WO2016008212A1

WO2016008212A1 - 一种终端及检测终端数据交互的安全性的方法、存储介质

Info

Publication number: WO2016008212A1
Application number: PCT/CN2014/086858
Authority: WO
Inventors: 李川; 刘晋黔
Original assignee: 中兴通讯股份有限公司
Priority date: 2014-07-15
Filing date: 2014-09-18
Publication date: 2016-01-21
Also published as: CN105282112A

Abstract

本发明实施例公开了一种终端及检测终端数据交互的安全性的方法、存储介质；所述方法包括：当终端进行数据交互时，所述终端将所述终端交互对象的网络标识与自身保存的预设信息进行匹配；当所述终端交互对象的网络标识不在所述预设信息中时，所述终端按照预设的识别策略识别所述终端交互对象的网络标识；所述终端根据识别结果将所述终端交互对象的网络标识更新至所述预设信息。

Description

一种终端及检测终端数据交互的安全性的方法、存储介质

技术领域

本发明涉及移动终端安全技术，尤其涉及一种终端及检测终端数据交互的安全性的方法、存储介质。

背景技术

随着智能终端的迅猛发展，终端越来越多地需要和网络进行数据交互，与网络之间传输大量的数据；但是，终端在与网络进行数据交互的过程中，特别是与未知的网页或网站进行数据交互的过程中，很难保证与终端进行交互的未知的网页或网站的数据的安全性，从而容易危害到终端内所保存的用户信息的安全。

发明内容

为解决上述技术问题，本发明实施例期望提供一种终端及检测终端数据交互的安全性的方法、存储介质，能够提高终端进行数据交互时的安全性。

本发明实施例的技术方案是这样实现的：

第一方面，本发明实施例提供了检测终端数据交互的安全性的方法，所述方法包括：

当终端进行数据交互时，所述终端将所述终端交互对象的网络标识与自身保存的预设信息进行匹配；

当所述终端交互对象的网络标识不在所述预设信息中时，所述终端按照预设的识别策略识别所述终端交互对象的网络标识；

所述终端根据识别结果将所述终端交互对象的网络标识更新至所述预设信息。

根据第一种可能的实现方式，结合第一方面，所述预设信息包括白名单和黑名单，其中，所述白名单包括受信任的、安全的网络标识；所述黑名单包括不受信任的、危险的网络标识；

所述终端交互对象的网络标识包括所述终端交互对象的统一资源定位符URL或IP地址。

根据第二种可能的实现方式，结合第一种可能的实现方式，当所述终端交互对象的网络标识不在所述预设信息中时，所述终端按照预设的识别策略识别所述终端交互对象的网络标识，包括：

当所述终端交互对象的网络标识既不在所述白名单中，又不在所述黑名单中时，所述终端按照预设的识别策略识别所述终端交互对象的网络标识；

相应地，所述终端根据识别结果将所述终端交互对象的网络标识更新至所述预设信息，包括：

当所述终端交互对象的网络标识被识别为不受信任的、危险的网络标识时，所述终端将所述终端交互对象的网络标识添加到所述黑名单中；

当所述终端交互对象的网络标识被识别为受信任的、安全的网络标识时，所述终端将所述终端交互对象的网络标识添加到所述白名单中。

根据第三种可能的实现方式，结合第二种可能的实现方式，所述终端按照预设的识别策略识别所述终端交互对象的网络标识，可以包括以下至少一项：

所述终端识别所述终端交互对象的连接稳定性、所述终端识别所述终端交互对象的交互数据量异常、所述终端识别所述终端交互对象恶意扫描所述终端端口、所述终端识别所述终端交互对象向所述终端发起地址解析协议ARP攻击和所述终端识别所述终端交互对象向所述终端发送大尺寸 ping包。

根据第四种可能的实现方式，结合第三种可能的实现方式，所述终端识别所述终端交互对象的连接稳定性，包括：

所述终端通过分析所述终端交互对象发送的数据包的应用层数据得到所述终端交互对象发送的完整数据长度；

所述终端根据自身已接收到的数据包的大小，得到所述终端已经接受的数据长度，并与所述完整数据长度进行比较；

当所述终端已接受的数据长度小于所述完整数据长度时，所述终端统计在预设的第一时间阈值内，接收所述终端交互对象发送的终止连接数据包的个数；

当所述终止连接数据包的个数超过预设的第一数量阈值时，所述终端确认所述终端交互对象是不稳定的，并识别所述终端交互对象的网络标识为不受信任的、危险的网络标识；

当所述终止连接数据包的个数没有超过预设的第一数量阈值时，所述终端确认所述终端交互对象是稳定的，并识别所述终端交互对象的网络标识为受信任的、安全的网络标识。

根据第五种可能的实现方式，结合第三种可能的实现方式，所述终端识别所述终端交互对象的交互数据量异常，包括：

所述终端记录向所述终端交互对象发起传输控制协议TCP连接请求，并记录所述终端与所述终端交互对象的第一连接时间段；

所述终端统计所述第一时间段内从所述终端交互对象接收到的第一数据长度；

在预设的时间间隔之后，所述终端第二次向所述终端交互对象发起TCP连接请求，并在所述第一连接时间段内统计从所述终端交互对象接收到的第二数据长度；

当所述第一数据长度与所述第二数据长度的总和超过预设的第一数据长度阈值时，所述终端确认所述终端交互对象的交互数据量异常，并识别所述终端交互对象的网络标识为不受信任的、危险的网络标识；

当所述第一数据长度与所述第二数据长度的总和没有超过预设的第一数据长度阈值时，所述终端确认所述终端交互对象的交互数据量无异常，并识别所述终端交互对象的网络标识为受信任的、安全的网络标识。

根据第六种可能的实现方式，结合第三种可能的实现方式，所述终端识别所述终端交互对象恶意扫描所述终端端口，包括：

所述终端接收所述终端交互对象发送的数据包后，对所述数据包的TCP头进行解析；

当所述数据包的TCP头的标志位为SYN，且所述数据包的TCP头没有ACK信息，所述终端确认所述终端交互对象恶意扫描所述终端端口，并识别所述终端交互对象的网络标识为不受信任的、危险的网络标识；

否则，所述终端确认所述终端交互对象未恶意扫描所述终端端口，并识别所述终端交互对象的网络标识为受信任的、安全的网络标识。

根据第七种可能的实现方式，结合第三种可能的实现方式，所述终端识别所述终端交互对象向所述终端发起ARP攻击，包括：

在预设的第二时间段内，当所述终端接收所述终端交互对象发送的ARP请求报文的个数超过预设的第二数量阈值时，所述终端确认所述终端交互对象向所述终端发起ARP攻击，并识别所述终端交互对象的网络标识为不受信任的、危险的网络标识；

在预设的第二时间段内，当所述终端接收所述终端交互对象发送的ARP请求报文的个数没有超过预设的第二数量阈值时，所述终端确认所述终端交互对象未向所述终端发起ARP攻击，并识别所述终端交互对象的网络标识为受信任的、安全的网络标识。

根据第八种可能的实现方式，结合第三种可能的实现方式，所述终端识别所述终端交互对象向所述终端发送大尺寸ping包，包括：

所述终端在接收到所述终端交互对象发送的因特网控制报文协议ICMP数据包，且确认所述ICMP数据包为所述终端交互对象发送的ping请求数据包后，解析所述ICMP数据包，获取所述ICMP数据包的数据长度；

当所述ICMP数据包的数据长度超过预设的第二数据长度阈值时，所述终端确定所述终端交互对象向所述终端发送大尺寸ping包，并识别所述终端交互对象的网络标识为不受信任的、危险的网络标识；

当所述ICMP数据包的数据长度没有超过预设的第二数据长度阈值时，所述终端确定所述终端交互对象未向所述终端发送大尺寸ping包，并识别所述终端交互对象的网络标识为受信任的、安全的网络标识。

根据第九种可能的实现方式，结合第一种可能的实现方式，所述方法还包括：

当所述终端交互对象的网络标识在所述黑名单中时，所述终端终止与所述终端交互对象的数据交互；

当所述终端交互对象的网络标识在所述白名单中时，所述终端允许与所述终端交互对象进行数据交互。

根据第十种可能的实现方式，结合第九种可能的实现方式，当所述终端交互对象的网络标识在所述白名单中时，所述方法还包括：

在所述终端与所述终端交互对象进行数据交互的过程中，所述终端根据所述预设的识别策略识别所述终端交互对象的网络标识；

当所述终端交互对象的网络标识被识别为不受信任的、危险的网络标识时，所述终端将所述终端交互对象的网络标识添加到所述黑名单中，并将所述终端交互对象的网络标识从所述白名单中进行删除。

根据第十一种可能的实现方式，结合第一方面，所述方法还包括：

当所述预设信息中包括预设数量的统一资源定位符URL属于同一个HOST时，所述终端将所述预设信息中属于同一个HOST的URL用所述HOST代替；或者，

当所述预设信息中包括预设数量的网络协议IP地址属于同一网关时，所述终端将所述预设信息中属于同一个网关的IP地址用所述网关地址代替；

相应地，所述终端将所述终端交互对象的网络标识与自身保存的预设信息进行匹配，包括：

所述终端将所述终端交互对象的URL与所述预设信息中的HOST进行匹配；

或者，所述终端将所述终端交互对象的IP地址与所述预设信息中的网关地址进行匹配。

第二方面，本发明实施例提供了一种终端，所述终端包括：匹配单元、识别单元和更新单元，其中，

所述匹配单元，配置为当所述终端进行数据交互时，将所述终端交互对象的网络标识与所述终端保存的预设信息进行匹配；

所述识别单元，配置为当所述终端交互对象的网络标识不在所述预设信息中时，按照预设的识别策略识别所述终端交互对象的网络标识；

所述更新单元，配置为根据所述识别单元的识别结果将所述终端交互对象的网络标识更新至所述预设信息。

根据第一种可能的实现方式，结合第二方面，所述预设信息包括白名单和黑名单，其中，所述白名单包括受信任的、安全的网络标识；所述黑名单包括不受信任的、危险的网络标识；

根据第二种可能的实现方式，结合第一种可能的实现方式，所述更新单元，配置为：

当所述终端交互对象的网络标识被识别为不受信任的、危险的网络标识时，将所述终端交互对象的网络标识添加到所述黑名单中；以及

当所述终端交互对象的网络标识被识别为受信任的、安全的网络标识时，将所述终端交互对象的网络标识添加到所述白名单中。

根据第三种可能的实现方式，结合第二种可能的实现方式，所述识别单元，配置为识别所述终端交互对象的连接稳定性、识别所述终端交互对象的交互数据量异常、识别所述终端交互对象恶意扫描所述终端端口、识别所述终端交互对象向所述终端发起地址解析协议ARP攻击和识别所述终端交互对象向所述终端发送大尺寸ping包。

根据第四种可能的实现方式，结合第三种可能的实现方式，所述识别单元，配置为：

通过分析所述终端交互对象发送的数据包的应用层数据得到所述终端交互对象发送的完整数据长度；以及，

根据所述终端已接收到的数据包的大小，得到所述终端已接受的数据长度，并与所述完整数据长度进行比较；以及，

当所述终端已接受的数据长度小于所述完整数据长度时，统计在预设的第一时间阈值内，接收所述终端交互对象发送的终止连接数据包的个数；以及

当所述终止连接数据包的个数超过预设的第一数量阈值时，确认所述终端交互对象是不稳定的，并识别所述终端交互对象的网络标识为不受信任的、危险的网络标识；以及，

当所述终止连接数据包的个数没有超过预设的第一数量阈值时，确认所述终端交互对象是稳定的，并识别所述终端交互对象的网络标识为受信任的、安全的网络标识。

根据第五种可能的实现方式，结合第三种可能的实现方式，所述识别单元，配置为：

记录向所述终端交互对象发起传输控制协议TCP连接请求，并记录所述终端与所述终端交互对象的第一连接时间段；以及，

统计所述第一时间段内从所述终端交互对象接收到的第一数据长度；以及，

在预设的时间间隔之后，第二次向所述终端交互对象发起TCP连接请求，并在所述第一连接时间段内统计从所述终端交互对象接收到的第二数据长度；以及，

当所述第一数据长度与所述第二数据长度的总和超过预设的第一数据长度阈值时，确认所述终端交互对象的交互数据量异常，并识别所述终端交互对象的网络标识为不受信任的、危险的网络标识；以及，

当所述第一数据长度与所述第二数据长度的总和没有超过预设的第一数据长度阈值时，确认所述终端交互对象的交互数据量无异常，并识别所述终端交互对象的网络标识为受信任的、安全的网络标识。

根据第六种可能的实现方式，结合第三种可能的实现方式，所述识别单元，配置为：

接收所述终端交互对象发送的数据包后，对所述数据包的TCP头进行解析；以及，

当所述数据包的TCP头的标志位为SYN，且所述数据包的TCP头没有ACK信息，确认所述终端交互对象恶意扫描所述终端端口，并识别所述终端交互对象的网络标识为不受信任的、危险的网络标识；以及，

否则，确认所述终端交互对象未恶意扫描所述终端端口，并识别所述终端交互对象的网络标识为受信任的、安全的网络标识。

根据第七种可能的实现方式，结合第三种可能的实现方式，所述识别单元，配置为：

在预设的第二时间段内，当接收所述终端交互对象发送的ARP请求报文的个数超过预设的第二数量阈值时，确认所述终端交互对象向所述终端发起ARP攻击，并识别所述终端交互对象的网络标识为不受信任的、危险的网络标识；以及，

在预设的第二时间段内，当接收所述终端交互对象发送的ARP请求报文的个数没有超过预设的第二数量阈值时，确认所述终端交互对象未向所述终端发起ARP攻击，并识别所述终端交互对象的网络标识为受信任的、安全的网络标识。

根据第八种可能的实现方式，结合第三种可能的实现方式，所述识别单元，配置为：

在接收到所述终端交互对象发送的ICMP数据包，且确认所述ICMP数据包为所述终端交互对象发送的ping请求数据包后，解析所述ICMP数据包，获取所述ICMP数据包的数据长度；以及，

当所述ICMP数据包的数据长度超过预设的第二数据长度阈值时，确定所述终端交互对象向所述终端发送大尺寸ping包，并识别所述终端交互对象的网络标识为不受信任的、危险的网络标识；以及，

当所述ICMP数据包的数据长度没有超过预设的第二数据长度阈值时，确定所述终端交互对象未向所述终端发送大尺寸ping包，并识别所述终端交互对象的网络标识为受信任的、安全的网络标识。

根据第九种可能的实现方式，结合第一种可能的实现方式，所述终端还包括：交互控制单元，配置为当所述终端交互对象的网络标识在所述黑名单中时，终止与所述终端交互对象的数据交互；以及

当所述终端交互对象的网络标识在所述白名单中时，允许与所述终端交互对象进行数据交互。

根据第十种可能的实现方式，结合第九种可能的实现方式，所述识别单元，还配置为当所述终端交互对象的网络标识在所述白名单中，且在所述终端与所述终端交互对象进行数据交互的过程中，根据所述预设的识别策略识别所述终端交互对象的网络标识；

所述更新单元，还配置为当所述终端交互对象的网络标识被识别为不受信任的、危险的网络标识时，将所述终端交互对象的网络标识添加到所述黑名单中，并将所述终端交互对象的网络标识从所述白名单中进行删除。

根据第十一种可能的实现方式，结合第二方面，所述终端还包括替换单元，配置为当所述预设信息中包括预设数量的统一资源定位符URL属于同一个HOST时，将所述预设信息中属于同一个HOST的URL用所述HOST代替；或者，

当所述预设信息中包括预设数量的网络协议IP地址属于同一网关时，将所述预设信息中属于同一个网关的IP地址用所述网关地址代替；

相应地，所述匹配单元，还配置为：

将所述终端交互对象的URL与所述预设信息中的HOST进行匹配；或者，

将所述终端交互对象的IP地址与所述预设信息中的网关地址进行匹配。

本发明实施例还提供了一种存储介质，所述存储介质中存储有计算机程序，所述计算机程序配置为执行前述的检测终端数据交互的安全性的方法。

本发明实施例提供的终端及检测终端数据交互的安全性的方法；通过对安全名单和非安全名单进行配置，使得终端在数据交互的过程中，避免与非安全名单中的网页或网站进行数据交互，从而提高了终端进行数据交互时的安全性。

附图说明

图1为本发明实施例提供的一种检测终端数据交互的安全性的方法流程示意图；

图2为本发明实施例提供的一种终端的结构示意图；

图3为本发明实施例提供的另一种终端的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述。

参见图1，其示出了本发明实施例提供的一种检测终端数据交互的安全性的方法流程，该方法可以应用于终端中，列举而非限定地，终端可以是具备通信功能的智能移动设备，比如，智能手机、平板电脑、掌上电脑、膝上型便携计算机、可穿戴的电子设备等等；该方法可以包括：

S101：当终端进行数据交互时，所述终端将所述终端交互对象的网络标识与所述终端自身保存的预设信息进行匹配；

示例性地，所述预设信息可以包括白名单和黑名单，其中，所述白名单中可以包括受信任的、安全的网络标识；所述黑名单中可以包括不受信任的、危险的网络标识；而网络标识具体又可以包括网页或网站的统一资源定位符(URL，Uniform Resource Locator)、IP地址等。

可以理解地，所述终端交互对象可以是与所述终端进行交互的网元设备，例如服务器、网关、另一个终端等，而且，所述终端将所述终端交互对象的网络标识与所述终端自身保存的预设信息进行匹配，也就是所述终端将所述终端交互对象的网络标识分别与终端中保存的白名单和黑名单进行匹配。

需要说明的是，所述终端将所述终端交互对象的网络标识与所述终端自身保存的预设信息进行匹配之后，获取的匹配结果可以分为：所述终端交互对象的网络标识在所述预设信息中、所述终端交互对象的网络标识不在所述预设信息中这两种；

而所述终端将所述终端交互对象的网络标识分别与终端中保存的白名单和黑名单进行匹配之后，可以获取以下三个匹配结果：

A、所述终端交互对象的网络标识在所述白名单中；

B、所述终端交互对象的网络标识在所述黑名单中；

C、所述终端交互对象的网络标识既不在所述白名单中，又不在所述黑名单中。

可以理解地，匹配结果A和B可以认为是所述终端交互对象的网络标识在所述预设信息中，而匹配结果C则可以认为是所述终端交互对象的网络标识不在所述预设信息中。

优选地，以上A、B、C三个匹配结果的具体获取过程可以是：

首先，所述终端将所述终端交互对象的网络标识与所述白名单进行匹配；可以获取的匹配结果为：所述终端交互对象的网络标识在所述白名单中，或所述终端交互对象的网络标识不在所述白名单中；

然后，当所述终端交互对象的网络标识不在所述白名单中时，所述终端将所述终端交互对象的网络标识与所述黑名单进行匹配；可以获取的匹配结果为：所述终端交互对象的网络标识在所述黑名单中，或所述终端交互对象的网络标识既不在所述白名单中，也不在所述黑名单中；

值得注意的是，当所述终端交互对象的网络标识不在所述预设信息中，也就是所述终端获取到匹配结果C时，终端还必须对所述终端交互对象的网络标识进行识别，如步骤S102所述；

S102：当所述终端交互对象的网络标识不在所述预设信息中时，所述终端按照预设的识别策略识别所述终端交互对象的网络标识；

示例性地，所述终端按照预设的识别策略识别所述终端交互对象的网络标识，可以包括以下至少一项：

所述终端识别所述终端交互对象的连接稳定性、所述终端识别所述终端交互对象的交互数据量异常、所述终端识别所述终端交互对象恶意扫描所述终端端口、所述终端识别所述终端交互对象向所述终端发起地址解析协议(ARP，Address Resolution Protocol)攻击和所述终端识别所述终端交互对象向所述终端发送大尺寸ping包。

可以理解地，除了上述的五项以外，所述终端还可以根据自身的实际应用情景添加或删减用于识别所述终端交互对象的网络标识的识别项，本发明实施例对此不作具体限定。

具体地，所述终端识别所述终端交互对象的连接稳定性，可以包括：

所述终端根据自身已经接收到的数据包的大小，得到所述终端已经接受的数据长度，并与所述完整数据长度进行比较；

当所述终端已经接受的数据长度小于所述完整数据长度时，所述终端统计在预设的第一时间阈值内，接收所述终端交互对象发送的终止连接数据包的个数；

具体地，所述终端识别所述终端交互对象的交互数据量异常，可以包括：

所述终端记录向所述终端交互对象发起传输控制协议(TCP，Transmission Control Protocol)连接请求，并记录所述终端与所述终端交互对象的第一连接时间段；

具体地，所述终端识别所述终端交互对象恶意扫描所述终端端口，可以包括：

具体地，所述终端识别所述终端交互对象向所述终端发起ARP攻击，可以包括：

具体地，所述终端识别所述终端交互对象向所述终端发送大尺寸ping包，可以包括：

所述终端在接收到所述终端交互对象发送的因特网控制报文协议(ICMP，Internet Control Message Protocol)数据包，且确认所述ICMP数据包为所述终端交互对象发送的ping请求数据包后，解析所述ICMP数据包，获取所述ICMP数据包的数据长度；

由上述可知，识别结果可以包括：

所述终端交互对象的网络标识被识别为不受信任的、危险的网络标识和所述终端交互对象的网络标识被识别为受信任的、安全的网络标识这两个结果。

S103：所述终端根据识别结果将所述终端交互对象的网络标识更新至所述预设信息；

具体地，所述终端根据识别结果将所述终端交互对象的网络标识更新至所述预设信息可以包括：

当所述终端交互对象的网络标识被识别为不受信任的、危险的网络标识时，所述终端将所述终端交互对象的网络标识添加到所述黑名单中；以及，

以上S101至S103的过程可以使得当所述终端交互对象的网络标识不在预设信息中时，如何将所述终端交互对象的网络标识更新到预设信息中，从而能够在交互过程中实现对预设信息的更新。

此外，当通过步骤S101得到所述终端交互对象的网络标识在所述预设信息中，也就是所述终端获取到匹配结果A或匹配结果B之后，所述终端可以根据匹配结果A或匹配结果B分别对数据交互进行相应的控制操作，具体的控制操作可以包括：

优选地，当所述终端交互对象的网络标识在所述白名单中时，所述方法还可以包括：

在所述终端与所述终端交互对象进行数据交互的过程中，所述终端还可以根据所述预设的识别策略识别所述终端交互对象的网络标识；

当所述终端交互对象的网络标识被识别为不受信任的、危险的网络标识时，所述终端将所述终端交互对象的网络标识添加到所述黑名单中，并将所述终端交互对象的网络标识从所述白名单中进行删除；

可以理解地，当所述终端交互对象的网络标识被识别为受信任的、安全的网络标识时，所述终端继续保持所述终端交互对象的网络标识在所述白名单中的状态。

需要说明的是，由于网络标识具体可以包括网页或网站的统一资源定位符(URL，Uniform Resource Locator)和IP地址，所述方法还可以包括：

当所述预设信息中包括预设数量的URL属于同一个HOST时，所述终端将所述预设信息中属于同一个HOST的URL用所述HOST代替；

当所述预设信息中包括预设数量的IP地址属于同一网关时，所述终端将所述预设信息中属于同一个网关的IP地址用所述网关地址代替。

相应地，所述终端将所述终端交互对象的网络标识与自身保存的预设信息进行匹配，可以包括：

本发明实施例提供了一种检测终端数据交互的安全性的方法；通过对安全名单和非安全名单进行配置，使得终端在数据交互的过程中，避免与非安全名单中的网页或网站进行数据交互，从而提高了终端进行数据交互时的安全性。

参见图2，其示出了本发明实施例提供的一种终端20的结构，该终端20可以包括：匹配单元201、识别单元202和更新单元203，其中，

所述匹配单元201，配置为当所述终端20进行数据交互时，将所述终端交互对象的网络标识与所述终端20保存的预设信息进行匹配；

所述识别单元202，配置为当所述终端交互对象的网络标识不在所述预设信息中时，按照预设的识别策略识别所述终端交互对象的网络标识；

所述更新单元203，配置为根据所述识别单元202的识别结果将所述终端交互对象的网络标识更新至所述预设信息。

示例性地，所述预设信息包括白名单和黑名单，其中，所述白名单中可以包括受信任的、安全的网络标识；所述黑名单中可以包括不受信任的、危险的网络标识；而网络标识具体又可以包括网页或网站的URL、IP地址等。

示例性地，所述白名单中可以包括受信任的、安全的网络标识；所述黑名单中可以包括不受信任的、危险的网络标识；而网络标识具体又可以包括网页或网站的URL、IP地址等。

可以理解地，所述终端交互对象可以是与所述终端20进行交互的网元设备，例如服务器、网关、另一个终端等，而且匹配单元201将所述终端交互对象的网络标识与所述终端20自身保存的预设信息进行匹配，也就是将所述终端交互对象的网络标识分别与终端20中保存的白名单和黑名单进行匹配。

需要说明的是，匹配单元201将所述终端交互对象的网络标识与终端20自身保存的预设信息进行匹配之后，获取的匹配结果可以分为：所述终端交互对象的网络标识在所述预设信息中、所述终端交互对象的网络标识不在所述预设信息中这两种；

而匹配单元201将所述终端交互对象的网络标识分别与终端20中保存的白名单和黑名单进行匹配之后，可以获取以下三个匹配结果：

A、所述终端交互对象的网络标识在所述白名单中；

B、所述终端交互对象的网络标识在所述黑名单中；

优选地，以上A、B、C三个匹配结果的具体获取过程可以是：

首先，匹配单元201将所述终端交互对象的网络标识与所述白名单进行匹配；匹配单元201可以获取的匹配结果为：所述终端交互对象的网络标识在所述白名单中，或所述终端交互对象的网络标识不在所述白名单中；

然后，当所述终端交互对象的网络标识不在所述白名单中时，匹配单元201将所述终端交互对象的网络标识与所述黑名单进行匹配；匹配单元201可以获取的匹配结果为：所述终端交互对象的网络标识在所述黑名单中，或所述终端交互对象的网络标识既不在所述白名单中，也不在所述黑名单中；

值得注意的是，当所述终端交互对象的网络标识不在所述预设信息中，也就是匹配单元201获取到匹配结果C时，所述识别单元202，可以用于识别以下至少一项：识别所述终端交互对象的连接稳定性、识别所述终端交互对象的交互数据量异常、识别所述终端交互对象恶意扫描所述终端端口、识别所述终端交互对象向所述终端发起ARP攻击和识别所述终端交互对象向所述终端发送大尺寸ping包。

可以理解地，除了上述的五项以外，识别单元202还可以根据终端20的实际应用情景添加或删减用于识别所述终端交互对象的网络标识的识别项，本发明实施例对此不作具体限定。

可选地，识别单元202，可以配置为：

由上述可知，识别单元202进行识别的结果可以包括：所述终端交互对象的网络标识被识别为不受信任的、危险的网络标识和所述终端交互对象的网络标识被识别为受信任的、安全的网络标识这两个结果。

示例性地，更新单元203，配置为当所述终端交互对象的网络标识被识别单元202识别为不受信任的、危险的网络标识时，将所述终端交互对象的网络标识添加到所述黑名单中；以及

当当所述终端交互对象的网络标识被识别单元202识别为受信任的、安全的网络标识时，将所述终端交互对象的网络标识添加到所述白名单中。

示例性地，参见图3，终端20还可以包括：交互控制单元204，配置为当所述终端交互对象的网络标识在所述黑名单中时，终止与所述终端交互对象的数据交互；以及

优选地，当所述终端交互对象的网络标识在所述白名单中时，识别单元还可以配置为在所述终端20与所述终端交互对象进行数据交互的过程中，根据所述预设的识别策略识别所述终端交互对象的网络标识；

更新单元203，还可以配置为当所述终端交互对象的网络标识被识别为不受信任的、危险的网络标识时，将所述终端交互对象的网络标识添加到所述黑名单中，并将所述终端交互对象的网络标识从所述白名单中进行删除。

需要说明的是，由于网络标识具体可以包括网页或网站的URL和IP地址，参见图3，所述终端20还包括替换单元205，配置为：

当所述预设信息中包括预设数量的统一资源定位符URL属于同一个HOST时，将所述预设信息中属于同一个HOST的URL用所述HOST代替；或者，

相应地，匹配单元201，还可以配置为：

将所述终端交互对象的URL与所述预设信息中的HOST进行匹配；

或者，将所述终端交互对象的IP地址与所述预设信息中的网关地址进行匹配。

本发明实施例还记载了一种终端20；通过对安全名单和非安全名单进行配置，使得终端在数据交互的过程中，避免与非安全名单中的网页或网站进行数据交互，从而提高了终端进行数据交互时的安全性。

本发明实施例还记载了一种存储介质，所述存储介质中存储有计算机程序，所述计算机程序配置为执行前述各实施例的检测终端数据交互的安全性的方法。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用硬件实施例、软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

以上所述，仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。

工业实用性

本发明通过对安全名单和非安全名单进行配置，使得终端在数据交互的过程中，避免与非安全名单中的网页或网站进行数据交互，从而提高了终端进行数据交互时的安全性。

Claims

一种检测终端数据交互的安全性的方法，包括：

当终端进行数据交互时，所述终端将所述终端交互对象的网络标识与自身保存的预设信息进行匹配；

当所述终端交互对象的网络标识不在所述预设信息中时，所述终端按照预设的识别策略识别所述终端交互对象的网络标识；

所述终端根据识别结果将所述终端交互对象的网络标识更新至所述预设信息。
根据权利要求1所述的方法，其特征在于，所述预设信息包括白名单和黑名单，其中，所述白名单包括受信任的、安全的网络标识；所述黑名单包括不受信任的、危险的网络标识；

所述终端交互对象的网络标识包括所述终端交互对象的统一资源定位符URL或IP地址。
根据权利要求2所述的方法，其特征在于，当所述终端交互对象的网络标识不在所述预设信息中时，所述终端按照预设的识别策略识别所述终端交互对象的网络标识，包括：

当所述终端交互对象的网络标识既不在所述白名单中，又不在所述黑名单中时，所述终端按照预设的识别策略识别所述终端交互对象的网络标识；

相应地，所述终端根据识别结果将所述终端交互对象的网络标识更新至所述预设信息，包括：

当所述终端交互对象的网络标识被识别为不受信任的、危险的网络标识时，所述终端将所述终端交互对象的网络标识添加到所述黑名单中；

当所述终端交互对象的网络标识被识别为受信任的、安全的网络标识时，所述终端将所述终端交互对象的网络标识添加到所述白名单中。
根据权利要求3所述的方法，其特征在于，所述终端按照预设的识别策略识别所述终端交互对象的网络标识，可以包括以下至少一项：

所述终端识别所述终端交互对象的连接稳定性、所述终端识别所述终端交互对象的交互数据量异常、所述终端识别所述终端交互对象恶意扫描所述终端端口、所述终端识别所述终端交互对象向所述终端发起地址解析协议ARP攻击和所述终端识别所述终端交互对象向所述终端发送大尺寸ping包。
根据权利要求4所述的方法，其特征在于，所述终端识别所述终端交互对象的连接稳定性，包括：

所述终端通过分析所述终端交互对象发送的数据包的应用层数据得到所述终端交互对象发送的完整数据长度；

所述终端根据自身已接收到的数据包的大小，得到所述终端已经接受的数据长度，并与所述完整数据长度进行比较；

当所述终端已接受的数据长度小于所述完整数据长度时，所述终端统计在预设的第一时间阈值内，接收所述终端交互对象发送的终止连接数据包的个数；

当所述终止连接数据包的个数超过预设的第一数量阈值时，所述终端确认所述终端交互对象是不稳定的，并识别所述终端交互对象的网络标识为不受信任的、危险的网络标识；

当所述终止连接数据包的个数没有超过预设的第一数量阈值时，所述终端确认所述终端交互对象是稳定的，并识别所述终端交互对象的网络标识为受信任的、安全的网络标识。
根据权利要求4所述的方法，其特征在于，所述终端识别所述终端交互对象的交互数据量异常，包括：

所述终端记录向所述终端交互对象发起传输控制协议TCP连接请求，并记录所述终端与所述终端交互对象的第一连接时间段；

所述终端统计所述第一时间段内从所述终端交互对象接收到的第一数据长度；

在预设的时间间隔之后，所述终端第二次向所述终端交互对象发起TCP连接请求，并在所述第一连接时间段内统计从所述终端交互对象接收到的第二数据长度；

当所述第一数据长度与所述第二数据长度的总和超过预设的第一数据长度阈值时，所述终端确认所述终端交互对象的交互数据量异常，并识别所述终端交互对象的网络标识为不受信任的、危险的网络标识；

当所述第一数据长度与所述第二数据长度的总和没有超过预设的第一数据长度阈值时，所述终端确认所述终端交互对象的交互数据量无异常，并识别所述终端交互对象的网络标识为受信任的、安全的网络标识。
根据权利要求4所述的方法，其特征在于，所述终端识别所述终端交互对象恶意扫描所述终端端口，包括：

所述终端接收所述终端交互对象发送的数据包后，对所述数据包的TCP头进行解析；

当所述数据包的TCP头的标志位为SYN，且所述数据包的TCP头没有ACK信息，所述终端确认所述终端交互对象恶意扫描所述终端端口，并识别所述终端交互对象的网络标识为不受信任的、危险的网络标识；

否则，所述终端确认所述终端交互对象未恶意扫描所述终端端口，并识别所述终端交互对象的网络标识为受信任的、安全的网络标识。
根据权利要求4所述的方法，其特征在于，所述终端识别所述终端交互对象向所述终端发起ARP攻击，包括：

在预设的第二时间段内，当所述终端接收所述终端交互对象发送的ARP请求报文的个数超过预设的第二数量阈值时，所述终端确认所述终端交互对象向所述终端发起ARP攻击，并识别所述终端交互对象的网络标识为不受信任的、危险的网络标识；

在预设的第二时间段内，当所述终端接收所述终端交互对象发送的ARP请求报文的个数没有超过预设的第二数量阈值时，所述终端确认所述终端交互对象未向所述终端发起ARP攻击，并识别所述终端交互对象的网络标识为受信任的、安全的网络标识。
根据权利要求4所述的方法，其特征在于，所述终端识别所述终端交互对象向所述终端发送大尺寸ping包，包括：

所述终端在接收到所述终端交互对象发送的因特网控制报文协议ICMP数据包，且确认所述ICMP数据包为所述终端交互对象发送的ping请求数据包后，解析所述ICMP数据包，获取所述ICMP数据包的数据长度；

当所述ICMP数据包的数据长度超过预设的第二数据长度阈值时，所述终端确定所述终端交互对象向所述终端发送大尺寸ping包，并识别所述终端交互对象的网络标识为不受信任的、危险的网络标识；

当所述ICMP数据包的数据长度没有超过预设的第二数据长度阈值时，所述终端确定所述终端交互对象未向所述终端发送大尺寸ping包，并识别所述终端交互对象的网络标识为受信任的、安全的网络标识。
根据权利要求2所述的方法，其特征在于，所述方法还包括：

当所述终端交互对象的网络标识在所述黑名单中时，所述终端终止与所述终端交互对象的数据交互；

当所述终端交互对象的网络标识在所述白名单中时，所述终端允许与所述终端交互对象进行数据交互。
根据权利要求10所述的方法，其特征在于，当所述终端交互对象的网络标识在所述白名单中时，所述方法还包括：

在所述终端与所述终端交互对象进行数据交互的过程中，所述终端根据所述预设的识别策略识别所述终端交互对象的网络标识；

当所述终端交互对象的网络标识被识别为不受信任的、危险的网络标识时，所述终端将所述终端交互对象的网络标识添加到所述黑名单中，并将所述终端交互对象的网络标识从所述白名单中进行删除。
根据权利要求1所述的方法，其特征在于，所述方法还包括：

当所述预设信息中包括预设数量的统一资源定位符URL属于同一个HOST时，所述终端将所述预设信息中属于同一个HOST的URL用所述HOST代替；或者，

当所述预设信息中包括预设数量的网络协议IP地址属于同一网关时，所述终端将所述预设信息中属于同一个网关的IP地址用所述网关地址代替；

相应地，所述终端将所述终端交互对象的网络标识与自身保存的预设信息进行匹配，包括：

所述终端将所述终端交互对象的URL与所述预设信息中的HOST进行匹配；

或者，所述终端将所述终端交互对象的IP地址与所述预设信息中的网关地址进行匹配。
一种终端，包括：匹配单元、识别单元和更新单元，其中，

所述匹配单元，配置为当所述终端进行数据交互时，将所述终端交互对象的网络标识与所述终端保存的预设信息进行匹配；

所述识别单元，配置为当所述终端交互对象的网络标识不在所述预设信息中时，按照预设的识别策略识别所述终端交互对象的网络标识；

所述更新单元，配置为根据所述识别单元的识别结果将所述终端交互对象的网络标识更新至所述预设信息。
根据权利要求13所述的终端，其特征在于，所述预设信息包括白名单和黑名单，其中，所述白名单包括受信任的、安全的网络标识；所述黑名单包括不受信任的、危险的网络标识；

所述终端交互对象的网络标识包括所述终端交互对象的统一资源定位符URL或IP地址。
根据权利要求14所述的终端，其特征在于，所述更新单元，配置为：

当所述终端交互对象的网络标识被识别为不受信任的、危险的网络标识时，将所述终端交互对象的网络标识添加到所述黑名单中；以及

当所述终端交互对象的网络标识被识别为受信任的、安全的网络标识时，将所述终端交互对象的网络标识添加到所述白名单中。
根据权利要求15所述的终端，其特征在于，所述识别单元，配置为识别所述终端交互对象的连接稳定性、识别所述终端交互对象的交互数据量异常、识别所述终端交互对象恶意扫描所述终端端口、识别所述终端交互对象向所述终端发起地址解析协议ARP攻击和识别所述终端交互对象向所述终端发送大尺寸ping包。
根据权利要求16所述的终端，其特征在于，所述识别单元，配置为：

通过分析所述终端交互对象发送的数据包的应用层数据得到所述终端交互对象发送的完整数据长度；以及，

根据所述终端已接收到的数据包的大小，得到所述终端已接受的数据长度，并与所述完整数据长度进行比较；以及，

当所述终端已接受的数据长度小于所述完整数据长度时，统计在预设的第一时间阈值内，接收所述终端交互对象发送的终止连接数据包的个数；以及

当所述终止连接数据包的个数超过预设的第一数量阈值时，确认所述终端交互对象是不稳定的，并识别所述终端交互对象的网络标识为不受信任的、危险的网络标识；以及，

当所述终止连接数据包的个数没有超过预设的第一数量阈值时，确认所述终端交互对象是稳定的，并识别所述终端交互对象的网络标识为受信任的、安全的网络标识。
根据权利要求16所述的终端，其特征在于，所述识别单元，配置为：

记录向所述终端交互对象发起传输控制协议TCP连接请求，并记录所述终端与所述终端交互对象的第一连接时间段；以及，

统计所述第一时间段内从所述终端交互对象接收到的第一数据长度；以及，

在预设的时间间隔之后，第二次向所述终端交互对象发起TCP连接请求，并在所述第一连接时间段内统计从所述终端交互对象接收到的第二数据长度；以及，

当所述第一数据长度与所述第二数据长度的总和超过预设的第一数据长度阈值时，确认所述终端交互对象的交互数据量异常，并识别所述终端交互对象的网络标识为不受信任的、危险的网络标识；以及，

当所述第一数据长度与所述第二数据长度的总和没有超过预设的第一数据长度阈值时，确认所述终端交互对象的交互数据量无异常，并识别所述终端交互对象的网络标识为受信任的、安全的网络标识。
根据权利要求16所述的终端，其特征在于，所述识别单元，配置为：

接收所述终端交互对象发送的数据包后，对所述数据包的TCP头进行解析；以及，

当所述数据包的TCP头的标志位为SYN，且所述数据包的TCP头没有ACK信息，确认所述终端交互对象恶意扫描所述终端端口，并识别所述终端交互对象的网络标识为不受信任的、危险的网络标识；以及，

否则，确认所述终端交互对象未恶意扫描所述终端端口，并识别所述终端交互对象的网络标识为受信任的、安全的网络标识。
根据权利要求16所述的终端，其特征在于，所述识别单元，配置为：

在预设的第二时间段内，当接收所述终端交互对象发送的ARP请求报文的个数超过预设的第二数量阈值时，确认所述终端交互对象向所述终端发起ARP攻击，并识别所述终端交互对象的网络标识为不受信任的、危险的网络标识；以及，

在预设的第二时间段内，当接收所述终端交互对象发送的ARP请求报文的个数没有超过预设的第二数量阈值时，确认所述终端交互对象未向所述终端发起ARP攻击，并识别所述终端交互对象的网络标识为受信任的、安全的网络标识。
根据权利要求16所述终端，其特征在于，所述识别单元，配置为：

在接收到所述终端交互对象发送的ICMP数据包，且确认所述ICMP数据包为所述终端交互对象发送的ping请求数据包后，解析所述ICMP数据包，获取所述ICMP数据包的数据长度；以及，

当所述ICMP数据包的数据长度超过预设的第二数据长度阈值时，确定所述终端交互对象向所述终端发送大尺寸ping包，并识别所述终端交互对象的网络标识为不受信任的、危险的网络标识；以及，

当所述ICMP数据包的数据长度没有超过预设的第二数据长度阈值时，确定所述终端交互对象未向所述终端发送大尺寸ping包，并识别所述终端交互对象的网络标识为受信任的、安全的网络标识。
根据权利要求14所述的终端，其特征在于，所述终端还包括：交互控制单元，配置为当所述终端交互对象的网络标识在所述黑名单中时，终止与所述终端交互对象的数据交互；以及

当所述终端交互对象的网络标识在所述白名单中时，允许与所述终端交互对象进行数据交互。
根据权利要求22所述的终端，其特征在于，所述识别单元，还配置为当所述终端交互对象的网络标识在所述白名单中，且在所述终端与所述终端交互对象进行数据交互的过程中，根据所述预设的识别策略识别所述终端交互对象的网络标识；

所述更新单元，还配置为当所述终端交互对象的网络标识被识别为不受信任的、危险的网络标识时，将所述终端交互对象的网络标识添加到所述黑名单中，并将所述终端交互对象的网络标识从所述白名单中进行删除。
根据权利要求13所述的终端，其特征在于，所述终端还包括替换单元，配置为当所述预设信息中包括预设数量的统一资源定位符URL属于同一个HOST时，将所述预设信息中属于同一个HOST的URL用所述HOST代替；或者，

当所述预设信息中包括预设数量的网络协议IP地址属于同一网关时，将所述预设信息中属于同一个网关的IP地址用所述网关地址代替；

相应地，所述匹配单元，还配置为：

将所述终端交互对象的URL与所述预设信息中的HOST进行匹配；或者，

将所述终端交互对象的IP地址与所述预设信息中的网关地址进行匹配。
一种存储介质，所述存储介质中存储有计算机程序，所述计算机程序配置为执行权利要求1至12任一项所述的检测终端数据交互的安全性的方法。