CN114125039A - 服务之间访问关系的发现与控制方法和装置 - Google Patents
服务之间访问关系的发现与控制方法和装置 Download PDFInfo
- Publication number
- CN114125039A CN114125039A CN202111493944.3A CN202111493944A CN114125039A CN 114125039 A CN114125039 A CN 114125039A CN 202111493944 A CN202111493944 A CN 202111493944A CN 114125039 A CN114125039 A CN 114125039A
- Authority
- CN
- China
- Prior art keywords
- network node
- access
- service
- services
- access information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开实施例公开了由网络节点提供的服务之间访问关系的发现与控制方法和装置。根据本公开实施例,通过网络节点的访问信息确定多个网络节点提供的服务之间的访问关系,解决了目前无法快速准确确定服务之间的访问关系,进而无法为微隔离提供高效的安全策略的技术问题。在本技术方案中,网络节点主动上报访问信息至服务器,服务器基于所述访问信息确定多个网络节点提供的服务之间的访问关系,提供了可快速准确确定服务之间的访问关系的方法。
Description
技术领域
本公开涉及网络安全技术领域,具体涉及由网络节点提供的服务之间访问关系的发现与控制方法和装置。
背景技术
数据中心中的微隔离(micro-segmentation)可以解决攻击平移的问题。目前的数据中心云平台内部往往仅提供一个或者数个网络地址平面划分,一旦某个网络平面被攻破,则整个网络平面内的服务将全部暴露给攻击者。例如,在不具有微隔离的情况下,假设服务A的宿主机被攻破,则恶意程序可以基于服务A访问其它服务。如果通过微隔离的安全策略限定服务A仅具有访问服务B的权限,则服务A对服务C的攻击将会被阻断。
微隔离的安全策略是基于服务间的访问关系的,因此,准确地确定网络节点提供的服务之间的访问关系对于生成有效的安全策略而言至关重要。但是,由于同一网络平面下服务间的访问关系在专有云、混合云等网络架构下非常复杂,且会伴随产品的迭代不断演进,因此目前尚没有一种可以快速准确确定服务之间的访问关系的方法,进而无法为微隔离提供准确、高效的安全策略。
发明内容
为了解决相关技术中的问题,本公开实施例提供服务之间的访问关系的发现与控制的方法、装置、相应的电子设备及可读存储介质。
第一方面,本公开实施例中提供了一种发现由网络节点提供的服务之间的访问关系的方法,包括:
获取所述网络节点的访问信息,所述网络节点的访问信息包含用于确定发起访问的服务和相应的被访问服务的信息;
根据所述网络节点的访问信息,确定所述多个网络节点提供的服务之间的访问关系。
结合第一方面,本公开在第一方面的第一种实现方式中,所述获取所述网络节点的访问信息,包括:
从所述网络节点获取所述网络节点的访问信息,
所述网络节点的访问信息是通过解析所述网络节点接收到的数据包得到的。
结合第一方面,本公开在第一方面的第二种实现方式中,其中:
所述发起访问的服务包括与所述网络节点不同的另一网络节点提供的服务;
所述被访问服务包括所述网络节点提供的服务;
所述访问信息包括从所述另一网络节点发送到所述网络节点的数据包的源ip地址、源端口号、目的ip地址、目的端口号,所述源ip地址和源端口号用于确定所述发起访问的服务,所述目的ip地址和目的端口号用于确定所述相应的被访问服务。
结合第一方面,本公开在第一方面的第三种实现方式中,其中,所述根据所述网络节点的访问信息,确定所述多个网络节点提供的服务之间的访问关系,包括:
在学习状态下,根据所述网络节点的访问信息确定针对所述网络节点提供的指定服务的白名单,所述白名单是允许访问所述指定服务的可信服务的名单;
将所述白名单发送到所述网络节点。
结合第一方面的第三种实现方式,本公开在第一方面的第四种实现方式中,还包括:
在所述学习状态下,根据所述网络节点的访问信息更新所述白名单;
在所述学习状态持续第一预设时间后,和/或在所述学习状态下的第二预设时间内所述白名单没有发生更新时,结束所述白名单的更新。
结合第一方面的第四种实现方式,本公开在第一方面的第五种实现方式中,还包括:
在结束所述白名单的更新之后,进入保护状态;
在所述保护状态下,指示所述网络节点仅允许白名单中的可信服务访问所述网络节点提供的所述指定服务。
结合第一方面的第五种实现方式,本公开在第一方面的第六种实现方式中,还包括:
在所述保护状态下,获取所述网络节点的拒绝访问信息,所述拒绝访问信息用于确定发起被所述网络节点拒绝的访问的可疑服务和相应的被访问服务的信息;
确定是否将所述可疑服务作为可信服务更新所述白名单;
将更新的白名单发送到所述网络节点。
第二方面,本公开实施例中提供了一种控制对网络节点提供的服务的访问的方法,包括:
获取所述网络节点的访问信息,所述网络节点的访问信息包含用于确定发起访问的服务和相应的被访问服务的信息,所述网络节点的访问信息用于确定多个网络节点提供的服务之间的访问关系;
基于所述访问关系确定是否允许与所述网络节点不同的另一网络节点提供的服务访问所述网络节点提供的指定服务。
结合第二方面,本公开在第二方面的第一种实现方式中,还包括:
通过解析所述网络节点接收到的数据包得到所述网络节点的访问信息。
结合第二方面的第一种实现方式,本公开在第二方面的第二种实现方式中,还包括:
从指定服务器获取针对所述网络节点提供的指定服务的白名单,所述白名单是允许访问所述指定服务的可信服务的名单,所述白名单是根据所述网络节点的访问信息确定的;
在第一状态下,向所述指定服务器发送不在所述白名单中的服务对所述网络节点提供的服务的访问信息,所述不在所述白名单中的服务对所述网络节点提供的服务的访问信息用于更新所述白名单;
在所述第一状态下,接收更新的白名单。
结合第二方面的第二种实现方式,本公开在第二方面的第三种实现方式中,还包括:
在所述白名单更新结束后,进入第二状态;
在所述第二状态下,拒绝不在所述白名单中的可疑服务对所述网络节点提供的服务的访问;
在所述第二状态下,向所述指定服务器发送所述可疑服务的访问信息;
在所述第二状态下,从所述指定服务器接收更新的白名单,其中,当所述指定服务器确定将所述可疑服务作为可信服务更新所述白名单时,所述指定服务器向所述网络节点发送更新的白名单。
第三方面,本公开实施例中提供了一种发现多个网络节点提供的服务之间的访问关系的装置,包括:
第一获取模块,被配置为获取所述网络节点的访问信息,所述网络节点的访问信息包含用于确定发起访问的服务和相应的被访问服务的信息;
第一确定模块,被配置为根据所述网络节点的访问信息,确定所述多个网络节点提供的服务之间的访问关系。
结合第三方面,本公开在第三方面的第一种实现方式中,其中,所述获取所述网络节点的访问信息,包括:
从所述网络节点获取所述网络节点的访问信息,
所述网络节点的访问信息是通过解析所述网络节点接收到的数据包得到的。
结合第三方面,本公开在第三方面的第二种实现方式中,其中:
所述发起访问的服务包括与所述网络节点不同的另一网络节点提供的服务;
所述被访问服务包括所述网络节点提供的服务;
所述访问信息包括从所述另一网络节点发送到所述网络节点的数据包的源ip地址、源端口号、目的ip地址、目的端口号,所述源ip地址和源端口号用于确定所述发起访问的服务,所述目的ip地址和目的端口号用于确定所述相应的被访问服务。
结合第三方面,本公开在第三方面的第三种实现方式中,其中,所述根据所述网络节点的访问信息,确定所述多个网络节点提供的服务之间的访问关系,包括:
在学习状态下,根据所述网络节点的访问信息确定针对所述网络节点提供的指定服务的白名单,所述白名单是允许访问所述指定服务的可信服务的名单;
将所述白名单发送到所述网络节点。
结合第三方面的第三种实现方式,本公开在第三方面的第四种实现方式中,所述第一确定模块还被配置为:
在所述学习状态下,根据所述网络节点的访问信息更新所述白名单;
在所述学习状态持续第一预设时间后,和/或在所述学习状态下的第二预设时间内所述白名单没有发生更新时,结束所述白名单的更新。
结合第三方面的第四种实现方式,本公开在第三方面的第五种实现方式中,所述第一确定模块还被配置为:
在结束所述白名单的更新之后,进入保护状态;
在所述保护状态下,指示所述网络节点仅允许白名单中的可信服务访问所述网络节点提供的所述指定服务。
结合第三方面的第五种实现方式,本公开在第三方面的第六种实现方式中,其中:
所述第一获取模块还被配置为,在所述保护状态下,获取所述网络节点的拒绝访问信息,所述拒绝访问信息用于确定发起被所述网络节点拒绝的访问的可疑服务和相应的被访问服务的信息;
所述第一确定模块还被配置为,确定是否将所述可疑服务作为可信服务更新所述白名单;将更新的白名单发送到所述网络节点。
第四方面,本公开实施例提供了一种控制对网络节点提供的服务的访问的装置,包括:
第二获取模块,被配置为获取所述网络节点的访问信息,所述网络节点的访问信息包含用于确定发起访问的服务和相应的被访问服务的信息,所述网络节点的访问信息用于确定多个网络节点提供的服务之间的访问关系;
第二确定模块,被配置为基于所述访问关系确定是否允许与所述网络节点不同的另一网络节点提供的服务访问所述网络节点提供的指定服务。
结合第四方面,本公开在第四方面的第一种实现方式中,所述第二获取模块还被配置为:
通过解析所述网络节点接收到的数据包得到所述网络节点的访问信息。
结合第四方面,本公开在第四方面的第二种实现方式中,所述第二确定模块还被配置为:
从指定服务器获取针对所述网络节点提供的指定服务的白名单,所述白名单是允许访问所述指定服务的可信服务的名单,所述白名单是根据所述网络节点的访问信息确定的;
在第一状态下,向所述指定服务器发送不在所述白名单中的服务对所述网络节点提供的服务的访问信息,所述不在所述白名单中的服务对所述网络节点提供的服务的访问信息用于更新所述白名单;
在所述第一状态下,接收更新的白名单。
结合第四方面的第二种实现方式,本公开在第四方面的第三种实现方式中,所述确定模块还被配置为:
在所述白名单更新结束后,进入第二状态;
在所述第二状态下,拒绝不在所述白名单中的可疑服务对所述网络节点提供的服务的访问;
在所述第二状态下,向所述指定服务器发送所述可疑服务的访问信息;
在所述第二状态下,从所述指定服务器接收更新的白名单,其中,当所述指定服务器确定将所述可疑服务作为可信服务更新所述白名单时,所述指定服务器向所述网络节点发送更新的白名单。
第五方面,本公开实施例提供了一种电子设备,包括存储器和处理器,其中,所述存储器用于存储一条或多条计算机指令,其中,所述一条或多条计算机指令被所述处理器执行以实现如第一方面、第一方面的第一种实现方式至第六种实现方式、第二方面、第二方面的第一种实现方式至第三种实现方式中任一项所述的方法。
第六方面,本公开实施例中提供了一种计算机可读存储介质,其上存储有计算机指令,该计算机指令被处理器执行时实现如第一方面、第一方面的第一种实现方式至第六种实现方式、第二方面、第二方面的第一种实现方式至第三种实现方式中任一项所述的方法。
第七方面,本公开实施例中提供了一种计算机程序产品,包括计算机指令,该计算机指令被处理器执行时实现如第一方面、第一方面的第一种实现方式至第六种实现方式、第二方面、第二方面的第一种实现方式至第三种实现方式中任一项所述的方法。
本公开实施例提供的技术方案可以包括以下有益效果:
根据本公开实施例提供的技术方案,通过网络节点的访问信息确定多个网络节点提供的服务之间的访问关系,并基于所述访问关系确定是否允许与所述网络节点不同的另一网络节点提供的服务访问所述网络节点提供的指定服务,解决了目前无法快速准确确定服务之间的访问关系的,进而无法为微隔离提供高效的安全策略的技术问题。在本技术方案中,网络节点主动上报访问信息至服务器,服务器基于所述访问信息确定多个网络节点提供的服务之间的访问关系,提供了可快速准确确定服务之间的访问关系的方法;同时网络节点基于所述访问关系确定是否允许与所述网络节点不同的另一网络节点提供的服务访问所述网络节点提供的指定服务,实现了基于服务之间的访问关系的安全隔离,提高了当前新的网络架构下东西向流量的安全性。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
结合附图,通过以下非限制性实施方式的详细描述,本公开的其它特征、目的和优点将变得更加明显。以下是对附图的说明。
图1示出根据本公开实施例的发现多个网络节点提供的服务之间的访问关系的方法的流程图。
图2示出根据本公开实施例的控制对网络节点提供的服务的访问的方法的流程图。
图3示出根据本公开实施例的应用场景示意图。
图4示出根据本公开实施例的发现多个网络节点提供的服务之间的访问关系的装置的结构框图。
图5示出根据本公开实施例的控制对网络节点提供的服务的访问的装置的结构框图。
图6示出根据本公开一实施方式的电子设备的结构框图。
图7是适于用来实现根据本公开实施方式对象推荐方法的计算机系统的结构示意图。
具体实施方式
下文中,将参考附图详细描述本公开的示例性实施例,以使本领域技术人员可容易地实现它们。此外,为了清楚起见,在附图中省略了与描述示例性实施例无关的部分。
在本公开中,应理解,诸如“包括”或“具有”等的术语旨在指示本说明书中所公开的特征、数字、步骤、行为、部件、部分或其组合的存在,并且不欲排除一个或多个其他特征、数字、步骤、行为、部件、部分或其组合存在或被添加的可能性。
另外还需要说明的是,在不冲突的情况下,本公开中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本公开。
本公开实施例提供的技术方案通过网络节点的访问信息确定多个网络节点提供的服务之间的访问关系,并基于所述访问关系确定是否允许与所述网络节点不同的另一网络节点提供的服务访问所述网络节点提供的指定服务,解决了目前无法快速准确确定服务之间的访问关系,进而无法为微隔离提供准确、高效的安全策略的技术问题。在本技术方案中,网络节点主动上报访问信息至服务器,服务器基于所述访问信息确定多个网络节点提供的服务之间的访问关系,提供了可快速准确确定服务之间的访问关系的方法。同时,网络节点基于所述访问关系确定是否允许与所述网络节点不同的另一网络节点提供的服务访问所述网络节点提供的指定服务,实现了基于服务之间的访问关系的安全隔离。
图1示出根据本公开实施例的发现多个网络节点提供的服务之间的访问关系的方法的流程图,如图1所示,所述发现多个网络节点提供的服务之间的访问关系的方法包括步骤S110–S120:
在步骤S110中,获取所述网络节点的访问信息,所述网络节点的访问信息包含用于确定发起访问的服务和相应的被访问服务的信息;
在步骤S120中,根据所述网络节点的访问信息,确定所述多个网络节点提供的服务之间的访问关系。
上文提及,准确地确定网络节点提供的服务之间的访问关系对于生成有效的安全策略而言至关重要。但是,由于同一网络平面下服务间的访问关系在专有云、混合云等网络架构下非常复杂,且会伴随产品的迭代不断演进,因此目前尚没有一种可以快速准确确定服务之间的访问关系的方法,进而无法为微隔离提供准确、高效的安全策略。
鉴于以上情況,本公开提出了一种发现由网络节点提供的服务之间的访问关系的方法,该方法通过网络节点的访问信息确定多个网络节点提供的服务之间的访问关系,解决了目前无法快速准确确定服务之间的访问关系,进而无法为微隔离提供高效的安全策略的技术问题。在本技术方案中,网络节点主动上报访问信息至服务器,服务器基于所述访问信息确定多个网络节点提供的服务之间的访问关系,提供了可快速准确确定服务之间的访问关系的方法。
在本公开实施例中,所述发现多个网络节点提供的服务之间的访问关系的方法可适用于实现数据收发的计算机、计算设备、电子设备、服务器等,为了描述的方便,下文以服务器为例对于本公开方案进行解释和说明。
在本公开实施例中,所述网络节点是指互联网中的节点,其可以是互联网中的物理节点,例如服务器、终端等,也可以是虚拟节点,例如虚拟机、容器等。
在本公开实施例中,所述网络节点的访问信息是指,从与所述网络节点不同的另一网络节点发送到所述网络节点的数据包中所包含的信息,其中包含用于确定发起访问的服务和相应的被访问服务的信息。所述发起访问的服务包括与所述网络节点不同的另一网络节点提供的服务,所述被访问服务包括所述网络节点提供的服务。
在本公开实施例中,所述获取所述网络节点的访问信息是指,服务器解析所述与所述网络节点不同的另一网络节点发送到所述网络节点的数据包,以获取所述网络节点的访问信息。通过以上方式解析获得的所述网络节点的访问信息可以包括所述数据包的源ip地址、源端口号、目的ip地址、目的端口号,其中,所述源ip地址和源端口号用于确定所述发起访问的服务,所述目的ip地址和目的端口号用于确定所述相应的被访问服务。通过以上方式解析获得的所述网络节点的访问信息还可以包括,所述网络节点与所述另一网络节点之间采用的通信协议。
在本公开实施例中,所述根据所述网络节点的访问信息,确定所述多个网络节点提供的服务之间的访问关系,包括:在学习状态下,根据所述网络节点的访问信息确定并更新针对所述网络节点提供的指定服务的白名单,并将所述白名单发送到所述网络节点;在所述学习状态持续第一预设时间后,和/或在所述学习状态下的第二预设时间内所述白名单没有发生更新时,结束所述白名单的更新,进入保护状态。在所述保护状态下,服务器指示所述网络节点仅允许白名单中的可信服务访问所述网络节点提供的所述指定服务。其中,所述白名单是允许访问所述指定服务的可信服务的名单。
在本公开实施例中,在所述保护状态下,服务器还可以获取所述网络节点的拒绝访问信息,所述拒绝访问信息用于确定发起被所述网络节点拒绝的访问的可疑服务和相应的被访问服务的信息。在获取所述拒绝访问信息后,服务器确定是否将所述可疑服务作为可信服务更新所述白名单,若是则将更新的白名单发送到所述网络节点,若否则针对该可疑服务发出告警。
根据本公开实施例提供的技术方案,通过网络节点的访问信息确定多个网络节点提供的服务之间的访问关系,解决了目前无法快速准确确定服务之间的访问关系,进而无法为微隔离提供高效的安全策略的技术问题。在本技术方案中,网络节点主动上报访问信息至服务器,服务器基于所述访问信息确定多个网络节点提供的服务之间的访问关系,提供了可快速准确确定服务之间的访问关系的方法。
图2示出根据本公开实施例的控制对网络节点提供的服务的访问的方法的流程图,如图2所示,所述发现多个网络节点提供的服务之间的访问关系的方法包括步骤S210 –S220:
在步骤S210中,获取所述网络节点的访问信息,所述网络节点的访问信息用于确定多个网络节点提供的服务之间的访问关系;
在步骤S220中,基于所述访问关系确定是否允许与所述网络节点不同的另一网络节点提供的服务访问所述网络节点提供的指定服务。
上文提及,随着内部网络的架构从传统的IT架构向虚拟化、专有云、混合云和容器化升级变迁,如何对东西向流量进行隔离和保护成为了当前亟待解决的问题。微隔离技术可用于解决东西向流量的安全防护问题,但由于同一网络平面下服务间的访问关系在新的网络架构下非常复杂,且会伴随产品的迭代不断演进,因此目前尚没有一种可以快速准确确定服务之间的访问关系的方法,进而无法为微隔离提供高效的安全策略。
鉴于以上情況,本公开提出了一种控制对网络节点提供的服务的访问的方法,该方法通过网络节点的访问信息确定多个网络节点提供的服务之间的访问关系,并基于所述访问关系确定是否允许与所述网络节点不同的另一网络节点提供的服务访问所述网络节点提供的指定服务,解决了目前无法快速准确确定服务之间的访问关系的,进而无法为微隔离提供高效的安全策略的技术问题。在本技术方案中,网络节点基于所述访问关系确定是否允许与所述网络节点不同的另一网络节点提供的服务访问所述网络节点提供的指定服务,实现了基于服务之间的访问关系的安全隔离,提高了当前新的网络架构下东西向流量的安全性。
在本公开实施例中,所述网络节点是指互联网中的节点,其可以是互联网中的物理节点,例如服务器、终端等,也可以是虚拟节点,例如虚拟机、容器等。
在本公开实施例中,所述网络节点的访问信息是指,从与所述网络节点不同的另一网络节点发送到所述网络节点的数据包中所包含的信息,其中包含用于确定发起访问的服务和相应的被访问服务的信息。所述发起访问的服务包括与所述网络节点不同的另一网络节点提供的服务,所述被访问服务包括所述网络节点提供的服务。
在本公开实施例中,所述获取所述网络节点的访问信息是指,通过解析所述网络节点接收到的数据包得到所述网络节点的访问信息。具体地,可以通过在网络节点对应的检测点设置规则,将访问所述网络节点的数据包中的信息记录到日志,从所述日志获取所述访问信息。其中,所述访问该网络节点的数据包中的信息可以是数据包中的全部信息,也可以是部分信息,所述部分信息中至少包含所有访问信息。
以将网络节点对应的Netfilter报文处理框架中的hook点设置为所述网络节点对应的检测点为例,通过设置iptable规则可将访问该网络节点的数据包中的信息记录到日志。所述从所述日志获取所述访问信息可以是,从所述日志中获取源ip地址、源端口号、目的ip地址、目的端口号,组成所述访问信息,其中,所述源ip地址和源端口号用于确定所述发起访问的服务,所述目的ip地址和目的端口号用于确定所述相应的被访问服务。此外,还可以从所述日志中获取所述网络节点与所述另一网络节点之间采用的通信协议,与所述源ip地址、源端口号、目的ip地址、目的端口号共同组成所述访问信息。
在本公开实施例中,所述网络节点的访问信息用于确定多个网络节点提供的服务之间的访问关系是指,所述网络节点将所述访问信息发送至服务器,服务器基于所述访问信息确定多个网络节点提供的服务之间的访问关系。具体的访问关系确定方法参见前述针对发现多个网络节点提供的服务之间的访问关系的方法实施例的记载,此处不再赘述。
在本公开实施例中,基于所述访问关系确定是否允许与所述网络节点不同的另一网络节点提供的服务访问所述网络节点提供的指定服务是指,从指定服务器获取针对所述网络节点提供的指定服务的白名单,在第一状态下,向所述指定服务器发送不在所述白名单中的服务对所述网络节点提供的服务的访问信息,并接收更新的白名单;在所述白名单更新结束后,进入第二状态;在所述第二状态下,拒绝不在所述白名单中的可疑服务对所述网络节点提供的服务的访问。其中,所述白名单是允许访问所述指定服务的可信服务的名单,所述白名单是根据所述网络节点的访问信息确定的,所述不在所述白名单中的服务对所述网络节点提供的服务的访问信息用于更新所述白名单。
进一步,在所述第二状态下,所述网络节点还可以向所述指定服务器发送所述可疑服务的访问信息,所述指定服务器确定是否将所述可疑服务作为可信服务更新所述白名单。当所述指定服务器确定将所述可疑服务作为可信服务更新所述白名单时,所述网络节点从所述指定服务器接收更新的白名单,并基于所述更新的白名单确定所述可疑服务对所述网络节点体用的服务的访问;否则,拒绝所述可疑服务对所述网络节点体用的服务的访问。
在本公开实施例中,在第一状态下,向所述指定服务器发送访问信息可以是,网络节点以固定时间间隔向指定服务器发送所述访问信息,所述时间间隔可根据实际需要设置,例如10分钟;还可以是,网络节点以动态时间间隔向指定服务器发送所述访问信息,所述动态时间间隔可以根据该网络节点的流量大小、服务部署情况等设置。
仍然以将网络节点对应的Netfilter报文处理框架中的hook点设置为所述网络节点对应的检测点,通过设置iptable规则将访问该网络节点的数据包中的信息记录到日志为例,在第一状态下,所述向所述指定服务器发送不在所述白名单中的服务对所述网络节点提供的服务的访问信息可以是,设置iptable规则,将访问该网络节点的数据包中的信息与该网络节点从指定服务器接收到的白名单进行对比,若所述数据包中的信息中所包含的源ip和源端口号已经存在于所述白名单中,则不记录该数据包中的信息至日志。在第二状态下,设置iptable规则,将访问该网络节点的数据包中的源ip地址、源端口号、目的ip地址、目的端口号以及其他参考信息上传至指定服务器,以使所述指定服务基于这些信息判断可疑服务是否为可信服务。
根据本公开实施例提供的技术方案,通过网络节点的访问信息确定多个网络节点提供的服务之间的访问关系,并基于所述访问关系确定是否允许与所述网络节点不同的另一网络节点提供的服务访问所述网络节点提供的指定服务,解决了目前无法快速准确确定服务之间的访问关系,进而无法为微隔离提供高效的安全策略的技术问题。在本技术方案中,网络节点基于所述访问关系确定是否允许与所述网络节点不同的另一网络节点提供的服务访问所述网络节点提供的指定服务,实现了基于服务之间的访问关系的安全隔离,提高了当前新的网络架构下东西向流量的安全性。
图3示出根据本公开实施例的发现多个网络节点提供的服务之间的访问关系的方法和控制对网络节点提供的服务的访问方法的应用场景示意图。
如图3所示,上述发现多个网络节点提供的服务之间的访问关系的方法和控制对网络节点提供的服务的访问方法可应用于混合云架构。在混合云架构的每个地区(Region)的指定服务器中设置一个拓扑中心模块(Topology Center),用于执行所述发现多个网络节点提供的服务之间的访问关系的方法,以生成本地区内的网络节点提供的服务之间的访问关系,并根据所述访问关系生成和更新针对每一网络节点提供的指定服务的白名单。当出现跨地区访问的情况时,可以通过设置补充规则进行判断。同时,在所述地区的每一网络节点中设置一个拓扑学习模块(Topology Learner),用于执行所述控制对网络节点提供的服务的访问方法,以获取所述网络节点的访问信息,接收所述白名单,根据所述白名单向所述拓扑中心发送访问信息,并根据所述白名单拒绝不在所述白名单中的可疑服务对所述网络节点提供的服务的访问。
在本公开实施例中,还可以在同一地区中进行双活或主备级部署,其中,所述地区包括多个区域,在每个区域内网络节点提供的服务之间具有相同的访问关系,每个区域分别设置指定服务器,用于针对本区域内的网络节点执行所述发现多个网络节点提供的服务之间的访问关系的方法,以及针对其他区域内的网络节点执行所述发现多个网络节点提供的服务之间的访问关系的方法。另一方面,每个区域的网络节点通过与本区域的指定服务器交互来执行控制对网络节点提供的服务的访问方法,还通过与其他区域的指定服务器交互来执行控制对网络节点提供的服务的访问方法,从而增强本地区的容灾能力。
具体地,如图3所示,可以分别在Region A中设置两个不同的区域(Zone),例如Zone A和Zone B。Zone A和Zone B中均在指定服务器中设置有拓扑中心模块,在各网络节点中设置有拓扑学习模块。其中,Zone A中的拓扑中心模块可访问该Zone A中的拓扑学习模块,也可访问Zone B中的拓扑学习模块,以实现所述白名单的并行生成和下发,并在ZoneA中的拓扑学习模块发生故障时,从Zone B中相应的拓扑学习模块接收所述访问信息。同样的,Zone B中的拓扑中心模块可访问该Zone B中的拓扑学习模块,也可访问Zone A中的拓扑学习模块。当所述Zone A中的拓扑中心模块发生故障时,所述Zone B中的拓扑中心模块接收拓扑学习模块上报的访问信息,基于所述访问信息生成所述访问关系拓扑与白名单,并下发所述白名单至所述拓扑学习模块。其中,所述拓扑学习模块可以是Zone A中的拓扑学习模块,也可以是Zone B中的拓扑学习模块。以此方式,可以在本地区的多个指定服务器上生成和备份各区域的服务访问关系,从而提高整个地区的容灾能力。
以下参照图4和图5描述根据本公开的实施例的装置的结构框图。
图4示出根据本公开的实施例的发现多个网络节点提供的服务之间的访问关系的装置400的结构框图。其中,该装置可以通过软件、硬件或者两者的结合实现成为电子设备的部分或者全部。该装置包括:
第一获取模块410,被配置为获取所述网络节点的访问信息,所述网络节点的访问信息包含用于确定发起访问的服务和相应的被访问服务的信息;
第一确定模块420,被配置为根据所述网络节点的访问信息,确定所述多个网络节点提供的服务之间的访问关系。
在本公开实施例中,所述获取所述网络节点的访问信息,包括:从所述网络节点获取所述网络节点的访问信息,所述网络节点的访问信息是通过解析所述网络节点接收到的数据包得到的。
在本公开实施例中,其中:所述发起访问的服务包括与所述网络节点不同的另一网络节点提供的服务;所述被访问服务包括所述网络节点提供的服务;所述访问信息包括从所述另一网络节点发送到所述网络节点的数据包的源ip地址、源端口号、目的ip地址、目的端口号,所述源ip地址和源端口号用于确定所述发起访问的服务,所述目的ip地址和目的端口号用于确定所述相应的被访问服务。
在本公开实施例中,所述根据所述网络节点的访问信息,确定所述多个网络节点提供的服务之间的访问关系,包括:在学习状态下,根据所述网络节点的访问信息确定针对所述网络节点提供的指定服务的白名单,所述白名单是允许访问所述指定服务的可信服务的名单;将所述白名单发送到所述网络节点。
在本公开实施例中,所述第一确定模块还被配置为:在所述学习状态下,根据所述网络节点的访问信息更新所述白名单;在所述学习状态持续第一预设时间后,和/或在所述学习状态下的第二预设时间内所述白名单没有发生更新时,结束所述白名单的更新。
在本公开实施例中,所述第一确定模块还被配置为:在结束所述白名单的更新之后,进入保护状态;在所述保护状态下,指示所述网络节点仅允许白名单中的可信服务访问所述网络节点提供的所述指定服务。
在本公开实施例中,其中:所述第一获取模块还被配置为,在所述保护状态下,获取所述网络节点的拒绝访问信息,所述拒绝访问信息用于确定发起被所述网络节点拒绝的访问的可疑服务和相应的被访问服务的信息;所述第一确定模块还被配置为,确定是否将所述可疑服务作为可信服务更新所述白名单;将更新的白名单发送到所述网络节点。
根据本公开实施例提供的技术方案,通过网络节点的访问信息确定多个网络节点提供的服务之间的访问关系,解决了目前无法快速准确确定服务之间的访问关系,进而无法为微隔离提供高效的安全策略的技术问题。在本技术方案中,网络节点主动上报访问信息至服务器,服务器基于所述访问信息确定多个网络节点提供的服务之间的访问关系,提供了可快速准确确定服务之间的访问关系的方法。
图5示出根据本公开的实施例的控制对网络节点提供的服务的访问的装置500的结构框图。其中,该装置可以通过软件、硬件或者两者的结合实现成为电子设备的部分或者全部。该装置包括:
第二获取模块510,被配置为获取所述网络节点的访问信息,所述网络节点的访问信息包含用于确定发起访问的服务和相应的被访问服务的信息,所述网络节点的访问信息用于确定多个网络节点提供的服务之间的访问关系;
第二确定模块520,被配置为基于所述访问关系确定是否允许与所述网络节点不同的另一网络节点提供的服务访问所述网络节点提供的指定服务。
在本公开实施例中,所述第二获取模块还被配置为:通过解析所述网络节点接收到的数据包得到所述网络节点的访问信息。
在本公开实施例中,所述第二确定模块还被配置为:从指定服务器获取针对所述网络节点提供的指定服务的白名单,所述白名单是允许访问所述指定服务的可信服务的名单,所述白名单是根据所述网络节点的访问信息确定的;在第一状态下,向所述指定服务器发送不在所述白名单中的服务对所述网络节点提供的服务的访问信息,所述不在所述白名单中的服务对所述网络节点提供的服务的访问信息用于更新所述白名单;在所述第一状态下,接收更新的白名单。
在本公开实施例中,所述确定模块还被配置为:在所述白名单更新结束后,进入第二状态;在所述第二状态下,拒绝不在所述白名单中的可疑服务对所述网络节点提供的服务的访问;在所述第二状态下,向所述指定服务器发送所述可疑服务的访问信息;在所述第二状态下,从所述指定服务器接收更新的白名单,其中,当所述指定服务器确定将所述可疑服务作为可信服务更新所述白名单时,所述指定服务器向所述网络节点发送更新的白名单。
根据本公开实施例提供的技术方案,通过网络节点的访问信息确定多个网络节点提供的服务之间的访问关系,并基于所述访问关系确定是否允许与所述网络节点不同的另一网络节点提供的服务访问所述网络节点提供的指定服务,解决了目前无法快速准确确定服务之间的访问关系,进而无法为微隔离提供高效的安全策略的技术问题。在本技术方案中,网络节点基于所述访问关系确定是否允许与所述网络节点不同的另一网络节点提供的服务访问所述网络节点提供的指定服务,实现了基于服务之间的访问关系的安全隔离,提高了当前新的网络架构下东西向流量的安全性。
本领域技术人员可以理解,参照图4和图5描述的技术方案的可以与参照图1至图2描述的实施例结合,从而具备参照图1至图2描述的实施例所实现的技术效果。具体内容可以参照以上根据图1至图2进行的描述,其具体内容在此不再赘述。
前述实施例描述了数据处理装置和资源提供装置的内部功能和结构,在一个可能的设计中,数据处理装置和资源提供装置的结构可实现为电子设备,如图6中所示,该电子设备600可以包括处理器601以及存储器602。
所述存储器602用于存储支持与电子设备执行上述任一实施例中的语料生成方法或代码生成方法的程序,所述处理器601被配置为用于执行所述存储器602中存储的程序。
在本公开的一个实施例中,所述存储器602用于存储一条或多条计算机指令,其中,所述一条或多条计算机指令被所述处理器601执行以实现以下步骤:
获取所述网络节点的访问信息,所述网络节点的访问信息包含用于确定发起访问的服务和相应的被访问服务的信息;
根据所述网络节点的访问信息,确定所述多个网络节点提供的服务之间的访问关系。
根据本公开实施例提供的技术方案,通过网络节点的访问信息确定多个网络节点提供的服务之间的访问关系,解决了目前无法快速准确确定服务之间的访问关系,进而无法为微隔离提供高效的安全策略的技术问题。在本技术方案中,网络节点主动上报访问信息至服务器,服务器基于所述访问信息确定多个网络节点提供的服务之间的访问关系,提供了可快速准确确定服务之间的访问关系的方法。
在本公开的一个实施例中,所述存储器602用于存储一条或多条计算机指令,其中,所述一条或多条计算机指令被所述处理器601执行以实现以下步骤:
获取所述网络节点的访问信息,所述网络节点的访问信息包含用于确定发起访问的服务和相应的被访问服务的信息,所述网络节点的访问信息用于确定多个网络节点提供的服务之间的访问关系;
基于所述访问关系确定是否允许与所述网络节点不同的另一网络节点提供的服务访问所述网络节点提供的指定服务。
根据本公开实施例提供的技术方案,通过网络节点的访问信息确定多个网络节点提供的服务之间的访问关系,并基于所述访问关系确定是否允许与所述网络节点不同的另一网络节点提供的服务访问所述网络节点提供的指定服务,解决了目前无法快速准确确定服务之间的访问关系,进而无法为微隔离提供高效的安全策略的技术问题。在本技术方案中,网络节点基于所述访问关系确定是否允许与所述网络节点不同的另一网络节点提供的服务访问所述网络节点提供的指定服务,实现了基于服务之间的访问关系的安全隔离,提高了当前新的网络架构下东西向流量的安全性。
本公开示例性实施例还提供了一种计算机存储介质,用于储存所述定位装置所用的计算机软件指令,其包含用于执行上述任一实施例所涉及的程序,从而具备方法所带来的技术效果。
图7是适于用来实现根据本公开一实施方式的数据处理方法和资源提供方法的计算机系统的结构示意图。
如图7所示,计算机系统700包括处理单元(CPU、GPU、NPU、FPGA等)701,其可以根据存储在只读存储器(ROM)702中的程序或者从存储部分708加载到随机访问存储器(RAM)703中的程序而执行上述附图所示的实施方式中的各种处理。在RAM703中,还存储有系统700操作所需的各种程序和数据。处理单元701、ROM702以及RAM703通过总线704彼此相连。输入/输出(I/O)接口705也连接至总线704。
以下部件连接至I/O接口705:包括键盘、鼠标等的输入部分706;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分707;包括硬盘等的存储部分708;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分709。通信部分709经由诸如因特网的网络执行通信处理。驱动器710也根据需要连接至I/O接口705。可拆卸介质711,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器710上,以便于从其上读出的计算机程序根据需要被安装入存储部分708。
特别地,根据本公开的实施方式,上文参考附图描述的方法可以被实现为计算机软件程序。例如,本公开的实施方式包括一种计算机程序产品,其包括有形地包含在及其可读介质上的计算机程序,所述计算机程序包含用于执行附图中的方法的程序代码。在这样的实施方式中,该计算机程序可以通过通信部分709从网络上被下载和安装,和/或从可拆卸介质711被安装。附图中的流程图和框图,图示了按照本公开各种实施方式的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,路程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本公开实施方式中所涉及到的单元或模块可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的单元或模块也可以设置在处理器中,这些单元或模块的名称在某种情况下并不构成对该单元或模块本身的限定。
作为另一方面,本公开还提供了一种计算机可读存储介质,该计算机可读存储介质可以是上述实施方式中所述装置中所包含的计算机可读存储介质;也可以是单独存在,未装配入设备中的计算机可读存储介质。计算机可读存储介质存储有一个或者一个以上程序,所述程序被一个或者一个以上的处理器用来执行描述于本公开的方法,从而具备方法所带来的技术效果。
以上描述仅为本公开的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本公开中所涉及的发明范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离所述发明构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本公开中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。
Claims (13)
1.一种发现多个网络节点提供的服务之间的访问关系的方法,所述方法包括:
获取所述网络节点的访问信息,所述网络节点的访问信息包含用于确定发起访问的服务和相应的被访问服务的信息;
根据所述网络节点的访问信息,确定所述多个网络节点提供的服务之间的访问关系。
2.根据权利要求1所述的方法,其中:
所述获取所述网络节点的访问信息,包括:从所述网络节点获取所述网络节点的访问信息;
所述网络节点的访问信息是通过解析所述网络节点接收到的数据包得到的;
所述发起访问的服务包括与所述网络节点不同的另一网络节点提供的服务;
所述被访问服务包括所述网络节点提供的服务;
所述访问信息包括从所述另一网络节点发送到所述网络节点的数据包的源ip地址、源端口号、目的ip地址、目的端口号,所述源ip地址和源端口号用于确定所述发起访问的服务,所述目的ip地址和目的端口号用于确定所述相应的被访问服务。
3.根据权利要求1所述的方法,其中,所述根据所述网络节点的访问信息,确定所述多个网络节点提供的服务之间的访问关系,包括:
在学习状态下,根据所述网络节点的访问信息确定针对所述网络节点提供的指定服务的白名单,所述白名单是允许访问所述指定服务的可信服务的名单;
将所述白名单发送到所述网络节点。
4.根据权利要求3所述的方法,还包括:
在所述学习状态下,根据所述网络节点的访问信息更新所述白名单;
在所述学习状态持续第一预设时间后,和/或在所述学习状态下的第二预设时间内所述白名单没有发生更新时,结束所述白名单的更新。
5.根据权利要求4所述的方法,还包括:
在结束所述白名单的更新之后,进入保护状态;
在所述保护状态下,指示所述网络节点仅允许白名单中的可信服务访问所述网络节点提供的所述指定服务。
6.根据权利要求5所述的方法,还包括:
在所述保护状态下,获取所述网络节点的拒绝访问信息,所述拒绝访问信息用于确定发起被所述网络节点拒绝的访问的可疑服务和相应的被访问服务的信息;
确定是否将所述可疑服务作为可信服务更新所述白名单;
将更新的白名单发送到所述网络节点。
7.一种控制对网络节点提供的服务的访问的方法,包括:
获取所述网络节点的访问信息,所述网络节点的访问信息包含用于确定发起访问的服务和相应的被访问服务的信息,所述网络节点的访问信息用于确定多个网络节点提供的服务之间的访问关系;
基于所述访问关系确定是否允许与所述网络节点不同的另一网络节点提供的服务访问所述网络节点提供的指定服务。
8.根据权利要求7所述的方法,还包括:
通过解析所述网络节点接收到的数据包得到所述网络节点的访问信息;
从指定服务器获取针对所述网络节点提供的指定服务的白名单,所述白名单是允许访问所述指定服务的可信服务的名单,所述白名单是根据所述网络节点的访问信息确定的;
在第一状态下,向所述指定服务器发送不在所述白名单中的服务对所述网络节点提供的服务的访问信息,所述不在所述白名单中的服务对所述网络节点提供的服务的访问信息用于更新所述白名单;
在所述第一状态下,接收更新的白名单。
9.根据权利要求8所述的方法,还包括:
在所述白名单更新结束后,进入第二状态;
在所述第二状态下,拒绝不在所述白名单中的可疑服务对所述网络节点提供的服务的访问;
在所述第二状态下,向所述指定服务器发送所述可疑服务的访问信息;
在所述第二状态下,从所述指定服务器接收更新的白名单,其中,当所述指定服务器确定将所述可疑服务作为可信服务更新所述白名单时,所述指定服务器向所述网络节点发送更新的白名单。
10.一种发现多个网络节点提供的服务之间的访问关系的装置,所述装置包括:
第一获取模块,被配置为获取所述网络节点的访问信息,所述网络节点的访问信息包含用于确定发起访问的服务和相应的被访问服务的信息;
第一确定模块,被配置为根据所述网络节点的访问信息,确定所述多个网络节点提供的服务之间的访问关系。
11.一种控制对网络节点提供的服务的访问的装置,包括:
第二获取模块,被配置为获取所述网络节点的访问信息,所述网络节点的访问信息包含用于确定发起访问的服务和相应的被访问服务的信息,所述网络节点的访问信息用于确定多个网络节点提供的服务之间的访问关系;
第二确定模块,被配置为基于所述访问关系确定是否允许与所述网络节点不同的另一网络节点提供的服务访问所述网络节点提供的指定服务。
12.一种电子设备,其特征在于,包括存储器和处理器;其中,所述存储器用于存储一条或多条计算机指令,其中,所述一条或多条计算机指令被所述处理器执行以实现权利要求1-9任一项所述的方法步骤。
13.一种可读存储介质,其上存储有计算机指令,其特征在于,该计算机指令被处理器执行时实现权利要求1-9任一项所述的方法步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111493944.3A CN114125039A (zh) | 2021-12-08 | 2021-12-08 | 服务之间访问关系的发现与控制方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111493944.3A CN114125039A (zh) | 2021-12-08 | 2021-12-08 | 服务之间访问关系的发现与控制方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114125039A true CN114125039A (zh) | 2022-03-01 |
Family
ID=80363398
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111493944.3A Pending CN114125039A (zh) | 2021-12-08 | 2021-12-08 | 服务之间访问关系的发现与控制方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114125039A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114938303A (zh) * | 2022-05-20 | 2022-08-23 | 国网电力科学研究院有限公司 | 一种适用于电网调控云平台的微隔离安全防护方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140269724A1 (en) * | 2013-03-04 | 2014-09-18 | Telefonaktiebolaget L M Ericsson (Publ) | Method and devices for forwarding ip data packets in an access network |
| CN111835789A (zh) * | 2020-07-28 | 2020-10-27 | 北京金山云网络技术有限公司 | 一种服务鉴权方法、装置、设备、系统及存储介质 |
| CN112231120A (zh) * | 2020-10-17 | 2021-01-15 | 苏州斯玛维科技有限公司 | 服务访问方法和装置 |
| CN112564967A (zh) * | 2020-12-02 | 2021-03-26 | 杭州谐云科技有限公司 | 基于eBPF的云服务拓扑自发现方法及系统、电子设备、存储介质 |
| CN112989325A (zh) * | 2021-03-12 | 2021-06-18 | 远光软件股份有限公司 | 服务调用方法、装置、存储介质和电子设备 |
-
2021
- 2021-12-08 CN CN202111493944.3A patent/CN114125039A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140269724A1 (en) * | 2013-03-04 | 2014-09-18 | Telefonaktiebolaget L M Ericsson (Publ) | Method and devices for forwarding ip data packets in an access network |
| CN111835789A (zh) * | 2020-07-28 | 2020-10-27 | 北京金山云网络技术有限公司 | 一种服务鉴权方法、装置、设备、系统及存储介质 |
| CN112231120A (zh) * | 2020-10-17 | 2021-01-15 | 苏州斯玛维科技有限公司 | 服务访问方法和装置 |
| CN112564967A (zh) * | 2020-12-02 | 2021-03-26 | 杭州谐云科技有限公司 | 基于eBPF的云服务拓扑自发现方法及系统、电子设备、存储介质 |
| CN112989325A (zh) * | 2021-03-12 | 2021-06-18 | 远光软件股份有限公司 | 服务调用方法、装置、存储介质和电子设备 |
Non-Patent Citations (1)
| Title |
|---|
| ZQIXIAO_09: ""Linux网络协议栈开发(七)—Netfilter概述及其hook点"", 《HTTPS://BLOG.CSDN.NET/ZQIXIAO_09/CATEGORY_7400580.HTML》 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114938303A (zh) * | 2022-05-20 | 2022-08-23 | 国网电力科学研究院有限公司 | 一种适用于电网调控云平台的微隔离安全防护方法 |
| CN114938303B (zh) * | 2022-05-20 | 2023-10-20 | 国网电力科学研究院有限公司 | 一种适用于电网调控云平台的微隔离安全防护方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10187459B2 (en) | Distributed load balancing system, health check method, and service node | |
| US10798218B2 (en) | Environment isolation method and device | |
| US7770208B2 (en) | Computer-implemented method, apparatus, and computer program product for securing node port access in a switched-fabric storage area network | |
| EP3493472B1 (en) | Network function (nf) management method and nf management device | |
| US12003364B2 (en) | Compromised network node detection system | |
| US20110276597A1 (en) | Decoy application servers | |
| CN109379347B (zh) | 一种安全防护方法及设备 | |
| US10581619B2 (en) | Certificate management method, device, and system | |
| US9898327B2 (en) | Compute node supporting virtual machines and services | |
| WO2023193513A1 (zh) | 蜜罐网络运行方法、装置、设备及存储介质 | |
| US20210312472A1 (en) | Method and system for prediction of smart contract violation using dynamic state space creation | |
| CN112351022B (zh) | 信任区的安全防护方法及装置 | |
| US20200344057A1 (en) | Cybersecurity guard for core network elements | |
| CN111885031A (zh) | 一种基于会话过程的细粒度访问控制方法及系统 | |
| CN114125039A (zh) | 服务之间访问关系的发现与控制方法和装置 | |
| US11012296B2 (en) | Handling unsolicited requests from devices | |
| CN115941795A (zh) | 数据传输方法、装置、电子设备及存储介质 | |
| CN111245772B (zh) | Cname处理方法、装置及电子设备 | |
| US20230208803A1 (en) | Ip address control system | |
| CN116910704A (zh) | 一种数据平台的许可校验方法、装置、设备及介质 | |
| CN118660001A (zh) | 路由配置方法、装置、电子设备及存储介质 | |
| CN117938437A (zh) | 微隔离防护方法、装置、存储介质及电子设备 | |
| US20190013994A1 (en) | Lightweight software management shell | |
| CN115243291A (zh) | 数据处理方法、装置、设备以及计算机存储介质 | |
| CN115987534A (zh) | 一种资源访问方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20220301 |
|
| RJ01 | Rejection of invention patent application after publication |