【技术实现步骤摘要】
本专利技术涉及网络通信安全
,具体涉及一种网络访问行为的防护方法和装置。
技术介绍
随着互联网技术的飞速发展与上网成本的普遍降低,互联网已经成为了大多数普通民众日常生活中不可或缺的一个重要组成部分。但是一些程序员为了表现自己和证明自己的能力或者其他方面(如政治,军事,宗教,民族,专利等)的需求,往往会编写出一些影响电脑正常运行的恶意程序,从而使得被这些恶意程序侵扰的用户并不能实现自己上网的目的,甚至会使得整个系统出现瘫痪。因而,网络安全就成为了现今关注的焦点。 现有的网络防护方法都是基于TCP (Transmission Control Protocol,传输控制协议)/IP (Internet Protocol,因特网协议)或 UDP (User Datagram Protocol,用户数据报协议)的IP地址和端口来放行或阻止某个程序的网络访问行为。具体地,当某个程序发起网络访问请求时,首先发起建立连接的请求(socket connect),在socket connect中可以获取待访问目标的IP地址和端口,根据待访问目标的IP地址和端口查询本地保存的数据库来确定是否放行或阻止该程序的网络访问行为。对于未知程序,可提示用户选择是否放行。但是,现有程序使用的网络协议大多数是基于TCP/IP或UDP协议而实现的高层协议,例如 HTTP (Hypertext Transport Protocol,超文本传送协议)、SMTP (Simple MailTransferProtocol,简单邮件传输协议)、DNS(Domain Name System,域名系 ...
【技术保护点】
一种网络访问行为的防护方法,包括:驱动层截获程序发起的网络访问请求的数据包,解析所述数据包,获取所述数据包中的至少一种域信息,然后将所述数据包及其至少一种域信息发送到应用层;应用层查询本地数据库中是否保存有所述至少一种域信息中的任一种,若是,则在所述至少一种域信息中的任一种属于本地数据库的黑名单的情况下,阻止所述程序的网络访问请求;在所述至少一种域信息都不属于本地数据库的黑名单但所述至少一种域信息中的任一种属于本地数据库的白名单的情况下,放行所述程序的网络访问请求。
【技术特征摘要】
1.一种网络访问行为的防护方法,包括 驱动层截获程序发起的网络访问请求的数据包,解析所述数据包,获取所述数据包中的至少一种域信息,然后将所述数据包及其至少一种域信息发送到应用层; 应用层查询本地数据库中是否保存有所述至少一种域信息中的任一种,若是,则在所述至少一种域信息中的任一种属于本地数据库的黑名单的情况下,阻止所述程序的网络访问请求;在所述至少一种域信息都不属于本地数据库的黑名单但所述至少一种域信息中的任一种属于本地数据库的白名单的情况下,放行所述程序的网络访问请求。2.根据权利要求I所述的方法,还包括 若应用层查询到所述本地数据库没有保存所述至少一种域信息中的任一种,表明所述程序为未知程序,放行所述程序的网络访问请求。3.根据权利要求I所述的方法,还包括 若应用层查询到本地数据库中没有保存所述至少一种域信息中的任一种,则将所述至少一种域信息发送到网络侧设备,接收网络侧设备查询云端数据库中是否保存有所述至少一种域信息中的任一种的查询结果; 若所述查询结果表明所述云端数据库保存有所述至少一种域信息中的任一种且属于黑名单,则阻止所述程序的网络访问请求;或者,若所述查询结果表明所述云端数据库保存有所述至少一种域信息中的任一种不属于黑名单而属于白名单,则放行所述程序的网络访问请求。4.根据权利要求3所述的方法,还包括 若应用层查询到所述本地数据库和所述云端数据库都没有保存所述至少一种域信息中的任一种,表明所述程序为未知程序,放行所述程序的网络访问请求。5.根据权利要求2或4所述的方法,所述驱动层截获程序发起的网络访问请求的数据包的步骤包括驱动层截获程序发起的HTTP访问请求的数据包;所述至少一种域信息包括域名; 所述方法还包括驱动层获取HTTP访问请求的IP地址和端口。6.根据权利要求5所述的方法,还包括应用层进一步解析数据包,获取以下信息的一种或多种作为至少一种域信息中的一部分网址、代理程序标识和父页面信息。7.根据权利要求5或6所述的方法,在所述将所述数据包及其至少一种域信息发送到应用层的步骤之前还包括 判断在驱动层内存中是否记录有与本次所述程序的HTTP访问请求具有相同IP地址和端口以及域名的上一次所述程序的处理状态信息; 若否,则执行所述将所述数据包及其至少一种域信息发送到应用层的步骤; 若是,则在上一次所述程序的处理状态信息为上一次所述程序的HTTP访问请求的至少一种域信息中的任一种属于黑名单的情况下,阻止所述程序的网络访问请求;在上一次所述程序的处理状态信息为上一次所述程序的HTTP访问请求的至少一种域信息中的任一种属于白名单的情况下,放行所述程序的网络访问请求;在上一次所述程序的处理状态信息为上一次所述程序为未知程序的情况下,执行所述将所述数据包及其至少一种域信息发送到应用层的步骤。8.根据权利要求5或6所述的方法,在所述将所述数据包及其至少一种域信息发送到应用层的步骤之前还包括 判断在驱动层内存中是否记录有与本次所述程序的HTTP访问请求具有相同IP地址和端口以及域名的上一次所述程序的处理状态信息; 若否,则执行所述将所述数据包及其至少一种域信息发送到应用层的步骤; 若是,则在上一次所述程序的处理状态信息为上一次所述程序的HTTP访问请求的至少一种域信息中的任一种属于黑名单的情况下,阻止所述程序的网络访问请求;在上一次所述程序的处理状态信息为上一次所述程序的HTTP访问请求的至少一种域信息中的任一种属于白名单的情况下,放行所述程序的网络访问请求;在上一次所述程序的处理状态信息为上一次所述程序为未知程序的情况下,判断所述程序被确认为未知程序的累计次数是否大于或等于预设值,若是,则放行所述程序的网络访问请求,否则,执行所述将所述数据包及其至少一种域信息发送到应用层的步骤。9.根据权利要求5至8任一项所述的方法,在所述阻止或放行所述程序的网络访问请求的步骤之后还包括 在驱动层内存中记录本次所述程序的HTTP访问请求的IP地址和端口以及域名,并记录本次所述程序的处理状态信息,本次所述程序的处理状态信息为本次所述程序的HTTP访问请求的至少一种域信息中的任一种属于黑名单或白名单,或者本次所述程序为未知程序。10.根据权利要求9所述的方法,在所述阻止或放行所述程序的网络访问请求的步骤之后还包括 若本次所述程序的处理状态信息为本次所述程序为未知程序,则在驱动层内存中记录所述程序被确认为未知程序的累计次数。11.根据权利要求2或4所述的方法,在所述将所述数据包及其至少一种域信息发送到应用层的步骤之前还包括 判断在驱动层内存中是否记录有与本次所...
【专利技术属性】
技术研发人员:熊昱之,张聪,刘海粟,
申请(专利权)人:北京奇虎科技有限公司,奇智软件北京有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。