CN116094848B - 访问控制方法、装置、计算机设备和存储介质 - Google Patents
访问控制方法、装置、计算机设备和存储介质 Download PDFInfo
- Publication number
- CN116094848B CN116094848B CN202310377073.1A CN202310377073A CN116094848B CN 116094848 B CN116094848 B CN 116094848B CN 202310377073 A CN202310377073 A CN 202310377073A CN 116094848 B CN116094848 B CN 116094848B
- Authority
- CN
- China
- Prior art keywords
- access
- data packet
- source address
- authentication data
- condition
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请涉及一种访问控制方法、装置、计算机设备和存储介质,涉及信息安全技术领域,可用于金融科技领域或其他领域。所述方法包括:在对访问认证数据包进行身份认证失败的情况下,判断访问认证数据包的特征信息是否符合正常数据包特征条件;不符合正常数据包特征条件时,将源地址确定为限制访问权限类型;符合正常数据包特征条件时,将访问认证数据包与预先存储的历史访问认证数据包进行匹配处理,并基于匹配成功的历史访问认证数据包的数量确定源地址的当前访问权限类型;历史访问认证数据包为身份认证失败的访问认证数据包;基于源地址的当前访问权限类型确定安全访问策略。采用本方法能够节约身份认证的计算资源。
Description
技术领域
本申请涉及信息安全技术领域,特别是涉及一种访问控制方法、装置、计算机设备和存储介质。
背景技术
随着网络安全形势日渐严峻,攻击的多样性和强度也有显著提升,一旦网络边界被突破,攻击者将在内网畅通无阻,对内网应用、业务系统等资源造成较大安全威胁。在此背景下,零信任网络访问以“永不信任,始终验证”的安全理念获得了诸多青睐。
相关技术中,零信任网络访问可以通过SDP(Software Defined Perimeter,软件定义边界)架构的访问控制系统实现。SDP架构的访问控制系统一般包括SDP客户端、SDP网关和SDP控制器,用户请求访问目标资源时,可以先通过SDP客户端向SDP网关和SDP控制器发送单包授权认证(Single packetauthorization,SPA)数据包进行身份认证,在身份认证通过的情况下,SDP网关可以与SDP客户端建立安全连接,实现目标资源的安全访问。
然而,上述基于SDP架构的访问控制方法无法识别和阻断攻击者发送的攻击数据包,若对攻击者发送的每个攻击数据包都进行身份认证,则将导致身份认证的计算资源浪费。
发明内容
基于此,有必要针对上述技术问题,提供一种能够节约计算资源的访问控制方法、装置、计算机设备、计算机可读存储介质和计算机程序产品。
第一方面,本申请提供了一种访问控制方法。所述方法包括:
在对第一访问认证数据包进行身份认证失败的情况下,判断所述第一访问认证数据包的特征信息是否符合正常数据包特征条件;所述第一访问认证数据包包含第一源地址;
在所述特征信息不符合所述正常数据包特征条件的情况下,将所述第一源地址的当前访问权限类型确定为限制访问权限类型;
在所述特征信息符合所述正常数据包特征条件的情况下,将所述第一访问认证数据包与预先存储的历史访问认证数据包进行匹配处理,并基于匹配成功的历史访问认证数据包的数量确定所述第一源地址的当前访问权限类型;所述历史访问认证数据包为身份认证失败的访问认证数据包;
基于所述第一源地址的当前访问权限类型确定安全访问策略,所述安全访问策略用于基于所述第一源地址进行访问控制。
在其中一个实施例中,所述判断所述第一访问认证数据包的特征信息是否符合正常数据包特征条件,包括:
将所述第一访问认证数据包输入至数据包相似度模型,得到所述第一访问认证数据包与正常访问认证数据包的特征相似度;
在所述特征相似度小于预设相似度阈值的情况下,确定所述第一访问认证数据包的特征信息不符合正常数据包特征条件;
在所述特征相似度大于或等于所述预设相似度阈值的情况下,确定所述第一访问认证数据包的特征信息符合所述正常数据包特征条件。
在其中一个实施例中,所述第一访问认证数据包的特征信息包括长度信息,所述判断所述第一访问认证数据包的特征信息是否符合正常数据包特征条件,包括:
在所述第一访问认证数据包的长度信息小于预设长度阈值的情况下,确定所述第一访问认证数据包的特征信息不符合正常数据包特征条件;
在所述长度信息大于或等于所述预设长度阈值的情况下,确定所述第一访问认证数据包的特征信息符合所述正常数据包特征条件。
在其中一个实施例中,所述基于所述第一源地址的当前访问权限类型确定安全访问策略之后,还包括:
在接收到第二访问认证数据包的情况下,确定所述第二访问认证数据包包含的第二源地址;
在所述安全访问策略中查询所述第二源地址对应的访问策略;
在所述第二源地址的访问策略为限制访问权限类型对应的访问策略的情况下,丢弃所述第二访问认证数据包;
在所述第二源地址的访问策略为正常访问权限类型对应的访问策略的情况下,对所述第二访问认证数据包进行身份认证。
在其中一个实施例中,所述限制访问权限类型包括禁止访问权限类型和延迟禁止访问权限类型;在所述特征信息不符合所述正常数据包特征条件的情况下,将所述第一源地址的当前访问权限类型确定为限制访问权限类型,包括:
在所述特征信息不符合所述正常数据包特征条件的情况下,将所述第一源地址的当前访问权限类型确定为延迟禁止访问权限类型;
所述方法还包括:
在所述第二源地址的访问策略为延迟禁止访问权限类型对应的访问策略的情况下,向所述第二源地址对应的访问发起端发送捕获客户端下载地址,所述捕获客户端下载地址用于所述访问发起端基于所述捕获客户端下载地址下载捕获客户端。
在其中一个实施例中,所述向所述第二源地址对应的访问发起端发送捕获客户端下载地址之后,所述方法还包括:
在接收到包含所述第二源地址的捕获资源访问数据包的情况下,将所述第二源地址的新的当前访问权限类型确定为禁止访问权限类型。
在其中一个实施例中,所述向所述第二源地址对应的访问发起端发送捕获客户端下载地址之后,所述方法还包括:
在监测到所述第二源地址对应的访问发起端在预设时长内未通过所述捕获客户端发送捕获资源访问数据包的情况下,将所述第二源地址的新的当前访问权限类型确定为禁止访问权限类型。
第二方面,本申请还提供了一种访问控制装置。所述装置包括:
判断模块,用于在对第一访问认证数据包进行身份认证失败的情况下,判断所述第一访问认证数据包的特征信息是否符合正常数据包特征条件;所述第一访问认证数据包包含第一源地址;
第一确定模块,用于在所述特征信息不符合所述正常数据包特征条件的情况下,将所述第一源地址的当前访问权限类型确定为限制访问权限类型;
第二确定模块,用于在所述特征信息符合所述正常数据包特征条件的情况下,将所述第一访问认证数据包与预先存储的历史访问认证数据包进行匹配处理,并基于匹配成功的历史访问认证数据包的数量确定所述第一源地址的当前访问权限类型;所述历史访问认证数据包为身份认证失败的访问认证数据包;
第三确定模块,用于基于所述第一源地址的当前访问权限类型确定安全访问策略,所述安全访问策略用于基于所述第一源地址进行访问控制。
在其中一个实施例中,所述判断模块具体用于:
将所述第一访问认证数据包输入至数据包相似度模型,得到所述第一访问认证数据包与正常访问认证数据包的特征相似度;在所述特征相似度小于预设相似度阈值的情况下,确定所述第一访问认证数据包的特征信息不符合正常数据包特征条件;在所述特征相似度大于或等于所述预设相似度阈值的情况下,确定所述第一访问认证数据包的特征信息符合所述正常数据包特征条件。
在其中一个实施例中,所述第一访问认证数据包的特征信息包括长度信息,所述判断模块具体用于:
在所述第一访问认证数据包的长度信息小于预设长度阈值的情况下,确定所述第一访问认证数据包的特征信息不符合正常数据包特征条件;在所述长度信息大于或等于所述预设长度阈值的情况下,确定所述第一访问认证数据包的特征信息符合所述正常数据包特征条件。
在其中一个实施例中,所述装置还包括:
接收模块,用于在接收到第二访问认证数据包的情况下,确定所述第二访问认证数据包包含的第二源地址;
查询模块,用于在所述安全访问策略中查询所述第二源地址对应的访问策略;
丢弃模块,用于在所述第二源地址的访问策略为限制访问权限类型对应的访问策略的情况下,丢弃所述第二访问认证数据包;
认证模块,用于在所述第二源地址的访问策略为正常访问权限类型对应的访问策略的情况下,对所述第二访问认证数据包进行身份认证。
在其中一个实施例中,所述限制访问权限类型包括禁止访问权限类型和延迟禁止访问权限类型;在第一确定模块具体用于:
在所述特征信息不符合所述正常数据包特征条件的情况下,将所述第一源地址的当前访问权限类型确定为延迟禁止访问权限类型;
所述装置还包括:
捕获模块,用于在所述第二源地址的访问策略为延迟禁止访问权限类型对应的访问策略的情况下,向所述第二源地址对应的访问发起端发送捕获客户端下载地址,所述捕获客户端下载地址用于所述访问发起端基于所述捕获客户端下载地址下载捕获客户端。
在其中一个实施例中,所述装置还包括:
第四确定模块,用于在接收到包含所述第二源地址的捕获资源访问数据包的情况下,将所述第二源地址的新的当前访问权限类型确定为禁止访问权限类型。
在其中一个实施例中,所述装置还包括:
第五确定模块,用于在监测到所述第二源地址对应的访问发起端在预设时长内未通过所述捕获客户端发送捕获资源访问数据包的情况下,将所述第二源地址的新的当前访问权限类型确定为禁止访问权限类型。
第三方面,本申请还提供了一种计算机设备。所述计算机设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现第一方面所述的方法的步骤。
第四方面,本申请还提供了一种计算机可读存储介质。所述计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现第一方面所述的方法的步骤。
第五方面,本申请还提供了一种计算机程序产品。所述计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现第一方面所述的方法的步骤。
上述访问控制方法、装置、计算机设备、存储介质和计算机程序产品,通过对身份认证失败的访问认证数据包进行攻击行为识别,确定出访问认证数据包包含的源地址的当前访问权限类型,并基于源地址的当前访问权限类型确定安全访问策略,用于基于源地址进行访问控制,从而在后续接收到包含攻击源地址(即限制访问权限类型的源地址)的访问认证数据包时,可以基于安全访问策略对其限制访问,避免了对其进行身份认证,达到节约身份认证的计算资源的目的。其中,攻击行为识别过程为基于特征信息和基于与历史访问认证数据包的匹配成功数量的两阶段识别过程,可以兼顾攻击数据包的识别效率、识别及时性和识别准确度,从而提高访问控制的效率和精准度。因此,本方法可以节约身份认证的计算资源,同时还可兼顾访问控制的高效率和高精准度。
附图说明
图1为一个实施例中访问控制方法的应用环境图;
图2为一个实施例中访问控制方法的流程示意图;
图3为另一个实施例中访问控制方法的流程示意图;
图4为一个实施例中访问控制装置的结构框图;
图5为一个实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
首先,在具体介绍本申请实施例的技术方案之前,先对本申请实施例基于的技术背景或者技术演进脉络进行介绍。相关技术中,可以通过SDP(Software DefinedPerimeter,软件定义边界)架构的访问控制系统来实现零信任网络。SDP架构的访问控制系统一般包括SDP客户端、SDP网关和SDP控制器,用户请求访问目标资源时,可以先通过SDP客户端向SDP网关和SDP控制器发送单包授权认证(SPA)数据包进行身份认证,在身份认证通过的情况下,SDP网关可以与SDP客户端建立安全连接,实现目标资源的安全访问。
然而,由于SDP网关将对外暴露用于接收SPA数据包的端口(一般为UDP(UserDatagram Protocol,用户数据报协议)端口),无法阻挡非SDP客户端对象发送的攻击数据包,难以防范针对该端口的扫描攻击或拒绝服务(DoS,Denial of service)攻击。而SDP控制器只有身份鉴权功能,将对SDP网关接收到的数据包逐一进行身份认证。若对攻击者发送的每个攻击数据包都进行身份认证,将导致身份认证的计算资源浪费。
基于该背景,申请人通过长期的研发以及实验验证,提出本申请的访问控制方法,通过对身份认证失败的访问认证数据包进行攻击行为识别,确定出访问认证数据包包含的源地址的当前访问权限类型,并基于当前访问权限类型确定安全访问策略用于访问控制,以限制攻击源地址的访问,因而后续接收到包含攻击源地址的访问认证数据包时,可以避免对其进行身份认证,达到节约身份认证的计算资源的目的。另外,需要说明的是,本申请技术问题的发现以及下述实施例介绍的技术方案,申请人均付出了大量的创造性劳动。
本申请实施例提供的访问控制方法,可以应用于如图1所示的应用环境中。其中,访问控制系统102可以通过网络分别与访问发起端104和业务系统106连接。访问发起端104可以为正常客户端或攻击客户端。访问发起端104可以向访问控制系统102发送访问认证数据包,以请求授权访问业务系统106提供的目标资源。访问控制系统102可以包括网关节点和控制节点。其中,网关节点可以通过网络设备(如交换机、防火墙、路由器等)实现,控制节点可以通过服务器实现。
在一个实施例中,如图2所示,提供了一种访问控制方法,该方法可应用于图1所示的访问控制系统。本实施例中,该方法包括以下步骤:
步骤201,在对第一访问认证数据包进行身份认证失败的情况下,判断第一访问认证数据包的特征信息是否符合正常数据包特征条件。
其中,第一访问认证数据包包含第一源地址。访问认证数据包用于请求获得访问目标资源的权限,可以为SPA数据包,一般包含五元组信息(源地址、源端口、目标地址、目标端口、协议)。正常数据包指正常客户端发送的、可以成功通过身份认证的访问认证数据包。正常数据包特征条件是基于正常数据包得到的,如正常数据包的格式、长度等特征相应的条件。
在实施中,访问控制系统的网关节点可以接收访问发起端发送的访问认证数据包,并通过控制节点对访问认证数据包包含的身份信息进行身份认证。若身份认证成功,控制节点可以向网关节点发送认证成功消息,以使网关节点建立访问发起端对应的安全连接,从而访问发起端能够访问目标资源。若身份认证失败,则访问控制系统可以提取访问认证数据包的特征信息,该特征信息可以包括长度、有效负载格式等信息,然后根据特征信息判断其是否符合正常数据包特征条件。例如,可以将访问认证数据包输入至训练好的机器学习模型,以预测其符合正常数据包特征条件的概率。若概率达到预设阈值,则可以判断其符合正常数据包特征条件,若概率未达到预设阈值,则可以判断其不符合正常数据包特征条件。
步骤202,在特征信息不符合正常数据包特征条件的情况下,将第一源地址的当前访问权限类型确定为限制访问权限类型。
在实施中,若判断出接收到的第一访问认证数据包的特征信息不符合正常数据包特征条件,则可以将该第一访问认证数据包包含的源地址(即第一源地址)的当前访问权限类型设置为限制访问权限类型,以限制该源地址访问目标资源,例如可以是在一段时间内禁止该源地址访问目标资源。
步骤203,在特征信息符合正常数据包特征条件的情况下,将第一访问认证数据包与预先存储的历史访问认证数据包进行匹配处理,并基于匹配成功的历史访问认证数据包的数量确定第一源地址的当前访问权限类型。
其中,历史访问认证数据包为身份认证失败的访问认证数据包。可以将历史时段内(如当前时刻之前的预设时长内)接收到的、且身份认证失败的访问认证数据包进行存储。
在实施中,若第一访问认证数据包的特征信息符合正常数据包特征条件,则可以进一步将该第一访问认证数据包与预先存储的历史访问认证数据包进行匹配处理,以匹配出与第一访问认证数据包相同访问发起端发送的数据包。匹配处理具体可以是将第一访问认证数据包包含的第一源地址与各历史访问认证数据包包含的源地址进行匹配,若包含的源地址相同,则匹配成功;还可以将第一访问认证数据包的载荷数据(或称为有效负载)与各历史访问认证数据包的载荷数据进行匹配,若载荷数据相同,则匹配成功。然后,访问控制系统可以确定出匹配成功的历史访问认证数据包的数量,并基于该数量确定第一源地址的当前访问权限类型。若匹配成功的数量较多,则说明在一段时间内接收到第一源地址发送的身份认证失败的数据包较多,或接收到载荷数据相同但均身份认证失败的数据包(可以为相同源地址和/或不同源地址发送的)较多,符合攻击行为的典型特征,因而可以将第一源地址的当前访问权限类型确定为限制访问权限类型。若匹配成功的数量较少,则无法排除该数据包的身份认证失败是正常用户因输错密码等误操作而导致,即暂时无法确定该第一源地址为攻击源地址还是正常源地址,为避免限制正常用户的正常访问,可以将第一源地址的当前访问权限类型确定为正常访问权限类型。
步骤204,基于第一源地址的当前访问权限类型确定安全访问策略。
在实施中,访问控制系统确定出第一源地址的当前访问权限类型后,可以基于第一源地址的当前访问权限类型设置安全访问策略。安全访问策略用于基于源地址进行访问控制。例如,若第一源地址的当前访问权限类型为限制访问权限类型,则可以限制第一源地址的访问,相应的安全访问策略可以为对包含第一源地址的访问认证数据包进行丢弃处理,从而访问控制系统再次接收到包含第一源地址的访问认证数据包时,可以直接丢弃,达到节约身份认证的计算资源的目的。若第一源地址的当前访问权限类型为正常访问权限类型,则相应的安全访问策略可以为对包含第一源地址的访问认证数据包进行放行处理,若再次接收到包含第一源地址的访问认证数据包,可以正常进行身份认证,并在身份认证通过的情况下建立安全连接,在身份认证失败的情况下,执行前述步骤201。访问控制具体可以通过访问控制列表(ACL,Access Control Lists)来实现,即控制节点可以将限制访问权限类型的源地址添加至ACL中,并将ACL下发给网关节点,使得网关节点基于ACL进行访问控制。
上述访问控制方法中,通过对身份认证失败的访问认证数据包进行攻击行为识别,确定出访问认证数据包包含的源地址的当前访问权限类型,并基于当前访问权限类型设置安全访问策略,用于基于源地址进行访问控制,从而在后续接收到包含攻击源地址(即限制访问权限类型的源地址)的访问认证数据包时,可以基于安全访问策略对其限制访问,避免了对其进行身份认证,达到节约身份认证的计算资源的目的。
其中,攻击行为识别过程为基于特征信息和基于与历史访问认证数据包的匹配成功数量的两阶段识别过程。由于部分攻击数据包(如扫描攻击数据包)的特征信息与正常数据包的特征具有较大差异,因而可以根据数据包的特征信息及时筛选出特征信息差异度较大的攻击数据包,并将其包含的源地址的访问类型确定为限制访问权限类型,提高攻击数据包的识别效率。而对于部分攻击数据包(如Dos攻击数据包),其特征信息可能与正常数据包相似,仅根据特征信息无法分辨正常用户因输错密码等误操作而发送的数据包和攻击数据包。考虑到攻击者一般会在短时间内采用同一源地址多次发送攻击数据包或采用不同源地址多次发送载荷数据相同的攻击数据包,因而可以进一步将该访问认证数据包与身份认证失败的历史访问认证数据包进行匹配处理,并根据匹配成功的数量判断该访问认证数据包是否为攻击数据包。然后对攻击数据包包含的源地址进行限制访问,可以避免对攻击源地址发送的每个攻击数据包都进行身份认证,从而达到节约身份认证的计算资源的目的。因此,通过基于特征信息和匹配成功数量的两阶段识别过程,可以兼顾攻击数据包的识别效率、识别及时性和识别准确度,从而提高访问控制的效率和精准度。
在一个实施例中,步骤201中判断第一访问认证数据包的特征信息是否符合正常数据包特征条件的过程具体包括如下步骤:将第一访问认证数据包输入至数据包相似度模型,得到第一访问认证数据包与正常访问认证数据包的特征相似度;在特征相似度小于预设相似度阈值的情况下,确定第一访问认证数据包的特征信息不符合正常数据包特征条件;在特征相似度大于或等于预设相似度阈值的情况下,确定第一访问认证数据包的特征信息符合正常数据包特征条件。
在实施中,访问控制系统可以将身份认证失败的第一访问认证数据包输入至训练好的数据包相似度模型,得到第一访问认证数据包与正常访问认证数据包的特征相似度。特征相似度可以表明输入的访问认证数据包的载荷数据格式和载荷数据长度(或数据包总长度)等特征信息,与正常访问认证数据包的相似程度。可以预先将历史时段内正常用户通过受信任的正常客户端发送的正常数据包,以及非法用户通过攻击客户端发送的攻击数据包作为训练样本,来训练机器学习模型,得到数据包相似度模型,用于预测输入的数据包与正常数据包的特征相似度。
若得到的特征相似度小于预设相似度阈值,则可以确定第一访问认证数据包的特征信息不符合正常数据包特征条件,说明第一访问认证数据包与正常用户通过正常客户端发送的正常访问认证数据包的差异较大,如不携带载荷数据,或不携带身份信息,导致数据包的长度差异大或负载格式差异大,因而可以将该第一访问认证数据包确定为攻击数据包,将第一源地址的当前访问权限类型确定为限制访问权限类型。若特征相似度大于或等于预设相似度阈值,则可以确定该访问认证数据包的特征信息符合正常数据包特征条件,此时无法判断其为因误操作而认证失败的正常用户发送的数据包或是攻击数据包,因而可以执行步骤203,进一步根据身份认证失败的数据包匹配数量来判断其是否为攻击数据包。
本实施例中,可以通过数据相似度模型来预测第一访问认证数据包与正常数据包的特征相似度,进而根据特征相似度判断其是否符合正常数据包特征条件,由此可以准确地识别出特征信息差异度较大的攻击数据包(如不携带载荷数据或身份信息的扫描攻击数据包),提高攻击数据包的识别及时性和准确度,从而提高访问控制的效率和精准度。
在另一个实施例中,第一访问认证数据包的特征信息包括长度信息,步骤201中判断第一访问认证数据包的特征信息是否符合正常数据包特征条件的过程具体包括如下步骤:在第一访问认证数据包的长度信息小于预设长度阈值的情况下,确定第一访问认证数据包的特征信息不符合正常数据包特征条件;在长度信息大于或等于预设长度阈值的情况下,确定第一访问认证数据包的特征信息符合正常数据包特征条件。
在实施中,特征信息具体可以是长度信息,如数据包的总长度,或是载荷数据的长度,正常数据包特征条件具体可以是正常数据包长度条件。访问控制系统可以将第一访问认证数据包的长度信息与预设长度阈值进行比较,若小于预设长度阈值,则可以确定第一访问认证数据包的特征信息不符合正常数据包特征条件,若大于或等于预设长度阈值,则可以确定第一访问认证数据包的特征信息符合正常数据包特征条件。预设长度阈值可以基于正常用户发送的正常访问认证数据包的长度信息进行设置。
本实施例中,由于大多攻击数据包因不包含载荷数据或身份信息,导致数据包的长度信息的数值小于正常数据包的长度信息的数值,并且差异较大,因此,通过将长度信息与基于正常数据包得到的长度阈值进行比较,可以快速识别出长度信息异常的攻击数据包,提高攻击数据包的识别效率,进而提高访问控制的效率。
在一个实施例中,步骤203中匹配处理的过程具体包括如下步骤:提取各预先存储的历史访问认证数据包包含的待匹配源地址;将第一源地址与各待匹配源地址进行比对,确定出与第一源地址相同的待匹配源地址;将与第一源地址相同的待匹配源地址对应的历史访问认证数据包,确定为匹配成功的历史访问认证数据包。
在实施中,终端可以从预先存储的、在历史时段内身份认证失败的各访问认证数据包(即历史访问认证数据包)中,提取出各历史访问认证数据包包含的源地址,作为待匹配源地址。然后,终端可以将第一访问认证数据包包含的第一源地址,与各待匹配源地址进行比对,若待匹配源地址与第一源地址相同,则匹配成功,终端可以将该相同的待匹配源地址对应的历史访问认证数据包确定为匹配成功的历史访问认证数据包。
本实施例中,通过将第一源地址与各身份认证失败的历史访问认证数据包包含的待匹配源地址进行比对,若待匹配源地址与第一源地址相同,即为匹配成功,由此可以确定出与第一访问认证数据包相同访问发起端发送的数据包,进而基于匹配成功的数量判断第一源地址的当前访问权限类型,可以提高访问控制的精准度。
在另一个实施例中,还提供了另一种匹配处理的过程,具体包括如下步骤:提取第一访问认证数据包的第一载荷数据,并提取各预先存储的历史访问认证数据包的待匹配载荷数据;识别第一载荷数据与各待匹配载荷数据的数据相似度;确定出数据相似度满足预设条件的目标待匹配载荷数据,并将目标待匹配载荷数据对应的历史访问认证数据包,确定为匹配成功的历史访问认证数据包。
在实施中,终端可以从第一访问认证数据包中提取其包含的第一载荷数据(即有效负载),并从各认证失败的历史访问认证数据包中提取出待匹配载荷数据。然后,终端可以识别第一载荷数据与各待匹配载荷数据的数据相似度,例如,终端可以将第一载荷数据的长度信息与每个待匹配载荷数据的长度信息进行比较,若二者的长度信息相同或相近(差值小于预设阈值),则可以确定二者的数据相似度满足预设条件。或者,终端可以采用预先训练的机器学习模型,来识别第一载荷数据与各待匹配载荷数据的数据相似度,若数据相似度大于预设阈值,则可以确定二者的数据相似度满足预设条件。然后,终端可以将目标待匹配载荷数据对应的历史访问认证数据包,确定为匹配成功的历史访问认证数据包,以确定出匹配成功的历史访问认证数据包的数量。
本实施例中,通过将第一访问认证数据包含的载荷数据,与各身份认证失败的历史访问认证数据包包含的待匹配载荷数据,进行相似度分析,可以将载荷数据相似度较大的数据包确定为同一访问发起端(可以是相同源地址或不同源地址)发送的数据包,由此考虑了攻击者变换源地址多次发送相似攻击数据包的情况,攻击行为识别准确度高,因而可以提高访问控制的精准度。
在一个实施例中,步骤203中基于匹配成功的历史访问认证数据包的数量确定第一源地址的当前访问权限类型的过程具体包括如下步骤:在匹配成功的历史访问认证数据包的数量大于预设阈值的情况下,将第一源地址的当前访问权限类型确定为限制访问权限类型;在匹配成功的历史访问认证数据包的数量小于或等于预设阈值的情况下,将第一源地址的当前访问权限类型确定为正常访问权限类型。
在实施中,终端在确定出匹配成功的历史访问认证数据包的数量后,可以与预设阈值进行比较,若该数量大于预设阈值,则可以将第一源地址的当前访问权限类型确定为限制访问权限类型;若该数量小于或等于预设阈值,则此时还无法确认第一访问认证数据包为正常用户的误操作发送的,还是攻击者发送的,因而可以将第一源地址的当前访问权限类型确定为正常访问权限类型,以避免影响正常用户的正常访问。
本实施例中,通过基于与各身份认证失败的历史访问认证数据包匹配成功的数量,判断第一源地址的当前访问权限类型,考虑了正常用户的有限次数的误操作行为,和攻击者的多次攻击行为,由此可以提高访问控制的精准度。
在一个实施例中,如图3所示,在步骤204中确定安全访问策略之后,该方法还包括如下步骤:
步骤301,在接收到第二访问认证数据包的情况下,确定第二访问认证数据包包含的第二源地址。
在实施中,访问控制系统的网关节点在接收到第二访问认证数据包的情况下,可以提取出第二访问认证数据包中包含的第二源地址(若第二访问认证数据包为第一源地址发送的数据包,则第二源地址与前述的第一源地址相同)。
步骤302,在安全访问策略中查询第二源地址对应的访问策略。
在实施中,访问控制系统的网关节点在提取出第二源地址后,可以在安全访问策略中查询第二源地址的访问策略。如网关节点可以在ACL列表中查询是否存在第二源地址,若存在,则针对第二源地址的访问策略为限制访问权限类型对应的访问策略,若不存在,则针对第二源地址的访问策略为正常访问权限类型对应的访问策略。
步骤303,在第二源地址的访问策略为限制访问权限类型对应的访问策略的情况下,丢弃第二访问认证数据包。
在实施中,若针对第二源地址的访问策略为限制访问权限类型对应的访问策略,则网关节点可以直接丢弃第二访问认证数据包,不对其进行身份认证。
步骤304,在第二源地址的访问策略为正常访问权限类型对应的访问策略的情况下,对第二访问认证数据包进行身份认证。
在实施中,若针对第二源地址的访问策略为正常访问,则网关节点可以提取出第二访问认证数据包包含的身份信息,并上传给控制节点进行身份认证。若身份认证成功,则控制节点可以向网关节点发送认证成功消息,以使网关节点建立发送第二访问认证数据包的访问发起端对应的安全连接。若身份认证失败,则可以对该第二访问认证数据包进行丢弃处理,并执行步骤201至204,以便基于第二访问认证数据包进行攻击行为识别,并确定新的安全访问策略。
本实施例中,访问控制系统接收到第二访问认证数据包时,可以先从安全访问策略中查询第二访问认证数据包包含的源地址对应的访问策略,从而可以对限制访问的源地址(即攻击源地址)发送的访问认证数据包进行丢弃处理,不进行身份认证,由此可以避免对攻击者发送的每个访问认证数据包均进行身份认证,达到节省计算资源的目的。
在一个实施例中,限制访问权限类型包括禁止访问权限类型和延迟禁止访问权限类型。步骤202中将第一源地址的当前访问权限类型确定为限制访问权限类型的过程具体包括如下步骤:在特征信息不符合正常数据包特征条件的情况下,将第一源地址的当前访问权限类型确定为延迟禁止访问权限类型。相应的,该方法还包括如下步骤:在第二源地址的访问策略为延迟禁止访问对应的访问策略的情况下,向第二源地址对应的访问发起端发送捕获客户端下载地址,捕获客户端下载地址用于访问发起端基于捕获客户端下载地址下载捕获客户端。
在实施中,访问控制系统还可以包括捕获客户端和捕获服务端,用于获取攻击者的相关信息,如攻击客户端的操作系统信息、浏览器指纹信息等,以便后续对攻击者进行追踪溯源及反制处理。步骤202中,若访问控制系统判断出第一访问认证数据包的特征信息不符合正常数据包特征条件,则可以将第一源地址的当前访问权限类型确定为延迟禁止访问权限类型,并针对第一源地址设置延迟禁止访问对应的访问策略。从而在接收到第二访问认证数据包时,若在安全访问策略中查询到第二源地址的访问策略为延迟禁止访问权限类型对应的访问策略,则访问控制系统的网关节点可以向第二源地址对应的访问发起端发送捕获客户端下载地址,如可以向该访问发起端发送包含捕获客户端下载地址的特定页面,使得访问发起端可以基于捕获客户端下载地址下载捕获客户端。
攻击者可以通过捕获客户端向捕获服务端发送捕获资源访问数据包,以请求授权访问捕获服务端提供的捕获资源。捕获客户端可以理解为正常客户端对应的伪客户端,捕获资源可以理解为伪资源,目的是通过引导攻击者基于捕获客户端访问捕获资源,让攻击者误认为自己通过正常客户端成功访问到了目标资源,由此可以避免攻击者继续向网关节点发送攻击数据包,提高真正的目标资源的访问安全性。并且,在攻击者下载捕获客户端后,捕获客户端可以通过内核hook技术获取运行该捕获客户端的终端信息,如操作系统信息等,作为攻击者信息,从而在攻击者通过捕获客户端与捕获服务端进行交互时,将获取到的攻击者信息发送给捕获服务端,以完成攻击者信息的全面收集。此外,在攻击者访问捕获资源时,还可以通过捕获资源对应的页面获取攻击者的相关信息。其中,通过捕获客户端访问捕获资源时,可以采用弱密码的认证方式,以便顺利获取到攻击者信息。
本实施例中,由于大多扫描攻击数据包因不包含载荷数据或身份信息,其特征信息与正常数据包差异度较大,因而可以根据特征信息识别出扫描攻击数据包,并对扫描攻击数据包包含的源地址进行延迟禁止访问控制。针对延迟禁止访问的源地址,可以将其发送的访问认证数据包引导至捕获客户端下载页面,使第二源地址对应的访问发起端(即攻击发起端)下载捕获客户端后,通过捕获客户端访问捕获服务端提供的捕获资源。由此,可以通过捕获客户端和捕获服务端获取到更全面的攻击者的相关信息,以便后续对攻击者进行追踪溯源及反制处理,阻止其进一步攻击,提高业务系统的访问安全性。
在一个实施例中,前述实施例中,向第二源地址对应的访问发起端发送捕获客户端下载地址之后,该方法还包括如下步骤:在接收到包含第二源地址的捕获资源访问数据包的情况下,将第二源地址的新的当前访问权限类型确定为禁止访问权限类型。
在实施中,若访问控制系统的捕获服务端接收到包含第二源地址的捕获资源访问数据包,说明第二源地址对应的访问发起端(攻击者)已下载捕获客户端,且通过捕获客户端与捕获服务端进行交互,该捕获资源访问数据包中将包含采集的攻击者信息,即攻击者信息捕获完成,因而访问控制系统可以将第二源地址的当前访问权限类型更新为禁止访问权限类型,以对该源地址进行封禁,节约身份认证的计算资源。
本实施例中,在接收到捕获资源访问数据包的情况下,再对网关节点下发针对第二源地址进行禁止访问的访问策略,由此,可以避免在攻击者信息捕获成功前,引起攻击者的警觉,进而导致攻击者信息捕获失败,即本实施例可以提高攻击者信息的捕获成功性。
在一个实施例中,前述示例中向第二源地址对应的访问发起端发送捕获客户端下载地址之后,该方法还包括如下步骤:在监测到第二源地址对应的访问发起端在预设时长内未通过捕获客户端发送捕获资源访问数据包的情况下,将第二源地址的新的当前访问权限类型确定为禁止访问权限类型。
在实施中,访问控制系统向第二源地址对应的访问发起端发送捕获客户端下载地址后,可以启动计时器功能。若在预设时长内未接收到包含第二源地址的捕获资源访问数据包,则说明第二源地址对应的访问发起端在预设时长内未下载捕获客户端或未通过捕获客户端访问捕获资源,故可以将第二源地址的新的当前访问权限类型确定为禁止访问权限类型,以禁止攻击者访问目标资源。
本实施例中,若攻击者接收到捕获客户端下载地址后长时间未下载捕获客户端或未通过捕获客户端访问捕获资源等操作,说明本次捕获失败,则可以将第二源地址(攻击源地址)进行封禁,避免攻击扩大。
应该理解的是,虽然如上所述的各实施例所涉及的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,如上所述的各实施例所涉及的流程图中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
基于同样的发明构思,本申请实施例还提供了一种用于实现上述所涉及的访问控制方法的访问控制装置。该装置所提供的解决问题的实现方案与上述方法中所记载的实现方案相似,故下面所提供的一个或多个访问控制装置实施例中的具体限定可以参见上文中对于访问控制方法的限定,在此不再赘述。
在一个实施例中,如图4所示,提供了一种访问控制装置400,包括:判断模块401、第一确定模块402、第二确定模块403和第三确定模块404,其中:
判断模块401,用于在对第一访问认证数据包进行身份认证失败的情况下,判断第一访问认证数据包的特征信息是否符合正常数据包特征条件;第一访问认证数据包包含第一源地址。
第一确定模块402,用于在特征信息不符合正常数据包特征条件的情况下,将第一源地址的当前访问权限类型确定为限制访问权限类型。
第二确定模块403,用于在特征信息符合正常数据包特征条件的情况下,将第一访问认证数据包与预先存储的历史访问认证数据包进行匹配处理,并基于匹配成功的历史访问认证数据包的数量确定第一源地址的当前访问权限类型;历史访问认证数据包为身份认证失败的访问认证数据包。
第三确定模块404,用于基于第一源地址的当前访问权限类型确定安全访问策略,安全访问策略用于基于第一源地址进行访问控制。
在其中一个实施例中,判断模块401具体用于:将第一访问认证数据包输入至数据包相似度模型,得到第一访问认证数据包与正常访问认证数据包的特征相似度;在特征相似度小于预设相似度阈值的情况下,确定第一访问认证数据包的特征信息不符合正常数据包特征条件;在特征相似度大于或等于预设相似度阈值的情况下,确定第一访问认证数据包的特征信息符合正常数据包特征条件。
在其中一个实施例中,第一访问认证数据包的特征信息包括长度信息,判断模块401具体用于:在第一访问认证数据包的长度信息小于预设长度阈值的情况下,确定第一访问认证数据包的特征信息不符合正常数据包特征条件;在长度信息大于或等于预设长度阈值的情况下,确定第一访问认证数据包的特征信息符合正常数据包特征条件。
在其中一个实施例中,该装置还包括接收模块、查询模块、丢弃模块和认证模块,其中:
接收模块,用于在接收到第二访问认证数据包的情况下,确定。第二访问认证数据包包含的第二源地址。
查询模块,用于在安全访问策略中查询第二源地址对应的访问策略。
丢弃模块,用于在第二源地址的访问策略为限制访问权限类型对应的访问策略的情况下,丢弃第二访问认证数据包。
认证模块,用于在第二源地址的访问策略为正常访问权限类型对应的访问策略的情况下,对第二访问认证数据包进行身份认证。
在其中一个实施例中,限制访问权限类型包括禁止访问权限类型和延迟禁止访问权限类型。第一确定模块402具体用于:在特征信息不符合正常数据包特征条件的情况下,将第一源地址的当前访问权限类型确定为延迟禁止访问权限类型。相应的,该装置还包括捕获模块,用于在第二源地址的访问策略为延迟禁止访问权限类型对应的访问策略的情况下,向第二源地址对应的访问发起端发送捕获客户端下载地址,捕获客户端下载地址用于访问发起端基于捕获客户端下载地址下载捕获客户端。
在其中一个实施例中,该装置还包括:第四确定模块,用于在接收到包含第二源地址的捕获资源访问数据包的情况下,将第二源地址的新的当前访问权限类型确定为禁止访问权限类型。
在其中一个实施例中,该装置还包括第五确定模块,用于在监测到第二源地址对应的访问发起端在预设时长内未通过捕获客户端发送捕获资源访问数据包的情况下,将第二源地址的新的当前访问权限类型确定为禁止访问权限类型。
上述访问控制装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是服务器,其内部结构图可以如图5所示。该计算机设备包括通过系统总线连接的处理器、存储器和网络接口。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质和内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储执行上述访问控制方法所需的或产生的数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种访问控制方法。
本领域技术人员可以理解,图5中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现上述各方法实施例中的步骤。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现上述各方法实施例中的步骤。
在一个实施例中,提供了一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现上述各方法实施例中的步骤。
本申请提供的访问控制方法、装置、计算机设备和存储介质,涉及信息安全技术领域,可用于金融科技领域或其他领域,本申请对访问控制方法、装置、计算机设备和存储介质的应用领域不做限定。
需要说明的是,本申请所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于分析的数据、存储的数据、展示的数据等),均为经用户授权或者经过各方充分授权的信息和数据。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-OnlyMemory,ROM)、磁带、软盘、闪存、光存储器、高密度嵌入式非易失性存储器、阻变存储器(ReRAM)、磁变存储器(Magnetoresistive Random Access Memory,MRAM)、铁电存储器(Ferroelectric Random Access Memory,FRAM)、相变存储器(Phase Change Memory,PCM)、石墨烯存储器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或外部高速缓冲存储器等。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random AccessMemory,SRAM)或动态随机存取存储器(Dynamic RandomAccess Memory,DRAM)等。本申请所提供的各实施例中所涉及的数据库可包括关系型数据库和非关系型数据库中至少一种。非关系型数据库可包括基于区块链的分布式数据库等,不限于此。本申请所提供的各实施例中所涉及的处理器可为通用处理器、中央处理器、图形处理器、数字信号处理器、可编程逻辑器、基于量子计算的数据处理逻辑器等,不限于此。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本申请专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请的保护范围应以所附权利要求为准。
Claims (13)
1.一种访问控制方法,其特征在于,所述方法包括:
在对第一访问认证数据包进行身份认证失败的情况下,判断所述第一访问认证数据包的特征信息是否符合正常数据包特征条件;所述第一访问认证数据包包含第一源地址;
在所述特征信息不符合所述正常数据包特征条件的情况下,将所述第一源地址的当前访问权限类型确定为限制访问权限类型;所述限制访问权限类型包括禁止访问权限类型和延迟禁止访问权限类型,所述延迟禁止访问权限类型对应的访问策略为向访问发起端发送捕获客户端下载地址,所述捕获客户端下载地址用于所述访问发起端基于所述捕获客户端下载地址下载捕获客户端;
在所述特征信息符合所述正常数据包特征条件的情况下,将所述第一访问认证数据包与预先存储的历史访问认证数据包进行匹配处理,并基于匹配成功的历史访问认证数据包的数量确定所述第一源地址的当前访问权限类型;所述历史访问认证数据包为身份认证失败的访问认证数据包;
基于所述第一源地址的当前访问权限类型确定安全访问策略,所述安全访问策略用于基于所述第一源地址进行访问控制。
2.根据权利要求1所述的方法,其特征在于,所述判断所述第一访问认证数据包的特征信息是否符合正常数据包特征条件,包括:
将所述第一访问认证数据包输入至数据包相似度模型,得到所述第一访问认证数据包与正常访问认证数据包的特征相似度;
在所述特征相似度小于预设相似度阈值的情况下,确定所述第一访问认证数据包的特征信息不符合正常数据包特征条件;
在所述特征相似度大于或等于所述预设相似度阈值的情况下,确定所述第一访问认证数据包的特征信息符合所述正常数据包特征条件。
3.根据权利要求1所述的方法,其特征在于,所述第一访问认证数据包的特征信息包括长度信息,所述判断所述第一访问认证数据包的特征信息是否符合正常数据包特征条件,包括:
在所述第一访问认证数据包的长度信息小于预设长度阈值的情况下,确定所述第一访问认证数据包的特征信息不符合正常数据包特征条件;
在所述长度信息大于或等于所述预设长度阈值的情况下,确定所述第一访问认证数据包的特征信息符合所述正常数据包特征条件。
4.根据权利要求1所述的方法,其特征在于,所述在所述特征信息符合所述正常数据包特征条件的情况下,将所述第一访问认证数据包与预先存储的历史访问认证数据包进行匹配处理,包括:
提取各预先存储的历史访问认证数据包包含的待匹配源地址;
将所述第一源地址与各所述待匹配源地址进行比对,确定出与所述第一源地址相同的待匹配源地址;
将与所述第一源地址相同的待匹配源地址对应的所述历史访问认证数据包,确定为匹配成功的历史访问认证数据包。
5.根据权利要求1所述的方法,其特征在于,所述在所述特征信息符合所述正常数据包特征条件的情况下,将所述第一访问认证数据包与预先存储的历史访问认证数据包进行匹配处理,包括:
提取所述第一访问认证数据包的第一载荷数据,并提取各预先存储的历史访问认证数据包的待匹配载荷数据;
识别所述第一载荷数据与各所述待匹配载荷数据的数据相似度;
确定出所述数据相似度满足预设条件的目标待匹配载荷数据,并将所述目标待匹配载荷数据对应的所述历史访问认证数据包,确定为匹配成功的历史访问认证数据包。
6.根据权利要求1所述的方法,其特征在于,所述基于匹配成功的历史访问认证数据包的数量确定所述第一源地址的当前访问权限类型,包括:
在匹配成功的历史访问认证数据包的数量大于预设阈值的情况下,将所述第一源地址的当前访问权限类型确定为限制访问权限类型;
在匹配成功的历史访问认证数据包的数量小于或等于预设阈值的情况下,将所述第一源地址的当前访问权限类型确定为正常访问权限类型。
7.根据权利要求1所述的方法,其特征在于,所述基于所述第一源地址的当前访问权限类型确定安全访问策略之后,还包括:
在接收到第二访问认证数据包的情况下,确定所述第二访问认证数据包包含的第二源地址;
在所述安全访问策略中查询所述第二源地址对应的访问策略;
在所述第二源地址的访问策略为限制访问权限类型对应的访问策略的情况下,丢弃所述第二访问认证数据包;
在所述第二源地址的访问策略为正常访问权限类型对应的访问策略的情况下,对所述第二访问认证数据包进行身份认证。
8.根据权利要求7所述的方法,其特征在于,所述在所述特征信息不符合所述正常数据包特征条件的情况下,将所述第一源地址的当前访问权限类型确定为限制访问权限类型,包括:
在所述特征信息不符合所述正常数据包特征条件的情况下,将所述第一源地址的当前访问权限类型确定为延迟禁止访问权限类型;
所述方法还包括:
在所述第二源地址的访问策略为延迟禁止访问权限类型对应的访问策略的情况下,向所述第二源地址对应的访问发起端发送捕获客户端下载地址,所述捕获客户端下载地址用于所述访问发起端基于所述捕获客户端下载地址下载捕获客户端。
9.根据权利要求8所述的方法,其特征在于,所述向所述第二源地址对应的访问发起端发送捕获客户端下载地址之后,所述方法还包括:
在接收到包含所述第二源地址的捕获资源访问数据包的情况下,将所述第二源地址的新的当前访问权限类型确定为禁止访问权限类型。
10.根据权利要求8所述的方法,其特征在于,所述向所述第二源地址对应的访问发起端发送捕获客户端下载地址之后,所述方法还包括:
在监测到所述第二源地址对应的访问发起端在预设时长内未通过所述捕获客户端发送捕获资源访问数据包的情况下,将所述第二源地址的新的当前访问权限类型确定为禁止访问权限类型。
11.一种访问控制装置,其特征在于,所述装置包括:
判断模块,用于在对第一访问认证数据包进行身份认证失败的情况下,判断所述第一访问认证数据包的特征信息是否符合正常数据包特征条件;所述第一访问认证数据包包含第一源地址;
第一确定模块,用于在所述特征信息不符合所述正常数据包特征条件的情况下,将所述第一源地址的当前访问权限类型确定为限制访问权限类型;所述限制访问权限类型包括禁止访问权限类型和延迟禁止访问权限类型,所述延迟禁止访问权限类型对应的访问策略为向访问发起端发送捕获客户端下载地址,所述捕获客户端下载地址用于所述访问发起端基于所述捕获客户端下载地址下载捕获客户端;
第二确定模块,用于在所述特征信息符合所述正常数据包特征条件的情况下,将所述第一访问认证数据包与预先存储的历史访问认证数据包进行匹配处理,并基于匹配成功的历史访问认证数据包的数量确定所述第一源地址的当前访问权限类型;所述历史访问认证数据包为身份认证失败的访问认证数据包;
第三确定模块,用于基于所述第一源地址的当前访问权限类型确定安全访问策略,所述安全访问策略用于基于所述第一源地址进行访问控制。
12.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至10中任一项所述的方法的步骤。
13.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至10中任一项所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310377073.1A CN116094848B (zh) | 2023-04-11 | 2023-04-11 | 访问控制方法、装置、计算机设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310377073.1A CN116094848B (zh) | 2023-04-11 | 2023-04-11 | 访问控制方法、装置、计算机设备和存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN116094848A CN116094848A (zh) | 2023-05-09 |
| CN116094848B true CN116094848B (zh) | 2023-06-27 |
Family
ID=86208695
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310377073.1A Active CN116094848B (zh) | 2023-04-11 | 2023-04-11 | 访问控制方法、装置、计算机设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116094848B (zh) |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108462704A (zh) * | 2018-02-27 | 2018-08-28 | 平安科技(深圳)有限公司 | 登录验证方法、装置、计算机设备及存储介质 |
| CN111371774A (zh) * | 2020-02-28 | 2020-07-03 | 深信服科技股份有限公司 | 一种信息处理方法及装置、设备、存储介质 |
| CN112866300A (zh) * | 2021-04-13 | 2021-05-28 | 赖祎华 | 基于人工智能的区块链大数据安全防护方法及系统 |
| WO2022021256A1 (zh) * | 2020-07-30 | 2022-02-03 | 华为技术有限公司 | 一种关联控制方法及相关装置 |
| CN114900835A (zh) * | 2022-04-20 | 2022-08-12 | 广州爱浦路网络技术有限公司 | 恶意流量智能检测方法、装置及存储介质 |
| CN115022034A (zh) * | 2022-06-01 | 2022-09-06 | 北京天融信网络安全技术有限公司 | 攻击报文识别方法、装置、设备和介质 |
| CN115834147A (zh) * | 2022-11-03 | 2023-03-21 | 广州拓波软件科技有限公司 | 异常邮件的自动处理方法及装置 |
| CN115865457A (zh) * | 2022-11-25 | 2023-03-28 | 中国农业银行股份有限公司 | 一种网络攻击行为的识别方法、服务器及介质 |
-
2023
- 2023-04-11 CN CN202310377073.1A patent/CN116094848B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108462704A (zh) * | 2018-02-27 | 2018-08-28 | 平安科技(深圳)有限公司 | 登录验证方法、装置、计算机设备及存储介质 |
| CN111371774A (zh) * | 2020-02-28 | 2020-07-03 | 深信服科技股份有限公司 | 一种信息处理方法及装置、设备、存储介质 |
| WO2022021256A1 (zh) * | 2020-07-30 | 2022-02-03 | 华为技术有限公司 | 一种关联控制方法及相关装置 |
| CN112866300A (zh) * | 2021-04-13 | 2021-05-28 | 赖祎华 | 基于人工智能的区块链大数据安全防护方法及系统 |
| CN114900835A (zh) * | 2022-04-20 | 2022-08-12 | 广州爱浦路网络技术有限公司 | 恶意流量智能检测方法、装置及存储介质 |
| CN115022034A (zh) * | 2022-06-01 | 2022-09-06 | 北京天融信网络安全技术有限公司 | 攻击报文识别方法、装置、设备和介质 |
| CN115834147A (zh) * | 2022-11-03 | 2023-03-21 | 广州拓波软件科技有限公司 | 异常邮件的自动处理方法及装置 |
| CN115865457A (zh) * | 2022-11-25 | 2023-03-28 | 中国农业银行股份有限公司 | 一种网络攻击行为的识别方法、服务器及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN116094848A (zh) | 2023-05-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9015839B2 (en) | Identifying malicious devices within a computer network | |
| US8069471B2 (en) | Internet security dynamics assessment system, program product, and related methods | |
| US9648029B2 (en) | System and method of active remediation and passive protection against cyber attacks | |
| CN111131310B (zh) | 访问控制方法、装置、系统、计算机设备和存储介质 | |
| CN108337219B (zh) | 一种物联网防入侵的方法和存储介质 | |
| EP3270317B1 (en) | Dynamic security module server device and operating method thereof | |
| CN113364750B (zh) | 一种基于Snort和OpenFlow启发式诱导APT攻击引入蜜罐的方法 | |
| US11570201B2 (en) | System and method for detecting and blocking malicious attacks on a network | |
| US11930036B2 (en) | Detecting attacks and quarantining malware infected devices | |
| US10339307B2 (en) | Intrusion detection system in a device comprising a first operating system and a second operating system | |
| US11803647B2 (en) | Computer system vulnerability lockdown mode | |
| US8862730B1 (en) | Enabling NAC reassessment based on fingerprint change | |
| Deng et al. | Lexical analysis for the webshell attacks | |
| US11677765B1 (en) | Distributed denial of service attack mitigation | |
| CN112804222B (zh) | 基于云部署的数据传输方法、装置、设备及存储介质 | |
| CN110177113B (zh) | 互联网防护系统及访问请求处理方法 | |
| CN116094848B (zh) | 访问控制方法、装置、计算机设备和存储介质 | |
| CN114374531B (zh) | 访问行为控制方法、装置、计算机设备和存储介质 | |
| CN116049822A (zh) | 应用程序的监管方法、系统、电子设备及存储介质 | |
| CN114978544A (zh) | 一种访问认证方法、装置、系统、电子设备及介质 | |
| CN114297639A (zh) | 一种接口调用行为的监测方法、装置、电子设备及介质 | |
| CN116418538A (zh) | 单包授权的状态检测方法、终端设备及存储介质 | |
| CN113965406A (zh) | 网络阻断方法、装置、电子装置和存储介质 | |
| US20200213322A1 (en) | Monitoring and preventing outbound network connections in runtime applications | |
| CN112532617A (zh) | 一种针对HTTP Flood攻击的检测方法、装置、设备及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |