本发明涉及数据处理,尤其涉及一种访问控制方法、装置、电子设备及存储介质。
背景技术:
1、随着技术的不断发展,用户已经开始习惯与通过数据访问的方式获取信息服务,而当前的网络环境中,经常出现针对访问控制模块的网络攻击,即不停的尝试登陆服务器系统,系统存在被暴力破解的风险,严重影响服务器系统的正常运行和使用。
2、因此,如何避免对于服务器的恶意攻击,已经成为业界亟待解决的问题。
技术实现思路
1、本发明提供一种访问控制方法、装置、电子设备及存储介质,用以解决现有技术中如何避免对于服务器的恶意攻击的缺陷。
2、本发明提供一种访问控制方法,包括:
3、服务器在检测到访问的异常终端的情况下,将所述异常终端对应的第一互联网协议地址加入黑名单,所述服务器进入风险模式;
4、其中,所述异常终端为异常访问所述服务器的访问频率超过第一预设阈值的终端;所述风险模式包括:拒绝来自所述黑名单中的互联网协议地址的访问请求;
5、所述服务器在第一预设时长内检测到所述异常终端的数量超过第二预设阈值的情况下,所述服务器由风险模式进入高风险模式;
6、其中,所述高风险模式包括:拒绝来自所述黑名单中互联网协议地址的访问请求,并仅允许读取所述服务器的数据,禁止向所述服务器进行数据写入。
7、根据本发明提供的一种访问控制方法,在所述服务器在检测到访问的异常终端的情况下,将所述异常终端对应的第一互联网协议地址加入黑名单,所述服务器进入风险模式的步骤之后,还包括:
8、在服务器接收到第二终端的访问请求的情况下,将所述访问请求对应的互联网协议地址与所述黑名单中的互联网协议地址进行比较;
9、在所述黑名单包括所述访问请求对应的互联网协议地址的情况下,不再进行解密和密码校验,直接拒绝访问。
10、根据本发明提供的一种访问控制方法,在服务器接收到第二终端的访问请求的情况下,将所述访问请求对应的互联网协议地址与所述黑名单中的互联网协议地址进行比较的步骤之后,还包括:
11、在所述黑名单不包括所述访问请求的互联网协议地址的情况下,对所述访问请求进行密码解密,并进行密码校验;
12、在所述密码校验通过的情况下,允许所述访问请求的接入。
13、根据本发明提供的一种访问控制方法,在所述服务器在检测到访问的异常终端的情况下,将所述异常终端对应的第一互联网协议地址加入黑名单,所述服务器进入风险模式的步骤之前,还包括:
14、所述服务器在接收到来自第一终端的异常访问的情况下,记录来自所述第一终端的初次异常访问的第一访问时间和后续异常访问的第二访问时间;所述异常访问为未通过所述服务器的密码校验的访问请求;
15、基于所述第一访问时间和各个所述第二访问时间,计算所述第一终端异常访问所述服务器的第一访问频率;
16、在所述第一访问频率超过第三预设阈值的情况下,将所述第一终端认定为异常终端,并将所述第一终端对应的第一互联网协议地址加入黑名单。
17、根据本发明提供的一种访问控制方法,基于所述第一访问时间和各个所述第二访问时间,计算所述第一终端异常访问所述服务器的第一访问频率,包括:
18、获取各个所述第二访问时间与所述第一访问时间之间的差值,得到各个访问时间差值信息;
19、基于各个所述访问时间差值信息,确定所述第一终端异常访问所述服务器的第一访问频率。
20、根据本发明提供的一种访问控制方法,所述访问频率的计算方法,具体包括:
21、
22、其中,为访问频率,为第次异常访问与第一次异常访问之间的时间差值,为异常访问次数,π为预设权值。
23、根据本发明提供的一种访问控制方法,在所述服务器在检测到访问的异常终端的情况下,将所述异常终端对应的第一互联网协议地址加入黑名单,所述服务器进入风险模式的步骤之后,还包括:
24、所述服务器在第二预设时长内未检测到来自所述第一互联网协议地址的异常访问的情况下,将所述第一互联网协议地址从所述黑名单中删除;
25、在所述黑名单中所有互联网协议地址均被删除的情况下,所述服务器退出所述风险模式,切换为无风险模式。
26、根据本发明提供的一种访问控制方法,所述第二预设时长的计算方法,具体为:
27、基于所述访问频率和预设缩放权值的乘积,确定所述第二预设时长。
28、所述第二预设时长的计算方法,具体包括:
29、
30、其中,为预设缩放权值,为第二预设时长,为访问频率。
31、根据本发明提供的一种访问控制方法,所述服务器在第一预设时长内检测到所述异常终端的数量超过第二预设阈值的情况下,所述服务器由风险模式进入高风险模式的步骤之后,还包括:
32、在服务器接收到第三终端的访问请求的情况下,将所述访问请求对应的互联网协议地址与所述黑名单中的互联网协议地址进行比较;
33、在所述黑名单不包括所述访问请求的互联网协议地址的情况下,对所述访问请求进行密码解密,并进行密码校验;
34、在所述密码校验通过的情况下,允许所述第三终端访问所述服务器的数据,但不允许所述第三终端向所述服务器写入数据。
35、根据本发明提供的一种访问控制方法,允许所述第三终端访问所述服务器的数据,但不允许所述第三终端向所述服务器写入数据的步骤之后,所述方法还包括:
36、向所述第三终端发送安全风险提示信息;
37、其中,所述安全风险提示信息用于提示所述服务器的安全风险。
38、根据本发明提供的一种访问控制方法,所述服务器在第一预设时长内检测到所述异常终端的数量超过第二预设阈值的情况下,所述服务器由风险模式进入高风险模式的步骤之后,所述方法还包括:
39、向所述服务器对应的管理员账号发送验证码信息;
40、在所述服务器接收到所述管理员账号发送的验证码信息的情况下,向所述管理员账号发送密码修改许可;
41、在接收到所述管理员账号发送的符合安全规范的密码修改请求后,完成所述管理员账号的密码修改,所述服务器由所述高风险模式切换到所述风险模式。
42、根据本发明提供的一种访问控制方法,所述服务器由所述高风险模式切换到所述风险模式之后,还包括:
43、在接收到黑名单之外的互联网协议地址发送的访问请求的情况下,对所述访问请求进行密码验证;
44、在所述密码验证成功的情况下,允许所述访问请求访问所述服务器,进行数据读写。
45、根据本发明提供的一种访问控制方法,所述服务器中记录有用户信息,所述用户信息包括:所述服务器的风险等级信息和账号及密码信息;所述风险等级信息包括:无风险模式、风险模式和高风险模式。
46、根据本发明提供的一种访问控制方法,所述方法还包括:
47、所述服务器记录各个终端的临时访问信息;
48、在第三预设时长内所述终端未被服务器认定为异常终端的情况下,清空所述终端的临时访问信息。
49、根据本发明提供的一种访问控制方法,所述服务器记录各个终端的临时访问信息的步骤之后,还包括:
50、在所述第三预设时长内所述终端被认定为异常终端的情况下,将所述异常终端对应的互联网协议地址加入黑名单。
51、根据本发明提供的一种访问控制方法,所述服务器中记录有黑名单信息,所述黑名单信息中包括:所述异常终端对应的互联网协议地址。
52、本发明还提供一种访问控制装置,包括:
53、控制模块,用于服务器在检测到访问的异常终端的情况下,将所述异常终端对应的第一互联网协议地址加入黑名单,所述服务器进入风险模式;
54、其中,所述异常终端为异常访问所述服务器的访问频率超过第一预设阈值的终端;所述风险模式包括:拒绝来自所述黑名单中的互联网协议地址的访问请求。
55、第二控制模块,用于所述服务器在第一预设时长内检测到所述异常终端的数量超过第二预设阈值的情况下,所述服务器由风险模式进入高风险模式;
56、其中,所述高风险模式包括:拒绝来自所述黑名单中互联网协议地址的访问请求,并仅允许读取所述服务器的数据,禁止向所述服务器进行数据写入。
57、根据本发明提供的访问控制装置,所述装置还用于:
58、在服务器接收到第二终端的访问请求的情况下,将所述访问请求对应的互联网协议地址与所述黑名单中的互联网协议地址进行比较;
59、在所述黑名单包括所述访问请求对应的互联网协议地址的情况下,不再进行解密和密码校验,直接拒绝访问。
60、根据本发明提供的访问控制装置,所述装置还用于:
61、在所述黑名单不包括所述访问请求的互联网协议地址的情况下,对所述访问请求进行密码解密,并进行密码校验;
62、在所述密码校验通过的情况下,允许所述访问请求的接入。
63、根据本发明提供的访问控制装置,所述装置还用于:
64、所述服务器在接收到来自第一终端的异常访问的情况下,记录来自所述第一终端的初次异常访问的第一访问时间和后续异常访问的第二访问时间;所述异常访问为未通过所述服务器的密码校验的访问请求;
65、基于所述第一访问时间和各个所述第二访问时间,计算所述第一终端异常访问所述服务器的第一访问频率;
66、在所述第一访问频率超过第三预设阈值的情况下,将所述第一终端认定为异常终端,并将所述第一终端对应的第一互联网协议地址加入黑名单。
67、根据本发明提供的访问控制装置,所述装置还用于:
68、获取各个所述第二访问时间与所述第一访问时间之间的差值,得到各个访问时间差值信息;
69、基于各个所述访问时间差值信息,确定所述第一终端异常访问所述服务器的第一访问频率。
70、根据本发明提供的访问控制装置,所述装置还用于:
71、所述服务器在第二预设时长内未检测到来自所述第一互联网协议地址的异常访问的情况下,将所述第一互联网协议地址从所述黑名单中删除;
72、在所述黑名单中所有互联网协议地址均被删除的情况下,所述服务器退出所述风险模式,切换为无风险模式。
73、根据本发明提供的访问控制装置,所述装置还用于:
74、基于所述访问频率和预设缩放权值的乘积,确定所述第二预设时长。
75、根据本发明提供的访问控制装置,所述装置还用于:
76、在服务器接收到第三终端的访问请求的情况下,将所述访问请求对应的互联网协议地址与所述黑名单中的互联网协议地址进行比较;
77、在所述黑名单不包括所述访问请求的互联网协议地址的情况下,对所述访问请求进行密码解密,并进行密码校验;
78、在所述密码校验通过的情况下,允许所述第三终端访问所述服务器的数据,但不允许所述第三终端向所述服务器写入数据。
79、根据本发明提供的访问控制装置,所述装置还用于:
80、向所述第三终端发送安全风险提示信息;
81、其中,所述安全风险提示信息用于提示所述服务器的安全风险。
82、根据本发明提供的访问控制装置,所述装置还用于:
83、向所述服务器对应的管理员账号发送验证码信息;
84、在所述服务器接收到所述管理员账号发送的验证码信息的情况下,向所述管理员账号发送密码修改许可;
85、在接收到所述管理员账号发送的符合安全规范的密码修改请求后,完成所述管理员账号的密码修改,所述服务器由所述高风险模式切换到所述风险模式。
86、根据本发明提供的访问控制装置,所述装置还用于:
87、在接收到黑名单之外的互联网协议地址发送的访问请求的情况下,对所述访问请求进行密码验证;
88、在所述密码验证成功的情况下,允许所述访问请求访问所述服务器,进行数据读写。
89、根据本发明提供的访问控制装置,所述服务器中记录有用户信息,所述用户信息包括:所述服务器的风险等级信息和账号及密码信息;所述风险等级信息包括:无风险模式、风险模式和高风险模式。
90、根据本发明提供的访问控制装置,所述装置还用于:
91、所述服务器记录各个终端的临时访问信息;
92、在第三预设时长内所述终端未被服务器认定为异常终端的情况下,清空所述终端的临时访问信息。
93、根据本发明提供的访问控制装置,所述装置还用于:
94、在所述第三预设时长内所述终端被认定为异常终端的情况下,将所述异常终端对应的互联网协议地址加入黑名单。
95、本发明还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述任一种所述访问控制方法。
96、本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述任一种所述访问控制方法。
97、本发明还提供一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现如上述任一种所述访问控制方法。
98、本发明提供的访问控制方法、装置、电子设备及存储介质,在检测到异常访问服务器的访问频率超过第一预设阈值的终端时,判定该终端为异常终端,此时认为该终端可能存在攻击服务器的风险,可以将该异常终端对应的第一互联网协议地址加入黑名单,直接拒绝来自第一互联网协议地址的访问,由于攻击者的互联网协议地址往往与合法用户的互联网协议地址不同,因此通过差异化的互联网协议地址管理,能够在有效避免攻击的情况下,使得合法用户可以正常登录,在预防攻击的过程中,有效避免影响合法用户的使用;同时,通过高风险模式,形成两级访问控制,进一步增强对于服务器的安全防护,在保留ip地址黑名单机制的基础上,仅仅允许数据的读取,而禁止服务器的数据写入,能够有效提升在多种攻击情况下的服务器数据安全。