,本发明不限于这里所述的特定实施例,对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此,虽然通过以上实施例对本发明进行了较为详细的说明,但是本发明不仅仅限于以上实施例,在不脱离本发明构思的情况下,还可以包括更多其他等效实施例,而本发明的范围由所附的权利要求范围决定。
Claims (8)
1.一种访问请求的处理方法,其特征在于,包括:
响应于待发送至目标进程的访问请求,获取所述访问请求中包含的至少一个参考元素数据;
对各所述参考元素数据与所述目标进程对应的当前通信规则中的各目标元素数据进行规则运算;
根据规则运算结果,生成是否将所述访问请求发送至所述目标进程的指示信息;
在生成是否将所述访问请求发送至所述目标进程的指示信息之后,还包括:
根据所述指示信息将所述访问请求转发至所述目标进程;
或者,根据所述指示信息将所述访问请求进行拦截,并删除所述访问请求中携带的各所述参考元素数据;
在响应于待发送至目标进程的访问请求,获取所述访问请求中包含的至少一个参考元素数据之前,每间隔设定时间,接收系统下发的通信规则,并将接收到的通信规则更新为当前的通信规则;
所述对各所述参考元素数据与所述目标进程对应的当前通信规则中的各目标元素数据进行规则运算,包括:
分别确定与各所述参考元素数据组成的参考集合,以及各所述目标元素数据组成的目标集合;
确定与所述参考集合以及所述目标集合对应的交集,作为规则运算结果。
2.根据权利要求1所述的方法,其特征在于,所述通信规则包括至少一个目标元素数据;所述目标元素数据包括下述至少一项:源互联网协议IP地址、目的IP地址、发包进程用户账户UID标记、发包进程文件标记、收包进程UID标记以及收包进程文件标记。
3.根据权利要求1所述的方法,其特征在于,所述获取所述访问请求中包含至少一个参考元素数据,包括:
对所述访问请求所携带的数据包进行解析,得到各所述参考元素数据;
其中,所述参考元素数据与所述目标元素数据的数据类型相同。
4.根据权利要求1所述的方法,其特征在于,所述对各所述参考元素数据与所述目标进程对应的当前通信规则中的各目标元素数据进行规则运算,包括:
分别提取与各所述参考元素数据对应的参考特征值,以及与各所述目标元素数据对应的目标特征值;
确定所述参考特征值与所述目标特征值的一致性,作为规则运算结果。
5.根据权利要求1或4所述的方法,其特征在于,所述根据规则运算结果,生成是否将所述访问请求发送至所述目标进程的指示信息,包括:
当与所述参考集合以及所述目标集合对应的交集对应的元素数据的个数大于设定阈值时,生成将所述访问请求发送至所述目标进程的指示信息;
或者,当所述参考特征值与所述目标特征值的一致性大于设定一致性阈值时,生成将所述访问请求发送至所述目标进程的指示信息。
6.一种访问请求的处理装置,其特征在于,包括:
参考元素数据获取模块,用于响应于待发送至目标进程的访问请求,获取所述访问请求中包含的至少一个参考元素数据;
规则运算模块,用于对各所述参考元素数据与所述目标进程对应的当前通信规则中的各目标元素数据进行规则运算;
指示信息生成模块,用于根据规则运算结果,生成是否将所述访问请求发送至所述目标进程的指示信息;
指示模块,用于根据所述指示信息将所述访问请求转发至所述目标进程;
或者,根据所述指示信息将所述访问请求进行拦截,并删除所述访问请求中携带的各所述参考元素数据;
通信规则更新模块,用于每间隔设定时间,接收系统下发的通信规则,并将接收到的所述通信规则更新为当前的通信规则;
规则运算模块,具体用于:
分别确定与各所述参考元素数据组成的参考集合,以及各所述目标元素数据组成的目标集合;
确定与所述参考集合以及所述目标集合对应的交集,作为规则运算结果。
7.一种访问请求的处理设备,其特征在于,所述访问请求的处理设备包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-5中任一所述的访问请求的处理方法。
8.一种包含计算机可执行指令的存储介质,其特征在于,所述计算机可执行指令在由计算机处理器执行时用于执行如权利要求1-5中任一所述的访问请求的处理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110384058.0A CN113194075B (zh) | 2021-04-09 | 2021-04-09 | 访问请求的处理方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110384058.0A CN113194075B (zh) | 2021-04-09 | 2021-04-09 | 访问请求的处理方法、装置、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113194075A CN113194075A (zh) | 2021-07-30 |
| CN113194075B true CN113194075B (zh) | 2023-04-18 |
Family
ID=76975324
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110384058.0A Active CN113194075B (zh) | 2021-04-09 | 2021-04-09 | 访问请求的处理方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113194075B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104618403A (zh) * | 2015-03-10 | 2015-05-13 | 网神信息技术(北京)股份有限公司 | 安全网关的访问控制方法和装置 |
| CN108156166A (zh) * | 2017-12-29 | 2018-06-12 | 百度在线网络技术(北京)有限公司 | 异常访问识别和接入控制方法及装置 |
| CN110166450A (zh) * | 2019-05-17 | 2019-08-23 | 固高科技(深圳)有限公司 | 基于工业以太网的数据传输方法、装置以及通信设备 |
| CN111355626A (zh) * | 2018-12-24 | 2020-06-30 | 中移(杭州)信息技术有限公司 | 一种请求处理方法和装置 |
| CN112583843A (zh) * | 2020-12-23 | 2021-03-30 | 北京珞安科技有限责任公司 | 一种联合防护系统、方法及计算机设备 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10310881B2 (en) * | 2015-10-29 | 2019-06-04 | Vmware, Inc. | Compositing data model information across a network |
| US20170237704A1 (en) * | 2016-02-16 | 2017-08-17 | Le Holdings (Beijing) Co., Ltd. | Addressing communication method and electronic device based on media access control address |
-
2021
- 2021-04-09 CN CN202110384058.0A patent/CN113194075B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104618403A (zh) * | 2015-03-10 | 2015-05-13 | 网神信息技术(北京)股份有限公司 | 安全网关的访问控制方法和装置 |
| CN108156166A (zh) * | 2017-12-29 | 2018-06-12 | 百度在线网络技术(北京)有限公司 | 异常访问识别和接入控制方法及装置 |
| CN111355626A (zh) * | 2018-12-24 | 2020-06-30 | 中移(杭州)信息技术有限公司 | 一种请求处理方法和装置 |
| CN110166450A (zh) * | 2019-05-17 | 2019-08-23 | 固高科技(深圳)有限公司 | 基于工业以太网的数据传输方法、装置以及通信设备 |
| CN112583843A (zh) * | 2020-12-23 | 2021-03-30 | 北京珞安科技有限责任公司 | 一种联合防护系统、方法及计算机设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113194075A (zh) | 2021-07-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110798472B (zh) | 数据泄露检测方法与装置 | |
| JP7373611B2 (ja) | ログ監査方法、装置、電子機器、媒体およびコンピュータプログラム | |
| CN111274583A (zh) | 一种大数据计算机网络安全防护装置及其控制方法 | |
| CN113489713B (zh) | 网络攻击的检测方法、装置、设备及存储介质 | |
| US20210092160A1 (en) | Data set creation with crowd-based reinforcement | |
| CN112636957B (zh) | 基于日志的预警方法、装置、服务器及存储介质 | |
| CN111193633B (zh) | 异常网络连接的检测方法及装置 | |
| CN111835737B (zh) | 基于自动学习的web攻击防护方法、及其相关设备 | |
| JP2019028891A (ja) | 情報処理装置、情報処理方法及び情報処理プログラム | |
| WO2019018829A1 (en) | MITIGATING IMPROVED CYBERSECURITY THREATS USING DEEP AND BEHAVIORAL ANALYTICS | |
| CN113259429A (zh) | 会话保持管控方法、装置、计算机设备及介质 | |
| CN110830500B (zh) | 网络攻击追踪方法、装置、电子设备及可读存储介质 | |
| CN108156127B (zh) | 网络攻击模式的判断装置、判断方法及其计算机可读取储存媒体 | |
| CN113194075B (zh) | 访问请求的处理方法、装置、设备及存储介质 | |
| US20210165907A1 (en) | Systems and methods for intelligent and quick masking | |
| CN111447199A (zh) | 服务器的风险分析方法、服务器的风险分析装置及介质 | |
| WO2020248384A1 (zh) | 防止请求重复访问方法、装置、计算机设备及存储介质 | |
| WO2023205349A1 (en) | Method, apparatus, system, and non-transitory computer readable medium for identifying and prioritizing network security events | |
| CN114584391B (zh) | 异常流量处理策略的生成方法、装置、设备及存储介质 | |
| CN113014555B (zh) | 一种攻击事件的确定方法、装置、电子设备和存储介质 | |
| CN114969450A (zh) | 一种用户行为分析方法、装置、设备及存储介质 | |
| WO2022078001A1 (zh) | 静态规则的管理方法、装置、电子设备和存储介质 | |
| CN114826727A (zh) | 流量数据采集方法、装置、计算机设备、存储介质 | |
| CN114039765A (zh) | 一种配电物联网的安全管控方法、装置及电子设备 | |
| CN111198900A (zh) | 工业控制网络的数据缓存方法、装置、终端设备及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: Room 402, block B, Qingdao International Innovation Park, No.1 Keyuan Weiyi Road, Zhonghan street, Laoshan District, Qingdao City, Shandong Province, 266101 Applicant after: Haier digital technology (Qingdao) Co.,Ltd. Applicant after: Qingdao haiyouhe IOT Technology Co.,Ltd. Applicant after: CAOS industrial Intelligence Research Institute (Qingdao) Co.,Ltd. Address before: Room 402, block B, Qingdao International Innovation Park, No.1 Keyuan Weiyi Road, Zhonghan street, Laoshan District, Qingdao City, Shandong Province, 266101 Applicant before: Haier digital technology (Qingdao) Co.,Ltd. Applicant before: Qingdao haiyouhe IOT Technology Co.,Ltd. Applicant before: QINGDAO HAIER INDUSTRIAL INTELLIGENCE RESEARCH INSTITUTE Co.,Ltd. |
|
| CB02 | Change of applicant information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder |
Address after: Room 402, block B, Qingdao International Innovation Park, No.1 Keyuan Weiyi Road, Zhonghan street, Laoshan District, Qingdao City, Shandong Province, 266101 Patentee after: Kaos Digital Technology (Qingdao) Co.,Ltd. Patentee after: Qingdao haiyouhe IOT Technology Co.,Ltd. Patentee after: CAOS industrial Intelligence Research Institute (Qingdao) Co.,Ltd. Address before: Room 402, block B, Qingdao International Innovation Park, No.1 Keyuan Weiyi Road, Zhonghan street, Laoshan District, Qingdao City, Shandong Province, 266101 Patentee before: Haier digital technology (Qingdao) Co.,Ltd. Patentee before: Qingdao haiyouhe IOT Technology Co.,Ltd. Patentee before: CAOS industrial Intelligence Research Institute (Qingdao) Co.,Ltd. |
|
| CP01 | Change in the name or title of a patent holder | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20230809 Address after: Room 3003, Tower D1, Qingdao International Innovation Park, No. 1, Keyuan Weiyi Road, Laoshan District, Qingdao, Shandong 266101 Patentee after: Kaos Digital Technology (Qingdao) Co.,Ltd. Patentee after: Foshan Shunde Haier Intelligent Electronic Co.,Ltd. Patentee after: CAOS industrial Intelligence Research Institute (Qingdao) Co.,Ltd. Address before: Room 402, block B, Qingdao International Innovation Park, No.1 Keyuan Weiyi Road, Zhonghan street, Laoshan District, Qingdao City, Shandong Province, 266101 Patentee before: Kaos Digital Technology (Qingdao) Co.,Ltd. Patentee before: Qingdao haiyouhe IOT Technology Co.,Ltd. Patentee before: CAOS industrial Intelligence Research Institute (Qingdao) Co.,Ltd. |
|
| TR01 | Transfer of patent right |