[发明专利]网络访问行为的防护方法和装置

权利要求书

1.一种网络访问行为的防护方法，包括：

驱动层截获程序发起的网络访问请求的数据包，解析所述数据包，获取所述数据包中的至少一种域信息，然后将所述数据包及其至少一种域信息发送到应用层；

应用层查询本地数据库中是否保存有所述至少一种域信息中的任一种，若是，则在所述至少一种域信息中的任一种属于本地数据库的黑名单的情况下，阻止所述程序的网络访问请求；在所述至少一种域信息都不属于本地数据库的黑名单但所述至少一种域信息中的任一种属于本地数据库的白名单的情况下，放行所述程序的网络访问请求。

2.根据权利要求1所述的方法，还包括：

若应用层查询到所述本地数据库没有保存所述至少一种域信息中的任一种，表明所述程序为未知程序，放行所述程序的网络访问请求。

3.根据权利要求1所述的方法，还包括：

若应用层查询到本地数据库中没有保存所述至少一种域信息中的任一种，则将所述至少一种域信息发送到网络侧设备，接收网络侧设备查询云端数据库中是否保存有所述至少一种域信息中的任一种的查询结果；

若所述查询结果表明所述云端数据库保存有所述至少一种域信息中的任一种且属于黑名单，则阻止所述程序的网络访问请求；或者，若所述查询结果表明所述云端数据库保存有所述至少一种域信息中的任一种不属于黑名单而属于白名单，则放行所述程序的网络访问请求。

4.根据权利要求3所述的方法，还包括：

若应用层查询到所述本地数据库和所述云端数据库都没有保存所述至少一种域信息中的任一种，表明所述程序为未知程序，放行所述程序的网络访问请求。

5.根据权利要求2或4所述的方法，所述驱动层截获程序发起的网络访问请求的数据包的步骤包括：驱动层截获程序发起的HTTP访问请求的数据包；所述至少一种域信息包括域名；

所述方法还包括：驱动层获取HTTP访问请求的IP地址和端口。

6.根据权利要求5所述的方法，还包括：应用层进一步解析数据包，获取以下信息的一种或多种作为至少一种域信息中的一部分：网址、代理程序标识和父页面信息。

7.根据权利要求5或6所述的方法，在所述将所述数据包及其至少一种域信息发送到应用层的步骤之前还包括：

判断在驱动层内存中是否记录有与本次所述程序的HTTP访问请求具有相同IP地址和端口以及域名的上一次所述程序的处理状态信息；

若否，则执行所述将所述数据包及其至少一种域信息发送到应用层的步骤；

若是，则在上一次所述程序的处理状态信息为上一次所述程序的HTTP访问请求的至少一种域信息中的任一种属于黑名单的情况下，阻止所述程序的网络访问请求；在上一次所述程序的处理状态信息为上一次所述程序的HTTP访问请求的至少一种域信息中的任一种属于白名单的情况下，放行所述程序的网络访问请求；在上一次所述程序的处理状态信息为上一次所述程序为未知程序的情况下，执行所述将所述数据包及其至少一种域信息发送到应用层的步骤。

8.根据权利要求5或6所述的方法，在所述将所述数据包及其至少一种域信息发送到应用层的步骤之前还包括：

判断在驱动层内存中是否记录有与本次所述程序的HTTP访问请求具有相同IP地址和端口以及域名的上一次所述程序的处理状态信息；

若否，则执行所述将所述数据包及其至少一种域信息发送到应用层的步骤；

若是，则在上一次所述程序的处理状态信息为上一次所述程序的HTTP访问请求的至少一种域信息中的任一种属于黑名单的情况下，阻止所述程序的网络访问请求；在上一次所述程序的处理状态信息为上一次所述程序的HTTP访问请求的至少一种域信息中的任一种属于白名单的情况下，放行所述程序的网络访问请求；在上一次所述程序的处理状态信息为上一次所述程序为未知程序的情况下，判断所述程序被确认为未知程序的累计次数是否大于或等于预设值，若是，则放行所述程序的网络访问请求，否则，执行所述将所述数据包及其至少一种域信息发送到应用层的步骤。