本技术涉及计算机,更具体地,涉及一种访问控制方法、装置、电子设备及存储介质。
背景技术:
1、相关技术中,为了保证网络中设备之间通信的安全性,需要预先手动配置访问控制策略,然后根据所配置的访问控制策略进行访问控制。但是,实际中,如果网络中的设备较多,这样配置访问控制策略的工作量较大,花费的时间较长。
技术实现思路
1、鉴于上述问题,本技术实施例提出了一种访问控制方法、装置、电子设备及存储介质,以解决相关技术中手动配置访问控制策略所存在配置工作量大和花费时间较长的问题。
2、根据本技术实施例的一个方面,提供了一种访问控制方法,包括:获取目标网络的历史访问流量数据,所述历史流量访问数据包括所述目标网络的多项历史访问日志;根据所述多项历史访问日志进行访问概率预测,确定设备集合内各设备对中两个电子设备之间的访问概率;每一设备对中至少一个电子设备是所述目标网络中的电子设备;针对所述设备集合中的各设备对,根据该设备对中两个电子设备之间的访问概率,与该设备对中两个电子设备之间的访问关系,生成该设备对中目标设备对应的访问控制策略;所述目标设备是指所述设备对中位于所述目标网络中的电子设备;根据所述目标设备对应的访问控制策略对所述目标设备进行访问控制。
3、根据本技术实施例的一个方面,提供了一种访问控制装置,包括:获取模块,用于获取目标网络的历史访问流量数据,所述历史流量访问数据包括所述目标网络的多项历史访问日志;预测模块,用于根据所述多项历史访问日志进行访问概率预测,确定设备集合中各设备对中两个电子设备之间的访问概率;每一设备对中至少一个电子设备是所述目标网络中的电子设备;访问控制策略生成模块,用于针对所述设备集合中的各设备对,根据该设备对中两个电子设备之间的访问概率,与该设备对中两个电子设备之间的访问关系,生成该设备对中目标设备对应的访问控制策略;所述目标设备是指所述设备对中位于所述目标网络中的电子设备;访问控制模块,用于根据所述目标设备对应的访问控制策略对所述目标设备进行访问控制。
4、在一些实施例中,所述历史流量访问数据是在多个统计周期对所述目标网络进行采集,得到的访问日志;预测模块,包括:预测单元,用于由访问概率预测模型根据所述目标网络在每一统计周期采集到的多项历史访问日志,对同一设备对中两个电子设备之间的访问概率进行概率预测,以得到该同一个设备对中的两个电子设备在每一统计周期内对应的参考访问概率;加权处理单元,用于将同一设备对中两个电子设备在多个所述统计周期内分别对应的参考访问概率进行加权处理,得到该设备对中两个电子设备之间的访问概率。
5、在一些实施例中,所述目标设备对应的访问控制策略包括所述目标设备对应的出站访问控制策略和入站访问控制策略中的至少一项;访问控制策略生成模块,包括:第一生成单元,用于针对所述设备集合中的各设备对,若该设备对中两个电子设备之间的访问概率超过概率阈值,且该设备对中两个电子设备之间的访问关系指示所述目标设备是访问发起方,则生成所述目标设备对应的出站访问控制策略;该出站访问控制策略允许所述目标设备访问第一电子设备,所述第一电子设备是该设备对中除所述目标设备外的另一电子设备;
6、第二生成单元,用于针对所述设备集合中的各设备对,若该设备对中两个设备之间的访问概率超过阈值,且该设备对中两个电子设备之间的访问关系指示所述目标设备是访问接收方,则生成所述目标设备对应的入站访问控制策略;该入站访问控制策略允许所述目标设备接收所述第一设备发起的访问请求,所述第一电子设备是该设备对中除所述目标设备外的另一电子设备。
7、在一些实施例中,访问控制模块,包括:匹配单元,用于若在所述目标设备上拦截到访问请求,根据所述访问请求中的第一源地址和第一目的地址,在所述目标设备对应的访问控制策略中进行访问控制策略匹配;放行单元,用于若匹配到允许所述第一源地址访问所述第一目的地址的访问控制策略,对所述访问请求进行放行处理。
8、在一些实施例中,访问控制装置还包括:访问提示信息生成模块,用于若未匹配到允许所述第一源地址访问所述第一目的地址的访问控制策略,生成访问提示信息;拒绝模块,用于若接收到根据所述访问提示信息返回的访问拒绝信息,对所述访问请求进行拒绝处理。
9、在一些实施例中,访问控制装置还包括:临时放行模块,用于若接收到根据所述访问提示信息返回的允许访问信息,对所述访问请求进行临时放行处理。
10、在一些实施例中,访问控制装置,还包括:次数累计模块,用于对所述访问请求对应的目标访问关系进行临时放行处理的次数累计;第一提示信息发送模块,用于若针对所述目标访问关系的临时放行处理的次数达到次数阈值,生成第一提示信息,所述第一提示信息提示生成第一访问控制策略,所述第一访问控制策略是指允许所述第一源地址访问所述第一目的地址的访问控制策略。
11、在一些实施例中,访问控制装置,还包括:放行模块,用于在未匹配到允许所述第一源地址访问所述第一目的地址的访问控制策略的情况下,若所述第一源地址位于所述第一目的地址对应的白名单列表中,或者所述第一目的地址位于所述第一源地址对应的白名单列表中,对所述访问请求进行放行处理。
12、在一些实施例中,访问控制装置还包括:第二提示信息生成模块,用于若多个所述访问控制策略中存在设定时长内未被匹配到的第二访问控制策略,则生成第二提示信息,所述第二提示信息用于提示删除所述第二访问控制策略。
13、在一些实施例中,访问控制装置还包括:接收模块,用于接收管理客户端发送的策略配置信息,所述策略配置信息包括第一区域标签、第二区域标签和控制信息;生成模块,用于根据区域标签为第一区域标签的地址、区域标签为第二区域标签的地址和所述控制信息,生成多个访问控制策略;在所述多个访问控制策略中,以区域标签为第一区域标签的地址作为源地址,以区域标签为第二区域标签的地址作为目的地址。
14、在一些实施例中,所述访问控制策略包括入站控制策略和出站控制策略;访问控制装置还包括:第一合并模块,用于若目标网络中同一电子设备的多个入站控制策略中存在源地址连续且控制信息相同的至少两个入站控制策略,则将所述源地址连续且控制信息相同的至少两个入站控制策略进行合并;第二合并模块,用于若目标网络中同一电子设备的多个出站控制策略中存在目的地址连续且控制信息相同的至少两个出站控制策略,则将所述目的地址连续且控制信息相同的至少两个出站控制策略进行合并。
15、在一些实施例中,访问控制装置,还包括:统计模块,用于面向所述目标网络统计被正常放行处理的访问请求的第一数量、被临时放行处理的访问请求的第二数量和被拒绝处理的访问请求的第三数量;发送模块,用于向管理客户端发送所述第一数量、所述第二数量和所述第三数量,以使所述管理客户端对访问控制界面中对应显示的数量进行更新。
16、根据本技术实施例的一个方面,提供了一种电子设备,包括:处理器;存储器,所述存储器上存储有计算机可读指令,所述计算机可读指令被所述处理器执行时,实现如上所述访问控制方法。
17、根据本技术实施例的一个方面,提供了一种计算机可读存储介质,其上存储有计算机可读指令,当所述计算机可读指令被处理器执行时,实现如上所述访问控制方法。
18、根据本技术实施例的一个方面,提供了一种计算机程序产品,包括计算机指令,所述计算机指令被处理器执行时实现如上所述访问控制方法。
19、在本技术中,利用目标网络的历史访问流量数据来进行访问概率预测,并根据所预测到两个设备之间的访问概率来自动生成两个设备对应的访问控制策略,之后利用所自动生成的访问控制策略对目标网络中的电子设备进行访问控制,相较于相关技术中需要利用手动配置的访问控制策略来进行访问控制的方式来说,本技术由于自动根据目标网络中历史流量访问数据来生成访问控制策略,生成访问控制策略的效率大大提升,可以有效解决相关技术中手动配置访问控制策略所存在的访问控制策略配置工作量大和花费时较长的问题。
20、而且,由于目标网络的历史访问流量数据反映了目标网络中的电子设备被访问的情况或者访问其他设备的情况,由此利用历史访问流量数据来进行访问概率预测,可以保证所预测到访问概率的准确性,进而保证利用所预测到的访问概率为目标网络中的目标设备生成的访问控制策略的准确性,进而保证利用目标设备对应的访问控制策略对目标设备所进行访问控制的有效性。
1.一种访问控制方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,所述历史流量访问数据是指在多个统计周期对所述目标网络进行采集,得到的访问日志;
3.根据权利要求1所述的方法,其特征在于,所述目标设备对应的访问控制策略包括所述目标设备对应的出站访问控制策略和入站访问控制策略中的至少一项;
4.根据权利要求1所述的方法,其特征在于,所述根据所述目标设备对应的访问控制策略对所述目标设备进行访问控制,包括:
5.根据权利要求4所述的方法,其特征在于,所述根据所述目标设备对应的访问控制策略对所述目标设备进行访问控制,还包括:
6.根据权利要求5所述的方法,其特征在于,所述若未匹配到允许所述第一源地址访问所述第一目的地址的访问控制策略,生成访问提示信息之后,所述方法包括:
7.根据权利要求6所述的方法,其特征在于,所述若接收到根据所述访问提示信息返回的允许访问信息,对所述访问请求进行临时放行处理之后,所述方法包括:
8.根据权利要求4-7中任一项所述的方法,其特征在于,所述方法还包括:
9.根据权利要求4至7中任一项所述的方法,其特征在于,所述方法还包括:
10.根据权利要求1所述的方法,其特征在于,所述方法还包括:
11.根据权利要求1至7中任一项或10所述的方法,其特征在于,所述访问控制策略包括入站控制策略和出站控制策略;
12.根据权利要求6所述的方法,其特征在于,所述根据所述目标设备对应的访问控制策略对所述目标设备进行访问控制之后,所述方法包括:
13.一种访问控制装置,其特征在于,包括:
14.一种电子设备,其特征在于,包括:
15.一种计算机可读存储介质,其上存储有计算机可读指令,其特征在于,当所述计算机可读指令被处理器执行时,实现如权利要求1-12中任一项所述的方法。
16.一种计算机程序产品,包括计算机指令,其特征在于,所述计算机指令被处理器执行时实现权利要求1-12中任一项所述的方法。
