一种微服务系统安全访问控制方法技术方案

本发明专利技术提供一种微服务系统安全访问控制方法，包括：通过框架拦截器拦截各个用户的访问请求，并记录其请求日志；按照请求日志统计的时间将所述请求日志以每个小时为单位进行划分，存入内存中，并保存到数据库中；对每个小时内的请求日志进行统计分析，得到各项真实访问数值统计结果；基于各项真实访问数值统计结果以及设定的阈值和阈值权重，计算各项真实访问数值统计结果对应的因子；基于各项真实访问数值统计结果对应的因子，判定恶性账号，对恶性账号进行封禁

【技术实现步骤摘要】
一种微服务系统安全访问控制方法


[0001]本专利技术涉及
web
系统访问安全领域，更具体地，涉及一种微服务系统安全访问控制方法
。

技术介绍

[0002]随着互联网和云计算的发展，传统的大型单体应用开始逐渐暴露出一些问题
。
这些问题包括：
[0003]1、
大型单体应用将所有功能都集中在一起，一旦发生故障，整个应用就会停止运行
。
[0004]2、
由于应用的复杂性和规模，部署和发布变得非常困难和耗时
。
[0005]3、
大型单体应用通常由一个团队负责开发和维护，这导致使用特定的技术栈和开发工具，限制了灵活性
。
[0006]4、
由于整个应用作为一个单一的单元，很难根据需要对其进行部分扩展
。
[0007]5、
在单体应用中，多个开发人员同时对同一个代码库进行开发可能会导致代码冲突和合并问题
。
[0008]微服务系统通过将应用拆分为多个小型的
、
独立的服务来解决这些问题
。
每个服务都可以独立部署
、
扩展和维护，并使用适合其需求的技术栈
。
这种拆分还可以提高团队的协作效率，使得不同的团队可以同时开发和维护不同的服务
。
此外，微服务系统还可以更好地适应不断变化的业务需求，并提供更高的可伸缩性和容错性
。
伴随着微服务系统针对不同业务的拆分，不法分子可能会针对不同的单个系统进行渗透
。
如你的用户系统可能就会存在安全访问隐患，你的业务系统可能会存在数据泄露隐患等
。

技术实现思路

[0009]本专利技术针对现有技术中存在的技术问题，提供一种微服务系统安全访问控制方法，包括：
[0010]通过框架拦截器拦截各个用户的访问请求，并记录其请求日志；
[0011]按照请求日志统计的时间将所述请求日志以每个小时为单位进行划分，存入内存中，并保存到数据库中；
[0012]对每个小时内的请求日志进行统计分析，得到各项真实访问数值统计结果；
[0013]基于各项真实访问数值统计结果以及设定的阈值和阈值权重，计算各项真实访问数值统计结果对应的因子；
[0014]基于各项真实访问数值统计结果对应的因子，判定恶性账号，对恶性账号进行封禁
。
[0015]本专利技术提供的一种微服务系统安全访问控制方法，对用户在访问微服务系统过程中产生的访问数据进行统计分析，根据分析结果判定其中的恶性账号，对恶性账号进行封禁，达到了对微服务系统的安全访问控制
。
附图说明
[0016]图1为本专利技术提供的一种微服务系统安全访问控制方法流程图；
[0017]图2为一种微服务系统安全访问控制方法的整体流程图
。
具体实施方式
[0018]为使本专利技术实施例的目的
、
技术方案和优点更加清楚，下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚
、
完整地描述，显然，所描述的实施例是本专利技术一部分实施例，而不是全部的实施例
。
基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围
。
另外，本专利技术提供的各个实施例或单个实施例中的技术特征可以相互任意结合，以形成可行的技术方案，这种结合不受步骤先后次序和
/
或结构组成模式的约束，但是必须是以本领域普通技术人员能够实现为基础，当技术方案的结合出现相互矛盾或无法实现时，应当认为这种技术方案的结合不存在，也不在本专利技术要求的保护范围之内
。
[0019]本专利技术提供了一种微服务系统安全访问控制方法流程图，参见图1和图2，该方法包括：
[0020]步骤1，通过框架拦截器拦截各个用户的访问请求，并记录其请求日志
。
[0021]可理解的是，用户在对各个微服务系统进行访问的过程中，获取每一个用户访问时的操作日志
。
具体的，如对于一个搜索引擎
+
业务管理系统，通过框架拦截器来拦截对应的请求，记录一份原始请求日志到数据库，请求日志中包括对应字段用户
id、
访问接口路径
、
访问
ip(
前后端分离项目可以配置
nginx
的代理即可在后台获取真实
ip
地址或调用第三方接口在前端获取
ip
均可
)、
访问请求参数
、
访问响应状态和访问时间
。
[0022]步骤2，按照请求日志统计的时间将所述请求日志以每个小时为单位进行划分，存入内存中，并保存到数据库中
。
[0023]其中，按照请求日志统计的时间范围将请求日志放入内存中分割成每个小时的统计结果做二次统计分析
。
[0024]步骤3，对每个小时内的请求日志进行统计分析，得到各项真实访问数值统计结果
。
[0025]其中，所述对每个小时内的请求日志进行统计分析，得到各项真实访问数值统计结果，包括：
[0026]A、
访问次数默认为0次，每访问一次接口记录数
+1
，当前访问总次数记录为
s1
；
[0027]B、
访问频次默认0次
/
小时，分组统计每小时访问频次记录
s2
；
[0028]C、
根据请求参数和请求路径统计重复请求路径不同请求参数次数默认0次，分组统计相同请求路径记录
s3
；
[0029]D、
根据请求参数和请求路径统计连续访问的次数和序号递增请求的次数默认为0次，从参数和请求路径统计次数和序号递增请求次数记录为
s4
；
[0030]E、
同一
id
用户使用相同的
ip
记录次数为1，每次产生新的
ip
地址，记录次数
+1
，总记录数为
s5
；
[0031]F、
根据
ip
地址的网络段和同一地理区域内
ip
地址的访问次数，总记录为
s6
；
[0032]G、
过滤异常响应状态非
200
的，记录总数为
s7
；
[0033]H、
根据请求参数查看里面的非法访问字符
sql
注入形式，脚本形式，产生一次记录
+1
，总记录数为
s8。
[0034]步骤4，基于各项真实访问数值统计结果以及设定的阈值和阈值权重，计算各项真实访问数值统计结果对应的本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种微服务系统安全访问控制方法，其特征在于，包括：通过框架拦截器拦截各个用户的访问请求，并记录其请求日志；按照请求日志统计的时间将所述请求日志以每个小时为单位进行划分，存入内存中，并保存到数据库中；对每个小时内的请求日志进行统计分析，得到各项真实访问数值统计结果；基于各项真实访问数值统计结果以及设定的阈值和阈值权重，计算各项真实访问数值统计结果对应的因子；基于各项真实访问数值统计结果对应的因子，判定恶性账号，对恶性账号进行封禁
。2.
根据权利要求1所述的微服务系统安全访问控制方法，其特征在于，所述请求日志中包括对应字段用户
id、
访问接口路径
、
访问
ip、
访问请求参数
、
访问响应状态和访问时间
。3.
根据权利要求2所述的微服务系统安全访问控制方法，其特征在于，所述对每个小时内的请求日志进行统计分析，得到各项真实访问数值统计结果，包括：访问次数默认为0次，每访问一次接口记录数
+1
，当前访问总次数记录为
s1
；访问频次默认0次
/
小时，分组统计每小时访问频次记录
s2
；根据请求参数和请求路径统计重复请求路径不同请求参数次数默认0次，分组统计相同请求路径记录
s3
；根据请求参数和请求路径统计连续访问的次数和序号递增请求的次数默认为0次，从参数和请求路径统计次数和序号递增请求次数记录为
s4
；同一
id
用户使用相同的
ip
记录次数为1，每次产生新的
ip
地址，记录次数
+1
，总记录数为
s5
；根据
ip
地址的网络段和同一地理区域内
ip
地址的访问次数，总记录为
s6
；过滤异常响应状态非
200
的，记录总数为
s7
；根据请求参数查看里面的非法访问字符
sql
注入形式，脚本形式
。
产生一次记录
+1
，总记录数为
s8。4.
根据权利要求3所述的微服务系统安全访问控制方法，其特征在于，所述基于各项真实访问数值统计结果以及设定的阈值和阈值权重，包括：设定访问次数的阈值
y1
及阈值权重
w1
；设定访问频次阈值
y2
及阈值的权重
w2
；设定重复请求路径不同请求参数次数的阈值
y3
及阈值权重
w3
；设定连续访问的次数和序号递增请求的次数的阈值
y4
及阈值权重
w4
；设定用户使用代理信息次数阈值
y5
及阈值权重
w5
；设定特定网络段或同一地理区域内请求的次数阈值
y6
及阈值权重
w6
；设定异常响应码次数的阈值
y7
及阈值权重
w7
；设定异常访问模式次数的阈值
y8
及阈值权重
w8
；其中，根据用户访问的微服务系统动态调整各项真实访问数值统计结果的阈值和阈值权重，且
w1+w2+w3+w4+w5+w6+w7+w8
＝
w*
，
w*
为常数
。5.
根据权利要求4所述的微服务系统安全访问控制方法，其特征在于，所述根据用户访问的微服务系统动态调整各项真实访问数值统计结果的阈值和阈值权重，包括：对于支付系统，设置较低的访问次数阈值
y1
和较高的阈值权重
w1
；
对于鉴权系统，设置较高的访问频次阈值...

【专利技术属性】
技术研发人员：赵胜，吴忠华，黄修洋，付豪，叶超前，徐立，
申请(专利权)人：武汉奥浦信息技术有限公司，
类型：发明
国别省市：