本发明专利技术公开了一种访问控制方法及系统、电子设备、存储介质。所述访问控制方法包括:获取业务系统的访问请求数据;所述访问请求数据包括键值;按照不同的维度将所述键值组成键值组;根据所述键值和/或所述键值组统计预设时间段内的业务系统的访问次数;根据所述访问次数生成所述业务系统的访问控制策略。本发明专利技术基于键值和/或键值组进行不同维度的访问请求数量的统计,保证统计的全局性和准确性,从而通过该全局统计结果生成访问控制策略,实现对业务系统网络的有效、精准防护。
Access control method and system, electronic equipment and storage medium
【技术实现步骤摘要】
访问控制方法及系统、电子设备、存储介质
本专利技术涉及网络安全
,特别涉及一种访问控制方法及系统、电子设备、存储介质。
技术介绍
目前,业务系统的流控、降级、隔离、缓存等都是基于应用级别进行控制,或者基于服务网关级别进行防控。而这些防控代码散落在应用的各个代码中,对访问数据进行单机计数统计,这种分散式、非全局式的防控方式,会导致一些无效用户请求不能被有效的过滤掉,防控、监控不精准,从而不能有效的保护业务系统不被攻击。另一些如DDoS(分布式拒绝服务)防火墙、Web(全球广域网)应用防火墙,虽然是集中防控,但其防控粒度太粗,经常杀掉一些正常用户请求,导致误防控,从而降低用户体验。
技术实现思路
本专利技术要解决的技术问题是为了克服现有技术中业务系统的防控系统不满足精准动态防控要求的缺陷,提供一种访问控制方法及系统、电子设备、存储介质。本专利技术是通过下述技术方案来解决上述技术问题:一种访问控制方法,所述访问控制方法包括:获取业务系统的访问请求数据;所述访问请求数据包括键值;按照不同的维度将所述键值组成键值组;根据所述键值和/或所述键值组统计预设时间段内的业务系统的访问次数;根据所述访问次数生成所述业务系统的访问控制策略。较佳地,获取所述业务系统的访问请求数据的步骤之后,还包括:判断所述访问请求数据的数据格式与数据标准格式是否相同;在判断为否时,将所述访问请求数据的数据格式转换为所述数据标准格式。较佳地,所述访问请求数据包括以下键值中的至少一种:HOST(主机)、URL(统一资源定位符)、用户ID(业务系统的用户账号)、设备ID、User-Agent(用户代理)、URL-5XX(服务器错误)状态、对象ID和源IP。较佳地,所述访问控制方法还包括:获取防控规则;所述防控规则包括与各键值、各键值组对应的次数阈值范围;根据所述访问次数生成所述业务系统的访问控制策略的步骤,具体包括:判断所述各键值、所述各键值组的访问次数是否在各自的次数阈值范围内;并在判断为否时,调节所述访问控制策略。较佳地,根据所述访问次数生成所述业务系统的访问控制策略的步骤,具体包括:根据所述访问次数监控所述业务系统的热点事务;在监控到所述热点事务时,调节所述访问控制策略。一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述任一项所述的访问控制方法。一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述任一项所述的访问控制方法的步骤。一种访问控制系统,所述访问控制系统包括:数据获取模块,用于获取业务系统的访问请求数据;所述访问请求数据包括键值;统计模块,用于按照不同的维度将所述键值组成键值组,并根据所述键值和/或所述键值组统计预设时间段内的业务系统的访问次数;防控模块,用于根据所述访问次数生成所述业务系统的访问控制策略。较佳地,所述访问控制系统还包括:判断模块和格式转换模块;所述判断模块用于判断所述访问请求数据的数据格式与数据标准格式是否相同,并在判断为否时,调用所述格式转换模块;所述格式转换模块用于将所述访问请求数据的数据格式转换为所述数据标准格式,并发送给所述统计模块。较佳地,所述访问请求数据包括以下键值中的至少一种:HOST、URL、用户ID、设备ID、User-Agent、URL-5XX状态、对象ID和源IP。较佳地,所述访问控制系统还包括:规则获取模块;所述规则获取模块用于获取防控规则;所述防控规则包括与各键值、各键值组对应的次数阈值范围;所述防控模块具体包括:判断单元和防控单元;所述判断单元用于判断所述各键值、所述各键值组的访问次数是否在各自的次数阈值范围内,并在判断为否时,调用所述防控单元;所述防控单元用于调节所述访问控制策略。较佳地,所述访问控制系统还包括:热点监控模块;所述防控模块具体包括:防控单元;所述热点监控模块用于根据所述访问次数监控所述业务系统的热点事务,并在监控到所述热点事务时,调用所述防控单元;所述防控单元用于调节所述访问控制策略。本专利技术的积极进步效果在于:本专利技术基于键值和/或键值组进行不同维度的访问请求数量的统计,保证统计的全局性和准确性,从而通过该全局统计结果生成访问控制策略,实现对业务系统网络的有效、精准防护。附图说明图1为本专利技术实施例1的访问控制方法的流程图。图2为本专利技术实施例2的电子设备的结构示意图。图3为本专利技术实施例4的访问控制系统的模块示意图。具体实施方式下面通过实施例的方式进一步说明本专利技术,但并不因此将本专利技术限制在所述的实施例范围之中。实施例1本实施例提供一种访问控制方法,适用于各类应用的业务系统。业务系统部署于应用服务器上,终端用户向业务系统发送访问请求,业务系统执行访问请求,并将结果经过数据处理之后发送给终端用户进行展示,以实现终端用户对业务系统的访问。如图1所示,本实施例的访问控制方法包括:步骤101、获取业务系统的访问请求数据。该访问请求数据也即多个终端用户发送的欲访问业务系统的访问请求,获得访问请求数据后,通过UDP(用户数据报协议)将这些数据发送到请求日志队列,使用UDP的目的是保证数据收集过程是非阻塞的,不影响到主流程性能。请求日志队列必须是高性能的、支持水平扩展,可以选择Kafka(一个开源流处理平台),或者使用Redis(一种存储系统)。其中,访问请求包括:完整URL、源IP、User-Agent、设备ID、用户ID、对象ID(例如商品ID)和个性化埋点等。本实施例中,为了便于下面的数据统计,可使用统一接入层获取访问请求数据,如使用Nginx。为了更加有效的实现业务系统的网络防护,还对是否使用统一接入层进行判断,从而步骤101之后,还包括:判断访问请求数据的数据格式与数据标准格式是否相同。若判断为否,说明访问请求数据不是通过统一接入层获得的,则将该访问请求数据的数据格式转换为数据标准格式,然后对访问请求数据进行清洗,以获得访问请求中的多个键值,并执行步骤102;若判断为是,说明使用了统一接入层,则直接对访问请求数据进行清洗,以获得访问请求中的多个键值,并执行步骤102。其中,键值包括:HOST、URL、用户ID、设备ID、User-Agent、HOST-5XX状态、对象ID和源IP等。步骤102、按照不同的维度将多个键值组成键值组。键值组,例如<源IP,商品ID>、<源IP,设备ID>、<源IP,用户ID>、<源IP,HOST>和<用户ID,设备ID>等。需要说明的是,键值组中的键值数量不限本文档来自技高网...
【技术保护点】
1.一种访问控制方法,其特征在于,所述访问控制方法包括:/n获取业务系统的访问请求数据;所述访问请求数据包括键值;/n按照不同的维度将所述键值组成键值组;/n根据所述键值和/或所述键值组统计预设时间段内的业务系统的访问次数;/n根据所述访问次数生成所述业务系统的访问控制策略。/n
【技术特征摘要】
1.一种访问控制方法,其特征在于,所述访问控制方法包括:
获取业务系统的访问请求数据;所述访问请求数据包括键值;
按照不同的维度将所述键值组成键值组;
根据所述键值和/或所述键值组统计预设时间段内的业务系统的访问次数;
根据所述访问次数生成所述业务系统的访问控制策略。
2.如权利要求1所述的访问控制方法,其特征在于,获取所述业务系统的访问请求数据的步骤之后,还包括:
判断所述访问请求数据的数据格式与数据标准格式是否相同;
在判断为否时,将所述访问请求数据的数据格式转换为所述数据标准格式。
3.如权利要求1所述的访问控制方法,其特征在于,所述访问请求数据包括以下键值中的至少一种:HOST、URL、用户ID、设备ID、User-Agent、URL-5XX状态、对象ID和源IP。
4.如权利要求1所述的访问控制方法,其特征在于,所述访问控制方法还包括:
获取防控规则;所述防控规则包括与各键值、各键值组对应的次数阈值范围;
根据所述访问次数生成所述业务系统的访问控制策略的步骤,具体包括:
判断所述各键值、所述各键值组的访问次数是否在各自的次数阈值范围内;
并在判断为否时,调节所述访问控制策略。
5.如权利要求1所述的访问控制方法,其特征在于,根据所述访问次数生成所述业务系统的访问控制策略的步骤,具体包括:
根据所述访问次数监控所述业务系统的热点事务;
在监控到所述热点事务时,调节所述访问控制策略。
6.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至5任一项所述的访问控制方法。
7.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求...
【专利技术属性】
技术研发人员:张开涛,王杰颖,邹子靖,
申请(专利权)人:北京京东尚科信息技术有限公司,北京京东世纪贸易有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。