(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111493944.3 (22)申请日 2021.12.08 (71)申请人 阿里云计算有限公司 地址 310024 浙江省杭州市西湖区转塘科 技经济区块12号 (72)发明人 于涛　张亮　茆亮亮　肖鹏　 (74)专利代理 机构 北京智信四方知识产权代理 有限公司 1 1519 代理人 吕雁葭 (51)Int.Cl. H04L 67/51(2022.01) H04L 9/40(2022.01) (54)发明名称 服务之间访问关系的发现与控制方法和装 置 (57)摘要 本公开实施例公开了由网络节点提供的服 务之间访问关系的发现与控制方法和装置。 根据 本公开实施例， 通过网络节点的访问信息确定多 个网络节 点提供的服务之间的访问关系， 解决了 目前无法快速准确确定服务之间的访问关系， 进 而无法为微隔离提供高效的安全策略的技术问 题。 在本技术方案中， 网络节点主动上报访问信 息至服务器， 服务器基于所述访问信息确定多个 网络节点提供的服务之间的访问关系， 提供了可 快速准确 确定服务之间的访问关系的方法。 权利要求书2页 说明书13页 附图4页 CN 114125039 A 2022.03.01 CN 114125039 A 1.一种发现多个网络节点 提供的服 务之间的访问关系的方法， 所述方法包括： 获取所述网络节点的访问信 息， 所述网络节点的访问信 息包含用于确定发起访问的服 务和相应的被访问服 务的信息； 根据所述网络节点的访问信息， 确定所述多个网络节点 提供的服 务之间的访问关系。 2.根据权利要求1所述的方法， 其中： 所述获取所述网络节点的访 问信息， 包括： 从所述网络节点获取所述网络节点的访 问 信息； 所述网络节点的访问信息是通过解析 所述网络节点接收到的数据包得到的； 所述发起访问的服 务包括与所述网络节点 不同的另一网络节点 提供的服 务； 所述被访问服 务包括所述网络节点 提供的服 务； 所述访问信 息包括从所述另一网络节点发送到所述网络节点的数据包的源ip地址、 源 端口号、 目的ip地址、 目的端口号， 所述源ip地址和源端口号用于确定所述发起访问的服 务， 所述目的ip地址和目的端口号用于确定所述相应的被访问服 务。 3.根据权利要求1所述的方法， 其中， 所述根据所述网络节点的访 问信息， 确定所述多 个网络节点 提供的服 务之间的访问关系， 包括： 在学习状态下， 根据 所述网络节点的访问信 息确定针对所述网络节点提供的指定服务 的白名单， 所述白名单 是允许访问所述指定服 务的可信服 务的名单； 将所述白名单发送到所述网络节点。 4.根据权利要求3所述的方法， 还 包括： 在所述学习状态下， 根据所述网络节点的访问信息更新所述白名单； 在所述学习状态持续第一预设时间后， 和/或在所述学习状态下的第二预设时间内所 述白名单没有发生更新时， 结束所述白名单的更新。 5.根据权利要求 4所述的方法， 还 包括： 在结束所述白名单的更新之后， 进入保护状态； 在所述保护状态下， 指示所述网络节点仅允许白名单中的可信服务访问所述网络节点 提供的所述指定服 务。 6.根据权利要求5所述的方法， 还 包括： 在所述保护状态下， 获取所述网络节点的拒绝访 问信息， 所述拒绝访 问信息用于确定 发起被所述网络节点拒绝的访问的可疑服 务和相应的被访问服 务的信息； 确定是否将所述可疑服 务作为可信服 务更新所述白名单； 将更新的白名单发送到所述网络节点。 7.一种控制对网络节点 提供的服 务的访问的方法， 包括： 获取所述网络节点的访问信 息， 所述网络节点的访问信 息包含用于确定发起访问的服 务和相应的被访问服务的信息， 所述网络节点的访问信息用于确定多个网络节点提供的服 务之间的访问关系； 基于所述访问关系确定是否允许与所述网络节点不同的另一网络节点提供的服务访 问所述网络节点 提供的指定服 务。 8.根据权利要求7 所述的方法， 还 包括： 通过解析 所述网络节点接收到的数据包得到所述网络节点的访问信息；权　利　要　求　书 1/2 页 2 CN 114125039 A 2从指定服务器获取针对所述网络节点提供的指定服务的白名单， 所述白名单是允许访 问所述指定服 务的可信服 务的名单， 所述白名单 是根据所述网络节点的访问信息确定的； 在第一状态下， 向所述指定服务器发送不在所述白名单中的服务对所述网络节点提供 的服务的访问信息， 所述不在所述白名单中的服务对所述网络节点提供的服务的访问信息 用于更新所述白名单； 在所述第一状态下， 接收更新的白名单。 9.根据权利要求8所述的方法， 还 包括： 在所述白名单 更新结束后， 进入第二状态； 在所述第二状态下， 拒 绝不在所述白名单中的可疑服务对所述网络节点提供的服务的 访问； 在所述第二状态下， 向所述指定服 务器发送所述可疑服 务的访问信息； 在所述第 二状态下， 从所述指定服务器接收更新的白名单， 其中， 当所述指定服务器确 定将所述可疑服务作为可信服务更新所述白名单时， 所述指定服务器向所述网络节点发送 更新的白名单。 10.一种发现多个网络节点 提供的服 务之间的访问关系的装置， 所述装置包括： 第一获取模块， 被配置为获取所述网络节点的访 问信息， 所述网络节点的访 问信息包 含用于确定发起访问的服 务和相应的被访问服 务的信息； 第一确定模块， 被配置为根据所述网络节点的访 问信息， 确定所述多个网络节点提供 的服务之间的访问关系。 11.一种控制对网络节点 提供的服 务的访问的装置， 包括： 第二获取模块， 被配置为获取所述网络节点的访 问信息， 所述网络节点的访 问信息包 含用于确定发起访问的服务和相应的被访问服务的信息， 所述网络节点的访问信息用于确 定多个网络节点 提供的服 务之间的访问关系； 第二确定模块， 被配置为基于所述访问关系确定是否允许与 所述网络节点不同的另一 网络节点 提供的服 务访问所述网络节点 提供的指定服 务。 12.一种电子设备， 其特征在于， 包括存储器和处理器； 其中， 所述存储器用于存储一条 或多条计算机指令， 其中， 所述一条或多条计算机指令被所述处理器执行以实现权利要求 1‑9任一项所述的方法步骤。 13.一种可读存储介质， 其上存储有计算机指令， 其特征在于， 该计算机指令被处理器 执行时实现权利要求1 ‑9任一项所述的方法步骤。权　利　要　求　书 2/2 页 3 CN 114125039 A 3