2. 专利检索
  3. 访问控制方法及装置与流程

访问控制方法及装置与流程

专利检索2024-12-27  33

本申请涉及安全,尤其涉及一种访问控制方法及装置。


背景技术:

1、随着网络安全的形势严峻,企事业单位越来越重视网络环境的监控建设,对网站访问行为也提出了更高的要求。对网络访问行为进行自主控制,只放行与用户强相关的网站访问,将大多数的恶意攻击屏蔽在网络之外,成为当下主流的需求。

2、对于访问控制方式,如何提高应用效果、用户体验增强、降低恶意网站的访问是主要着力点。而如何通过web站点的域名白名单进行访问控制、如何在访问的域名白名单中域名对应的域名网站中请求了未在域名白名单内的跨域资源不受限制等所产生的安全问题成为当下实现的难点。例如,只单单的通过黑白名单进行访问控制,会导致web网站在访问时出现各种展示问题,如无法加载,字体图像混乱等。

3、在基于域名白名单进行访问控制时,存在一种基于规则的白名单行为的监测方法,该方法采用了url域名分类特征库进行域名访问控制,对指定域名进行黑白名单限制,阻止或者只允许访问某些指定域名。该方案虽然具有误报率低的特点,但是该方法会导致很多跨站资源无法展示出来,而且还需要手动添加未展示的域名,从而导致工作量较大。

4、而另一种基于主动爬虫的规则访问控制方法中,该方法可以优化基于白名单的域名访问控制而导致的很多跨站资源无法展示的问题,但是该方法是通过增加了对白名单的主动资源站点的爬取并将其纳入白名单的方式来实现跨站资源的展示,在该方法中,若新加入的域名本身就是黑名单中的域名,则会导致对恶意域名、非法网站无法进行有效的控制。

5、因此,如何在用户基于域名访问时,进行安全的访问控制是值得考虑的技术问题之一。


技术实现思路

1、有鉴于此,本申请提供一种访问控制方法及装置,用以在用户基于域名访问时,进行安全的域名访问控制。

2、具体地,本申请是通过如下技术方案实现的:

3、根据本申请的第一方面,提供一种访问控制方法,应用于网络安全设备中,所述方法,包括:

4、获取用户进行资源访问产生的统一资源定位符url;

5、从所述url中提取出域名信息;

6、当所述域名信息中的主域名命中域名白名单时,则若基于所述域名信息确定所述用户资源访问时产生的域名访问不属于跨域名访问,则放行所述url;

7、若基于所述域名信息确定所述域名访问属于跨域名访问,则在设定安全运行环境中运行所述url,获得运行所述url过程中产生的日志数据;

8、根据所述日志数据,对所述域名信息进行安全识别处理;

9、当识别出所述域名信息包含恶意域名时,则阻断所述url。

10、根据本申请的第二方面,提供一种访问控制装置,设置于网络安全设备中,所述装置,包括:

11、第一获取单元,用于获取用户进行资源访问产生的统一资源定位符url;

12、提取单元,用于从所述url中提取出域名信息;

13、放行单元,用于当所述域名信息中的主域名命中域名白名单时,则若基于所述域名信息确定所述用户资源访问时产生的域名访问不属于跨域名访问,则放行所述url;

14、调用单元,用于若基于所述域名信息确定所述域名访问属于跨域名访问,则在设定安全运行环境中运行所述url,获得运行所述url过程中产生的日志数据;根据所述日志数据,对所述域名信息进行安全识别处理;

15、阻断单元,用于当识别出所述域名信息包含恶意域名时,则阻断所述url。

16、根据本申请的第三方面,提供一种电子设备,包括处理器和机器可读存储介质,机器可读存储介质存储有能够被处理器执行的计算机程序,处理器被计算机程序促使执行本申请实施例第一方面所提供的方法。

17、根据本申请的第四方面,提供一种机器可读存储介质,机器可读存储介质存储有计算机程序,在被处理器调用和执行时,计算机程序促使处理器执行本申请实施例第一方面所提供的方法。

18、本申请实施例的有益效果:

19、本申请实施例提供的访问控制方法及装置中,获取用户进行资源访问产生的统一资源定位符url;从所述url中提取出域名信息;当所述域名信息中的主域名命中域名白名单时,则若基于所述域名信息确定所述用户资源访问时产生的域名访问不属于跨域名访问,则放行所述url;若基于所述域名信息确定所述域名访问属于跨域名访问,则在设定安全运行环境中运行所述url,获得运行所述url过程中产生的日志数据;根据所述日志数据,对所述域名信息进行安全识别处理;当识别出所述域名信息包含恶意域名时,则阻断所述url。由此一来,通过对跨域名访问进行域名识别,只有对跨域名中属于恶意域名的资源访问进行阻断处理,而对跨域名访问中安全的跨域访问则进行放行,从而避免了直接放行跨域名访问而导致的安全威胁的情形的发生,同时也实现了跨域名访问的安全性控制。



技术特征:

1.一种访问控制方法,其特征在于,应用于网络安全设备中,所述方法,包括:

2.根据权利要求1所述的方法,其特征在于,在设定安全运行环境中运行所述url,获得运行所述url过程中产生的日志数据之前,所述方法,还包括:

3.根据权利要求2述的方法,其特征在于,当识别出所述域名信息包含恶意域名时,则阻断所述url,还包括:

4.根据权利要求1所述的方法,其特征在于,在设定安全运行环境中运行所述url,获得运行所述url过程中产生的日志数据,包括:

5.根据权利要求1所述的方法,其特征在于,所述日志数据包括用户操作数据和网络流量数据;

6.一种访问控制装置,其特征在于,设置于网络安全设备中,所述装置,包括:

7.根据权利要求6所述的装置,其特征在于,还包括:

8.根据权利要求7所述的装置,其特征在于,还包括:

9.根据权利要求6所述的装置,其特征在于,

10.根据权利要求6所述的装置,其特征在于,所述日志数据包括用户操作数据和网络流量数据;


技术总结
本申请提供了一种访问控制方法及装置,涉及安全技术领域。该方法可以应用于网络安全设备中,该方法为:获取用户进行资源访问产生的统一资源定位符URL;从所述URL中提取出域名信息;当所述域名信息中的主域名命中域名白名单时,则若基于所述域名信息确定所述用户资源访问时产生的域名访问不属于跨域名访问,则放行所述URL;若基于所述域名信息确定所述域名访问属于跨域名访问,则在设定安全运行环境中运行所述URL,获得运行所述URL过程中产生的日志数据;根据所述日志数据,对所述域名信息进行安全识别处理;当识别出所述域名信息包含恶意域名时,则阻断所述URL。

技术研发人员:施瑞瑞
受保护的技术使用者:新华三信息安全技术有限公司
技术研发日:
技术公布日:2024/5/29
转载请注明原文地址:https://win.8miu.com/read-1148008.html

专利

最新回复(0)