CN115242494A - 一种控制设备接入的方法、系统、装置及介质 - Google Patents
一种控制设备接入的方法、系统、装置及介质 Download PDFInfo
- Publication number
- CN115242494A CN115242494A CN202210854111.3A CN202210854111A CN115242494A CN 115242494 A CN115242494 A CN 115242494A CN 202210854111 A CN202210854111 A CN 202210854111A CN 115242494 A CN115242494 A CN 115242494A
- Authority
- CN
- China
- Prior art keywords
- list
- target network
- target
- user
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Abstract
本申请实施例提供一种控制设备接入的方法、系统、装置及介质,该方法包括:获取接入目标网络的客户终端的地址信息;至少根据参考名单列表和目标用户在历史时间段内与所述目标网络的交互数据,确认是否允许所述客户终端访问所述目标网络。本申请的一些实施例能够通过目标用户在历史时间段内与目标网络的交互数据,对该客户终端是否接入目标网络进行控制,从而能够保障正常访问用户访问目标网络的同时,禁止交互数据异常的用户访问目标网络,进而提升了目标网络的安全性。
Description
技术领域
本申请实施例涉及网络安全领域,具体涉及一种控制设备接入的方法、系统、装置及介质。
背景技术
相关技术中,在验证用户使用的客户端是否能够访问目标网络时,通常采用在防火墙中设置静态黑名单的方法,若访问目标网络客户端的地址信息命中静态黑名单,则禁止该客户端访问目标网络,若该客户端的地址信息不在静态黑名单中,则允许该客户端访问目标网络。但是,如果允许访问目标网络的客户端被其他人员非正常使用时,则会大大降低该目标网络的安全性。
因此,如何提高目标网络的安全性成为需要解决的问题。
发明内容
本申请实施例提供一种控制设备接入的方法、系统、装置及介质,通过本申请的一些实施例能够对该客户终端是否接入目标网络进行控制,从而能够保障正常访问用户访问目标网络的同时,禁止交互数据异常的用户访问目标网络,进而提升了目标网络的安全性。
第一方面,本申请提供了一种控制设备接入的方法,所述方法包括:获取接入目标网络的客户终端的地址信息;至少根据所述地址信息和目标用户在历史时间段内与所述目标网络的交互数据,确认是否允许所述客户终端访问所述目标网络。
因此,本申请实施例通过目标用户在历史时间段内与目标网络的交互数据,对该客户终端是否接入目标网络进行控制,从而能够保障正常访问用户访问目标网络的同时,禁止交互数据异常的用户访问目标网络,进而提升了目标网络的安全性。
结合第一方面,在本申请的一种实施方式中,所述至少根据所述地址信息和目标用户在历史时间段内与所述目标网络的交互数据,确认是否允许所述客户终端访问所述目标网络,包括:基于所述交互数据获取所述目标用户的用户行为特征属性,其中,所述用户行为特征属性用于表征所述目标用户对所述目标网络的风险访问次数;根据所述用户行为特征属性、参考名单列表和所述地址信息确认是否允许所述客户终端访问所述目标网络,其中,所述参考名单列表用于记录所述地址信息。
因此,本申请实施例通过从交互数据中获取用户行为特征属性,并且基于参考名单列表确认客户终端是否能访问目标网络,能够提高对访问用户进行验证的灵活性,从而提高服务端的性能以及减少网络压力。
结合第一方面,在本申请的一种实施方式中,所述参考名单列表包括第一名单,所述第一名单用于记录禁止访问所述目标网络的地址信息;所述根据所述用户行为特征属性、参考名单列表和所述地址信息确认是否允许所述客户终端访问所述目标网络,包括:若所述地址信息不存在于所述第一名单中,则依据所述用户行为特征属性确认是否允许所述客户终端访问所述目标网络。
因此,本申请实施例通过用户行为特征属性确认是否允许客户终端访问所述目标网络,能够明确用户登录目标网络的风险行为次数,从而能够精准的捕捉非正常的用户。
结合第一方面,在本申请的一种实施方式中,所述参考名单列表包括第一名单和第二名单,所述第一名单用于记录禁止访问所述目标网络的地址信息,所述第二名单用于记录与所述地址信息相对应的所述用户行为特征属性;在所述根据所述用户行为特征属性、参考名单列表和所述地址信息确认是否允许所述客户终端访问所述目标网络之前,所述方法还包括:基于所述用户行为特征属性更新所述第二名单;并且,在所述第二名单中所述用户行为特征属性满足次数阈值的情况下,更新所述第一名单。
因此,本申请实施例通过更新第一名单和第二名单,能够实时的对存在风险行为用户所对应的客户终端的地址信息进行拦截。
结合第一方面,在本申请的一种实施方式中,用于触发对所述第二名单更新的条件包括:对所述客户终端的观测时长大于预设时长时,则触发所述第二名单更新。
因此,本申请实施例通过将长时间处于观测状态的用户进行更新,能够提高对访问用户进行验证的灵活性。
结合第一方面,在本申请的一种实施方式中,所述交互数据至少包括访问所述目标网络的流量和传输数据,所述基于所述用户行为特征属性更新所述第二名单,包括:通过所述目标用户访问所述目标网络的流量,计算带宽占用比例;并且解析所述传输数据得到所述文件,并且查找所述文件中的目标内容;若所述带宽占用比例大于带宽阈值并且存在目标内容,则更新所述第二名单。
结合第一方面,在本申请的一种实施方式中,所述交互数据至少包括访问所述目标网络的流量,所述基于所述用户行为特征属性更新所述第二名单,包括:通过所述目标用户访问所述目标网络的流量,计算带宽占用比例;若所述带宽占用比例大于带宽阈值,则更新所述第二名单。
结合第一方面,在本申请的一种实施方式中,所述交互数据至少包括传输数据,所述基于所述用户行为特征属性更新所述第二名单,包括:解析所述传输数据得到所述文件,并且查找所述文件中的目标内容;若存在目标内容,则更新所述第二名单。
因此,本申请实施例通过计算带宽占用比例和查找文件中的目标内容能够明确用户登录目标网络的行为特征,从而能够精准的捕捉非正常的用户。
第二方面,本申请提供了一种控制设备接入的装置,所述装置包括:地址信息获取模块,被配置为获取接入目标网络的客户终端的地址信息;接入确认模块,被配置为至少根据参考名单列表和目标用户在历史时间段内与所述目标网络的交互数据,确认是否允许所述客户终端访问所述目标网络。
结合第二方面,在本申请的一种实施方式中,所述接入确认模块被配置为:基于所述交互数据获取所述目标用户的用户行为特征属性,其中,所述用户行为特征属性用于表征所述目标用户对所述目标网络的风险访问次数;根据所述用户行为特征属性、参考名单列表和所述地址信息确认是否允许所述客户终端访问所述目标网络,其中,所述参考名单列表用于记录所述地址信息。
结合第二方面,在本申请的一种实施方式中,所述参考名单列表包括第一名单,所述第一名单用于记录禁止访问所述目标网络的地址信息;所述接入确认模块520被配置为:若所述地址信息不在所述参考名单列表中,则允许所述客户终端访问所述目标网络;若所述地址信息不存在于所述第一名单中,则依据所述用户行为特征属性确认是否允许所述客户终端访问所述目标网络。
结合第二方面,在本申请的一种实施方式中,所述参考名单列表包括第一名单和第二名单,所述第一名单用于记录禁止访问所述目标网络的地址信息,所述第二名单用于记录与所述地址信息相对应的所述用户行为特征属性;所述接入确认模块被配置为:基于所述用户行为特征属性更新所述第二名单;并且,在所述第二名单中所述用户行为特征属性满足次数阈值的情况下,更新所述第一名单。
结合第二方面,在本申请的一种实施方式中,用于触发对所述第二名单更新的条件包括:对所述客户终端的观测时长大于预设时长时,则触发所述第二名单更新。
结合第二方面,在本申请的一种实施方式中,所述交互数据至少包括访问所述目标网络的流量和传输数据,所述接入确认模块被配置为:通过所述目标用户访问所述目标网络的流量,计算带宽占用比例;并且解析所述传输数据得到所述文件,并且查找所述文件中的目标内容;若所述带宽占用比例大于带宽阈值并且存在目标内容,则更新所述第二名单。
结合第二方面,在本申请的一种实施方式中,所述交互数据至少包括访问所述目标网络的流量,所述接入确认模块被配置为:通过所述目标用户访问所述目标网络的流量,计算带宽占用比例;若所述带宽占用比例大于带宽阈值,则更新所述第二名单。
结合二方面,在本申请的一种实施方式中,所述交互数据至少包括传输数据,所述接入确认模块被配置为:解析所述传输数据得到所述文件,并且查找所述文件中的目标内容;若存在目标内容,则更新所述第二名单。
第三方面,本申请提供了一种控制设备接入的系统,所述系统包括:客户终端,被配置为发送目标报文;服务端,被配置为根据所述目标报文解析所述客户终端的地址信息,并且根据所述地址信息执行如第一方面任意实施例所述的方法确认是否允许所述客户终端访问所述目标网络。
第四方面,本申请提供了一种电子设备,包括:处理器、存储器和总线;所述处理器通过所述总线与所述存储器相连,所述存储器存储有计算机可读取指令,当所述计算机可读取指令由所述处理器执行时,用于实现如第一方面任意实施例所述方法。
第五方面,本申请提供了一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,该计算机程序被执行时实现如第一方面任意实施例所述的方法。
附图说明
图1为本申请实施例示出的一种控制设备接入的系统结构示意图;
图2为本申请实施例示出的控制设备接入的方法流程图之一;
图3为本申请实施例示出的控制设备接入的流程图之二;
图4为本申请实施例示出的控制设备接入的流程图之三;
图5为本申请实施例示出的控制设备接入的装置;
图6为本申请实施例示出的一种电子设备结构图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中附图,对本申请实施例中的技术方案进行清楚、完整的描述,显然,所描述的实施例仅仅是本申请的一部分实施例,而不是全部实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。因此,以下对附图中提供的本申请的实施例的详情描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护范围。
本申请实施例可以应用于对通过客户端登录目标网络的地址信息进行控制的场景,为了改善背景技术中的问题,在本申请的一些实施例中根据地址信息和目标用户在历史时间段内与目标网络的交互数据,确认是否允许客户终端访问目标网络。例如,在本申请的一些实施例中,首先,获取客户终端的地址信息,然后,获取与该地址信息相对应的客户终端中与目标网络交互的交互数据,接着,基于该交互数据分析用户的行为特征属性,最后,根据用户的行为特征属性确认是否允许客户终端访问目标网络。
下面结合附图详细描述本申请实施例中的方法步骤。
图1提供了本申请一些实施例中的控制设备接入的系统结构图,该系统包括:客户终端110和服务端120。具体的,客户终端110向服务端120发送用于请求接入目标网络的目标报文。服务端120在接收到目标报文之后,解析目标报文得到客户终端的地址信息,并且根据地址信息和用户与目标网络的历史交互数据,确认是否允许客户终端访问目标网络。
与本申请实施例不同的是相关技术中,在验证用户使用的客户端是否能够访问目标网络时,通常采用在防火墙中设置静态黑名单的方法。但是,如果允许访问目标网络的客户端被其他人员非正常使用时,则会大大降低该目标网络的安全性。
下面详细描述本申请由服务端执行的一种控制设备接入的方法。
至少为了解决上述问题,如图2所示,本申请一些实施例提供了一种控制设备接入的方法,该方法包括:
S210:获取接入目标网络的客户终端的地址信息。
需要说明的是,服务端在对接入目标网络的客户终端的接入进行控制之前,需要先在服务端中配置参考名单列表的开关,还要配置将客户终端的地址信息加入参考名单列表的条件。
可以理解的是,客户终端是请求接入目标网络的设备,客户终端具有固定的地址信息,其中,客户终端的地址信息可以是通过目标报文解析获得的,也可以是由客户终端向服务端发送获得的。
作为本申请一具体实施例,客户终端的地址信息可以是客户终端的IP地址,也可以是客户终端接入目标网络的端口地址。地址信息可以是一个固定的地址,也可以是一个固定的地址区间。
S220:至少根据地址信息和目标用户在历史时间段内与目标网络的交互数据,确认是否允许客户终端访问目标网络。
在本申请S220的一种实施方式中,确认是否允许客户终端访问目标网络的步骤如下所示:
S2201,基于交互数据获取目标用户的用户行为特征属性。
需要说明的是,交互数据是在客户终端接入目标网络这一刻之前历史时间段之内,目标用户使用该客户终端访问目标网络的交互数据,其中,交互数据包括从目标网络中下载的数据、从客户终端向目标网络上传的数据等。历史时间段可以根据实际情况进行设置,可以是一个月、一周或一天。用户行为特征属性用于表征目标用户对目标网络的风险访问次数,用户行为特征能够表征目标用户访问目标网络的风险行为。
在本申请的一种实施方式中,在执行S2201之前,首先将客户终端的地址信息与参考名单列表中的地址信息进行对比。
作为本申请一具体实施例,参考名单列表中存储的是禁止访问目标网络的地址信息时(即参考名单列表为黑名单),在执行S2201之前,首先将客户终端的地址信息与上述参考名单列表中的地址信息进行对比,若客户终端的地址信息在该参考名单列表中,则不允许客户终端访问目标网络,若客户终端的地址信息不在该参考名单列表中,则执行S2201。
作为本申请另一具体实施例,参考名单列表中存储的是允许访问目标网络的地址信息时(即参考名单列表为白名单),在执行S2201之前,首先将客户终端的地址信息与上述参考名单列表中的地址信息进行对比,若客户终端的地址信息在该参考名单列表中,则执行S2201,若客户终端的地址信息不在该参考名单列表中,则不允许客户终端访问目标网络。
在本申请的一种实施方式中,基于交互数据获取目标用户的用户行为特征属性的具体步骤如下:
首先,获取客户终端与目标网络之间的交互数据。
作为本申请一具体实施例,获取一周之内客户终端访问目标网络的流量和传输数据,其中,传输数据包括目标用户通过客户终端下载的文件、目标用户通过客户终端上传的文件、客户终端发送的历史报文等。
可以理解的是,本申请不对交互数据的类型进行限制上述实施例仅为示例。
然后,提取交互数据中的用户行为特征。
也就是说,在上述步骤中得到交互数据之后,依照预先设置的规则提取交互数据中的风险行为,即提取交互数据中的用户行为特征。
作为本申请一具体实施例,通过目标用户访问目标网络的流量,计算带宽占用比例,若带宽占用比例大于带宽阈值,则认为该目标用户存在风险行为。
例如,目标用户的风险行为为占用带宽比例超过带宽阈值。具体的,通过监控目标用户的流量使用情况,先计算出目标用户下载数据的流量带宽记录值为A,然后计算出当前所有用户下载数据的总流量带宽记录值为B,则目标用户的带宽占用比例即为A/B。预先设置带宽阈值为20%,那么当A/B的值超过20%时,则认为该目标用户属于敏感用户,存在风险行为。
作为本申请另一具体实施例,解析传输数据得到文件,并且查找该文件中的目标内容,若存在目标内容,则认为该目标用户存在风险行为。
例如,目标用户的风险行为为用户向服务端上传目标内容。具体的,相关人员在服务端中预先设置哪些字段为目标内容,然后在得到传输数据之后,对传输数据进行解析得到文件,接着,使用正则表达式的方法在文件中查找目标内容,若查找得到该目标内容则认为目标用户存在风险行为。
作为本申请另一具体实施例,交互数据还包括目标用户从目标网络中下载的文件。统计下载的文件中的文件类型的个数,若文件类型的个数大于类型阈值,则认为该目标用户存在风险行为。
例如,目标用户的风险行为为用户频繁下载文件。服务端检测到目标用户半个小时内一直在不断的下载各种不同的文件,通过文件类型分析的方法可以判断用户下载文件的类型。然后分析用户下载的文件类型是否超过类型阈值,若类型阈值为25种,目标用户半个小时内下载了30种类型的文件,则可以判断出目标用户是否一段时间内在频繁的下载各种文件,进而认为该目标用户存在风险行为。
作为本申请另一具体实施例,交互数据还包括客户终端历史时间段内接入目标网络时向服务端发送的历史报文。解析该历史报文获得报文内容,检测该报文内容中是否存在攻击特征,若存在攻击特征则认为该目标用户存在风险行为。可以理解的是,攻击特征为用于攻击目标网络的程序所对应的特征。
例如,解析该历史报文获得报文内容,检测到该报文内容中存在僵尸网络恶意程序,则认为该目标用户存在风险行为。
最后,统计目标用户在历史时间段内的用户行为特征属性。
也就是说,在判断完成目标用户是否存在上述风险行为之后,统计目标用户出现上述风险行为的次数,即获得用户行为特征属性。
例如,目标用户在历史时间段内出现了频繁下载文件,则用户行为特征属性在原有存储的数值上加一。
需要说明的是,参考名单列表包括第二名单,第二名单用于记录与地址信息相对应的用户行为特征属性。
在本申请的一种实施方式中,通过目标用户访问目标网络的流量,计算带宽占用比例,若带宽占用比例大于带宽阈值,则更新第二名单。
也就是说,若目标用户出现上述占用带宽比例超过带宽阈值的行为,则在第二名单中与客户终端的地址信息对应的用户行为特征属性加一。
在本申请的另一种实施方式中,解析传输数据得到文件,并且查找文件中的目标内容,若存在目标内容,则更新第二名单。
也就是说,若目标用户出现上述向服务端上传目标内容的行为,则在第二名单中与客户终端的地址信息对应的用户行为特征属性加一。
在本申请的再一种实施方式中,通过目标用户访问目标网络的流量,计算带宽占用比例,并且解析传输数据得到文件,查找文件中的目标内容,若带宽占用比例大于带宽阈值并且存在目标内容,则更新第二名单。
也就是说,若目标用户出现上述向服务端上传目标内容以及占用带宽比例超过带宽阈值的行为,则在第二名单中与客户终端的地址信息对应的用户行为特征属性加一。
也就是说,上述四种判断用户行为特征的方法中,相关人员可以选择一种或者多种进行配置。在选择多种时,满足其中一个条件则判断该用户行为异常。
可以理解的是,在长时间无用户增加的场景中,可以选择配置目标用户的风险行为为用户频繁下载文件的判断方法。在目标网络为指定公司的网络时,可以选择配置目标用户的风险行为为用户向服务端上传目标内容的判断方法。在对网络安全要求较高的情况下,可以选择目标用户的风险行为为占用带宽比例超过带宽阈值的判断方法。带宽阈值可以是20%,也可以是30%。
S2202,根据用户行为特征属性、参考名单列表和地址信息确认是否允许客户终端访问所述目标网络。
需要说明的是,在本申请的一种实施例中,参考名单列表包括第一名单和第二名单,第一名单用于记录禁止访问目标网络的地址信息,第二名单用于记录与地址信息相对应的用户行为特征属性。在本申请的另一种实施例中,第一名单用于记录允许访问目标网络的地址信息,第二名单用于记录与地址信息相对应的用户行为特征属性。
在本申请的一种实施方式中,第一名单用于记录禁止访问目标网络的地址信息,在S2202之前,基于用户行为特征属性更新第二名单,并且在第二名单中用户行为特征属性满足次数阈值的情况下,更新第一名单。
也就是说,若目标用户出现任意一个上述风险行为时,就将第二名单对应的用户行为特征属性对应加一。在第二名单中目标用户的用户行为特征属性满足次数阈值的情况下,则将客户终端对应的地址信息加入到第一名单中,即该客户终端不允许访问目标网络。可以理解的是,次数阈值可以是3次,还可以是5次。
需要说明的是,对客户终端的观测时长大于预设时长时,则触发第二名单更新。也就是说,若第二名单中客户终端的地址信息存储时间大于预设时长时,则将预设时长从第二名单中删除。可以理解的是,预设时长可以是一周,还可以是一天。
在本申请的另一种实施方式中,第一名单用于记录允许访问目标网络的地址信息,在S2202之前,基于用户行为特征属性更新第二名单,并且在第二名单中用户行为特征属性满足次数阈值的情况下,将第一名单中与该客户终端相对应的用户行为特征属性删除。
在本申请S2202的一种实施方式中,参考名单列表包括第一名单,第一名单用于记录禁止访问目标网络的地址信息。若地址信息存在于第一名单中,则不允许客户终端访问目标网络。
在本申请S2202的另一种实施方式中,若地址信息不存在于第一名单中,则依据第二名单中的用户行为特征属性确认是否允许客户终端访问目标网络。
也就是说,在没有直接禁止客户终端访问目标网络的情况下,则判断第二名单中的用户行为特征属性是否超过次数阈值,若超过则不允许客户终端访问目标网络,若没有超过则允许客户终端访问目标网络。
上文描述了本申请实施例中的一种控制设备接入的方法实施过程,下文将描述本申请实施例中的一种控制设备接入的方法具体实施例。
作为本申请多种场景中的一种,在安全套接层协议(Security Socket LayerProtocol,SSL)虚拟专用网(Virtual Private Network,VPN)网络中,客户终端需要通过SSL VPN将受保护业务的报文传到内网。其应用随着Web的普及和电子商务、远程办公的兴起而发展迅速,随着网络的发展以及客户终端的普及使用,随着数据的大量交互,SSLVPN的服务端性能消耗较为严重且对于网络也会造成负担。基于此,本申请设计一种通过获取用户传输数据的行为特征的方式动态添加黑名单,以提升SSLVPN的服务端的性能、保护内网数据安全、减少网络负担的方法。
可以理解的是,在本申请的使用场景中,客户终端与服务端不在同一网域,即客户终端在外网,服务端在内网,客户终端若想要访问处于内网的目标网络,需要使用VPN与目标网络连接。
相关技术中,在线用户(即目标用户)访问目标网络的方式如果被其他人员非正常使用,不断大量访问数据会对服务端造成攻击,会导致服务端性能低,网络负担重,内网数据被泄露的危险。现有技术中,采用对静态黑名单中的地址信息进行拦截的方式保护内网,无法灵活的保证用户访问资源的需求。
为了克服上述现有技术的不足,本申请旨在解决如下技术问题:
本申请重点解决服务端针对VPN用户传输数据的特点,可以动态的生成动态黑名单(即参考名单列表),可以提高服务端性能且减少网络负担。
当服务端检测到目标用户的风险行为,生成动态黑名单后,可以阻断客户终端对服务端资产的访问,从而可以保证内网数据安全。
当客户端对应的地址信息加入黑名单次数超过限制时,则该客户端会被强制下线并限制登录且可通过管理员重新获取目标用户权限或通过自动验证后可重新获取目标用户权限,从而提高服务端处理数据性能并保障目标用户可以继续正常、安全访问目标网络。
本申请通过分析SSLVPN用户传输数据的行为特征,动态生成黑名单的方法且黑名单到期前,阻断该用户再继续访问内网资源;并且判断用户加入黑命单的次数,设备可以强制用户下线并限制用户登录。包括如下3个步骤:
S1:用户配置。
也就是说,相关人员需要配置SSLVPN的动态黑名单开关,黑名单开启时才启动生成动态黑名单的装置,相关人员可配置地址信息添加到黑名单的条件。
S2:服务端数据监控。
如图3所示,首先执行S310获取客户终端的地址信息,通过S320判断地址信息是否命中第一名单,若是,则执行S340禁止访问目标网络,若否,则执行S330获取目标用户的交互数据。
具体的,服务端收到客户终端访问内网资源的请求,先检查客户终端的地址信息是否在第一名单内。如不在第一名单内,服务端监控目标用户的交互数据,并且执行如图4所示步骤,如果不满足加入第二名单条件继续监控客户终端并保证数据的安全传输,如果用户在第一名单内直接拒绝该客户端访问资源。
S3:生成第二名单及加入第二名单次数判断。
如图4所示,在S330获取目标用户的交互数据之后,执行S410提取用户的行为特征,之后执行S420判断用户的行为特征是否满足于预先设置的规则,若不满足则继续执行S410,若满足则执行S430判断地址信息加入第二名单的次数是否大于次数阈值,若是,则执行S440将地址信息加入第一名单并禁止登录,若否,则执行S450将地址信息加入第二名单。
具体的,对监控到的符合加入第二名单条件的地址信息,先判断该地址信息加入第二名单的次数,如果超过设置值后,强制该用户下线并限制登录,相关人员可以恢复客户终端的访问权限或者目标用户在权限被限制后再登录客户终端时提示被限制登录,完成校验后可重新获取权限,该客户终端的地址信息加入第二名单的次数也将清零。如果加入第二名单次数未超过限制,若目标用户的行为特征满足预设条件,则将客户终端对应的地址信息加入到第二名单。例如,第二名单由客户终端的IP地址、地址信息保存在第二名单中的时间、用户名等基本信息组成,地址信息保存在第二名单中的时间到期前目标用户无法访问内网资源,地址信息保存在第二名单中的时间超时后可继续访问内网资源(即目标网络)。服务端继续监控客户终端的交互数据。
因此,本申请提供了一种服务端针对VPN用户交互数据的特点,可以动态的生成黑名单的方法,并且当目标用户加入第二名单的次数超过一定的限制后,将会强制用户下线并限制登录,之后用户再想登录vpn访问资源可以联系相关人员,解除用户登录限制或者用户通过自动验证成功后,可继续登录VPN访问资源。判断是否加入第二名单需要分析目标用户与目标网络之间的交互数据,包括频繁下载文件、向服务端传输目标内容或单个用户占用带宽比例超过某个特定值等。通过动态生成黑名单的方式可以提高服务端的性能、减少网络负担、保证内网数据安全。
本申请的有益效果包括:通过监控用户行为动态生成黑名单的方式,提高服务端的性能和减少网络的压力。动态生成的黑名单可以阻断用户的访问,保障合法用户访问的同时保护内网资源的安全。加入第二名单的次数超过限制后,下线用户并限制用户登录且用户登录权限可恢复,在保障内网资源安全的同时也保障正常用户访问内网资源。
因此,本申请的主要保护点包括:服务端通过分析目标网络的交互数据,得到VPN用户的行为特征,其中,行为特征包括频繁下载各种文件、传输目标内容、单个用户带宽占比较大等,动态生成黑名单且存储地址信息的时间超时后,目标用户可继续访问资源,当单个用户加入第二名单次数超过设置值后,强制用户下线并限制登录,相关人员可以管理被限制的用户。
上文描述了本申请实施例中的一种控制设备接入的方法具体实施例,下文将描述一种控制设备接入的装置。
如图5所示,一种控制设备接入的装置500,包括:地址信息获取模块510和接入确认模块520。
地址信息获取模块510,被配置为获取接入目标网络的客户终端的地址信息。
接入确认模块520,被配置为至少根据参考名单列表和目标用户在历史时间段内与所述目标网络的交互数据,确认是否允许所述客户终端访问所述目标网络。
在本申请的一种实施方式中,所述接入确认模块520被配置为:基于所述交互数据获取所述目标用户的用户行为特征属性,其中,所述用户行为特征属性用于表征所述目标用户对所述目标网络的风险访问次数;根据所述用户行为特征属性、参考名单列表和所述地址信息确认是否允许所述客户终端访问所述目标网络,其中,所述参考名单列表用于记录所述地址信息。
在本申请的一种实施方式中,所述参考名单列表包括第一名单,所述第一名单用于记录禁止访问所述目标网络的地址信息;所述接入确认模块520被配置为:若所述地址信息不在所述参考名单列表中,则允许所述客户终端访问所述目标网络;若所述地址信息不存在于所述第一名单中,则依据所述用户行为特征属性确认是否允许所述客户终端访问所述目标网络。
在本申请的一种实施方式中,所述参考名单列表包括第一名单和第二名单,所述第一名单用于记录禁止访问所述目标网络的地址信息,所述第二名单用于记录与所述地址信息相对应的所述用户行为特征属性;所述接入确认模块520被配置为:基于所述用户行为特征属性更新所述第二名单;并且,在所述第二名单中所述用户行为特征属性满足次数阈值的情况下,更新所述第一名单。
在本申请的一种实施方式中,用于触发对所述第二名单更新的条件包括:对所述客户终端的观测时长大于预设时长时,则触发所述第二名单更新。
在本申请的一种实施方式中,所述交互数据至少包括访问所述目标网络的流量和传输数据,所述接入确认模块520被配置为:通过所述目标用户访问所述目标网络的流量,计算带宽占用比例;并且解析所述传输数据得到所述文件,并且查找所述文件中的目标内容;若所述带宽占用比例大于带宽阈值并且存在目标内容,则更新所述第二名单。
在本申请的一种实施方式中,所述交互数据至少包括访问所述目标网络的流量,所述接入确认模块520被配置为:通过所述目标用户访问所述目标网络的流量,计算带宽占用比例;若所述带宽占用比例大于带宽阈值,则更新所述第二名单。
在本申请的一种实施方式中,所述交互数据至少包括传输数据,所述接入确认模块520被配置为:解析所述传输数据得到所述文件,并且查找所述文件中的目标内容;若存在目标内容,则更新所述第二名单。
在本申请实施例中,图5所示模块能够实现图1至图4方法实施例中的各个过程。图5中的各个模块的操作和/或功能,分别为了实现图1至图4中的方法实施例中的相应流程。具体可参见上述方法实施例中的描述,为避免重复,此处适当省略详细描述。
如图6所示,本申请实施例提供一种电子设备600,包括:处理器610、存储器620和总线630,所述处理器通过所述总线与所述存储器相连,所述存储器存储有计算机可读取指令,当所述计算机可读取指令由所述处理器执行时,用于实现如上述所有实施例中任一项所述的方法,具体可参见上述方法实施例中的描述,为避免重复,此处适当省略详细描述。
其中,总线用于实现这些组件直接的连接通信。其中,本申请实施例中处理器可以是一种集成电路芯片,具有信号的处理能力。上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
存储器可以是,但不限于,随机存取存储器(Random Access Memory,RAM),只读存储器(Read Only Memory,ROM),可编程只读存储器(Programmable Read-Only Memory,PROM),可擦除只读存储器(Erasable Programmable Read-Only Memory,EPROM),电可擦除只读存储器(Electric Erasable Programmable Read-Only Memory,EEPROM)等。存储器中存储有计算机可读取指令,当所述计算机可读取指令由所述处理器执行时,可以执行上述实施例中所述的方法。
可以理解,图6所示的结构仅为示意,还可包括比图6中所示更多或者更少的组件,或者具有与图6所示不同的配置。图6中所示的各组件可以采用硬件、软件或其组合实现。
本申请实施例还提供一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,该计算机程序被服务器执行时实现上述所有实施方式中任一所述的方法,具体可参见上述方法实施例中的描述,为避免重复,此处适当省略详细描述。
以上所述仅为本申请的优选实施例而已,并不用于限制本申请,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应所述以权利要求的保护范围为准。
Claims (12)
1.一种控制设备接入的方法,其特征在于,所述方法包括:
获取接入目标网络的客户终端的地址信息;
至少根据所述地址信息和目标用户在历史时间段内与所述目标网络的交互数据,确认是否允许所述客户终端访问所述目标网络。
2.根据权利要求1所述的方法,其特征在于,所述至少根据所述地址信息和目标用户在历史时间段内与所述目标网络的交互数据,确认是否允许所述客户终端访问所述目标网络,包括:
基于所述交互数据获取所述目标用户的用户行为特征属性,其中,所述用户行为特征属性用于表征所述目标用户对所述目标网络的风险访问次数;
根据所述用户行为特征属性、参考名单列表和所述地址信息确认是否允许所述客户终端访问所述目标网络,其中,所述参考名单列表用于记录所述地址信息。
3.根据权利要求2所述的方法,其特征在于,所述参考名单列表包括第一名单,所述第一名单用于记录禁止访问所述目标网络的地址信息;
所述根据所述用户行为特征属性、参考名单列表和所述地址信息确认是否允许所述客户终端访问所述目标网络,包括:
若所述地址信息不存在于所述第一名单中,则依据所述用户行为特征属性确认是否允许所述客户终端访问所述目标网络。
4.根据权利要求3所述的方法,其特征在于,所述参考名单列表还包括;第二名单,所述第二名单用于记录与所述地址信息相对应的所述用户行为特征属性;
在所述根据所述用户行为特征属性、参考名单列表和所述地址信息确认是否允许所述客户终端访问所述目标网络之前,所述方法还包括:
基于所述用户行为特征属性更新所述第二名单;并且,
在所述第二名单中所述用户行为特征属性满足次数阈值的情况下,更新所述第一名单。
5.根据权利要求4所述的方法,其特征在于,用于触发对所述第二名单更新的条件包括:
对所述客户终端的观测时长大于预设时长时,则触发所述第二名单更新。
6.根据权利要求5所述的方法,其特征在于,所述交互数据至少包括访问所述目标网络的流量和传输数据,所述基于所述用户行为特征属性更新所述第二名单,包括:
通过所述目标用户访问所述目标网络的流量,计算带宽占用比例;并且解析所述传输数据得到文件,查找所述文件中的目标内容;
若所述带宽占用比例大于带宽阈值并且存在目标内容,则更新所述第二名单。
7.根据权利要求5所述的方法,其特征在于,所述交互数据至少包括访问所述目标网络的流量,所述基于所述用户行为特征属性更新所述第二名单,包括:
通过所述目标用户访问所述目标网络的流量,计算带宽占用比例;
若所述带宽占用比例大于带宽阈值,则更新所述第二名单。
8.根据权利要求5所述的方法,其特征在于,所述交互数据至少包括传输数据,所述基于所述用户行为特征属性更新所述第二名单,包括:
解析所述传输数据得到文件,并且查找所述文件中的目标内容;
若存在目标内容,则更新所述第二名单。
9.一种控制设备接入的系统,其特征在于,所述系统包括:
客户终端,被配置为发送目标报文;
服务端,被配置为根据所述目标报文解析所述客户终端的地址信息,并且根据所述地址信息执行如权利要求1-7任一项所述的方法确认是否允许所述客户终端访问所述目标网络。
10.一种控制设备接入的装置,其特征在于,所述装置包括:
地址信息获取模块,被配置为获取接入目标网络的客户终端的地址信息;
接入确认模块,被配置为至少根据参考名单列表和目标用户在历史时间段内与所述目标网络的交互数据,确认是否允许所述客户终端访问所述目标网络。
11.一种电子设备,其特征在于,包括:处理器、存储器和总线;
所述处理器通过所述总线与所述存储器相连,所述存储器存储有计算机可读取指令,当所述计算机可读取指令由所述处理器执行时,用于实现如权利要求1-8任一项所述方法。
12.一种计算机可读存储介质,其特征在于,该计算机可读存储介质上存储有计算机程序,该计算机程序被执行时实现如权利要求1-8任一项所述方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210854111.3A CN115242494A (zh) | 2022-07-13 | 2022-07-13 | 一种控制设备接入的方法、系统、装置及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210854111.3A CN115242494A (zh) | 2022-07-13 | 2022-07-13 | 一种控制设备接入的方法、系统、装置及介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115242494A true CN115242494A (zh) | 2022-10-25 |
Family
ID=83673254
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210854111.3A Pending CN115242494A (zh) | 2022-07-13 | 2022-07-13 | 一种控制设备接入的方法、系统、装置及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115242494A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117040938A (zh) * | 2023-10-10 | 2023-11-10 | 深圳安天网络安全技术有限公司 | 一种异常ip检测方法及装置、电子设备及存储介质 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103731902A (zh) * | 2012-10-12 | 2014-04-16 | 中兴通讯股份有限公司 | 直连通信目标终端信息的查询方法及装置 |
| CN107277008A (zh) * | 2017-06-16 | 2017-10-20 | 福建中金在线信息科技有限公司 | 一种限制访问网络接口的方法、装置及电子设备 |
| CN109067794A (zh) * | 2018-09-26 | 2018-12-21 | 新华三信息安全技术有限公司 | 一种网络行为的检测方法和装置 |
| WO2019144598A1 (zh) * | 2018-01-25 | 2019-08-01 | 青岛海信移动通信技术股份有限公司 | 一种进行接入网络管理的方法及移动设备 |
| CN110855717A (zh) * | 2019-12-05 | 2020-02-28 | 浙江军盾信息科技有限公司 | 一种物联网设备防护方法、装置和系统 |
| CN111147480A (zh) * | 2019-12-25 | 2020-05-12 | 中国银联股份有限公司 | 文件访问控制方法、装置、设备及介质 |
| US20200228990A1 (en) * | 2017-09-30 | 2020-07-16 | Huawei Technologies Co., Ltd. | Network resource deployment method and device, and network resource assessment method and device |
| CN112182519A (zh) * | 2020-10-10 | 2021-01-05 | 上海威固信息技术股份有限公司 | 一种计算机存储系统安全访问方法及访问系统 |
-
2022
- 2022-07-13 CN CN202210854111.3A patent/CN115242494A/zh active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103731902A (zh) * | 2012-10-12 | 2014-04-16 | 中兴通讯股份有限公司 | 直连通信目标终端信息的查询方法及装置 |
| CN107277008A (zh) * | 2017-06-16 | 2017-10-20 | 福建中金在线信息科技有限公司 | 一种限制访问网络接口的方法、装置及电子设备 |
| US20200228990A1 (en) * | 2017-09-30 | 2020-07-16 | Huawei Technologies Co., Ltd. | Network resource deployment method and device, and network resource assessment method and device |
| WO2019144598A1 (zh) * | 2018-01-25 | 2019-08-01 | 青岛海信移动通信技术股份有限公司 | 一种进行接入网络管理的方法及移动设备 |
| CN109067794A (zh) * | 2018-09-26 | 2018-12-21 | 新华三信息安全技术有限公司 | 一种网络行为的检测方法和装置 |
| CN110855717A (zh) * | 2019-12-05 | 2020-02-28 | 浙江军盾信息科技有限公司 | 一种物联网设备防护方法、装置和系统 |
| CN111147480A (zh) * | 2019-12-25 | 2020-05-12 | 中国银联股份有限公司 | 文件访问控制方法、装置、设备及介质 |
| CN112182519A (zh) * | 2020-10-10 | 2021-01-05 | 上海威固信息技术股份有限公司 | 一种计算机存储系统安全访问方法及访问系统 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117040938A (zh) * | 2023-10-10 | 2023-11-10 | 深圳安天网络安全技术有限公司 | 一种异常ip检测方法及装置、电子设备及存储介质 |
| CN117040938B (zh) * | 2023-10-10 | 2023-12-08 | 深圳安天网络安全技术有限公司 | 一种异常ip检测方法及装置、电子设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| WO2021063068A1 (zh) | 运维管控、运维分析方法、装置、系统及存储介质 | |
| US8046833B2 (en) | Intrusion event correlation with network discovery information | |
| CN111245793A (zh) | 网络数据的异常分析方法及装置 | |
| CN109688105B (zh) | 一种威胁报警信息生成方法及系统 | |
| CN108183950A (zh) | 一种网络设备建立连接的方法及装置 | |
| CA2526759A1 (en) | Event monitoring and management | |
| Lindqvist et al. | eXpert-BSM: A host-based intrusion detection solution for Sun Solaris | |
| CN112019516B (zh) | 一种共享文件的访问控制方法、装置、设备及存储介质 | |
| CN112769833B (zh) | 命令注入攻击的检测方法、装置、计算机设备和存储介质 | |
| CN111970300A (zh) | 一种基于行为检查的网络入侵防御系统 | |
| CN115242494A (zh) | 一种控制设备接入的方法、系统、装置及介质 | |
| CN106790134B (zh) | 一种视频监控系统的访问控制方法及安全策略服务器 | |
| CN114301706B (zh) | 基于目标节点中现有威胁的防御方法、装置及系统 | |
| CN114124556A (zh) | 一种网络访问控制方法、装置、设备及存储介质 | |
| CN112887105B (zh) | 会议安全监控方法、装置、电子设备及存储介质 | |
| CN114205169B (zh) | 网络安全防御方法、装置及系统 | |
| CN115883574A (zh) | 工业控制网络中的接入设备识别方法及装置 | |
| CN114866361A (zh) | 一种检测网络攻击的方法、装置、电子设备及介质 | |
| Garcia et al. | An intrusion-tolerant firewall design for protecting SIEM systems | |
| CN109274638A (zh) | 一种攻击源接入自动识别处理的方法和路由器 | |
| CN115022008A (zh) | 一种访问风险评估方法、装置、设备及介质 | |
| CN114157472A (zh) | 一种网络访问控制方法、装置、设备及存储介质 | |
| CN113596147A (zh) | 消息推送方法、装置、设备与存储介质 | |
| CN117473485B (zh) | 密码检测方法、密码检测设备和计算机可读存储介质 | |
| CN113972992A (zh) | 用于sdp控制器的访问方法及装置、计算机可存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |