一种安全防护方法、装置及存储介质制造方法及图纸

本申请实施例提供一种安全防护方法、装置及存储介质。其中，方法包括：若监测到向目标服务端发起的首次连接请求，放行所述首次连接请求，所述首次连接请求来自目标请求端；确定在所述首次连接过程中所述目标请求端是否与所述目标服务端进行登录认证；若所述目标请求端未与所述目标服务端进行登录认证，拦截所述目标请求端向所述目标服务端发起的后续连接请求。据此，将向目标服务端发起的首次连接请求视为可疑流量，对可疑流量采用首次放行的策略，并基于可疑流量是否与目标服务端进行登录认证来判断可疑流量是否可以被信任，这样，根据判断结果可对可疑流量进行后续的访问控制，从而降低漏拦率和错拦率，减小攻击面，提高通信过程的安全性。信过程的安全性。信过程的安全性。

【技术实现步骤摘要】
一种安全防护方法、装置及存储介质


[0001]本申请涉及安全
，尤其涉及一种安全防护方法、装置及存储介质。

技术介绍

[0002]随着云计算技术的不断发展，越来越多的企业用户或个人用户选择云计算资源来降低业务成本，这还可有效提高业务质量。
[0003]用户可基于云计算资源实现多种多样的服务。目前，为了保证这些服务的安全性，通常采用白名单或者黑名单的方式拦截针对这些服务的危险流量。比如，对在白名单中的流量进行放行，而对不在白名单中的流量进行拦截；或者，对在黑名单中的流量进行拦截，而对不在黑名单中的流量进行放行。
[0004]然而，这种方式对危险流量的拦截成果并不理想，经常发生漏拦或错拦等问题。

技术实现思路

[0005]本申请的多个方面提供一种安全防护方法、装置及存储介质，用以提高通信过程的安全性。
[0006]本申请实施例提供一种安全防护方法，包括：
[0007]若监测到向目标服务端发起的首次连接请求，放行所述首次连接请求，所述首次连接请求来自目标请求端；
[0008]基于所述目标请求端与所述目标服务端之间的首次连接过程，确定在所述首次连接过程中所述目标请求端是否与所述目标服务端进行登录认证；
[0009]若所述目标请求端未与所述目标服务端进行登录认证，拦截所述目标请求端向所述目标服务端发起的后续连接请求。
[0010]本申请实施例还提供一种安全防护装置，包括存储器和处理器；
[0011]所述存储器用于存储一条或多条计算机指令；r/>[0012]所述处理器与所述存储器耦合，用于执行所述一条或多条计算机指令，以用于：
[0013]若监测到向目标服务端发起的首次连接请求，放行所述首次连接请求，所述首次连接请求来自目标请求端；
[0014]基于所述目标请求端与所述目标服务端之间的首次连接过程，确定在所述首次连接过程中所述目标请求端是否与所述目标服务端进行登录认证；
[0015]若所述目标请求端未与所述目标服务端进行登录认证，拦截所述目标请求端向所述目标服务端发起的后续连接请求。
[0016]本申请实施例还提供一种安全防护方法，包括：
[0017]若监测到向目标服务端发起的首次连接请求，放行所述首次连接请求，所述首次连接请求来自目标请求端；
[0018]基于所述目标请求端与所述目标服务端之间的首次连接过程，确定在所述首次连接过程中所述目标请求端是否与所述目标服务端进行登录认证；
[0019]若所述目标请求端未与所述目标服务端进行登录认证，对所述目标请求端进行标记。
[0020]本申请实施例还提供一种安全防护装置，包括存储器和处理器；
[0021]所述存储器用于存储一条或多条计算机指令；
[0022]所述处理器与所述存储器耦合，用于执行所述一条或多条计算机指令，以用于：
[0023]若监测到向目标服务端发起的首次连接请求，放行所述首次连接请求，所述首次连接请求来自目标请求端；
[0024]基于所述目标请求端与所述目标服务端之间的首次连接过程，确定在所述首次连接过程中所述目标请求端是否与所述目标服务端进行登录认证；
[0025]若所述目标请求端未与所述目标服务端进行登录认证，对所述目标请求端进行标记。
[0026]本申请实施例还提供一种存储计算机指令的计算机可读存储介质，当所述计算机指令被一个或多个处理器执行时，致使所述一个或多个处理器执行前述的安全防护方法。
[0027]在本申请实施例中，若监测到向目标服务端发起的首次连接请求，放行所述首次连接请求，并监控首次连接过程，若确定在所述首次连接过程中发起所述首次连接请求的目标请求端未与所述目标服务端进行登录认证，拦截所述目标请求端向所述目标服务端发起的后续连接请求。据此，本申请实施例中，将向目标服务端发起的首次连接请求视为可疑流量，对可疑流量采用首次放行的策略，并基于可疑流量是否与目标服务端进行登录认证来判断可疑流量是否可以被信任，这样，根据判断结果可对可疑流量进行后续的访问控制，从而降低漏拦率和错拦率，减小攻击面，提高通信过程的安全性。
附图说明
[0028]此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。在附图中：
[0029]图1为本申请一实施例提供的一种安全防护方法的流程示意图；
[0030]图2为本申请一实施例提供的另一种安全防护方法的流程示意图；
[0031]图3为本申请另一实施例提供的一种安全防护方法的流程示意图；
[0032]图4为本申请又一实施例提供的一种安全防护装置的结构示意图。
具体实施方式
[0033]为使本申请的目的、技术方案和优点更加清楚，下面将结合本申请具体实施例及相应的附图对本申请技术方案进行清楚、完整地描述。显然，所描述的实施例仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。
[0034]现有技术中，通常采用白名单或黑名单的方式进行安全防护，然而经常出现错拦或漏拦的问题。为了至少部分解决现有技术存在的前述问题，在本申请的一些实施例中：将向目标服务端发起的首次连接请求视为可疑流量，对可疑流量采用首次放行的策略，并基于可疑流量是否与目标服务端进行登录认证来判断可疑流量是否可以被信任，这样，根据判断结果可对可疑流量进行后续的访问控制，从而降低漏拦率和错拦率，提高通信过程的
安全性。
[0035]以下结合附图，详细说明本申请各实施例提供的技术方案。
[0036]图1为本申请一实施例提供的一种安全防护方法的流程示意图。如图1所示，该方法包括：
[0037]100、若监测到向目标服务端发起的首次连接请求，放行首次连接请求，首次连接请求来自目标请求端；
[0038]101、基于目标请求端与目标服务端之间的首次连接过程，确定在首次连接过程中目标请求端是否与目标服务端进行登录认证；
[0039]102、若目标请求端未与目标服务端进行登录认证，拦截目标请求端向目标服务端发起的后续连接请求。
[0040]本申请实施例提供的安全防护方法可应用于各种通信场景中。例如，可应用于云计算场景中为用户的云资产提供安全防护，也可应用于普通的通信场景中为具有安全需求的设备或数据提供安全防护，当然，本实施例并不限于此。
[0041]本申请实施例中，目标服务端可用于提供需要进行登录认证的网络服务。在不同的应用场景中，目标服务端的物理实现形式可不同，例如，在云计算场景中，目标服务端可以是云中提供需要进行登录认证的网络服务的物理机或虚拟机，当然，本实施例对此不作限定。
[0042]其中，目标服务端可提供的需要进行登录认证的网络服务包括但不限于：安全外壳协议SSH服务、远程桌面协议R本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种安全防护方法，其特征在于，包括：若监测到向目标服务端发起的首次连接请求，放行所述首次连接请求，所述首次连接请求来自目标请求端；基于所述目标请求端与所述目标服务端之间的首次连接过程，确定在所述首次连接过程中所述目标请求端是否与所述目标服务端进行登录认证；若所述目标请求端未与所述目标服务端进行登录认证，拦截所述目标请求端向所述目标服务端发起的后续连接请求。2.根据权利要求1所述的方法，其特征在于，所述基于所述目标请求端与所述目标服务端之间的首次连接过程，确定在所述首次连接过程中所述目标请求端是否与所述目标服务端进行登录认证，包括：在所述首次连接过程中统计所述目标请求端与所述目标服务端之间传输的实际数据包数量；若所述实际数据包数量小于或等于所述目标服务端进行登录认证所需的基础数据包数量，确定所述目标请求端未与所述目标服务端进行登录认证。3.根据权利要求1所述的方法，其特征在于，所述基于所述目标请求端与所述目标服务端之间的首次连接过程，确定在所述首次连接过程中所述目标请求端是否与所述目标服务端进行登录认证，包括：监测所述目标服务端在所述首次连接过程中向所述目标请求端返回的认证结果数据包；若所述认证结果数据包中携带有认证未通过标识，确定所述目标请求端未与所述目标服务端进行登录认证。4.根据权利要求1所述的方法，其特征在于，还包括：监测向所述目标服务端发起的连接请求；获取所述连接请求对应的请求端的地址；若从预置的地址白名单和地址黑名单中未查找到所述连接请求对应的请求端的地址，将所述连接请求确定为首次连接请求。5.根据权利要求4所述的方法，其特征在于，所述若所述目标请求端未与所述目标服务端进行登录认证，拦截所述目标请求端向所述目标服务端发起的后续连接请求，包括：若所述目标请求端未与所述目标服务端进行登录认证，将所述目标请求端的地址更新至所述地址黑名单；基于更新后的所述地址黑名单，拦截所述目标请求端向所述目标服务端发起的后续连接请求。6.根据权利要求5所述的方法，其特征在于，还包括：若所述目标请求端已与所述目标服务端进行登录认证，将所述目标请求端的地址更新至所述地址白名单；基于更新后的所述地址白名单，放行所述目标请求端向所述目标服务端发起的后续连接请求。7.根据权利要求1所述的方法，其特征在于，所述目标服务端提供安全外壳协议SSH服务、远程桌面协议RDP服务、关系类型数据库MySQL服务或远程数据Redis服务。
8.根据权利要求1所述的方法，其特征在于，所述登录认证为登录密码认证。9.一种安全防护装置，其特征在于，包括存储器和处理器；所述存储器用于存储一条或多条计算机指令；所述处理器与所述存储器耦合，用于执行所述一条或多条计算机指令，以用于：若监测到向目标服务端发起的首次连接请求，放行所述首次连接请求，所述首次连接请求来自目标请求端；基于所述目标请求端与所述目标服务端之间的首次连接过程，确定在所述首次连接过程中所述目标请求端是否与所述目标服务端进行登录认证；若所述目标请求端未与所述目标服务端进行登录认证，拦截所述目标请求端向所述目标服务端发起的后续连接请求。10.根据权利要求9所述的装置，其特征在于，所述处理器在基于所述目标请求端与所述目标服务端之间的首次连接过程...

【专利技术属性】
技术研发人员：万朝新，
申请(专利权)人：阿里巴巴集团控股有限公司，
类型：发明
国别省市：