访问控制方法、系统、电子设备及计算机可读存储介质技术方案

本申请提供一种访问控制方法、系统、电子设备及计算机可读存储介质，涉及计算机的技术领域。访问控制方法，包括：响应于恶意软件发出的访问报文，检测公网内所述访问报文的目的IP地址是否存活；若所述目的IP地址存活，将所述访问报文转发至所述公网；若所述目的IP地址未存活，将所述访问报文转发至预设的网络模拟服务。通过检测访问报文的目的IP地址是否存活，来确定该访问报文的转发对象。从而不会出现因目的IP地址未存活(死亡)导致的网络阻塞，无法继续触发恶意行为等问题。也能够在目的IP地址存活的情况下，将访问报文转发至公网，进而能够得到恶意软件真实的网络行为。够得到恶意软件真实的网络行为。够得到恶意软件真实的网络行为。

【技术实现步骤摘要】
访问控制方法、系统、电子设备及计算机可读存储介质


[0001]本申请涉及计算机的
，具体而言，涉及一种访问控制方法、系统、电子设备及计算机可读存储介质。

技术介绍

[0002]目前市面上的沙箱系统为了适配各种场景，通常会采用多种网络分析环境。目前主流的网络分析环境通常分为外联网络环境和离线环境，外联网络环境用于捕获恶意软件真实流量，离线环境通常会配合网络模拟服务使用，以保证在离线环境下尽可能响应恶意软件网络连接请求。
[0003]现有技术中，外联网络环境直接与公网联通，但无法部署网络模拟服务，这导致若恶意软件访问的主机地址已死亡，则一定会连接失败，可能因此造成网络阻塞，无法继续触发恶意行为等问题。而离线网络环境不与公网联通，但部署了网络模拟服务，这导致即使恶意软件访问的主机地址存活，仍只能与网络模拟服务通信，而网络模拟服务通常只能返回固定的响应报文，无法捕获到恶意样本真实的网络行为。

技术实现思路

[0004]本申请提供一种访问控制方法、系统、电子设备及计算机可读存储介质，以解决现有技术中，接入公网的情况下，可能由于访问的主机地址已死亡，导致出现网络阻塞，无法继续触发恶意行为的问题；采用网络模拟服务则可能无法捕获到恶意样本真实的网络行为的问题。
[0005]第一方面，本申请提供一种访问控制方法，应用于与公网联通、且部署有网络模拟服务的目标环境，所述方法包括：响应于恶意软件发出的访问报文，检测公网内所述访问报文的目的IP地址是否存活；若所述目的IP(Internet Protocol，网际互连协议)地址存活，将所述访问报文转发至所述公网；若所述目的IP地址未存活，将所述访问报文转发至预设的网络模拟服务。
[0006]本申请实施例中，通过检测访问报文的目的IP地址是否存活，来确定该访问报文的转发对象。在目的IP地址存活的情况下，可以将访问报文转发至公网；在目的IP地址未存活的情况下，可以将访问报文转发至网络模拟服务。从而不会出现因目的IP地址未存活(死亡)导致的网络阻塞，无法继续触发恶意行为等问题。也能够在目的IP地址存活的情况下，将访问报文转发至公网，进而能够得到恶意软件真实的网络行为。这样可以在最大程度上获取到恶意软件真实的网络行为的同时，防止出现由于访问的主机地址已死亡，导致出现网络阻塞，无法继续触发恶意行为的问题，提高对恶意软件的检测效果。
[0007]结合上述第一方面提供的技术方案，在一些可能的实施方式中，所述方法还包括：接收所述恶意软件发送的DNS(Domain Name System，域名系统)查询请求，所述DNS查询请求包括待查询域名；查询所述待查询域名对应的IP地址；向所述恶意软件反馈查询到的所述IP地址。
[0008]本申请实施例中，可以接收恶意软件发送的DNS查询请求，并向恶意软件反馈查询到的IP地址，从而可以为恶意软件提供准确的IP地址，进而可以观测到恶意软件更加真实的行为信息。
[0009]结合上述第一方面提供的技术方案，在一些可能的实施方式中，所述方法还包括：若未查询到所述待查询域名对应的IP地址，则向所述恶意软件反馈所述网络模拟服务的IP地址。
[0010]本申请实施例中，在未查询到待查询域名对应的IP地址的情况下，向恶意软件反馈网络模拟服务的IP地址，从而可以实现观测网络模拟服务与恶意软件之间的行为信息，增加可以获取到的恶意软件的网络行为样本的数量。
[0011]结合上述第一方面提供的技术方案，在一些可能的实施方式中，在将所述访问报文转发至所述公网后，所述方法还包括：响应于所述访问报文的响应报文，将所述响应报文发送给所述恶意软件。
[0012]本申请实施例中，由于恶意软件并不直接与公网连接，因此，为了实现恶意软件与访问报文的目的IP地址对应的设备之间的通信，需要将响应报文转发给恶意软件，实现恶意软件与目的IP地址对应的设备之间的通信。
[0013]结合上述第一方面提供的技术方案，在一些可能的实施方式中，所述恶意软件部署于隔离环境中，所述隔离环境仅与所述目标环境进行数据交互。
[0014]本申请实施例中，通过设置部署恶意软件的隔离环境仅与目标环境进行数据交互，使得隔离环境中的恶意软件不会对其它设备造成威胁，提高本方案的安全性。
[0015]结合上述第一方面提供的技术方案，在一些可能的实施方式中，所述目标环境中部署有流量存活性探测服务，所述检测公网内所述访问报文的目的IP地址是否存活，包括：利用所述流量存活性探测服务检测公网内所述访问报文的目的IP地址是否存活。
[0016]结合上述第一方面提供的技术方案，在一些可能的实施方式中，所述目标环境中部署有DNS查询服务，所述查询所述待查询域名对应的IP地址，包括：利用所述DNS查询服务查询所述待查询域名对应的IP地址。
[0017]第二方面，本申请提供一种访问控制系统，包括：存活性确定设备，用于响应于恶意软件发出的访问报文，检测公网内所述访问报文的目的IP地址是否存活；若所述目的IP地址存活，将所述访问报文转发至所述公网；若所述目的IP地址未存活，将所述访问报文转发至预设的网络模拟服务。
[0018]结合上述第二方面提供的技术方案，在一些可能的实施方式中，所述访问控制系统，还包括：DNS查询设备，所述DNS查询设备用于接收所述恶意软件发送的DNS查询请求，所述DNS查询请求包括待查询域名；查询所述待查询域名对应的IP地址；向所述恶意软件反馈查询到的所述IP地址。
[0019]结合上述第二方面提供的技术方案，在一些可能的实施方式中，所述DNS查询设备，还用于若未查询到所述待查询域名对应的IP地址，则向所述恶意软件反馈所述网络模拟服务的IP地址。
[0020]结合上述第二方面提供的技术方案，在一些可能的实施方式中，所述访问控制系统，还包括：网络模拟服务设备，所述网络模拟服务设备部署有网络模拟服务，所述网络模拟服务设备用于接收所述存活性确定设备转发的所述访问报文，并基于所述访问报文伪装
所述目的IP地址对应的设备与所述恶意软件建立通信。
[0021]结合上述第二方面提供的技术方案，在一些可能的实施方式中，所述访问控制系统，还包括：恶意软件隔离设备，所述恶意软件隔离设备内部署有恶意软件，所述存活性确定设备与所述恶意软件隔离设备通信连接。
[0022]结合上述第二方面提供的技术方案，在一些可能的实施方式中，所述存活性确定设备、所述DNS查询设备、所述网络模拟服务设备、所述恶意软件隔离设备中的至少两个设备为同一个设备。
[0023]第三方面，本申请提供一种电子设备，包括：存储器和处理器，所述存储器和所述处理器连接；所述存储器，用于存储程序；所述处理器，用于调用存储于所述存储器中的程序，以执行如上述第一方面和/或结合上述第一方面任一可能的实施方式所述的访问控制方法。
[0024]第四方面，本申请提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被计算机运行时，执行如上述第一方面和/或结本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种访问控制方法，其特征在于，应用于与公网联通、且部署有网络模拟服务的目标环境，所述方法包括：响应于恶意软件发出的访问报文，检测公网内所述访问报文的目的IP地址是否存活；若所述目的IP地址存活，将所述访问报文转发至所述公网；若所述目的IP地址未存活，将所述访问报文转发至预设的网络模拟服务。2.根据权利要求1所述的方法，其特征在于，所述方法还包括：接收所述恶意软件发送的DNS查询请求，所述DNS查询请求包括待查询域名；查询所述待查询域名对应的IP地址；向所述恶意软件反馈查询到的所述IP地址。3.根据权利要求2所述的方法，其特征在于，所述方法还包括：若未查询到所述待查询域名对应的IP地址，则向所述恶意软件反馈所述网络模拟服务的IP地址。4.根据权利要求1
‑
3任一项所述的方法，其特征在于，在将所述访问报文转发至所述公网后，所述方法还包括：响应于所述访问报文的响应报文，将所述响应报文发送给所述恶意软件。5.根据权利要求1所述的方法，其特征在于，所述恶意软件部署于隔离环境中，所述隔离环境仅与所述目标环境进行数据交互。6.根据权利要求1所述的方法，其特征在于，所述目标环境中部署有流量存活性探测服务，所述检测公网内所述访问报文的目的IP地址是否存活，包括：利用所述流量存活性探测服务检测公网内所述访问报文的目的IP地址是否存活。7.根据权利要求2所述的方法，其特征在于，所述目标环境中部署有DNS查询服务，所述查询所述待查询域名对应的IP地址，包括：利用所述DNS查询服务查询所述待查询域名对应的IP地址。8.一种访问控制系统，其特征在于，包括：存活性确定设备，用于响应于恶意软件发出的访问报文，检测公网内所述访问报文的目的IP地址...

【专利技术属性】
技术研发人员：马权，应凌云，刘璐，
申请(专利权)人：奇安信科技集团股份有限公司，
类型：发明
国别省市：