CN114710308B - 一种网络设备访问的控制方法及系统 - Google Patents
一种网络设备访问的控制方法及系统 Download PDFInfo
- Publication number
- CN114710308B CN114710308B CN202111146928.7A CN202111146928A CN114710308B CN 114710308 B CN114710308 B CN 114710308B CN 202111146928 A CN202111146928 A CN 202111146928A CN 114710308 B CN114710308 B CN 114710308B
- Authority
- CN
- China
- Prior art keywords
- access
- port
- external
- value
- coefficient
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及计算机网络技术领域,尤其是涉及一种网络设备的访问控制方法及系统,控制方法包括以下步骤:拦截访问信息;根据预设白名单,计算所述访问信息的可信度值;比较所述可信度值和访问阈值;若所述可信度值小于所述访问阈值,则解除对所述访问信息的拦截;若所述可信度值大于或等于所述访问阈值,则保持对所述访问信息的拦截。本发明提供的网络设备访问的控制方法及系统,通过白名单计算可信度值,将可信度值与访问阈值比较,从而实现对网络设备向外访问或者外部访问网络设备的有效控制。
Description
技术领域
本发明涉及计算机网络技术领域,尤其是涉及一种网络设备访问的控制方法及系统。
背景技术
随着智能终端普及程度的提高和网络覆盖程度的增加,各种网络设备的应用广度以及使用规模也在不断扩大,网络设备与终端或者其它网络设备之间,可以借助网络进行互相访问,从而满足在一些需要远程进行的设备运行要求或者数据获取要求。例如可借助网络摄像头完成远程视频获取,或者可借助网络温度检测仪完成远程温度监测等。
在传统技术中,是采用给网络设备赋予一个IP地址的方式,此IP地址对应于一个相对固定的网络环境。外界与网络设备之间进行互访时,通过彼此的IP地址作为互访的基础依据,即通过IP地址实现远程操作或控制的目的。
但是由于网络设备具备了IP地址,那么从理论上而言,任何用户或者设备均可以通过此IP地址访问此网络设备,同样反过来,此网络设备也由于有了IP地址可以访问其它的用户或者设备。而在大多数时候,这些网络设备均是有其固定的作用或者其获取的数据是有一定的保密要求,因此如何让网络设备只接受有效的许可访问,或者让网络设备只访问收许可的其它设备,减少无效操作或者泄密情况的发生几率,便成为影响网络设备的应用及推广的重要因素。
因此,为了解决此问题,提供一种网络设备访问的控制方法及系统,是本领域技术人员函待解决的问题。
发明内容
为了让网络设备只接受有效的许可访问,或者让网络设备只访问收许可的其它设备,减少无效操作或者泄密情况的发生几率,本发明提供了一种网络设备访问的控制方法,包括以下步骤:
拦截访问信息;
根据预设白名单,计算所述访问信息的可信度值;
比较所述可信度值和访问阈值;
若所述可信度值小于所述访问阈值,则解除对所述访问信息的拦截;
若所述可信度值大于或等于所述访问阈值,则保持对所述访问信息的拦截。
通过上述技术方案,将网络设备向外的访问信息,或者外部访问网络设备的访问信息进行拦截,拦截后根据之前预先设置好的白名单,计算访问信息的可信度值。然后将计算出的可信度值与预先设置好的访问阈值进行比较,根据比较结果选择对访问信息的后续操作。即通过白名单计算可信度值,将可信度值与访问阈值比较,从而实现对网络设备向外访问或者外部访问网络设备的有效控制。
如果可信度值小于访问阈值,则解除拦截,让访问信息按照计划继续访问操作。反之,则保持拦截,阻止访问信息按照计划进行访问操作。
优选的,所述根据预设白名单,计算所述访问信息的可信度值具体为:
获取所述访问信息中的外部IP;
在所述预设白名单中查询所述外部IP;
若IP查询命中,则将所述可信度值置为所述访问阈值与第一地址系数的乘积;
若IP查询未命中,则将所述可信度值置为所述访问阈值与第二地址系数的乘积;
其中,所述第一地址系数小于1,所述第二地址系数大于1。
通过上述技术方案,将访问信息中的外部IP在预设白名单中进行查询,根据IP查询结果将访问阈值分别与第一地址系数或第二地址系数相乘,将乘积作为此访问信息的可信度值,而由于第一地址系数小于1,及第二地址系数大于1,使得乘积即可信度值会出现小于访问阈值及大于访问阈值的两种不同结果,从而实现针对外部IP的访问控制。
进一步的,所述若IP查询未命中,则将所述可信度值置为所述访问阈值与第二地址系数的乘积具体为:
若IP查询未命中,则判断所述外部IP是否为虚假地址;
若为虚假地址,则将所述可信度值置为所述访问阈值与第三地址系数的乘积;
若为真实地址,则将所述可信度值置为所述访问阈值与第二地址系数的乘积;
其中,所述第三地址系数大于所述第二地址系数且大于1。
通过上述技术方案,当外部IP未在IP查询中命中时,进一步判断此外部IP是否为虚假地址,根据判断结果将访问阈值分别与第二地址系数或第三地址系数相乘,将乘积作为此访问信息的可信度值,而由于第三地址系数大于第二地址系数且大于1,使得乘积即可信度值会出现均大于访问阈值,但虚假地址对应的可信度值大于真是地址对应的可信度值的结果,从而实现针对虚假地址与否,来决定拦截时间或者其它策略的访问控制。
优选的,所述若IP查询命中,则将所述可信度值置为所述访问阈值与第一地址系数的乘积具体为:
若IP查询命中,则获得所述访问信息中的外部端口;
根据所述外部IP,在预设白名单中查询所述外部端口;
若端口查询命中,则将所述可信度值置为所述访问阈值与所述第一地址系数的乘积;
若端口查询未命中,则计算所述访问阈值与所述第一地址系数的乘积,以及所述访问阈值与第一端口系数的乘积,并将所述可信度值置为两个乘积的和值;
其中,所述第一端口系数小于1。
通过上述技术方案,当外部IP在IP查询命中时,进一步将此外部IP的外部端口在预设白名单中进行端口查询,根据端口查询结果可信度值的计算不同。未命中相较于命中,可信度值多了个访问阈值与第一端口系数的乘积,很明显,端口查询未命中的可信度值大于命中的可信度值,从而实现当外部IP在预设白名单时,而对应的外部端口不在预设白名单中的访问控制。
进一步的,所述若端口查询命中,则将所述可信度值置为所述访问阈值与所述第一地址系数的乘积具体为:
若端口查询命中,则判断所述外部端口是否为虚假端口;
若为虚假端口,则计算所述访问阈值与所述第一地址系数的乘积,以及所述访问阈值与第二端口系数的乘积,并将所述可信度值置为两个乘积的和值;
若为真实端口,则将所述可信度值置为所述访问阈值与所述第一地址系数的乘积;
其中,所述第二端口系数大于所述第一端口系数且小于1。
通过上述技术方案,当端口查询命中时,则根据判断外部端口是否为虚假端口,根据判断结果可信度值的计算不同。虚假端口的可信度值相较于真实端口,多了个访问阈值与第二端口系数的乘积,很显然,虚假端口的可信度值大于真实端口的可信度值,且由于第二端口系数大于第一端口系数也会大于端口查询未命中的可信度值,从而实现访问控制中对虚假端口、真实端口及端口查询未命中的区别控制。
优选的,还包括:
记录保持拦截的所述访问消息中对应的所述外部IP;
获取所述外部IP的记录次数;
比较所述记录次数与次数阈值;
若所述记录次数大于所述次数阈值,则将所述外部IP添加至黑名单中。
通过上述技术方案,在对可信度值大于或等于访问阈值的访问信息保持拦截后,记录其对应的外部IP,然后获取此外部IP的记录次数并与预先设置的次数阈值比较,若大于次数阈值,则将此外部IP添加至黑名单,从而实现在预设白名单之外,还能够提前预设好黑名单作为拦截名单。
进一步的,在所述获取所述访问信息中的外部IP之后,还包括:
在所述黑名单中查询所述外部IP;
若查询命中,则保持对所述访问信息的拦截并中断执行;
若查询未命中,则进入下一步。
通过上述技术方案,在获取外部IP后,直接在黑名单中查询,若查询命中,则保持拦截并中断执行后续步骤,从而实现在进行可信度值计算之前,就可以根据黑名单对屡次对网络设备进行非法访问的提前拦截,减少计算可信度值所耗费的资源,提高访问控制效率。
优选的,在所述拦截访问信息之后,还包括:
获取所述访问信息中的外部设备号;
根据所述外部设备号,判断外部设备是否为虚假设备;
若为虚假设备,则保持对所述访问信息的拦截并中断执行;
若为真实设备,则进入下一步。
通过上述技术方案,在进行外部IP获取及计算可信度值之前,先获取外部设备号,根据外部设备号判断是否为虚假设备,若为虚假设备,则保持拦截并中断执行后续步骤,从而实现在进行可信度值计算之前,就可以根据外部设备号对虚假设备进行提前拦截,减少计算可信度值所耗费的资源,提高访问控制效率。
优选的,在所述若所述可信度值大于或等于所述访问阈值,则保持对所述访问信息的拦截之后,还包括:
将拦截的所述访问信息发送至虚假节点。
通过上述技术方案,将由于可信度值大于或等于访问阈值被拦截的访问信息,发送至虚假节点,让这些访问信息不会一直保存在拦截状态,其发送至虚假节点后,可以让虚假节点发送一个回复信息,形成一个消息传输闭环,从而避免由于访问信息被拦截而无回复,导致对应的外部访问来源或网络设备的对外访问一致保持等待回复的状态,占用端口或者系统资源,同时也能实现在某种需求下,期望能够更多获取此种访问的其它可分析内容,具体方式在此不再累述。
基于相同目的,本发明还提供了一种网络设备访问的控制系统,包括:
拦截模块,用于拦截访问信息;
计算模块,用于根据预设白名单,计算所述访问信息的可信度值;
比较模块,用于比较所述可信度值和访问阈值;
处理模块,用于根据比较结果控制所述拦截模块;
若所述比较结果为所述可信度值小于所述访问阈值,则所述处理模块控制所述拦截模块,解除对所述访问信息的拦截;
若所述比较结果为所述可信度值大于或等于所述访问阈值,则所述处理模块控制所述拦截模块,保持对所述访问信息的拦截。
通过上述技术方案,拦截模块将网络设备向外的访问信息,或者外部访问网络设备的访问信息进行拦截,拦截后计算模块根据之前预先设置好的白名单,计算访问信息的可信度值。然后比较模块将计算出的可信度值与预先设置好的访问阈值进行比较,处理模块根据比较结果控制拦截模块,选择对访问信息的后续操作。即通过白名单计算可信度值,将可信度值与访问阈值比较,从而实现对网络设备向外访问或者外部访问网络设备的有效控制。
如果可信度值小于访问阈值,则处理模块控制拦截模块解除拦截,让访问信息按照计划继续访问操作。反之,则处理模块控制拦截模块保持拦截,阻止访问信息按照计划进行访问操作。
综上所述,本申请通过将网络设备向外的访问信息,或者外部访问网络设备的访问信息进行拦截,拦截后根据之前预先设置好的白名单,计算访问信息的可信度值。然后将计算出的可信度值与预先设置好的访问阈值进行比较,根据比较结果选择对访问信息的后续操作。即通过白名单计算可信度值,将可信度值与访问阈值比较,从而实现对网络设备向外访问或者外部访问网络设备的有效控制。
附图说明
图1是本申请实施例的控制方法的其中一种实施方式的流程示意图;
图2是本申请实施例的控制方法的其中一种实施方式的流程示意图;
图3是本申请实施例的控制方法的其中一种实施方式的流程示意图;
图4是本申请实施例的控制方法的其中一种实施方式的流程示意图;
图5是本申请实施例的控制方法的其中一种实施方式的流程示意图;
图6是本申请实施例的控制方法的其中一种实施方式的流程示意图;
图7是本申请实施例的控制系统的其中一种实施方式的示意图;
图8是本申请实施例的控制系统的其中一种实施方式的示意图。
具体实施方式
为了使本技术领域的人员更好地理解本申请中的技术方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
本发明实施例提供了一种网络设备访问的控制方法,如图1所示,包括以下步骤:
S101.拦截访问信息;
S102.根据预设白名单,计算访问信息的可信度值;
S103.比较可信度值和访问阈值;
S104.若可信度值小于访问阈值,则解除对访问信息的拦截;
S105.若可信度值大于或等于访问阈值,则保持对访问信息的拦截。
需要说明的是不止单独指网络设备访问其它设备或外部的设备及网络,其它设备或外部的设备及网络对网络设备的访问,这些访问所附带的访问信息都属于步骤S101中所说的访问信息。
而步骤S102中的预设白名单,其中所包括的内容至少包含网络设备通常所访问的少量特定路径,例如其所在内网的特定终端、服务器或者其它辅助设备,以及协同设备等,当然也可以包括一些外网的设备或其它装置等,具体的内容可以根据实际需要进行设置,在此不再累述。
步骤S102中的可信度值,其代表这个访问信息的可信程度,可信度值则表示需要对可信程度,按照一定算法进行计算或赋值。在本实施例中可以采用访问信息中的不同标识,作为可信度值的计算参数,这些标识包括但不限于IP地址、端口和设备标识。
步骤S103中的访问阈值是预先设置的数值,用于作为一个判断依据值,利用其与可信度值之间的大小关系,来决定这个可信度值所对应的访问消息是否属于正常访问。当然,这个正常访问与否,可以根据不同的访问阈值而改变,访问阈值可以不是一成不变的,即其可以根据具体的网络环境和安全防控要求来进行变化。
而步骤S104和步骤S105则是根据可信度值与访问阈值之间的大小关系,决定对访问信息的后续处理,即保持拦截或者解除拦截。解除拦截后,会让访问信息按照计划继续访问操作。保持拦截则反之,会阻止访问信息按照计划进行访问操作。
在实际使用中,会根据设备类型(摄像头、传感器)划定一类设备,根据网络布局(物理隔离的局域网)划定一类设备;为每一类设备设定一个可信白名单,白名单包括可信端口和可信IP等设备标识或网络标示。
通过上述技术方案,将网络设备向外的访问信息,或者外部访问网络设备的访问信息进行拦截,拦截后根据之前预先设置好的白名单,计算访问信息的可信度值。然后将计算出的可信度值与预先设置好的访问阈值进行比较,根据比较结果选择对访问信息的后续操作。即通过白名单计算可信度值,将可信度值与访问阈值比较,从而实现对网络设备向外访问或者外部访问网络设备的有效控制。
如果可信度值小于访问阈值,则解除拦截,让访问信息按照计划继续访问操作。反之,则保持拦截,阻止访问信息按照计划进行访问操作。
本申请实施例的其中一种实施方式中,如图2所示,步骤S102即根据预设白名单,计算访问信息的可信度值具体为:
S201.获取访问信息中的外部IP;
S202.在预设白名单中查询外部IP;
S203.若IP查询命中,则将可信度值置为访问阈值与第一地址系数的乘积;
S204.若IP查询未命中,则将可信度值置为访问阈值与第二地址系数的乘积;
其中,第一地址系数小于1,第二地址系数大于1。
此处采用IP作为可信度值的计算参数,但是在实际场景中,不管是网络设备向外的访问,还是外部对网络设备的访问,其访问信息中会包含源IP和目的IP,不同的访问方向,网络设备本身IP可以是源IP,也可以是目的IP,因此本实施方式中采用外部IP作为实际的计算参数。即在访问信息中,除网络设备本身IP外的IP地址,均可以视为外部IP,此外部的含义,不是指网络设备本身网络之外,而是相较于网络设备本身之外。
实际使用中,是以查询外部IP是否在预设白名单中为原则,以访问阈值作为基准值,然后对IP查询命中与否分别对应第一地址系数和第二地址系数作为权重值,且在本实施例中第一地址系数小于1而第二地址系数大于1,因此,IP查询命中即表示外部IP在预设白名单中,其采用小于1的第一地址系数与访问阈值的乘积作为可信度值,其必然是小于访问阈值;而IP查询未命中即表示外部IP不在预设白名单中,其采用大于1的第二地址系数与访问阈值的乘积作为可信度值,其必然是大于访问阈值,以便实现解除拦截外部IP在预设白名单中的访问信息,保持拦截外部IP不在预设白名单中的访问信息,从而实现根据IP地址对网络设备向外访问或者外部访问网络设备的有效控制。
当然,可信度值的计算方式或者方法,可以根据实际需要进行选择。例如,采用其它预设值作为基准值,再结合各种系数作为权重值的方式来计算可信度值;或者,对访问消息中的各种标识在预设白名单中是否存在为参考,存在则对应一个标识预设值,不存在则对应另一个标识预设值,而这些标识预设值都会预先保存在预设值清单中,即只需根据标识在预设白名单中进行对应查询,根据查询结果再与预设清单中比对,比对所得到的一个标识预设值或者多个标识预设值的和值,作为此访问消息的可信度值。
通过上述技术方案,将访问信息中的外部IP在预设白名单中进行查询,根据IP查询结果将访问阈值分别与第一地址系数或第二地址系数相乘,将乘积作为此访问信息的可信度值,而由于第一地址系数小于1,及第二地址系数大于1,使得乘积即可信度值会出现小于访问阈值及大于访问阈值的两种不同结果,从而实现针对外部IP的访问控制。
本申请实施例的其中一种实施方式中,如图3所示,步骤S204即若IP查询未命中,则将可信度值置为访问阈值与第二地址系数的乘积具体为:
S301.若IP查询未命中,则判断外部IP是否为虚假地址;
S302.若为虚假地址,则将可信度值置为访问阈值与第三地址系数的乘积;
S303.若为真实地址,则将可信度值置为访问阈值与第二地址系数的乘积;
其中,第三地址系数大于第二地址系数且大于1。
此处的虚假地址,是指的相对于真实地址即真实IP之外的虚假IP,由于虚假IP一般被作为IP欺骗手段,即通过伪造的IP地址,以便冒充其他系统或传输者的身份,属于网络的一种攻击形式,因此其可信度值定然要大于真实IP的可信度值。
在本实施例中,若外部IP为虚假地址,则将可信度值置为访问阈值与第三地址系数的乘积,由于第三地址系数大于第二地址系数且大于1,而第二地址系数对应的是真实地址的可信度值计算系数,使得虚假地址的可信度值大于真实地址的可信度值。
通过上述技术方案,当外部IP未在IP查询中命中时,进一步判断此外部IP是否为虚假地址,根据判断结果将访问阈值分别与第二地址系数或第三地址系数相乘,将乘积作为此访问信息的可信度值,而由于第三地址系数大于第二地址系数且大于1,使得乘积即可信度值会出现均大于访问阈值,但虚假地址对应的可信度值大于真是地址对应的可信度值的结果,从而实现针对虚假地址与否,来决定拦截时间或者其它策略的访问控制。
本申请实施例的其中一种实施方式中,如图4所示,步骤S203即若IP查询命中,则将可信度值置为访问阈值与第一地址系数的乘积具体为:
S401.若IP查询命中,则获得访问信息中的外部端口;
S402.根据外部IP,在预设白名单中查询外部端口;
S403.若端口查询命中,则将可信度值置为访问阈值与第一地址系数的乘积;
S404.若端口查询未命中,则计算访问阈值与第一地址系数的乘积,以及访问阈值与第一端口系数的乘积,并将可信度值置为两个乘积的和值;
其中,第一端口系数小于1。
在将外部端口作为标识计算可信度值时,若此外部端口不在预设白名单中,则表明即使此外部IP在预设白名单中,但对应的外部端口也不属于安全访问,此时的可信度值必然要比外部端口在预设白名单中要高。因此,端口查询未命中时,其可信度值置为访问阈值分别与第一地址系数和第一端口系数相乘,所得到的两个乘积的和值,其大于访问阈值与第一地址系数的乘积。
本实施例中的外部端口,在参与查询时,可以采用端口名称或者端口号,例如FTP的端口号为23,查询可用FTP作为查询字段,也可以采用23作为查询字段,再如HTTP的端口号为443等,具体在此不再累述。
通过上述技术方案,当外部IP在IP查询命中时,进一步将此外部IP的外部端口在预设白名单中进行端口查询,根据端口查询结果可信度值的计算不同。未命中相较于命中,可信度值多了个访问阈值与第一端口系数的乘积,很明显,端口查询未命中的可信度值大于命中的可信度值,从而实现当外部IP在预设白名单时,而对应的外部端口不在预设白名单中的访问控制。
本申请实施例的其中一种实施方式中,如图4所示,步骤S403即若端口查询命中,则将可信度值置为访问阈值与第一地址系数的乘积具体为:
S501.若端口查询命中,则判断外部端口是否为虚假端口;
S502.若为虚假端口,则计算访问阈值与第一地址系数的乘积,以及访问阈值与第二端口系数的乘积,并将可信度值置为两个乘积的和值;
S503.若为真实端口,则将可信度值置为访问阈值与第一地址系数的乘积;
其中,第二端口系数大于第一端口系数且小于1。
此处的虚假端口,是指的相对于真实端口之外的虚假端口,由于虚假端口一般被作为端口欺骗手段,即通过伪造的端口号,以便冒充具备具体服务的其他真实端口或传输者的身份,属于网络的一种攻击形式,因此其可信度值定然要大于真实端口的可信度值。
在本实施例中,若外部端口为虚假端口,则将可信度值置为访问阈值分别与第一地址系数及第二端口系数相乘的和值,由于第二端口系数大于第一端口系数且大于1,而真实端口的可信度值为访问阈值与第一地址系数的乘积,使得虚假端口的可信度值大于真实端口的可信度值。
通过上述技术方案,当端口查询命中时,则根据判断外部端口是否为虚假端口,根据判断结果可信度值的计算不同。虚假端口的可信度值相较于真实端口,多了个访问阈值与第二端口系数的乘积,很显然,虚假端口的可信度值大于真实端口的可信度值,且由于第二端口系数大于第一端口系数也会大于端口查询未命中的可信度值,从而实现访问控制中对虚假端口、真实端口及端口查询未命中的区别控制。
需要注意的是,白名单是可以预先设置以及自定义其中的内容,其内容也可以根据不同的控制要求进行更改,例如安全要求等级更高的军队涉密场景中,可以将包含不在白名单中的任何外部IP、外部端口,以及任何虚假地址、虚假端口中其中一个标识的访问信息均进行拦截,而其它安全要求等级相对低的如零售超市场景中,可以将外部IP在白名单中但外部接口不在白名单中的访问信息认定为安全访问,从而解除对应访问消息的拦截。
在本实施例中,对于不同安全等级要求的处理,实际上可以根据改变各个标识系数的赋值大小来适应的,这些标识系数包含上述的地址系数、端口系数外,还可以包括其它例如设备标识号系数等,具体的设置及类型在此不再累述。
本申请实施例的其中一种实施方式中,如图5所示,还包括:
S601.记录保持拦截的访问消息中对应的外部IP;
S602.获取外部IP的记录次数;
S603.比较记录次数与次数阈值;
S604.若记录次数大于次数阈值,则将外部IP添加至黑名单中。
相较于白名单作为可信的安全名单,黑名单则是作为相反的名单所存在,即在黑名单中的标识,可以认为是不安全标识。当然,与白名单一样,黑名单也可以包括多个标识,其具体设置及类型可参考之前对白名单的描述内容,在此不再累述。
本实施例中,对保持拦截的每个外部IP记录相应的次数,而在下一次仍然拦截到此外部IP时,则在其对应的记录次数上加1作为其更新后的记录次数,然后将更新后的记录次数与预先设置好的次数阈值比较,若大于次数阈值,则将其添加至黑名单中。
需要注意的是,在步骤S604之后,由于黑名单进行了更新,此时需要返回步骤S101进行下一次控制方法的循环,同时调取更新后的黑名单。
当然,除开外部IP这个标识,也可以包括外部端口、虚假地址和虚假端口这些标识,甚至包括设备标识号等其它标识,具体类型在此不再累述。
通过上述技术方案,在对可信度值大于或等于访问阈值的访问信息保持拦截后,记录其对应的外部IP,然后获取此外部IP的记录次数并与预先设置的次数阈值比较,若大于次数阈值,则将此外部IP添加至黑名单,从而实现在预设白名单之外,还能够提前预设好黑名单作为拦截名单。
本申请实施例的其中一种实施方式中,如图5所示,在步骤S201即获取访问信息中的外部IP之后,还包括:
S701.在黑名单中查询外部IP;
S702.若查询命中,则保持对访问信息的拦截并中断执行;
若查询未命中,则进入下一步。
在本实施例中,保持拦截后并中断执行,即不再执行后续步骤,也即黑名单的处理优先级大于白名单。
通过上述技术方案,在获取外部IP后,直接在黑名单中查询,若查询命中,则保持拦截并中断执行后续步骤,从而实现在进行可信度值计算之前,就可以根据黑名单对屡次对网络设备进行非法访问的提前拦截,减少计算可信度值所耗费的资源,提高访问控制效率。
本申请实施例的其中一种实施方式中,如图6所示,在步骤S101即拦截访问信息之后,还包括:
S801.获取访问信息中的外部设备号;
S802.根据外部设备号,判断外部设备是否为虚假设备;
S803.若为虚假设备,则保持对访问信息的拦截并中断执行;
若为真实设备,则进入下一步。
在实际使用中,各个设备都可以设置一个对应的设备号,也可以称为设备标识号,也就可以将常规访问的设备进行记录,或者内设一种根据设备号的命名规则,不属于常规访问或者不符合命名规则的设备号均作为虚假设备进行判定。
通过上述技术方案,在进行外部IP获取及计算可信度值之前,先获取外部设备号,根据外部设备号判断是否为虚假设备,若为虚假设备,则保持拦截并中断执行后续步骤,从而实现在进行可信度值计算之前,就可以根据外部设备号对虚假设备进行提前拦截,减少计算可信度值所耗费的资源,提高访问控制效率。
本申请实施例的其中一种实施方式中,如图6所示,在步骤S105即若可信度值大于或等于访问阈值,则保持对访问信息的拦截之后,还包括:
S901.将拦截的访问信息发送至虚假节点。
在本实施例中,虚假节点为知名即常用的端口,端口的服务是虚假的,端口号是真实的,使得回复消息中包含的端口号是真实的,但是由于其端口是虚假服务,因此不会因接收了访问消息而触发消息中所对应的服务处理,即保障了消息闭环也避免了服务被异常调用。
通过上述技术方案,将由于可信度值大于或等于访问阈值被拦截的访问信息,发送至虚假节点,让这些访问信息不会一直保存在拦截状态,其发送至虚假节点后,可以让虚假节点发送一个回复信息,形成一个消息传输闭环,从而避免由于访问信息被拦截而无回复,导致对应的外部访问来源或网络设备的对外访问一致保持等待回复的状态,占用端口或者系统资源,同时也能实现在某种需求下,期望能够更多获取此种访问的其它可分析内容,具体方式在此不再累述。
基于相同目的,本发明还提供了一种网络设备访问的控制系统,如图7所示,包括:
拦截模块1,用于拦截访问信息;
计算模块2,用于根据预设白名单,计算访问信息的可信度值;
比较模块3,用于比较可信度值和访问阈值;
处理模块4,用于根据比较结果控制拦截模块1;
若比较结果为可信度值小于访问阈值,则处理模块4控制拦截模块1,解除对访问信息的拦截;
若比较结果为可信度值大于或等于访问阈值,则处理模块4控制拦截模块1,保持对访问信息的拦截。
在实际使用中,拦截模块1通过拦截外部设备向网络设备发来的访问消息,或者拦截网络设备向外访问外部设备的访问消息,来获得访问消息中的各种标识,拦截模块1可以为设置在网络设备和其它设备或网络之间的实体模块,也可以是安装在网络设备上的软件模块。
通过上述技术方案,拦截模块1将网络设备向外的访问信息,或者外部访问网络设备的访问信息进行拦截,拦截后计算模块2根据之前预先设置好的白名单,计算访问信息的可信度值。然后比较模块3将计算出的可信度值与预先设置好的访问阈值进行比较,处理模块4根据比较结果控制拦截模块1,选择对访问信息的后续操作。即通过白名单计算可信度值,将可信度值与访问阈值比较,从而实现对网络设备向外访问或者外部访问网络设备的有效控制。
如果可信度值小于访问阈值,则处理模块4控制拦截模块1解除拦截,让访问信息按照计划继续访问操作。反之,则处理模块4控制拦截模块1保持拦截,阻止访问信息按照计划进行访问操作。
本申请实施例的其中一种实施方式中,如图8所示,计算模块2还包括:
获取单元21,用于获取访问信息中的外部IP;
查询单元22,用于在预设白名单中查询外部IP;
赋值单元23,用于根据IP查询结果给可信度值赋值;
若IP查询命中,则赋值单元23将可信度值置为访问阈值与第一地址系数的乘积;
若IP查询未命中,则赋值单元23将可信度值置为访问阈值与第二地址系数的乘积;
其中,第一地址系数小于1,第二地址系数大于1。
通过上述技术方案,查询单元22将获取单元21获取的外部IP在预设白名单中进行查询,赋值单元23根据IP查询结果将访问阈值分别与第一地址系数或第二地址系数相乘,将乘积作为此访问信息的可信度值,而由于第一地址系数小于1,及第二地址系数大于1,使得乘积即可信度值会出现小于访问阈值及大于访问阈值的两种不同结果,从而实现针对外部IP的访问控制。
本申请实施例的其中一种实施方式中,如图8所示,计算模块2还包括判断单元24;
若IP查询未命中,判断单元24用于判断外部IP是否为虚假地址;
赋值单元23,还用于根据判断结果给可信度值赋值;
若为虚假地址,赋值单元23则将可信度值置为访问阈值与第三地址系数的乘积;
若为真实地址,赋值单元23则将可信度值置为访问阈值与第二地址系数的乘积;
其中,第三地址系数大于第二地址系数且大于1。
通过上述技术方案,当外部IP未在IP查询中命中时,判断单元24进一步判断此外部IP是否为虚假地址,赋值单元23根据判断结果将访问阈值分别与第二地址系数或第三地址系数相乘,将乘积作为此访问信息的可信度值,而由于第三地址系数大于第二地址系数且大于1,使得乘积即可信度值会出现均大于访问阈值,但虚假地址对应的可信度值大于真是地址对应的可信度值的结果,从而实现针对虚假地址与否,来决定拦截时间或者其它策略的访问控制。
本申请实施例的其中一种实施方式中,若IP查询命中,赋值单元23则将可信度值置为访问阈值与第一地址系数的乘积具体为:
若IP查询命中,获取单元21用于获得访问信息中的外部端口;
查询单元22用于根据外部IP,在预设白名单中查询外部端口;
若端口查询命中,赋值单元23则将可信度值置为访问阈值与第一地址系数的乘积;
若端口查询未命中,赋值单元23则计算访问阈值与第一地址系数的乘积,以及访问阈值与第一端口系数的乘积,并将可信度值置为两个乘积的和值;
其中,第一端口系数小于1。
通过上述技术方案,当外部IP在IP查询命中时,查询单元22进一步将此外部IP的外部端口在预设白名单中进行端口查询,根据端口查询结果可信度值的计算不同。未命中相较于命中,可信度值多了个访问阈值与第一端口系数的乘积,很明显,端口查询未命中的可信度值大于命中的可信度值,从而实现当外部IP在预设白名单时,而对应的外部端口不在预设白名单中的访问控制。
本申请实施例的其中一种实施方式中,若端口查询命中,赋值单元23则将可信度值置为访问阈值与第一地址系数的乘积具体为:
若端口查询命中,判断单元24则判断外部端口是否为虚假端口;
若为虚假端口,赋值单元23则计算访问阈值与第一地址系数的乘积,以及访问阈值与第二端口系数的乘积,并将可信度值置为两个乘积的和值;
若为真实端口,赋值单元23则将可信度值置为访问阈值与第一地址系数的乘积;
其中,第二端口系数大于第一端口系数且小于1。
通过上述技术方案,当端口查询命中时,判断单元24则根据判断外部端口是否为虚假端口,根据判断结果可信度值的计算不同。虚假端口的可信度值相较于真实端口,多了个访问阈值与第二端口系数的乘积,很显然,虚假端口的可信度值大于真实端口的可信度值,且由于第二端口系数大于第一端口系数也会大于端口查询未命中的可信度值,从而实现访问控制中对虚假端口、真实端口及端口查询未命中的区别控制。
本申请实施例的其中一种实施方式中,如图8所示,还包括:
记录模块5,用于记录保持拦截的访问消息中对应的外部IP;
次数模块6,用于获取外部IP的记录次数;
对比模块7,用于比较记录次数与次数阈值;
管理模块8,用于根据比较结果管理黑名单;
若记录次数大于次数阈值,管理模块8则将外部IP添加至黑名单中。
通过上述技术方案,拦截模块1在对可信度值大于或等于访问阈值的访问信息保持拦截后,记录模块5记录其对应的外部IP,然后次数模块6获取此外部IP的记录次数,对比模块7将其与预先设置的次数阈值比较,若大于次数阈值,则管理模块8将此外部IP添加至黑名单,从而实现在预设白名单之外,还能够提前预设好黑名单作为拦截名单。
本申请实施例的其中一种实施方式中,在获取单元21获取访问信息中的外部IP之后,还包括:
查询单元22用于在黑名单中查询外部IP;
若查询命中,处理模块4则控制拦截模块1保持对访问信息的拦截并中断执行。
通过上述技术方案,获取单元21在获取外部IP后,查询单元22直接在黑名单中查询,若查询命中,拦截模块1则保持拦截并中断执行后续步骤,从而在进行可信度值计算之前,就可以根据黑名单对屡次对网络设备非法访问的提前拦截,减少计算可信度值耗费的资源,提高访问控制效率。
本申请实施例的其中一种实施方式中,在拦截单元1拦截访问信息之后,还包括:
获取单元21还用于获取访问信息中的外部设备号;
判断单元24还用于根据外部设备号,判断外部设备是否为虚假设备;
若为虚假设备,拦截单元1则保持对访问信息的拦截并中断执行。
通过上述技术方案,在获取单元21进行外部IP获取及赋值单元23计算可信度值之前,获取单元21先获取外部设备号,判断单元24根据外部设备号判断是否为虚假设备,若为虚假设备,拦截模块1则保持拦截并中断执行后续步骤,从而实现在进行可信度值计算之前,就可以根据外部设备号对虚假设备进行提前拦截,减少计算可信度值所耗费的资源,提高访问控制效率。
本申请实施例的其中一种实施方式中,若可信度值大于或等于访问阈值,则拦截模块1保持对访问信息的拦截之后,还包括:
拦截模块1将拦截的访问信息发送至虚假节点。
通过上述技术方案,拦截模块1将由于可信度值大于或等于访问阈值被拦截的访问信息,发送至虚假节点,让这些访问信息不会一直保存在拦截状态,其发送至虚假节点后,可以让虚假节点发送一个回复信息,形成一个消息传输闭环,从而避免由于访问信息被拦截而无回复,导致对应的外部访问来源或网络设备的对外访问一致保持等待回复的状态,占用端口或者系统资源,同时也能实现在某种需求下,期望能够更多获取此种访问的其它可分析内容,具体方式在此不再累述。
在控制系统实施例或实施方式中,部分流程或名词解释等内容可以参考控制方法实施例或实施方式中的相关内容,在此不再累述。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (7)
1.一种网络设备访问的控制方法,其特征在于,包括以下步骤:
拦截访问信息;
获取所述访问信息中的外部IP;
在预设白名单中查询所述外部IP;
若IP查询未命中,则将所述可信度值置为访问阈值与第二地址系数的乘积;
若IP查询命中,则获得所述访问信息中的外部端口;
根据所述外部IP,在所述预设白名单中查询所述外部端口;
若端口查询命中,则判断所述外部端口是否为虚假端口;
若为所述虚假端口,则计算所述访问阈值与所述第一地址系数的乘积,以及所述访问阈值与第二端口系数的乘积,并将所述可信度值置为两个乘积的和值;
若为真实端口,则将所述可信度值置为所述访问阈值与所述第一地址系数的乘积;
若端口查询未命中,则计算所述访问阈值与所述第一地址系数的乘积,以及所述访问阈值与第一端口系数的乘积,并将所述可信度值置为两个乘积的和值;
比较所述可信度值和所述访问阈值;
若所述可信度值小于所述访问阈值,则解除对所述访问信息的拦截;
若所述可信度值大于或等于所述访问阈值,则保持对所述访问信息的拦截;
其中,所述第一地址系数小于1,所述第二地址系数大于1,所述第二端口系数大于所述第一端口系数且小于1。
2.根据权利要求1所述的控制方法,其特征在于,所述若IP查询未命中,则将所述可信度值置为所述访问阈值与第二地址系数的乘积具体为:
若IP查询未命中,则判断所述外部IP是否为虚假地址;
若为所述虚假地址,则将所述可信度值置为所述访问阈值与第三地址系数的乘积;
若为真实地址,则将所述可信度值置为所述访问阈值与第二地址系数的乘积;
其中,所述第三地址系数大于所述第二地址系数且大于1。
3.根据权利要求1至2中任一所述的控制方法,其特征在于,还包括:
记录保持拦截的所述访问信息中对应的所述外部IP;
获取所述外部IP的记录次数;
比较所述记录次数与次数阈值;
若所述记录次数大于所述次数阈值,则将所述外部IP添加至黑名单中。
4.根据权利要求3所述的控制方法,其特征在于,在所述获取所述访问信息中的外部IP之后,还包括:
在所述黑名单中查询所述外部IP;
若查询命中,则保持对所述访问信息的拦截并中断执行;
若查询未命中,则进入下一步。
5.根据权利要求1所述的控制方法,其特征在于,在所述拦截访问信息之后,还包括:
获取所述访问信息中的外部设备号;
根据所述外部设备号,判断外部设备是否为虚假设备;
若为虚假设备,则保持对所述访问信息的拦截并中断执行;
若为真实设备,则进入下一步。
6.根据权利要求1所述的控制方法,其特征在于,在所述若所述可信度值大于或等于所述访问阈值,则保持对所述访问信息的拦截之后,还包括:
将拦截的所述访问信息发送至虚假节点。
7.一种网络设备访问的控制系统,其特征在于,包括:
拦截模块,用于拦截访问信息;
计算模块,包括获取单元21、查询单元22、赋值单元23和判断单元24;
获取单元21,用于获取访问信息中的外部IP;
查询单元22,用于在预设白名单中查询外部IP;
赋值单元23,用于根据IP查询结果给可信度值赋值;
若IP查询未命中,则赋值单元23将可信度值置为访问阈值与第二地址系数的乘积;
若IP查询命中,获取单元21用于获得访问信息中的外部端口;
查询单元22用于根据外部IP,在预设白名单中查询外部端口;
若端口查询命中,判断单元24则判断外部端口是否为虚假端口;
若为所述虚假端口,赋值单元23则计算访问阈值与第一地址系数的乘积,以及访问阈值与第二端口系数的乘积,并将可信度值置为两个乘积的和值;
若为真实端口,赋值单元23则将可信度值置为访问阈值与第一地址系数的乘积;
若端口查询未命中,赋值单元23则计算访问阈值与第一地址系数的乘积,以及访问阈值与第一端口系数的乘积,并将可信度值置为两个乘积的和值;
比较模块,用于比较所述可信度值和访问阈值;
处理模块,用于根据比较结果控制所述拦截模块;
若所述比较结果为所述可信度值小于所述访问阈值,则所述处理模块控制所述拦截模块,解除对所述访问信息的拦截;
若所述比较结果为所述可信度值大于或等于所述访问阈值,则所述处理模块控制所述拦截模块,保持对所述访问信息的拦截;
其中,所述第一地址系数小于1,所述第二地址系数大于1,所述第二端口系数大于所述第一端口系数且小于1。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111146928.7A CN114710308B (zh) | 2021-09-28 | 2021-09-28 | 一种网络设备访问的控制方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111146928.7A CN114710308B (zh) | 2021-09-28 | 2021-09-28 | 一种网络设备访问的控制方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114710308A CN114710308A (zh) | 2022-07-05 |
| CN114710308B true CN114710308B (zh) | 2023-01-06 |
Family
ID=82166240
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111146928.7A Active CN114710308B (zh) | 2021-09-28 | 2021-09-28 | 一种网络设备访问的控制方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114710308B (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107682323A (zh) * | 2017-09-20 | 2018-02-09 | 东北大学 | 一种工业控制系统网络访问安全性预警系统及方法 |
| CN107819727A (zh) * | 2016-09-13 | 2018-03-20 | 腾讯科技(深圳)有限公司 | 一种基于ip地址安全信誉度的网络安全防护方法及系统 |
| CN109743295A (zh) * | 2018-12-13 | 2019-05-10 | 平安科技(深圳)有限公司 | 访问阈值调整方法、装置、计算机设备及存储介质 |
| CN110875907A (zh) * | 2018-08-31 | 2020-03-10 | 阿里巴巴集团控股有限公司 | 一种访问请求控制方法及装置 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9154459B2 (en) * | 2013-09-25 | 2015-10-06 | Malwarebytes Corporation | Access control manager |
| CN107277025A (zh) * | 2017-06-28 | 2017-10-20 | 维沃移动通信有限公司 | 一种网络安全访问方法、移动终端及计算机可读存储介质 |
-
2021
- 2021-09-28 CN CN202111146928.7A patent/CN114710308B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107819727A (zh) * | 2016-09-13 | 2018-03-20 | 腾讯科技(深圳)有限公司 | 一种基于ip地址安全信誉度的网络安全防护方法及系统 |
| CN107682323A (zh) * | 2017-09-20 | 2018-02-09 | 东北大学 | 一种工业控制系统网络访问安全性预警系统及方法 |
| CN110875907A (zh) * | 2018-08-31 | 2020-03-10 | 阿里巴巴集团控股有限公司 | 一种访问请求控制方法及装置 |
| CN109743295A (zh) * | 2018-12-13 | 2019-05-10 | 平安科技(深圳)有限公司 | 访问阈值调整方法、装置、计算机设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114710308A (zh) | 2022-07-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20230084344A1 (en) | Private cloud control | |
| CN110445770B (zh) | 网络攻击源定位及防护方法、电子设备及计算机存储介质 | |
| US20190149563A1 (en) | Network Security Analysis for Smart Appliances | |
| US11671402B2 (en) | Service resource scheduling method and apparatus | |
| JP4327630B2 (ja) | インターネット・プロトコルを用いたストレージエリア・ネットワーク・システム、セキュリティ・システム、セキュリティ管理プログラム、ストレージ装置 | |
| US20200067944A1 (en) | System and method for network device security and trust score determinations | |
| KR20170095851A (ko) | 네트워크 종점들을 보호하기 위한 시스템들 및 방법들 | |
| US9386031B2 (en) | System and method for detection of targeted attacks | |
| EP3967018A1 (en) | Systems and methods for using dns messages to selectively collect computer forensic data | |
| CN112469044B (zh) | 一种异构终端的边缘接入管控方法及控制器 | |
| JP2023508302A (ja) | ネットワークセキュリティ保護方法及び保護デバイス | |
| JP2019169880A (ja) | 異常トラヒック分析装置、異常トラヒック分析方法及び異常トラヒック分析プログラム | |
| CN114710308B (zh) | 一种网络设备访问的控制方法及系统 | |
| JP4547210B2 (ja) | クライアント端末、サービス提供装置及びサービス発見方法 | |
| CN115134175B (zh) | 一种基于授权策略的安全通讯方法及装置 | |
| TWI682644B (zh) | 網路節點的移動防護方法及網路防護伺服器 | |
| KR20170109949A (ko) | 동적 네트워크 환경에서의 네트워크 보안 강화 방법 및 장치 | |
| Walter et al. | Securing wearables through the creation of a personal fog | |
| KR102046612B1 (ko) | Sdn 기반의 dns 증폭 공격 방어시스템 및 그 방법 | |
| CN111224886A (zh) | 一种网络流量的管控方法及系统 | |
| KR101812732B1 (ko) | 보안 장치 및 이의 동작 방법 | |
| KR102321683B1 (ko) | 비인가 블루투스 기기를 선별적으로 차단할수 있는 방법 및 장치 | |
| KR102479425B1 (ko) | 유무선 네트워크의 불법 디바이스 검출 및 차단 방법과 장치 | |
| CN114465746B (zh) | 一种网络攻击控制方法及系统 | |
| RU2776349C1 (ru) | Системы и способы использования сообщений dns для селективного сбора компьютерных криминалистических данных |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |