[go: up one dir, main page]

CN114124568B - 一种连接控制方法及系统 - Google Patents

一种连接控制方法及系统 Download PDF

Info

Publication number
CN114124568B
CN114124568B CN202111487790.7A CN202111487790A CN114124568B CN 114124568 B CN114124568 B CN 114124568B CN 202111487790 A CN202111487790 A CN 202111487790A CN 114124568 B CN114124568 B CN 114124568B
Authority
CN
China
Prior art keywords
target
node
connection
service
risk
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202111487790.7A
Other languages
English (en)
Other versions
CN114124568A (zh
Inventor
曹凯
刘爱辉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Construction Bank Corp
Original Assignee
China Construction Bank Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Construction Bank Corp filed Critical China Construction Bank Corp
Priority to CN202111487790.7A priority Critical patent/CN114124568B/zh
Publication of CN114124568A publication Critical patent/CN114124568A/zh
Application granted granted Critical
Publication of CN114124568B publication Critical patent/CN114124568B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/23Clustering techniques
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1095Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/146Markers for unambiguous identification of a particular session, e.g. session cookie or URL-encoding

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Artificial Intelligence (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Evolutionary Computation (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Evolutionary Biology (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种连接控制方法及系统,目标客户端获得目标终端设备上的目标业务节点的风险连接信息,风险连接信息至少包括目标业务节点的节点标识和目标连接节点的节点标识,目标客户端将风险连接信息发送至服务端;服务端基于预定义的连接风险确定规则和风险连接信息,确定目标业务节点与目标连接节点的连接风险,如果连接风险为高风险,则向目标客户端发送阻断使能指令;目标客户端响应于阻断使能指令,向目标连接节点发送阻断报文,以阻断目标业务节点与目标连接节点的连接。本发明可以有效实现对目标业务节点的访问控制,避免影响目标业务节点对于业务的处理,保障目标业务节点的业务处理能力和效率,从而保障业务的正常运行。

Description

一种连接控制方法及系统
技术领域
本发明涉及计算机科学与技术,尤其涉及一种连接控制方法及系统。
背景技术
随着计算机科学与技术的发展,访问控制技术不断提高。
在云原生时代,业务节点的类型愈发多样化,如虚拟机、物理机和容器。在云原生架构下,业务节点部署快、弹性高且数量激增,内网的IP和流量随之激增且变化快速,给内网中的业务节点的访问控制带来更大的挑战。当前,现有技术可以通过设置和利用防火墙来进行对业务节点的访问控制,即识别出在访问业务节点过程中出现的异常流量,限制相应的对端继续对业务节点进行访问。
但是,现有技术无法有效实现业务节点的访问控制。
发明内容
鉴于上述问题,本发明提供一种克服上述问题或者至少部分地解决上述问题的连接控制方法及系统,技术方案如下:
一种连接控制方法,包括:
目标客户端获得目标终端设备上的目标业务节点的风险连接信息,所述目标客户端设置在所述目标终端设备上,所述风险连接信息至少包括所述目标业务节点的节点标识和目标连接节点的节点标识;
目标客户端将所述风险连接信息发送至所述服务端;
所述服务端基于预定义的连接风险确定规则和所述风险连接信息,确定所述目标业务节点与所述目标连接节点的连接风险;
如果所述连接风险为高风险,则所述服务端向所述目标客户端发送阻断使能指令;
所述目标客户端响应于所述阻断使能指令,向所述目标连接节点发送阻断报文,以阻断所述目标业务节点与所述目标连接节点的连接。
可选的,所述服务端基于预定义的连接风险确定规则和所述风险连接信息,确定所述目标业务节点与所述目标连接节点的连接风险,包括:
所述服务端从预定义的节点连接风险表中,基于所述目标业务节点的节点标识与所述目标连接节点的节点标识,查找相应的连接风险;其中,所述节点连接风险表中对应保存有两个相连接节点的节点标识和连接风险。
可选的,所述目标业务节点的节点标识为第一业务标识,所述目标连接节点的节点标识为第二业务标识,所述第一业务标识为所述目标业务节点所处理的业务的标识,所述第二业务标识为所述目标连接节点所处理的业务的标识。
可选的,在所述目标客户端获得目标终端设备上的目标业务节点的风险连接信息之前,所述方法还包括:
所述服务端获得由多个客户端分别从多个终端设备上采集并发送的多个业务节点的流量信息,各所述客户端分别设置在各所述终端设备上,各所述客户端中包括所述目标客户端,各所述终端设备处于同一局域网内,所述多个业务节点中包括所述目标业务节点和所述目标连接节点;
所述服务端基于所述多个业务节点的流量信息,按照各所述业务节点所处理业务的业务类型,对各所述业务节点进行聚类,获得至少一个业务节点组;
所述服务端分别针对各所述业务节点组中的各所述业务节点设置相应的业务标识;
所述服务端分别将各所述业务标识返回至相应的各所述客户端。
可选的,各所述业务节点均为容器,所述流量信息中包括所述业务节点的节点标识;所述服务端基于所述多个业务节点的流量信息,按照各所述业务节点所处理业务的业务类型,对各所述业务节点进行聚类,获得至少一个业务节点组,包括:
所述服务端基于各所述业务节点的流量信息,确定各所述业务节点对应的容器镜像;
所述服务端将对应同一容器镜像的所述业务节点,确定为处理同一类型业务的一个所述业务节点组,以获得各所述业务节点组。
可选的,所述方法还包括:
当所述目标客户端出现故障时,所述目标客户端停止向所述目标连接节点发送阻断报文。
可选的,所述风险连接信息中还包括所述目标连接节点在预定义时长内对所述目标业务节点的访问次数,所述服务端基于预定义的连接风险确定规则和所述风险连接信息,确定所述目标业务节点与所述目标连接节点的连接风险,包括:
所述服务端比较所述访问次数是否不小于预设的访问次数阈值,如果是,确定所述目标业务节点与所述目标连接节点的连接风险为高风险;否则,确定所述目标业务节点与所述目标连接节点的连接风险为低风险。
一种连接控制系统,包括:目标客户端和服务端;
目标客户端获得目标终端设备上的目标业务节点的风险连接信息,所述目标客户端设置在所述目标终端设备上,所述风险连接信息至少包括所述目标业务节点的节点标识和目标连接节点的节点标识;
目标客户端将所述风险连接信息发送至所述服务端;
所述服务端基于预定义的连接风险确定规则和所述风险连接信息,确定所述目标业务节点与所述目标连接节点的连接风险;
如果所述连接风险为高风险,则所述服务端向所述目标客户端发送阻断使能指令;
所述目标客户端响应于所述阻断使能指令,向所述目标连接节点发送阻断报文,以阻断所述目标业务节点与所述目标连接节点的连接。
可选的,所述服务端基于预定义的连接风险确定规则和所述风险连接信息,确定所述目标业务节点与所述目标连接节点的连接风险,设置为:
所述服务端从预定义的节点连接风险表中,基于所述目标业务节点的节点标识与所述目标连接节点的节点标识,查找相应的连接风险;其中,所述节点连接风险表中对应保存有两个相连接节点的节点标识和连接风险。
可选的,所述目标业务节点的节点标识为第一业务标识,所述目标连接节点的节点标识为第二业务标识,所述第一业务标识为所述目标业务节点所处理的业务的标识,所述第二业务标识为所述目标连接节点所处理的业务的标识。
可选的,在所述目标客户端获得目标终端设备上的目标业务节点的风险连接信息之前,所述服务端还获得由多个客户端分别从多个终端设备上采集并发送的多个业务节点的流量信息,各所述客户端分别设置在各所述终端设备上,各所述客户端中包括所述目标客户端,各所述终端设备处于同一局域网内,所述多个业务节点中包括所述目标业务节点和所述目标连接节点;
所述服务端基于所述多个业务节点的流量信息,按照各所述业务节点所处理业务的业务类型,对各所述业务节点进行聚类,获得至少一个业务节点组;
所述服务端分别针对各所述业务节点组中的各所述业务节点设置相应的业务标识;
所述服务端分别将各所述业务标识返回至相应的各所述客户端。
可选的,各所述业务节点均为容器,所述流量信息中包括所述业务节点的节点标识;所述服务端基于所述多个业务节点的流量信息,按照各所述业务节点所处理业务的业务类型,对各所述业务节点进行聚类,获得至少一个业务节点组,设置为:
所述服务端基于各所述业务节点的流量信息,确定各所述业务节点对应的容器镜像;
所述服务端将对应同一容器镜像的所述业务节点,确定为处理同一类型业务的一个所述业务节点组,以获得各所述业务节点组。
可选的,当所述目标客户端出现故障时,所述目标客户端还停止向所述目标连接节点发送阻断报文。
可选的,所述风险连接信息中还包括所述目标连接节点在预定义时长内对所述目标业务节点的访问次数;所述服务端基于预定义的连接风险确定规则和所述风险连接信息,确定所述目标业务节点与所述目标连接节点的连接风险,设置为:
所述服务端比较所述访问次数是否不小于预设的访问次数阈值,如果是,确定所述目标业务节点与所述目标连接节点的连接风险为高风险;否则,确定所述目标业务节点与所述目标连接节点的连接风险为低风险。
本实施例提出的连接控制方法及系统,目标客户端获得目标终端设备上的目标业务节点的风险连接信息,目标客户端设置在目标终端设备上,风险连接信息至少包括目标业务节点的节点标识和目标连接节点的节点标识,目标客户端将风险连接信息发送至服务端,服务端基于预定义的连接风险确定规则和风险连接信息,确定目标业务节点与目标连接节点的连接风险,如果连接风险为高风险,则服务端向目标客户端发送阻断使能指令,目标客户端响应于阻断使能指令,向目标连接节点发送阻断报文,以阻断目标业务节点与目标连接节点的连接。本发明可以通过采取目标客户端与服务端间进行通信协作的方式,即目标客户端负责采集风险连接信息和执行阻断策略,服务端负责分析目标客户端上报的风险连接信息和下发阻断策略的方式,来识别目标连接节点对目标业务节点可能进行的访问攻击等非法访问行为,并可以在确定目标连接节点与目标业务节点存在连接的高风险时,对目标业务节点与目标连接节点之间的连接进行阻断。本发明可以有效实现对目标业务节点的访问控制,避免影响目标业务节点对于业务的处理,保障目标业务节点的业务处理能力和效率,从而保障业务的正常运行。
上述说明仅是本发明技术方案的概述,为了能够更清楚地了解本发明的技术手段,可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1示出了本发明实施例提供的第一种连接控制方法的信令图;
图2示出了本发明实施例提供的第二种连接控制方法的信令图;
图3示出了本发明实施例提供的第一种连接控制系统的结构示意图。
具体实施方式
下面将参照附图更详细地描述本发明的示例性实施例。虽然附图中显示了本发明的示例性实施例,然而应当理解,可以以各种形式实现本发明而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本发明,并且能够将本发明的范围完整的传达给本领域的技术人员。
如图1所示,本实施例提出了第一种连接控制方法,该方法可以包括以下步骤:
S101、目标客户端获得目标终端设备上的目标业务节点的风险连接信息,目标客户端设置在目标终端设备上,风险连接信息至少包括目标业务节点的节点标识和目标连接节点的节点标识;
其中,目标客户端可以是设置在目标终端设备上的、用于实现对目标业务节点进行访问控制的客户端。
其中,目标终端设备可以为某个电子设备,如服务器、手机、平板电脑和台式电脑。
可选的,目标业务节点可以是某个设置在目标终端设备上的业务节点,如虚拟机和容器。
可选的,目标业务节点也可以是目标终端设备本身。
其中,风险连接信息可以是目标业务节点与目标连接节点进行的有风险的连接所对应的信息。其中,目标连接节点可以为与目标业务节点进行的该有风险的连接、对目标业务节点进行访问的某个节点。
可选的,目标连接节点可以是与目标业务节点处于同一局域网内的用于处理同类型业务的一个业务节点,也可以是同一局域网内的用于处理不同类型业务的一个业务节点,还可以是与目标业务节点处于不同局域网的一个节点,本发明对于目标连接节点的节点类型不作限定。
具体的,风险连接信息可以包括目标业务节点的节点标识和目标连接节点的节点标识。
具体的,目标客户端可以识别出目标终端设备上的目标业务节点所发生的风险连接,并可以获得该风险连接对应的风险连接信息。
具体的,目标客户端可以在目标终端设备上,根据节点连接协议、端口和/或相关业务节点对目标业务节点的访问次数等信息,来识别目标业务节点发生的风险连接以及采集相应的风险连接信息。
S102、目标客户端将风险连接信息发送至服务端;
其中,服务端可以用于分析目标客户端发送的信息,并可以下发阻断策略至目标客户端。
具体的,目标客户端可以在获得风险连接信息后,将风险连接信息发送到服务端。
S103、服务端基于预定义的连接风险确定规则和风险连接信息,确定目标业务节点与目标连接节点的连接风险;
具体的,服务端在接收到风险连接信息之后,可以根据预定义的连接风险确定规则和风险连接信息,来确定目标业务节点和目标连接节点的连接风险。
可选的,服务端从预定义的节点连接风险表中,基于目标业务节点的节点标识与目标连接节点的节点标识,查找相应的连接风险;其中,节点连接风险表中对应保存有两个相连接节点的节点标识和连接风险。
其中,节点连接风险表可以是由技术人员根据实际情况预先制定的数据表。具体的,技术人员可以在确定某两个节点的连接具有高风险时,将双方节点的节点标识和相连接的高风险记录在节点连接风险表中;具体的,技术人员也可以在确定某个节点存在较高的网络攻击的可能性时,将该节点确定为高风险节点,将任何节点与该节点的连接均确定为高风险并记录在连接风险表中。
具体的,服务端可以在接收到风险连接信息之后,从中提取出目标业务节点和目标连接节点的节点标识,之后在节点连接风险表中,查找与目标业务节点和目标连接节点相匹配的连接风险。此时,上述连接风险确定规则即可以为将在节点连接风险表中查找到的连接风险,确定为目标业务节点与目标连接节点的连接风险。
可选的,风险连接信息中还包括目标连接节点在预定义时长内对目标业务节点的访问次数,服务端基于预定义的连接风险确定规则和风险连接信息,确定目标业务节点与目标连接节点的连接风险,包括:
服务端比较访问次数是否不小于预设的访问次数阈值,如果是,确定目标业务节点与目标连接节点的连接风险为高风险;否则,确定目标业务节点与目标连接节点的连接风险为低风险。
其中,风险连接信息中还可以包括目标连接节点对目标业务节点的访问次数、访问频率和具体访问类型等信息。
其中,预定义时长可以由技术人员根据实际情况进行确定,本发明对此不作限定。
具体的,服务端可以通过对风险连接信息进行分析,来确定目标连接节点是否存在对目标业务节点的访问攻击等非法访问行为,从而确定目标业务节点与目标连接节点的连接风险。
具体的,服务端可以在风险连接信息中提取出目标连接节点在预定义时长内对目标业务节点的访问次数,之后将该访问次数与预设的访问次数阈值进行比较,如果该访问次数不小于该访问次数阈值,则可以确定目标业务节点与目标连接节点的连接风险为高风险;如果该访问次数小于该访问次数阈值,则可以确定目标业务节点与目标连接节点的连接风险为低风险或者无风险。
S104、如果连接风险为高风险,则服务端向目标客户端发送阻断使能指令;
具体的,服务端在确定目标业务节点与目标连接节点的连接风险为高风险时,向目标客户端发送阻断使能指令,即向目标客户端下发阻断策略,以使得目标客户端对目标业务节点与目标连接节点的连接进行阻断,实现对目标业务节点的访问控制,避免影响目标业务节点对于业务的处理,保障目标业务节点的业务处理能力和效率,从而保障业务的正常运行。
S105、目标客户端响应于阻断使能指令,向目标连接节点发送阻断报文,以阻断目标业务节点与目标连接节点的连接。
具体的,目标客户端在接收到阻断使能指令之后,可以通过向目标连接节点发送阻断报文,来阻断目标业务节点与目标连接节点之间的连接。
可选的,目标客户端可以通过向目标连接节点发送reset包来进行旁路阻断,断开目标业务节点与目标连接节点之间的连接。
需要说明的是,现有技术可以基于IP对业务节点进行流量检测和连接阻断,实现对目标业务节点的访问控制。具体的,现有技术可以通过调用终端设备上的iptables来进行IP阻断。其中,iptables可以为Linux操作系统自带的设置在终端设备上的防火墙,可以实现基于IP的访问控制。具体的,现有技术也可以直接在终端设备上设置独立的防火墙,基于IP实现对业务节点的访问控制。但是,现有技术在基于IP实现访问控制的过程中,当IP发生变化时,现有技术难以准确捕捉并进行分析,对终端设备消耗的资源较大。而在利用iptables进行IP阻断时,由于iptables性能是有限的,当阻断策略不断增加时,iptables可能出现性能瓶颈。
而本发明可以通过采取目标客户端与服务端间进行通信协作的方式,即目标客户端负责采集风险连接信息和执行阻断策略,服务端负责分析目标客户端上报的风险连接信息和下发阻断策略的方式,来识别目标连接节点对目标业务节点可能进行的访问攻击等非法访问行为,并可以在确定目标连接节点与目标业务节点存在连接的高风险时,对目标业务节点与目标连接节点之间的连接进行阻断。本发明可以实现对目标业务节点的访问控制,避免影响目标业务节点对于业务的处理,保障目标业务节点的业务处理能力和效率,从而保障业务的正常运行。
本实施例提出的连接控制方法,目标客户端获得目标终端设备上的目标业务节点的风险连接信息,目标客户端设置在目标终端设备上,风险连接信息至少包括目标业务节点的节点标识和目标连接节点的节点标识,目标客户端将风险连接信息发送至服务端,服务端基于预定义的连接风险确定规则和风险连接信息,确定目标业务节点与目标连接节点的连接风险,如果连接风险为高风险,则服务端向目标客户端发送阻断使能指令,目标客户端响应于阻断使能指令,向目标连接节点发送阻断报文,以阻断目标业务节点与目标连接节点的连接。本发明可以通过采取目标客户端与服务端间进行通信协作的方式,即目标客户端负责采集风险连接信息和执行阻断策略,服务端负责分析目标客户端上报的风险连接信息和下发阻断策略的方式,来识别目标连接节点对目标业务节点可能进行的访问攻击等非法访问行为,并可以在确定目标连接节点与目标业务节点存在连接的高风险时,对目标业务节点与目标连接节点之间的连接进行阻断。本发明可以有效实现对目标业务节点的访问控制,避免影响目标业务节点对于业务的处理,保障目标业务节点的业务处理能力和效率,从而保障业务的正常运行。
基于图1所示步骤,如图2所示,本实施例提出第二种连接控制方法。在该方法中,还可以包括:
S201、当目标客户端出现故障时,目标客户端停止向目标连接节点发送阻断报文。
需要说明的是,目标客户端可以在检测出自身出现故障时,停止向目标连接节点发送阻断报文,避免当服务端下发的阻断策略发生变化(如确定目标业务连接节点与目标连接节点的连接风险不再是高风险,需指令目标客户端停止向目标连接节点发送阻断报文)时,目标客户端由于可能的无法接收到服务端新下发的阻断策略和自身不能对服务端新下发的阻断策略进行响应等故障,而无法停止阻断目标连接节点连接目标业务节点的情况,从而避免对目标业务节点对正常业务的处理,保障业务的处理效率。
本实施例提出的连接控制方法,目标客户端可以在检测出自身出现故障时,停止向目标连接节点发送阻断报文,进一步避免对目标业务节点对正常业务的处理,保障业务的处理效率。
基于图1所示步骤,本实施例提出第三种连接控制方法。在该方法中,目标业务节点的节点标识为第一业务标识,目标连接节点的节点标识为第二业务标识,第一业务标识为目标业务节点所处理的业务的标识,第二业务标识为目标连接节点所处理的业务的标识。
具体的,第一业务标识与第二业务标识均可以是由服务端基于目标客户端从目标终端设备上采集的流量信息,生成并发送至目标客户端的。
可选的,上述第三种连接控制方法,在目标客户端获得目标终端设备上的目标业务节点的风险连接信息之前,还可以包括:
服务端获得由多个客户端分别从多个终端设备上采集并发送的多个业务节点的流量信息,各客户端分别设置在各终端设备上,各客户端中包括目标客户端,各终端设备处于同一局域网内,多个业务节点中包括目标业务节点和目标连接节点;
服务端基于多个业务节点的流量信息,按照各业务节点所处理业务的业务类型,对各业务节点进行聚类,获得至少一个业务节点组;
服务端分别针对各业务节点组中的各业务节点设置相应的业务标识;
服务端分别将各业务标识返回至相应的各客户端。
具体的,上述的多个终端设备可以是同一局域网(如同一内网)中的设备。每个终端设备上均可以设置有一个客户端。每个客户端均可以从其所在的终端设备上,采集业务节点的流量信息,并发送至服务端。比如,对于第一终端设备,第一终端设备上可以设置有第一客户端,第一客户端可以在第一终端设备上采集相应的业务节点的流量信息,并发送至服务端。
其中,流量信息可以包括某个业务节点与其他业务节点之间进行的数据传输信息,比如业务节点的节点标识、访问次数和具体访问类型等信息。
可选的,当某个终端设备本身即可以作为业务节点时,设置在该终端设备上的客户端,可以采集该终端设备的流量信息;
可选的,当设置在某个终端设备中的虚拟机或容器等作为业务节点时,设置在该终端设备上的客户端,可以采集在该终端设备中的业务节点的流量信息并发送至服务端。
具体的,客户端在发送流量信息至服务端时,可以携带客户端自身的客户端标识,一并发送至服务端,以使得服务端在接收到流量信息时,可以对流量信息与客户端进行关联,确定流量信息具体是由哪个客户端所发送的。
可以理解的是,服务端可以接收所有客户端发送的流量信息,并可以对所有客户端进行统一的控制管理。
具体的,服务端可以对各客户端发送的流量信息进行分析,按照业务类型的不同对各业务节点进行分类,即将用于处理同一类型业务的业务节点划分为同一类。具体的,本发明可以将用于处理同一类型业务的业务节点划分为同一业务节点组中,获得相应数量的业务节点组。
可以理解的是,一个业务节点组中的所有业务节点均可以用于处于某个类型的业务。
具体的,服务端可以针对各业务节点组所对应的业务,对各业务节点组中的业务节点设置相应的业务标识。比如,对于处理第一类型业务的第一业务节点组和处理第二类型业务的第二业务节点组,服务端可以分别对第一业务节点组中的所有业务节点设置第一业务标识,服务端可以分别对第二业务节点组中的所有业务节点设置第二业务标识。
具体的,服务端可以在对某个业务节点组中的业务节点设置好业务标识后,将设置好的业务标识发送至相应的客户端上。比如,服务端在对目标业务节点设置好目标业务标识后,可以将目标业务标识发送至目标客户端上;再比如,如果第三业务节点设置在第三终端设备上,且第三终端设备上设置的客户端为第三客户端,则服务端可以在对第三业务节点设置好某个业务标识后,将该业务标识发送至第三客户端。
需要说明的是,服务端可以通过对业务节点进行业务标识,来对业务节点进行业务角色的标签设置。
具体的,客户端在接收到业务标识之后,可以将业务标识确定为业务节点的节点标识,将其携带在风险连接信息中发送至服务端。而服务端在接收到业务节点发送的风险连接信息之后,如果风险连接信息中包括两个业务节点的业务标识(此时目标业务节点与目标连接节点为同一局域网内的业务节点),则服务端可以根据连接风险确定规则和两个业务标识,对两个业务节点进行角色校验和访问鉴权,确定两个业务节点的连接风险,从而实现对业务节点在同一局域网内进行数据传输的访问控制,实现对内网东西向流量的检测和阻断,使得内网流量可视可控。
可选的,在本实施例提出的第四种连接控制方法中,各业务节点均为容器,流量信息中包括业务节点的节点标识;上述服务端基于多个业务节点的流量信息,按照各业务节点所处理业务的业务类型,对各业务节点进行聚类,获得至少一个业务节点组,可以包括:
服务端基于各业务节点的流量信息,确定各业务节点对应的容器镜像;
服务端将对应同一容器镜像的业务节点,确定为处理同一类型业务的一个业务节点组,以获得各业务节点组。
具体的,当各业务节点均为容器时,服务端可以基于客户端发送的流量信息,分别确定各业务节点即容器对应的容器镜像,之后将由同一容器镜像拉起的业务节点确定为用于处理同一类型业务的业务节点,从而可以将由同一容器镜像拉起的业务节点确定为一个业务节点组。
可以理解的是,如果上述的多个业务节点中仅有部分业务节点为容器节点,则服务端也可以将对应同一容器镜像的各容器确定为同一类型业务的业务节点,并可以将对应同一容器镜像的各容器确定为一个业务节点组。
本实施例提出的连接控制方法,可以实现对业务节点在同一局域网内进行数据传输的访问控制,实现对内网东西向流量的检测和阻断,使得内网流量可视可控。
与图1所示步骤相对应,如图3所示,本实施例提出第一种连接控制系统。该系统可以包括目标客户端101和服务端102,其中:
目标客户端101获得目标终端设备上的目标业务节点的风险连接信息,目标客户端101设置在目标终端设备上,风险连接信息至少包括目标业务节点的节点标识和目标连接节点的节点标识;
目标客户端101将风险连接信息发送至服务端102;
服务端102基于预定义的连接风险确定规则和风险连接信息,确定目标业务节点与目标连接节点的连接风险;
如果连接风险为高风险,则服务端102向目标客户端101发送阻断使能指令;
目标客户端101响应于阻断使能指令,向目标连接节点发送阻断报文,以阻断目标业务节点与目标连接节点的连接。
需要说明的是,目标客户端101和服务端102的介绍和执行过程可以参照图1中的步骤S101、S102、S103、S104和S105的相关说明,此处不再赘述。
可选的,服务端102基于预定义的连接风险确定规则和风险连接信息,确定目标业务节点与目标连接节点的连接风险,设置为:
服务端102从预定义的节点连接风险表中,基于目标业务节点的节点标识与目标连接节点的节点标识,查找相应的连接风险;其中,节点连接风险表中对应保存有两个相连接节点的节点标识和连接风险。
可选的,目标业务节点的节点标识为第一业务标识,目标连接节点的节点标识为第二业务标识,第一业务标识为目标业务节点所处理的业务的标识,第二业务标识为目标连接节点所处理的业务的标识。
可选的,在目标客户端101获得目标终端设备上的目标业务节点的风险连接信息之前,服务端102还获得由多个客户端分别从多个终端设备上采集并发送的多个业务节点的流量信息,各客户端分别设置在各终端设备上,各客户端中包括目标客户端101,各终端设备处于同一局域网内,多个业务节点中包括目标业务节点和目标连接节点;
服务端102基于多个业务节点的流量信息,按照各业务节点所处理业务的业务类型,对各业务节点进行聚类,获得至少一个业务节点组;
服务端102分别针对各业务节点组中的各业务节点设置相应的业务标识;
服务端102分别将各业务标识返回至相应的各客户端。
可选的,各业务节点均为容器,流量信息中包括业务节点的节点标识;服务端102基于多个业务节点的流量信息,按照各业务节点所处理业务的业务类型,对各业务节点进行聚类,获得至少一个业务节点组,设置为:
服务端102基于各业务节点的流量信息,确定各业务节点对应的容器镜像;
服务端102将对应同一容器镜像的业务节点,确定为处理同一类型业务的一个业务节点组,以获得各业务节点组。
可选的,当目标客户端101出现故障时,目标客户端101还停止向目标连接节点发送阻断报文。
可选的,风险连接信息中还包括目标连接节点在预定义时长内对目标业务节点的访问次数;服务端102基于预定义的连接风险确定规则和风险连接信息,确定目标业务节点与目标连接节点的连接风险,设置为:
服务端102比较访问次数是否不小于预设的访问次数阈值,如果是,确定目标业务节点与目标连接节点的连接风险为高风险;否则,确定目标业务节点与目标连接节点的连接风险为低风险。
本实施例提出的连接控制系统,可以有效实现对目标业务节点的访问控制,避免影响目标业务节点对于业务的处理,保障目标业务节点的业务处理能力和效率,从而保障业务的正常运行。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。
以上仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。

Claims (8)

1.一种连接控制方法,其特征在于,包括:
目标客户端获得目标终端设备上的目标业务节点的风险连接信息,所述目标客户端设置在所述目标终端设备上,所述风险连接信息至少包括所述目标业务节点的节点标识和目标连接节点的节点标识;
目标客户端将所述风险连接信息发送至服务端;
所述服务端基于预定义的连接风险确定规则和所述风险连接信息,确定所述目标业务节点与所述目标连接节点的连接风险;
如果所述连接风险为高风险,则所述服务端向所述目标客户端发送阻断使能指令;
所述目标客户端响应于所述阻断使能指令,向所述目标连接节点发送阻断报文,以阻断所述目标业务节点与所述目标连接节点的连接;
其中,所述服务端基于预定义的连接风险确定规则和所述风险连接信息,确定所述目标业务节点与所述目标连接节点的连接风险,包括:
所述服务端从预定义的节点连接风险表中,基于所述目标业务节点的节点标识与所述目标连接节点的节点标识,查找相应的连接风险;其中,所述节点连接风险表中对应保存有两个相连接节点的节点标识和连接风险。
2.根据权利要求1所述的连接控制方法,其特征在于,所述目标业务节点的节点标识为第一业务标识,所述目标连接节点的节点标识为第二业务标识,所述第一业务标识为所述目标业务节点所处理的业务的标识,所述第二业务标识为所述目标连接节点所处理的业务的标识。
3.根据权利要求2所述的连接控制方法,其特征在于,在所述目标客户端获得目标终端设备上的目标业务节点的风险连接信息之前,所述方法还包括:
所述服务端获得由多个客户端分别从多个终端设备上采集并发送的多个业务节点的流量信息,各所述客户端分别设置在各所述终端设备上,各所述客户端中包括所述目标客户端,各所述终端设备处于同一局域网内,所述多个业务节点中包括所述目标业务节点和所述目标连接节点;
所述服务端基于所述多个业务节点的流量信息,按照各所述业务节点所处理业务的业务类型,对各所述业务节点进行聚类,获得至少一个业务节点组;
所述服务端分别针对各所述业务节点组中的各所述业务节点设置相应的业务标识;
所述服务端分别将各所述业务标识返回至相应的各所述客户端。
4.根据权利要求3所述的连接控制方法,其特征在于,各所述业务节点均为容器,所述流量信息中包括所述业务节点的节点标识;所述服务端基于所述多个业务节点的流量信息,按照各所述业务节点所处理业务的业务类型,对各所述业务节点进行聚类,获得至少一个业务节点组,包括:
所述服务端基于各所述业务节点的流量信息,确定各所述业务节点对应的容器镜像;
所述服务端将对应同一容器镜像的所述业务节点,确定为处理同一类型业务的一个所述业务节点组,以获得各所述业务节点组。
5.根据权利要求1所述的连接控制方法,其特征在于,所述方法还包括:
当所述目标客户端出现故障时,所述目标客户端停止向所述目标连接节点发送阻断报文。
6.根据权利要求1所述的连接控制方法,其特征在于,所述风险连接信息中还包括所述目标连接节点在预定义时长内对所述目标业务节点的访问次数,所述服务端基于预定义的连接风险确定规则和所述风险连接信息,确定所述目标业务节点与所述目标连接节点的连接风险,包括:
所述服务端比较所述访问次数是否不小于预设的访问次数阈值,如果是,确定所述目标业务节点与所述目标连接节点的连接风险为高风险;否则,确定所述目标业务节点与所述目标连接节点的连接风险为低风险。
7.一种连接控制系统,其特征在于,包括:目标客户端和服务端;
目标客户端获得目标终端设备上的目标业务节点的风险连接信息,所述目标客户端设置在所述目标终端设备上,所述风险连接信息至少包括所述目标业务节点的节点标识和目标连接节点的节点标识;
目标客户端将所述风险连接信息发送至所述服务端;
所述服务端基于预定义的连接风险确定规则和所述风险连接信息,确定所述目标业务节点与所述目标连接节点的连接风险;
如果所述连接风险为高风险,则所述服务端向所述目标客户端发送阻断使能指令;
所述目标客户端响应于所述阻断使能指令,向所述目标连接节点发送阻断报文,以阻断所述目标业务节点与所述目标连接节点的连接;
其中,所述服务端基于预定义的连接风险确定规则和所述风险连接信息,确定所述目标业务节点与所述目标连接节点的连接风险,设置为:
所述服务端从预定义的节点连接风险表中,基于所述目标业务节点的节点标识与所述目标连接节点的节点标识,查找相应的连接风险;其中,所述节点连接风险表中对应保存有两个相连接节点的节点标识和连接风险。
8.根据权利要求7所述的连接控制系统,其特征在于,所述目标业务节点的节点标识为第一业务标识,所述目标连接节点的节点标识为第二业务标识,所述第一业务标识为所述目标业务节点所处理的业务的标识,所述第二业务标识为所述目标连接节点所处理的业务的标识。
CN202111487790.7A 2021-12-07 2021-12-07 一种连接控制方法及系统 Active CN114124568B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111487790.7A CN114124568B (zh) 2021-12-07 2021-12-07 一种连接控制方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111487790.7A CN114124568B (zh) 2021-12-07 2021-12-07 一种连接控制方法及系统

Publications (2)

Publication Number Publication Date
CN114124568A CN114124568A (zh) 2022-03-01
CN114124568B true CN114124568B (zh) 2024-09-27

Family

ID=80367658

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111487790.7A Active CN114124568B (zh) 2021-12-07 2021-12-07 一种连接控制方法及系统

Country Status (1)

Country Link
CN (1) CN114124568B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115934179B (zh) * 2022-09-26 2023-11-24 贝壳找房(北京)科技有限公司 业务功能控制方法及设备

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111131235A (zh) * 2019-12-23 2020-05-08 杭州安恒信息技术股份有限公司 一种业务系统的安全维护方法、装置、设备及存储介质
CN111738623A (zh) * 2020-07-17 2020-10-02 支付宝(杭州)信息技术有限公司 业务风险检测方法及装置

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113824642B (zh) * 2018-03-09 2023-02-03 华为技术有限公司 发送报文的方法、网络设备及计算机可读存储介质
CN112787985B (zh) * 2019-11-11 2022-09-16 华为技术有限公司 一种漏洞的处理方法、管理设备以及网关设备
CN112836218B (zh) * 2020-05-09 2024-04-16 支付宝(杭州)信息技术有限公司 风险识别方法及装置和电子设备
CN113114647A (zh) * 2021-04-01 2021-07-13 海尔数字科技(青岛)有限公司 网络安全风险的检测方法、装置、电子设备、及存储介质

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111131235A (zh) * 2019-12-23 2020-05-08 杭州安恒信息技术股份有限公司 一种业务系统的安全维护方法、装置、设备及存储介质
CN111738623A (zh) * 2020-07-17 2020-10-02 支付宝(杭州)信息技术有限公司 业务风险检测方法及装置

Also Published As

Publication number Publication date
CN114124568A (zh) 2022-03-01

Similar Documents

Publication Publication Date Title
CN114465739B (zh) 异常识别方法和系统、存储介质及电子装置
CN110445770B (zh) 网络攻击源定位及防护方法、电子设备及计算机存储介质
EP3072260B1 (en) Methods, systems, and computer readable media for a network function virtualization information concentrator
CN106936791B (zh) 拦截恶意网址访问的方法和装置
KR102155262B1 (ko) 탄력적 허니넷 시스템 및 그 동작 방법
CN108900374B (zh) 一种应用于dpi设备的数据处理方法和装置
CN111431881B (zh) 一种基于windows操作系统的诱捕节点实现方法及装置
CN108989151B (zh) 用于网络或应用性能管理的流量采集方法
CN107800663B (zh) 流量离线文件的检测方法及装置
CN103905415A (zh) 一种防范远控类木马病毒的方法及系统
Mai et al. Uncharted networks: a first measurement study of the bulk power system
CN102523209B (zh) 安全检测虚拟机的动态调整方法及动态调整装置
CN114124568B (zh) 一种连接控制方法及系统
CN112311765B (zh) 一种报文检测方法及装置
CN110912887A (zh) 一种基于Bro的APT监测系统和方法
JP2011151514A (ja) トラフィック量監視システム
US10225358B2 (en) Page push method, device, server and system
US20070174724A1 (en) Apparatus and method for detecting network failure location
CN107733941B (zh) 一种基于大数据的数据采集平台的实现方法及系统
CN116915577A (zh) 业务质差故障诊断方法、装置、设备、终端及存储介质
CN121077808A (zh) 一种无代理的蜜罐映射方法和装置
CN115208690A (zh) 一种基于数据分类分级的筛查处理系统
US11595419B2 (en) Communication monitoring system, communication monitoring apparatus, and communication monitoring method
CN103248505A (zh) 基于视图的网络监控方法及装置
CN111490989A (zh) 一种网络系统、攻击检测方法、装置及电子设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant