CN113507450A - 一种基于参数特征向量的内外网数据过滤方法及装置 - Google Patents

一种基于参数特征向量的内外网数据过滤方法及装置 Download PDF

Info

Publication number
CN113507450A
CN113507450A CN202110673910.6A CN202110673910A CN113507450A CN 113507450 A CN113507450 A CN 113507450A CN 202110673910 A CN202110673910 A CN 202110673910A CN 113507450 A CN113507450 A CN 113507450A
Authority
CN
China
Prior art keywords
parameter
access request
external network
feature vector
characteristic vector
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202110673910.6A
Other languages
English (en)
Other versions
CN113507450B (zh
Inventor
金倩倩
张旭东
田鹏飞
刘行
张滔
陈星明
郭志民
吕卓
李鸣岩
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Corp of China SGCC
Electric Power Research Institute of State Grid Henan Electric Power Co Ltd
Nari Information and Communication Technology Co
State Grid Electric Power Research Institute
Original Assignee
State Grid Corp of China SGCC
Electric Power Research Institute of State Grid Henan Electric Power Co Ltd
Nari Information and Communication Technology Co
State Grid Electric Power Research Institute
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Corp of China SGCC, Electric Power Research Institute of State Grid Henan Electric Power Co Ltd, Nari Information and Communication Technology Co, State Grid Electric Power Research Institute filed Critical State Grid Corp of China SGCC
Priority to CN202110673910.6A priority Critical patent/CN113507450B/zh
Publication of CN113507450A publication Critical patent/CN113507450A/zh
Application granted granted Critical
Publication of CN113507450B publication Critical patent/CN113507450B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/214Generating training patterns; Bootstrap methods, e.g. bagging or boosting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Mining & Analysis (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Evolutionary Computation (AREA)
  • Evolutionary Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Artificial Intelligence (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于参数特征向量的内外网数据过滤方法及装置,用于外网与内网的restful服务进行数据交互,实现数据共享。该装置部署在内外网边界处,通过代理的方式将内网业务的restful服务映射到外网,向外网业务提供服务。该方法通过获取外网业务的实时访问请求,对restful服务请求的参数信息进行分析,生成此次请求的参数特征向量,并与计算的向量基线进行比对,判定此次请求是否合法,对不合法请求进行阻断。本发明能够保证外网向内网访问时参数交互的安全性。

Description

一种基于参数特征向量的内外网数据过滤方法及装置
技术领域
本申请涉及通信安全技术领域,尤其涉及一种基于参数特征向量的内外网数据过滤方法及装置。
背景技术
REST(Representational State Transfer,简称REST)是一种通过HTTP设计松散耦合应用程序的架构风格,通常用于Web服务的开发。在目前主流的三种Web服务交互方案中,REST相比于SOAP(Simple Object Access protocol,简单对象访问协议)以及XML-RPC更加简单明了,无论是对URL的处理还是对Payload的编码,REST都倾向于用更加简单轻量的方法设计和实现。RESTful是满足REST这些约束条件和原则的应用程序或设计。在RESTful服务中,每个资源都有一个地址。资源本身都是方法调用的目标,方法列表对所有资源都是一样的。这些方法都是标准方法,包括HTTP GET、POST、PUT、DELETE。
出于安全考虑,在电力企业建设的内部网络(内网)严禁直接与外部网络(如互联网等外网)互联,造成网络安全隐患。随着移动化办公、5G及物联网等业务的快速发展,越来越多的业务需要从外网与内网应用进行数据交互,而现有的基于数据库访问过滤的数据过滤方式已经无法满足业务的快速扩展需求。
发明内容
针对现有技术存在的不足,本发明的目的是提供一种基于参数特征向量检查的内外网数据过滤方法及装置,保证当内外网应用使用restful服务接口进行跨网交互时,通过对restful服务的请求传参内容进行识别,形成参数特征向量进行检查,确保传递参数的安全性,避免攻击者通过restful服务请求参数的篡改或恶意构造向服务端的攻击风险。
为实现上述技术目的,本发明通过以下技术方案实现:
本发明提供一种基于参数特征向量的内外网数据过滤方法,包括:
获取外网业务的访问请求,形成访问请求的参数特征向量集合;
根据访问请求与服务接口的对应关系,以及所述访问请求的参数特征向量集合,计算生成每个服务接口的参数特征向量基线;
基于访问请求的参数特征向量集合以及所述参数特征向量基线对外网业务的访问请求进行合法性检查,过滤出合法的访问请求转发至内网。
进一步的,所述形成访问请求的参数特征向量集合,包括:
解析外网业务restful访问请求的http报文,获取此次访问请求使用的方法;
根据访问请求使用的方法,提取传参键值对;
遍历传参键值对,提取此次访问请求的参数特征形成特征向量集合;
其中,每个参数的特征向量表示为:
param=(paramName,paramType,paramLength,paramValue);
paramName为参数名称;paramType为参数类型;paramLength为参数长度;paramValue为参数取值。
进一步的,所述根据访问请求使用的方法,提取传参键值对,包括:
若为get或delete方法,则通过解析访问请求的url,获取“?”后的传参字符串,分解后获取此次传参键值对信息;
若为post或put方法,则解析访问请求的body内容,获取json或xml格式的传参,提取此次传参键值对信息。
进一步的,所述计算生成每个服务接口的参数特征向量基线,包括:
根据访问请求与服务接口的对应关系,获得对应服务接口的参数特征向量集合;
对每个服务接口的参数特征向量集合中每个参数的特征向量进行统计,形成该参数的统计数据集;
对每个参数的统计数据集按照如下规则进行计算,生成所属服务接口的参数特征向量基线,表示为:Params_B=(paramName_B,paramType_B,paramRange_B);
规则如下:
以参数统计数据集中的参数名称,作为该参数特征向量基线的参数名称paramName_B;
统计该参数统计数据集中的参数类型,取计算后占比最大的参数类型作为该参数特征向量基线的参数类型paramType_B;
统计该参数统计数据集中的参数长度,
若参数类型为字符型,则取该参数统计数据集中,参数长度最大值作为该参数特征向量基线中的参数长度最大值,取参数长度最小值作为该参数特征向量基线中的参数长度最小值,参数长度最大值和参数长度最小值构成参数取值范围paramRange_B;
若参数类型为数值型,则取该参数统计数据集中,参数最大取值作为该参数特征向量基线中的参数长度最大值,取参数最小取值作为该参数特征向量基线中的参数长度最小值,参数长度最大值和参数长度最小值构成参数取值范围paramRange_B。
进一步的,所述对外网业务的访问请求进行合法性检查,包括:
根据访问请求与服务接口的对应关系,获得对应服务接口的参数特征向量集合;
对访问请求的参数特征向量集合中的每一个参数特征向量,根据参数名称,检查参数类型是否符合所对应参数特征向量基线中该参数的参数类型,若不一致,则为非法访问;
检查参数特征向量的参数取值是否符合所对应参数特征向量基线中该参数的参数取值范围paramRange_B,若为数值型参数,则判断参数取值是否在paramRange_B内,若不符合,则为非法访问;若为字符型参数,则判断参数长度是否在paramRange_B内,若不符合,则为非法访问;
参数特征向量集合中的所有参数特征向量都检查为合法,则该外网业务的访问请求合法。
本发明另一方面还提供一种基于参数特征向量的内外网数据过滤装置,部署于企业内部网络和外部网络之间,包括:连接管理模块,安全认证模块,访问控制模块及参数检查模块;
所述连接管理模块用于接收外网业务的访问请求,并对访问请求网络连接状态进行管理,以及,用于将接收到的访问请求发送至安全认证模块;
所述安全认证模块用于对访问请求方身份的合法性进行认证,以及,用于将通过合法性认证的访问请求发送至参数检查模块;
所述访问控制模块用于对通过安全认证和参数检查的访问请求按照可访问的权限进行内网转发;
所述参数检查模块用于对外网业务的访问请求进行合法性检查,以及,用于将通过合法性检查的访问请求发送至访问控制模块。
进一步的,所述连接管理模块用于通过外网网口接收外网业务的restful访问请求。
进一步的,所述安全认证模块具体用于对访问请求方的IP地址及访问时携带的身份token信息进行合法性认证。
进一步的,所述参数检查模块包括学习模式模块和过滤模式模块;
所述学习模式模块用于基于外网业务的访问请求参数信息计算得到针对每个服务接口的参数特征向量基线;
所述过滤模式模块用于基于参数特征向量基线对实时的外网业务访问请求进行合法性检查。
进一步的,还包括:接口注册模块,
所述接口注册模块用于对需要发布信息到外网的服务接口进行注册,以及,用于将注册信息发送至安全认证模块。
进一步的,所述接口注册模块对服务接口进行注册,注册内容包括:访问请求的方法名称和请求使用的方法,所述请求使用的方法包括get、post、delete、put和header中的任意一种。
与现有技术相比,本发明所达到的有益效果是:
本发明提供的基于参数特征向量检测的内外网数据过滤装置实现了基于restful方式的服务调用请求在内外网的双向穿透,针对restful请求的数据交互特点,对访问请求时传递的参数内容进行了基于特征的合法性校验,能够保证外网向内网访问时参数交互的安全性。
本发明提供的基于参数特征向量检测的内外网数据过滤方法,基于真实业务服务访问请求数据的训练,结合统计算法自动计算形成服务接口对应的安全参数特征向量基线,保证对参数的长度或取值范围的约束更符合业务实际访问特征,能够保证业务可用的同时实现传递参数内容安全保证。
附图说明
图1为本发明的基于参数特征向量的内外网数据过滤装置结构图;
图2为本发明的基于参数特征向量的内外网数据过滤方法流程图。
具体实施方式
下面对本发明作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案,而不能以此来限制本发明的保护范围。
本发明提供一种基于参数特征向量的内外网数据过滤装置,用于外网与内网的restful服务进行数据交互,实现数据共享。本发明的装置部署在内外网边界处,通过代理的方式将内网业务的restful服务映射到外网,向外网业务提供服务。
如图1所示,作为本发明的一个实施例,提供一种基于参数特征向量的内外网数据过滤装置,包括连接管理模块,接口注册模块,安全认证模块,访问控制模块及参数检查模块。
连接管理模块用于通过外网网口统一接收外网业务的restful访问请求,并对访问请求网络连接状态进行管理。
安全认证模块用于对外网业务的访问请求进行合法性认证,认证通过后允许后续访问。合法性认证是指,针对访问请求方的身份合法性进行认证,包括对访问方的IP地址、及访问时携带的身份token信息进行合法性认证。
接口注册模块用于对内网的服务进行注册,提供包括真实服务访问url、关联的业务系统信息、授权访问方的身份认证令牌信息和并发访问数。
访问控制模块用于对通过参数安全认证、参数检查后的访问请求按照可访问的权限进行内网转发。
参数检查模块用于对外网的访问请求报文进行分析,拆解出参数信息后对参数进行合法性检查。包括学习模式和过滤模式,在学习模式下基于参数信息的统计分析计算获取针对每个服务接口的参数特征向量基线;在过滤模式下基于参数特征向量基线对实时的访问请求进行合法性检查。
如图2所示,作为本发明的另一个实施例,提供一种基于参数特征向量的内外网交换方法,包括以下步骤。
步骤一:获取外网restful访问请求的http报文,形成当前访问请求的参数特征向量集合。具体为:
11)解析http报文,获取此次访问请求使用的方法。
12)根据访问请求使用的方法,提取传参键值对,即参数名称-参数值。
若为get、delete方法,则通过解析访问请求的url,获取“?”后的传参字符串,分解后获取此次传参的键值对信息;
若为post、put方法,则解析http访问请求报文的body内容,获取json或xml格式的传参,提取此次传参的键值对信息。
13)遍历传参键值对,提取此次访问请求的参数特征形成特征向量集合,每个参数的特征向量表示为:
param=(paramName,paramType,paramLength,paramValue)。其中,paramName为参数名称;paramType为参数类型,分为字符型和数值型;paramLength为参数长度,字符型参数为字符串长度,数值型参数为参数值;paramValue为参数取值。
本实施例中,由内网业务对需要通过装置发布到外网的服务接口进行注册,注册内容包括请求的方法名称、请求调用方式,即使用get、post、delete、put或header方法。
需要说明的是,每次访问请求对应一个服务接口的,每次访问请求包含多个传参,本发明实施例中针对每个参数形成一个特征向量,每一次访问请求形成一个特征向量结合。
步骤二:将参数检查设置为学习模式,将当前服务接口名称、以及解析获取的参数特征向量集合输入统计学习引擎,计算生成每个服务接口的参数特征向量基线。具体为:
21)对输入的参数特征向量集合数据根据服务接口进行分类,获得每个服务接口的参数特征向量集合;以及对每个服务接口的每个参数的特征向量进行统计,形成该参数的统计数据集;
22)对每个服务接口的每个参数的统计数据集按照如下规则进行计算,生成该服务接口的每个参数的特征向量基线,表示为:Params_B=(paramName_B,paramType_B,paramRange_B):
22a)对统计数据集中的每个参数,以参数名作为唯一标识,以统计数据集中的参数名称,作为参数特征向量基线的参数名称,即paramName_B;
22b)统计该参数的参数类型,取计算后占比最大的类型作为此参数的参数特征向量基线中的参数类型,即paramType_B;
22c)统计该参数的参数长度,若参数类型为字符型,则取该参数的参数特征向量数据统计集中,参数长度最大值作为此参数的参数特征向量基线中的参数长度最大值,取该参数的参数特征向量数据统计集中,参数长度最小值作为此参数的参数特征向量基线中的参数长度最小值,即paramRange_B;若参数类型为数值型,则取该参数的参数特征向量数据统计集中,此参数最大取值作为此参数的参数特征向量基线中的参数长度最大值,取该参数的参数特征向量数据统计集中,此参数最小取值作为此参数的参数特征向量基线中的参数长度最小值,即paramRange_B。
步骤三:将参数检查设置为过滤模式,将当前服务接口名称、及解析获取的参数特征向量输入过滤引擎,基于参数特征向量基线检查当前输入的参数是否合法,若合法则放过访问,否则判定为非法访问,直接拒绝。具体方法为:
31)根据当前服务接口名,获取该服务接口的参数特征向量基线param_B;
32)判断当前参数名称,检查参数类型是否符合此服务接口参数特征向量基线中的该参数的参数类型paramType_B,即是否一致,若不一致,则为非法访问;
33)根据当前参数名称,检查参数内容取值是否符合此服务接口参数特征向量基线中的该参数的参数取值范围paramRange_B,若为数值型参数,则判断当前参数值是否在取值范围内,若不符合,则为非法访问;若为字符型参数,则判断当前参数值得长度是否在取值范围内,若不符合,则为非法访问。
34)若所有参数检查通过则为合法访问请求。
35)将合法的访问请求转发至内网。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制,尽管参照上述实施例对本发明进行了详细的说明,所属领域的普通技术人员应当理解:依然可以对本发明的具体实施方式进行修改或者等同替换,而未脱离本发明精神和范围的任何修改或者等同替换,其均应涵盖在本发明的权利要求保护范围之内。

Claims (11)

1.一种基于参数特征向量的内外网数据过滤方法,其特征在于,包括:
获取外网业务的访问请求,形成访问请求的参数特征向量集合;
根据访问请求与服务接口的对应关系,以及所述访问请求的参数特征向量集合,计算生成每个服务接口的参数特征向量基线;
基于访问请求的参数特征向量集合以及所述参数特征向量基线对外网业务的访问请求进行合法性检查,过滤出合法的访问请求转发至内网。
2.根据权利要求1所述的一种基于参数特征向量的内外网数据过滤方法,其特征在于,所述形成访问请求的参数特征向量集合,包括:
解析外网业务restful访问请求的http报文,获取此次访问请求使用的方法;
根据访问请求使用的方法,提取传参键值对;
遍历传参键值对,提取此次访问请求的参数特征形成特征向量集合;
其中,每个参数的特征向量表示为:
param=(paramName,paramType,paramLength,paramValue);
paramName为参数名称;paramType为参数类型;paramLength为参数长度;paramValue为参数取值。
3.根据权利要求2所述的一种基于参数特征向量的内外网数据过滤方法,其特征在于,所述根据访问请求使用的方法,提取传参键值对,包括:
若为get或delete方法,则通过解析访问请求的url,获取“?”后的传参字符串,分解后获取此次传参键值对信息;
若为post或put方法,则解析访问请求的body内容,获取json或xml格式的传参,提取此次传参键值对信息。
4.根据权利要求1所述的一种基于参数特征向量的内外网数据过滤方法,其特征在于,所述计算生成每个服务接口的参数特征向量基线,包括:
根据访问请求与服务接口的对应关系,获得对应服务接口的参数特征向量集合;
对每个服务接口的参数特征向量集合中每个参数的特征向量进行统计,形成该参数的统计数据集;
对每个参数的统计数据集按照如下规则进行计算,生成所属服务接口的参数特征向量基线,表示为:Params_B=(paramName_B,paramType_B,paramRange_B);
规则如下:
以参数统计数据集中的参数名称,作为该参数特征向量基线的参数名称paramName_B;
统计该参数统计数据集中的参数类型,取计算后占比最大的参数类型作为该参数特征向量基线的参数类型paramType_B;
统计该参数统计数据集中的参数长度,
若参数类型为字符型,则取该参数统计数据集中,参数长度最大值作为该参数特征向量基线中的参数长度最大值,取参数长度最小值作为该参数特征向量基线中的参数长度最小值,参数长度最大值和参数长度最小值构成参数取值范围paramRange_B;
若参数类型为数值型,则取该参数统计数据集中,参数最大取值作为该参数特征向量基线中的参数长度最大值,取参数最小取值作为该参数特征向量基线中的参数长度最小值,参数长度最大值和参数长度最小值构成参数取值范围paramRange_B。
5.根据权利要求4所述的一种基于参数特征向量的内外网数据过滤方法,其特征在于,所述对外网业务的访问请求进行合法性检查,包括:
根据访问请求与服务接口的对应关系,获得对应服务接口的参数特征向量集合;
对访问请求的参数特征向量集合中的每一个参数特征向量,根据参数名称,检查参数类型是否符合所对应参数特征向量基线中该参数的参数类型,若不一致,则为非法访问;
检查参数特征向量的参数取值是否符合所对应参数特征向量基线中该参数的参数取值范围paramRange_B,若为数值型参数,则判断参数取值是否在paramRange_B内,若不符合,则为非法访问;若为字符型参数,则判断参数长度是否在paramRange_B内,若不符合,则为非法访问;
参数特征向量集合中的所有参数特征向量都检查为合法,则该外网业务的访问请求合法。
6.一种基于参数特征向量的内外网数据过滤装置,其特征在于,部署于企业内部网络和外部网络之间,包括:连接管理模块,安全认证模块,访问控制模块及参数检查模块;
所述连接管理模块用于接收外网业务的访问请求,并对访问请求网络连接状态进行管理,以及,用于将接收到的访问请求发送至安全认证模块;
所述安全认证模块用于对访问请求方身份的合法性进行认证,以及,用于将通过合法性认证的访问请求发送至参数检查模块;
所述访问控制模块用于对通过安全认证和参数检查的访问请求按照可访问的权限进行内网转发;
所述参数检查模块用于对外网业务的访问请求进行合法性检查,以及,用于将通过合法性检查的访问请求发送至访问控制模块。
7.根据权利要求6所述的一种基于参数特征向量的内外网数据过滤装置,其特征在于,所述连接管理模块用于通过外网网口接收外网业务的restful访问请求。
8.根据权利要求6所述的一种基于参数特征向量的内外网数据过滤装置,其特征在于,所述安全认证模块具体用于对访问请求方的IP地址及访问时携带的身份token信息进行合法性认证。
9.根据权利要求6所述的一种基于参数特征向量的内外网数据过滤装置,其特征在于,所述参数检查模块包括学习模式模块和过滤模式模块;
所述学习模式模块用于基于外网业务的访问请求参数信息计算得到针对每个服务接口的参数特征向量基线;
所述过滤模式模块用于基于参数特征向量基线对实时的外网业务访问请求进行合法性检查。
10.根据权利要求6所述的一种基于参数特征向量的内外网数据过滤装置,其特征在于,还包括:接口注册模块,
所述接口注册模块用于对需要发布信息到外网的服务接口进行注册,以及,用于将注册信息发送至安全认证模块。
11.根据权利要求10所述的一种基于参数特征向量的内外网数据过滤装置,其特征在于,所述接口注册模块对服务接口进行注册,注册内容包括:访问请求的方法名称和请求使用的方法,所述请求使用的方法包括get、post、delete、put和header中的任意一种。
CN202110673910.6A 2021-06-17 2021-06-17 一种基于参数特征向量的内外网数据过滤方法及装置 Active CN113507450B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110673910.6A CN113507450B (zh) 2021-06-17 2021-06-17 一种基于参数特征向量的内外网数据过滤方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110673910.6A CN113507450B (zh) 2021-06-17 2021-06-17 一种基于参数特征向量的内外网数据过滤方法及装置

Publications (2)

Publication Number Publication Date
CN113507450A true CN113507450A (zh) 2021-10-15
CN113507450B CN113507450B (zh) 2023-06-30

Family

ID=78010080

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110673910.6A Active CN113507450B (zh) 2021-06-17 2021-06-17 一种基于参数特征向量的内外网数据过滤方法及装置

Country Status (1)

Country Link
CN (1) CN113507450B (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109587135A (zh) * 2018-12-04 2019-04-05 国网辽宁省电力有限公司大连供电公司 基于内外网隔离的服务交互平台系统
CN111026574A (zh) * 2019-11-25 2020-04-17 中盈优创资讯科技有限公司 诊断Elasticsearch集群问题的方法及装置
CN111212075A (zh) * 2020-01-02 2020-05-29 腾讯云计算(北京)有限责任公司 业务请求的处理方法、装置、电子设备及计算机存储介质
CN111585955A (zh) * 2020-03-31 2020-08-25 中南大学 一种http请求异常检测方法及系统
CN112565220A (zh) * 2020-11-26 2021-03-26 南京南瑞信息通信科技有限公司 一种基于国网隔离装置安全的http服务网关实现方法
US20210160247A1 (en) * 2018-04-02 2021-05-27 Visa International Service Association Real-time entity anomaly detection

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20210160247A1 (en) * 2018-04-02 2021-05-27 Visa International Service Association Real-time entity anomaly detection
CN109587135A (zh) * 2018-12-04 2019-04-05 国网辽宁省电力有限公司大连供电公司 基于内外网隔离的服务交互平台系统
CN111026574A (zh) * 2019-11-25 2020-04-17 中盈优创资讯科技有限公司 诊断Elasticsearch集群问题的方法及装置
CN111212075A (zh) * 2020-01-02 2020-05-29 腾讯云计算(北京)有限责任公司 业务请求的处理方法、装置、电子设备及计算机存储介质
CN111585955A (zh) * 2020-03-31 2020-08-25 中南大学 一种http请求异常检测方法及系统
CN112565220A (zh) * 2020-11-26 2021-03-26 南京南瑞信息通信科技有限公司 一种基于国网隔离装置安全的http服务网关实现方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
_你的小祖宗饿了的博客: "RESTful规范GET请求、POST请求、PUT请求、DELETE请求?", 《HTTP://PROJECTS.SPRING.IO/SPRING-SESSION》 *
_你的小祖宗饿了的博客: "RESTful规范GET请求、POST请求、PUT请求、DELETE请求?", 《HTTP://PROJECTS.SPRING.IO/SPRING-SESSION》, 19 September 2019 (2019-09-19), pages 1 - 7 *

Also Published As

Publication number Publication date
CN113507450B (zh) 2023-06-30

Similar Documents

Publication Publication Date Title
KR102514325B1 (ko) 모델 훈련 시스템 및 방법과, 저장 매체
CN111488595A (zh) 用于实现权限控制的方法及相关设备
CN112073400A (zh) 一种访问控制方法、系统、装置及计算设备
US11570203B2 (en) Edge network-based account protection service
CN112787979A (zh) 物联网设备访问控制方法及物联网设备访问控制装置
CN112511565B (zh) 请求响应方法、装置、计算机可读存储介质及电子设备
CN115996122A (zh) 访问控制方法、装置及系统
KR20170062244A (ko) Api 관리 장치
KR101653685B1 (ko) 컴퓨터 수행 가능한 api 관리 방법
CN118171297A (zh) 一种接口权限控制方法、装置、存储介质及电子设备
CN114760083B (zh) 一种攻击检测文件的发布方法、装置及存储介质
WO2005114956A1 (en) Method and apparatus for processing web service messages
CN116260656B (zh) 基于区块链的零信任网络中主体可信认证方法和系统
CN116846642A (zh) 基于可编程网络的动态访问控制方法及系统
CN115801472B (zh) 一种基于鉴权网关的权限管理方法及系统
CN114866247B (zh) 一种通信方法、装置、系统、终端及服务器
Khalil et al. IoT-MAAC: Multiple attribute access control for IoT environments
US9680871B2 (en) Adopting policy objects for host-based access control
CN113507450B (zh) 一种基于参数特征向量的内外网数据过滤方法及装置
CN115941287A (zh) 密码服务集成与管理方法、装置、管理平台及存储介质
CN113297629B (zh) 一种鉴权方法、装置、系统、电子设备和存储介质
CN116155565B (zh) 数据访问控制方法和装置
CN115549966B (zh) 业务请求的安全审计方法和装置
CN117040929B (zh) 一种访问处理方法、装置、设备、介质及程序产品
US11438375B2 (en) Method and system for preventing medium access control (MAC) spoofing attacks in a communication network

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant