内生访问控制方法、装置、计算设备以及介质制造方法及图纸

本公开提供一种内生访问控制方法，包括：获取目标设备向应用服务器发送的目标数据包，其中，目标数据包包括地址信息和/或数据信息，地址信息包括应用服务器的地址，其中，数据信息包括目标设备向应用服务器发送的内容；基于地址信息和数据信息中的至少一个，确定目标设备所要访问的目标应用，其中，目标应用包括应用服务器提供的应用；至少确定目标应用是否为预设应用；以及响应于确定目标应用是预设应用，则禁止目标设备访问目标应用。本公开还提供了一种内生访问控制装置、一种计算设备、一种计算机可读存储介质以及一种计算机程序产品。

Endogenous access control methods, devices, computing devices and media

【技术实现步骤摘要】
内生访问控制方法、装置、计算设备以及介质
本公开涉及计算机
，更具体地，涉及一种内生访问控制方法、一种内生访问控制装置、一种计算设备以及一种计算机可读存储介质。
技术介绍
在网络安全领域，通常需要通过防火墙设备进行相应的访问控制。例如，在内网设备和外网设备之间进行数据交互时，相关技术的防火墙设备只能根据预先确定的源地址、目的地址、源端口、目的端口以及协议类型等实现访问控制。例如，可以预先确定外网中的某一个应用服务器的地址为禁止访问的地址，当防火墙设备检测到内网设备发送的数据包中具有该应用服务器的地址时，禁止该内网设备访问该应用服务器。在实现本公开构思的过程中，专利技术人发现相关技术中至少存在如下问题，相关技术的防火墙设备通常通过将某一应用服务器作为禁止访问的设备，但是相关场景下需要禁止访问应用服务器所提供的部分应用，而不是禁止访问应用服务器所提供的全部应用。因此，相关技术的防火墙设备难以满足用户的访问需求。
技术实现思路
有鉴于此，本公开提供了一种优化的内生访问控制方法、内生访问控制装置、计算设备和计算机可读存储介质。本公开的一个方面提供了一种内生访问控制方法，包括：获取目标设备向应用服务器发送的目标数据包，其中，所述目标数据包包括地址信息和/或数据信息，所述地址信息包括所述应用服务器的地址，，其中，数据信息包括所述目标设备向所述应用服务器发送的内容，基于所述地址信息和所述数据信息中的至少一个，确定所述目标设备所要访问的目标应用，其中，所述目标应用包括所述应用服务器提供的应用，至少确定所述目标应用是否为预设应用，响应于确定所述目标应用是预设应用，则禁止所述目标设备访问所述目标应用。根据本公开实施例，上述地址信息还包括目标设备的地址。其中，所述方法还包括：获取所述目标设备的地址与用户身份信息之间的目标关联关系，基于所述目标关联关系，确定与所述目标设备相关联的所述目标用户。其中，所述响应于确定所述目标应用是预设应用，则禁止所述目标设备访问所述目标应用包括：在确定所述目标应用是预设应用之后，确定所述目标用户是否为预设用户，响应于确定所述目标用户是预设用户，则禁止所述目标设备访问所述目标应用。根据本公开实施例，上述基于所述地址信息和所述数据信息中的至少一个，确定所述目标设备所要防问的目标应用包括：获取第一映射关系，其中，所述第一映射关系包括预先存储的应用服务器的地址与第一应用标识之间的关联关系，确定所述第一映射关系中是否具有与所述地址信息相关联的第一应用标识，响应于确定所述第一映射关系中具有与所述地址信息相关联的第一应用标识，将与所述第一应用标识对应的应用确定为所述目标应用。根据本公开实施例，上述基于所述地址信息和所述数据信息中的至少一个，确定所述目标设备所要访问的目标应用还包括：响应于确定所述第一映射关系中不具有与所述地址信息相关联的第一应用标识，获取第二映射关系，其中，所述第二映射关系包括预先存储的应用特征数据与第二应用标识之间的关联关系，确定所述数据信息中是否具有与所述应用特征数据相匹配的信息，响应于确定所述数据信息中具有与所述应用特征数据相匹配的信息，将与所述第二应用标识对应的应用确定为所述目标应用。根据本公开实施例，上述基于所述地址信息和所述数据信息中的至少一个，确定所述目标设备所要访问的目标应用还包括：响应于确定所述数据信息中不具有与所述应用特征数据相匹配的信息，获取第三映射关系，其中，所述第三映射关系包括预先存储的多个数据包特征数据与第三应用标识之间的关联关系，所述多个数据包特征数据包括数据包的字节数量和数据包传输方向，确定所述数据信息中是否具有与所述多个数据包特征数据相匹配的信息，响应于确定所述数据信息中具有与所述多个数据包特征数据相匹配的信息，将与所述第三应用标识对应的应用确定为所述目标应用。根据本公开实施例，上述方法还包括：响应于确定所述数据信息中不具有与所述多个数据包特征数据相匹配的信息，将所述目标数据包的路径信息存储至云端，其中，所述路径信息中包括所述应用服务器的地址和所述目标应用的应用标识。根据本公开实施例，上述方法还包括：接收来自所述云端的多个应用服务器的地址和多个应用标识，其中，所述多个应用服务器的地址和多个应用标识为所述云端处理多个路径信息得到，所述多个路径信息存储于所述云端中，所述多个应用服务器的地址与所述多个应用标识一一对应，将所述多个应用服务器的地址和多个应用标识中的至少部分添加至所述第一映射关系中，以便更新所述第一映射关系。根据本公开实施例，上述方法还包括：获取待配置用户的用户身份信息，获取与所述待配置用户相关联的至少一个设备地址，将所述待配置用户的用户身份信息和所述至少一个设备地址进行关联处理，得到所述目标关联关系，将所述待配置用户配置为所述预设用户，其中，所述待配置用户被配置为所述预设用户之后，与所述待配置用户相关联的至少一个设备地址所对应的设备均被禁止访问所述目标应用。本公开的另一个方面提供了一种内生访问控制装置，包括：第一获取模块、第一确定模块、第二确定模块以及禁止模块。其中，第一获取模块，获取目标设备向应用服务器发送的目标数据包，其中，所述目标数据包包括地址信息和/或数据信息，所述地址信息包括所述应用服务器的地址，其中，数据信息包括所述目标设备向所述应用服务器发送的内容。第一确定模块，基于所述地址信息和所述数据信息中的至少一个，确定所述目标设备所要访问的目标应用，其中，所述目标应用包括所述应用服务器提供的应用。第二确定模块，至少确定所述目标应用是否为预设应用。禁止模块，响应于确定所述目标应用是预设应用，则禁止所述目标设备访问所述目标应用。根据本公开实施例，上述地址信息还包括目标设备的地址。其中，所述装置还包括：第二获取模块以及第三确定模块。其中，第二获取模块，获取所述目标设备的地址与用户身份信息之间的目标关联关系。第三确定模块，基于所述目标关联关系，确定与所述目标设备相关联的所述目标用户。其中，响应于确定所述目标应用是预设应用，则禁止所述目标设备访问所述目标应用包括：在确定所述目标应用是预设应用之后，确定所述目标用户是否为预设用户，响应于确定所述目标用户是预设用户，则禁止所述目标设备访问所述目标应用。根据本公开实施例，上述基于所述地址信息和所述数据信息中的至少一个，确定所述目标设备所要防问的目标应用包括：获取第一映射关系，其中，所述第一映射关系包括预先存储的应用服务器的地址与第一应用标识之间的关联关系，确定所述第一映射关系中是否具有与所述地址信息相关联的第一应用标识，响应于确定所述第一映射关系中具有与所述地址信息相关联的第一应用标识，将与所述第一应用标识对应的应用确定为所述目标应用。根据本公开实施例，上述基于所述地址信息和所述数据信息中的至少一个，确定所述目标设备所要访问的目标应用还包括：响应于确定所述第一映射关系中不具有与所述地址信息相关联的第一应用标识，获取第二映射关系，其中，所述第二映射关系包括预先存储的应用特征数据与第二应用标识之间的关联关系，确定所述数据信息中是否具有与所述本文档来自技高网...

【技术保护点】
1.一种内生访问控制方法，包括：/n获取目标设备向应用服务器发送的目标数据包，其中，所述目标数据包包括地址信息和/或数据信息，所述地址信息包括所述应用服务器的地址，其中，数据信息包括所述目标设备向所述应用服务器发送的内容；/n基于所述地址信息和所述数据信息中的至少一个，确定所述目标设备所要访问的目标应用，其中，所述目标应用包括所述应用服务器提供的应用；/n至少确定所述目标应用是否为预设应用；以及/n响应于确定所述目标应用是预设应用，则禁止所述目标设备访问所述目标应用。/n

【技术特征摘要】
1.一种内生访问控制方法，包括：
获取目标设备向应用服务器发送的目标数据包，其中，所述目标数据包包括地址信息和/或数据信息，所述地址信息包括所述应用服务器的地址，其中，数据信息包括所述目标设备向所述应用服务器发送的内容；
基于所述地址信息和所述数据信息中的至少一个，确定所述目标设备所要访问的目标应用，其中，所述目标应用包括所述应用服务器提供的应用；
至少确定所述目标应用是否为预设应用；以及
响应于确定所述目标应用是预设应用，则禁止所述目标设备访问所述目标应用。


2.根据权利要求1所述的方法，其中，所述地址信息还包括目标设备的地址；
其中，所述方法还包括：
获取所述目标设备的地址与用户身份信息之间的目标关联关系；以及
基于所述目标关联关系，确定与所述目标设备相关联的所述目标用户；
其中，所述响应于确定所述目标应用是预设应用，则禁止所述目标设备访问所述目标应用包括：
在确定所述目标应用是预设应用之后，确定所述目标用户是否为预设用户；以及
响应于确定所述目标用户是预设用户，则禁止所述目标设备访问所述目标应用。


3.根据权利要求1所述的方法，其中，所述基于所述地址信息和所述数据信息中的至少一个，确定所述目标设备所要访问的目标应用包括：
获取第一映射关系，其中，所述第一映射关系包括预先存储的应用服务器的地址与第一应用标识之间的关联关系；
确定所述第一映射关系中是否具有与所述地址信息相关联的第一应用标识；以及
响应于确定所述第一映射关系中具有与所述地址信息相关联的第一应用标识，将与所述第一应用标识对应的应用确定为所述目标应用。


4.根据权利要求3所述的方法，其中，所述基于所述地址信息和所述数据信息中的至少一个，确定所述目标设备所要访问的目标应用还包括：
响应于确定所述第一映射关系中不具有与所述地址信息相关联的第一应用标识，获取第二映射关系，其中，所述第二映射关系包括预先存储的应用特征数据与第二应用标识之间的关联关系；
确定所述数据信息中是否具有与所述应用特征数据相匹配的信息；以及
响应于确定所述数据信息中具有与所述应用特征数据相匹配的信息，将与所述第二应用标识对应的应用确定为所述目标应用。


5.根据权利要求4所述的方法，其中，所述基于所述地址信息和所述数据信息中的至少一个，确定所述目标设备所要访问的目标应用还包括：
响应于确定所述数据信息中不具有与所述应用特征数据相匹配的信息，获取第三映射关系，其中，所述第三映射关系包括预先存储的多个数据包特征数据与第三应用标识之间的关联关系，所述多个数据包特征数据包括数据包的字节数量和数据包传输方向；
确...

【专利技术属性】
技术研发人员：罗晶，齐向东，吴云坤，吴亚东，
申请(专利权)人：奇安信科技集团股份有限公司，网神信息技术北京股份有限公司，
类型：发明
国别省市：北京;11