CN112583845B

CN112583845B - 一种访问检测方法、装置、电子设备和计算机存储介质

Info

Publication number: CN112583845B
Application number: CN202011548346.7A
Authority: CN
Inventors: 李宁丰
Original assignee: Sangfor Technologies Co Ltd
Current assignee: Sangfor Technologies Co Ltd
Priority date: 2020-12-24
Filing date: 2020-12-24
Publication date: 2023-11-07
Anticipated expiration: 2040-12-24
Also published as: CN112583845A

Abstract

本发明实施例提供了一种访问检测方法，应用于第一终端，所述方法包括：向云端上报恶意网络信息，使所述云端将所述恶意网络信息下发到与所述云端连接的各个终端；接收所述云端下发的恶意网络信息，根据所述恶意网络信息，对所述各个终端的本地黑名单和/或白名单进行更新，得到更新结果；获取访问请求，基于所述更新结果，对所述访问请求对应的网络信息进行检测；本发明实施例还提供了一种访问检测装置、电子设备和计算机存储介质。

Description

一种访问检测方法、装置、电子设备和计算机存储介质

技术领域

本发明涉及网络安全技术领域，尤其涉及一种访问检测方法、装置、电子设备和计算机存储介质。

背景技术

在当今漏洞频出的互联网环境下，不管是传统万维网(World Wide Web，Web)漏洞，还是不断诞生的通用组件漏洞，都有可能被来自网络的黑客或病毒攻击。由于黑客或病毒一旦入侵系统成功，会在系统上安装恶意程序、盗取机密数据或利用被控制的计算机大肆发送垃圾邮件，因而，给用户造成不可挽回的损失。

相关技术中，在护网场景下，为确保用户信息安全，通过在每个终端上部署应用防火墙(Application Firewall，AF)设备的方式进行漏洞的防御；即，当终端拦截到某个访问请求对应的IP时，需要通过终端确定该IP是否为恶意IP；由于每个终端接收的访问请求是有限的，因而，仅通过终端确定恶意IP的方式是不全面的，进而，会降低终端的安全防护功能。

发明内容

本发明实施例提供了一种访问检测方法、装置、电子设备和计算机存储介质。

本发明实施例的技术方案是这样实现的：

本发明提供一种访问检测方法，应用于第一终端，所述方法包括：

向云端上报恶意网络信息，使所述云端将所述恶意网络信息下发到与所述云端连接的各个终端；

接收所述云端下发的恶意网络信息，根据所述恶意网络信息，对所述各个终端的本地黑名单和/或白名单进行更新，得到更新结果；

获取访问请求，基于所述更新结果，对所述访问请求对应的网络信息进行检测。

在一些实施例中，所述方法还包括：

接收所述云端下发的删除指令，根据所述删除指令对所述本地黑名单对应的网络信息进行删除。

在一些实施例中，所述根据恶意网络信息，对所述各个终端的本地黑名单和/或白名单进行更新，包括：

根据预先设定的配置信息对所述恶意网络信息是否准确进行判断，得到判断结果；

在所述判断结果为是的情况下，将所述恶意网络信息添加到黑名单；

在所述判断结果为否的情况下，将所述恶意网络信息添加到白名单。

在一些实施例中，在所述判断结果为是的情况下，所述方法还包括：

查找所述白名单中是否存在所述恶意网络信息；

在确定所述白名单中存在所述恶意网络信息的情况下，将所述白名单中的所述恶意网络信息进行删除。

在一些实施例中，所述对访问请求对应的网络信息进行检测，包括：

在所述访问请求对应的网络信息不存在于所述黑名单的情况下，确定所述访问请求对应的网络信息是可信的，继续执行其它安全检测操作；

在所述访问请求中对应的网络信息存在于所述黑名单的情况下，确定所述访问请求对应的网络信息是不可信的，对所述访问请求进行拦截。

根据所述恶意网络信息，每隔预设时间对各个终端的本地黑名单和/或白名单进行更新。

本发明提供一种访问检测方法，应用于云端，所述方法包括：

接收多个终端上报的恶意网络信息；

向第一终端下发所述恶意网络信息，使所述第一终端根据所述恶意网络信息，对本地黑名单和/或白名单进行更新，得到更新结果，基于所述更新结果，对所述第一终端获取的访问请求对应的网络信息进行检测；所述第一终端表示所述多个终端中的一个终端。

在一些实施例中，所述方法还包括：

向第一终端下发删除指令，所述删除指令用于使所述第一终端对本地黑名单对应的网络信息进行删除。

本发明提供一种访问检测装置，应用于第一终端，所述装置包括：

上报模块，用于向云端上报恶意网络信息，使所述云端将所述恶意网络信息下发到与所述云端连接的各个终端；

更新模块，用于接收所述云端下发的恶意网络信息，根据所述恶意网络信息，对所述各个终端的本地黑名单和/或白名单进行更新，得到更新结果；

检测模块，用于获取访问请求，基于所述更新结果，对所述访问请求对应的网络信息进行检测。

在一些实施例中，所述装置还包括删除模块，所述删除模块，用于：

在一些实施例中，所述更新模块，用于根据恶意网络信息，对所述各个终端的本地黑名单和/或白名单进行更新，包括：

在一些实施例中，在所述判断结果为是的情况下，所述更新模块，还用于：

查找所述白名单中是否存在所述恶意网络信息；

在一些实施例中，所述检测模块，用于所述对访问请求对应的网络信息进行检测，包括：

本发明提供一种访问检测装置，应用于云端，所述装置包括：

接收模块，用于接收多个终端上报的恶意网络信息；

处理模块，用于向第一终端下发恶意网络信息，使所述第一终端根据恶意网络信息，对本地黑名单和/或白名单进行更新，得到更新结果，基于所述更新结果，对所述第一终端获取的访问请求对应的网络信息进行检测；所述第一终端表示所述多个终端中的一个终端。

本发明提供一种电子设备，所述设备包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现前述一个或多个技术方案提供的访问检测方法。

本发明提供一种计算机存储介质，所述计算机存储介质存储有计算机程序；所述计算机程序被执行后能够实现前述一个或多个技术方案提供的访问检测方法。

本发明实施例提供了一种访问检测方法、装置、电子设备和计算机存储介质，该方法应用于第一终端，该方法包括：首先，向云端上报恶意网络信息，使所述云端将所述恶意网络信息下发到与所述云端连接的各个终端；然后，接收所述云端下发的恶意网络信息，根据所述恶意网络信息，对所述各个终端的本地黑名单和/或白名单进行更新，得到更新结果；最后，获取访问请求，基于所述更新结果，对所述访问请求对应的网络信息进行检测。可以看出，无需通过终端确定恶意网络信息，而是直接接收云端下发的恶意网络信息，因而，能够避免因终端访问请求有限所造成的恶意网络信息不全面的问题，进而，能够提高终端的安全防护功能。

附图说明

图1为本发明实施例提供的一种访问检测方法的应用场景图；

图2a为本发明实施例的一种访问检测方法的流程图；

图2b为本发明实施例的另一种访问检测方法的流程图；

图3a为本发明实施例的一种访问检测方法的框架图；

图3b为本发明实施例的一种对IP进行检测的流程示意图；

图4a为本发明实施例的一种访问检测的组成结构示意图；

图4b为本发明实施例的另一种访问检测的组成结构示意图；

图5为本发明实施例提供的电子设备的结构示意图。

具体实施方式

以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所提供的实施例仅仅用以解释本发明，并不用于限定本发明。另外，以下所提供的实施例是用于实施本发明的部分实施例，而非提供实施本发明的全部实施例，在不冲突的情况下，本发明实施例记载的技术方案可以任意组合的方式实施。

需要说明的是，在本发明实施例中，术语“包括”、“包含”或者其任何其它变体意在涵盖非排他性的包含，从而使得包括一系列要素的方法或者装置不仅包括所明确记载的要素，而且还包括没有明确列出的其它要素，或者是还包括为实施方法或者装置所固有的要素。在没有更多限制的情况下，由语句“包括一个......”限定的要素，并不排除在包括该要素的方法或者装置中还存在另外的相关要素(例如方法中的步骤或者装置中的单元，例如的单元可以是部分电路、部分处理器、部分程序或软件等等)。

本文中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，I和/或J，可以表示：单独存在I，同时存在I和J，单独存在J这三种情况。另外，本文中术语“至少一种”表示多种中的任意一种或多种中的至少两种的任意组合，例如，包括I、J、R中的至少一种，可以表示包括从I、J和R构成的集合中选择的任意一个或多个元素。

例如，本发明实施例提供的访问检测方法包含了一系列的步骤，但是本发明实施例提供的访问检测方法不限于所记载的步骤，同样地，本发明实施例提供的访问检测设备包括了一系列模块，但是本发明实施例提供的访问检测设备不限于包括所明确记载的模块，还可以包括为获取相关时序数据、或基于时序数据进行处理时所需要设置的模块。

本发明实施例可以应用于终端设备和服务器组成的计算机系统中，并可以与众多其它通用或专用计算系统环境或配置一起操作。这里，终端设备可以是瘦客户机、厚客户机、手持或膝上设备、基于微处理器的系统、机顶盒、可编程消费电子产品、网络个人电脑、小型计算机系统，等等，服务器可以是服务器计算机系统小型计算机系统﹑大型计算机系统和包括上述任何系统的分布式云计算技术环境，等等。

终端设备、服务器等电子设备可以在由计算机系统执行的计算机系统可执行指令(诸如程序模块)的一般语境下描述。通常，程序模块可以包括例程、程序、目标程序、组件、逻辑、数据结构等等，它们执行特定的任务或者实现特定的抽象数据类型。计算机系统/服务器可以在分布式云计算环境中实施，分布式云计算环境中，任务是由通过通信网络链接的远程处理设备执行的。在分布式云计算环境中，程序模块可以位于包括存储设备的本地或远程计算系统存储介质上。

图1为本发明实施例提供的一种访问检测方法的应用场景图，如图1所示，包括：终端110和云端111，其中，终端110包括终端1至终端N，N为大于1的整数；第一终端为终端1至终端N中的任意一个终端，终端110与云端111进行连接。终端1至终端N中的多个终端将AF设备拦截的恶意网络信息上报给云端111后，云端111在接收到该恶意网络信息后，将该恶意网络信息下发给与其连接的终端110中；这样，第一终端在接收到包含该恶意网络信息的访问请求时，可以进行实时拦截，进而，能够阻断恶意网络信息对第一终端的攻击，确保网络的安全性。

这里，终端110是相对于云端上虚拟机而言的对实体计算机的称呼，终端110可以提供给虚拟机一定的硬件环境。云端111作为云计算处理系统，是指建立在互联网技术(Internet Technology，IT)网络设备基础之上的多用户按照特定规则进行数据交流、分析、统计的决策系统。

在一些实施例中，终端110和云端111可以运行windows、linux、unix等操作系统。

基于上述记载的应用场景，本发明提供一种访问检测方法，下面将结合本发明中的附图，对本发明中的技术方案进行清楚、完整地描述。

在本发明的一些实施例中，访问检测方法可以利用访问检测装置中的处理器实现，上述处理器可以为特定用途集成电路(Application Specific Integrated Circuit，ASIC)、数字信号处理器(Digital Signal Processor，DSP)、数字信号处理装置(DigitalSignal Processing Device，DSPD)、可编程逻辑装置(Programmable Logic Device，PLD)、现场可编程逻辑门阵列(Field Programmable Gate Array，FPGA)、中央处理器(CentralProcessing Unit，CPU)、控制器、微控制器、微处理器中的至少一种。

图2a为本发明实施例的一种访问检测方法的流程图，该方法应用于第一终端，如图2a所示，该方法包括：

步骤200：向云端上报恶意网络信息，使云端将恶意网络信息下发到与云端连接的各个终端。

在一种实施方式中，恶意网络信息可以是恶意IP、恶意统一资源定位器(UniformResource Locator，URL)或恶意域名等；这里，恶意IP可以是黑客IP，也可以是病毒或其他对终端带来恶意攻击的不安全IP，本发明实施例对此不作限制。

本发明实施例中，以恶意IP为例对恶意网络信息进行说明。这里，IP表示IP地址；IP地址是IP协议提供的一种统一的地址格式，它为互联网上的每一个网络和每一台主机分配一个逻辑地址，以此来屏蔽物理地址的差异。

本发明实施例中，由于云端是多用户共同参与的，每个用户可以对应一个终端；云端可以与多个终端进行连接；第一终端表示多个终端中的任意一个终端；在云端与多个终端连接之后，便可收集多个终端上报的恶意IP。

在一种实施方式中，在第一终端向云端上报恶意IP时，云端会将接收的恶意IP全网段下发给与其连接的各个终端的AF设备上；这样，与云端连接的所有终端均可以接收到该恶意IP，进而，所有终端的AF设备都能对该恶意IP进行实时拦截。

在一种实施方式中，假设黑客在某段时间内利用系统漏洞或组件漏洞入侵用户的正常电脑，并发送攻击行为，被部署在电脑上的AF设备拦截后，将黑客IP上报云端，云端对该黑客IP进行分析，得到分析结果，在分析结果表明该黑客IP为恶意IP后，进行全网段下发。

在一种实施方式中，在一种实施方式中，假设云端与终端A、终端B和终端C这三个终端进行连接，在黑客攻击终端A时，终端A的AF设备拦截到该黑客的恶意IP，并将该黑客的恶意IP上报云端，云端在接收到该恶意IP后，将其下发到终端A、终端B和终端C。这样，终端A、终端B和终端C的AF设备都能对该恶意IP进行实时拦截。

这里，AF设备可以是Web应用防火墙(Web Application Firewall，WAF)设备，也可以是其他具有安全防护能力的防火墙设备。其中，WAF设备是通过执行一系列针对超文本传输协议(Hyper Text Transfer Protocol，HTTP)和超文本传输安全协议(Hyper TextTransfer Protocol over Secure Socket Layer，HTTPS)的安全策略来专门为Web应用提供保护的产品。WAF能够对来自Web应用程序终端的各类请求进行内容检测和验证，确保其安全性与合法性，对非法的请求，即针对网络应用层的攻击，例如跨站脚本攻击、参数篡改、应用平台漏洞攻击、拒绝服务攻击等予以实时阻断，从而对各类网站站点进行有效防护。

步骤201：接收云端下发的恶意网络信息，根据恶意网络信息，对各个终端的本地黑名单和/或白名单进行更新，得到更新结果。

本发明实施例中，与云端连接的每个终端的本地均包括一个黑名单和白名单；其中，黑名单可以用于存储恶意IP、恶意URL或恶意域名等；白名单可以用于存储可信IP、可信URL或可信域名等；这里，以恶意IP为例进行说明，黑名单和白名单可以表示一个IP黑名单和一个IP白名单；其中，IP黑名单和IP白名单可以分别表示一组IP列表；进一步地，IP黑名单对应的IP列表用于存储恶意IP，IP白名单对应的IP列表用于存储可信IP。

在一种实施方式中，可以根据云端下发的恶意网络信息，对终端的本地黑名单和白名单进行更新，得到更新结果；示例性地，可以将更新结果保存在终端的共享内存中。

在一种实施方式中，在与云端连接的各个终端接收到云端下发的恶意网络信息后，由于云端下发的恶意网络信息可能是准确的，也可能是不准确的；因而，在对各个终端的本地黑名单和白名单进行更新的过程中，为了进一步确保该恶意网络信息是否准确，需要根据预先设定的配置信息对该恶意网络信息是否准确进行判断，得到判断结果；在判断结果为是的情况下，将恶意网络信息添加到黑名单；在判断结果为否的情况下，将恶意网络信息添加到白名单。。

在一种实施方式中，对恶意网络信息是否准确的判断操作是在终端上进行的操作，该操作是为了避免在终端接收的恶意网络信息不准确时所造成的黑名单和白名单的错误更新问题。

在一种实施方式中，配置信息是用于执行上述判断操作的依据；配置信息可以是根据实际应用场景对应设置的判断规则；即，在恶意网络信息满足判断规则的情况下，说明恶意网络信息是准确的，此时，将其添加到黑名单；在恶意网络信息不满足判断规则的情况下，说明恶意网络信息是不准确的，此时，将其添加到白名单；

在一种实施方式中，以恶意IP为例对恶意网络信息进行说明。用户可以通过终端前台的启用和禁用对恶意IP的准确性进行判断操作，以实现对IP黑名单和白名单的更新；其中，禁用表示在根据预先设定的配置信息确定该恶意IP不准确时，通过公共网关接口(Common Gateway Interface，CGI)将该黑客IP添加到IP白名单；启用表示在根据预先设定的配置信息确定该恶意IP准确时，通过CGI将该恶意IP添加到IP黑名单。

在一些实施例中，在确定恶意网络信息准确的情况下，访问检测方法还可以包括：查找白名单中是否存在恶意网络信息；在确定白名单中存在恶意网络信息的情况下，将白名单中的恶意网络信息进行删除。

在一种实施方式中，在将恶意IP添加到IP黑名单的过程中，同时查找IP白名单中是否存在该恶意IP，在确定IP白名单中存在该恶意IP时，将IP白名单中的恶意IP进行删除。

在一种实施方式中，假设第一终端接收到云端下发的恶意IP1和恶意IP2，在对这两个恶意IP的准确性进行判断操作后，若确定恶意IP1不准确，则将恶意IP1添加到IP白名单；若确定恶意IP2准确，则将恶意IP2添加到IP黑名单，若同时确定IP白名单中存在该恶意IP2，则将IP白名单中的恶意IP2进行删除。

可见，通过第一终端对恶意IP的准确性进行判断操作，在确定恶意IP添加到IP白名单时，能够有效避免正常IP被误封的情况，使得管理员不用再花费大量时间和精力查看日志来排障，能够提升安全运营工作效率；在确定恶意IP添加到IP黑名单时，能够直接对该恶意IP进行拦截，提高拦截效率。

步骤202：获取访问请求，基于更新结果，对访问请求对应的网络信息进行检测。

在一种实施方式中，访问请求可以通过请求包的形式对第一终端进行访问，该请求包可以是HTTP请求包，也可以是HTTPS请求包；其中，HTTP和HTTPS用于表示应用层协议，定义了浏览器或其它应用程序与服务器之间通讯的过程以及数据交互的格式。

在一种实施方式中，可以在第一终端的WEB应用防护设备上设置IP检测防护开关，通过对该IP检测防护开关的开启或关闭确定是否对访问请求对应的IP进行检测。

在一种实施方式中，IP检测防护开关的开启或关闭可以根据用户实际需求进行确定。

本发明实施例中，访问请求可以是通过外部设备发送到第一终端的。

在一些实施例中，对访问请求对应的网络信息进行检测，可以包括：在访问请求对应的网络信息不存在于黑名单的情况下，确定访问请求对应的网络信息是可信的，继续执行其它安全检测操作；在访问请求中对应的网络信息存在于黑名单的情况下，确定访问请求对应的网络信息是不可信的，对访问请求进行拦截。

在一种实施方式中，在访问请求对应的IP不存在于IP黑名单时，包括以下两种情况：一种是在访问请求对应的IP存在于IP白名单时，确定访问请求中对应的IP是可信的；另一种是在访问请求中对应的IP不存在于IP白名单和IP黑名单中，确定访问请求中对应的IP是可信的。

本发明实施例中，在对访问请求对应的IP进行检测后，确定访问请求对应的IP是可信IP后，继续执行其它安全检测操作；这里，其它安全检测操作可以包括：对访问请求对应的结构化查询语言(Structured Query Language，SQL)注入或跨站脚本(Cross SiteScripting，XSS)注入等进行安全检测操作。而在确定访问请求对应的IP是不可信IP后，直接对访问请求中对应的IP进行拦截，不再进行其它安全检测操作。

在一些实施例中，访问检测还包括：接收云端下发的删除指令，根据删除指令对本地黑名单对应的网络信息进行删除。

本发明实施例中，云端在接收第一终端上报的恶意网络信息时，也会实时检测该恶意网络信息的状态变化情况，即，当云端确定该恶意网络信息为可信网络信息后，会向与其连接的每个终端下发删除指令，第一终端接收到该删除指令后，直接对本地黑名单中对应的网络信息进行删除；之后，与云端连接的任意一个终端再次接收到该恶意IP时，该终端的AF设备不再对该网络信息进行拦截。

在一些实施例中，根据恶意网络信息，对各个终端的本地黑名单和/或白名单进行更新，可以包括：根据恶意网络信息，每隔预设时间对各个终端的本地黑名单和/或白名单进行更新。

本发明实施例中，通过每隔预设时间对IP黑名单和IP白名单进行更新的方式，可以保障全网恶意IP都处于防护状态。

这里，对于预设时间的设置可以根据实际网络环境进行设置，例如，可以是5s、10s等，本发明实施例对此不作限制。

图2b为本发明实施例的另一种访问检测方法的流程图，该方法应用于云端，如图2b所示，该方法包括：

步骤203：接收多个终端上报的恶意网络信息。

步骤204：向第一终端下发恶意网络信息，使第一终端根据恶意网络信息，对本地黑名单和/或白名单进行更新，得到更新结果，基于更新结果，对第一终端获取的访问请求对应的网络信息进行检测；第一终端表示多个终端中的一个终端。

在一种实施方式中，针对与云端连接的每个终端的AF设备，可以通过配置访问控制规则来阻断或放行指定IP的访问请求，这里，终端将被阻断的访问请求对应的恶意IP上报给云端，云端接收终端上报的恶意IP。

这里，对于访问控制规则的设置方法可以根据实际网络环境进行设置，本发明实施例对此不作限制。

在一些实施例中，该方法可以包括：向第一终端下发删除指令，删除指令用于使第一终端对本地黑名单对应的网络信息进行删除。

本发明实施例中，云端对第一终端进行分析，在确定恶意网络信息为可信时，向与其连接的每个终端下发删除指令，将第一终端中本地黑名单对应的网络信息进行删除；这里，当恶意网络信息为恶意IP时，将恶意IP下发给第一终端的同时也会下发给与云端连接的其它终端；在确定恶意IP为可信IP时，将本地黑名单对应的IP数据进行删除。

在一种实施方式中，当云端检测到发送恶意IP的黑客离开后，此时，该恶意IP便是一个正常IP，即，不再是一个恶意IP；云端将该恶意IP进行删除，并下发到第一终端的AF设备上，AF设备不再对该IP进行拦截。

这里，关于步骤204的实现过程已在上述实施例中进行说明，此处不再累赘。

本发明实施例提供了一种访问检测方法、装置、电子设备和计算机存储介质，该方法应用于第一终端，包括：首先，向云端上报恶意网络信息，使云端将恶意网络信息下发到与云端连接的各个终端；然后，接收云端下发的恶意网络信息，根据恶意网络信息，对各个终端的本地黑名单和/或白名单进行更新，得到更新结果；最后，获取访问请求，基于更新结果，对访问请求对应的网络信息进行检测。可以看出，无需通过终端确定恶意网络信息，而是直接接收云端下发的恶意网络信息，因而，能够避免因终端访问请求有限所造成的恶意网络信息不全面的问题，进而，能够提高终端的安全防护功能。

为了能够更加体现本发明的目的，在本发明上述实施例的基础上，结合具体的应用场景进行进一步的举例说明。

图3a为本发明实施例的一种访问检测方法的框架图，如图3a所示，该框架主要包括：云端和三个终端的AF设备，分别为AF设备1、AF设备2和AF设备3；这里，每个AF设备与云端连接，并且每个AF设备均包括一个黑客库，该黑客库用于保存黑客攻击的IP地址，属于IP黑名单的一部分。

在一种实施方式中，黑客利用漏洞攻击AF设备1，AF设备1将黑客攻击的IP地址：192.168.1.64上报给云端；云端将该黑客IP地址全网段下发到每台连接云端的AF设备上，即，将该IP地址添加到AF设备1、AF设备2和AF设备3的黑客库中；当与云端连接的每台AF设备再次检测到该黑客IP时，均能够对该黑客IP进行实时拦截。

这里，终端对经过AF设备的流量进行IP单独检测，对于IP存在于黑客库的流量进行封堵，不再进行后续的处理流程；对于IP不存在于黑客库的流量，按照正常程序进行后续的处理流程。

图3b为本发明实施例的一种对IP进行检测的流程示意图，如图3b所示，该流程包括：

步骤A1：接收云端下发的恶意IP。

在一种实施方式中，云端收集AF设备发送的恶意IP，并对该恶意IP进行数据分析，在确定为黑客IP后，进行全网下发，终端接收云端下发的黑客IP。

步骤A2：更新IP黑名单和/或IP白名单。

在一种实施方式中，终端根据云端下发的黑客IP对共享内存的IP黑名单和/或IP白名单进行更新；在更新过程中，用户通过终端前台的启用和禁用对云端下发的黑客IP的准确性进行判断操作。

步骤A3：终端对业务进程进行策略下发。

在一种实施方式中，终端的WEB应用防护模板上有IP检测防护开关，用户通过CGI对业务进程进行策略下发的方式执行对该IP检测防护开关的开启和关闭操作，进而，根据开启和关闭操作，确定业务进程是否要进行黑客IP检测。

步骤A4：对访问请求对应的IP进行检测。

在一种实施方式中，根据步骤A3确定业务进程需要进行黑客IP检测时，首先，对访问请求中的协议进行解析，解析完后，对访问请求对应的IP进行检测；具体的检测过程为：先遍历共享内存中的IP白名单，在该IP存在于IP白名单时，则确定访问请求中对应的IP是可信的；如果该IP不存在于IP白名单，则遍历共享内存中的IP黑名单，在该IP存在于IP黑名单时，则确定访问请求中对应的IP是不可信的；如果该IP不存在于IP白名单和IP黑名单中，确定访问请求中对应的IP是可信的。

步骤A5：记录日志。

在一种实施方式中，在确定访问请求中对应的IP是可信的时，记录日志并进入下一个检测模块；在确定访问请求中对应的IP是不可信的时，记录日志并结束流程。

可见，本发明实施例云端收集全网高危IP情报，通过下发到终端实现对有攻击行为的恶意IP实时封堵；另外，用户通过终端对恶意IP的准确性进行判断操作，可以有效避免正常IP被误封的情况，使得管理员不用再花费大量时间和精力查看日志来排障，能够提升安全运营工作效率。

图4a为本发明实施例的一种访问检测的组成结构示意图，如图4a所示，该装置包括：上报模块400、更新模块401和检测模块402，其中：

上报模块400，用于向云端上报恶意网络信息，使云端将恶意网络信息下发到与云端连接的各个终端；

更新模块401，用于接收云端下发的恶意网络信息，根据恶意网络信息，对各个终端的本地黑名单和/或白名单进行更新，得到更新结果；

检测模块402，用于获取访问请求，基于更新结果，对访问请求对应的网络信息进行检测。

在一些实施例中，该装置还包括删除模块403，删除模块403，用于：

接收云端下发的删除指令，根据删除指令对本地黑名单对应的网络信息进行删除。

在一些实施例中，更新模块401，用于根据恶意网络信息，对各个终端的本地黑名单和/或白名单进行更新，包括：

根据预先设定的配置信息对恶意网络信息是否准确进行判断，得到判断结果；

在判断结果为是的情况下，将恶意网络信息添加到黑名单；

在判断结果为否的情况下，将恶意网络信息添加到白名单。

在一些实施例中，在判断结果为是的情况下，更新模块401，还用于：

查找白名单中是否存在恶意网络信息；

在确定白名单中存在恶意网络信息的情况下，将白名单中的恶意网络信息进行删除。

在一些实施例中，检测模块402，用于对访问请求对应的网络信息进行检测，包括：

在访问请求对应的网络信息不存在于黑名单的情况下，确定访问请求对应的网络信息是可信的，继续执行其它安全检测操作；

在访问请求中对应的网络信息存在于黑名单的情况下，确定访问请求对应的网络信息是不可信的，对访问请求进行拦截。

根据恶意网络信息，每隔预设时间对各个终端的本地黑名单和/或白名单进行更新。

图4b为本发明实施例的另一种访问检测的组成结构示意图，如图4b所示，装置包括：接收模块404和处理模块405，其中：

接收模块404，用于接收多个终端上报的恶意网络信息；

处理模块405，用于向第一终端下发恶意网络信息，使第一终端根据恶意网络信息，对本地黑名单和/或白名单进行更新，得到更新结果，基于更新结果，对第一终端获取的访问请求对应的网络信息进行检测；第一终端表示多个终端中的一个终端。

向第一终端下发删除指令，删除指令用于使第一终端对本地黑名单对应的网络信息进行删除。

在实际应用中，上述上报模块400、更新模块401、检测模块402、删除模块403、接收模块404和处理模块405均可以由位于电子设备中的处理器实现，该处理器可以为ASIC、DSP、DSPD、PLD、FPGA、CPU、控制器、微控制器、微处理器中的至少一种。

另外，在本实施例中的各功能模块可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。

集成的单元如果以软件功能模块的形式实现并非作为独立的产品进行销售或使用时，可以存储在一个计算机可读取存储介质中，基于这样的理解，本实施例的技术方案本质上或者说对相关技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)或processor(处理器)执行本实施例方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(Read OnlyMemory，ROM)、随机存取存储器(Random Access Memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

具体来讲，本实施例中的一种访问检测方法对应的计算机程序指令可以被存储在光盘、硬盘、U盘等存储介质上，当存储介质中的与一种访问检测方法对应的计算机程序指令被一电子设备读取或被执行时，实现前述实施例的任意一种访问检测方法。

基于前述实施例相同的技术构思，参见图5，其示出了本发明实施例提供的电子设备500，可以包括：存储器501和处理器502；其中，

存储器501，用于存储计算机程序和数据；

处理器502，用于执行存储器中存储的计算机程序，以实现前述实施例的任意一种访问检测方法。

在实际应用中，上述存储器501可以是易失性存储器(volatile memory)，例如RAM；或者非易失性存储器(non-volatile memory)，例如ROM、快闪存储器(flash memory)、硬盘(Hard Disk Drive，HDD)或固态硬盘(Solid-State Drive，SSD)；或者上述种类的存储器的组合，并向处理器502提供指令和数据。

上述处理器502可以为ASIC、DSP、DSPD、PLD、FPGA、CPU、控制器、微控制器、微处理器中的至少一种。可以理解地，对于不同的终端，用于实现上述处理器功能的电子器件还可以为其它，本发明实施例不作具体限定。

在一些实施例中，本发明实施例提供的装置具有的功能或包含的模块可以用于执行上文方法实施例描述的方法，其具体实现可以参照上文方法实施例的描述，为了简洁，这里不再赘述

上文对各个实施例的描述倾向于强调各个实施例之间的不同之处，其相同或相似之处可以互相参考，为了简洁，本文不再赘述

本发明所提供的各方法实施例中所揭露的方法，在不冲突的情况下可以任意组合，得到新的方法实施例。

本发明所提供的各产品实施例中所揭露的特征，在不冲突的情况下可以任意组合，得到新的产品实施例。

本发明所提供的各方法或设备实施例中所揭露的特征，在不冲突的情况下可以任意组合，得到新的方法实施例或设备实施例。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用硬件实施例、软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其它可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其它可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可装载到计算机或其它可编程数据处理设备上，使得在计算机或其它可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其它可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

以上，仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。

Claims

1.一种访问检测方法，其特征在于，应用于第一终端，所述方法包括：

获取访问请求，基于所述更新结果，对所述访问请求对应的网络信息进行检测；

其中，所述根据恶意网络信息，对所述各个终端的本地黑名单和/或白名单进行更新，包括：

2.根据权利要求1所述的方法，其特征在于，所述方法还包括：

接收所述云端下发的删除指令，根据所述删除指令对所述本地黑名单对应的网络信息进行删除，所述删除指令为所述云端在确定所述恶意网络信息变为正常网络信息后下发的。

3.根据权利要求1所述的方法，其特征在于，在所述判断结果为是的情况下，所述方法还包括：

查找所述白名单中是否存在所述恶意网络信息；

4.根据权利要求1所述的方法，其特征在于，所述对所述访问请求对应的网络信息进行检测，包括：

5.根据权利要求1所述的方法，其特征在于，所述根据恶意网络信息，对所述各个终端的本地黑名单和/或白名单进行更新，包括：

6.一种访问检测方法，其特征在于，应用于云端，所述方法包括：

接收多个终端上报的恶意网络信息；

向第一终端下发所述恶意网络信息，使所述第一终端根据所述恶意网络信息，对本地黑名单和/或白名单进行更新，得到更新结果，基于所述更新结果，对所述第一终端获取的访问请求对应的网络信息进行检测；所述第一终端表示所述多个终端中的一个终端；

其中，所述第一终端根据所述恶意网络信息，对本地黑名单和/或白名单进行更新，包括：

所述第一终端根据预先设定的配置信息对所述恶意网络信息是否准确进行判断，得到判断结果；

7.根据权利要求6所述的方法，其特征在于，所述方法还包括：

8.一种访问检测装置，其特征在于，应用于第一终端，所述装置包括：

更新模块，用于接收所述云端下发的恶意网络信息，根据所述恶意网络信息，对所述各个终端的本地黑名单和/或白名单进行更新，得到更新结果；其中，所述根据恶意网络信息，对所述各个终端的本地黑名单和/或白名单进行更新，包括：根据预先设定的配置信息对所述恶意网络信息是否准确进行判断，得到判断结果；在所述判断结果为是的情况下，将所述恶意网络信息添加到黑名单；在所述判断结果为否的情况下，将所述恶意网络信息添加到白名单；

9.一种访问检测装置，其特征在于，应用于云端，所述装置包括：

接收模块，用于接收多个终端上报的恶意网络信息；

处理模块，用于向第一终端下发恶意网络信息，使所述第一终端根据恶意网络信息，对本地黑名单和/或白名单进行更新，得到更新结果，基于所述更新结果，对所述第一终端获取的访问请求对应的网络信息进行检测；所述第一终端表示所述多个终端中的一个终端；其中，所述第一终端根据所述恶意网络信息，对本地黑名单和/或白名单进行更新，包括：所述第一终端根据预先设定的配置信息对所述恶意网络信息是否准确进行判断，得到判断结果；在所述判断结果为是的情况下，将所述恶意网络信息添加到黑名单；在所述判断结果为否的情况下，将所述恶意网络信息添加到白名单。

10.一种电子设备，其特征在于，所述设备包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现权利要求1至7任一项所述的方法。

11.一种计算机存储介质，其上存储有计算机程序，其特征在于，该计算机程序被处理器执行时实现权利要求1至7任一项所述的方法。