访问限制方法、装置、计算机设备以及存储介质制造方法及图纸

本申请提出一种访问限制方法和装置，其中，方法包括：在从负载均衡集群内各负载均衡设备的访问日志中获取记录的多个访问请求后，统计各访问请求的至少一个属性项，得到设定时长内至少一个属性项的各属性值对应的访问请求量，根据访问请求量，从至少一个属性项的各属性值中选取待添加至封禁规则的目标属性值，并发送提示信息，响应于用户操作，采用白名单中记载的可信属性值，对用户操作选定的目标属性值进行校验，将校验通过的目标属性值添加至封禁规则，向各负载均衡设备提供封禁规则，使各负载均衡设备根据封禁规则进行访问限制。由此，通过白名单中记载的可信属性值对待添加至封禁规则的目标属性值进行校验，避免了出现错封禁、误封禁等情况。误封禁等情况。误封禁等情况。

【技术实现步骤摘要】
访问限制方法、装置、计算机设备以及存储介质


[0001]本申请涉及数据安全
，尤其涉及一种访问限制方法、装置、计算机设备以及存储介质。

技术介绍

[0002]用户封禁是利用负载均衡设备、代理服务器、防火墙等手段，对应用、网站非常规的恶意访问的一种保护手段，其目的是为了防止恶意的攻击、超频次访问、数据内容爬取等。
[0003]现有的用户封禁方法是基于人工封禁，基于客户端访问来源IP地址进行限制一段时间不能访问或者较低频次的访问，从而提供应用和网站的安全性和稳定性。但是，现有的基于人工封禁的方法容易出现误封、错封和效率低下等缺点。

技术实现思路

[0004]本申请旨在至少在一定程度上解决相关技术中的技术问题之一。
[0005]为此，本申请的提出一种访问限制方法，以降低访问限制过程中出现误封禁、错封禁的概率。
[0006]本申请第一方面实施例提出了一种访问限制方法，包括：
[0007]从负载均衡集群内各负载均衡设备的访问日志中获取记录的多个访问请求；
[0008]统计各所述访问请求的至少一个属性项，以得到设定时长内所述至少一个属性项的各属性值对应的访问请求量，其中，所述至少一个属性项包括网络地址、用户标识、会话标识、统一资源标识符和域名中的至少一个；
[0009]根据所述访问请求量，从所述至少一个属性项的各属性值中选取待添加至封禁规则的目标属性值，并发送提示信息，所述提示信息用于指示各属性项的所述目标属性值；
[0010]响应于用户操作，采用白名单中记载的可信属性值，对所述用户操作选定的目标属性值进行校验，以将所述至少一个属性项中校验通过的目标属性值添加至所述封禁规则；
[0011]向各所述负载均衡设备提供所述封禁规则，以使各所述负载均衡设备根据所述封禁规则进行访问限制。
[0012]可选地，所述白名单包括所述网络地址的白名单、所述用户标识的白名单和会话标识的白名单；
[0013]所述采用白名单中记载的可信属性值，对所述用户操作选定的目标属性值进行校验，包括：
[0014]根据所述用户操作选定的目标属性值所属的属性项，确定所述网络地址的白名单、所述用户标识的白名单和会话标识的白名单中的一个作为适用的白名单进行校验；
[0015]在所述用户操作选定的目标属性值与所述适用的白名单中记载的所述可信属性值匹配，则确定校验失败，禁止将所述用户操作选定的目标属性值添加至所述封禁规则中；
[0016]在所述用户操作选定的目标属性值与所述适用的白名单中记载的所述可信属性值匹配，则确定校验通过，将校验通过的所述目标属性值添加至所述封禁规则。
[0017]可选地，所述网络地址的白名单中的可信属性值包括：内网的数据中心服务器IDC网段、设定公网网络互连协议IP网段和设定设备的环回口IP中的一个或多个组合；
[0018]所述用户标识的白名单中的可信属性值包括：所述负载均衡集群所承载的应用程序中设定用户的标识；
[0019]所述会话标识的白名单中的可信属性值包括：所述负载均衡集群所承载的应用程序中设定会话的标识。
[0020]可选地，所述根据所述访问请求量，从所述至少一个属性项的各属性值中选取待添加至封禁规则的目标属性值，包括：
[0021]对每个所述属性项，根据各属性值对应的访问请求量进行属性值的排序；
[0022]按照所述访问请求量从大到小排序时，排序位次小于位次阈值的各属性值作为对应属性项的所述目标属性值。
[0023]可选地，所述根据所述访问请求量，从所述至少一个属性项的各属性值中选取待添加至封禁规则的目标属性值，包括：
[0024]对每个所述属性项，将所述访问请求量大于访问量阈值的各属性值作为对应属性项的所述目标属性值。
[0025]可选地，所述从负载均衡集群内各负载均衡设备的访问日志中获取记录的多个访问请求之前，还包括：
[0026]在分布式搜索服务器中，对各所述负载均衡设备的访问日志进行搜索，以得到所述设定时长内的所述多个访问请求；其中，所述各负载均衡设备的访问日志，是分布式日志系统从各负载均衡设备收集的，并经过格式转换后存储至所述分布式搜索服务器中。
[0027]可选地，所述向各所述负载均衡设备提供所述封禁规则，包括：
[0028]将所述封禁规则存储至数据库中，以使远程字典服务的主节点根据所述封禁规则中各属性项的目标属性值生成对应属性项的匹配规则，并分发至所述远程字典服务的各从节点；
[0029]其中，所述远程字典服务的各从节点设置于各所述负载均衡设备中。
[0030]本申请实施例的访问限制方法，在从负载均衡集群内各负载均衡设备的访问日志中获取记录的多个访问请求后，统计各访问请求的至少一个属性项，以得到设定时长内至少一个属性项的各属性值对应的访问请求量，根据访问请求量，从至少一个属性项的各属性值中选取待添加至封禁规则的目标属性值，并发送提示信息，进而，对用户操作选定的目标属性值进行校验，将校验通过的目标属性值添加至封禁规则，然后，向各负载均衡设备提供封禁规则，以使各负载均衡设备根据封禁规则进行访问限制。由此，通过白名单中记载的可信属性值对待添加至封禁规则的目标属性值进行校验，避免了出现错封禁、误封禁等情况。
[0031]本申请第二方面实施例提出了一种访问限制装置，包括：
[0032]获取模块，用于从负载均衡集群内各负载均衡设备的访问日志中获取记录的多个访问请求；
[0033]统计模块，用于统计各所述访问请求的至少一个属性项，以得到设定时长内所述
至少一个属性项的各属性值对应的访问请求量，其中，所述至少一个属性项包括网络地址、用户标识、会话标识、统一资源标识符和域名中的至少一个；
[0034]选取模块，用于根据所述访问请求量，从所述至少一个属性项的各属性值中选取待添加至封禁规则的目标属性值，并发送提示信息，所述提示信息用于指示各属性项的所述目标属性值；
[0035]校验模块，用于响应于用户操作，采用白名单中记载的可信属性值，对所述用户操作选定的目标属性值进行校验，以将所述至少一个属性项中校验通过的目标属性值添加至所述封禁规则；
[0036]处理模块，用于向各所述负载均衡设备提供所述封禁规则，以使各所述负载均衡设备根据所述封禁规则进行访问限制。
[0037]本申请实施例的访问限制装置，在从负载均衡集群内各负载均衡设备的访问日志中获取记录的多个访问请求后，统计各访问请求的至少一个属性项，以得到设定时长内至少一个属性项的各属性值对应的访问请求量，根据访问请求量，从至少一个属性项的各属性值中选取待添加至封禁规则的目标属性值，并发送提示信息，进而，对用户操作选定的目标属性值进行校验，将校验通过的目标属性值添加至封禁规则，然后，向各负载均衡设备提供封禁规则，以使各负载均衡设备根据封禁规则进行访问限制。由此，通过白名单中记载的可信属性值对待添加至封禁规则的目标属性值进行校验，避免了出本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种访问限制方法，其特征在于，包括以下步骤：从负载均衡集群内各负载均衡设备的访问日志中获取记录的多个访问请求；统计各所述访问请求的至少一个属性项，以得到设定时长内所述至少一个属性项的各属性值对应的访问请求量，其中，所述至少一个属性项包括网络地址、用户标识、会话标识、统一资源标识符和域名中的至少一个；根据所述访问请求量，从所述至少一个属性项的各属性值中选取待添加至封禁规则的目标属性值，并发送提示信息，所述提示信息用于指示各属性项的所述目标属性值；响应于用户操作，采用白名单中记载的可信属性值，对所述用户操作选定的目标属性值进行校验，以将所述至少一个属性项中校验通过的目标属性值添加至所述封禁规则；向各所述负载均衡设备提供所述封禁规则，以使各所述负载均衡设备根据所述封禁规则进行访问限制。2.根据权利要求1所述的访问限制方法，其特征在于，所述白名单包括所述网络地址的白名单、所述用户标识的白名单和会话标识的白名单；所述采用白名单中记载的可信属性值，对所述用户操作选定的目标属性值进行校验，包括：根据所述用户操作选定的目标属性值所属的属性项，确定所述网络地址的白名单、所述用户标识的白名单和会话标识的白名单中的一个作为适用的白名单进行校验；在所述用户操作选定的目标属性值与所述适用的白名单中记载的所述可信属性值匹配，则确定校验失败，禁止将所述用户操作选定的目标属性值添加至所述封禁规则中；在所述用户操作选定的目标属性值与所述适用的白名单中记载的所述可信属性值匹配，则确定校验通过，将校验通过的所述目标属性值添加至所述封禁规则。3.根据权利要求2所述的访问限制方法，其特征在于，所述网络地址的白名单中的可信属性值包括：内网的数据中心服务器IDC网段、设定公网网络互连协议IP网段和设定设备的环回口IP中的一个或多个组合；所述用户标识的白名单中的可信属性值包括：所述负载均衡集群所承载的应用程序中设定用户的标识；所述会话标识的白名单中的可信属性值包括：所述负载均衡集群所承载的应用程序中设定会话的标识。4.根据权利要求1
‑
3任一项所述的访问限制方法，其特征在于，所述根据所述访问请求量，从所述至少一个属性项的各属性值中选取待添加至封禁规则的目标属性值，包括：对每个所述属性项，根据各属性值对应的访问请求量进行属性值的排序；按照所述访问请求量从大到小排序时，排序位次小于位次阈值的各属性值作为对应属性项的所述目标属性值。5.根据权利要求1
‑
3任一项所述的访问限制方法，其特征在于，所述根据所述访问请求量，从所述至少一个属性项的各属性值中选取待添加至封禁规则的目标属性值，包括：对每个所述属性项，将所述访问请求量大于访问量阈值的各属性值作为对应属性项的所述目标属性值。6.根据权利要求1
‑
3任一项所述的访问限制方法，其特征在于，所述从负载均衡集群内各负载均衡设备的访问日志中获取记录的多个访问请求之前，还包括：
在分布式搜索服务器中，对各所述负载均衡设备的访问日志进行搜索，以得到所述设定时长内的所述多个访问请求；其中，所述各负载均衡设备的访问日志，是分布式日志系统从各负载均衡设备收集的，并经过格式转换后存储至所述分布式搜索服务器中。7.根据权利要求1
‑
3任一项所述的访问限制方法，其特征在于，所述向各所述负载均衡设备提供所述封禁规则，包括：将所述封禁规则存储至数据库中，以使远程字典服务的主节点根据所述封禁规则中各属性项的目标属性值生成对应属性项的匹配规则，并分发至所述远程字典服务的各从节点；其中，所述远程字典服务的各从节点设置于各所述负载均衡设备中。8.一种访问限制装置，其特征在于，所述装置包括：获取模块，用于从负载均衡集群内各负载均衡设备的访问日志中获取记录的多个访问请求；统计模块，用于统计各所述访问请求的至少一个...

【专利技术属性】
技术研发人员：李安杰，彭南博，张德，
申请(专利权)人：京东科技控股股份有限公司，
类型：发明
国别省市：