内网终端互联网访问控制方法及装置与流程

本发明涉及网络连接控制，具体而言，涉及一种内网终端互联网访问控制方法及装置。

背景技术：

1、目前许多企业不允许终端设备在连接内部网络的时候可以访问互联网，对于某种业务需要访问特定互联网网站的，则需使用企业官方搭建的代理服务器进行连接。目前，企业大都通过路由设备对内网与互联网进行物理隔离，当企业内部有特定业务需访问特定互联网网站时，则搭建一个特定的提供给有该业务需求的终端使用的代理服务器，并通过限制该代理服务器所能访问的网站地址的方法(例如网站地址白名单方式)对该类终端互联网访问行为进行管控。但是现有通过限制代理服务器所能访问的网站地址的方法，无法解决终端使用私人搭建的代理服务器对互联网进行访问，终端如果使用私人非法搭建的代理服务器，会造成企业内部信息泄露风险，存在较大的管控缺失及安全隐患。如何解决目前企业内网终端使用私人非法搭建的非合规代理服务器访问互联网可能造成企业内部信息泄露的问题，现有技术急需一种有效的解决方案。

技术实现思路

1、本发明为了解决上述背景技术中的至少一个技术问题，提出了一种内网终端互联网访问控制方法及装置。

2、为了实现上述目的，根据本发明的一个方面，提供了一种内网终端互联网访问控制方法，该方法包括：

3、在所述内网终端与目标代理服务器连接时，向所述目标代理服务器发送合规认证请求；

4、根据所述目标代理服务器基于所述合规认证请求返回认证标识信息的情况，来确定所述目标代理服务器是否为合规代理服务器；

5、若所述目标代理服务器不是合规代理服务器，则禁止所述内网终端的互联网访问。

6、可选的，所述的根据所述目标代理服务器基于所述合规认证请求返回认证标识信息的情况，来确定所述目标代理服务器是否为合规代理服务器，具体包括：

7、根据所述的所述目标代理服务器根据所述合规认证请求返回认证标识信息的情况，生成认证结果特征；

8、获取所述目标代理服务器向所述内网终端传输的数据，并从该数据中提取出数据访问特征；

9、根据所述认证结果特征以及所述数据访问特征生成代理连接特征向量；

10、将所述代理连接特征向量输入到已训练的代理服务器分类模型中，得到所述代理服务器分类模型输出的分类结果，并根据所述分类结果确定所述目标代理服务器是否为合规代理服务器。

11、可选的，所述的内网终端互联网访问控制方法，还包括：

12、获取训练样本集，其中，所述训练样本集中的训练样本为标注出分类结果的用于模型训练的代理连接特征向量；

13、根据所述训练样本集以及预设的分类算法进行模型训练，得到所述代理服务器分类模型。

14、可选的，所述的根据所述训练样本集以及预设的分类算法进行模型训练，得到所述代理服务器分类模型，具体包括：

15、根据所述训练样本集对预设的多种分类算法模型进行训练，得到多种分类模型；

16、利用集成学习算法对该多种分类模型进行集成，得到所述代理服务器分类模型。

17、可选的，所述的所述目标代理服务器根据所述合规认证请求返回认证标识信息的情况，具体包括：未在要求时间内返回认证标识信息、返回正确的认证标识信息以及返回错误的认证标识信息。

18、可选的，所述数据访问特征包括：数据类型特征以及域名特征。

19、可选的，所述的根据所述目标代理服务器基于所述合规认证请求返回认证标识信息的情况，来确定所述目标代理服务器是否为合规代理服务器，具体包括：

20、若所述的所述目标代理服务器根据所述合规认证请求返回认证标识信息的情况为返回正确的认证标识信息，则确定所述目标代理服务器为合规代理服务器；

21、若所述的所述目标代理服务器根据所述合规认证请求返回认证标识信息的情况为未在要求时间内返回认证标识信息或者返回错误的认证标识信息，则确定所述目标代理服务器不是合规代理服务器。

22、可选的，所述分类算法模型包括：逻辑回归模型、随机森林模型、高斯朴素贝叶斯模型、多层感知器神经网络模型、自适应提升算法模型、支持向量机模型以及决策树模型。

23、为了实现上述目的，根据本发明的另一方面，提供了一种内网终端互联网访问控制装置，该装置包括：

24、合规认证请求发送单元，用于在所述内网终端与目标代理服务器连接时，向所述目标代理服务器发送合规认证请求；

25、代理服务器类型识别单元，用于根据所述目标代理服务器基于所述合规认证请求返回认证标识信息的情况，来确定所述目标代理服务器是否为合规代理服务器；

26、断网处理单元，用于若所述目标代理服务器不是合规代理服务器，则禁止所述内网终端的互联网访问。

27、为了实现上述目的，根据本发明的另一方面，还提供了一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述内网终端互联网访问控制方法的步骤。

28、为了实现上述目的，根据本发明的另一方面，还提供了一种计算机可读存储介质，其上存储有计算机程序/指令，该计算机程序/指令被处理器执行时实现上述内网终端互联网访问控制方法的步骤。

29、为了实现上述目的，根据本发明的另一方面，还提供了一种计算机程序产品，包括计算机程序/指令，该计算机程序/指令被处理器执行时实现上述内网终端互联网访问控制方法的步骤。

30、本发明的有益效果为：

31、本发明在内网终端与目标代理服务器连接时，向所述目标代理服务器发送合规认证请求，进而根据所述目标代理服务器基于所述合规认证请求返回认证标识信息的情况，来确定所述目标代理服务器是否为合规代理服务器，在确定所述目标代理服务器不是合规代理服务器时禁止所述内网终端的互联网访问，由此有效的降低了企业内部信息泄露的风险。

技术特征：

1.一种内网终端互联网访问控制方法，其特征在于，应用于内网终端，包括：

2.根据权利要求1所述的内网终端互联网访问控制方法，其特征在于，所述的根据所述目标代理服务器基于所述合规认证请求返回认证标识信息的情况，来确定所述目标代理服务器是否为合规代理服务器，具体包括：

3.根据权利要求2所述的内网终端互联网访问控制方法，其特征在于，还包括：

4.根据权利要求3所述的内网终端互联网访问控制方法，其特征在于，所述的根据所述训练样本集以及预设的分类算法进行模型训练，得到所述代理服务器分类模型，具体包括：

5.根据权利要求1所述的内网终端互联网访问控制方法，其特征在于，所述的所述目标代理服务器根据所述合规认证请求返回认证标识信息的情况，具体包括：未在要求时间内返回认证标识信息、返回正确的认证标识信息以及返回错误的认证标识信息。

6.根据权利要求2所述的内网终端互联网访问控制方法，其特征在于，所述数据访问特征包括：数据类型特征以及域名特征。

7.根据权利要求1所述的内网终端互联网访问控制方法，其特征在于，所述的根据所述目标代理服务器基于所述合规认证请求返回认证标识信息的情况，来确定所述目标代理服务器是否为合规代理服务器，具体包括：

8.根据权利要求4所述的内网终端互联网访问控制方法，其特征在于，所述分类算法模型包括：逻辑回归模型、随机森林模型、高斯朴素贝叶斯模型、多层感知器神经网络模型、自适应提升算法模型、支持向量机模型以及决策树模型。

9.一种内网终端互联网访问控制装置，其特征在于，包括：

10.一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现权利要求1至8任意一项所述方法的步骤。

11.一种计算机可读存储介质，其上存储有计算机程序/指令，其特征在于，该计算机程序/指令被处理器执行时实现权利要求1至8任意一项所述方法的步骤。

12.一种计算机程序产品，包括计算机程序/指令，其特征在于，该计算机程序/指令被处理器执行时实现权利要求1至8任意一项所述方法的步骤。

技术总结
本发明实施例公开了一种内网终端互联网访问控制方法及装置，可用于金融领域或其他技术领域，该方法包括：在所述内网终端与目标代理服务器连接时，向所述目标代理服务器发送合规认证请求；根据所述目标代理服务器基于所述合规认证请求返回认证标识信息的情况，来确定所述目标代理服务器是否为合规代理服务器；若所述目标代理服务器不是合规代理服务器，则禁止所述内网终端的互联网访问。本发明有助于降低企业内部信息泄露的风险。

技术研发人员：李汇腾
受保护的技术使用者：中国工商银行股份有限公司
技术研发日：
技术公布日：2024/6/18