[发明专利]访问控制方法及系统、电子设备、存储介质

说明书

本发明公开了一种访问控制方法及系统、电子设备、存储介质。所述访问控制方法包括：获取业务系统的访问请求数据；所述访问请求数据包括键值；按照不同的维度将所述键值组成键值组；根据所述键值和/或所述键值组统计预设时间段内的业务系统的访问次数；根据所述访问次数生成所述业务系统的访问控制策略。本发明基于键值和/或键值组进行不同维度的访问请求数量的统计，保证统计的全局性和准确性，从而通过该全局统计结果生成访问控制策略，实现对业务系统网络的有效、精准防护。

技术领域

本发明涉及网络安全技术领域，特别涉及一种访问控制方法及系统、电子设备、存储介质。

背景技术

目前，业务系统的流控、降级、隔离、缓存等都是基于应用级别进行控制，或者基于服务网关级别进行防控。而这些防控代码散落在应用的各个代码中，对访问数据进行单机计数统计，这种分散式、非全局式的防控方式，会导致一些无效用户请求不能被有效的过滤掉，防控、监控不精准，从而不能有效的保护业务系统不被攻击。

另一些如DDoS(分布式拒绝服务)防火墙、Web(全球广域网)应用防火墙，虽然是集中防控，但其防控粒度太粗，经常杀掉一些正常用户请求，导致误防控，从而降低用户体验。

发明内容

本发明要解决的技术问题是为了克服现有技术中业务系统的防控系统不满足精准动态防控要求的缺陷，提供一种访问控制方法及系统、电子设备、存储介质。

本发明是通过下述技术方案来解决上述技术问题：

一种访问控制方法，所述访问控制方法包括：

获取业务系统的访问请求数据；所述访问请求数据包括键值；

按照不同的维度将所述键值组成键值组；

根据所述键值和/或所述键值组统计预设时间段内的业务系统的访问次数；

根据所述访问次数生成所述业务系统的访问控制策略。

较佳地，获取所述业务系统的访问请求数据的步骤之后，还包括：

判断所述访问请求数据的数据格式与数据标准格式是否相同；

在判断为否时，将所述访问请求数据的数据格式转换为所述数据标准格式。

较佳地，所述访问请求数据包括以下键值中的至少一种：HOST(主机)、URL(统一资源定位符)、用户ID(业务系统的用户账号)、设备ID、User-Agent(用户代理)、URL-5XX(服务器错误)状态、对象ID和源IP。

较佳地，所述访问控制方法还包括：

获取防控规则；所述防控规则包括与各键值、各键值组对应的次数阈值范围；

根据所述访问次数生成所述业务系统的访问控制策略的步骤，具体包括：

判断所述各键值、所述各键值组的访问次数是否在各自的次数阈值范围内；

并在判断为否时，调节所述访问控制策略。

较佳地，根据所述访问次数生成所述业务系统的访问控制策略的步骤，具体包括：

根据所述访问次数监控所述业务系统的热点事务；

在监控到所述热点事务时，调节所述访问控制策略。

一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述任一项所述的访问控制方法。

一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现上述任一项所述的访问控制方法的步骤。

一种访问控制系统，所述访问控制系统包括：