[发明专利]准入控制方法、装置、计算机设备、介质和程序产品

说明书

本公开提供了一种准入控制方法，应用于准入服务器，包括：接收来自终端设备的多个数据包；针对多个数据包中的每个数据包，基于数据包，确定终端设备的特征信息，并且，在确定终端设备的特征信息与预先构建的预定应用的特征模板不相匹配的情况下，确定终端设备处于可疑状态。接着，在确定终端设备处于可疑状态的保持时长超过预定时长的情况下，向终端设备发送控制信息，该控制信息用于指示终端设备对预定应用进行安装并运行。本公开还提供了一种准入控制装置、计算机设备、介质和程序产品。

技术领域

本公开涉及一种准入控制方法、装置、计算机设备、介质和程序产品。

背景技术

准入控制技术用于防止各种黑客攻击技术对企业安全造成危害。例如，借助网络准入控制(Network Access Control，NAC)技术，可以控制经过授权的、合法、安全、值得信任的终端设备接入企业网络，而未经授权的终端设备不得接入。

在准入控制方案中，通常预先制定统一的安全策略标准。在终端设备发送数据包时，基于预先制定的安全策略标准来对终端设备的安全状态进行检测，并根据检测结果执行相应的处置策略。当安全策略标准的粒度较大或维度较单一时，无法实现更精准的准入控制。

发明内容

本公开的一个方面提供了一种准入控制方法，应用于准入服务器，该方法包括：接收来自终端设备的多个数据包；针对多个数据包中的每个数据包，基于数据包，确定终端设备的特征信息，并且，在确定终端设备的特征信息与预先构建的预定应用的特征模板不相匹配的情况下，确定终端设备处于可疑状态。接着，在确定终端设备处于可疑状态的保持时长超过预定时长的情况下，向终端设备发送控制信息，该控制信息用于指示终端设备对预定应用进行安装并运行。

可选地，上述基于数据包，确定终端设备的特征信息包括：提取数据包的基本信息，基本信息包括如下至少一项：源IP地址、目的IP地址、源端口和目的端口；利用深度报文检测技术，确定数据包的应用信息，所述应用信息包括如下至少一项：应用名称、应用类型和应用行为参数；接着，由上述基本信息和上述应用信息构成终端设备的特征信息。

可选地，上述方法还包括：构建预定应用的特征模板，该过程包括：基于来自预定应用的样本数据包，确定预定应用的特征信息。其中，预定应用的特征信息包括：样本数据包的基本信息和应用信息，样本数据包的基本信息包括如下至少一项：源IP地址、目的IP地址、源端口和目的端口，所述应用信息包括如下至少一项：应用名称、应用类型和应用行为参数。然后，基于预定应用的特征信息，构建预定应用的特征模板。

可选地，上述方法还包括：在确定终端设备的特征信息与预先构建的预定应用的特征模板相匹配的情况下，确定终端设备处于可信状态，进而可以准许针对所述终端设备的所述数据包进行响应。

可选地，上述方法还包括：将终端设备的特征信息与预定应用的特征模板进行匹配。如果匹配成功，则在预定存储区保存针对终端设备的预定标签。上述在确定终端设备的特征信息与预定应用的特征模板不相匹配的情况下，确定终端设备处于可疑状态包括：在任一时刻，如果预定存储区中不存在针对终端设备的预定标签，则确定终端设备处于可疑状态。上述方法还包括：从上述确定终端设备处于可疑状态的任一时刻开始经过预定时长后，确定预定存储区中是否存在针对终端设备的预定标签，如果否，则确定终端设备处于可疑状态的保持时长超过预定时长。

可选地，上述控制信息包括重定向页面，该重定向页面为针对预定应用的安装页面。