网络访问的控制方法、装置、计算机可读介质及电子设备与流程

1.本技术属于互联网及计算机技术领域，具体涉及一种网络访问的控制方法、装置、计算机可读介质及电子设备。


背景技术：

2.随着互联网技术的发展，网络访问的安全性越来越受重视。目前对于网络访问的管控通常由网关来实施，当网络请求或流量到达网关时，由网关判断网络请求或流量是否具备安全性。若网关判断网络请求或流量是安全的，则将网络请求或流量转发至对应的目标地址；若判断网络请求或流量不符合转发要求，相当于网络请求或流量不具备安全性，则网关不将网络请求或流量发送至对应的目标地址。然而，网关通常不会对所有接收的网络请求进行检测，而只是针对特定的网络请求进行检测，这就导致网关管控的管控范围具有一定限制。
3.需要说明的是，在上述背景技术部分公开的信息仅用于加强对本技术的背景的理解，因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。


技术实现要素：

4.本技术的目的在于提供一种网络访问的控制方法、装置、计算机可读介质及电子设备，以解决相关技术中通过网关管控网络访问时管控范围有限的问题。
5.本技术的其他特性和优点将通过下面的详细描述变得显然，或部分地通过本技术的实践而习得。
6.根据本技术实施例的一个方面，提供一种网络访问的控制方法，包括：
7.获取对访问站点的业务访问请求，并确定所述业务访问请求对应的访问进程的进程标识；
8.根据所述访问进程的进程标识在进程特征缓存中查找，获得所述访问进程对应的进程特征；所述进程特征缓存用于存储多个进程的进程标识以及与各进程标识关联的进程特征；
9.根据所述访问进程的进程特征在阻断进程缓存中匹配，以确定所述访问进程是否为阻断进程；所述阻断进程缓存用于存储符合第一预设访问条件的进程对应的进程特征；所述第一预设访问条件包括所述访问站点为公网站点时的管控方式；
10.若所述访问进程不是阻断进程，则根据第二预设访问条件确定所述业务访问请求对所述访问站点的访问方式；所述第二预设访问条件包括所述访问站点为内网站点时的管控方式。
11.根据本技术实施例的一个方面，提供一种网络访问的控制装置，包括：
12.访问请求获取模块，用于获取对访问站点的业务访问请求，并确定所述业务访问请求对应的访问进程的进程标识；
13.进程特征获取模块，用于根据所述访问进程的进程标识在进程特征缓存中查找，
获得所述访问进程对应的进程特征；所述进程特征缓存用于存储多个进程的进程标识以及与各进程标识关联的进程特征；
14.进程特征匹配模块，用于根据所述访问进程的进程特征在阻断进程缓存中匹配，以确定所述访问进程是否为阻断进程；所述阻断进程缓存用于存储符合第一预设访问条件的进程对应的进程特征；所述第一预设访问条件包括所述访问站点为公网站点时的管控方式；
15.访问方式确定模块，用于若所述访问进程不是阻断进程，则根据第二预设访问条件确定所述业务访问请求对所述访问站点的访问方式；所述第二预设访问条件包括所述访问站点为内网站点时的管控方式。
16.在本技术的一个实施例中，所述装置还包括：进程特征缓存构建模块，用于获取多个第一进程的进程标识以及各第一进程对应的进程特征；所述第一进程是指发起所述业务访问请求的终端设备中的已创建且未退出的进程；基于双向链表的形式存储各进程标识以及各第一进程对应的进程特征，形成所述进程特征缓存。
17.在本技术的一个实施例中，所述进程特征缓存构建模块具体用于：当所述终端设备的核心层检测到有进程创建时，将当前创建的进程作为第一进程，并获取所述第一进程的进程标识；根据所述第一进程的进程标识，以及所述终端设备的应用层所加载的本地缓存进程特征，获取所述第一进程对应的进程特征。
18.在本技术的一个实施例中，所述进程特征缓存构建模块进一步用于：根据所述第一进程的进程标识确定所述第一进程的关键特征；根据所述第一进程的关键特征在所述本地缓存进程特征中查找，以确定所述本地缓存进程特征中是否存在所述第一进程的进程特征；若所述本地缓存进程特征中存在与所述第一进程的关键特征相同的缓存特征，则将所述本地缓存进程特征中所述缓存特征对应的进程特征作为所述第一进程的进程特征；若所述本地缓存进程特征中不存在与所述第一进程的关键特征相同的缓存特征，则通过所述应用层获取所述第一进程对应的进程特征。
19.在本技术的一个实施例中，所述第一预设访问条件包括进程阻断规则；所述装置还包括：
20.阻断进程缓存构建模块，用于获取第二进程的进程标识和进程特征，所述第二进程为发起所述业务访问请求的终端设备中已创建的进程；若所述第二进程的进程特征符合所述进程阻断规则，则基于双向链表的形式存储所述第二进程的进程标识和进程特征，形成所述阻断进程缓存。
21.在本技术的一个实施例中，所述第二预设访问条件包括直连访问条件、代理访问条件和强制认证访问条件；访问方式确定模块包括：
22.直连访问单元，用于若所述业务访问请求符合直连访问条件，则通过代理客户端将所述业务访问请求发送至所述访问站点；
23.代理访问单元，用于若所述业务访问请求符合代理访问条件，则通过网关将所述业务访问请求发送至所述访问站点；
24.强制认证访问单元，用于若所述业务访问请求符合强制认证访问条件，则对所述访问站点进程安全校验后，通过网关将所述业务访问请求发送至所述访问站点。
25.在本技术的一个实施例中，所述代理访问单元具体用于：通过代理客户端向发起
所述业务访问请求的客户端发起针对所述业务访问请求的凭证获取请求，以使所述客户端基于所述凭证获取请求返回从对应服务端获取的访问凭证；通过所述代理客户端将所述访问凭证和所述业务访问请求转发至所述网关，以使所述网关在成功校验所述访问凭证时，将所述业务访问请求发送至所述访问站点。
26.根据本技术实施例的一个方面，提供一种计算机可读介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如以上技术方案中的网络访问的控制方法。
27.根据本技术实施例的一个方面，提供一种电子设备，该电子设备包括：处理器；以及存储器，用于存储所述处理器的可执行指令；其中，所述处理器被配置为经由执行所述可执行指令来执行如以上技术方案中的网络访问的控制方法。
28.根据本技术实施例的一个方面，提供一种计算机程序产品或计算机程序，该计算机程序产品或计算机程序包括计算机指令，该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令，处理器执行该计算机指令，使得该计算机设备执行如以上技术方案中的网络访问的控制方法。
29.在本技术实施例提供的技术方案中，通过根据业务访问请求对应访问进程的进程标识在进程特征缓存中查找来获取进程特征，由于进程特征缓存中的进程特征已经预先计算，无需实时计算访问进程的进程特征，提高了访问进程的进程特征的获取效率。通过根据进程特征在阻断进程缓存中匹配，来确定访问进程是否为符合第一预设访问条件的阻断进程，可以快速确定访问进程是否为阻断进程，提高了阻断进程的过滤效率，当需要处理的访问进程较多(即网络流量较大)时，可以有效降低访问时延。最后通过第二预设访问条件进一步对业务访问请求进行判断，使得对公网访问的管控和对内网访问的管控进行了统一，增加了网络访问管控的便利性。
30.应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本技术。
附图说明
31.此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本技术的实施例，并与说明书一起用于解释本技术的原理。显而易见地，下面描述中的附图仅仅是本技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
32.图1示意性地示出了应用本技术技术方案的示例性系统架构框图。
33.图2示意性地示出了本技术实施例提供的网络访问的控制方法的流程图。
34.图3a示意性地示出了本技术实施例提供的访问站点阻断规则的设置方式示意图。
35.图3b示意性地示出了本技术实施例提供的进程阻断规则的设置方式示意图。
36.图3c示意性地示出了本技术实施例提供的进程阻断规则的设置详情页示意图。
37.图4示意性地示出了应用本技术实施例提供的技术方案的系统架构图。
38.图5a示出了本技术实施例提供的执行零信任访问控制策略的网关配置示意图。
39.图5b示出了本技术实施例提供的可信应用和业务系统(内网站点)的配置示意图。
40.图5c示出了本技术实施例提供的业务系统配置的详情页面图。
41.图5d示出了本技术实施例提供的业务系统与关联网关的配置示意图。
42.图6示意性地示出了本技术实施例提供的网络访问的控制装置的结构框图。
43.图7示意性示出了适于用来实现本技术实施例的电子设备的计算机系统结构框图。
具体实施方式
44.现在将参考附图更全面地描述示例实施方式。然而，示例实施方式能够以多种形式实施，且不应被理解为限于在此阐述的范例；相反，提供这些实施方式使得本技术将更加全面和完整，并将示例实施方式的构思全面地传达给本领域的技术人员。
45.此外，所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施例中。在下面的描述中，提供许多具体细节从而给出对本技术的实施例的充分理解。然而，本领域技术人员将意识到，可以实践本技术的技术方案而没有特定细节中的一个或更多，或者可以采用其它的方法、组元、装置、步骤等。在其它情况下，不详细示出或描述公知方法、装置、实现或者操作以避免模糊本技术的各方面。
46.附图中所示的方框图仅仅是功能实体，不一定必须与物理上独立的实体相对应。即，可以采用软件形式来实现这些功能实体，或在一个或多个硬件模块或集成电路中实现这些功能实体，或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
47.附图中所示的流程图仅是示例性说明，不是必须包括所有的内容和操作/步骤，也不是必须按所描述的顺序执行。例如，有的操作/步骤还可以分解，而有的操作/步骤可以合并或部分合并，因此实际执行的顺序有可能根据实际情况改变。
48.图1示意性地示出了应用本技术技术方案的示例性系统架构框图。
49.如图1所示，系统架构100可以包括终端设备110、网络120和服务器130。终端设备110可以包括智能手机、平板电脑、笔记本电脑、台式计算机、智能音箱、智能手表、智能语音交互设备、智能家电、车载终端、飞行器等等，但并不局限于此。服务器130可以是独立的物理服务器，也可以是多个物理服务器构成的服务器集群或者分布式系统，还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、cdn、以及大数据和人工智能平台等基础云计算服务的云服务器。网络120可以是能够在终端设备110和服务器130之间提供通信链路的各种连接类型的通信介质，例如可以是有线通信链路或者无线通信链路。
50.根据实现需要，本技术实施例中的系统架构可以具有任意数目的终端设备、网络和服务器。例如，服务器130可以是由多个服务器设备组成的服务器群组。本技术实施例提供的技术方案可以应用于终端设备110，也可以应用于服务器130，或者可以由终端设备110和服务器130共同实施，本技术对此不做特殊限定。
51.举例而言，本技术实施例提供的网络访问的控制方法由终端设备110实施。当检测到有业务访问请求发起时，终端设备110便可获取该业务访问请求，并确定业务访问请求对应的访问进程的进程标识。然后终端设备110根据访问进程的进程标识在进程特征缓存中查找，获得访问进程对应的进程特征；进程特征缓存用于存储多个进程的进程标识以及与各进程标识关联的进程特征。接下来终端设备110根据访问进程的进程特征在阻断进程缓存中匹配，以确定访问进程是否为阻断进程；阻断进程缓存用于存储符合第一预设访问条件的进程对应的进程特征；第一预设访问条件包括访问站点为公网站点时的管控方式。最
后，若访问进程不是阻断进程，终端设备110则根据第二预设访问条件确定业务访问请求对访问站点的访问方式；第二预设访问条件包括访问站点为内网站点时的管控方式。
52.下面结合具体实施方式对本技术提供的网络访问的控制方法做出详细说明。
53.图2示意性地示出了本技术实施例提供的网络访问的控制方法的流程图，本发明实施例可应用于各种场景，包括但不限于云技术、人工智能、智慧交通、辅助驾驶等。如图2所示，该方法包括步骤210至步骤240，具体如下：
54.步骤210、获取对访问站点的业务访问请求，并确定业务访问请求对应的访问进程的进程标识。
55.具体的，访问站点是指在网络访问中被访问的一方，也就是业务访问请求的最终接收方，访问站点可以是企业内网业务资源、数据、开发测试环境、运维环境等等，访问站点也可以称为访问客体。在网络访问中发起访问的一方称为访问主体，可以是由账户、设备、应用程序等单一组成或者组合形成的一种实体。当需要对访问站点进行通信时，访问主体向访问站点发起业务访问请求(业务访问请求也称为流量)。
56.进程(process)是电子设备中的程序关于某数据集合上的一次运行活动，是程序代码的基本执行实体。当发起业务访问请求时，用于执行该业务访问请求的进程就是访问进程。进程标识(process identifier，pid)也称为进程id，其相当于进程的一个代号，每个进程都有一个非负的唯一进程id。
57.在本技术的一个实施例中，业务访问请求包括五元组信息：源ip或域名、源端口、目的ip或域名、目的端口以及访问应用。源ip或域名是指访问主体或访问主体所在设备的ip地址(internet protocol address，互联网协议地址)或域名，源端口是指访问主体或访问主体所在设备执行业务访问请求时所占用的端口。目的ip或域名指访问站点或访问站点所在设备的ip地址(internet protocol address，互联网协议地址)或域名，目的端口指访问站点或访问站点所在设备接收业务访问请求时所占用的端口。访问应用是指发起业务访问请求的应用程序，例如，访问主体为一账户，访问应用是该账户所注册的应用程序客户端，该应用程序客户端可以设于一终端设备中。
58.在本技术的一个实施例中，访问主体所在设备在获取业务访问请求之后，通过业务访问请求中的源端口和访问应用即可确定对应的访问进程，进而获知该访问进程的进程标识。
59.在本技术的一个实施例中，访问主体所在设备部署有代理客户端，该代理客户端用于对访问的安全性进行管控。访问主体通过应用程序客户端(以下简称应用客户端)发起针对访问站点的业务访问请求时，代理客户端获取到该业务访问请求以及业务访问请求对应的访问进程的进程标识，并由代理客户端执行本技术实施例提供的网络访问的控制方法。
60.步骤220、根据访问进程的进程标识在进程特征缓存中查找，获得访问进程对应的进程特征；进程特征缓存用于存储多个进程的进程标识以及与各进程标识关联的进程特征。
61.具体的，进程特征是指与进程相关信息，如进程的描述信息、进程名、进程签名、版本号、版权信息等。进程特征缓存中存储了访问主体所在设备预先记录的进程特征，其包括多个进程的进程标识以及与各进程标识关联的进程特征，为便于后续区分，将进程特征缓
存中的进程标识记为缓存进程标识，将进程特征缓存中的进程特征记为缓存进程特征。根据进程标识在进程特征缓存中查找时，如果进程特征缓存中存在与访问进程的进程标识相同的缓存进程标识，则表明访问进程的进程特征已被预先存储至进程特征缓存中，那么该缓存进程标识对应的缓存进程特征就是访问进程对应的进程特征。
62.在本技术的一个实施例中，进程特征缓存的创建过程包括：获取多个第一进程的进程标识以及各进程对应的进程特征；所述第一进程是指发起所述业务访问请求的终端设备中的已创建且未退出的进程；基于双向链表的形式存储各进程标识以及各第一进程对应的进程特征，形成进程特征缓存。
63.具体而言，进程特征缓存中存储的是发起业务访问请求的终端设备当前所有已创建且未退出进程的进程特征，已创建且未退出是一种进程状态，表示已经创建好的、在执行中或等待执行的进程，那么已退出进程则表示执行完毕或终止执行的进程。将已创建且未退出的进程记为第一进程，那么，将第一进程的进程标识与进程特征以双向链表结构的形式存储，形成进程特征缓存。
64.链表中的一个节点表示一个进程所对应的进程标识和进程特征。双向链表中每个数据节点都有两个指针，分别指向直接后继和直接前驱，所以，从双向链表中的任意一个节点开始，都可以很方便地访问该节点的前驱节点和后继节点，在进行数据查询时非常方便。本技术实施例中的双向链表结构可以是windows内核的list_entry双向链表结构。
65.在本技术的一个实施例中，进程特征缓存是不断更新的，相当于一种动态缓存。当检测到设备中有新进程创建时，将当前创建的进程作为第一进程，在双向链表中增加一个节点，该节点用于记录该第一进程的进程标识及进程特征。当检测到进程特征缓存中有进程退出时，则将双向链表中记录该需要退出的第一进程所对应的节点删除，也就是从进程特征缓存中删除需要退出的第一进程所对应的进程标识和进程特征。如此，通过进程特征缓存的动态更新，保证进程特征缓存中存储的是第一进程的进程标识及进程特征。
66.在本技术的一个实施例中，获取进程特征的过程具体包括：当终端设备的核心层检测到有进程创建时，获取第一进程的进程标识；根据第一进程的进程标识，以及终端设备的应用层所加载的本地缓存进程特征，获取第一进程对应的进程特征。
67.具体的，电子设备的cpu(centre process unit，中央处理器)的特权级别有4个等级：ring0、ring1、ring2和ring3，数字越大，权限越低。windows一般使用ring0和ring3，而ring0仅供操作系统使用，称为核心层、环0层；ring3又称为应用层、环3层，可供应用程序使用。
68.当核心层检测到有进程创建时，当前创建的进程就相当于已创建且未退出的进程，也就是第一进程，那么获取第一进程的进程标识。在本技术的一个实施例中，核心层通过利用wdk(windows driver kit，驱动工具包)提供的api(application program interface，应用程序接口)接口函数pssetcreateprocessnotifyroutineex检测进程的创建和退出，通过设置回调函数即可获取设备所有进程的创建和退出的通知。
69.具体而言，当有新进程创建时，回调函数通过参数可以获取到当前新创建进程(以下简称新进程)的进程体、进程id以及新进程的进程特征，如新进程的父进程id、创建新进程的进程id(creatingthreadid-》uniqueprocess)、创建新进程的进程的线程id(creatingthreadid-》uniquethread)、新进程对应的可执行文件的文件对象、exe文件绝对
路径、进程创建的命令行参数和进程创建的状态(该状态标识是否可控制该进程允许被创建)等，这些进程特征可以通过回调函数的pps_create_notify_info类型的参数获取得到。当检测到有进程即将退出时(也就是有第一进程即将退出)，可以根据回调函数的handle类型参数获取即将要退出的进程的进程id，根据peprocess类型的参数可以获取到即将退出的进程的进程体，该参数表示指向当前要退出的进程的进程对象的指针。
70.在获取到第一进程的进程标识后，需根据进程标识和应用层所加载的本地缓存进程特征获取该第一进程的进程特征，这个包括两个部分：首次创建进程特征缓存和进程特征缓存的更新。
71.在首次创建进程特征缓存时，核心层除获取上述进程特征外，向应用层发送第一进程的进程信息(如进程id、进程名称和转换后的进程绝对路径)，应用层根据该进程信息获取第一进程在应用层的进程特征，如进程可执行文件的最近修改时间、描述信息、大小和版权信息等，进程的版本号、签名信息等。例如，应用层根据进程id和进程的绝对路径(procpath)计算得到进程可执行文件的最近修改时间(updatetime)，根据进程的绝对路径(procpath)获取进程的版本号(filever)、进程可执行文件的描述信息(filedesc)、进程可执行文件的大小(filesize)和版权信息(copyright)。应用层还可以根据进程的绝对路径(procpath)计算进程的摘要(md5值)和其他hash值(例如sha256)、计算进程可执行文件的数字签名中的签名者姓名(sign_issuer)以及本地验签结果(sign_check_rst)。本地验签名结果包括：数字签名验证通过(sign_check_pass)、数字签名验证失败(sign_check_failed)、数字签名验证超时(sign_check_timeout)、进程无数字签名(proc_no_sign_info)。
72.通过应用层层与核心层的通信，即可获取到第一进行的全部进程特征，将进程特征与进程id关联存储至核心层构建的双向链表中，形成进程特征缓存。
73.在对进程特征缓存进行更新时，在更新之前已计算成功的进程特征将加密存储至设备本地，形成本地缓存进程特征，那么此时获取进程特征的过程包括：根据第一进程的进程标识确定第一进程的关键特征；根据第一进程的关键特征在本地缓存进程特征中查找，以确定本地缓存进程特征中是否存在第一进程的进程特征；若本地缓存进程特征中存在与第一进程的关键特征相同的缓存特征，则将本地缓存进程特征中缓存特征对应的进程特征作为第一进程的进程特征；若本地缓存进程特征中不存在与第一进程的关键特征相同的缓存特征，则通过应用层获取第一进程对应的进程特征。
74.具体而言，核心层在检测到有进程创建时，根据第一进程的进程标识计算关键特征，然后将关键特征发送至应用层，该关键特征可以是第一进程的一种或多种进程特征。当应用层的服务启动时，应用层首先加载本地缓存进程特征。那么，当应用层接收到核心层发送的关键特征时，根据该关键特征在加载的本地缓存进程特征中查找，以此来确定本地缓存进程特征中是否存在第一进程的进程特征，为便于区分，将本地缓存进程特征中的进程特征记为缓存特征。
75.当本地缓存进程特征中存在与关键特征相同的缓存特征时，说明该第一进程的进程特征已经计算过(或者说该第一进程是一个“旧进程”)，那么此时无需重新计算，直接将本地缓存进程特征中的缓存特征作为对应的进程特征存储至进程特征缓存中即可。若本地缓存进程特征中不存在与关键特征相同的缓存特征，则说明暂未计算该第一进程的进程特
征，则需要应用层进行计算以获取第一进程对应的进程特征，具体计算方式参考前文首次创建进程特征缓存时的相关描述。
76.在本技术的一个实施例中，关键特征可以是第一进程的进程文件的绝对路径和最近修改时间，那么，当进程文件的绝对路径不变，且最近修改时间不变，则认为该进程没有改变，从而可以将本地缓存进程特征中的缓存特征作为该进程的进程特征。本地缓存进程特征使得进程特征缓存在进行数据更新时，通过数据匹配的方式即可获取到进程特征，无需针对每一个进程计算对应的进程特征，从而减少了计算量，提高了进程特征缓存构建和更新的效率。
77.步骤230、根据访问进程的进程特征在阻断进程缓存中匹配，以确定访问进程是否为阻断进程；阻断进程缓存用于存储符合第一预设访问条件的进程对应的进程特征；第一预设访问条件包括访问站点为公网站点时的管控方式。
78.具体的，阻断进程缓存存储了一些符合第一预设访问条件的进程的进程特征，将符合第一预设访问条件的进程记为阻断进程，则阻断进程缓存存储的就是已经存在的阻断进程对应的进程特征。根据访问进程的进程特征在阻断进程缓存中匹配，通过确定阻断进程缓存中是否存储了与访问进程相同的进程特征，来判断访问进程是否为阻断进程，阻断进程就是指需要阻止执行的进程。当访问进程被判断为阻断进程，则该访问进程不能够被执行，也就阻止了访问进程对应的业务访问请求发送至访问站点。
79.在本技术的一个实施例中，阻断进程缓存已经存储了被判断为阻断进程的进程所对应的进程特征，在对访问进程进行判断时，将访问进程的进程特征与阻断进程缓存中的各阻断进程的进程特征进行匹配，当匹配到阻断进程缓存中存在一阻断进程，其进程特征与访问进程的进程相同时，则表明该访问进程是阻断进程。若阻断进程缓存中任一阻断进程的进程特征与访问进程的进程特征都不相同，则认为访问进程不是阻断进程。
80.第一预设访问条件是针对公网站点的访问管控方式。公网是通过调制解调器拨号或专线等访问互联网，或通过vpn(virtual private network，虚拟专用网络)、路由器等与因特网相通的大范围网络，公网的计算机和因特网上的其他计算机可随意互相访问。与公网相对应的是内网，内网也叫局域网(local area network，lan)，是在一个局部的地理范围内(如一个学校、工厂、机关等内，一般是方圆几千米以内)，将各种计算机、外部设备和数据库等互相联接起来组成的计算机通信网。一般情况下，由于公网的限制较少，故而网关对访问内网的业务访问请求进行安全检测，对于访问公网的业务访问请求不作安全检测。
81.在本技术的一个实施例中，第一预设访问条件包括访问站点阻断规则和进程阻断规则。访问站点阻断规则可以通过访问站点的黑白名单来设置，访问站点的黑名单和访问站点的白名单是互斥的，二者取其一，即设置了访问站点的黑名单，就无须设置访问站点的白名单，反之亦然。访问站点的黑名单表示禁止访问主体访问的公网站点列表，非黑名单的公网站点则是允许访问主体访问的。访问站点的白名单表示仅允许访问主体访问的公网站点列表，非白名单则表示禁止访问主体访问的公网站点列表。示例性的，访问站点阻断规则的设置方式如图3a所示，通过图3a中按钮301选择黑名单或白名单，通过按钮302添加具体的规则，如图3a中，访问站点阻断规则为访问站点黑名单，该黑名单包括host地址为“*.abc.com”、“www.test.com”的两个访问站点。
82.类似的，进程阻断规则通过进程的黑白名单来设置，进程的黑名单和进程的白名
单也是二者取其一。进程的黑名单表示禁止访问主体使用黑名单列表中的进程访问对应的访问站点，访问主体可使用不在黑名单的进程访问对应的访问站点。进程白名单表示访问主体只能使用白名单列表中的进程访问对应的访问站点，禁止访问主体使用不在白名单的进程访问对应的访问站点。示例性的，进程阻断规则的设置方式如图3b和图3c所示，通过图3b中的按钮303选择进程白名单或进程黑名单(图3b示例选择进程黑名单)，通过图3b中的按钮304添加具体规则。通过图3c设置进程黑名单中进程所具备的进程特征(即具体的规则内容)，通过图3c的按钮305添加具体进程特征，如进程特征是“进程名等于abc”、“进程签名包含abc”。
83.在本技术的一个实施例中，访问站点阻断规则和进程阻断规则可单独配置，也可组合配置。例如，可配置仅禁止某个范围之外的进程(进程白名单)访问某些公网站点(访问站点黑名单)，也可配置禁止某个范围内的进程(进程黑名单)访问不符合某个特征的公网站点(访问站点白名单)。
84.在本技术实施例中，符合第一预设访问条件的进程是指根据进程阻断规则判断为阻断进程的进程。当进程阻断规则为进程黑名单时，则进程黑名单所指示的进程就是阻断进程。当进程阻断规则为进程白名单时，则与进程白名单所指示进程不相符的进程就是阻断进程。
85.在本技术的一个实施例中，阻断进程缓存的创建与进程特征缓存的创建同步进行。阻断进程缓存的创建过程包括：获取第二进程的进程标识和进程特征，第二进程为发起业务访问请求的终端设备中已创建的进程；若第二进程的进程特征符合进程阻断规则，则基于双向链表的形式存储第二进程的进程标识和进程特征，形成阻断进程缓存。
86.具体的，阻断进程缓存中的数据存储结构与进程特征缓存中的数据存储结构相同，都是双向链表的形式。首先获取第二进程的进程标识和进程特征，第二进程包括终端设备中已创建的进程，而不考虑进程是否退出，那么，在一些情况下，第二进程可能与第一进程相同，比如，当前创建的进程既属于第一进程，又属于第二进程。然后将第二进程的进程特征与进程阻断规则匹配，来确定第二进程是否为阻断进程，若是，则通过双向链表中的一个节点存储该第二进程的进程标识及进程特征。需要说明的是，阻断进程缓存中进程的进程状态是已创建，不管进程是否退出，也就是说，阻断进程缓存中可以包括已创建未退出的进程(第一进程)，也可以包括已经退出的进程。
87.在本技术的一个实施例中，当进程阻断规则更新时，阻断进程缓存需同步更新。例如，在进程阻断规则更新之前，一进程被判断为阻断进程，存储于阻断进程缓存中。在进程阻断规则更新之后，该进程不再是阻断进程，则阻断进程缓存将该进程的进程特征删除。
88.在本技术的一个实施例中，还包括根据访问站点阻断规则确定业务访问请求对应的访问站点是否为阻断访问站点。当访问站点阻断规则是访问站点黑名单时，若业务访问请求对应的访问站点是访问站点黑名单中的访问站点，则认为业务访问请求对应的访问站点是阻断访问站点。当访问站点阻断规则是访问站点白名单时，若业务访问请求对应的访问站点不是访问站点白名单中的访问站点，则认为业务访问请求对应的访问站点是阻断访问站点。当判断为阻断访问站点时，对业务访问请求进行阻断。阻断访问站点的判断步骤可以与根据阻断进程缓存判断访问进程是否为阻断进程的步骤同步进行，也可以在阻断进程的判断步骤之前或之后进行。
89.在本技术的一个实施例中，进程特征缓存和阻断进程缓存也可以数据库的形式体现，例如，将进程特征或阻断进程存储于关系型数据库中。数据库(database)，简而言之可视为电子化的文件柜——存储电子文件的处所，用户可以对文件中的数据进行新增、查询、更新、删除等操作。所谓“数据库”是以一定方式储存在一起、能与多个用户共享、具有尽可能小的冗余度、与应用程序彼此独立的数据集合。
90.数据库管理系统(database management system，dbms)是为管理数据库而设计的电脑软件系统，一般具有存储、截取、安全保障、备份等基础功能。数据库管理系统可以依据它所支持的数据库模型来作分类，例如关系式、xml(extensible markup language，可扩展标记语言)；或依据所支持的计算机类型来作分类，例如服务器群集、移动电话；或依据所用查询语言来作分类，例如sql(structured query language，结构化查询语言)、xquery；或依据性能冲量重点来作分类，例如最大规模、最高运行速度；亦或其他的分类方式。不论使用哪种分类方式，一些dbms能够跨类别，例如，同时支持多种查询语言。
91.步骤240、若访问进程不是阻断进程，则根据第二预设访问条件确定业务访问请求对访问站点的访问方式；第二预设访问条件包括访问站点为内网站点时的管控方式。
92.具体的，若访问进程不是阻断进程，则表明业务访问请求已通过对公网站点访问管控方式的判断，接下来根据针对内网站点管控方式的第二预设访问条件对业务访问请求进行进一步判断，以此确定业务访问请求对访问站点的访问方式。
93.业务访问请求对访问站点的方式包括三种：直连访问、代理访问和强制认证后访问。直连访问是指通过访问主体的代理客户端直接将业务访问请求发送至访问站点，并通过客户端接收访问站点的响应数据。代理访问是指通过网关将业务访问请求转发至访问站点，并通过网关将访问站点的响应数据转发至客户端。强制认证后访问是指对发起业务访问请求的访问主体进行一次实时安全校验(如短信验证、人脸验证等)，当校验通过后，以代理访问的方式将业务访问请求发送至访问站点。
94.在本技术的一个实施例中，第二预设访问条件包括直连访问条件、代理访问条件和强制认证访问条件，分别对应上述三种业务访问请求对访问站点的访问方式。那么，根据第二预设访问条件确定业务访问请求的发送方式的过程包括：若业务访问请求符合直连访问条件，则通过代理客户端将业务访问请求发送至访问站点；若业务访问请求符合代理访问条件，则通过网关将业务访问请求发送至访问站点；若业务访问请求符合强制认证访问条件，则对访问站点进程安全校验后，通过网关将业务访问请求发送至访问站点。
95.在本技术的一个实施例中，第二预设访问条件为零信任访问控制策略。零信任访问控制策略由账户可使用的进程信息(可信应用)以及可访问的内网站点(可达区域)、设备信息、登录账户信息、业务访问请求对应的协议类型等组成，在符合零信任访问控制策略的情况下，账户可通过任何一个可信应用访问到任一个内网站点。零信任访问控制策略的粒度为登录账户，允许为不同的登录账户制定不同的零信任策略。
96.在零信任访问控制策略中，可以对内网站点、登录账户、可信应用、设备等进行配置。内网站点也就是企业的业务系统或业务资源，在对内网站点进行配置时，可以对内网站点名称、内网站点类别(域名类、ip类或ip段)、具体内网站点的域名或者ip、端口(包括指定端口列表或者所有端口)、内网站点分组、协议类型(网络协议栈中的运输层协议)等进行配置。在对登录账户进行设置时，可以对登录账户名、登录账户id等进行配置。可信应用是指
管理端授信的，终端可访问内部业务系统的应用程序载体，包括应用程序名、应用程序md5、签名信息等，可通过配置可信应用属性来配置可信应用的管控方式，可信应用属性包括进程名(应用名)、版权信息、签名信息等。设备是发起业务访问请求的终端设备，可通过设备唯一标识符进行识别。
97.根据零信任访问控制策略的上述配置，直连访问条件、代理访问条件和强制认证访问条件可以其中的任意项的组合。例如，当发起业务访问请求的应用程序为可信应用时，使用代理访问条件；当业务访问请求对应的的访问站点为特定内网站点时，使用强制认证访问条件；其他情况使用直连访问条件。
98.在本技术的一个实施例中，零信任访问控制策略为静态访问控制规则，第二预设访问条件可以在零信任访问控制策略的基础上，结合终端环境状态、合规检测、特定网络区域、账户针对内网的访问频次、访问时间段等动态因素共同设定。例如，在合规检测通过后(即确定设备为符合规定的设备)，当发起业务访问请求的应用程序为可信应用时，使用代理访问条件；当业务访问请求的访问主体在特定网络区域时，使用直连访问条件；当业务访问请求的发起时间在特定时间段，且访问站点为特定内网站点(如访问站点为薪资系统)时，使用强制认证访问条件；当账户在一时间段内针对内网的访问频次过高，实行阻断访问，阻断访问是指对业务访问请求进行阻断操作，业务访问请求不能够发送至访问站点。
99.在本技术的一个实施例中，访问主体所在设备设有应用程序的客户端和代理客户端，代理访问的具体过程包括：通过访问主体所在客户端的代理客户端向客户端发起针对业务访问请求的凭证获取请求，以使客户端基于凭证获取请求返回从对应服务端获取的访问凭证；通过代理客户端将访问凭证和业务访问请求转发至网关，以使网关在成功校验访问凭证时，将业务访问请求发送至访问站点。
100.具体的，当确定为代理访问时，由代理客户端向客户端发起凭证获取请求，客户端接收到凭证获取请求后，客户端向对应的服务端申请访问凭证，然后客户端将从服务端申请的访问凭证返回代理客户端。访问凭证是服务端为单个网络业务访问请求发放的授权信息，用于标识该网络业务访问请求的授权状态。接下来，代理客户端将访问凭证和业务访问请求一起发送至网关，由网关对访问凭证进行校验，本次校验主要是验证访问凭证的有效性，具体校验过程是：网关根据访问凭证向服务端发起凭证校验请求，服务端校验该访问凭证是否为服务端所发的访问凭证，若是，则向网关反馈校验通过的消息；否则，向网关返回校验不通过的消息。网关在接收到校验通过的消息时(即成功校验访问凭证)，将业务访问请求转发至访问站点。同时，网关还接收访问站点对于业务访问请求的响应信息，并将响应信息返回至代理客户端，经由代理客户端反馈至访问主体，如此实现访问主体对访问站点的访问。
101.在本技术实施例提供的技术方案中，通过根据业务访问请求对应访问进程的进程标识在进程特征缓存中查找来获取进程特征，由于进程特征缓存中的进程特征已经预先计算，无需实时计算访问进程的进程特征，提高了访问进程的进程特征的获取效率。通过根据进程特征在阻断进程缓存中匹配，来确定访问进程是否为符合第一预设访问条件的阻断进程，可以快速确定访问进程是否为阻断进程，提高了阻断进程的过滤效率，当需要处理的访问进程较多(即网络流量较大)时，可以有效降低访问时延。最后通过第二预设访问条件进一步对业务访问请求进行判断，使得对公网访问的管控和对内网访问的管控进行了统一，
增加了网络访问管控的便利性。
102.下面以在ioa(intelligent office automation，智能办公自动化系统，也称智能管理信息化系统)系统中使用本技术实施例提供的网络访问的控制方法为例说明本技术技术方案的具体实施例过程。
103.图4示意性地示出了应用本技术实施例提供的技术方案的系统架构图，如图4所示，该系统包括终端设备410、ioa服务端420、网关430、业务系统440和公网450，其中，终端设备410中设有应用程序411、ioa客户端412和代理客户端413。业务系统440表示内网站点的集合，业务系统440中可以包括多个业务服务器，每个业务服务器可以是一个访问站点。公网450表示公网站点的集合，其可以包括多个服务器。
104.首先，通过ioa管理端配置第一预设访问条件和第二预设访问条件，并将其存储于ioa服务端420，第一预设访问条件的配置可以参考图3a-3b。第二预设访问条件的配置参考图5a-5d，图5a示出了执行零信任访问控制策略的网关配置示意图，通过图5a中的按钮501添加配置网关。图5b示出了可信应用和业务系统(内网站点)的配置示意图，通过图5b的区域502配置可信应用，通过图5b的区域503配置业务系统。图5c示出了业务系统配置的详情页面图，例如，通过图5c的区域504可以选择资源类别(内网站点类别)，通过区域505选择端口，通过区域506选择协议类型等。图5d示出了业务系统与关联网关的配置示意图，通过图5d区域507配置网关，通过图5d区域508配置网关访问顺序。ioa服务端420将设置好的第一预设访问条件和第二预设访问条件下发至ioa客户端412，以使ioa客户端412构建访问阻断规则。需要说明的是，对于零信任访问控制策略中的登录账户和设备的配置，二者是动态变化的，且数据规模较大，故而这两个配置规则将存储于ioa服务端420，ioa服务端420通过合规检测、漏洞检查设备安全基线检查等安全管控方法检测出设备合规后，以登录账户或登录账户所在组的粒度下发零信任访问控制策略。
105.ioa客户端412根据第一预设访问条件预先构建进程特征缓存和阻断进程缓存，具体创建过程可以参考前文相关描述，在此不再赘述。进程特征缓存和阻断进程缓存存储于终端设备410中。
106.本技术技术方案运行时，访问主体通过应用程序411发起针对访问站点的业务访问请求，代理客户端413获取到该业务访问请求，并确定对应访问进程的进程标识。接下来，代理客户端413根据终端设备410中存储的进程特征缓存获取访问进程对应的进程特征，并根据访问进程的进程特征在终端设备410中存储的阻断进程缓存中匹配，以此确定访问进程是否为阻断进程。若确定访问进程为阻断进程，则对业务访问请求进行阻断操作。若访问进程不是阻断进程，则根据第一预设访问条件中的访问站点阻断规则判断访问站点是否为阻断访问站点。若访问站点是阻断访问站点，则对业务访问请求进行阻断操作。若访问站点不是阻断访问站点，则判断访问站点是否为公网站点，若访问站点是公网站点，则通过代理客户端413将业务访问请求发送至公网450中的访问站点(直连访问)。若访问站点不是公网站点(即访问站点是内网站点)，则根据第二预设访问条件对业务访问请求进行判断。
107.若判断业务访问请求符合直连访问条件，则通过代理客户端413将业务访问请求发送至业务系统440中的访问站点(直连访问)。
108.若判断业务访问请求符合代理访问条件，则代理客户端413向ioa客户端412发起凭证获取请求(也称为票据请求)，ioa客户端412向ioa服务端420申请访问凭证，ioa服务端
420向ioa客户端412返回访问凭证，ioa客户端412将访问凭证发送至代理客户端413，代理客户端413将访问凭证和业务访问请求一同发送至网关430。网关430接收到代理客户端413发送的信息后，向ioa服务端420发起凭证校验请求，ioa服务端420对访问凭证进行校验，并向网关430反馈校验结果。当网关430接收到校验通过的结果时，将业务访问请求发送至业务系统440中的访问站点(代理访问)。
109.若判断业务访问请求符合强制认证访问条件，则代理客户端413向应用程序411发起强制认证信息，当检测到强制认证通过时，根据上述的代理访问过程，通过网关430将业务访问请求发送至业务系统440中的访问站点。
110.在本技术的一个实施例中，根据第二预设访问条件对业务访问请求进行判断的步骤也可以由ioa服务端420执行。具体而言，当代理客户端413确定访问站点不是公网站点时，也就表明需要根据第二预设访问条件对业务访问请求进行判断，此时代理客户端413向ioa客户端412发起流量鉴权请求，流量鉴权就是验证业务访问请求真实性的操作，比如，验证业务访问请求的发起方的身份是否合法。当ioa客户端412收到代理客户端413发送的流量鉴权请求后，ioa客户端412采集终端设备410的设备特征、访问进程的进程特征、登录账户信息以及终端环境状态等，向ioa服务端420发起凭证获取请求。同时，终端设备410向ioa服务端420发送环境感知、合规检测、网路状态等信息，ioa服务端420收到凭证获取请求后，根据终端环境状态、访问进程合规检测结果、终端安全基线等动态因素，结合第二预设访问条件对业务访问请求进行判断，确定业务访问请求对访问站点的访问方式(直连访问、代理访问、强制认证访问和阻断访问)，进而确定是否向ioa客户端412返回访问凭证。一般的，当ioa服务端420确定为阻断访问时，则不向ioa客户端412返回访问凭证，而是向ioa客户端412返回对该业务访问请求进行阻断的命令(记为阻断命令)。然后ioa客户端412将阻断命令发送至代理客户端413，同时ioa客户端412根据ioa服务端420的配置参数向代理客户端413指定一个阻断有效期，在阻断有效期内，对该业务访问请求进行阻断。并且，在阻断有效期内，将符合条件的同类型业务访问请求直接在代理客户端413侧阻断，无需通过ioa客户端412和ioa服务端420判定为阻断。
111.可以理解，若业务访问请求的访问方式发生了改变，则ioa客户端412可通知代理客户端413调整针对该类型业务访问请求的访问方式。例如，终端设备410所在网络区域发生变化，通过修复违规项使得合规检测从不合规状态变为合规状态，则可以将判断为阻断访问的业务访问请求调整为其他访问方式。也可以通过缩短阻断有效期或者直接变更访问方式为非阻断，使得代理客户端412获取到同类型业务访问请求后，不采取直接阻断的操作，而是通过将业务访问请求的相关信息发送至ioa客户端412，执行流量鉴权，通过ioa客户端412和ioa服务端420共同控制该业务访问请求的访问方式。
112.应当注意，尽管在附图中以特定顺序描述了本技术中方法的各个步骤，但是，这并非要求或者暗示必须按照该特定顺序来执行这些步骤，或是必须执行全部所示的步骤才能实现期望的结果。附加的或备选的，可以省略某些步骤，将多个步骤合并为一个步骤执行，以及/或者将一个步骤分解为多个步骤执行等。
113.以下介绍本技术的装置实施例，可以用于执行本技术上述实施例中的网络访问的控制方法。图6示意性地示出了本技术实施例提供的网络访问的控制装置的结构框图。如图6所示，本技术实施例提供的网络访问的控制装置包括：
114.访问请求获取模块610，用于获取对访问站点的业务访问请求，并确定所述业务访问请求对应的访问进程的进程标识；
115.进程特征获取模块620，用于根据所述访问进程的进程标识在进程特征缓存中查找，获得所述访问进程对应的进程特征；所述进程特征缓存用于存储多个进程的进程标识以及与各进程标识关联的进程特征；
116.进程特征匹配模块630，用于根据所述访问进程的进程特征在阻断进程缓存中匹配，以确定所述访问进程是否为阻断进程；所述阻断进程缓存用于存储符合第一预设访问条件的进程对应的进程特征；所述第一预设访问条件包括所述访问站点为公网站点时的管控方式；
117.访问方式确定模块640，用于若所述访问进程不是阻断进程，则根据第二预设访问条件确定所述业务访问请求对所述访问站点的访问方式；所述第二预设访问条件包括所述访问站点为内网站点时的管控方式。
118.在本技术的一个实施例中，所述装置还包括：进程特征缓存构建模块，用于获取多个第一进程的进程标识以及各第一进程对应的进程特征；所述第一进程是指发起所述业务访问请求的终端设备中的已创建且未退出的进程；基于双向链表的形式存储各进程标识以及各第一进程对应的进程特征，形成所述进程特征缓存。
119.在本技术的一个实施例中，所述进程特征缓存构建模块具体用于：当所述终端设备的核心层检测到有进程创建时，将当前创建的进程作为第一进程，并获取第一进程的进程标识；根据所述第一进程的进程标识，以及所述终端设备的应用层所加载的本地缓存进程特征，获取所述第一进程对应的进程特征。
120.在本技术的一个实施例中，所述进程特征缓存构建模块进一步用于：根据所述第一进程的进程标识确定所述第一进程的关键特征；根据所述第一进程的关键特征在所述本地缓存进程特征中查找，以确定所述本地缓存进程特征中是否存在所述第一进程的进程特征；若所述本地缓存进程特征中存在与所述第一进程的关键特征相同的缓存特征，则将所述本地缓存进程特征中所述缓存特征对应的进程特征作为所述第一进程的进程特征；若所述本地缓存进程特征中不存在与所述第一进程的关键特征相同的缓存特征，则通过所述应用层获取所述第一进程对应的进程特征。
121.在本技术的一个实施例中，所述第一预设访问条件包括进程阻断规则；所述装置还包括：
122.阻断进程缓存构建模块，用于获取第二进程的进程标识和进程特征，所述第二进程为发起所述业务访问请求的终端设备中已创建的进程；若所述第二进程的进程特征符合所述进程阻断规则，则基于双向链表的形式存储所述第二进程的进程标识和进程特征，形成所述阻断进程缓存。
123.在本技术的一个实施例中，所述第二预设访问条件包括直连访问条件、代理访问条件和强制认证访问条件；访问方式确定模块640包括：
124.直连访问单元，用于若所述业务访问请求符合直连访问条件，则通过代理客户端将所述业务访问请求发送至所述访问站点；
125.代理访问单元，用于若所述业务访问请求符合代理访问条件，则通过网关将所述业务访问请求发送至所述访问站点；
126.强制认证访问单元，用于若所述业务访问请求符合强制认证访问条件，则对所述访问站点进程安全校验后，通过网关将所述业务访问请求发送至所述访问站点。
127.在本技术的一个实施例中，所述代理访问单元具体用于：通过代理客户端向所述客户端发起针对所述业务访问请求的凭证获取请求，以使所述客户端基于所述凭证获取请求返回从对应服务端获取的访问凭证；通过所述代理客户端将所述访问凭证和所述业务访问请求转发至所述网关，以使所述网关在成功校验所述访问凭证时，将所述业务访问请求发送至所述访问站点。
128.本技术各实施例中提供的网络访问的控制装置的具体细节已经在对应的方法实施例中进行了详细的描述，此处不再赘述。
129.图7示意性地示出了用于实现本技术实施例的电子设备的计算机系统结构框图。
130.需要说明的是，图7示出的电子设备的计算机系统700仅是一个示例，不应对本技术实施例的功能和使用范围带来任何限制。
131.如图7所示，计算机系统700包括中央处理器701(central processing unit，cpu)，其可以根据存储在只读存储器702(read-only memory，rom)中的程序或者从存储部分708加载到随机访问存储器703(random access memory，ram)中的程序而执行各种适当的动作和处理。在随机访问存储器703中，还存储有系统操作所需的各种程序和数据。中央处理器701、在只读存储器702以及随机访问存储器703通过总线704彼此相连。输入/输出接口705(input/output接口，即i/o接口)也连接至总线704。
132.以下部件连接至输入/输出接口705：包括键盘、鼠标等的输入部分706；包括诸如阴极射线管(cathode ray tube，crt)、液晶显示器(liquid crystal display，lcd)等以及扬声器等的输出部分707；包括硬盘等的存储部分708；以及包括诸如局域网卡、调制解调器等的网络接口卡的通信部分709。通信部分709经由诸如因特网的网络执行通信处理。驱动器710也根据需要连接至输入/输出接口705。可拆卸介质711，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器710上，以便于从其上读出的计算机程序根据需要被安装入存储部分708。
133.特别地，根据本技术的实施例，各个方法流程图中所描述的过程可以被实现为计算机软件程序。例如，本技术的实施例包括一种计算机程序产品，其包括承载在计算机可读介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中，该计算机程序可以通过通信部分709从网络上被下载和安装，和/或从可拆卸介质711被安装。在该计算机程序被中央处理器701执行时，执行本技术的系统中限定的各种功能。
134.需要说明的是，本技术实施例所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(erasable programmable read only memory，eprom)、闪存、光纤、便携式紧凑磁盘只读存储器(compact disc read-only memory，cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本技术中，计算机可读存储介质可以是任何包含或存储程序
的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本技术中，计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于：无线、有线等等，或者上述的任意合适的组合。
135.附图中的流程图和框图，图示了按照本技术各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图或流程图中的每个方框、以及框图或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。
136.应当注意，尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元，但是这种划分并非强制性的。实际上，根据本技术的实施方式，上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之，上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
137.通过以上的实施方式的描述，本领域的技术人员易于理解，这里描述的示例实施方式可以通过软件实现，也可以通过软件结合必要的硬件的方式来实现。因此，根据本技术实施方式的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质(可以是cd-rom，u盘，移动硬盘等)中或网络上，包括若干指令以使得一台计算设备(可以是个人计算机、服务器、触控终端、或者网络设备等)执行根据本技术实施方式的方法。
138.本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本技术的其它实施方案。本技术旨在涵盖本技术的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本技术的一般性原理并包括本技术未公开的本技术领域中的公知常识或惯用技术手段。
139.应当理解的是，本技术并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本技术的范围仅由所附的权利要求来限制。

技术特征：
1.一种网络访问的控制方法，其特征在于，包括：获取对访问站点的业务访问请求，并确定所述业务访问请求对应的访问进程的进程标识；根据所述访问进程的进程标识在进程特征缓存中查找，获得所述访问进程对应的进程特征；所述进程特征缓存用于存储多个进程的进程标识以及与各进程标识关联的进程特征；根据所述访问进程的进程特征在阻断进程缓存中匹配，以确定所述访问进程是否为阻断进程；所述阻断进程缓存用于存储符合第一预设访问条件的进程对应的进程特征；所述第一预设访问条件包括所述访问站点为公网站点时的管控方式；若所述访问进程不是阻断进程，则根据第二预设访问条件确定所述业务访问请求对所述访问站点的访问方式；所述第二预设访问条件包括所述访问站点为内网站点时的管控方式。2.根据权利要求1所述的网络访问的控制方法，其特征在于，在根据所述访问进程的进程标识在进程特征缓存中查找之前，所述方法还包括：获取多个第一进程的进程标识以及各第一进程对应的进程特征；所述第一进程是指发起所述业务访问请求的终端设备中的已创建且未退出的进程；基于双向链表的形式存储各进程标识以及各第一进程对应的进程特征，形成所述进程特征缓存。3.根据权利要求2所述的网络访问的控制方法，其特征在于，获取多个第一进程的进程标识以及各进程对应的进程特征，包括：当所述终端设备的核心层检测到有进程创建时，将当前创建的进程作为第一进程，并获取所述第一进程的进程标识；根据所述第一进程的进程标识，以及所述终端设备的应用层所加载的本地缓存进程特征，获取所述第一进程对应的进程特征。4.根据权利要求3所述的网络访问的控制方法，其特征在于，根据所述第一进程的进程标识，以及所述终端设备的应用层所加载的本地缓存进程特征，获取所述第一进程对应的进程特征，包括：根据所述第一进程的进程标识确定所述第一进程的关键特征；根据所述第一进程的关键特征在所述本地缓存进程特征中查找，以确定所述本地缓存进程特征中是否存在所述第一进程的进程特征；若所述本地缓存进程特征中存在与所述第一进程的关键特征相同的缓存特征，则将所述本地缓存进程特征中所述缓存特征对应的进程特征作为所述第一进程的进程特征；若所述本地缓存进程特征中不存在与所述第一进程的关键特征相同的缓存特征，则通过所述应用层获取所述第一进程对应的进程特征。5.根据权利要求1所述的网络访问的控制方法，其特征在于，所述第一预设访问条件包括进程阻断规则；在根据所述访问进程的进程特征在阻断进程缓存中匹配之前，所述方法还包括：获取第二进程的进程标识和进程特征，所述第二进程为发起所述业务访问请求的终端设备中已创建的进程；
若所述第二进程的进程特征符合所述进程阻断规则，则基于双向链表的形式存储所述第二进程的进程标识和进程特征，形成所述阻断进程缓存。6.根据权利要求1-5任一项所述的网络访问的控制方法，其特征在于，所述第二预设访问条件包括直连访问条件、代理访问条件和强制认证访问条件；根据第二预设访问条件确定所述业务访问请求对所述访问站点的访问方式，包括：若所述业务访问请求符合直连访问条件，则通过代理客户端将所述业务访问请求发送至所述访问站点；若所述业务访问请求符合代理访问条件，则通过网关将所述业务访问请求发送至所述访问站点；若所述业务访问请求符合强制认证访问条件，则对所述访问站点进程安全校验后，通过网关将所述业务访问请求发送至所述访问站点。7.根据权利要求6所述的网络访问的控制方法，其特征在于，通过网关将所述业务访问请求发送至所述访问站点，包括：通过代理客户端向发起所述业务访问请求的客户端发起针对所述业务访问请求的凭证获取请求，以使所述客户端基于所述凭证获取请求返回从对应服务端获取的访问凭证；通过所述代理客户端将所述访问凭证和所述业务访问请求转发至所述网关，以使所述网关在成功校验所述访问凭证时，将所述业务访问请求发送至所述访问站点。8.一种网络访问的控制装置，其特征在于，包括：访问请求获取模块，用于获取对访问站点的业务访问请求，并确定所述业务访问请求对应的访问进程的进程标识；进程特征获取模块，用于根据所述访问进程的进程标识在进程特征缓存中查找，获得所述访问进程对应的进程特征；所述进程特征缓存用于存储多个进程的进程标识以及与各进程标识关联的进程特征；进程特征匹配模块，用于根据所述访问进程的进程特征在阻断进程缓存中匹配，以确定所述访问进程是否为阻断进程；所述阻断进程缓存用于存储符合第一预设访问条件的进程对应的进程特征；所述第一预设访问条件包括所述访问站点为公网站点时的管控方式；访问方式确定模块，用于若所述访问进程不是阻断进程，则根据第二预设访问条件确定所述业务访问请求对所述访问站点的访问方式；所述第二预设访问条件包括所述访问站点为内网站点时的管控方式。9.一种计算机可读介质，其上存储有计算机程序，其特征在于，该计算机程序被处理器执行时实现权利要求1至7中任意一项所述的网络访问的控制方法。10.一种电子设备，其特征在于，包括：处理器；以及存储器，用于存储所述处理器的可执行指令；其中，所述处理器执行所述可执行指令使得所述电子设备执行权利要求1至7中任意一项所述的网络访问的控制方法。

技术总结
本申请公开了一种网络访问的控制方法、装置、计算机可读介质及电子设备，所述方法包括：获取对访问站点的业务访问请求，并确定业务访问请求对应的访问进程的进程标识；根据访问进程的进程标识在进程特征缓存中查找，获得访问进程对应的进程特征；根据访问进程的进程特征在阻断进程缓存中匹配，以确定访问进程是否为阻断进程；若访问进程不是阻断进程，则根据第二预设访问条件确定业务访问请求对访问站点的访问方式。本申请提高了访问进程的进程特征的获取效率，提高了阻断进程的过滤效率，增加了网络访问管控的便利性。本发明实施例可应用于云技术、人工智能、智慧交通、辅助驾驶等各种场景。场景。场景。


技术研发人员：吴岳廷
受保护的技术使用者：腾讯科技（深圳）有限公司
技术研发日：2022.02.24
技术公布日：2023/9/7