CN117221019A - 访问控制方法、装置、电子设备及存储介质 - Google Patents
访问控制方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN117221019A CN117221019A CN202311485758.4A CN202311485758A CN117221019A CN 117221019 A CN117221019 A CN 117221019A CN 202311485758 A CN202311485758 A CN 202311485758A CN 117221019 A CN117221019 A CN 117221019A
- Authority
- CN
- China
- Prior art keywords
- access
- server
- terminal
- abnormal
- internet protocol
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 95
- 230000002159 abnormal effect Effects 0.000 claims abstract description 189
- 238000012795 verification Methods 0.000 claims description 84
- 238000012986 modification Methods 0.000 claims description 29
- 230000004048 modification Effects 0.000 claims description 29
- 238000004590 computer program Methods 0.000 claims description 12
- 238000012545 processing Methods 0.000 abstract description 8
- 238000010586 diagram Methods 0.000 description 10
- 230000008859 change Effects 0.000 description 8
- 238000004891 communication Methods 0.000 description 6
- 230000008569 process Effects 0.000 description 5
- 238000004422 calculation algorithm Methods 0.000 description 4
- 238000004364 calculation method Methods 0.000 description 3
- 230000002547 anomalous effect Effects 0.000 description 2
- 238000012790 confirmation Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 230000015556 catabolic process Effects 0.000 description 1
- 238000005336 cracking Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000006731 degradation reaction Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000002349 favourable effect Effects 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 239000003999 initiator Substances 0.000 description 1
- 238000012954 risk control Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种访问控制方法、装置、电子设备及存储介质,涉及数据处理技术领域,包括:服务器在检测到访问的异常终端的情况下,将所述异常终端对应的第一互联网协议地址加入黑名单,所述服务器进入风险模式;其中,所述异常终端为异常访问所述服务器的访问频率超过第一预设阈值的终端;所述风险模式包括:拒绝来自所述黑名单中的互联网协议地址的访问请求;所述服务器在第一预设时长内检测到所述异常终端的数量超过第二预设阈值的情况下,所述服务器由风险模式进入高风险模式;其中,所述高风险模式包括:拒绝来自所述黑名单中互联网协议地址的访问请求,并仅允许读取所述服务器的数据,禁止向所述服务器进行数据写入。
Description
技术领域
本发明涉及数据处理技术领域,尤其涉及一种访问控制方法、装置、电子设备及存储介质。
背景技术
随着技术的不断发展,用户已经开始习惯与通过数据访问的方式获取信息服务,而当前的网络环境中,经常出现针对访问控制模块的网络攻击,即不停的尝试登陆服务器系统,系统存在被暴力破解的风险,严重影响服务器系统的正常运行和使用。
因此,如何避免对于服务器的恶意攻击,已经成为业界亟待解决的问题。
发明内容
本发明提供一种访问控制方法、装置、电子设备及存储介质,用以解决现有技术中如何避免对于服务器的恶意攻击的缺陷。
本发明提供一种访问控制方法,包括:
服务器在检测到访问的异常终端的情况下,将所述异常终端对应的第一互联网协议地址加入黑名单,所述服务器进入风险模式;
其中,所述异常终端为异常访问所述服务器的访问频率超过第一预设阈值的终端;所述风险模式包括:拒绝来自所述黑名单中的互联网协议地址的访问请求;
所述服务器在第一预设时长内检测到所述异常终端的数量超过第二预设阈值的情况下,所述服务器由风险模式进入高风险模式;
其中,所述高风险模式包括:拒绝来自所述黑名单中互联网协议地址的访问请求,并仅允许读取所述服务器的数据,禁止向所述服务器进行数据写入。
根据本发明提供的一种访问控制方法,在所述服务器在检测到访问的异常终端的情况下,将所述异常终端对应的第一互联网协议地址加入黑名单,所述服务器进入风险模式的步骤之后,还包括:
在服务器接收到第二终端的访问请求的情况下,将所述访问请求对应的互联网协议地址与所述黑名单中的互联网协议地址进行比较;
在所述黑名单包括所述访问请求对应的互联网协议地址的情况下,不再进行解密和密码校验,直接拒绝访问。
根据本发明提供的一种访问控制方法,在服务器接收到第二终端的访问请求的情况下,将所述访问请求对应的互联网协议地址与所述黑名单中的互联网协议地址进行比较的步骤之后,还包括:
在所述黑名单不包括所述访问请求的互联网协议地址的情况下,对所述访问请求进行密码解密,并进行密码校验;
在所述密码校验通过的情况下,允许所述访问请求的接入。
根据本发明提供的一种访问控制方法,在所述服务器在检测到访问的异常终端的情况下,将所述异常终端对应的第一互联网协议地址加入黑名单,所述服务器进入风险模式的步骤之前,还包括:
所述服务器在接收到来自第一终端的异常访问的情况下,记录来自所述第一终端的初次异常访问的第一访问时间和后续异常访问的第二访问时间;所述异常访问为未通过所述服务器的密码校验的访问请求;
基于所述第一访问时间和各个所述第二访问时间,计算所述第一终端异常访问所述服务器的第一访问频率;
在所述第一访问频率超过第三预设阈值的情况下,将所述第一终端认定为异常终端,并将所述第一终端对应的第一互联网协议地址加入黑名单。
根据本发明提供的一种访问控制方法,基于所述第一访问时间和各个所述第二访问时间,计算所述第一终端异常访问所述服务器的第一访问频率,包括:
获取各个所述第二访问时间与所述第一访问时间之间的差值,得到各个访问时间差值信息;
基于各个所述访问时间差值信息,确定所述第一终端异常访问所述服务器的第一访问频率。
根据本发明提供的一种访问控制方法,所述访问频率的计算方法,具体包括:
其中,为访问频率,/>为第/>次异常访问与第一次异常访问之间的时间差值,/>为异常访问次数,π为预设权值。
根据本发明提供的一种访问控制方法,在所述服务器在检测到访问的异常终端的情况下,将所述异常终端对应的第一互联网协议地址加入黑名单,所述服务器进入风险模式的步骤之后,还包括:
所述服务器在第二预设时长内未检测到来自所述第一互联网协议地址的异常访问的情况下,将所述第一互联网协议地址从所述黑名单中删除;
在所述黑名单中所有互联网协议地址均被删除的情况下,所述服务器退出所述风险模式,切换为无风险模式。
根据本发明提供的一种访问控制方法,所述第二预设时长的计算方法,具体为:
基于所述访问频率和预设缩放权值的乘积,确定所述第二预设时长。
所述第二预设时长的计算方法,具体包括:
其中,为预设缩放权值,/>为第二预设时长,/>为访问频率。
根据本发明提供的一种访问控制方法,所述服务器在第一预设时长内检测到所述异常终端的数量超过第二预设阈值的情况下,所述服务器由风险模式进入高风险模式的步骤之后,还包括:
在服务器接收到第三终端的访问请求的情况下,将所述访问请求对应的互联网协议地址与所述黑名单中的互联网协议地址进行比较;
在所述黑名单不包括所述访问请求的互联网协议地址的情况下,对所述访问请求进行密码解密,并进行密码校验;
在所述密码校验通过的情况下,允许所述第三终端访问所述服务器的数据,但不允许所述第三终端向所述服务器写入数据。
根据本发明提供的一种访问控制方法,允许所述第三终端访问所述服务器的数据,但不允许所述第三终端向所述服务器写入数据的步骤之后,所述方法还包括:
向所述第三终端发送安全风险提示信息;
其中,所述安全风险提示信息用于提示所述服务器的安全风险。
根据本发明提供的一种访问控制方法,所述服务器在第一预设时长内检测到所述异常终端的数量超过第二预设阈值的情况下,所述服务器由风险模式进入高风险模式的步骤之后,所述方法还包括:
向所述服务器对应的管理员账号发送验证码信息;
在所述服务器接收到所述管理员账号发送的验证码信息的情况下,向所述管理员账号发送密码修改许可;
在接收到所述管理员账号发送的符合安全规范的密码修改请求后,完成所述管理员账号的密码修改,所述服务器由所述高风险模式切换到所述风险模式。
根据本发明提供的一种访问控制方法,所述服务器由所述高风险模式切换到所述风险模式之后,还包括:
在接收到黑名单之外的互联网协议地址发送的访问请求的情况下,对所述访问请求进行密码验证;
在所述密码验证成功的情况下,允许所述访问请求访问所述服务器,进行数据读写。
根据本发明提供的一种访问控制方法,所述服务器中记录有用户信息,所述用户信息包括:所述服务器的风险等级信息和账号及密码信息;所述风险等级信息包括:无风险模式、风险模式和高风险模式。
根据本发明提供的一种访问控制方法,所述方法还包括:
所述服务器记录各个终端的临时访问信息;
在第三预设时长内所述终端未被服务器认定为异常终端的情况下,清空所述终端的临时访问信息。
根据本发明提供的一种访问控制方法,所述服务器记录各个终端的临时访问信息的步骤之后,还包括:
在所述第三预设时长内所述终端被认定为异常终端的情况下,将所述异常终端对应的互联网协议地址加入黑名单。
根据本发明提供的一种访问控制方法,所述服务器中记录有黑名单信息,所述黑名单信息中包括:所述异常终端对应的互联网协议地址。
本发明还提供一种访问控制装置,包括:
控制模块,用于服务器在检测到访问的异常终端的情况下,将所述异常终端对应的第一互联网协议地址加入黑名单,所述服务器进入风险模式;
其中,所述异常终端为异常访问所述服务器的访问频率超过第一预设阈值的终端;所述风险模式包括:拒绝来自所述黑名单中的互联网协议地址的访问请求。
第二控制模块,用于所述服务器在第一预设时长内检测到所述异常终端的数量超过第二预设阈值的情况下,所述服务器由风险模式进入高风险模式;
其中,所述高风险模式包括:拒绝来自所述黑名单中互联网协议地址的访问请求,并仅允许读取所述服务器的数据,禁止向所述服务器进行数据写入。
根据本发明提供的访问控制装置,所述装置还用于:
在服务器接收到第二终端的访问请求的情况下,将所述访问请求对应的互联网协议地址与所述黑名单中的互联网协议地址进行比较;
在所述黑名单包括所述访问请求对应的互联网协议地址的情况下,不再进行解密和密码校验,直接拒绝访问。
根据本发明提供的访问控制装置,所述装置还用于:
在所述黑名单不包括所述访问请求的互联网协议地址的情况下,对所述访问请求进行密码解密,并进行密码校验;
在所述密码校验通过的情况下,允许所述访问请求的接入。
根据本发明提供的访问控制装置,所述装置还用于:
所述服务器在接收到来自第一终端的异常访问的情况下,记录来自所述第一终端的初次异常访问的第一访问时间和后续异常访问的第二访问时间;所述异常访问为未通过所述服务器的密码校验的访问请求;
基于所述第一访问时间和各个所述第二访问时间,计算所述第一终端异常访问所述服务器的第一访问频率;
在所述第一访问频率超过第三预设阈值的情况下,将所述第一终端认定为异常终端,并将所述第一终端对应的第一互联网协议地址加入黑名单。
根据本发明提供的访问控制装置,所述装置还用于:
获取各个所述第二访问时间与所述第一访问时间之间的差值,得到各个访问时间差值信息;
基于各个所述访问时间差值信息,确定所述第一终端异常访问所述服务器的第一访问频率。
根据本发明提供的访问控制装置,所述装置还用于:
所述服务器在第二预设时长内未检测到来自所述第一互联网协议地址的异常访问的情况下,将所述第一互联网协议地址从所述黑名单中删除;
在所述黑名单中所有互联网协议地址均被删除的情况下,所述服务器退出所述风险模式,切换为无风险模式。
根据本发明提供的访问控制装置,所述装置还用于:
基于所述访问频率和预设缩放权值的乘积,确定所述第二预设时长。
根据本发明提供的访问控制装置,所述装置还用于:
在服务器接收到第三终端的访问请求的情况下,将所述访问请求对应的互联网协议地址与所述黑名单中的互联网协议地址进行比较;
在所述黑名单不包括所述访问请求的互联网协议地址的情况下,对所述访问请求进行密码解密,并进行密码校验;
在所述密码校验通过的情况下,允许所述第三终端访问所述服务器的数据,但不允许所述第三终端向所述服务器写入数据。
根据本发明提供的访问控制装置,所述装置还用于:
向所述第三终端发送安全风险提示信息;
其中,所述安全风险提示信息用于提示所述服务器的安全风险。
根据本发明提供的访问控制装置,所述装置还用于:
向所述服务器对应的管理员账号发送验证码信息;
在所述服务器接收到所述管理员账号发送的验证码信息的情况下,向所述管理员账号发送密码修改许可;
在接收到所述管理员账号发送的符合安全规范的密码修改请求后,完成所述管理员账号的密码修改,所述服务器由所述高风险模式切换到所述风险模式。
根据本发明提供的访问控制装置,所述装置还用于:
在接收到黑名单之外的互联网协议地址发送的访问请求的情况下,对所述访问请求进行密码验证;
在所述密码验证成功的情况下,允许所述访问请求访问所述服务器,进行数据读写。
根据本发明提供的访问控制装置,所述服务器中记录有用户信息,所述用户信息包括:所述服务器的风险等级信息和账号及密码信息;所述风险等级信息包括:无风险模式、风险模式和高风险模式。
根据本发明提供的访问控制装置,所述装置还用于:
所述服务器记录各个终端的临时访问信息;
在第三预设时长内所述终端未被服务器认定为异常终端的情况下,清空所述终端的临时访问信息。
根据本发明提供的访问控制装置,所述装置还用于:
在所述第三预设时长内所述终端被认定为异常终端的情况下,将所述异常终端对应的互联网协议地址加入黑名单。
本发明还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述任一种所述访问控制方法。
本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述任一种所述访问控制方法。
本发明还提供一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现如上述任一种所述访问控制方法。
本发明提供的访问控制方法、装置、电子设备及存储介质,在检测到异常访问服务器的访问频率超过第一预设阈值的终端时,判定该终端为异常终端,此时认为该终端可能存在攻击服务器的风险,可以将该异常终端对应的第一互联网协议地址加入黑名单,直接拒绝来自第一互联网协议地址的访问,由于攻击者的互联网协议地址往往与合法用户的互联网协议地址不同,因此通过差异化的互联网协议地址管理,能够在有效避免攻击的情况下,使得合法用户可以正常登录,在预防攻击的过程中,有效避免影响合法用户的使用;同时,通过高风险模式,形成两级访问控制,进一步增强对于服务器的安全防护,在保留IP地址黑名单机制的基础上,仅仅允许数据的读取,而禁止服务器的数据写入,能够有效提升在多种攻击情况下的服务器数据安全。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的访问控制方法流程示意图;
图2为本申请实施例提供的时间点示意图;
图3为本申请实施例提供的风险等级信息示意图;
图4为本申请实施例提供的模式切换流程图;
图5为本申请实施例提供的数据结构的示意图;
图6为本申请实施例提供的风险等级变化流程图之一;
图7为本申请实施例提供的风险等级变化流程图之二;
图8为本申请实施例提供的访问控制装置结构示意图;
图9是本发明提供的电子设备的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在相关技术中,对于登录的网络攻击,防护手段是短时间内登录失败次数超过N次后,该用户即被锁定,必须经过指定时间lock_time后方可解锁,lock_time时间段内任何人都不能使用该用户访问。
该方法存在较明显的漏洞,即便黑客使用了错误的密码,未成功登陆系统,但多次尝试后导致了用户锁定,从而影响用户正常的访问,也是攻击成功的一方面。但此类手段又必须存在,否则存在成功暴力破解的风险。因此仍需要需求更好的防护方式。
图1为本申请实施例提供的访问控制方法流程示意图,如图1所示,包括:
步骤110,服务器在检测到访问的异常终端的情况下,将所述异常终端对应的第一互联网协议地址加入黑名单,所述服务器进入风险模式;
其中,所述异常终端为异常访问所述服务器的访问频率超过第一预设阈值的终端;所述风险模式包括:拒绝来自所述黑名单中的互联网协议地址的访问请求。
本申请实施例中所描述的服务器具体可以适用于软件系统的服务器,还可以是用于实现访问功能的服务器,该服务器可以与访问端建立通信连接。
本申请实施例中,终端在访问服务器时,首先会给终端发送访问请求,该访问请求中可以包括访问服务器所需的访问账户和该账户的访问密码,服务器中预先会存储有合法的用户账户及对应的密码,因此服务器在接收到访问请求后,可以进一步对访问请求中的账号密码进行验证。
若服务器接收到访问请求后,对其进行密码校验时,密码验证未通过,即密码错误或者账户错误,或者密码或者账户不对应,则此时该访问请求访问失败,会将本次访问请求判定为异常访问。
服务器在检测到某一终端的异常访问后,会记录该异常访问的时间和异常访问的IP地址,根据来自该IP地址的异常访问的访问时间,来计算其对应的异常访问的访问频率。
在本申请实施例中,如果服务器检测到来自该终端的IP地址发起的异常访问的访问频率超过第一预设阈值的情况下,则认为该终端可能存在恶意攻击服务器的风险,将其认定为一个异常终端。
在本申请实施例中,第一预设阈值可以是一个预先设定的阈值,其可以根据历史数据或者用户的经验和需求进行设定。
在本申请实施例中,服务器在检测到访问该服务器的异常终端时,则说明此时该服务器可能正在遭受网络攻击,因此,为了保证服务器的网络安全,此时服务器可以进行风险模式。
在本申请实施例中,在服务器进行风险模式的时候,此时需要避免恶意攻击和异常访问,因此可以进一步锁定异常访问对应的IP。
更进一步地,本申请可以进一步将异常终端对应的第一互联网协议地址加入黑名单中,在风险模式下,服务器在接收到访问请求的时候,首先将访问请求对应的IP地址与黑名单中的IP地址进行比较,若访问请求对应的IP地址出现在了黑名单中,则此时可以拒绝该访问请求,无需进行密码校验等处理,即在风险模式下,服务器会直接拒绝来自所述黑名单中的互联网协议地址的访问请求。
在本申请实施例中,在风险模式下,服务器仅仅会拒绝来自黑名单中的互联网协议地址的访问请求,但是不会决绝来自其它IP地址的访问。
例如,异常终端通过错误密码多次尝试登录A账户,其被判定为异常终端,此时异常终端对应的IP地址会被列出黑名单,但是此时A账户并未被锁定或者屏蔽,由于恶意攻击的IP地址通常和用户实际使用的IP地址不同,因此,此时合法用户,仍然可以通过其它IP地址来登录A账户。
即,在服务器在风险模式下,仅仅会拒绝黑名单中互联网协议地址的访问请求,而会允许其它IP地址发起的访问请求的正常访问。
在一个可选地实施例中,服务器在检测到访问的异常终端的情况下,将所述异常终端对应的第一互联网协议地址加入黑名单,所述服务器进入风险模式;
其中,所述异常终端为异常访问所述服务器的访问频率超过第一预设阈值的终端;所述风险模式包括:拒绝来自所述黑名单中的互联网协议地址的访问请求。
在服务器接收到第二终端的访问请求的情况下,将所述访问请求对应的互联网协议地址与所述黑名单中的互联网协议地址进行比较;
在所述黑名单包括所述访问请求对应的互联网协议地址的情况下,不再进行解密和密码校验,直接拒绝访问。
所述服务器在第一预设时长内检测到所述异常终端的数量超过第二预设阈值的情况下,所述服务器由风险模式进入高风险模式;
其中,所述高风险模式包括:拒绝来自所述黑名单中互联网协议地址的访问请求,并仅允许读取所述服务器的数据,禁止向所述服务器进行数据写入。
在服务器接收到第三终端的访问请求的情况下,将所述访问请求对应的互联网协议地址与所述黑名单中的互联网协议地址进行比较;
在所述黑名单不包括所述访问请求的互联网协议地址的情况下,对所述访问请求进行密码解密,并进行密码校验;
在所述密码校验通过的情况下,允许所述第三终端访问所述服务器的数据,但不允许所述第三终端向所述服务器写入数据。
在本申请实施例中,在检测到异常访问服务器的访问频率超过第一预设阈值的终端时,判定该终端为异常终端,此时认为该终端可能存在攻击服务器的风险,可以将该异常终端对应的第一互联网协议地址加入黑名单,直接拒绝来自第一互联网协议地址的访问,此时可以针对于互联网协议地址进行差异处理,由于攻击者的互联网协议地址往往与合法用户的互联网协议地址不同,因此通过差异化的互联网协议地址管理,能够在有效避免攻击的情况下,使得合法用户可以正常登录,在预防攻击的过程中,有效避免影响合法用户的使用。
步骤120,所述服务器在第一预设时长内检测到所述异常终端的数量超过第二预设阈值的情况下,所述服务器由风险模式进入高风险模式;
其中,所述高风险模式包括:拒绝来自所述黑名单中互联网协议地址的访问请求,并仅允许读取所述服务器的数据,禁止向所述服务器进行数据写入。
在本申请实施例中,第一预设时长具体可以是一个预先设定的持续时间,例如3min或者2min等,其可以根据用户需求来进行具体设定。
在本申请实施例中,服务器在每次检测到异常终端后,均会将其写入到黑名单中,而每次将终端写入黑名单时,均会记录写入的时间,若在从第一次检测到异常终端开始,在第一预设时长内,检测到异常终端的数量超过第二预设阈值的情况下,则此时说明,服务器可能正受到来自多个攻击源的网络攻击,此时存在较大的安全风险,因此服务器会进行一步增强安全防护。
此时,服务器会从由风险模式进入高风险模式,服务器在进入高风险模式之后,会进一步拒绝来自所述黑名单中互联网协议地址的访问请求的同时,对于非黑名单中互联网协议地址的访问请求,在密码校验成功后,也仅允许其读取所述服务器的数据,而禁止其向所述服务器进行数据写入。
在本申请实施例中,通过高风险模式,进一步增强对于服务器的安全防护,在保留IP地址黑名单机制的基础上,仅仅允许数据的读取,而禁止服务器的数据写入,能够有效提升在多种攻击情况下的服务器数据安全。
可选地,在所述服务器在检测到访问的异常终端的情况下,将所述异常终端对应的第一互联网协议地址加入黑名单,所述服务器进入风险模式的步骤之后,还包括:
在服务器接收到第二终端的访问请求的情况下,将所述访问请求对应的互联网协议地址与所述黑名单中的互联网协议地址进行比较;
在所述黑名单包括所述访问请求对应的互联网协议地址的情况下,不再进行解密和密码校验,直接拒绝访问。
在本申请实施例中,在服务器接收到新的访问请求的情况下,此时,需要首先对于发起该访问请求的IP地址进行校验。
具体可以是将访问请求对应的互联网协议地址与黑名单中的互联网协议地址进行比较,若黑名单包括访问请求对应的互联网协议地址,则说明此时该访问请求的发起方也可能会恶意攻击者,因此此时可以直接拒绝该访问请求,返回拒绝访问信息。不需要在进行解密和密码校验。
可选地,在服务器接收到第二终端的访问请求的情况下,将所述访问请求对应的互联网协议地址与所述黑名单中的互联网协议地址进行比较的步骤之后,还包括:
在所述黑名单不包括所述访问请求的互联网协议地址的情况下,对所述访问请求进行密码解密,并进行密码校验;
在所述密码校验通过的情况下,允许所述访问请求的接入。
在本申请实施例中,黑名单不包括所述访问请求的互联网协议地址的情况下,则说明该访问请求不一定是恶意访问请求,因此可以对其进行正常处理。
在本申请实施例中,在对访问请求进行正常处理的过程中,在客户端发送请求时,服务器会先对请求进行解密,以获取该请求所携带的密码信息。接着,服务器会对该密码进行校验,以确定该密码是否正确。只有当密码校验通过之后,服务器才会允许该请求的接入。
在本申请实施例中,黑名单包括访问请求对应的互联网协议地址的情况下,不再进行解密和密码校验,直接拒绝访问,能够有效保证服务器的安全性,并且减少分析计算量,同时,黑名单不包括访问请求的互联网协议地址的情况下,对访问请求进行密码解密,并进行密码校验;在密码校验通过的情况下,允许所述访问请求的接入,可以保证只有授权用户才能够访问系统,同时防止黑客或者其他恶意用户擅自访问系统。此外,密码验证的方式还能够保护用户的隐私,防止他人窃取用户密码或者其他敏感信息。
可选地,在所述服务器在检测到访问的异常终端的情况下,将所述异常终端对应的第一互联网协议地址加入黑名单,所述服务器进入风险模式的步骤之前,还包括:
所述服务器在接收到来自第一终端的异常访问的情况下,记录来自所述第一终端的初次异常访问的第一访问时间和后续异常访问的第二访问时间;所述异常访问为未通过所述服务器的密码校验的访问请求;
基于所述第一访问时间和各个所述第二访问时间,计算所述第一终端异常访问所述服务器的第一访问频率;
在所述第一访问频率超过第三预设阈值的情况下,将所述第一终端认定为异常终端,并将所述第一终端对应的第一互联网协议地址加入黑名单。
在本申请实施例中,异常访问具体可以是未通过服务器的密码校验的访问请求,服务器在接收到访问请求后,会对该访问请求进行解密,以获取该请求所携带的密码信息。接着,服务器会对该密码进行校验,以确定该密码是否正确,若访问请求携带的密码不正确,则此时认为该访问请求为异常访问。
在本申请实施例中,服务器在接收到来自第一终端的异常访问时,会记录该终端的IP地址,以及第一次收到来自该终端IP地址异常访问的第一访问时间,以及后续来自该终端IP地址异常访问的第二访问时间。
本申请实施例中,可以进一步基于所述第一访问时间和各个所述第二访问时间,计算所述第一终端异常访问所述服务器的第一访问频率。
在本申请实施例中,可以将第一次异常登陆的第一访问时间点为标准轴,将后续的异常登陆时间点抽象为一组一维的点,然后计算各个第二访问时间与第一访问时间之间的时间差,并根据这些时间差来判断该终端异常访问服务器的第一访问频率。
在本申请实施例中,第三预设阈值可以是预先设定的阈值,如果终端异常访问的第一访问频率超过了第三预设阈值,则说明此时该终端很可能正在对服务器进行攻击,因此此时可以将第一终端认定为异常终端。
并且,此时可以将该异常终端对应的第一互联网协议地址加入黑名单中,进一步拒绝来自该第一互联网协议地址的访问请求。
可选地,基于所述第一访问时间和各个所述第二访问时间,计算所述第一终端异常访问所述服务器的第一访问频率,包括:
获取各个所述第二访问时间与所述第一访问时间之间的差值,得到各个访问时间差值信息;
基于各个所述访问时间差值信息,确定所述第一终端异常访问所述服务器的第一访问频率。
图2为本申请实施例提供的时间点示意图,如图2所示,收集连续异常登陆的时间点,将第一次异常登陆的时间点为标准轴,将后续的异常登陆时间点抽象为一组一维的点,由此获得一组数:{T1,T2,T3,…,Tn},其中, T1是第2次异常登陆与第1次异常登陆的时间差值,T2是第3次异常登陆与第1次异常登陆的时间差值,以此类推,直到n次,由此获得n次异常登陆的频率。
所述访问频率的计算方法,具体包括:
其中,为访问频率,/>为第/>次异常访问与第一次异常访问之间的时间差值,/>为异常访问次数,π为预设权值。虽然取反值标识了频率的趋势,但取值并不利于计算,因此用于获取合理的频率值;n是异常登陆次数,用于获取平滑的单次异常登陆频率值;由此公式计算所得值,用于形容异常登陆的频率,高于指定阈值时,则认为存在多次异常登陆的场景。
在本申请实施例中,通过第二访问时间与第一访问时间之间的差值,可以有效精准的分析终端异常访问的频率,频率相对于次数能够更好的反应终端的攻击性,进而有效通过该异常访问的频率来判断终端是否为异常终端,保证了异常终端的判断准确性。
可选地,在所述服务器在检测到访问的异常终端的情况下,将所述异常终端对应的第一互联网协议地址加入黑名单,所述服务器进入风险模式的步骤之后,还包括:
所述服务器在第二预设时长内未检测到来自所述第一互联网协议地址的异常访问的情况下,将所述第一互联网协议地址从所述黑名单中删除;
在所述黑名单中所有互联网协议地址均被删除的情况下,所述服务器退出所述风险模式,切换为无风险模式。
在本申请实施例中,该第二预设时长可以是一个预设的时长,其可以根据用户的需求来自行设定,例如2min或者5min。
从服务器最后一次收到来自所述第一互联网协议地址的异常访问开始计算时间,在第二预设时长内,若服务器都没有再检测到来自所述第一互联网协议地址的异常访问,则说明此时第一互联网协议地址很可能已经停止了对服务器进行网络攻击,因此可以将第一互联网协议地址从所述黑名单中删除。
在本申请实施例中,在每次删除黑名单中的互联网协议地址后,均可以进一步对黑名单进行检查,若黑名单中所有互联网协议地址均被删除的情况下,则说明此时没有需要屏蔽的互联网协议地址,也就是说此时可能不再有针对于服务器的网络攻击了,服务器可以退出风险模式,切换为无风险模式。
在服务器切换为无风险模式的情况下,即正常对访问请求进行验证和访问的接入,无需进行IP地址的对比。
在本申请实施例中,黑名单中所有互联网协议地址均被删除的情况下,可以及时退出所述风险模式,保证数据的正常访问,减少访问限制。
可选地,所述第二预设时长的计算方法,具体为:
基于所述访问频率和预设缩放权值的乘积,确定所述第二预设时长。
在本申请实施例中,第二预设时长还可能是与异常登录的频率有关,若异常登录的频率越高,则说明其攻击风险性越高,对应的第二预设时长也就越长。
若异常登录的频率越低,则说明其攻击风险性越小,对应的第二预设时长也就越短。
在一个可选地的实施例中,第二预设时长的计算方法具体可以为:
其中,为预设缩放权值,其可以根据用户的需求来进行设定,/>为第二预设时长。
在本申请实施例中,通过异常登录的频率,来对应调整进行风险模式的第二预设时长,能够更合理的控制风险模式的时长控制,从而更精准的进行风险控制。
可选地,所述服务器在第一预设时长内检测到所述异常终端的数量超过第二预设阈值的情况下,所述服务器由风险模式进入高风险模式的步骤之后,还包括:
在服务器接收到第三终端的访问请求的情况下,将所述访问请求对应的互联网协议地址与所述黑名单中的互联网协议地址进行比较;
在所述黑名单不包括所述访问请求的互联网协议地址的情况下,对所述访问请求进行密码解密,并进行密码校验;
在所述密码校验通过的情况下,允许所述第三终端访问所述服务器的数据,但不允许所述第三终端向所述服务器写入数据。
在本申请实施例中,通过维护一个黑名单文件,其中包括不允许访问服务器的IP地址列表。当服务器接收到访问请求时,它会将请求的IP地址与该黑名单进行比较,并拒绝或限制访问。
在黑名单不包括所述访问请求的互联网协议地址的情况下如果黑名单不包括访问请求的IP地址,那么服务器将不会直接决绝该访问请求,而是进一步对其进行解密。
服务器收到访问请求中加密后的密码后,需要使用相应的算法对其进行解密。如果服务器和客户端使用相同的算法和密钥对进行加解密,则可以正确地还原密码明文。
一旦密码被解密,服务器可以将明文密码与预先定义的密码进行比较,以验证密码的有效性。如果两者相同,则密码校验通过,否则将返回错误信息。
在密码校验通过的情况下,此时服务器在高风险模式下也全面关闭了数据写入的权限,仅仅开放数据读取的权限限制,第三方终端只能进行数据的读取操作,而不允许写入或修改数据。因此,第三终端也仅仅能够访问读取服务器中的数据,但是无法向服务器进行数据写入。
在本申请实施例中,在高风险模式下,不仅仅会通过黑名单进行IP地址的控制,还会进一步限制访问用户只能进行数据的读取操作,而不允许写入或修改数据,能够高效的保证服务器的数据安全。
可选地,允许所述第三终端访问所述服务器的数据,但不允许所述第三终端向所述服务器写入数据的步骤之后,所述方法还包括:
向所述第三终端发送安全风险提示信息;
其中,所述安全风险提示信息用于提示所述服务器的安全风险。
在本申请实施例中,在服务器处于高风险模式的情况下,用户在成功访问的情况下,可以进一步提示用户当前数据访问存在风险,因此可以向用户发送安全风险提示信息。
在申请实施例中,该安全风险提示信息可以提示服务器存在安全风险,还可以提示用户慎选第三方终端进行访问,还可以修改复杂密码或者定期进行安全检查和更新等。
在本申请实施例中,通过向成功访问的第三终端发送安全风险提示信息,能够尽量告知用户数据风险,提高产品安全性。
可选地,所述服务器在第一预设时长内检测到所述异常终端的数量超过第二预设阈值的情况下,所述服务器由风险模式进入高风险模式的步骤之后,所述方法还包括:
向所述服务器对应的管理员账号发送验证码信息;
在所述服务器接收到所述管理员账号发送的验证码信息的情况下,向所述管理员账号发送密码修改许可;
在接收到所述管理员账号发送的符合安全规范的密码修改请求后,完成所述管理员账号的密码修改,所述服务器由所述高风险模式切换到所述风险模式。
在本申请实施例中,该管理员账号可以是预留的手机号或者是邮箱账号,该管理员账号是指服务器管理员的账号,其能够借由该管理员账号实现对于服务器的高权限控制,对服务器中的数据、用户以及各种设置进行管理和操作。
在本申请实施例中,服务器在进入高风险模式之后,会进一步提示管理员账号服务器存在安全风险,并提示管理员进行处理,因此可以向管理员账号发送验证码信息,以便于进行高风险模式的解锁处理。
本申请实施例中的验证码信息可以是数字、字母、字符串或者验证链接等。
管理员在接收到该验证码之后,若该验证码为短信,可以通过回复短信的方式向服务器反馈该验证码信息,若该验证码为邮件,则可以通过回复邮件的方式向服务反馈验证码信息。
在服务器接收到验证码信息后,则判断此时管理员账号希望进行服务器的密码重置,从而有效保证服务器的数据安全。此时服务器可以向管理员账号发送密码修改许可。
在本申请实施例中,该密码修改许可,可以是跳转到密码修改界面的链接,也可以是开发密码修改权限的信息。
管理员账号在接收到密码修改许可后,可以进一步修改服务器的密码,本次密码修改过程中,必须符合服务器的密码安全规范,才可以修改成功。
本申请中的密码安全规范可以包括:
密码长度:密码至少应该包含8个字符。如果可以,建议使用更长的密码以提高安全强度。
复杂度:密码应该包含大小写字母、数字和特殊符号。不要使用容易被猜测的词语或连续数字,例如“password”或“123456”。
不重复:密码应该与其他账户的密码不同,避免一次泄露影响多个账户。
在接收到所述管理员账号发送的符合安全规范的密码修改请求后,服务器更新管理员账号的密码,完成管理员账号的密码修改,此时认为服务器的安全已经得到进一步保证,并且也代表管理员希望将服务器的安全等级进行降级处理,因此可以将服务器由所述高风险模式切换到所述风险模式。
在本申请实施例中,通过向特定的管理员账号发送相关验证码信息,仅仅在接收到所述管理员账号发送的符合安全规范的密码修改请求后,完成所述管理员账号的密码修改,能够有效保证管理员密码的安全性,同时仅仅允许通过修改管理员密码这种方式来让服务器由所述高风险模式切换到所述风险模式,也保证了服务器的数据安全性。
可选地,所述服务器由所述高风险模式切换到所述风险模式之后,还包括:
在接收到黑名单之外的互联网协议地址发送的访问请求的情况下,对所述访问请求进行密码验证;
在所述密码验证成功的情况下,允许所述访问请求访问所述服务器,进行数据读写。
在本申请实施例中,在服务器由高风险模式恢复到风险模式后,可以进正常按照风险模式来处理访问请求。
即,在接收到黑名单之外的互联网协议地址发送的访问请求的情况下,对访问请求进行密码验证,在所述密码验证成功的情况下,允许该终端接入,正常进行数据读取和输入写入,此时不在限制终端的数据写入权限。
在一个可选地实施例中,所述服务器中记录有用户信息,所述用户信息包括:所述服务器的风险等级信息和账号及密码信息;所述风险等级信息包括:无风险模式、风险模式和高风险模式。
图3为本申请实施例提供的风险等级信息示意图,如图3所示,包括:
无风险模式L0,处于初始状态,任意IP均可正常访问服务器。
风险模式L1,某个或某几个IP存在短时间内登录失败次数过多的情况,限制这些IP访问系统。其他IP可正常访问,限制时长按照给定算法公式计算得出,异常访问的频次越高,限制的时长越长。
高风险模式L2,当用户处于L1模式,且又出现超过10+ 个IP存在短时间内登录失败次数过多的情况,这些IP限制访问系统,其他IP的正常访问,但只允许查看数据,不允许做任何改动,直到用户通过密保手段更改密码。
图4为本申请实施例提供的模式切换流程图,如图4所示,包括:选择解锁用户,即选择管理员账户,给对应的管理员提供解锁的方式,一般常用的是短信或邮件,然后生成验证码,并向管理员账号,即预留手机或邮箱内发送短信或邮件,内含验证码信息,如果接收到反馈的验证码时,则进行验证码匹配,如果成功匹配验证码,则强制要求客户修改密码,且新密码必须符合安全规范,在完成密码修改后,将服务器的安全级别由高风险模式L2调整为风险模式L1。
可选地,所述方法还包括:
所述服务器记录各个终端的临时访问信息;
在第三预设时长内所述终端未被服务器认定为异常终端的情况下,清空所述终端的临时访问信息。
图5为本申请实施例提供的数据结构的示意图,如图5所示,用户信息中记录用户的一般信息,新增字段“安全级别”,用于记录用户当前的安全级别,其具体可以包括:无风险模式L0/风险模式L1/高风险模式L2,不同的级别执行不同的操作。
更进一步,临时访问信息中记录各个终端的临时访问信息,如果出现异常访问,则将中间过程的信息记录在此,如果错误次数满足,则被服务器认定为异常终端,数据加入黑名单,如果未满足,则清空终端的临时访问信息。
黑名单记录用户的互联网协议地址黑名单信息,该互联网协议地址对应的用户访问时,提示拒绝访问。
图6为本申请实施例提供的风险等级变化流程图之一,如图6所示,ClientA在访问Server过程中出现异常,频繁使用错误的密码尝试访问;
Server尝试解密密码并进行校验,确认密码错误后,记录ClientA的IP,并记录ClientA访问失败的次数;
Server向ClientA返回访问失败,提示密码错误;
当上述情况短时间内超过阈值次数后,Server端将ClientA的IP记录为黑名单中,同时将风险等级提升为L1,限制登录时长由算法公式计算所得;
当ClientA再次访问Server时,不再进行解密和密码校验,比对确认IP后,直接返回拒绝访问;
当ClientB正常访问Server时,比对确认IP不在黑名单内,且密码正确,则返回成功消息,允许正常登陆;
在风险模式L1级别下,只锁定指定用户的指定IP的访问,而不是锁定指定用户,这样既可以拒绝恶意的频繁访问,又保证了其他正常用户的访问。
图7为本申请实施例提供的风险等级变化流程图之二,如图7所示,ClientA频繁的多次异常访问,导致用户级别提升为L1,且ClientA的IP加入黑名单;
ClientB频繁的多次异常访问,导致ClientB的IP加入了黑名单;
ClientC频繁的多次异常访问,导致ClientC的IP加入了黑名单;
Server端遇到超过 10+ 个IP的异常访问后,认定系恶意攻击,将风险等级提升为L2;
ClientD正常访问,提示用户存在安全风险,可正常登陆,但只能查看数据,不允许对系统做任何配置更改;
风险等级为L2时,无时间限制,直到经过手动操作更改密码后,安全级别降级,才允许该用户正常登录。因此多IP的多次异常访问,即可确认系恶意攻击,存在很高的安全风险,在用户未手动确认及解锁前,不宜允许配置更改。
在本申请实施例中,通过IP进行差异处理,只有异常访问的IP才拒绝访问,而不影响其他IP的访问,有效在保证信息安全的前提下,尽量避免对于正常访问用户的英雄,同时对风险等级进行划分,当存在严重的风险时才锁定服务器。并且通过智能化的级别变更方式,指定时间未检测到异常访问后,服务器的风险等级自动逐级降低。
下面对本发明提供的访问控制装置进行描述,下文描述的访问控制装置与上文描述的访问控制方法可相互对应参照。
图8为本申请实施例提供的访问控制装置结构示意图,如图8所示,包括:
第一控制模块810用于服务器在检测到访问的异常终端的情况下,将所述异常终端对应的第一互联网协议地址加入黑名单,所述服务器进入风险模式;
其中,所述异常终端为异常访问所述服务器的访问频率超过第一预设阈值的终端;所述风险模式包括:拒绝来自所述黑名单中的互联网协议地址的访问请求。
第二控制模块820,用于所述服务器在第一预设时长内检测到所述异常终端的数量超过第二预设阈值的情况下,所述服务器由风险模式进入高风险模式;
其中,所述高风险模式包括:拒绝来自所述黑名单中互联网协议地址的访问请求,并仅允许读取所述服务器的数据,禁止向所述服务器进行数据写入。
根据本发明提供的访问控制装置,所述装置还用于:
在服务器接收到第二终端的访问请求的情况下,将所述访问请求对应的互联网协议地址与所述黑名单中的互联网协议地址进行比较;
在所述黑名单包括所述访问请求对应的互联网协议地址的情况下,不再进行解密和密码校验,直接拒绝访问。
根据本发明提供的访问控制装置,所述装置还用于:
在所述黑名单不包括所述访问请求的互联网协议地址的情况下,对所述访问请求进行密码解密,并进行密码校验;
在所述密码校验通过的情况下,允许所述访问请求的接入。
根据本发明提供的访问控制装置,所述装置还用于:
所述服务器在接收到来自第一终端的异常访问的情况下,记录来自所述第一终端的初次异常访问的第一访问时间和后续异常访问的第二访问时间;所述异常访问为未通过所述服务器的密码校验的访问请求;
基于所述第一访问时间和各个所述第二访问时间,计算所述第一终端异常访问所述服务器的第一访问频率;
在所述第一访问频率超过第三预设阈值的情况下,将所述第一终端认定为异常终端,并将所述第一终端对应的第一互联网协议地址加入黑名单。
根据本发明提供的访问控制装置,所述装置还用于:
获取各个所述第二访问时间与所述第一访问时间之间的差值,得到各个访问时间差值信息;
基于各个所述访问时间差值信息,确定所述第一终端异常访问所述服务器的第一访问频率。
根据本发明提供的访问控制装置,所述装置还用于:
所述服务器在第二预设时长内未检测到来自所述第一互联网协议地址的异常访问的情况下,将所述第一互联网协议地址从所述黑名单中删除;
在所述黑名单中所有互联网协议地址均被删除的情况下,所述服务器退出所述风险模式,切换为无风险模式。
根据本发明提供的访问控制装置,所述装置还用于:
基于所述访问频率和预设缩放权值的乘积,确定所述第二预设时长。
根据本发明提供的访问控制装置,所述装置还用于:
在服务器接收到第三终端的访问请求的情况下,将所述访问请求对应的互联网协议地址与所述黑名单中的互联网协议地址进行比较;
在所述黑名单不包括所述访问请求的互联网协议地址的情况下,对所述访问请求进行密码解密,并进行密码校验;
在所述密码校验通过的情况下,允许所述第三终端访问所述服务器的数据,但不允许所述第三终端向所述服务器写入数据。
根据本发明提供的访问控制装置,所述装置还用于:
向所述第三终端发送安全风险提示信息;
其中,所述安全风险提示信息用于提示所述服务器的安全风险。
根据本发明提供的访问控制装置,所述装置还用于:
向所述服务器对应的管理员账号发送验证码信息;
在所述服务器接收到所述管理员账号发送的验证码信息的情况下,向所述管理员账号发送密码修改许可;
在接收到所述管理员账号发送的符合安全规范的密码修改请求后,完成所述管理员账号的密码修改,所述服务器由所述高风险模式切换到所述风险模式。
根据本发明提供的访问控制装置,所述装置还用于:
在接收到黑名单之外的互联网协议地址发送的访问请求的情况下,对所述访问请求进行密码验证;
在所述密码验证成功的情况下,允许所述访问请求访问所述服务器,进行数据读写。
根据本发明提供的访问控制装置,所述服务器中记录有用户信息,所述用户信息包括:所述服务器的风险等级信息和账号及密码信息;所述风险等级信息包括:无风险模式、风险模式和高风险模式。
根据本发明提供的访问控制装置,所述装置还用于:
所述服务器记录各个终端的临时访问信息;
在第三预设时长内所述终端未被服务器认定为异常终端的情况下,清空所述终端的临时访问信息。
根据本发明提供的访问控制装置,所述装置还用于:
在所述第三预设时长内所述终端被认定为异常终端的情况下,将所述异常终端对应的互联网协议地址加入黑名单。
在本申请实施例中,在检测到异常访问服务器的访问频率超过第一预设阈值的终端时,判定该终端为异常终端,此时认为该终端可能存在攻击服务器的风险,可以将该异常终端对应的第一互联网协议地址加入黑名单,直接拒绝来自第一互联网协议地址的访问,此时可以针对于互联网协议地址进行差异处理,由于攻击者的互联网协议地址往往与合法用户的互联网协议地址不同,因此通过差异化的互联网协议地址管理,能够在有效避免攻击的情况下,使得合法用户可以正常登录,在预防攻击的过程中,有效避免影响合法用户的使用。
图9是本发明提供的电子设备的结构示意图,如图9所示,该电子设备可以包括:处理器(processor)910、通信接口(Communications Interface)920、存储器(memory)930和通信总线940,其中,处理器910,通信接口920,存储器930通过通信总线940完成相互间的通信。处理器910可以调用存储器930中的逻辑指令,以执行访问控制方法,该方法包括:服务器在检测到访问的异常终端的情况下,将所述异常终端对应的第一互联网协议地址加入黑名单,所述服务器进入风险模式;
其中,所述异常终端为异常访问所述服务器的访问频率超过第一预设阈值的终端;所述风险模式包括:拒绝来自所述黑名单中的互联网协议地址的访问请求;
所述服务器在第一预设时长内检测到所述异常终端的数量超过第二预设阈值的情况下,所述服务器由风险模式进入高风险模式;
其中,所述高风险模式包括:拒绝来自所述黑名单中互联网协议地址的访问请求,并仅允许读取所述服务器的数据,禁止向所述服务器进行数据写入。
此外,上述的存储器930中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明还提供一种计算机程序产品,所述计算机程序产品包括计算机程序,计算机程序可存储在非暂态计算机可读存储介质上,所述计算机程序被处理器执行时,计算机能够执行上述各方法所提供的访问控制方法,该方法包括:服务器在检测到访问的异常终端的情况下,将所述异常终端对应的第一互联网协议地址加入黑名单,所述服务器进入风险模式;
其中,所述异常终端为异常访问所述服务器的访问频率超过第一预设阈值的终端;所述风险模式包括:拒绝来自所述黑名单中的互联网协议地址的访问请求;
所述服务器在第一预设时长内检测到所述异常终端的数量超过第二预设阈值的情况下,所述服务器由风险模式进入高风险模式;
其中,所述高风险模式包括:拒绝来自所述黑名单中互联网协议地址的访问请求,并仅允许读取所述服务器的数据,禁止向所述服务器进行数据写入。
又一方面,本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各方法提供的访问控制方法,该方法包括:服务器在检测到访问的异常终端的情况下,将所述异常终端对应的第一互联网协议地址加入黑名单,所述服务器进入风险模式;
其中,所述异常终端为异常访问所述服务器的访问频率超过第一预设阈值的终端;所述风险模式包括:拒绝来自所述黑名单中的互联网协议地址的访问请求;
所述服务器在第一预设时长内检测到所述异常终端的数量超过第二预设阈值的情况下,所述服务器由风险模式进入高风险模式;
其中,所述高风险模式包括:拒绝来自所述黑名单中互联网协议地址的访问请求,并仅允许读取所述服务器的数据,禁止向所述服务器进行数据写入。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (20)
1.一种访问控制方法,其特征在于,包括:
服务器在检测到访问的异常终端的情况下,将所述异常终端对应的第一互联网协议地址加入黑名单,所述服务器进入风险模式;
其中,所述异常终端为异常访问所述服务器的访问频率超过第一预设阈值的终端;所述风险模式包括:拒绝来自所述黑名单中的互联网协议地址的访问请求;
所述服务器在第一预设时长内检测到所述异常终端的数量超过第二预设阈值的情况下,所述服务器由风险模式进入高风险模式;
其中,所述高风险模式包括:拒绝来自所述黑名单中互联网协议地址的访问请求,并仅允许读取所述服务器的数据,禁止向所述服务器进行数据写入。
2.根据权利要求1所述的访问控制方法,其特征在于,在所述服务器在检测到访问的异常终端的情况下,将所述异常终端对应的第一互联网协议地址加入黑名单,所述服务器进入风险模式的步骤之后,还包括:
在服务器接收到第二终端的访问请求的情况下,将所述访问请求对应的互联网协议地址与所述黑名单中的互联网协议地址进行比较;
在所述黑名单包括所述访问请求对应的互联网协议地址的情况下,不再进行解密和密码校验,直接拒绝访问。
3.根据权利要求2所述的访问控制方法,其特征在于,在服务器接收到第二终端的访问请求的情况下,将所述访问请求对应的互联网协议地址与所述黑名单中的互联网协议地址进行比较的步骤之后,还包括:
在所述黑名单不包括所述访问请求的互联网协议地址的情况下,对所述访问请求进行密码解密,并进行密码校验;
在所述密码校验通过的情况下,允许所述访问请求的接入。
4.根据权利要求1所述的访问控制方法,其特征在于,在所述服务器在检测到访问的异常终端的情况下,将所述异常终端对应的第一互联网协议地址加入黑名单,所述服务器进入风险模式的步骤之前,还包括:
所述服务器在接收到来自第一终端的异常访问的情况下,记录来自所述第一终端的初次异常访问的第一访问时间和后续异常访问的第二访问时间;所述异常访问为未通过所述服务器的密码校验的访问请求;
基于所述第一访问时间和各个所述第二访问时间,计算所述第一终端异常访问所述服务器的第一访问频率;
在所述第一访问频率超过第三预设阈值的情况下,将所述第一终端认定为异常终端,并将所述第一终端对应的第一互联网协议地址加入黑名单。
5.根据权利要求4所述的访问控制方法,其特征在于,基于所述第一访问时间和各个所述第二访问时间,计算所述第一终端异常访问所述服务器的第一访问频率,包括:
获取各个所述第二访问时间与所述第一访问时间之间的差值,得到各个访问时间差值信息;
基于各个所述访问时间差值信息,确定所述第一终端异常访问所述服务器的第一访问频率。
6.根据权利要求5所述的访问控制方法,其特征在于,所述访问频率的计算方法,具体包括:
;
其中,为访问频率,/>为第/>次异常访问与第一次异常访问之间的时间差值,为异常访问次数,π为预设权值。
7.根据权利要求1所述的访问控制方法,其特征在于,在所述服务器在检测到访问的异常终端的情况下,将所述异常终端对应的第一互联网协议地址加入黑名单,所述服务器进入风险模式的步骤之后,还包括:
所述服务器在第二预设时长内未检测到来自所述第一互联网协议地址的异常访问的情况下,将所述第一互联网协议地址从所述黑名单中删除;
在所述黑名单中所有互联网协议地址均被删除的情况下,所述服务器退出所述风险模式,切换为无风险模式。
8.根据权利要求7所述的访问控制方法,其特征在于,所述第二预设时长的计算方法,具体为:
基于所述访问频率和预设缩放权值的乘积,确定所述第二预设时长。
9.根据权利要求8所述的访问控制方法,其特征在于,所述第二预设时长的计算方法,具体包括:
;
其中,为预设缩放权值,/>为第二预设时长,/>为访问频率。
10.根据权利要求2所述的访问控制方法,其特征在于,所述服务器在第一预设时长内检测到所述异常终端的数量超过第二预设阈值的情况下,所述服务器由风险模式进入高风险模式的步骤之后,还包括:
在服务器接收到第三终端的访问请求的情况下,将所述访问请求对应的互联网协议地址与所述黑名单中的互联网协议地址进行比较;
在所述黑名单不包括所述访问请求的互联网协议地址的情况下,对所述访问请求进行密码解密,并进行密码校验;
在所述密码校验通过的情况下,允许所述第三终端访问所述服务器的数据,但不允许所述第三终端向所述服务器写入数据。
11.根据权利要求10所述的访问控制方法,其特征在于,允许所述第三终端访问所述服务器的数据,但不允许所述第三终端向所述服务器写入数据的步骤之后,所述方法还包括:
向所述第三终端发送安全风险提示信息;
其中,所述安全风险提示信息用于提示所述服务器的安全风险。
12.根据权利要求10所述的访问控制方法,其特征在于,所述服务器在第一预设时长内检测到所述异常终端的数量超过第二预设阈值的情况下,所述服务器由风险模式进入高风险模式的步骤之后,所述方法还包括:
向所述服务器对应的管理员账号发送验证码信息;
在所述服务器接收到所述管理员账号发送的验证码信息的情况下,向所述管理员账号发送密码修改许可;
在接收到所述管理员账号发送的符合安全规范的密码修改请求后,完成所述管理员账号的密码修改,所述服务器由所述高风险模式切换到所述风险模式。
13.根据权利要求12所述的访问控制方法,其特征在于,所述服务器由所述高风险模式切换到所述风险模式之后,还包括:
在接收到黑名单之外的互联网协议地址发送的访问请求的情况下,对所述访问请求进行密码验证;
在所述密码验证成功的情况下,允许所述访问请求访问所述服务器,进行数据读写。
14.根据权利要求1所述的访问控制方法,其特征在于,所述服务器中记录有用户信息,所述用户信息包括:所述服务器的风险等级信息和账号及密码信息;所述风险等级信息包括:无风险模式、风险模式和高风险模式。
15.根据权利要求1所述的访问控制方法,其特征在于,所述方法还包括:
所述服务器记录各个终端的临时访问信息;
在第三预设时长内所述终端未被服务器认定为异常终端的情况下,清空所述终端的临时访问信息。
16.根据权利要求15所述的访问控制方法,其特征在于,所述服务器记录各个终端的临时访问信息的步骤之后,还包括:
在所述第三预设时长内所述终端被认定为异常终端的情况下,将所述异常终端对应的互联网协议地址加入黑名单。
17.根据权利要求1所述的访问控制方法,其特征在于,所述服务器中记录有黑名单信息,所述黑名单信息中包括:所述异常终端对应的互联网协议地址。
18.一种访问控制装置,其特征在于,包括:
第一控制模块,用于服务器在检测到访问的异常终端的情况下,将所述异常终端对应的第一互联网协议地址加入黑名单,所述服务器进入风险模式;
其中,所述异常终端为异常访问所述服务器的访问频率超过第一预设阈值的终端;所述风险模式包括:拒绝来自所述黑名单中的互联网协议地址的访问请求;
第二控制模块,用于所述服务器在第一预设时长内检测到所述异常终端的数量超过第二预设阈值的情况下,所述服务器由风险模式进入高风险模式;
其中,所述高风险模式包括:拒绝来自所述黑名单中互联网协议地址的访问请求,并仅允许读取所述服务器的数据,禁止向所述服务器进行数据写入。
19.一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至17任一项所述访问控制方法。
20.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至17任一项所述访问控制方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311485758.4A CN117221019B (zh) | 2023-11-09 | 2023-11-09 | 访问控制方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311485758.4A CN117221019B (zh) | 2023-11-09 | 2023-11-09 | 访问控制方法、装置、电子设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN117221019A true CN117221019A (zh) | 2023-12-12 |
| CN117221019B CN117221019B (zh) | 2024-02-20 |
Family
ID=89037529
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311485758.4A Active CN117221019B (zh) | 2023-11-09 | 2023-11-09 | 访问控制方法、装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117221019B (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20150047042A1 (en) * | 2013-08-09 | 2015-02-12 | International Business Machines Corporation | Techniques for validating distributed denial of service attacks based on social media content |
| US9071576B1 (en) * | 2013-03-12 | 2015-06-30 | Sprint Communications Comapny L.P. | Application rate limiting without overhead |
| CN108400963A (zh) * | 2017-10-23 | 2018-08-14 | 平安科技(深圳)有限公司 | 电子装置、访问请求控制方法和计算机可读存储介质 |
| CN111064745A (zh) * | 2019-12-30 | 2020-04-24 | 厦门市美亚柏科信息股份有限公司 | 一种基于异常行为探测的自适应反爬方法和系统 |
| CN113051570A (zh) * | 2021-05-25 | 2021-06-29 | 深圳市积汇天成科技有限公司 | 服务器访问监控方法和装置 |
| CN113765913A (zh) * | 2021-09-02 | 2021-12-07 | 云宏信息科技股份有限公司 | Tomcat服务器配置访问黑名单的方法、存储介质和Tomcat服务器 |
-
2023
- 2023-11-09 CN CN202311485758.4A patent/CN117221019B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9071576B1 (en) * | 2013-03-12 | 2015-06-30 | Sprint Communications Comapny L.P. | Application rate limiting without overhead |
| US20150047042A1 (en) * | 2013-08-09 | 2015-02-12 | International Business Machines Corporation | Techniques for validating distributed denial of service attacks based on social media content |
| CN108400963A (zh) * | 2017-10-23 | 2018-08-14 | 平安科技(深圳)有限公司 | 电子装置、访问请求控制方法和计算机可读存储介质 |
| CN111064745A (zh) * | 2019-12-30 | 2020-04-24 | 厦门市美亚柏科信息股份有限公司 | 一种基于异常行为探测的自适应反爬方法和系统 |
| CN113051570A (zh) * | 2021-05-25 | 2021-06-29 | 深圳市积汇天成科技有限公司 | 服务器访问监控方法和装置 |
| CN113765913A (zh) * | 2021-09-02 | 2021-12-07 | 云宏信息科技股份有限公司 | Tomcat服务器配置访问黑名单的方法、存储介质和Tomcat服务器 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN117221019B (zh) | 2024-02-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10110585B2 (en) | Multi-party authentication in a zero-trust distributed system | |
| US8291472B2 (en) | Real-time adjustments to authentication conditions | |
| US8266683B2 (en) | Automated security privilege setting for remote system users | |
| KR101451359B1 (ko) | 사용자 계정 회복 | |
| EP3726406B1 (en) | Preventing account lockout through request throttling | |
| US20160182491A1 (en) | Methods, systems and apparatus to manage an authentication sequence | |
| CN114553540B (zh) | 基于零信任的物联网系统、数据访问方法、装置及介质 | |
| WO2019015516A1 (en) | METHOD AND APPARATUS FOR AUTHENTICATING COMMON ACCOUNT SESSION OPENING | |
| CN109347887B (zh) | 一种身份认证的方法及装置 | |
| CN111182547A (zh) | 登录保护方法、装置及系统 | |
| CN115174187A (zh) | 一种用户安全登录方法、系统及装置 | |
| CN113302606A (zh) | 用于检测未授权访问的方法和系统 | |
| CN111581616B (zh) | 一种多端登录控制的方法及装置 | |
| CN112685718A (zh) | 基于OAuth协议在同账号多端登录时使原访问令牌失效的方法 | |
| US11336667B2 (en) | Single point secured mechanism to disable and enable the access to all user associated entities | |
| CN117221019B (zh) | 访问控制方法、装置、电子设备及存储介质 | |
| US20080060060A1 (en) | Automated Security privilege setting for remote system users | |
| KR101195027B1 (ko) | 서비스 보안시스템 및 그 방법 | |
| CN112671786B (zh) | 一种基于第三方认证的安全登陆的系统及方法 | |
| CN112437088B (zh) | 一种互联网终端登录双因子安全认证系统 | |
| CN115600248B (zh) | 基于关键信息隐藏的数据隐私保护认证方法、装置及系统 | |
| EP2860935B1 (en) | A computer implemented method to prevent attacks against authorization systems and computer programs products thereof | |
| Chang et al. | An Owner-managed Indirect-Permission Social Authentication Method for Private Key Recovery | |
| CN117792743A (zh) | 认证方法、登录方法、登录认证方法和认证装置 | |
| CN116611048A (zh) | 一种密码验证系统和密码验证方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |