CN116996238A - 一种网络异常访问的处理方法以及相关装置 - Google Patents

一种网络异常访问的处理方法以及相关装置 Download PDF

Info

Publication number
CN116996238A
CN116996238A CN202210434618.3A CN202210434618A CN116996238A CN 116996238 A CN116996238 A CN 116996238A CN 202210434618 A CN202210434618 A CN 202210434618A CN 116996238 A CN116996238 A CN 116996238A
Authority
CN
China
Prior art keywords
parameter
access
verified
terminal equipment
legal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210434618.3A
Other languages
English (en)
Inventor
吴岳廷
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tencent Technology Shenzhen Co Ltd
Original Assignee
Tencent Technology Shenzhen Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tencent Technology Shenzhen Co Ltd filed Critical Tencent Technology Shenzhen Co Ltd
Priority to CN202210434618.3A priority Critical patent/CN116996238A/zh
Publication of CN116996238A publication Critical patent/CN116996238A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请实施例提供了一种网络异常访问的处理方法以及相关装置,用于缩短异常访问从发现到处置的时间间隔,提高零信任网络控制系统的安全性。具体包括:接收终端设备发送的登录请求,登录请求包括访问主体标识和第一待验证参数,第一待验证参数包括接口调用参数和其参数值内容、终端设备的设备标识以及URL特征;在响应登录请求失败时,记录访问主体标识和待验证参数;根据访问主体标识调用其对应的合法参数;将第一待验证参数与合法参数进行匹配得到第一匹配结果;在第一匹配结果指示命中异常访问规则时,向终端设备发送第一拦截指示。

Description

一种网络异常访问的处理方法以及相关装置
技术领域
本申请涉及互联网技术领域,尤其涉及一种网络异常访问的处理方法以及相关装置。
背景技术
随着企业数字化转型和互联网环境的演变来看,云计算、移动互联的快速发展导致传统内外网边界模糊,企业无法基于传统的物理边界构筑安全基础设施,只能诉诸于更灵活的技术手段来对动态变化的人、终端、系统建立新的逻辑边界,通过对人、终端和系统都进行识别、访问控制、实现全面的身份化,这样身份就成为了网络安全新的边界,以身份为中心的零信任安全成为了网络安全发展的必然趋势。
零信任架构架构下的异常检测方案,通常先上报全量的审计日志,由统计和检测服务识别出异常点后,再进行异步处置的方法。即在业务服务完成之后,将业务服务的相关数据上传至后端服务器,最后对相关数据进行检测确定异常点之后,再对该业务服务进行处置。
这样导致异常访问的检测时间较长,因此在异常访问行为持续时间较短的场景中,对异常访问的处置不及时,损失时效性的同时引起防护失效。
发明内容
本申请实施例提供了一种网络异常访问的处理方法以及相关装置,用于缩短异常访问从发现到处置的时间间隔,提高零信任网络控制系统的安全性。
有鉴于此,本申请一方面提供一种网络异常访问的处理方法,包括:处理装置接收终端设备发送的登录请求,该登录请求包括访问主体标识,第一待验证参数,该第一待验证参数包括接口调用参数、该接口调用参数的参数值内容、该终端设备的设备标识以及统一资源定位符(uniform resource locator,URL)特征;在响应该登录请求失败时,处理装置记录该访问主体标识和该待验证参数;处理装置根据该访问主体标识调用其对应的合法参数,该合法参数包括该访问主体对应的接口调用参数、该访问主体对应的接口调用参数的参数值内容、该访问主体对应的终端设备的设备标识以及该访问主体对应的URL特征;将该第一待验证参数与该合法参数进行匹配得到第一匹配结果;在该第一匹配结果指示命中异常访问规则时,处理装置向该终端设备发送第一拦截指示。
本申请另一方面提供一种网络异常访问的处理装置,包括:接收模块,用于接收终端设备发送的登录请求,该登录请求包括访问主体标识,第一待验证参数,该第一待验证参数包括接口调用参数、该接口调用参数的参数值内容、该终端设备的设备标识以及统一资源定位符URL特征;处理模块,用于在响应该登录请求失败时,记录该访问主体标识和该待验证参数;根据该访问主体标识调用其对应的合法参数,该合法参数包括该访问主体对应的接口调用参数、该访问主体对应的接口调用参数的参数值内容、该访问主体对应的终端设备的设备标识以及该访问主体对应的URL特征;将该第一待验证参数与该合法参数进行匹配得到第一匹配结果;发送模块,用于在该第一匹配结果指示命中异常访问规则时,向该终端设备发送第一拦截指示。
在一种可能的设计中,在本申请实施例的另一方面的另一种实现方式中,该接收模块,还用于在响应该登录请求成功之后,接收该终端设备发送的网络访问票据请求,该网络访问票据请求携带该访问主体标识,第二待验证参数,该第二待验证参数包括接口调用参数、该接口调用参数的参数值内容、该终端设备标识以及URL特征;
该处理模块,还用于在响应该网络访问票据请求失败时,记录该访问主体标识和该第二待验证参数;根据该访问主体标识调用其对应的合法参数,该合法参数包括该访问主体对应的接口调用参数、该访问主体对应的接口调用参数的参数值内容、该访问主体对应的终端设备的设备标识以及该访问主体对应的URL特征;将该第二待验证参数与该合法参数进行匹配得到第二匹配结果;该发送模块,还用于在该第二匹配结果指示命中异常访问规则,向该终端设备发送第二拦截指示。
在一种可能的设计中,在本申请实施例的另一方面的另一种实现方式中,该发送模块,还用于在响应该登录请求成功之后,向该终端设备发送第一身份认证凭据,该第一身份认证凭据用于指示该访问主体身份认证通过;
该接收模块,还用于接收该终端设备发送的网络访问票据请求;
该处理模块,还用于根据该网络访问票据请求与该第一身份认证凭据进行匹配得到第三匹配结果;该发送模块,还用于在该第三匹配结果指示命中异常访问规则,向该终端设备发送第三拦截指示。
在一种可能的设计中,在本申请实施例的另一方面的另一种实现方式中,该第三匹配结果包括:在该第一身份认证凭据的生命周期开始至结束期间且该网络访问票据请求中携带待验证的第二身份认证凭据时,该第二身份认证凭据与该第一身份认证凭据不一致;
在该第一身份认证凭据的生命周期开始至结束期间,该网络访问票据请求未携带该第一身份认证凭据;
在该第一身份认证凭据的生命周期结束之后,该网络访问票据请求携带该第一身份认证凭据。
在一种可能的设计中,在本申请实施例的另一方面的另一种实现方式中,该处理模块,还用于在第一预设时间段统计该终端设备发送的登录请求中的该第一待验证参数与该合法参数匹配失败的第一命中次数;在该第一命中次数超过第一预设阈值时,触发将该登录请求标记为异常访问,并向该终端设备发送第一拦截指示的动作。
在一种可能的设计中,在本申请实施例的另一方面的另一种实现方式中,该第一拦截指示包括:
提示该终端设备对应的用户进行二次身份认证;
控制该终端设备对应的用户退出登录;
阻止该终端设备对应的用户登录;
阻止该终端设备或者该终端设备对应的用户访问权限;
阻止该终端设备网络连接;
将所述终端设备的标识或者所述终端设备对应的对象标识加入黑名单。
在一种可能的设计中,在本申请实施例的另一方面的另一种实现方式中,该处理模块,还用于在该网络访问票据请求响应成功之后,获取该网络访问对应的流量特征、目标访问结果和应用程序编程接口(application programming interface,API)调用数据;将该流量特征、该目标访问结果和该API调用数据与异常访问模型进行匹配得到第四匹配结果;该发送模块,还用于在该第二匹配结果指示该网络访问命中该异常访问模型时,向该终端设备发送第三拦截指示。
在一种可能的设计中,在本申请实施例的另一方面的另一种实现方式中,该处理模块,还用于在第二预设时间段内统计该网络访问命中该异常访问模型的第二命中次数;在该第二命中次数超出第二预设阈值时,触发向该终端设备发送第三拦截指示的动作。
在一种可能的设计中,在本申请实施例的另一方面的另一种实现方式中,该处理模块,还用于在该网络访问票据请求响应成功之后,获取该网络访问对应的流量特征、目标访问结果、应用程序编程接口API调用数据、URL特征以及日志文件;根据该流量特征、该目标访问结果、该API调用数据、该统一资源定位符URL特征以及该日志文件对该网络访问进行分析得到分析结果;该发送模块,还用于在该分析结果指示该网络访问为异常访问时,向该终端设备发送第三拦截指示。
在一种可能的设计中,在本申请实施例的另一方面的另一种实现方式中,该处理模块,具体用于将与该URL特征前缀相同的URL与该目标访问结果进行关联得到状态码,若指示服务器无法响应的状态码的数量超出阈值,则确定该分析结果为重复扫描。
在一种可能的设计中,在本申请实施例的另一方面的另一种实现方式中,该处理模块,具体用于将该API调用数据与其他访问数据对应的API调用数据进行比对,并确定该API调用数据与该其他访问数据对应的API调用数据存在差异,则确定该分析结果为潜在恶意扫描攻击。
在一种可能的设计中,在本申请实施例的另一方面的另一种实现方式中,该第一匹配结果包括:
该第一待验证参数中的设备标识与该合法参数中的设备标识相同,该第一待验证参数中的接口网际互连协议IP与该合法参数中的接口IP相同,该第一待验证参数中的URL特征与该合法参数中的URL特征相同,该第一待验证参数中的参数值内容无法解密;
该第一待验证参数中的设备标识与该合法参数中的设备标识相同,该第一待验证参数中的接口网际互连协议IP与该合法参数中的接口IP相同,该第一待验证参数中的URL特征与该合法参数中的URL特征相同,该第一待验证参数中的参数值内容不合规;
该第一待验证参数中的设备标识与该合法参数中的设备标识相同,该第一待验证参数中的接口网际互连协议IP与该合法参数中的接口IP相同,该接口IP请求的cookies不相同;
该第一待验证参数中的设备标识与该合法参数中的设备标识相同,该第一待验证参数中的接口网际互连协议IP与该合法参数中的接口IP相同,该第一待验证参数中的URL特征携带的参数规格与该合法参数中的URL特征携带的参数规格不一致;
该第一待验证参数中的设备标识与该合法参数中的设备标识相同,该第一待验证参数中的接口网际互连协议IP与该合法参数中的接口IP相同,该第一待验证参数中的参数值内容与该合法参数中的参数值内容不一致且与前一次登录请求中的参数值内容相同。
本申请另一方面提供一种计算机设备,包括:存储器、处理器以及总线系统;
其中,存储器用于存储程序;
处理器用于执行存储器中的程序,处理器用于根据程序代码中的指令执行上述各方面的方法;
总线系统用于连接存储器以及处理器,以使存储器以及处理器进行通信。
本申请的另一方面提供了一种计算机可读存储介质,计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述各方面的方法。
本申请的另一个方面,提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行上述各方面所提供的方法。
从以上技术方案可以看出,本申请实施例具有以下优点:在访问主体的登录认证过程中获取访问主体的参数信息,并根据相关参数与异常访问规则进行匹配确定是否为异常访问,若是,则在业务服务之前直接进行拦截,这样缩短了对于异常访问的检测时间,提高了处理异常访问的时效性,从而提高零信任网络控制系统的安全性。
附图说明
图1为本申请实施例中零信任网络控制系统的一个架构示意图;
图2为本申请实施例中网络异常访问的处理方法的一个实施例示意图;
图3为本申请实施例中零信任网络控制系统中管理员为访问主体配置网络资源的管理界面示意图;
图4为本申请实施例中零信任网络控制系统中管理员为访问主体配置网关资源的管理界面示意图;
图5为本申请实施例中零信任网络控制系统中访问主体查看网络资源的访问权限的界面示意图;
图6为本申请实施例中零信任网络控制系统中访问主体查看网络资源阻止访问的界面示意图;
图7为本申请实施例中网络异常访问的处理方法的另一个实施例示意图;
图8为本申请实施例中网络异常访问的处理方法的另一个实施例示意图;
图9为本申请实施例中网络异常访问的处理方法的另一个实施例示意图;
图10为本申请实施例中网络异常访问的检测方法的示例性统计示意图;
图11为本申请实施例中网络异常访问的处理方法的另一个实施例示意图;
图12为本申请实施例中网络异常访问的处理装置的一个实施例示意图;
图13为本申请实施例中网络异常访问的处理装置的一个实施例示意图。
具体实施方式
本申请实施例提供了一种网络异常访问的处理方法以及相关装置,用于缩短异常访问从发现到自动处置的时间间隔,提高零信任网络控制系统的安全性。
为了使本申请的目的、技术方案及优点更加清楚明白,下面结合附图,对本申请的实施例进行描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。本领域普通技术人员可知,随着新应用场景的出现,本申请实施例提供的技术方案对于类似的技术问题,同样适用。
本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或模块的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或模块,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或模块。在本申请中出现的对步骤进行的命名或者编号,并不意味着必须按照命名或者编号所指示的时间/逻辑先后顺序执行方法流程中的步骤,已经命名或者编号的流程步骤可以根据要实现的技术目的变更执行次序,只要能达到相同或者相类似的技术效果即可。本申请中所出现的单元的划分,是一种逻辑上的划分,实际应用中实现时可以有另外的划分方式,例如多个单元可以结合成或集成在另一个系统中,或一些特征可以忽略,或不执行,另外,所显示的或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元之间的间接耦合或通信连接可以是电性或其他类似的形式,本申请中均不作限定。并且,作为分离部件说明的单元或子单元可以是也可以不是物理上的分离,可以是也可以不是物理单元,或者可以分布到多个电路单元中,可以根据实际的需要选择其中的部分或全部单元来实现本申请方案的目的。
鉴于本申请会涉及到一些专业术语,因此,下面将对这部分专业术语先进行介绍。
可信应用:管理端授信的,终端设备可访问内部业务系统的应用载体,包括应用名,应用MD5,签名信息等。
可达区域:终端设备的访问主体可以通过零信任网络访问企业设置的内部站点列表。
登录凭证:用户成功登录安全客户端后,服务端为该用户指定的一个加密串,表示该用户的登录授权信息,包括用户信息和授权有效期。该登录凭证加密存储在安全客户端。
网络请求凭证:服务端为单个网络请求发放的授权信息,用于标识该网络请求的授权状态。
零信任访问控制策略:由用户可使用的进程信息(可信应用)以及可访问的业务站点(可达区域)组成,在权限开通的情况下,用户可通过任何一个可信应用访问到任一个可达区域。零信任访问控制策略的粒度为登录用户,允许为不同的登录用户制定不同的零信任策略。
零信任网关:部署在企业应用程序和数据资源的入口,负责对每一个访问企业资源的会话请求进行验证和请求转发。
访问代理:访问代理是部署于受控设备的发起安全访问的终端代理,负责访问主体可信身份验证的请求发起,验证身份可信,即可与零信任网关建立加密的访问连接,同时也是访问控制的策略执行点。
直连访问:在零信任网络访问架构中,某个应用对站点发起网络访问请求,由全流量代理劫持到流量后,经由全流量代理向该目标站点发起网络访问,即发起直接连接的访问,由全流量代理将该目标站点的网络响应发送给该应用,这种访问模式称为直连访问。
代理访问:在零信任网络访问架构中,某个应用对站点发起网络访问请求,由全流量代理劫持到流量后,由全流量代理向网关发起流量转发,经由网关代理针对目标业务站点的访问,访问后由网关将该目标站点的网络响应发送给全流量代理,由全流量代理将目标站点的网络响应转发至该应用,这种访问模式称为代理访问。
访问主体:在网络中,发起访问的一方,访问内网业务资源的人/设备/应用/,是由人、设备、应用等因素单一组成或者组合形成的一种数字实体。
访问客体:在网络中,被访问的一方,即企业内网业务资源,包括应用,系统(开发测试环境,运维环境,生产环境等),数据,接口,功能等。
服务寻址:在分布式级联部署方式中,各不同的业务部署在不同的服务器中,寻找客户端不同的业务模块关心的后台服务所部署的服务器连接地址的过程即为服务寻址。
业务模块:由多个文件组成的完成某些特定功能的集合。模块的概念除了可以更清晰的描述产品,还可以更方便的指定要安装卸载的内容。如我们可以指定仅安装一个“威胁响应”模块,或“应用软件管理”模块。
高危端口:高危组件和高危服务运行时对外开放的端口,包括文件传输、网络访问、设备管理和系统配置管理等敏感业务对应的端口,例如:远程桌面、简单网络管理协议(simple network management protocol,snmp)、文件传输协议(file transferprotocol,FTP)等系统管理及文件传输的默认端口即属于高危端口。
策略:管理员在管理端下发的用于企业终端管理的一系列规则集合。包括补丁修复、零信任网络管控、安全加固策略等。策略可能包含票据、时效、有效次数等敏感信息。
网络会话:用户与业务系统执行一次信息交互的过程,例如客户端与服务器建立网络链接后数据发送或接收的过程。包括连接建立和结束,或者数据的发送和接收。
内网横向攻击:在恶意攻击者成功控制部分目标内网的设备后,以被攻陷的机器为跳板,攻击其他内网主机,获取包括凭证信息,共享文件夹等敏感信息,利用这些敏感信息进一步达成控制整个目标内网、拥有最高访问控制权限等目的。
访问会话:基于网络会话,且包含一组相关的特征。访问会话是针对每一个访问企业内网业务资源(包括业务应用,核心系统,资产数据,功能接口等)的网络会话与设备、人员、网络属性、进程属性、端点属性组合绑定的一种抽象概念。
在如图1所示的零信任网络控制系统的架构下,每一个针对企业所属的数据源、API、业务接口,计算服务等的访问请求都要经过权限授予后才能成功触达目标资源。由部署在终端设备上的安全客户端对终端设备完成信任评估,通过双向加密链路,从服务端拉取授权访问策略,并预置在安全客户端。其中,授权访问策略是企业网络管理人员在控制台配置的,是区分内外网资源的边界。终端设备的访问代理对终端设备的网络访问进行全流量劫持,并通过预置的授权访问策略访问对应的资源。在此架构下,访问主体进行企业资源的访问流程可以如下:首先由安全客户端采集访问主体的身份认证信息,经服务端校验通过后完成访问主体的身份认证,访问代理判定当前劫持的流量是发往企业资源的访问后,与安全客户端进行密钥协商以及接口鉴权,并向安全客户端和服务端请求流量鉴权;安全客户端将服务端下发的网络访问票据通过安全传输通道发送至访问代理;访问代理与网关之间通过身份认证与密钥协商,建立起可信的传输隧道;然后该访问代理再将网络访问票据与原始数据包封装后通过该可信传输隧道发送至网关;而网关接收到网络访问票据后,向服务端请求授权结果,根据授权结果决定是否将原始流量向业务服务器转发。
本申请中,安全客户端可以通过浏览器的形式运行于终端设备上,也可以通过独立的应用程序(application,APP)的形式运行于终端设备上等,对于安全客户端的具体展现形式,此处不做限定。而服务端可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式系统,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、内容分发网络(content deliverynetwork,CDN)、以及大数据和人工智能平台等基础云计算服务的云服务器。终端设备可以是智能手机、平板电脑、笔记本电脑、掌上电脑、个人电脑、智能电视、智能手表、车载设备、可穿戴设备等,但并不局限于此。终端设备以及服务器可以通过有线或无线通信方式进行直接或间接地连接,本申请在此不做限制。服务器和终端设备的数量也不做限制。本申请提供的方案可以由服务器独立完成,还可以由终端设备与服务器配合完成,对此,本申请并不做具体限定。其中,该安全客户端可以是安全云平台。可以理解的是,该安全云平台属于云安全的一个部分。云安全融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,并发送到服务端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。云安全主要研究方向包括:1.云计算安全,主要研究如何保障云自身及云上各种应用的安全,包括云计算机系统安全、用户数据的安全存储与隔离、用户接入认证、信息传输安全、网络攻击防护、合规审计等;2.安全基础设施的云化,主要研究如何采用云计算新建与整合安全基础设施资源,优化安全防护机制,包括通过云计算技术构建超大规模安全事件、信息采集与处理平台,实现对海量信息的采集与关联分析,提升全网安全事件把控能力及风险控制能力;3.云安全服务,主要研究各种基于云计算平台为用户提供的安全服务,如防病毒服务等。
基于上述图1所述的零信任网络控制系统,用户在针对企业系统或服务进行访问授权之前,首要的前提是必须进行与安全规则相匹配的身份认证,如果当前设备的环境状态触发多因素认证,或者安全规则较为严格,则需要引入多因子组合认证的方法。比如采用包括手机短信、动态令牌、指纹识别和人脸识别等安全认证方式提升用户身份认证的强度和可靠性。无论采用哪种方式,都是由安全客户端直接或间接地采集身份信息,通过双向安全通道发往服务端,由服务端完成身份认证的校验。身份认证完成后,响应至安全客户端。安全客户端将身份凭证加密存储在本地持久化库(也可以是其他形式的数据库,具体此处不做限定)中。然后在后续网络访问过程中,将身份凭证携带在请求流量中以便网关根据此身份凭证进行网络访问授权。因此针对终端设备上通过登录接口进行身份认证(也称为申请用户身份认证凭证)对应零信任网络控制系统的认证操作,此操作容易成为攻击踩点的目标,因此本申请提出的网络访问异常的处理方法具体流程可以如下:该服务端接收终端设备发送的登录请求,此时该登录请求携带通过该终端设备访问目标资源的访问主体的访问主体标识和第一待验证参数,其中,该第一验证参数包括该终端设备上已部署的安全客户端接口的调用参数、该调用参数对应的参数值内容、该终端设备的设备标识以及该登录请求对应的URL特征;在该服务端响应该登录请求失败时,该服务端记录该访问主体标识和该第一待验证参数;然后该服务端根据该访问主体标识调用该访问主体对应的合法参数,并将该第一待验证参数与该合法参数进行匹配得到第一匹配结果;在该第一匹配结果指示匹配失败时,该服务端向该终端设备发送第一拦截指示。即在访问主体的登录认证过程中获取访问主体的参数信息,并根据相关参数与异常访问规则进行匹配确定是否为异常访问,若是,则在业务服务时直接进行拦截,这样既不影响业务,也缩短了对于异常访问的检测时间,提高了处理异常访问的时效性。
可以理解的是,在本申请的具体实施方式中,涉及到用户信息、用户网络访问等相关的数据,当本申请以上实施例运用到具体产品或技术中时,需要获得用户许可或者同意,且相关数据的收集、使用和处理需要遵守相关国家和地区的相关法律法规和标准。
结合上述介绍,下面将对本申请中网络异常访问的处理方法进行介绍,请参阅图2,本申请实施例中网络异常访问的处理方法的一个实施例包括:
201、服务端接收终端设备发送的登录请求,该登录请求包括访问主体标识和第一待验证参数,该第一待验证参数包括接口调用参数、该接口调用参数的参数值内容、该终端设备的设备标识以及URL特征。
在零信任网络控制系统中,在访问主体针对企业系统或者服务进行访问授权时,该访问主体通过部署在该终端设备上的安全客户端向该零信息网络控制系统中的服务端发送登录请求,该登录请求包括该访问主体标识和第一待验证参数。
可以理解的是,该第一待验证参数可以至少包括如下几种情况:部署在该终端设备上的安全客户端的接口调用参数、该接口调用参数的参数值内容、该终端设备的设备标识以及URL特征。其中,该接口调用参数用于指示进行资源调用的接口以及该进行资源调用的接口上报的参数;该接口调用参数的参数值内容用于指示上述参数的具体取值;该终端设备的设备标识用于向该服务端上报该终端设备;该URL由一串简单的文本字符组成,一条符合规范的URL对应的是服务器的一个特定的资源(如超文本标记语言(hyper textmarkup language,HTML)页面,一张图片等)。按照完整的URL的结构定义,该URL包括协议部分、层级URL标识符号、身份验证、服务地址、服务端口、文件路径、查询字符串以及片段身份标识(identity document,ID)这几部分,然后该URL特征可以用于指示各个部分的取值信息。
而该访问主体用于指示通过部署于该终端设备的安全客户端对企业数据或者资源进行访问的个体,对于该访问主体,在该服务端已具有预设好的合法参数。
202、在该服务端响应该登录请求失败时,该服务端记录该访问主体标识和该第一待验证参数。
若该服务端响应该登录请求失败时,该服务端将该访问主体标识以及该登录请求携带的该第一待验证参数进行保存,此时该服务端可以是将该访问主体标识与该第一待验证参数进行临时保存,也可以是写入相应的数据库。具体实现方式此处不做限定。
203、该服务端根据该访问主体标识调用其对应的合法参数,该合法参数包括该访问主体对应的接口调用参数、该访问主体对应的接口调用参数的参数值内容、该访问主体对应的终端设备的设备标识以及该访问主体对应的URL特征。
该服务端根据该访问主体标识调用其对应的合法参数,此时该合法参数可以与该第一待验证参数的类型相同,即该合法参数包括该访问主体对应的接口调用参数、该访问主体对应的接口调用参数的参数值内容、该访问主体对应的终端设备的设备标识以及该访问主体对应的URL特征。本实施例中,该访问主体对应的合法参数可以是该零信任网络控制系统中的管理员预配置的参数。一种可能实现方式中,该管理员可以根据该访问主体的身份信息为其在零信任网络控制系统中配置调用参数以及相应的权限。如图3所示的该零信任网络管理系统中管理员的管理界面,该管理员可以在该界面上为各个访问主体配置网络资源的访问权限以及该访问主体在对该网络资源进行访问时的参数信息(比如域名、端口、访问方式等等)。同时对于通过网关访问网络资源的访问主体,该管理员还可以对该网关资源进行配置,如图4所示。而访问主体在登录成功之后,该访问主体也可以在指定的终端设备(即可信终端)上自己已授权可以访问的网络资源,如图5所示。同时该访问主体也可以在该安全客户端查看被拦截的资源访问列表以及拦截原因,如图6所示。
204、该服务端将该第一待验证参数与该合法参数进行匹配得到第一匹配结果。
该服务端将该第一待验证参数与该合法参数进行一一匹配得到该第一匹配结果,其中,该第一匹配结果用于指示该登录请求失败的具体情况。一种示例性方案中,该第一匹配结果可以包括如下几种可能情况:
一种场景下,该第一待验证参数中的设备标识与该合法参数中的设备标识相同,该第一待验证参数中的接口网际互连协议IP与该合法参数中的接口IP相同,该第一待验证参数中的URL特征与该合法参数中的URL特征相同,该第一待验证参数中的参数值内容无法解密。即该服务端接收到的登录请求中,该终端设备的设备标识为正确值,部署于该终端设备的安全客户端的IP相同,该登录请求中携带的URL的各个特征相同,但是部署于该终端设备的安全客户端的接口调用参数的值或者该URL携带参数的部分的值无法解密,导致登录失败。
另一种场景下,该第一待验证参数中的设备标识与该合法参数中的设备标识相同,该第一待验证参数中的接口网际互连协议IP与该合法参数中的接口IP相同,该第一待验证参数中的URL特征与该合法参数中的URL特征相同,该第一待验证参数中的参数值内容不合规。即该服务端接收到的登录请求中,该终端设备的设备标识为正确值,部署于该终端设备的安全客户端的IP相同,该登录请求中携带的URL的各个特征相同,但是部署于该终端设备的安全客户端的接口调用参数的值或者该URL携带参数的部分的值与该访问主体的合法参数的取值不一致,导致登录失败。比如合法参数中该接口调用参数的值为1,但是该第一待验证参数中接口调用参数的取值为2,则说明该第一待验证参数中接口调用参数的取值不合规。
该第一待验证参数中的设备标识与该合法参数中的设备标识相同,该第一待验证参数中的接口网际互连协议IP与该合法参数中的接口IP相同,该接口IP请求的cookies不相同。即部署于该终端设备的安全客户端的携带的cookies与合法的cookies不相同,同时与前一次或者前几次携带的cookies也不相同。
该第一待验证参数中的设备标识与该合法参数中的设备标识相同,该第一待验证参数中的接口网际互连协议IP与该合法参数中的接口IP相同,该第一待验证参数中的URL特征携带的参数规格与该合法参数中的URL特征携带的参数规格不一致。即该服务端接收到的登录请求中,该终端设备的设备标识为正确值,部署于该终端设备的安全客户端的IP相同,该登录请求中携带的URL的各个特征相同,但是部署于该终端设备的安全客户端的接口调用参数的值或者该URL携带参数的部分的值与该访问主体的合法参数的取值不一致,导致登录失败。比如合法参数中该接口调用参数的个数为1,但是该第一待验证参数中接口调用参数的个数为2,则说明该第一待验证参数中接口调用参数的规格不合规。
该第一待验证参数中的设备标识与该合法参数中的设备标识相同,该第一待验证参数中的接口网际互连协议IP与该合法参数中的接口IP相同,该第一待验证参数中的参数值内容与该合法参数中的参数值内容不一致且与前一次登录请求中的参数值内容相同。即该服务端接收到的登录请求中,该终端设备的设备标识为正确值,部署于该终端设备的安全客户端的IP相同,该登录请求中携带的URL的各个特征相同,但是部署于该终端设备的安全客户端的接口调用参数的值或者该URL携带参数的部分的值与该访问主体的合法参数的取值不一致,导致登录失败。比如合法参数中该接口调用参数的值为1,但是该第一待验证参数中接口调用参数的取值为2,则说明该第一待验证参数中接口调用参数的取值不合规。同时该接口调用参数的取值与前一次或前几次的接口调用参数的取值相同。
可以理解的是,本实施例中举例的几个场景仅为部分场景,在实际应用中,该第一匹配结果指示的场景还可以有其他可能,具体此处不做限定。
205、在该第一匹配结果指示命中异常访问规则时,该服务端向该终端设备发送第一拦截指示。
在该第一匹配结果显示的失败场景符合该异常访问规则时,该服务端向该终端设备发送该第一拦截指示。可以理解的是该第一拦截指示可以保存在部署于该终端设备的安全用户端。同时该第一拦截指示包括多种可能实现方式,包括:
一种可能实现方式中,提示该终端设备对应的用户进行二次身份认证。即可以在该终端设备弹出相应的提示窗口,从而提示使用该终端设备登录服务端的用户进行二次身份认证。可以理解的是,该二次身份认证可以提高身份认证的难度,比如由原来的单一账号密码登录,增加为多因子认证,比如指纹识别、面部识别、工作号(即称为工号)、身份证信息等等认证。
另一种可能实现方式中,控制该终端设备对应的用户退出登录。即若服务端控制该终端设备退出该用户的登录界面,无法进行登录操作。
另一种可能实现方式中,阻止该终端设备对应的用户登录。即对于该用户无法使用任何登录方式进行登录操作。
另一种可能实现方式中,阻止该终端设备或者该终端设备对应的用户访问权限。即修改该终端设备或者该终端对应的用户的访问权限。比如阻止任何一个使用该终端设备的用户访问企业资源,或仅阻止当前使用该终端设备的用户访问企业资源。
另一种可能实现方式中,阻止该终端设备网络连接。即拦截该终端设备的流量,从而使得该终端设备无法访问任何一种网络资源。
另一种可能实现方式中,将该终端设备或者该终端设备对应的用户加入黑名单。即将该终端设备的设备标识加入黑名单,或者仅将当前使用该终端设备进行登录操作的用户加入黑名单。
可以理解的是,本实施例中举例的几个实现方式仅为部分实现方式,在实际应用中,该第一拦截指示还可以有其他可能,具体此处不做限定。
可以理解的是,在实际应用中,匹配结果显示的失败场景可能会出现是用户正常登录时的意外情况,比如用户忘记密码导致登录失败,但是一直在进行密码重试操作,这样并不能说明用户是网络异常访问。因此在实际应用中,可以通过设置不同的异常判定值来进行网络异常访问的认定。
一种可能实现方式中,在第一预设时间段统计该终端设备发送的登录请求中的该第一待验证参数与该合法参数匹配失败的第一命中次数;在该第一命中次数超过第一预设阈值时,触发向该终端设备发送第一拦截指示的动作。这样只有在失败场景在一定时间段内发生多次时,才可以认定该失败场景为异常访问,这样可以避免将部分正常场景也认定为异常访问,从而产生识别错误。
上面图2所示的方案提供了在访问主体在登录操作阶段进行的网络异常访问的处理方式,在实际应用中,该访问主体有可能在登录操作阶段通过了身份认证,但是在网络访问票据申请阶段出现异常,因此本申请还提供了一种在网络访问票据申请阶段进行网络异常访问的处理方法,具体请参阅图7所示:
701、服务端接收终端设备发送的登录请求,该登录请求包括访问主体标识和第一待验证参数,该第一待验证参数包括接口调用参数、该接口调用参数的参数值内容、该终端设备的设备标识以及URL特征。
在零信任网络控制系统中,在访问主体针对企业系统或者服务进行访问授权时,该访问主体通过部署在该终端设备上的安全客户端向该零信息网络控制系统中的服务端发送登录请求,该登录请求包括该访问主体标识和第一待验证参数。
可以理解的是,该第一待验证参数可以至少包括如下几种情况:部署在该终端设备上的安全客户端的接口调用参数、该接口调用参数的参数值内容、该终端设备的设备标识以及URL特征。其中,该接口调用参数用于指示进行资源调用的接口以及该进行资源调用的接口上报的参数;该接口调用参数的参数值内容用于指示上述参数的具体取值;该终端设备的设备标识用于向该服务端上报该终端设备;该URL由一串简单的文本字符组成,一条符合规范的URL对应的是服务器的一个特定的资源(如超文本标记语言(hyper textmarkup language,HTML)页面,一张图片等)。按照完整的URL的结构定义,该URL包括协议部分、层级URL标识符号、身份验证、服务地址、服务端口、文件路径、查询字符串以及片段身份标识(identity document,ID)这几部分,然后该URL特征可以用于指示各个部分的取值信息。
而该访问主体用于指示通过部署于该终端设备的安全客户端对企业数据或者资源进行访问的个体,对于该访问主体,在该服务端已具有预设好的合法参数。
702、在该服务端响应该登录请求成功之后,该服务端接收该终端设备发送的网络访问票据请求,该网络访问票据请求携带该访问主体标识,第二待验证参数,该第二待验证参数包括接口调用参数、该接口调用参数的参数值内容、该终端设备标识以及URL特征。
在零信任网络控制系统中,在访问主体通过身份认证之后,若访问主体针对企业系统或者服务进行访问授权时,该访问主体通过部署在该终端设备上的安全客户端向该零信息网络控制系统中的服务端发送网络访问票据请求,该网络访问票据请求包括该访问主体标识和第二待验证参数。
可以理解的是,该第二待验证参数可以至少包括如下几种情况:部署在该终端设备上的安全客户端的接口调用参数、该接口调用参数的参数值内容、该终端设备的设备标识以及URL特征。其中,该接口调用参数用于指示进行资源调用的接口以及该进行资源调用的接口上报的参数;该接口调用参数的参数值内容用于指示上述参数的具体取值;该终端设备的设备标识用于向该服务端上报该终端设备;该URL由一串简单的文本字符组成,一条符合规范的URL对应的是服务器的一个特定的资源(如超文本标记语言(hyper textmarkup language,HTML)页面,一张图片等)。按照完整的URL的结构定义,该URL包括协议部分、层级URL标识符号、身份验证、服务地址、服务端口、文件路径、查询字符串以及片段身份标识(identity document,ID)这几部分,然后该URL特征可以用于指示各个部分的取值信息。
而该访问主体用于指示通过部署于该终端设备的安全客户端对企业数据或者资源进行访问的个体,对于该访问主体,在该服务端已具有预设好的合法参数。
703、在响应该网络访问票据请求失败时,服务端记录该访问主体标识和该第二待验证参数。
若该服务端响应该网络访问票据请求失败,该服务端将该访问主体标识以及该网络访问票据请求携带的该第二待验证参数进行保存,此时该服务端可以是将该访问主体标识与该第二待验证参数进行临时保存,也可以是写入相应的数据库。具体实现方式此处不做限定。
704、该服务端根据该访问主体标识调用其对应的合法参数,该合法参数包括该访问主体对应的接口调用参数、该访问主体对应的接口调用参数的参数值内容、该访问主体对应的终端设备的设备标识以及该访问主体对应的URL特征。
该服务端根据该访问主体标识调用其对应的合法参数,此时该合法参数可以与该第一待验证参数的类型相同,即该合法参数包括该访问主体对应的接口调用参数、该访问主体对应的接口调用参数的参数值内容、该访问主体对应的终端设备的设备标识以及该访问主体对应的URL特征。本实施例中,该访问主体对应的合法参数可以是该零信任网络控制系统中的管理员预配置的参数。一种可能实现方式中,该管理员可以根据该访问主体的身份信息为其在零信任网络控制系统中配置调用参数以及相应的权限。如图3所示的该零信任网络管理系统中管理员的管理界面,该管理员可以在该界面上为各个访问主体配置网络资源的访问权限以及该访问主体在对该网络资源进行访问时的参数信息(比如域名、端口、访问方式等等)。同时对于通过网关访问网络资源的访问主体,该管理员还可以对该网关资源进行配置,如图4所示。而访问主体在登录成功之后,该访问主体也可以在指定的终端设备(即可信终端)上自己已授权可以访问的网络资源,如图5所示。同时该访问主体也可以在该安全客户端查看被拦截的资源访问列表以及拦截原因,如图6所示。
705、该服务端将该第二待验证参数与该合法参数进行匹配得到第二匹配结果。
该服务端将该第二待验证参数与该合法参数进行一一匹配得到该第二匹配结果,其中,该第二匹配结果用于指示该网络访问票据请求失败的具体情况。一种示例性方案中,该第二匹配结果可以包括如下几种可能情况:
一种场景下,该第二待验证参数中的设备标识与该合法参数中的设备标识相同,该第二待验证参数中的接口网际互连协议IP与该合法参数中的接口IP相同,该第二待验证参数中的URL特征与该合法参数中的URL特征相同,该第二待验证参数中的参数值内容无法解密。即该服务端接收到的网络访问票据请求中,该终端设备的设备标识为正确值,部署于该终端设备的安全客户端的IP相同,该网络访问票据请求中携带的URL的各个特征相同,但是部署于该终端设备的安全客户端的接口调用参数的值或者该URL携带参数的部分的值无法解密,导致网络访问票据认证失败。
另一种场景下,该第二待验证参数中的设备标识与该合法参数中的设备标识相同,该第二待验证参数中的接口网际互连协议IP与该合法参数中的接口IP相同,该第二待验证参数中的URL特征与该合法参数中的URL特征相同,该第二待验证参数中的参数值内容不合规。即该服务端接收到的网络访问票据请求中,该终端设备的设备标识为正确值,部署于该终端设备的安全客户端的IP相同,该网络访问票据请求中携带的URL的各个特征相同,但是部署于该终端设备的安全客户端的接口调用参数的值或者该URL携带参数的部分的值与该访问主体的合法参数的取值不一致,导致网络访问票据认证失败。比如合法参数中该接口调用参数的值为1,但是该第二待验证参数中接口调用参数的取值为2,则说明该第二待验证参数中接口调用参数的取值不合规。
该第二待验证参数中的设备标识与该合法参数中的设备标识相同,该第二待验证参数中的接口网际互连协议IP与该合法参数中的接口IP相同,该接口IP请求的cookies不相同。即部署于该终端设备的安全客户端的携带的cookies与合法的cookies不相同,同时与前一次或者前几次携带的cookies也不相同。
该第二待验证参数中的设备标识与该合法参数中的设备标识相同,该第二待验证参数中的接口网际互连协议IP与该合法参数中的接口IP相同,该第二待验证参数中的URL特征携带的参数规格与该合法参数中的URL特征携带的参数规格不一致。即该服务端接收到的网络访问票据请求中,该终端设备的设备标识为正确值,部署于该终端设备的安全客户端的IP相同,该网络访问票据请求中携带的URL的各个特征相同,但是部署于该终端设备的安全客户端的接口调用参数的值或者该URL携带参数的部分的值与该访问主体的合法参数的取值不一致,导致网络访问票据认证失败。比如合法参数中该接口调用参数的个数为1,但是该第二待验证参数中接口调用参数的个数为2,则说明该第二待验证参数中接口调用参数的规格不合规。
该第二待验证参数中的设备标识与该合法参数中的设备标识相同,该第二待验证参数中的接口网际互连协议IP与该合法参数中的接口IP相同,该第二待验证参数中的参数值内容与该合法参数中的参数值内容不一致且与前一次网络访问票据请求中的参数值内容相同。即该服务端接收到的网络访问票据请求中,该终端设备的设备标识为正确值,部署于该终端设备的安全客户端的IP相同,该网络访问票据请求中携带的URL的各个特征相同,但是部署于该终端设备的安全客户端的接口调用参数的值或者该URL携带参数的部分的值与该访问主体的合法参数的取值不一致,导致网络访问票据认证失败。比如合法参数中该接口调用参数的值为1,但是该第二待验证参数中接口调用参数的取值为2,则说明该第二待验证参数中接口调用参数的取值不合规。同时该接口调用参数的取值与前一次或前几次的接口调用参数的取值相同。
可以理解的是,本实施例中举例的几个场景仅为部分场景,在实际应用中,该第二匹配结果指示的场景还可以有其他可能,具体此处不做限定。
706、在该第二匹配结果指示命中异常访问规则时,该服务端向该终端设备发送第二拦截指示。
在该第二匹配结果显示的失败场景符合该异常访问规则时,该服务端向该终端设备发送该第二拦截指示。可以理解的是该第二拦截指示可以保存在部署于该终端设备的安全用户端。同时该第二拦截指示包括多种可能实现方式,包括:
一种可能实现方式中,提示该终端设备对应的用户进行二次身份认证。即可以在该终端设备弹出相应的提示窗口,从而提示使用该终端设备登录服务端的用户进行二次身份认证。可以理解的是,该二次身份认证可以提高身份认证的难度,比如由原来的单一账号密码登录,增加为多因子认证,比如指纹识别、面部识别、工作号(即称为工号)、身份证信息等等认证。
另一种可能实现方式中,控制该终端设备对应的用户退出登录。即若服务端控制该终端设备退出该用户的登录界面,无法进行登录操作。
另一种可能实现方式中,阻止该终端设备对应的用户登录。即对于该用户无法使用任何登录方式进行登录操作。
另一种可能实现方式中,阻止该终端设备或者该终端设备对应的用户访问权限。即修改该终端设备或者该终端对应的用户的访问权限。比如阻止任何一个使用该终端设备的用户访问企业资源,或仅阻止当前使用该终端设备的用户访问企业资源。
另一种可能实现方式中,阻止该终端设备网络连接。即拦截该终端设备的流量,从而使得该终端设备无法访问任何一种网络资源。
另一种可能实现方式中,将该终端设备或者该终端设备对应的用户加入黑名单。即将该终端设备的设备标识加入黑名单,或者仅将当前使用该终端设备进行登录操作的用户加入黑名单。
另一种可能实现方式中,拦截该网络访问的流量。即阻止该网络访问抵达最终的目标资源。
可以理解的是,本实施例中举例的几个实现方式仅为部分实现方式,在实际应用中,该第二拦截指示还可以有其他可能,具体此处不做限定。
上面图7所描述的方案中,本申请提供了一种通过网络访问票据申请过程的中的参数信息进行网络异常访问的处理方法,而本申请还提供了一种在网络访问票据申请阶段根据网络访问票据申请与登录操作过程已保存的身份认证凭据进行网络异常访问的处理方法,具体请参阅图8所示:
801、服务端接收终端设备发送的登录请求,该登录请求包括访问主体标识和第一待验证参数,该第一待验证参数包括接口调用参数、该接口调用参数的参数值内容、该终端设备的设备标识以及URL特征。
在零信任网络控制系统中,在访问主体针对企业系统或者服务进行访问授权时,该访问主体通过部署在该终端设备上的安全客户端向该零信息网络控制系统中的服务端发送登录请求,该登录请求包括该访问主体标识和第一待验证参数。
可以理解的是,该第一待验证参数可以至少包括如下几种情况:部署在该终端设备上的安全客户端的接口调用参数、该接口调用参数的参数值内容、该终端设备的设备标识以及URL特征。其中,该接口调用参数用于指示进行资源调用的接口以及该进行资源调用的接口上报的参数;该接口调用参数的参数值内容用于指示上述参数的具体取值;该终端设备的设备标识用于向该服务端上报该终端设备;该URL由一串简单的文本字符组成,一条符合规范的URL对应的是服务器的一个特定的资源(如超文本标记语言(hyper textmarkup language,HTML)页面,一张图片等)。按照完整的URL的结构定义,该URL包括协议部分、层级URL标识符号、身份验证、服务地址、服务端口、文件路径、查询字符串以及片段身份标识(identity document,ID)这几部分,然后该URL特征可以用于指示各个部分的取值信息。
而该访问主体用于指示通过部署于该终端设备的安全客户端对企业数据或者资源进行访问的个体,对于该访问主体,在该服务端已具有预设好的合法参数。
802、在该服务端响应该登录请求成功之后,该服务端向该终端设备发送第一身份认证凭据,该第一身份认证凭据用于指示该访问主体身份认证通过。
在该服务端响应该登录请求成功之后,即完成了该访问主体在该零信任网络控制系统的身份认证,此时该服务端将会为该终端设备生成该第一身份认证凭据,并向该终端设备发送该第一身份认证凭据。因此在该第一身份认证凭证过期之前,重启终端设备或该访问主体访问服务可以通过身份票据校验机制实现自助登录(即无需用户再次执行登录,终端设备将本地加密存储的身份认证凭据发往服务端校验,服务端校验通过后终端设备直接复用已有身份认证凭据登录)。在身份认证凭据过期后,服务端向终端设备下发退出登录的指令,终端设备将自动注销。同时通过该终端设备进行网络访问的用户也可以选择主动注销当前身份认证凭据。在用户成功完成身份认证后,服务端存储终端设备、用户与身份认证凭据的映射关系,服务端从接收到安全客户端的登录请求,生成身份认证凭证并响应安全客户端,到身份认证凭据由于失效或用户主动注销构成身份认证凭据的整个生命周期。
803、该服务端接收该终端设备发送的网络访问票据请求。
本实施例中,该终端设备在进行网络访问时,需要先向该服务端进行票据认证,即该终端设备将会向该服务端发送网络访问票据请求。而在身份认证凭据的生命周期内,该终端设备发送的网络访问票据请求中携带的身份认证凭据只能是同一个身份认证凭据,且能与用户和终端设备建立成功的映射关系。
804、该服务端根据该网络访问票据请求与该第一身份认证凭据进行匹配得到第三匹配结果。
本实施例中,该服务端将该网络访问票据请求中的携带身份认证凭据的情况与该第一身份认证凭据进行匹配得到该第三匹配结果。具体来说,该第三匹配结果包括如下几种可能实现方式:
一种可能实现方式中,在该第一身份认证凭据的生命周期内且该网络访问票据请求中携带待验证的第二身份认证凭据时,该第二身份认证凭据与该第一身份认证凭据不一致。
另一种可能实现方式中,在该第一身份认证凭据的生命周期内,该网络访问票据请求未携带该第一身份认证凭据。
另一种可能实现方式中,在该第一身份认证凭据的生命周期结束之后,该网络访问票据请求携带该第一身份认证凭据。
805、在该第三匹配结果指示命中异常访问规则时,该服务端向该终端设备发送第三拦截指示。
在该第三匹配结果显示的失败场景符合该异常访问规则时,该服务端向该终端设备发送该第二拦截指示。可以理解的是该第二拦截指示可以保存在部署于该终端设备的安全用户端。同时该第二拦截指示包括多种可能实现方式,包括:
一种可能实现方式中,提示该终端设备对应的用户进行二次身份认证。即可以在该终端设备弹出相应的提示窗口,从而提示使用该终端设备登录服务端的用户进行二次身份认证。可以理解的是,该二次身份认证可以提高身份认证的难度,比如由原来的单一账号密码登录,增加为多因子认证,比如指纹识别、面部识别、工作号(即称为工号)、身份证信息等等认证。
另一种可能实现方式中,控制该终端设备对应的用户退出登录。即服务端控制该终端设备退出该用户的登录界面,无法进行登录操作。
另一种可能实现方式中,阻止该终端设备对应的用户登录。即对于该用户无法使用任何登录方式进行登录操作。
另一种可能实现方式中,阻止该终端设备或者该终端设备对应的用户访问权限。即修改该终端设备或者该终端对应的用户的访问权限。比如阻止任何一个使用该终端设备的用户访问企业资源,或仅阻止当前使用该终端设备的用户访问企业资源。
另一种可能实现方式中,阻止该终端设备网络连接。即拦截该终端设备的流量,从而使得该终端设备无法访问任何一种网络资源。
另一种可能实现方式中,将该终端设备或者该终端设备对应的用户加入黑名单。即将该终端设备的设备标识加入黑名单,或者仅将当前使用该终端设备进行登录操作的用户加入黑名单。
另一种可能实现方式中,拦截该网络访问的流量。
可以理解的是,本实施例中举例的几个实现方式仅为部分实现方式,在实际应用中,该第三拦截指示还可以有其他可能,具体此处不做限定。
可以理解的是,在本实施例中,在该网络访问票据认证过程中,该终端设备也可以根据自身生成的网络访问票据请求与自身保存的该第一身份认证凭据进行匹配得到该第三匹配结果,具体操作方式与上述方式相同,此处不再赘述。
上面图7和图8所示的技术方案提供了在访问主体进行网络访问票据请求阶段的网络异常访问的处理方式,在实际应用中,该访问主体有可能在登录操作阶段通过了身份认证以及网络访问票据请求阶段通过了票据认证,但是在网络访问阶段出现异常,因此本申请还提供了一种在网络访问阶段进行网络异常访问的处理方法,具体请参阅图9所示:
901、在该服务端响应该网络访问票据请求成功之后,服务端获取该网络访问对应的流量特征、目标访问结果和应用程序编程接口API调用数据。
在该服务端响应该网络访问票据请求成功之后,该终端设备可以通过该安全客户端向目标资源发送网络访问,在该网络访问的过程中,该服务端可以获取该网络访问对应的流量特征、目标访问结果(即该目标资源)以及该API调用数据。
902、该服务端将该流量特征、该目标访问结果和该API调用数据与异常访问模型进行匹配得到第四匹配结果。
本实施例中,该服务端根据设定的异常访问模型,将该流量特征、该目标访问结果以及该API调用数据输入该异常访问模型,如果该流量特征、该目标访问结果以及该API调用数据匹配到了异常访问模型则形成单个异常访问点。对于网络访问的异常访问检测过程中,在实际应用中,可以通过设置不同的异常判定值来进行网络异常访问的认定,比如单次不能判定为异常,则首先标记为疑似异常类,并统计同类型行为在单位时间周期内的命中次数,超出设定阈值的归并为一个异常访问行为。如图10所示,假设A类异常和C类异常设定为单次出现即可判定,而B类异常设定连续6小时内出现5次才判定为异常,则以30分钟一个时间周期统计,异常B类出现先标记为疑似异常,因为连续6小时B类异常未能达到设定的阈值5,所以最终归并的结果是4小时内检测出异常A类出现3次,异常C类出现1次,而未出现B类异常。
903、在该第二匹配结果指示该网络访问命中该异常访问模型时,该服务端向该终端设备发送第三拦截指示。
在该第二匹配结果指示该网络访问命中该异常访问模型形成异常访问点时,该服务端向该终端设备发送第三拦截指示。
可以理解的是,该第三拦截指示可以保存在部署于该终端设备的安全用户端。同时该第三拦截指示包括多种可能实现方式,包括:
一种可能实现方式中,提示该终端设备对应的用户进行二次身份认证。即可以在该终端设备弹出相应的提示窗口,从而提示使用该终端设备登录服务端的用户进行二次身份认证。可以理解的是,该二次身份认证可以提高身份认证的难度,比如由原来的单一账号密码登录,增加为多因子认证,比如指纹识别、面部识别、工作号(即称为工号)、身份证信息等等认证。
另一种可能实现方式中,控制该终端设备对应的用户退出登录。即服务端控制该终端设备退出该用户的登录界面,无法进行登录操作。
另一种可能实现方式中,阻止该终端设备对应的用户登录。即对于该用户无法使用任何登录方式进行登录操作。
另一种可能实现方式中,阻止该终端设备或者该终端设备对应的用户访问权限。即修改该终端设备或者该终端对应的用户的访问权限。比如阻止任何一个使用该终端设备的用户访问企业资源,或仅阻止当前使用该终端设备的用户访问企业资源。
另一种可能实现方式中,阻止该终端设备网络连接。即拦截该终端设备的流量,从而使得该终端设备无法访问任何一种网络资源。
另一种可能实现方式中,将该终端设备或者该终端设备对应的用户加入黑名单。即将该终端设备的设备标识加入黑名单,或者仅将当前使用该终端设备进行登录操作的用户加入黑名单。
另一种可能实现方式中,拦截该网络访问的流量。
可以理解的是,本实施例中举例的几个实现方式仅为部分实现方式,在实际应用中,该第三拦截指示还可以有其他可能,具体此处不做限定。
本申请还提供了一种在网络访问阶段进行网络异常访问的处理方法,具体请参阅图11所示:
1101、在该服务端响应该网络访问票据请求成功之后,该服务端获取该网络访问对应的流量特征、目标访问结果、应用程序编程接口API调用数据、URL特征以及日志文件。
在该服务端响应该网络访问票据请求成功之后,该终端设备可以通过该安全客户端向目标资源发送网络访问,在该网络访问的过程中,该服务端可以获取该网络访问对应的流量特征、目标访问结果(即该目标资源)、该API调用数据、URL特征以及日志文件。
1102、该服务端根据该流量特征、该目标访问结果、该API调用数据、该URL特征以及该日志文件对该网络访问进行分析得到分析结果。
本实施例中,该服务端在获取到该流量特征、该目标访问结果、该API调用数据、该URL特征以及该日志文件之后,根据该流量特征、该目标访问结果、该API调用数据、该URL特征以及该日志文件进行分析得到分析结果。具体来说,其分析操作可以包括如下几种可能情况:
一种可能实现方式中,该服务端将与该URL特征前缀相同的URL与该目标访问结果进行关联得到状态码,若指示服务器无法响应的状态码的数量超出阈值,则确定该分析结果为重复扫描。
另一种实现方式中,该服务端将该API调用数据与其他访问数据对应的API调用数据进行比对,并确定该API调用数据与该其他访问数据对应的API调用数据存在差异,则确定该分析结果为潜在恶意扫描攻击。
可以理解的是,本实施例中举例的几个实现方式仅为部分实现方式,在实际应用中,该分析过程还可以有其他可能,具体此处不做限定。
1103、在该分析结果指示该网络访问为异常访问时,该服务端向该终端设备发送第三拦截指示。
在该分析结果指示该网络访问为异常访问时,该服务端向该终端设备发送第三拦截指示。
可以理解的是,该第三拦截指示可以保存在部署于该终端设备的安全用户端。同时该第三拦截指示包括多种可能实现方式,包括:
一种可能实现方式中,提示该终端设备对应的用户进行二次身份认证。即可以在该终端设备弹出相应的提示窗口,从而提示使用该终端设备登录服务端的用户进行二次身份认证。可以理解的是,该二次身份认证可以提高身份认证的难度,比如由原来的单一账号密码登录,增加为多因子认证,比如指纹识别、面部识别、工作号(即称为工号)、身份证信息等等认证。
另一种可能实现方式中,控制该终端设备对应的用户退出登录。即服务端控制该终端设备退出该用户的登录界面,无法进行登录操作。
另一种可能实现方式中,阻止该终端设备对应的用户登录。即对于该用户无法使用任何登录方式进行登录操作。
另一种可能实现方式中,阻止该终端设备或者该终端设备对应的用户访问权限。即修改该终端设备或者该终端对应的用户的访问权限。比如阻止任何一个使用该终端设备的用户访问企业资源,或仅阻止当前使用该终端设备的用户访问企业资源。
另一种可能实现方式中,阻止该终端设备网络连接。即拦截该终端设备的流量,从而使得该终端设备无法访问任何一种网络资源。
另一种可能实现方式中,将该终端设备或者该终端设备对应的用户加入黑名单。即将该终端设备的设备标识加入黑名单,或者仅将当前使用该终端设备进行登录操作的用户加入黑名单。
另一种可能实现方式中,拦截该网络访问的流量。
可以理解的是,本实施例中举例的几个实现方式仅为部分实现方式,在实际应用中,该第三拦截指示还可以有其他可能,具体此处不做限定。
下面对本申请中的网络异常访问的处理装置进行详细描述,请参阅图12,图12为本申请实施例中网络异常访问的处理装置的一个实施例示意图,网络异常访问的处理装置20包括:
接收模块1201,用于接收终端设备发送的登录请求,该登录请求包括访问主体标识,第一待验证参数,该第一待验证参数包括接口调用参数、该接口调用参数的参数值内容、该终端设备的设备标识以及统一资源定位符URL特征;
处理模块1202,用于在响应该登录请求失败时,记录该访问主体标识和该待验证参数;根据该访问主体标识调用其对应的合法参数,该合法参数包括该访问主体对应的接口调用参数、该访问主体对应的接口调用参数的参数值内容、该访问主体对应的终端设备的设备标识以及该访问主体对应的URL特征;将该第一待验证参数与该合法参数进行匹配得到第一匹配结果;在该第一匹配结果指示命中异常访问规则时,将该登录请求标记为异常访问;
发送模块1203,用于向该终端设备发送第一拦截指示。
本申请实施例中,提供了一种网络异常访问的处理装置。采用上述装置,能够在访问主体的登录认证过程中获取访问主体的参数信息,并根据相关参数与异常访问规则进行匹配确定是否为异常访问,若是,则在业务服务之前直接进行拦截,这样缩短了对于异常访问的检测时间,提高了处理异常访问的时效性。
可选地,在上述图12所对应的实施例的基础上,本申请实施例提供的网络异常访问的处理装置20的另一实施例中,
该接收模块1201,还用于在响应该登录请求成功之后,接收该终端设备发送的网络访问票据请求,该网络访问票据请求携带该访问主体标识,第二待验证参数,该第二待验证参数包括接口调用参数、该接口调用参数的参数值内容、该终端设备标识以及URL特征;
该处理模块1202,还用于在响应该网络访问票据请求失败时,记录该访问主体标识和该第二待验证参数;根据该访问主体标识调用其对应的合法参数,该合法参数包括该访问主体对应的接口调用参数、该访问主体对应的接口调用参数的参数值内容、该访问主体对应的终端设备的设备标识以及该访问主体对应的URL特征;将该第二待验证参数与该合法参数进行匹配得到第二匹配结果;该发送模块,还用于在该第二匹配结果指示命中异常访问规则,向该终端设备发送第二拦截指示。
本申请实施例中,提供了一种网络异常访问的处理装置。采用上述装置,能够在登录认证通过之后,再根据网络访问票据认证中的相关参数对异常访问进行检测,若检测出异常访问,就可以在业务开始时直接拦截该业务,这样缩短了对于异常访问的检测时间,提高了处理异常访问的时效性。
可选地,在上述图12所对应的实施例的基础上,本申请实施例提供的网络异常访问的处理装置20的另一实施例中,该发送模块1203,还用于在响应该登录请求成功之后,向该终端设备发送第一身份认证凭据,该第一身份认证凭据用于指示该访问主体身份认证通过;
该接收模块1201,还用于接收该终端设备发送的网络访问票据请求;
该处理模块1202,还用于根据该网络访问票据请求与该第一身份认证凭据进行匹配得到第三匹配结果;
该发送模块1203,还用于在该第三匹配结果指示命中异常访问规则,向该终端设备发送第三拦截指示。
本申请实施例中,提供了一种网络异常访问的处理装置。采用上述装置,能够在登录认证通过之后,再根据网络访问票据认证中的身份认证凭据对异常访问进行检测,若检测出异常访问,就可以在业务开始时直接拦截该业务,这样缩短了对于异常访问的检测时间,提高了处理异常访问的时效性。
可选地,在上述图12所对应的实施例的基础上,本申请实施例提供的网络异常访问的处理装置20的另一实施例中,
该第三匹配结果包括:在该第一身份认证凭据的生命周期开始至结束期间且该网络访问票据请求中携带待验证的第二身份认证凭据时,该第二身份认证凭据与该第一身份认证凭据不一致;
在该第一身份认证凭据的生命周期开始至结束期间,该网络访问票据请求未携带该第一身份认证凭据;
在该第一身份认证凭据的生命周期结束之后,该网络访问票据请求携带该第一身份认证凭据。
本申请实施例中,提供了一种网络异常访问的处理装置。采用上述装置,可以根据具体的失败场景对于本申请中的异常访问进行划分归类,从而提高异常访问的检测速度与准确率。
可选地,在上述图12所对应的实施例的基础上,本申请实施例提供的网络异常访问的处理装置20的另一实施例中,
该处理模块1202,还用于在第一预设时间段统计该终端设备发送的登录请求中的该第一待验证参数与该合法参数匹配失败的第一命中次数;在该第一命中次数超过第一预设阈值时,触发将该登录请求标记为异常访问,并向该终端设备发送第一拦截指示的动作。
本申请实施例中,提供了一种网络异常访问的处理装置。采用上述装置,增加判定异常访问检测中的阈值,从而提升异常访问检测的准确性和可靠性。
可选地,在上述图12所对应的实施例的基础上,本申请实施例提供的网络异常访问的处理装置20的另一实施例中,该第一拦截指示包括:
提示该终端设备对应的用户进行二次身份认证;
控制该终端设备对应的用户退出登录;
阻止该终端设备对应的用户登录;
阻止该终端设备或者该终端设备对应的用户访问权限;
阻止该终端设备网络连接;
将该终端设备的标识或者该终端设备对应的对象标识加入黑名单。
本申请实施例中,提供了一种网络异常访问的处理装置。采用上述装置,还可以根据多种方式来处理异常访问,从而提升方案的可行性和可操作性。
可选地,在上述图12所对应的实施例的基础上,本申请实施例提供的网络异常访问的处理装置20的另一实施例中,该处理模块1202,还用于在该网络访问票据请求响应成功之后,获取该网络访问对应的流量特征、目标访问结果和应用程序编程接口(application programming interface,API)调用数据;将该流量特征、该目标访问结果和该API调用数据与异常访问模型进行匹配得到第四匹配结果;
该发送模块1203,还用于在该第二匹配结果指示该网络访问命中该异常访问模型时,向该终端设备发送第三拦截指示。
本申请实施例中,提供了一种网络异常访问的处理装置。采用上述装置,在业务访问之后,获取该业务访问产生的相关数据信息,并根据该数据信息与异常访问模型进行匹配,从而检测得到该业务访问是否为异常访问,若为异常访问,则可以对该业务访问进行下一次的拦截。这样对于通过登录认证以及网络访问票据认证的业务访问进行了更进一步的异常访问检测和处理,扩大了异常访问的检测范围,从而提升了异常访问的检测准确度以及可靠性。
可选地,在上述图12所对应的实施例的基础上,本申请实施例提供的网络异常访问的处理装置20的另一实施例中,
该处理模块1202,还用于在第二预设时间段内统计该网络访问命中该异常访问模型的第二命中次数;在该第二命中次数超出第二预设阈值时,触发向该终端设备发送第三拦截指示的动作。
本申请实施例中,提供了一种网络异常访问的处理装置。采用上述装置,增加判定异常访问检测中的阈值,从而提升异常访问检测的准确性和可靠性。
可选地,在上述图12所对应的实施例的基础上,本申请实施例提供的网络异常访问的处理装置20的另一实施例中,
该处理模块1202,还用于在该网络访问票据请求响应成功之后,获取该网络访问对应的流量特征、目标访问结果、应用程序编程接口API调用数据、URL特征以及日志文件;根据该流量特征、该目标访问结果、该API调用数据、该统一资源定位符URL特征以及该日志文件对该网络访问进行分析得到分析结果;该发送模块,还用于在该分析结果指示该网络访问为异常访问时,向该终端设备发送第三拦截指示。
本申请实施例中,提供了一种网络异常访问的处理装置。采用上述装置,采用上述装置,在业务访问之后,获取该业务访问产生的相关数据信息,并根据该数据信息进行分析,从而检测得到该业务访问是否为异常访问,若为异常访问,则可以对该业务访问进行下一次的拦截。这样对于通过登录认证以及网络访问票据认证的业务访问进行了更进一步的异常访问检测和处理,扩大了异常访问的检测范围,从而提升了异常访问的检测准确度以及可靠性。
可选地,在上述图12所对应的实施例的基础上,本申请实施例提供的网络异常访问的处理装置20的另一实施例中,
该处理模块1202,具体用于将与该URL特征前缀相同的URL与该目标访问结果进行关联得到状态码,若指示服务器无法响应的状态码的数量超出阈值,则确定该分析结果为重复扫描。
本申请实施例中,提供了一种网络异常访问的处理装置。采用上述装置,可以根据具体情况将该异常访问进行划分归类,由此,提升方案的可行性和可操作性。
可选地,在上述图12所对应的实施例的基础上,本申请实施例提供的网络异常访问的处理装置20的另一实施例中,
该处理模块1202,具体用于将该API调用数据与其他访问数据对应的API调用数据进行比对,并确定该API调用数据与该其他访问数据对应的API调用数据存在差异,则确定该分析结果为潜在恶意扫描攻击。
本申请实施例中,提供了一种网络异常访问的处理装置。采用上述装置,可以根据具体情况将该异常访问进行划分归类,由此,提升方案的可行性和可操作性。
可选地,在上述图12所对应的实施例的基础上,本申请实施例提供的网络异常访问的处理装置20的另一实施例中,
该第一匹配结果包括:
该第一待验证参数中的设备标识与该合法参数中的设备标识相同,该第一待验证参数中的接口网际互连协议IP与该合法参数中的接口IP相同,该第一待验证参数中的URL特征与该合法参数中的URL特征相同,该第一待验证参数中的参数值内容无法解密;
该第一待验证参数中的设备标识与该合法参数中的设备标识相同,该第一待验证参数中的接口网际互连协议IP与该合法参数中的接口IP相同,该第一待验证参数中的URL特征与该合法参数中的URL特征相同,该第一待验证参数中的参数值内容不合规;
该第一待验证参数中的设备标识与该合法参数中的设备标识相同,该第一待验证参数中的接口网际互连协议IP与该合法参数中的接口IP相同,该接口IP请求的cookies不相同;
该第一待验证参数中的设备标识与该合法参数中的设备标识相同,该第一待验证参数中的接口网际互连协议IP与该合法参数中的接口IP相同,该第一待验证参数中的URL特征携带的参数规格与该合法参数中的URL特征携带的参数规格不一致;
该第一待验证参数中的设备标识与该合法参数中的设备标识相同,该第一待验证参数中的接口网际互连协议IP与该合法参数中的接口IP相同,该第一待验证参数中的参数值内容与该合法参数中的参数值内容不一致且与前一次登录请求中的参数值内容相同。
本申请实施例中,提供了一种网络异常访问的处理装置。采用上述装置,可以根据具体情况将该异常访问进行划分归类,由此,提升方案的可行性和可操作性。
本申请提供的网络异常访问的处理装置可用于服务器,请参阅图13,图13是本申请实施例提供的一种服务器结构示意图,该服务器300可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上中央处理器(central processing units,CPU)322(例如,一个或一个以上处理器)和存储器332,一个或一个以上存储应用程序342或数据344的存储介质330(例如一个或一个以上海量存储设备)。其中,存储器332和存储介质330可以是短暂存储或持久存储。存储在存储介质330的程序可以包括一个或一个以上模块(图示没标出),每个模块可以包括对服务器中的一系列指令操作。更进一步地,中央处理器322可以设置为与存储介质330通信,在服务器300上执行存储介质330中的一系列指令操作。
服务器300还可以包括一个或一个以上电源326,一个或一个以上有线或无线网络接口350,一个或一个以上输入输出接口358,和/或,一个或一个以上操作系统341,例如Windows ServerTM,Mac OS XTM,UnixTM,LinuxTM,FreeBSDTM等等。
上述实施例中由服务器所执行的步骤可以基于该图13所示的服务器结构。
本申请实施例中还提供一种计算机可读存储介质,该计算机可读存储介质中存储有计算机程序,当其在计算机上运行时,使得计算机执行如前述各个实施例描述的方法。
本申请实施例中还提供一种包括程序的计算机程序产品,当其在计算机上运行时,使得计算机执行前述各个实施例描述的方法。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(read-only memory,ROM)、随机存取存储器(random access memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。

Claims (15)

1.一种网络异常访问的处理方法,其特征在于,包括:
接收终端设备发送的登录请求,所述登录请求包括访问主体标识和第一待验证参数,所述第一待验证参数包括接口调用参数、所述接口调用参数的参数值内容、所述终端设备的设备标识以及统一资源定位符URL特征;
在响应所述登录请求失败时,记录所述访问主体标识和所述第一待验证参数;
根据所述访问主体标识调用其对应的合法参数,所述合法参数包括所述访问主体对应的接口调用参数、所述访问主体对应的接口调用参数的参数值内容、所述访问主体对应的终端设备的设备标识以及所述访问主体对应的URL特征;
将所述第一待验证参数与所述合法参数进行匹配得到第一匹配结果;
在所述第一匹配结果指示命中异常访问规则时,向所述终端设备发送第一拦截指示。
2.根据权利要求1所述的方法,其特征在于,在接收终端设备发送的第一登录请求之后,所述方法还包括:
在响应所述登录请求成功之后,接收所述终端设备发送的网络访问票据请求,所述网络访问票据请求携带所述访问主体标识,第二待验证参数,所述第二待验证参数包括接口调用参数、所述接口调用参数的参数值内容、所述终端设备标识以及URL特征;
在响应所述网络访问票据请求失败时,记录所述访问主体标识和所述第二待验证参数;
根据所述访问主体标识调用其对应的合法参数,所述合法参数包括所述访问主体对应的接口调用参数、所述访问主体对应的接口调用参数的参数值内容、所述访问主体对应的终端设备的设备标识以及所述访问主体对应的URL特征;
将所述第二待验证参数与所述合法参数进行匹配得到第二匹配结果;
在所述第二匹配结果指示命中异常访问规则时,向所述终端设备发送第二拦截指示。
3.根据权利要求1所述的方法,其特征在于,在接收终端设备发送的登录请求之后,所述方法还包括:
在响应所述登录请求成功之后,向所述终端设备发送第一身份认证凭据,所述第一身份认证凭据用于指示所述访问主体身份认证通过;
接收所述终端设备发送的网络访问票据请求;
根据所述网络访问票据请求与所述第一身份认证凭据进行匹配得到第三匹配结果;
在所述第三匹配结果指示命中异常访问规则时,向所述终端设备发送第三拦截指示。
4.根据权利要求3所述的方法,其特征在于,所述第三匹配结果包括:
在所述第一身份认证凭据的生命周期内且所述网络访问票据请求中携带待验证的第二身份认证凭据时,所述第二身份认证凭据与所述第一身份认证凭据不一致;
在所述第一身份认证凭据的生命周期内,所述网络访问票据请求未携带所述第一身份认证凭据;
在所述第一身份认证凭据的生命周期结束之后,所述网络访问票据请求携带所述第一身份认证凭据。
5.根据权利要求1至4中任一项所述的方法,其特征在于,在将所述第一待验证参数与所述合法参数进行匹配得到第一匹配结果之后,将向所述终端设备发送第一拦截指示之前,所述方法还包括:
在第一预设时间段统计所述终端设备发送的登录请求中的所述第一待验证参数与所述合法参数匹配失败的第一命中次数;
在所述第一命中次数超过第一预设阈值时,触发向所述终端设备发送第一拦截指示的动作。
6.根据权利要求1至4中任一项所述的方法,其特征在于,所述第一拦截指示包括:
提示所述终端设备对应的用户进行二次身份认证;
控制所述终端设备对应的用户退出登录;
阻止所述终端设备对应的用户登录;
阻止所述终端设备或者所述终端设备对应的用户访问权限;
阻止所述终端设备网络连接;
将所述终端设备或者所述终端设备对应的用户加入黑名单。
7.根据权利要求2或3所述的方法,其特征在于,所述方法还包括:
在所述网络访问票据请求响应成功之后,获取所述网络访问对应的流量特征、目标访问结果和应用程序编程接口API调用数据;
将所述流量特征、所述目标访问结果和所述API调用数据与异常访问模型进行匹配得到第四匹配结果;
在所述第二匹配结果指示所述网络访问命中所述异常访问模型时,向所述终端设备发送第三拦截指示。
8.根据权利要求7所述的方法,其特征在于,在将所述流量特征、所述目标访问结果和所述API调用数据与异常访问模型进行匹配得到第四匹配结果之后,将所述网络访问标记为异常访问,并向所述终端设备发送第三拦截指示之前,所述方法还包括:
在第二预设时间段内统计所述网络访问命中所述异常访问模型的第二命中次数;
在所述第二命中次数超出第二预设阈值时,触发向所述终端设备发送第三拦截指示的动作。
9.根据权利要求3所述的方法,其特征在于,所述方法还包括:
在所述网络访问票据请求响应成功之后,获取所述网络访问对应的流量特征、目标访问结果、应用程序编程接口API调用数据、URL特征以及日志文件;
根据所述流量特征、所述目标访问结果、所述API调用数据、所述统一资源定位符URL特征以及所述日志文件对所述网络访问进行分析得到分析结果;
在所述分析结果指示所述网络访问为异常访问时,向所述终端设备发送第三拦截指示。
10.根据权利要求9所述的方法,其特征在于,根据所述流量特征、所述目标访问结果、所述API调用数据、所述统一资源定位符URL特征以及所述日志文件对所述访问数据进行分析得到分析结果包括:
将与所述URL特征前缀相同的URL与所述目标访问结果进行关联得到状态码,若指示服务器无法响应的状态码的数量超出阈值,则确定所述分析结果为重复扫描。
11.根据权利要求8所述的方法,其特征在于,根据所述流量特征、所述目标访问结果、所述API调用数据、所述统一资源定位符URL特征以及所述日志文件对所述访问数据进行分析得到分析结果包括:
将所述API调用数据与其他访问数据对应的API调用数据进行比对,并确定所述API调用数据与其他访问数据对应的API调用数据存在差异,则确定所述分析结果为潜在恶意扫描攻击。
12.根据权利要求1至4中任一项所述的方法,其特征在于,所述第一匹配结果包括:
所述第一待验证参数中的设备标识与所述合法参数中的设备标识相同,所述第一待验证参数中的接口网际互连协议IP与所述合法参数中的接口IP相同,所述第一待验证参数中的URL特征与所述合法参数中的URL特征相同,所述第一待验证参数中的参数值内容无法解密;
所述第一待验证参数中的设备标识与所述合法参数中的设备标识相同,所述第一待验证参数中的接口网际互连协议IP与所述合法参数中的接口IP相同,所述第一待验证参数中的URL特征与所述合法参数中的URL特征相同,所述第一待验证参数中的参数值内容不合规;
所述第一待验证参数中的设备标识与所述合法参数中的设备标识相同,所述第一待验证参数中的接口网际互连协议IP与所述合法参数中的接口IP相同,所述接口IP请求的cookies不相同;
所述第一待验证参数中的设备标识与所述合法参数中的设备标识相同,所述第一待验证参数中的接口网际互连协议IP与所述合法参数中的接口IP相同,所述第一待验证参数中的URL特征携带的参数规格与所述合法参数中的URL特征携带的参数规格不一致;
所述第一待验证参数中的设备标识与所述合法参数中的设备标识相同,所述第一待验证参数中的接口网际互连协议IP与所述合法参数中的接口IP相同,所述第一待验证参数中的参数值内容与所述合法参数中的参数值内容不一致且与前一次登录请求中的参数值内容相同。
13.一种网络异常访问的处理装置,其特征在于,包括:
接收模块,用于接收终端设备发送的登录请求,所述登录请求包括访问主体标识,第一待验证参数,所述第一待验证参数包括接口调用参数、所述接口调用参数的参数值内容、所述终端设备的设备标识以及统一资源定位符URL特征;
处理模块,用于在响应所述登录请求失败时,记录所述访问主体标识和所述第一待验证参数;根据所述访问主体标识调用其对应的合法参数,所述合法参数包括所述访问主体对应的接口调用参数、所述访问主体对应的接口调用参数的参数值内容、所述访问主体对应的终端设备的设备标识以及所述访问主体对应的URL特征;将所述第一待验证参数与所述合法参数进行匹配得到第一匹配结果;在所述第一匹配结果指示命中异常访问规则时,将所述登录请求标记为异常访问;
发送模块,用于向所述终端设备发送第一拦截指示。
14.一种计算机设备,其特征在于,包括:存储器、处理器以及总线系统;
其中,所述存储器用于存储程序;
所述处理器用于执行所述存储器中的程序,所述处理器用于根据程序代码中的指令执行权利要求1至12中任一项所述的方法;
所述总线系统用于连接所述存储器以及所述处理器,以使所述存储器以及所述处理器进行通信。
15.一种计算机可读存储介质,包括指令,当其在计算机上运行时,使得计算机执行如权利要求1至12中任一项所述的方法。
CN202210434618.3A 2022-04-24 2022-04-24 一种网络异常访问的处理方法以及相关装置 Pending CN116996238A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210434618.3A CN116996238A (zh) 2022-04-24 2022-04-24 一种网络异常访问的处理方法以及相关装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210434618.3A CN116996238A (zh) 2022-04-24 2022-04-24 一种网络异常访问的处理方法以及相关装置

Publications (1)

Publication Number Publication Date
CN116996238A true CN116996238A (zh) 2023-11-03

Family

ID=88521847

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210434618.3A Pending CN116996238A (zh) 2022-04-24 2022-04-24 一种网络异常访问的处理方法以及相关装置

Country Status (1)

Country Link
CN (1) CN116996238A (zh)

Similar Documents

Publication Publication Date Title
US11134058B1 (en) Network traffic inspection
US10958662B1 (en) Access proxy platform
US9866566B2 (en) Systems and methods for detecting and reacting to malicious activity in computer networks
US10057282B2 (en) Detecting and reacting to malicious activity in decrypted application data
CN112926056A (zh) 基于速度事件检测对于云应用的未授权访问的方法和系统
US11750618B1 (en) System and method for retrieval and analysis of operational data from customer, cloud-hosted virtual resources
CN111314381A (zh) 安全隔离网关
CN115701019A (zh) 零信任网络的访问请求处理方法、装置及电子设备
CN116319024A (zh) 零信任系统的访问控制方法、装置及零信任系统
CN117155716B (zh) 访问校验方法和装置、存储介质及电子设备
CN114745145B (zh) 业务数据访问方法、装置和设备及计算机存储介质
KR101775517B1 (ko) 빅데이터 보안 점검 클라이언트, 빅데이터 보안 점검 장치 및 방법
CN116996238A (zh) 一种网络异常访问的处理方法以及相关装置
KR100906389B1 (ko) 802.1x 인증기반 통합로그 분석 기능을 제공하는통합로그분석시스템, 통합로그 서버, 및 방법
CN115801292A (zh) 访问请求的鉴权方法和装置、存储介质及电子设备
CN112769731A (zh) 一种进程控制方法、装置、服务器及存储介质
US10412097B1 (en) Method and system for providing distributed authentication
CN116192497B (zh) 一种基于零信任体系的网络准入和用户认证的安全交互方法
CN116996236B (zh) 一种数据库操作认证处理方法和装置
CN116032500A (zh) 业务访问流量管控方法、装置、设备和介质
CN116961967A (zh) 数据处理方法、装置、计算机可读介质及电子设备
CN115130116A (zh) 业务资源访问方法、装置、设备、可读存储介质及系统
CN116962149A (zh) 网络故障的检测方法和装置、存储介质及电子设备
CN117040897A (zh) 重放攻击防御方法、装置、终端设备以及存储介质
CN116975805A (zh) 一种数据处理方法、装置、设备、存储介质及产品

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination