数据访问控制方法、装置及服务器与流程

本申请涉及互联网
技术领域：
，更具体地说，涉及一种数据访问控制方法、装置及服务器。
背景技术：
：随着互联网的快速发展，用户可以通过互联网实现娱乐、办公、通信等，极大方便了用户的生活。伴随着互联网的发展，一些非法人员通过互联网入侵其它系统，给网络安全带来极大隐患，一般我们程这样的非法人员为黑客。黑客入侵渗透的常用手段是扫描探测，即通过一台终端向大量的服务器发起访问，以扫描探测所访问的服务器。为了判断是否存在恶意扫描探测，当前业内主要采用的手段是：统计同一终端单位时间内向同一地址发起的访问次数是否超过设定阈值，若是，则确定该终端为恶意扫描探测终端。但是，由于某些业务需要，正常终端可能在短时间内向同一地址发起多次访问，访问次数超过设定阈值，导致现有技术会产生误报。技术实现要素：有鉴于此，本申请提供了一种数据访问控制方法、装置及服务器，用于解决现有技术根据终端单位时间内向同一地址发起访问次数是否超过阈值来确定终端是否为恶意扫描终端的方式，容易将访问量大的正常访问终端错误判定为恶意扫描终的的问题。为了实现上述目的，现提出的方案如下：一种数据访问控制方法，包括：获取终端在设定时间段内发送的至少一数据访问请求；确定每一所述数据访问请求所访问的目的地址，得到至少一目的地址；确定各所述目的地址在历史设定时间段内被成功访问次数，作为历史被访问次数；根据各所述目的地址的历史被访问次数，确定所述终端是否为非法扫描探测终端，以决定是否对所述终端的数据访问请求进行控制。一种数据访问控制装置，包括：数据访问请求获取单元，用于获取终端在设定时间段内发送的至少一数据访问请求；目的地址确定单元，用于确定每一所述数据访问请求所访问的目的地址，得到至少一目的地址；历史被访问次数确定单元，用于确定各所述目的地址在历史设定时间段内被成功访问次数，作为历史被访问次数；终端类型确定单元，用于根据各所述目的地址的历史被访问次数，确定所述终端是否为非法扫描探测终端，以决定是否对所述终端的数据访问请求进行控制。一种服务器，包括存储器和处理器，所述存储器用于存储程序，所述处理器调用所述程序，所述程序用于：获取终端在设定时间段内发送的至少一数据访问请求；确定每一所述数据访问请求所访问的目的地址，得到至少一目的地址；确定各所述目的地址在历史设定时间段内被成功访问次数，作为历史被访问次数；根据各所述目的地址的历史被访问次数，确定所述终端是否为非法扫描探测终端，以决定是否对所述终端的数据访问请求进行控制。本申请实施例提供的数据访问控制方法，通过获取终端在设定时间段内发送的至少一数据访问请求，确定每一数据访问请求所访问的目的地址，得到至少一目的地址，进而确定各目的地址在历史设定时间段内被成功访问次数，作为历史被访问次数，根据各目的地址的历史被访问次数，确定终端是否为非法扫描探测终端，以决定是否对终端的数据访问请求进行控制。由于非法扫描探测终端的扫描目的地址是随机产生的，其中可能包含大量不存在或偏僻的目的地址，这部分目的地址被正常终端成功访问的数量是有限的，本申请针对终端设定时间段内发送的各数据访问请求，确定各请求访问的目的地址的历史被访问次数，进而可以根据各目的地址的历史被访问次数来分析确定终端是否为非法扫描探测终端，该种方法更加贴合非法扫描探测终端的扫描探测行为，因此能够有效解决恶意扫描探测行为，并且不会像现有技术那样，对正常终端大量的数据访问产生恶意误报。附图说明为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。图1为本申请实施例公开的一种服务器硬件结构示意图；图2为本申请示例的一种处理器系统架构示意图；图3为本申请实施例公开的一种数据访问控制方法流程图；图4为本申请实施例公开的一种确定目的地址历史被访问次数方法流程图；图5为本申请实施例公开的一种访问地址列表生成方法流程图；图6为本申请实施例公开的一种确定终端是否为非法扫描探测终端的方法流程图；图7为本申请实施例公开的一种数据访问控制装置结构示意图。具体实施方式下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。本申请实施例提供了一种数据访问控制方案，该方案可以应用于服务器。该服务器可以是一台服务器或多台服务器组成的服务器集群。服务器的硬件结构可以是电脑、笔记本等处理设备，在介绍本申请的数据访问控制方法之前，首先介绍一下服务器的硬件结构。如图1所示，该服务器可以包括：处理器1，通信接口2，存储器3，通信总线4，和显示屏5；其中处理器1、通信接口2、存储器3和显示屏5通过通信总线4完成相互间的通信。可选的，通信接口2可以为通信模块的接口，如gsm模块的接口。可选的，处理器1可能是一个中央处理器cpu，或者是特定集成电路asic(applicationspecificintegratedcircuit)，或者是被配置成实施本申请实施例的一个或多个集成电路。本申请可以预先通过通信接口2将程序存储至存储器3中，并由处理器1调用该程序，所述程序用于：获取终端在设定时间段内发送的至少一数据访问请求；确定每一所述数据访问请求所访问的目的地址，得到至少一目的地址；确定各所述目的地址在历史设定时间段内被成功访问次数，作为历史被访问次数；根据各所述目的地址的历史被访问次数，确定所述终端是否为非法扫描探测终端，以决定是否对所述终端的数据访问请求进行控制。其中，处理器可以由多个系统模块组成，图2示例了一种可选的处理器的系统架构，其中可以包括：日志系统模块11、访问地址列表确定模块12、合法性确定模块13、报警系统模块14。其中，日志系统模块11可以是ids(intrusiondetectionsystems，入侵检测系统)等类似记录网络传输数据包的模块。日志系统模块可以设置在核心交换机上，以获取到全网中传输的数据包，并进行数据包的解析、格式化，得到数据访问的目的地址。访问地址列表确定模块12用于接收日志系统模块11发送的历史设定时间段内获取的网络日志数据，该网络日志数据包括各数据访问请求对应的目的地址。根据该网络日志数据，生成访问地址列表，记录在历史设定时间段内被成功访问次数属于设定次数区间的目的地址，如记录历史设定时间段内被成功访问次数大于0的目的地址。其中，设定次数区间可以由用户设定，其可以是一个次数区间，也可以是多个次数区间。可选的，如果是多个次数区间，则访问地址列表可以包括若干个访问地址子列表，不同访问地址子列表对应不同的次数区间。合法性确定模块13用于查询访问地址列表，并获取日志系统模块11发送的最近一段时间内的数据访问请求，根据最近一段时间内数据访问请求所访问的目的地址，在访问地址列表中确定各目的地址在历史设定时间段内被成功访问次数，作为历史被访问次数。进而根据各所述目的地址的历史被访问次数，确定所述终端是否为非法扫描探测终端。报警系统模块14用于根据合法性确定模块13确定的结果，决定是否对所述终端的数据访问请求进行控制或报警。如，在确定终端为非法扫描入侵探测终端时，向工作人员发出报警提示。接下来，我们结合服务器硬件结构，对本申请的数据访问控制方法进行介绍，如图3所示，该方法包括：步骤s100、获取终端在设定时间段内发送的至少一数据访问请求；具体地，为了确定终端是否为非法扫描探测终端，需要获取终端在设定时间段内发送的至少一数据访问请求。该数据访问请求由数据包组成。其中，设定时间段可以由用户设定，如预先设定检测周期，在每一检测周期结束时，针对该检测周期内发送数据访问请求的每一终端，统计每一终端在该检测周期内所发送的至少一数据访问请求。检测周期的长度即设定时间段长度，如10分钟或其它时间长度。步骤s110、确定每一所述数据访问请求所访问的目的地址，得到至少一目的地址；具体地，可以对数据访问请求对应的数据包进行解析，通过解析获得：时间、源地址、目的地址、是否成功。其中，源地址可以包括源ip和源端口，目的地址可以包括目的ip和目的端口。本步骤中，通过对每一数据访问请求对应的数据包进行解析，可以确定数据访问请求对应的目的地址，得到至少一目的地址。步骤s120、确定各所述目的地址在历史设定时间段内被成功访问次数，作为历史被访问次数；具体地，步骤s100中获取终端在设定时间段内发送的数据访问请求，以设定时间段为t1-t2时间段为例，本步骤中所述的历史设定时间段为处于t1时刻之前的一段时间，且该段时间的总长度与设定时间段相同。一种可选的方式中，假设步骤s100为在tx检测周期结束时刻获取的终端在tx检测周期内发送的数据访问请求。则本步骤中，可以是确定各目的地址在tx-1检测周期内被成功访问次数，或者是tx-n(n可以是大于零的任意整数)检测周期内被成功访问次数。本步骤中所确定的各目的地址的历史被访问次数，是通过统计全网所有终端对目的地址的访问得出的，能够体现正常终端对各目的地址的访问数量分布。步骤s130、根据各所述目的地址的历史被访问次数，确定所述终端是否为非法扫描探测终端，以决定是否对所述终端的数据访问请求进行控制。具体地，上一步骤中已经确定终端在设定时间段内所访问各目的地址的历史被访问次数，基于各目的地址的历史被访问次数，可以分析确定终端是否为非法扫描探测终端。示例如，各目的地址的历史被访问次数均极低，可以确定该终端访问的目的地址偏离了大部分正常终端所访问的目的地址，也即该终端可能是随机确定多个目的地址进行访问，这些目的地址大部分都不是正常开放被大众所访问的地址，因此，该终端极有可能是非法扫描探测终端。本申请实施例提供的数据访问控制方法，通过获取终端在设定时间段内发送的至少一数据访问请求，确定每一数据访问请求所访问的目的地址，得到至少一目的地址，进而确定各目的地址在历史设定时间段内被成功访问次数，作为历史被访问次数，根据各目的地址的历史被访问次数，确定终端是否为非法扫描探测终端，以决定是否对终端的数据访问请求进行控制。由于非法扫描探测终端的扫描目的地址是随机产生的，其中可能包含大量不存在或偏僻的目的地址，这部分目的地址被正常终端成功访问的数量是有限的，本申请针对终端设定时间段内发送的各数据访问请求，确定各请求访问的目的地址的历史被访问次数，进而可以根据各目的地址的历史被访问次数来分析确定终端是否为非法扫描探测终端，该种方法更加贴合非法扫描探测终端的扫描探测行为，因此能够有效解决恶意扫描探测行为，并且不会像现有技术那样，对正常终端大量的数据访问产生恶意误报。本申请方案可以利用历史数据访问请求生成访问地址列表，该访问地址列表中存储有在历史设定时间段内被成功访问次数属于设定次数区间的目的地址，其中所述设定次数区间的下界为零，不包含零。基于此，上述确定各所述目的地址在历史设定时间段内被成功访问次数，作为历史被访问次数的过程，可以参照图4所示，包括：步骤s200、获取预先存储的访问地址列表；其中，所述访问地址列表中存储有在历史设定时间段内被成功访问次数属于设定次数区间的目的地址，所述设定次数区间的下界为零，不包含零。步骤s210、对于存储在所述访问地址列表中的目的地址，确定其在历史设定时间段内被成功访问次数所属的次数区间，作为历史被访问次数区间；步骤s220、对于未存储在所述访问地址列表中的目的地址，确定其历史被访问次数区间为零。基于此，上述步骤中根据各所述目的地址的历史被访问次数，确定所述终端是否为非法扫描探测终端的过程，可以包括：根据各所述目的地址的历史被访问次数区间，确定所述终端是否为非法扫描探测终端。示例如，各目的地址的历史被访问次数区间均为较小的次数区间，则可以确定所述终端为非法探测扫描终端。进一步，对上述访问地址列表的生成过程进行介绍，详细参见图5流程所示，包括：步骤s300、获取历史设定时间段内的若干个历史数据访问请求；具体地，本步骤中获取历史设定时间段内各终端发起的历史数据访问请求。步骤s310、确定每一所述历史数据访问请求所访问的目的地址及访问结果，所述访问结果表明访问是否成功；具体地，如果历史数据访问请求所访问的目的地址不存在，或者未开放，那么该数据访问请求的访问结果不可能成功的。访问结果是否成功反映了对应所访问目的地址的开放状态。步骤s320、根据访问结果表明访问成功的历史数据访问请求，确定所访问各目的地址的被访问次数；示例如，历史10分钟内访问成功的历史数据访问请求分别包括请求1-9。各历史数据访问请求的目的地址如下表1所示：表1由上表可知，被访问的各目的地址的被访问次数分别为：目的地址1的被访问次数为5，目的地址3的被访问次数为3，目的地址4的被访问次数为1。步骤s330、确定各目的地址的被访问次数所属的设定次数区间；其中，设定次数区间可以由用户设定，设定次数区间可以是一个或多个，其中最小设定次数区间的下界为零，且不包含零。示例如：设定次数区间只有一个时，其区间大小为(0，+∞]；再比如，设定次数区间可以为多个如两个，分别为：(0，4]和(4，+∞]。可以理解的是，若设定次数区间为多个，则各设定次数区间之间不存在交集。步骤s340、将各目的地址按照所属设定次数区间的对应关系，存储至访问地址列表中。可选的，针对每一设定次数区间，可以对应设置一访问地址子列表，用于存储被访问次数属于该设定次数区间的目的地址。各设定次数区间各自对应的访问地址子列表组成访问地址列表。各设定次数区间不存在交集且最小设定次数区间的下界为零，不包含零。示例如：访问地址列表包括：访问地址子列表1和访问地址子列表2。访问地址子列表1对应的设定次数区间为(0，4]，访问地址子列表2对应的设定次数区间为(4，+∞]。则针对上表1中各目的地址，其中目的地址1的被访问次数为5，因此存储至访问地址子列表2中，目的地址3和4的被访问次数属于(0，4]，因此存储至访问地址子列表1中。访问地址子列表1和访问地址子列表2组成访问地址列表。在此基础上，上述步骤s210，对于存储在所述访问地址列表中的目的地址，确定其在历史设定时间段内被成功访问次数所属的次数区间，作为历史被访问次数区间的过程，具体可以包括：确定所述目的地址所在的访问地址子列表，目的地址所在的访问地址子列表对应的设定次数区间作为目的地址的历史被访问次数区间。通过不同设定次数区间对应不同访问地址子列表，后续在确定一个目的地址的历史被访问次数区间时，可以直接查询该目的地址所在的访问地址子列表，确定的所在的访问地址子列表对应的设定次数区间即为该目的地址的历史被访问次数区间。当然，如果目的地址不在任何一个访问地址子列表中，则可以确定该目的地址的历史被访问次数区间为零。进一步可选的，对于上述步骤中，根据各所述目的地址的历史被访问次数区间，确定所述终端是否为非法扫描探测终端的过程，其实现过程可以参照图6所示，包括：步骤s400、针对每一所述目的地址，确定与该目的地址的历史被访问次数区间对应的偏移权重值，作为该目的地址对应的偏移权重值；具体地，目的地址可以是目的ip，或者是目的ip与目的端口的组合。针对不同类型的目的地址，可以根据历史被访问次数区间的不同，设置不同的偏移权重值。其中，偏移权重值与历史被访问次数相关，历史被访问次数区间的下界值越小，对应的偏移权重值越大。可以理解的是，偏移权重值表明偏离正常访问地址的程度，该值越大，表示对应的访问终端越有可能是非法扫描探测终端。而如果终端访问的目的地址的历史被访问次数越小，表示其偏离正常访问地址的程度越高，因此设置对应的偏移权重值越大。前文已经介绍，可以针对不同的历史被访问次数区间设置对应的访问地址子列表。基于此，本申请可以为不同的访问地址子列表设置不同的偏移权重值。历史被访问次数区间的下界值越小，对应访问地址子列表的偏移权重值越大，该偏移权重值作为对应访问地址子列表中存储的各目的地址的偏移权重值。步骤s410、将各所述目的地址对应的偏移权重值求和，得到偏移权重和值；步骤s420、若所述偏移权重和值超过设定偏移权重阈值，则确定所述终端为非法扫描探测终端。具体地，如果获取的终端在设定时间段内发送的各数据访问请求的目的地址的偏移权重和值超过设定偏移权重阈值，则表示该终端为非法扫描探测终端，否则，可以确定该终端不是非法扫描探测终端。上述实施例中已经介绍过，对数据访问请求进行解析可以确定目的地址，该目的地址可以包括目的ip，或者是目的ip与目的端口的组合。根据目的地址的不同类型，访问地址列表也不同，接下来详细进行介绍。若所述目的地址仅包括目的ip。则访问地址列表中存储有历史时间段内被成功访问次数属于设定次数区间的目的ip。当然，访问地址列表可以包括若干个访问地址子列表，对应不同的设定次数区间。示例如，访问地址列表包括两个访问地址子列表，分别为：访问地址子列表1：目的ip2.2.2.23.3.3.34.4.4.45.5.5.5表2访问地址子列表2：目的ip6.6.6.67.7.7.7表3其中，访问地址子列表1中存储的目的地址在历史设定时间段内被成功访问的历史被访问次数属于(10，+∞]，访问地址子列表2中存储的目的地址在历史设定时间段内被成功访问的历史被访问次数属于(0，10]。访问地址子列表1对应的偏移权重值为第一偏移权重值，访问地址子列表2对应的偏移权重值为第二偏移权重值。对于在历史设定时间段内被成功访问的历史被访问次数为0的目的地址，不需要额外设置访问地址子列表，直接确定此类目的地址的偏移权重值为第三偏移权重值，其中第三偏移权重值大于第二偏移权重值，第二偏移权重值大于第一偏移权重值。可选的，下界值最高的次数区间对应的访问地址子列表的偏移权重值可以设置为0，以上例说明，即将访问地址子列表1的第一偏移权重值设置为0。可以理解的是，访问地址子列表1和2是针对某一段历史设定时间段内的数据访问请求所确定，随着时间的推移，访问地址子列表1和2中的目的地址会产生变化，如t1周期内目的地址2.2.2.2位于访问地址子列表1中，t2周期内目的地址2.2.2.2的被访问次数降低至(0，10]区间，因此将其存储至访问地址子列表2中。进一步，若所述目的地址包括目的ip及目的端口，则访问地址列表包括两个子类，第一子类访问地址列表中存储有历史设定时间段内被成功访问次数属于设定次数区间的目的ip；第二子类访问地址列表中存储有历史设定时间段内被成功访问次数属于设定次数区间的目的ip及目的端口的组合。示例如：第一子类访问地址列表：表4第一子类访问地址列表中存储的目的ip在历史设定时间段内被成功访问的历史被访问次数大于0。第二子类访问地址列表：目的ip目的端口集合2.2.2.288883.3.3.312345，4354，67564.4.4.480，80815.5.5.59999，7777表5第二子类访问地址列表中存储的目的ip及目的端口的组合在历史设定时间段内被成功访问的历史被访问次数大于0。如：目的ip3.3.3.3+目的端口12345的历史被访问次数大于0，目的ip3.3.3.3+目的端口4354的历史被访问次数大于0等。可选的，可以为第一子类访问地址列表和第二子类访问地址列表设置不同的偏移权重值，如第一子类访问地址列表的偏移权重值大于第二子类访问地址列表的偏移权重值。进一步需要说明的是，每一子类访问地址列表还可以按照设定次数区间划分为若干个访问地址子列表。以设定次数区间包括(0，10]和(10，+∞]两个区间为例，结合上表4示例的第一子类访问地址列表进行说明：假设其中记录的前3条目的ip的历史被访问次数大于10次，后面2条目的ip的历史被访问次数小于10次，则第一子类访问地址列表可以划分为第一子类访问地址子列表1和第一子类访问地址子列表2，分别如下：第一子类访问地址子列表1：目的ip2.2.2.23.3.3.34.4.4.4表6其中，第一子类访问地址子列表1存储的是历史被访问次数属于(10，+∞]的目的ip。第一子类访问地址子列表2：目的ip5.5.5.56.6.6.6表7其中，第一子类访问地址子列表2存储的是历史被访问次数属于(0，10]的目的ip。对于未存储在第一子类访问地址子列表中的目的ip，可以确定其历史被访问数量为0，因此设置该类目的ip的偏移权重值大于第一子类访问地址子列表2的偏移权重值，第一子类访问地址子列表2的偏移权重值大于第一子类访问地址子列表1的偏移权重值。再进一步，以设定次数区间包括(0，10]和(10，+∞]两个区间为例，结合上表5示例的第二子类访问地址列表进行说明：为了便于表述，以(a，b)形式表示目的ip：a和目的端口：b的组合。假设(2.2.2.2，8888)的历史被访问次数大于10次，(3.3.3.3，12345)的历史被访问次数大于10次，(3.3.3.3，4354)的历史被访问次数小于10次，(3.3.3.3，6756)的历史被访问次数小于10次，(4.4.4.4，80)的历史被访问次数大于10次，(4.4.4.4，8081)的历史被访问次数小于10次，(5.5.5.5，9999)的历史被访问次数小于10次，(5.5.5.5，7777)的历史被访问次数小于10次。第二子类访问地址列表可以划分为第二子类访问地址子列表1和第二子类访问地址子列表2，分别如下：第二子类访问地址子列表1：目的ip目的端口集合2.2.2.288883.3.3.3123454.4.4.480表8其中，第二子类访问地址子列表1存储的是历史被访问次数属于(10，+∞]的目的ip及目的端口的组合。第二子类访问地址子列表2：目的ip目的端口集合3.3.3.34354，67564.4.4.480815.5.5.59999，7777表9其中，第二子类访问地址子列表2存储的是历史被访问次数属于(0，10]的目的ip及目的端口的组合。对于未存储在第二子类访问地址子列表中的目的ip及目的端口的组合，可以确定其历史被访问数量为0，因此可以设置该类目的ip及目的端口的组合的偏移权重值大于第二子类访问地址子列表2的偏移权重值，第二子类访问地址子列表2的偏移权重值大于第二子类访问地址子列表1的偏移权重值。接下来通过一个具体实例进行说明。设定时间段内终端实际访问的目的地址如下表10所示：目的ip目的端口集合2.2.2.288885.5.5.58081，99997.7.7.79999表10假设地址访问列表包括上表6及表7示例的第一子类访问地址子列表1和2，以及上表8及表9示例的第二子类访问地址子列表1和2。未存储在第一子类访问地址子列表1和2中的目的ip的偏移权重值为2，第一子类访问地址子列表2的偏移权重值为1，第一子类访问地址子列表1的偏移权重值为0。未存储在第二子类访问地址子列表1和2中的目的ip及目的端口的组合的偏移权重值为0.7，第二子类访问地址子列表2的偏移权重值为0.4，第二子类访问地址子列表1的偏移权重值为0。设定的偏移权重阈值为5。逐个分析用户实际访问的目的地址：第一条目的地址(2.2.2.2，8888)：由于该条目的地址所包含的目的ip位于第一子类访问地址子列表1中，因此确定第一偏移权重值为0；第一条目的地址(2.2.2.2，8888)：由于该条目的地址所包含的目的ip及目的端口的组合位于第二子类访问地址子列表1中，因此确定第二偏移权重值为0；第二条目的地址(5.5.5.5，8081)：由于该条目的地址所包含的目的ip位于第一子类访问地址子列表2中，因此确定第三偏移权重值为1；第二条目的地址(5.5.5.5，8081)：由于该条目的地址所包含的目的ip及目的端口的组合未存储于第二子类访问地址子列表1和2中，因此确定第四偏移权重值为0.7；第三条目的地址(5.5.5.5，9999)：由于该条目的地址所包含的目的ip位于第一子类访问地址子列表2中，因此确定第五偏移权重值为1；第三条目的地址(5.5.5.5，9999)：由于该条目的地址所包含的目的ip及目的端口的组合存储于第二子类访问地址子列表2中，因此确定第六偏移权重值为0.4；第四条目的地址(7.7.7.7，9999)：由于该条目的地址所包含的目的ip未存储于第一子类访问地址子列表1和2中，因此确定第七偏移权重值为2；第四条目的地址(7.7.7.7，9999)：由于该条目的地址所包含的目的ip及目的端口的组合未存储于第二子类访问地址子列表1和2中，因此确定第八偏移权重值为0.7。将第一至第八偏移权重值求和，和值结果作为偏移权重和值：0+0+1+0.7+1+0.4+2+0.7＝5.8由于偏移权重和值5.8大于偏移权重阈值为5，因此确定该终端为非法扫描探测终端，可以进行告警提示。下面对本申请实施例提供的数据访问控制装置进行描述，下文描述的数据访问控制装置与上文描述的数据访问控制方法可相互对应参照。参见图7，图7为本申请实施例公开的一种数据访问控制装置结构示意图。如图7所示，该装置包括：数据访问请求获取单元71，用于获取终端在设定时间段内发送的至少一数据访问请求；目的地址确定单元72，用于确定每一所述数据访问请求所访问的目的地址，得到至少一目的地址；历史被访问次数确定单元73，用于确定各所述目的地址在历史设定时间段内被成功访问次数，作为历史被访问次数；终端类型确定单元74，用于根据各所述目的地址的历史被访问次数，确定所述终端是否为非法扫描探测终端，以决定是否对所述终端的数据访问请求进行控制。本申请实施例提供的数据访问控制装置，通过获取终端在设定时间段内发送的至少一数据访问请求，确定每一数据访问请求所访问的目的地址，得到至少一目的地址，进而确定各目的地址在历史设定时间段内被成功访问次数，作为历史被访问次数，根据各目的地址的历史被访问次数，确定终端是否为非法扫描探测终端，以决定是否对终端的数据访问请求进行控制。由于非法扫描探测终端的扫描目的地址是随机产生的，其中可能包含大量不存在或偏僻的目的地址，这部分目的地址被正常终端成功访问的数量是有限的，本申请针对终端设定时间段内发送的各数据访问请求，确定各请求访问的目的地址的历史被访问次数，进而可以根据各目的地址的历史被访问次数来分析确定终端是否为非法扫描探测终端，该种方法更加贴合非法扫描探测终端的扫描探测行为，因此能够有效解决恶意扫描探测行为，并且不会像现有技术那样，对正常终端大量的数据访问产生恶意误报。可选的，所述历史被访问次数确定单元可以包括：访问地址列表获取单元，用于获取预先存储的访问地址列表，所述访问地址列表中存储有在历史设定时间段内被成功访问次数属于设定次数区间的目的地址，所述设定次数区间的下界为零，不包含零；第一区间确定单元，用于对于存储在所述访问地址列表中的目的地址，确定其在历史设定时间段内被成功访问次数所属的次数区间，作为历史被访问次数区间；第二区间确定单元，用于对于未存储在所述访问地址列表中的目的地址，确定其历史被访问次数区间为零。可选的，所述终端类型确定单元可以包括：终端类型确定子单元，用于根据各所述目的地址的历史被访问次数区间，确定所述终端是否为非法扫描探测终端。可选的，所述访问地址列表可以包括若干个访问地址子列表，不同访问地址子列表对应不同的次数区间，各次数区间不存在交集且最小次数区间的下界为零，不包含零。基于此，所述第一区间确定单元可以包括：访问地址子列表确定单元，用于确定所述目的地址所在的访问地址子列表，目的地址所在的访问地址子列表对应的次数区间作为目的地址的历史被访问次数区间。可选的，所述终端类型确定子单元可以包括：偏移权重值确定单元，用于针对每一所述目的地址，确定与该目的地址的历史被访问次数区间对应的偏移权重值，作为该目的地址对应的偏移权重值；其中，历史被访问次数区间的下界值越小，对应的偏移权重值越大；偏移权重值求和单元，用于将各所述目的地址对应的偏移权重值求和，得到偏移权重和值；偏移权重和值判断单元，用于若所述偏移权重和值超过设定偏移权重阈值，则确定所述终端为非法扫描探测终端。本申请装置还可以包括访问地址列表生成单元，用于生成访问地址列表，该生成过程可以包括：获取历史设定时间段内的若干个历史数据访问请求；确定每一所述历史数据访问请求所访问的目的地址及访问结果，所述访问结果表明访问是否成功；说明：成功可以确定处于开放状态。根据访问结果表明访问成功的历史数据访问请求，确定所访问各目的地址的被访问次数；确定各目的地址的被访问次数所属的设定次数区间；将各目的地址按照所属设定次数区间的对应关系，存储至访问地址列表中。其中，上述各单元所执行步骤的详细介绍可以参照上述方法实施例部分的内容。最后，还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下，在其它实施例中实现。因此，本申请将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。当前第1页12