CN117082147B - 应用程序网络访问控制方法、系统、设备和介质 - Google Patents

应用程序网络访问控制方法、系统、设备和介质 Download PDF

Info

Publication number
CN117082147B
CN117082147B CN202311329647.4A CN202311329647A CN117082147B CN 117082147 B CN117082147 B CN 117082147B CN 202311329647 A CN202311329647 A CN 202311329647A CN 117082147 B CN117082147 B CN 117082147B
Authority
CN
China
Prior art keywords
application
program
link
network management
ima
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202311329647.4A
Other languages
English (en)
Other versions
CN117082147A (zh
Inventor
罗太富
郝楠
冯毓
张位
庹宇鹏
毛得明
何涛
刘洋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
CETC 30 Research Institute
Original Assignee
CETC 30 Research Institute
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by CETC 30 Research Institute filed Critical CETC 30 Research Institute
Priority to CN202311329647.4A priority Critical patent/CN117082147B/zh
Publication of CN117082147A publication Critical patent/CN117082147A/zh
Application granted granted Critical
Publication of CN117082147B publication Critical patent/CN117082147B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/60Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • H04L67/563Data redirection of data network streams

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供了一种应用程序网络访问控制方法、系统、设备和介质,方法包括:当用户发起网络访问请求时,链接将重定向到应用网络管控客户端;解析得到发起链接的进程PID,并通过进程相关属性得到运行的程序的地址,从而生成该程序对应的IMA身份;判断该程序对应的IMA身份是否在黑名单内,对于IMA身份不在黑名单的程序,构建出该程序对应的应用身份信息,将应用身份信息发送至应用网络管控服务端进行认证评估;对于通过了应用网络管控服务端的认证评估的应用身份信息,转发对应链接的所有流量;若未通过认证,则阻断对应链接。将B/S和C/S架构的应用网络管控进行了通用化管理,具有良好的适用性,节约管理资源,提高管理效率。

Description

应用程序网络访问控制方法、系统、设备和介质
技术领域
本发明涉及网络访问控制技术领域,具体而言,涉及一种应用程序网络访问控制方法、系统、设备和介质。
背景技术
网络访问控制是指在网络环境中对用户及设备访问网络资源和服务的综合控制。网络访问控制具有安全性、稳定性和可靠性要求,可以保证网络的安全和稳定的工作环境。网络访问控制可以从网络带宽、应用软件控制、访问控制等方面实现,让网络资源可以有效地使用,减少流量的问题,保证网络的正常工作。
一般来说,网络访问控制主要涉及以下技术:1、网络安全防护:如访问控制策略、IP地址过滤、拒绝服务(DoS)攻击等,以防止未经授权的用户或病毒木马通过网络入侵。2、网络流量控制:限制外部用户或未经授权的内部用户访问网络资源,以预防网络拥塞和网络攻击,并将带宽资源合理分配给网络的正常用户。3、用户权限控制:采用安全策略,限制特定的用户或未经授权的用户对网络资源进行访问,从而保证网络的安全性。4、应用控制:通过安全策略,依据特定的用户和设备,限制特定应用程序访问网络,以保证网络安全、稳定可靠工作环境。
应用程序网络访问控制是指在网络环境中对应用程序的访问进行控制和管理的方法,访问控制的目标是防止对任何资源的未授权访问。目前市面上对于网络访问控制的方案根据系统架构区分为B/S和C/S,针对不同的系统架构需制定不同的访问控制方案。具体地,由于Linux服务端结构不同导致应用程序网络访问控制无法通用,适用性较差,使用不便,占用大量的管理资源。
发明内容
本发明旨在至少解决现有技术中存在Linux服务端结构不同导致应用程序网络访问控制无法通用,适用性较差,使用不便,占用大量的管理资源的技术问题之一。
为此,本发明第一方面提供了一种应用程序网络访问控制方法。
本发明第二方面提供了一种应用程序网络访问控制系统。
本发明第三方面提供了一种计算机设备。
本发明第四方面提供了一种计算机可读存储介质。
本发明提出的应用程序网络访问控制方法,包括:
对网络端口进行监听;
当用户发起网络访问请求时,链接将重定向到应用网络管控客户端,并对该访问请求进行分流;
根据链接重定向前的网络四元组,解析得到发起链接的进程PID,并通过进程相关属性得到运行的程序的地址,根据运行的程序的地址从IMA组件得到该程序的度量值,从而生成该程序对应的IMA身份;
判断该程序对应的IMA身份是否在黑名单内,对处于黑名单内的IMA身份,在固定时间内不会对该程序发起的新链接进行验证;
对于IMA身份不在黑名单的程序,将该程序的度量值与链接信息、本机信息相关联,构建出该程序对应的应用身份信息,将应用身份信息发送至应用网络管控服务端进行认证评估;
对于通过了应用网络管控服务端的认证评估的应用身份信息,转发对应链接的所有流量;若未通过认证,则阻断对应链接,不允许其访问外部应用。
根据本发明上述技术方案的应用程序网络访问控制方法,还可以具有以下附加技术特征:
在上述技术方案中,所述将应用身份信息发送至应用网络管控服务端进行认证评估,包括:
启动服务监听端口,用以处理应用网络管控客户端发送的应用联网访问请求;
当接收到应用网络管控客户端的认证请求时,将接收到的应用身份信息与白名单缓存数据库中的数据进行对比研判联网应用是否合法;
应用不合法则直接返回拒绝信息给应用网络管控客户端;应用合法则返回允许信息至应用网络管控客户端。
在上述技术方案中,所述应用网络管控服务端在启动时,会先将应用白名单初始化至白名单缓存数据库。
在上述技术方案中,所述将接收到的应用身份信息与白名单缓存数据库中的数据进行对比研判联网应用是否合法,包括:
对接收到的参数,进行合法性验证,丢弃非法请求,保留代表应用身份信息的参数;
对代表应用身份信息的参数进行JSON格式化处理;
根据格式化后的数据与白名单缓存数据库中的数据进行比对研判联网应用是否合法。
在上述技术方案中,所述对该访问请求进行分流,包括:
根据访问请求的源IP地址、源端口、目的IP地址和目的端口对该访问请求进行分流。
在上述技术方案中,所述根据链接重定向前的网络四元组,解析得到发起链接的进程PID包括:
利用访问请求的socket文件的属性得到该链接重定向前的目的IP地址和目的端口,然后根据该链接的源端口和源地址IP,解析得到发起该链接的进程PID。
在上述技术方案中,所述判断该程序对应的IMA身份是否在黑名单内,包括:
若度量值对应的程序多次发起未验证通过的请求,则将该度量值放入黑名单内。
本发明提供的一种应用程序网络访问控制系统,包括应用网络管控客户端和应用网络管控服务端;所述系统设计架构为C/S架构;
所述应用网络管控客户端的工作流程包括:
对网络端口进行监听;
当用户发起网络访问请求时,链接将重定向到应用网络管控客户端,并对该访问请求进行分流;
根据链接重定向前的网络四元组,解析得到发起链接的进程PID,并通过进程相关属性得到运行的程序的地址,根据运行的程序的地址从IMA组件得到该程序的度量值,从而生成该程序对应的IMA身份;
判断该程序对应的IMA身份是否在黑名单内,对处于黑名单内的IMA身份,在固定时间内不会对该程序发起的新链接进行验证;
对于IMA身份不在黑名单的程序,将该程序的度量值与链接信息、本机信息相关联,构建出该程序对应的应用身份信息,将应用身份信息发送至应用网络管控服务端进行认证评估;
对于通过了应用网络管控服务端的认证评估的应用身份信息,转发对应链接的所有流量;若未通过认证,则阻断对应链接,不允许其访问外部应用;
所述应用网络管控服务端的工作流程包括:
启动服务监听端口,用以处理应用网络管控客户端发送的应用联网访问请求;
当接收到应用网络管控客户端的认证请求时,将接收到的应用身份信息与白名单缓存数据库中的数据进行对比研判联网应用是否合法;
应用不合法则直接返回拒绝信息给客户端;应用合法则返回允许信息至客户端。
本发明提供的一种计算机设备,所述计算机设备包括处理器和存储器,所述存储器中存储有计算机程序,所述计算机程序由所述处理器加载并执行以实现如上述技术方案中所述的应用程序网络访问控制方法。
本发明提供的一种计算机可读存储介质,其特征在于,所述存储介质中存储有计算机程序,所述计算机程序由处理器加载并执行以实现如上述技术方案中所述的应用程序网络访问控制方法。
综上所述,由于采用了上述技术特征,本发明的有益效果是:
将B/S和C/S架构的应用网络管控进行了通用化管理,具有良好的适用性,节约管理资源,提高管理效率;同时在客户端提出了客户端黑名单机制,客户端会对异常的网络访问请求进行记录解析,将异常的联网应用进行黑名单处理。
本发明的附加方面和优点将在下面的描述部分中变得明显,或通过本发明的实践了解到。
附图说明
本发明的上述和/或附加的方面和优点从结合下面附图对实施例的描述中将变得明显和容易理解,其中:
图1是本发明一个实施例的应用程序网络访问控制方法的流程图;
图2是本发明一个实施例的应用程序网络访问控制系统中应用网络管控客户端工作流程的示意图;
图3是本发明一个实施例的应用程序网络访问控制系统中应用网络管控服务端工作流程的示意图。
具体实施方式
为了能够更清楚地理解本发明的上述目的、特征和优点,下面结合附图和具体实施方式对本发明进行进一步的详细描述。需要说明的是,在不冲突的情况下,本申请的实施例及实施例中的特征可以相互组合。
在下面的描述中阐述了很多具体细节以便于充分理解本发明,但是,本发明还可以采用其它不同于在此描述的方式来实施,因此,本发明的保护范围并不受下面公开的具体实施例的限制。
下面参照图1至图3来描述根据本发明一些实施例提供的应用程序网络访问控制方法、系统、设备和介质。
本申请的一些实施例提供了一种应用程序网络访问控制方法。
如图1所示,本发明第一个实施例提出了一种应用程序网络访问控制方法,包括:
对网络端口进行监听;具体的,使应用网络管控客户端监听在某一固定端口,例如8080端口。
当用户发起网络访问请求时,链接将重定向到应用网络管控客户端,应用网络管控客户端会根据该请求的源IP地址、源端口、目的IP地址、目的端口对该访问请求进行分流。
利用访问请求的socket文件(Socket通常也称作“套接字”,用于描述已建立连接的发送和接收缓冲区,应用程序通过对此文件调用读写等操作来发送网络数据,应用程序通常通过“套接字”向网络发出请求或者应答网络请求)的属性得到该链接重定向前的目的IP地址和目的端口,然后根据该链接的源端口和源地址IP,解析得到发起该链接的进程PID。其中,PID,英文全称为Process Identifier,即进程控制符,是程序被操作系统加载到内存成为进程后动态分配的资源,它是各进程的身份标识,程序一运行系统就会自动分配给进程一个独一无二的PID。得到进程PID后,通过进程相关属性得到运行的程序的地址,根据运行的程序的地址从IMA组件得到该程序的度量值,从而生成该程序对应的IMA身份,IMA身份即包含对应程序的度量值。其中, IMA,全称 Integrity Measurement Architecture(完整性度量架构),是内核中的一个子系统,能够基于自定义策略对通过 execve()、mmap() 和 open() 系统调用访问的文件进行度量,度量结果可被用于本地/远程证明,或者和已有的参考值比较以控制对文件的访问。其中, execve()为执行程序函数,mmap() 为内存映射函数,open() 为系统调用函数。
判断该程序对应的IMA身份是否在黑名单内,对处于黑名单内的IMA身份,在固定时间内不会对该程序发起的新链接进行验证。在一个实施例中,若度量值对应的程序多次发起未验证通过的请求,则将该度量值放入黑名单内,在一定时间内不会对该程序发起的新链接进行验证。
对于IMA身份不在黑名单的程序,将该程序的度量值与链接信息、本机信息相关联,构建出该程序对应的应用身份信息,将应用身份信息发送至应用网络管控服务端进行认证评估;
对于通过了应用网络管控服务端的认证评估的应用身份信息,转发对应链接的所有流量;若未通过认证,则阻断对应链接,不允许其访问外部应用。
应用网络管控客户端在进行应用程序身份认证时,需发送联网应用发出请求的端口以及协议,应用网络管控服务端在接收到应用网络管控客户端发送的端口及解析后,会对当前联网应用的联网请求进行研判,在一个具体实施例中,联网应用发出请求的端口以及协议的格式如下:
"端口": "8080",
"协议": "http"。
在一些实施例中,所述将应用身份信息发送至应用网络管控服务端进行认证评估,包括:
启动服务监听某一固定的端口,如9999端口,用以处理应用网络管控客户端发送的应用联网访问请求;具体地,所述应用网络管控服务端在启动时,会先将应用白名单初始化至白名单缓存数据库。
当接收到应用网络管控客户端的认证请求时,会先对接收到的参数进行合法性验证,丢弃非法请求,保留代表应用身份信息的参数;对代表应用身份信息的参数进行JSON格式化处理;根据格式化后的数据与白名单缓存数据库中的数据进行比对研判联网应用是否合法。JSON格式化是指按照一定的规则和样式将JSON数据进行重新排列和显示,JSON(JavaScript Object Notation, JS对象简谱)是一种轻量级的数据交换格式。
应用不合法则直接返回拒绝信息给应用网络管控客户端;应用合法则返回允许信息至应用网络管控客户端。
本发明第二个实施例提出了一种应用程序网络访问控制系统,且在第一个实施例的基础上,包括应用网络管控客户端和应用网络管控服务端;所述系统设计架构为C/S架构(Client-Serve结构,即服务器-客户机结构);
如图2所示,所述应用网络管控客户端的工作流程包括:
对网络端口进行监听;
当用户发起网络访问请求时,链接将重定向到应用网络管控客户端,并对该访问请求进行分流;
根据链接重定向前的网络四元组,解析得到发起链接的进程PID,并通过进程相关属性得到运行的程序的地址,根据运行的程序的地址从IMA组件得到该程序的度量值,从而生成该程序对应的IMA身份;
判断该程序对应的IMA身份是否在黑名单内,对处于黑名单内的IMA身份,在固定时间内不会对该程序发起的新链接进行验证;
对于IMA身份不在黑名单的程序,将该程序的度量值与链接信息、本机信息相关联,构建出该程序对应的应用身份信息,将应用身份信息发送至应用网络管控服务端进行认证评估;
对于通过了应用网络管控服务端的认证评估的应用身份信息,转发对应链接的所有流量;若未通过认证,则阻断对应链接,不允许其访问外部应用;
如图3所示,所述应用网络管控服务端的工作流程包括:
将应用白名单初始化至白名单缓存数据库。应用白名单可人工设置也可通过系统导入。
启动服务监听某一固定的端口,如9999端口,用以处理应用网络管控客户端发送的应用联网访问请求。
当接收到应用网络管控客户端的认证请求时,会先对接收到的参数进行合法性验证,丢弃非法请求,保留代表应用身份信息的参数;对代表应用身份信息的参数进行JSON格式化处理;根据格式化后的数据与白名单缓存数据库中的数据进行比对研判联网应用是否合法。
应用不合法则直接返回拒绝信息给应用网络管控客户端;应用合法则返回允许信息至应用网络管控客户端。
本发明第三个实施例提出了一种计算机设备,所述计算机设备包括处理器和存储器,所述存储器中存储有计算机程序,所述计算机程序由所述处理器加载并执行以实现如上述实施例中所述的应用程序网络访问控制方法。
本发明第四个实施例提出了一种计算机可读存储介质,所述存储介质中存储有计算机程序,所述计算机程序由处理器加载并执行以实现如上述实施例中所述的应用程序网络访问控制方法。
在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或实例。而且,描述的具体特征、结构、材料或特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (10)

1.一种应用程序网络访问控制方法,其特征在于,包括:
对网络端口进行监听;
当用户发起网络访问请求时,链接将重定向到应用网络管控客户端,并对该访问请求进行分流;
根据链接重定向前的网络四元组,解析得到发起链接的进程PID,并通过进程相关属性得到运行的程序的地址,根据运行的程序的地址从IMA组件得到该程序的度量值,从而生成该程序对应的IMA身份;其中,IMA表示完整性度量架构;
判断该程序对应的IMA身份是否在黑名单内,对处于黑名单内的IMA身份,在固定时间内不会对该程序发起的新链接进行验证;
对于IMA身份不在黑名单的程序,将该程序的度量值与链接信息和本机信息相关联,构建出该程序对应的应用身份信息,将应用身份信息发送至应用网络管控服务端进行认证评估;
对于通过了应用网络管控服务端的认证评估的应用身份信息,转发对应链接的所有流量;若未通过认证,则阻断对应链接,不允许其访问外部应用。
2.根据权利要求1所述的应用程序网络访问控制方法,其特征在于,所述将应用身份信息发送至应用网络管控服务端进行认证评估,包括:
启动服务监听端口,用以处理应用网络管控客户端发送的应用联网访问请求;
当接收到应用网络管控客户端的认证请求时,将接收到的应用身份信息与白名单缓存数据库中的数据进行对比研判联网应用是否合法;
应用不合法则直接返回拒绝信息给应用网络管控客户端;应用合法则返回允许信息至应用网络管控客户端。
3.根据权利要求2所述的应用程序网络访问控制方法,其特征在于,所述应用网络管控服务端在启动时,会先将应用白名单初始化至白名单缓存数据库。
4.根据权利要求3所述的应用程序网络访问控制方法,其特征在于,所述将接收到的应用身份信息与白名单缓存数据库中的数据进行对比研判联网应用是否合法,包括:
对接收到的参数,进行合法性验证,丢弃非法请求,保留代表应用身份信息的参数;
对代表应用身份信息的参数进行JSON格式化处理;
根据格式化后的数据与白名单缓存数据库中的数据进行比对研判联网应用是否合法。
5.根据权利要求1所述的应用程序网络访问控制方法,其特征在于,所述对该访问请求进行分流,包括:
根据访问请求的源IP地址、源端口、目的IP地址和目的端口对该访问请求进行分流。
6.根据权利要求1所述的应用程序网络访问控制方法,其特征在于,所述根据链接重定向前的网络四元组,解析得到发起链接的进程PID包括:
利用访问请求的socket文件的属性得到该链接重定向前的目的IP地址和目的端口,然后根据该链接的源端口和源地址IP,解析得到发起该链接的进程PID。
7.根据权利要求1所述的应用程序网络访问控制方法,其特征在于,所述判断该程序对应的IMA身份是否在黑名单内,包括:
若度量值对应的程序多次发起未验证通过的请求,则将该度量值放入黑名单内。
8.一种应用程序网络访问控制系统,其特征在于,包括应用网络管控客户端和应用网络管控服务端;所述系统设计架构为C/S架构;
所述应用网络管控客户端的工作流程包括:
对网络端口进行监听;
当用户发起网络访问请求时,链接将重定向到应用网络管控客户端,并对该访问请求进行分流;
根据链接重定向前的网络四元组,解析得到发起链接的进程PID,并通过进程相关属性得到运行的程序的地址,根据运行的程序的地址从IMA组件得到该程序的度量值,从而生成该程序对应的IMA身份;其中,IMA表示完整性度量架构;
判断该程序对应的IMA身份是否在黑名单内,对处于黑名单内的IMA身份,在固定时间内不会对该程序发起的新链接进行验证;
对于IMA身份不在黑名单的程序,将该程序的度量值与链接信息和本机信息相关联,构建出该程序对应的应用身份信息,将应用身份信息发送至应用网络管控服务端进行认证评估;
对于通过了应用网络管控服务端的认证评估的应用身份信息,转发对应链接的所有流量;若未通过认证,则阻断对应链接,不允许其访问外部应用;
所述应用网络管控服务端的工作流程包括:
启动服务监听端口,用以处理应用网络管控客户端发送的应用联网访问请求;
当接收到应用网络管控客户端的认证请求时,将接收到的应用身份信息与白名单缓存数据库中的数据进行对比研判联网应用是否合法;
应用不合法则直接返回拒绝信息给客户端;应用合法则返回允许信息至客户端。
9.一种计算机设备,其特征在于,所述计算机设备包括处理器和存储器,所述存储器中存储有计算机程序,所述计算机程序由所述处理器加载并执行以实现如权利要求1至7中任一项所述的应用程序网络访问控制方法。
10.一种计算机可读存储介质,其特征在于,所述存储介质中存储有计算机程序,所述计算机程序由处理器加载并执行以实现如权利要求1至7中任一项所述的应用程序网络访问控制方法。
CN202311329647.4A 2023-10-16 2023-10-16 应用程序网络访问控制方法、系统、设备和介质 Active CN117082147B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311329647.4A CN117082147B (zh) 2023-10-16 2023-10-16 应用程序网络访问控制方法、系统、设备和介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311329647.4A CN117082147B (zh) 2023-10-16 2023-10-16 应用程序网络访问控制方法、系统、设备和介质

Publications (2)

Publication Number Publication Date
CN117082147A CN117082147A (zh) 2023-11-17
CN117082147B true CN117082147B (zh) 2023-12-15

Family

ID=88717495

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311329647.4A Active CN117082147B (zh) 2023-10-16 2023-10-16 应用程序网络访问控制方法、系统、设备和介质

Country Status (1)

Country Link
CN (1) CN117082147B (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102035837A (zh) * 2010-12-07 2011-04-27 中国科学院软件研究所 一种分层连接可信网络的方法及系统
CN102438044A (zh) * 2011-12-04 2012-05-02 河南科技大学 一种基于云计算的数字内容可信使用控制方法
CN103347027A (zh) * 2013-07-16 2013-10-09 湘潭大学 一种可信网络连接方法和系统
CN103607374A (zh) * 2013-10-28 2014-02-26 中国航天科工集团第二研究院七〇六所 基于身份认证和数据包过滤技术的网络资源访问控制方法
CN104239802A (zh) * 2014-10-15 2014-12-24 浪潮电子信息产业股份有限公司 一种基于云数据中心的可信服务器设计方法
CN107277049A (zh) * 2017-07-27 2017-10-20 郑州云海信息技术有限公司 一种应用系统的访问方法及装置

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9055093B2 (en) * 2005-10-21 2015-06-09 Kevin R. Borders Method, system and computer program product for detecting at least one of security threats and undesirable computer files
US9832217B2 (en) * 2014-03-13 2017-11-28 International Business Machines Corporation Computer implemented techniques for detecting, investigating and remediating security violations to IT infrastructure
US11489872B2 (en) * 2018-05-10 2022-11-01 Jayant Shukla Identity-based segmentation of applications and containers in a dynamic environment

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102035837A (zh) * 2010-12-07 2011-04-27 中国科学院软件研究所 一种分层连接可信网络的方法及系统
CN102438044A (zh) * 2011-12-04 2012-05-02 河南科技大学 一种基于云计算的数字内容可信使用控制方法
CN103347027A (zh) * 2013-07-16 2013-10-09 湘潭大学 一种可信网络连接方法和系统
CN103607374A (zh) * 2013-10-28 2014-02-26 中国航天科工集团第二研究院七〇六所 基于身份认证和数据包过滤技术的网络资源访问控制方法
CN104239802A (zh) * 2014-10-15 2014-12-24 浪潮电子信息产业股份有限公司 一种基于云数据中心的可信服务器设计方法
CN107277049A (zh) * 2017-07-27 2017-10-20 郑州云海信息技术有限公司 一种应用系统的访问方法及装置

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
Blocking Hacking Users in Anonymizing Network Using Blacklisting;Jenifer A;Journal of Computer Applications;全文 *
隐蔽式网络攻击检测关键问题研究;曹自刚;中国博士学位论文全文数据库 (信息科技辑);全文 *

Also Published As

Publication number Publication date
CN117082147A (zh) 2023-11-17

Similar Documents

Publication Publication Date Title
US10904277B1 (en) Threat intelligence system measuring network threat levels
US9081941B2 (en) Virtual machine
US11456965B2 (en) Network service request throttling system
US7506056B2 (en) System analyzing configuration fingerprints of network nodes for granting network access and detecting security threat
CN110213215B (zh) 一种资源访问方法、装置、终端和存储介质
US11570203B2 (en) Edge network-based account protection service
CN116319024B (zh) 零信任系统的访问控制方法、装置及零信任系统
CN111953635B (zh) 接口请求处理方法及计算机可读存储介质
US12022296B2 (en) Network cyber-security platform
US20110321134A1 (en) Consigning Authentication Method
CN114760083B (zh) 一种攻击检测文件的发布方法、装置及存储介质
CN117082147B (zh) 应用程序网络访问控制方法、系统、设备和介质
CN115633359A (zh) Pfcp会话安全检测方法、装置、电子设备和存储介质
CN112202821B (zh) 一种cc攻击的识别防御系统及方法
CN116996238A (zh) 一种网络异常访问的处理方法以及相关装置
CN115913583A (zh) 业务数据访问方法、装置和设备及计算机存储介质
CN112970021A (zh) 一种用于实现系统状态感知安全策略的方法
CN117938962B (zh) 用于cdn的网络请求调度方法、装置、设备及介质
KR102574384B1 (ko) 블록체인 기술을 이용한 분산 구조의 엔드포인트 보안 방법 및 그 장치
EP4037361A1 (en) System and method for securing a communication network
CN117544392A (zh) 云安全访问方法、装置及应用
CN118264463A (zh) 一种防暴力破解的方法和系统
CN115296844A (zh) 一种安全防护方法和装置
CN117294658A (zh) 处理报文的方法、装置、设备及计算机可读存储介质
CN118474033A (zh) 一种面向微服务的高可用流量防护装置及方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant