技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)通信安全技術(shù)領(lǐng)域，具體涉及一種網(wǎng)絡(luò)訪問(wèn)行為的防護(hù)方法和裝置。

背景技術(shù)

隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展與上網(wǎng)成本的普遍降低，互聯(lián)網(wǎng)已經(jīng)成為了大多數(shù)普通民眾日常生活中不可或缺的一個(gè)重要組成部分。但是一些程序員為了表現(xiàn)自己和證明自己的能力或者其他方面（如政治，軍事，宗教，民族，專利等）的需求，往往會(huì)編寫(xiě)出一些影響電腦正常運(yùn)行的惡意程序，從而使得被這些惡意程序侵?jǐn)_的用戶并不能實(shí)現(xiàn)自己上網(wǎng)的目的，甚至?xí)沟谜麄€(gè)系統(tǒng)出現(xiàn)癱瘓。因而，網(wǎng)絡(luò)安全就成為了現(xiàn)今關(guān)注的焦點(diǎn)。

現(xiàn)有的網(wǎng)絡(luò)防護(hù)方法都是基于TCP（Transmission?Control?Protocol，傳輸控制協(xié)議）/IP（Internet?Protocol，因特網(wǎng)協(xié)議）或UDP（User?Datagram?Protocol，用戶數(shù)據(jù)報(bào)協(xié)議）的IP地址和端口來(lái)放行或阻止某個(gè)程序的網(wǎng)絡(luò)訪問(wèn)行為。具體地，當(dāng)某個(gè)程序發(fā)起網(wǎng)絡(luò)訪問(wèn)請(qǐng)求時(shí)，首先發(fā)起建立連接的請(qǐng)求（socket?connect），在socket?connect中可以獲取待訪問(wèn)目標(biāo)的IP地址和端口，根據(jù)待訪問(wèn)目標(biāo)的IP地址和端口查詢本地保存的數(shù)據(jù)庫(kù)來(lái)確定是否放行或阻止該程序的網(wǎng)絡(luò)訪問(wèn)行為。對(duì)于未知程序，可提示用戶選擇是否放行。

但是，現(xiàn)有程序使用的網(wǎng)絡(luò)協(xié)議大多數(shù)是基于TCP/IP或UDP協(xié)議而實(shí)現(xiàn)的高層協(xié)議，例如HTTP（Hypertext?Transport?Protocol，超文本傳送協(xié)議）、SMTP（Simple?Mail?TransferProtocol，簡(jiǎn)單郵件傳輸協(xié)議）、DNS（Domain?Name?System，域名系統(tǒng)）和FTP（File?TransferProtocol，文件傳輸協(xié)議）等。當(dāng)程序使用這些高層協(xié)議進(jìn)行網(wǎng)絡(luò)訪問(wèn)請(qǐng)求時(shí)，單純靠IP地址和端口無(wú)法確定網(wǎng)絡(luò)訪問(wèn)請(qǐng)求的目的；而且，在網(wǎng)絡(luò)中IP地址和端口的變動(dòng)非常頻繁，如網(wǎng)絡(luò)供應(yīng)商更換時(shí)IP地址就會(huì)隨之改變，然而本地?cái)?shù)據(jù)庫(kù)的更新都需要一定的時(shí)間，因此采用現(xiàn)有的網(wǎng)絡(luò)防護(hù)方法不能及時(shí)有效地?cái)r截惡意程序的網(wǎng)絡(luò)訪問(wèn)行為。

發(fā)明內(nèi)容

鑒于上述問(wèn)題，提出了本發(fā)明以便提供一種克服上述問(wèn)題或者至少部分地解決上述問(wèn)題的網(wǎng)絡(luò)訪問(wèn)行為的防護(hù)方法和相應(yīng)的網(wǎng)絡(luò)訪問(wèn)行為的防護(hù)裝置。

根據(jù)本發(fā)明的一個(gè)方面，提供了一種網(wǎng)絡(luò)訪問(wèn)行為的防護(hù)方法，包括：

驅(qū)動(dòng)層截獲程序發(fā)起的網(wǎng)絡(luò)訪問(wèn)請(qǐng)求的數(shù)據(jù)包，解析數(shù)據(jù)包，獲取數(shù)據(jù)包中的至少一種域信息，然后將數(shù)據(jù)包及其至少一種域信息發(fā)送到應(yīng)用層；

應(yīng)用層查詢本地?cái)?shù)據(jù)庫(kù)中是否保存有至少一種域信息中的任一種，若是，則在至少一種域信息中的任一種屬于本地?cái)?shù)據(jù)庫(kù)的黑名單的情況下，阻止程序的網(wǎng)絡(luò)訪問(wèn)請(qǐng)求；在至少一種域信息都不屬于本地?cái)?shù)據(jù)庫(kù)的黑名單但至少一種域信息中的任一種屬于本地?cái)?shù)據(jù)庫(kù)的白名單的情況下，放行程序的網(wǎng)絡(luò)訪問(wèn)請(qǐng)求。

根據(jù)本發(fā)明的另一方面，提供了一種網(wǎng)絡(luò)訪問(wèn)行為的防護(hù)裝置，包括：驅(qū)動(dòng)層模塊和應(yīng)用層模塊；

驅(qū)動(dòng)層模塊包括：截獲模塊，適于截獲程序發(fā)起的網(wǎng)絡(luò)訪問(wèn)請(qǐng)求的數(shù)據(jù)包；驅(qū)動(dòng)層解析模塊，適于解析數(shù)據(jù)包，獲取數(shù)據(jù)包中的至少一種域信息；第一發(fā)送模塊，適于將數(shù)據(jù)包及其至少一種域信息發(fā)送給應(yīng)用層模塊；

應(yīng)用層模塊包括：第一接收模塊，適于接收第一發(fā)送模塊發(fā)送的數(shù)據(jù)包及其至少一種域信息；查詢模塊，適于查詢本地?cái)?shù)據(jù)庫(kù)中是否保存有至少一種域信息中的任一種；阻止模塊，適于在查詢模塊查詢到至少一種域信息中的任一種屬于本地?cái)?shù)據(jù)庫(kù)的黑名單的情況下，阻止程序的網(wǎng)絡(luò)訪問(wèn)請(qǐng)求；放行模塊，適于在查詢模塊查詢到至少一種域信息都不屬于本地?cái)?shù)據(jù)庫(kù)的黑名單但至少一種域信息中的任一種屬于本地?cái)?shù)據(jù)庫(kù)的白名單的情況下，放行程序的網(wǎng)絡(luò)訪問(wèn)請(qǐng)求。

根據(jù)本發(fā)明提供的方案，通過(guò)驅(qū)動(dòng)層截獲程序發(fā)起的網(wǎng)絡(luò)訪問(wèn)請(qǐng)求的數(shù)據(jù)包，解析數(shù)據(jù)包獲取其包含的域信息，應(yīng)用層根據(jù)該域信息查詢本地?cái)?shù)據(jù)庫(kù)來(lái)確定阻止或放行該程序的網(wǎng)絡(luò)訪問(wèn)請(qǐng)求。對(duì)于程序使用的基于TCP/IP或者UDP實(shí)現(xiàn)的高層協(xié)議來(lái)說(shuō)，網(wǎng)絡(luò)訪問(wèn)請(qǐng)求的數(shù)據(jù)包中的域信息反映了網(wǎng)絡(luò)訪問(wèn)請(qǐng)求的目標(biāo)，本發(fā)明直接利用這些高層協(xié)議的目標(biāo)來(lái)判斷網(wǎng)絡(luò)訪問(wèn)請(qǐng)求是否安全，更能有效地?cái)r截惡意程序的網(wǎng)絡(luò)訪問(wèn)行為。而且，網(wǎng)絡(luò)訪問(wèn)請(qǐng)求的數(shù)據(jù)包中的域信息不經(jīng)常變動(dòng)，所以本地?cái)?shù)據(jù)庫(kù)不需要經(jīng)常更新，從而能更加及時(shí)地?cái)r截惡意程序的網(wǎng)絡(luò)訪問(wèn)行為。