访问控制方法、系统、电子设备及计算机可读存储介质与流程

1.本技术涉及计算机的技术领域，具体而言，涉及一种访问控制方法、系统、电子设备及计算机可读存储介质。


背景技术：

2.目前市面上的沙箱系统为了适配各种场景，通常会采用多种网络分析环境。目前主流的网络分析环境通常分为外联网络环境和离线环境，外联网络环境用于捕获恶意软件真实流量，离线环境通常会配合网络模拟服务使用，以保证在离线环境下尽可能响应恶意软件网络连接请求。
3.现有技术中，外联网络环境直接与公网联通，但无法部署网络模拟服务，这导致若恶意软件访问的主机地址已死亡，则一定会连接失败，可能因此造成网络阻塞，无法继续触发恶意行为等问题。而离线网络环境不与公网联通，但部署了网络模拟服务，这导致即使恶意软件访问的主机地址存活，仍只能与网络模拟服务通信，而网络模拟服务通常只能返回固定的响应报文，无法捕获到恶意样本真实的网络行为。


技术实现要素：

4.本技术提供一种访问控制方法、系统、电子设备及计算机可读存储介质，以解决现有技术中，接入公网的情况下，可能由于访问的主机地址已死亡，导致出现网络阻塞，无法继续触发恶意行为的问题；采用网络模拟服务则可能无法捕获到恶意样本真实的网络行为的问题。
5.第一方面，本技术提供一种访问控制方法，应用于与公网联通、且部署有网络模拟服务的目标环境，所述方法包括：响应于恶意软件发出的访问报文，检测公网内所述访问报文的目的ip地址是否存活；若所述目的ip(internet protocol，网际互连协议)地址存活，将所述访问报文转发至所述公网；若所述目的ip地址未存活，将所述访问报文转发至预设的网络模拟服务。
6.本技术实施例中，通过检测访问报文的目的ip地址是否存活，来确定该访问报文的转发对象。在目的ip地址存活的情况下，可以将访问报文转发至公网；在目的ip地址未存活的情况下，可以将访问报文转发至网络模拟服务。从而不会出现因目的ip地址未存活(死亡)导致的网络阻塞，无法继续触发恶意行为等问题。也能够在目的ip地址存活的情况下，将访问报文转发至公网，进而能够得到恶意软件真实的网络行为。这样可以在最大程度上获取到恶意软件真实的网络行为的同时，防止出现由于访问的主机地址已死亡，导致出现网络阻塞，无法继续触发恶意行为的问题，提高对恶意软件的检测效果。
7.结合上述第一方面提供的技术方案，在一些可能的实施方式中，所述方法还包括：接收所述恶意软件发送的dns(domain name system，域名系统)查询请求，所述dns查询请求包括待查询域名；查询所述待查询域名对应的ip地址；向所述恶意软件反馈查询到的所述ip地址。
8.本技术实施例中，可以接收恶意软件发送的dns查询请求，并向恶意软件反馈查询到的ip地址，从而可以为恶意软件提供准确的ip地址，进而可以观测到恶意软件更加真实的行为信息。
9.结合上述第一方面提供的技术方案，在一些可能的实施方式中，所述方法还包括：若未查询到所述待查询域名对应的ip地址，则向所述恶意软件反馈所述网络模拟服务的ip地址。
10.本技术实施例中，在未查询到待查询域名对应的ip地址的情况下，向恶意软件反馈网络模拟服务的ip地址，从而可以实现观测网络模拟服务与恶意软件之间的行为信息，增加可以获取到的恶意软件的网络行为样本的数量。
11.结合上述第一方面提供的技术方案，在一些可能的实施方式中，在将所述访问报文转发至所述公网后，所述方法还包括：响应于所述访问报文的响应报文，将所述响应报文发送给所述恶意软件。
12.本技术实施例中，由于恶意软件并不直接与公网连接，因此，为了实现恶意软件与访问报文的目的ip地址对应的设备之间的通信，需要将响应报文转发给恶意软件，实现恶意软件与目的ip地址对应的设备之间的通信。
13.结合上述第一方面提供的技术方案，在一些可能的实施方式中，所述恶意软件部署于隔离环境中，所述隔离环境仅与所述目标环境进行数据交互。
14.本技术实施例中，通过设置部署恶意软件的隔离环境仅与目标环境进行数据交互，使得隔离环境中的恶意软件不会对其它设备造成威胁，提高本方案的安全性。
15.结合上述第一方面提供的技术方案，在一些可能的实施方式中，所述目标环境中部署有流量存活性探测服务，所述检测公网内所述访问报文的目的ip地址是否存活，包括：利用所述流量存活性探测服务检测公网内所述访问报文的目的ip地址是否存活。
16.结合上述第一方面提供的技术方案，在一些可能的实施方式中，所述目标环境中部署有dns查询服务，所述查询所述待查询域名对应的ip地址，包括：利用所述dns查询服务查询所述待查询域名对应的ip地址。
17.第二方面，本技术提供一种访问控制系统，包括：存活性确定设备，用于响应于恶意软件发出的访问报文，检测公网内所述访问报文的目的ip地址是否存活；若所述目的ip地址存活，将所述访问报文转发至所述公网；若所述目的ip地址未存活，将所述访问报文转发至预设的网络模拟服务。
18.结合上述第二方面提供的技术方案，在一些可能的实施方式中，所述访问控制系统，还包括：dns查询设备，所述dns查询设备用于接收所述恶意软件发送的dns查询请求，所述dns查询请求包括待查询域名；查询所述待查询域名对应的ip地址；向所述恶意软件反馈查询到的所述ip地址。
19.结合上述第二方面提供的技术方案，在一些可能的实施方式中，所述dns查询设备，还用于若未查询到所述待查询域名对应的ip地址，则向所述恶意软件反馈所述网络模拟服务的ip地址。
20.结合上述第二方面提供的技术方案，在一些可能的实施方式中，所述访问控制系统，还包括：网络模拟服务设备，所述网络模拟服务设备部署有网络模拟服务，所述网络模拟服务设备用于接收所述存活性确定设备转发的所述访问报文，并基于所述访问报文伪装
所述目的ip地址对应的设备与所述恶意软件建立通信。
21.结合上述第二方面提供的技术方案，在一些可能的实施方式中，所述访问控制系统，还包括：恶意软件隔离设备，所述恶意软件隔离设备内部署有恶意软件，所述存活性确定设备与所述恶意软件隔离设备通信连接。
22.结合上述第二方面提供的技术方案，在一些可能的实施方式中，所述存活性确定设备、所述dns查询设备、所述网络模拟服务设备、所述恶意软件隔离设备中的至少两个设备为同一个设备。
23.第三方面，本技术提供一种电子设备，包括：存储器和处理器，所述存储器和所述处理器连接；所述存储器，用于存储程序；所述处理器，用于调用存储于所述存储器中的程序，以执行如上述第一方面和/或结合上述第一方面任一可能的实施方式所述的访问控制方法。
24.第四方面，本技术提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被计算机运行时，执行如上述第一方面和/或结合上述第一方面任一可能的实施方式所述的访问控制方法。
附图说明
25.为了更清楚地说明本技术实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本技术的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。
26.图1为本技术实施例示出的一种访问控制方法的流程示意图；
27.图2为本技术实施例示出的一种能实现访问控制方法的设备的结构框图；
28.图3为本技术实施例示出的一种电子设备的结构框图。
具体实施方式
29.下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行描述。
30.应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。同时，在本技术的描述中诸如“第一”、“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
31.再者，本技术中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，a和/或b，可以表示：单独存在a，同时存在a和b，单独存在b这三种情况。
32.下面将结合附图对本技术的技术方案进行详细地描述。
33.鉴于现有技术中，采用外联网络环境的情况下，可能因此造成网络阻塞，无法继续
触发恶意行为等问题；采用离线网络环境的情况下，无法捕获到恶意样本真实的网络行为。基于此，本技术提供一种访问控制方法、系统，以实现在访问报文的目的ip地址存活的情况下，将访问报文转发至公网；在访问报文的目的ip地址未存活的情况下，将访问报文转发至网络模拟服务。从而不会出现因目的ip地址未存活(死亡)导致的网络阻塞，无法继续触发恶意行为等问题。也能够在目的ip地址存活的情况下，将访问报文转发至公网，进而能够得到恶意软件真实的网络行为。
34.请参阅图1，图1为本技术实施例示出的一种访问控制方法的流程示意图，访问控制方法应用于与公网联通、且部署有网络模拟服务的目标环境。该访问控制方法包括s100-s300，下面将结合图1对其包含的步骤进行说明。
35.s100：响应于恶意软件发出的访问报文，检测公网内访问报文的目的ip地址是否存活。
36.部署恶意软件的设备与执行s100-s300的设备可以是同一台设备，或者，部署恶意软件的设备与执行s100-s300的设备可以不同的设备。
37.可选的，访问报文可以是icmp(internet control message protocol，internet控制报文协议)请求或tcp(transmission control protocol，传输控制协议)请求。
38.其中，访问报文的目的ip地址即为该访问报文请求访问的设备的ip地址。
39.ip地址是否存活即为ip地址是否被使用，若ip地址被使用时，即为该ip地址存活；若ip地址未被使用，即为该ip地址未存活。
40.检测公网内访问报文的目的ip地址是否存活的具体实现方式及原理已为本领域技术人员所熟知，为简要描述，此处不再赘述。
41.可选的，在s100之前，该访问控制方法还包括获取恶意软件发出的访问报文。
42.其中，可以是利用“抓包”技术实时捕捉恶意软件发送的访问报文，“抓包”技术是一种网络流量数据分析手段，一般通过嗅探器对数据流的数据截获与分组分析，“抓包”技术的具体实现方式已为本领域技术人员所熟知，为简要描述，此处不再赘述。
43.一种实施方式下，恶意软件部署于隔离环境中，该隔离环境仅与目标环境进行数据交互。通过设置部署恶意软件的隔离环境仅与目标环境进行数据交互，使得隔离环境中的恶意软件不会对其它设备造成威胁，提高本方案的安全性。
44.其中，隔离环境可以是软件隔离环境、硬件隔离环境中的任意一种。
45.软件隔离环境是指利用软件实现环境隔离的方式。例如，可以将恶意软件设置于虚拟机、沙箱等环境中，并配置该虚拟机或沙箱仅能与目标环境进行数据交互，从而实现对恶意软件的隔离。
46.硬件隔离环境是指利用硬件实现环境隔离的方式。例如，可以将恶意软件部署在独立设置的、且未与公网、局域网等网络连接的电子设备中，并设置该电子设备仅能与部署有目标环境的电子设备进行数据交互，从而实现对恶意软件的隔离。
47.s200：若目的ip地址存活，将访问报文转发至公网。
48.当目的ip地址存活的情况下，将访问报文转发至公网，使得恶意软件与目的ip地址对应的主机进行通信，从而能够得到恶意软件真实的网络行为。
49.一种实施方式下，在将访问报文转发至公网后，该访问控制方法还包括s400。
50.一种实施方式下，目标环境中部署有流量存活性探测服务，s200的具体实现方式
可以是：利用流量存活性探测服务检测公网内访问报文的目的ip地址是否存活。
51.其中，流量存活性探测服务可以是脚本、软件代码实现的专用应用程序等，或者，流量存活性探测服务也可以是部署在目标环境中的一个应用程序中的一个或多个微服务。
52.s400：响应于访问报文的第一响应报文，将第一响应报文发送给所述恶意软件。
53.其中，第一响应报文为接收至公网的响应报文，该第一响应报文为目的ip地址对应的设备发送的。
54.由于恶意软件并不直接与公网连接，因此，为了实现恶意软件与访问报文的目的ip地址对应的设备之间的通信，需要将响应报文转发给恶意软件，实现恶意软件与目的ip地址对应的设备之间的通信。
55.s300：若目的ip地址未存活，将访问报文转发至预设的网络模拟服务。
56.当目的ip地址未存活的情况下，可以将访问报文转发至网络模拟服务。从而不会出现因目的ip地址未存活导致恶意软件与ip地址对应的设备通信连接失败，也就不会出现网络阻塞、无法继续触发恶意行为等问题。
57.其中，网络模拟服务用语模拟目的ip地址对应的设备，并与恶意软件建立通信，网络模拟服务的具体实现方式及原理已为本领域技术人员所熟知，为简要描述，此处不再赘述。
58.其中，部署有网络模拟服务的设备与执行该s100-s300的设备可以为同一台设备，或者，部署有网络模拟服务的设备与执行该s100-s300的设备为不同的设备。
59.一种实施方式下，在将访问报文转发至预设的网络模拟服务后，该访问控制方法还包括s500。
60.s500：响应于访问报文的第二响应报文，将第二响应报文发送给所述恶意软件。
61.其中，第二响应报文为网络模拟服务生成的响应报文。
62.当部署有网络模拟服务的设备与执行该s100-s300的设备不为同一台设备的情况下，s500可以是由部署有网络模拟服务的设备执行的，也即部署有网络模拟服务的设备直接与恶意软件通信，将网络模拟服务生成的第二响应报文反馈给恶意软件。
63.或者，s500也可以是由执行s100-s300的设备执行的。此种情况下，当网络模拟服务生成第二响应报文后，先将第二响应报文发送给执行s100-s300的设备，然后执行s100-s300的设备将第二报文转发给恶意软件。
64.一种实施方式下，访问控制方法还包括s600-s800。其中，执行上述s600-s800所述方法的设备与执行上述s100-s300所述方法的设备可以是同一台设备，也可以是不同的设备。
65.s600：接收恶意软件发送的dns查询请求。
66.其中，dns查询请求包括待查询域名。
67.s700：查询待查询域名对应的ip地址。
68.可选的，可以预先存储有ip地址与域名的对应关系表，该ip地址与域名的对应关系表中包括多个域名，以及每个域名对应的ip地址。在接收到dns查询请求后，从该ip地址与域名的对应关系表中查找待查询域名对应的ip地址。
69.可选的，执行该s500的设备可以与公网连接，在接收到dns查询请求后，向dns查询服务器发送第一查询请求，该第一查询请求中包括待查询域名。并接收dns查询服务器返回
的ip地址，得到待查询域名对应的ip地址。
70.可选的，执行该s700的设备可以与公网连接，且其本地预设有ip地址与域名的对应关系表。在接收到dns查询请求后，首先从该ip地址与域名的对应关系表中查找待查询域名对应的ip地址。若查询到待查询域名对应的ip地址，则执行s800。
71.若未从ip地址与域名的对应关系表中查找到待查询域名对应的ip地址，则向dns查询服务器发送第一查询请求，该第一查询请求中包括待查询域名。并接收dns查询服务器返回的ip地址，得到待查询域名对应的ip地址。并且，将待查询域名以及与其对应的ip地址存储在ip地址与域名的对应关系表中ip地址与域名的对应关系表中。
72.一种实施方式下，目标环境中部署有dns查询服务，s700的具体实现方式可以是：利用dns查询服务查询待查询域名对应的ip地址。
73.其中，dns查询服务可以是脚本、软件代码实现的专用应用程序等，或者，dns查询服务也可以是部署在目标环境中的一个应用程序中的一个或多个微服务。
74.s800：向恶意软件反馈查询到的ip地址。
75.由于s700中可能存在两种结果，一种是查询到待查询域名对应的ip地址，另一种是未查询到待查询域名对应的ip地址。
76.当s700查询到待查询域名对应的ip地址的情况下，可以直接将查询到的待查询域名对应的ip地址反馈给恶意软件。
77.由于一个域名可能对应有多个ip地址，因此，s700查询到的ip地址可能包括多个。可选的，可以将查询到的所有ip地址反馈给恶意软件，或者，也可以是从查询到的多个ip地址中随机选择一个ip地址反馈给恶意软件。
78.可选的，当s700未查询到待查询域名对应的ip地址的情况下，可以向恶意软件反馈表征未查询到待查询域名对应的ip地址的结果。
79.可选的，当s700未查询到待查询域名对应的ip地址的情况下，还可以向恶意软件反馈网络模拟服务的ip地址。
80.在未查询到待查询域名对应的ip地址的情况下，向恶意软件反馈网络模拟服务的ip地址，从而可以实现观测网络模拟服务与恶意软件之间的行为信息，增加可以获取到的恶意软件的网络行为样本的数量。
81.其中，网络模拟服务的ip地址指部署有该网络模拟服务的设备的ip地址。
82.当部署有网络模拟服务的设备与执行该s600-s800所述方法的设备为同一台设备的情况下，向恶意软件反馈网络模拟服务的ip地址即为：向恶意软件反馈本机的ip地址。
83.当部署有网络模拟服务的设备与执行该s600-s800所述方法的设备不为同一台设备的情况下，向恶意软件反馈网络模拟服务的ip地址具体为：获取网络模拟服务的ip地址，并向恶意软件反馈网络模拟服务的ip地址。
84.其中，网络模拟服务的ip地址可以是预先存储在执行该s600-s800所述方法的设备中的，在需要使用时，直接调用即可。或者，也可以是在需要使用时，实时从网络中或其它设备中获取得到的。
85.基于同样的发明构思，本技术还提供一种访问控制系统，该访问控制系统包括存活性确定设备。
86.存活性确定设备，用于响应于恶意软件发出的访问报文，检测公网内所述访问报
文的目的ip地址是否存活；若所述目的ip地址存活，将所述访问报文转发至所述公网；若所述目的ip地址未存活，将所述访问报文转发至预设的网络模拟服务。
87.可选的，当一台设备中包括有存活性确定单元，且存活性确定单元用于响应于恶意软件发出的访问报文，检测公网内所述访问报文的目的ip地址是否存活；若所述目的ip地址存活，将所述访问报文转发至所述公网；若所述目的ip地址未存活，将所述访问报文转发至预设的网络模拟服务。则部署有该存活性确定单元的设备即为存活性确定设备。
88.其中，存活性确定设备与前述的执行s100-s300的设备实施方式及执行功能相同，为简要描述，访问控制系统实施例未提及的部分，可参考前述的访问控制方法实施例中的相应内容。
89.一种实施方式下，访问控制系统，还包括dns查询设备，所述dns查询设备用于接收所述恶意软件发送的dns查询请求，所述dns查询请求包括待查询域名；查询所述待查询域名对应的ip地址；向所述恶意软件反馈查询到的所述ip地址。
90.可选的，当一台设备中包括有dns查询单元，且dns查询单元用于接收所述恶意软件发送的dns查询请求，所述dns查询请求包括待查询域名；查询所述待查询域名对应的ip地址；向所述恶意软件反馈查询到的所述ip地址。则部署有该dns查询单元的设备即为dns查询设备。
91.一种实施方式下，dns查询设备，还用于若未查询到所述待查询域名对应的ip地址，则向所述恶意软件反馈所述网络模拟服务的ip地址。
92.其中，dns查询设备与前述的执行s600-s800的设备实施方式及执行功能相同，为简要描述，访问控制系统实施例未提及的部分，可参考前述的访问控制方法实施例中的相应内容。
93.一种实施方式下，所述访问控制系统，还包括网络模拟服务设备，所述网络模拟服务设备部署有网络模拟服务，所述网络模拟服务设备用于接收所述存活性确定设备转发的所述访问报文，并基于所述访问报文伪装所述目的ip地址对应的设备与所述恶意软件建立通信。
94.可选的，当一台设备中包括有网络模拟服务单元，且网络模拟服务单元用于接收所述存活性确定设备转发的所述访问报文，并基于所述访问报文伪装所述目的ip地址对应的设备与所述恶意软件建立通信。则部署有该网络模拟服务单元的设备即为网络模拟服务设备。
95.其中，网络模拟服务设备与前述的部署有网络模拟服务的设备实施方式及执行功能相同，为简要描述，访问控制系统实施例未提及的部分，可参考前述的访问控制方法实施例中的相应内容。
96.一种实施方式下，所述访问控制系统，还包括恶意软件隔离设备，所述恶意软件隔离设备内部署有恶意软件，所述存活性确定设备与所述恶意软件隔离设备通信连接。
97.可选的，当一台设备中包括有恶意软件隔离单元，且恶意软件隔离单元内部署有恶意软件。则部署有该恶意软件隔离单元的设备即为恶意软件隔离设备。
98.其中，恶意软件隔离设备与前述的部署有恶意软件的设备实施方式及执行功能相同，为简要描述，访问控制系统实施例未提及的部分，可参考前述的访问控制方法实施例中的相应内容。
99.其中，上述的存活性确定单元、dns查询单元、网络模拟服务单元、恶意软件隔离单元可以是软件功能模块。
100.一种实施方式下，存活性确定设备、dns查询设备、网络模拟服务设备、恶意软件隔离设备中的至少两个设备为同一个设备。
101.也即，一台设备中部署有存活性确定单元、dns查询单元、网络模拟服务单元、恶意软件隔离单元中的至少两种软件功能模块，例如，部署有存活性确定单元和dns查询单元的设备为存活性确定设备和dns查询设备。此处举例仅为便于理解，不应作为对本技术的限制。
102.可选的，存活性确定单元、dns查询单元、网络模拟服务单元、恶意软件隔离单元可以部署于同一台设备中，此种情况下，存活性确定设备、dns查询设备、网络模拟服务设备、恶意软件隔离设备为同一台设备，为了便于理解，请参阅图2。
103.如图2所示，恶意软件隔离单元通过虚拟网桥与存活性确定单元、网络模拟服务单元、dns查询单元通信。
104.存活性确定单元、dns查询单元、网络模拟服务单元、恶意软件隔离单元的具体实现方式及原理在前文已叙述清楚，为简要描述，此处不再赘述。
105.请参阅图3，其为本技术实施例提供的一种电子设备200。电子设备200可以是仅包括一台电子设备，或者，电子设备200可以是包括多台电子设备的系统。
106.当电子设备200仅包括一台电子设备的情况下，电子设备200包括：存储器220、处理器240。
107.其中，处理器310和存储器320可以通过通信总线连接。或者通过一些通信模块连接，例如：无线通信模块、蓝牙通信模块、4g/5g通信模块等。存储器320用于存储计算机程序，如存储有图2中所示的软件功能模块，即存活性确定单元、dns查询单元、网络模拟服务单元、恶意软件隔离单元的功能。其中，存活性确定单元、dns查询单元、网络模拟服务单元、恶意软件隔离单元均为可以软件或固件(firmware)的形式存储于所述存储器320中或固化在所述电子设备300的操作系统(operating system，os)中的软件功能模块。
108.电子设备200的处理器执行上述的存活性确定单元、dns查询单元、网络模拟服务单元、恶意软件隔离单元的功能，其中，存活性确定单元、dns查询单元、网络模拟服务单元、恶意软件隔离单元的功能在前文已叙述清楚，为简要描述，此处不再赘述。
109.当电子设备200是包括多台电子设备的系统的情况下，每台电子设备均包括存储器220、处理器240。
110.每台电子设备的处理器执行存活性确定单元、dns查询单元、网络模拟服务单元、恶意软件隔离单元中的至少之一，且不同的电子设备执行的功能不同。
111.其中，存储器220可以是，但不限于，随机存取存储器(random access memory，ram)，只读存储器(read only memory，rom)，可编程只读存储器(programmable read-only memory，prom)，可擦除只读存储器(erasable programmable read-only memory，eprom)，电可擦除只读存储器(electric erasable programmable read-only memory，eeprom)等。
112.处理器240可能是一种集成电路芯片，具有信号的处理能力。上述的处理器可以是通用处理器，包括中央处理器(central processing unit，cpu)、网络处理器(network processor，np)等；还可以是数字信号处理器(digital signal processor，dsp)、专用集成
电路(application specific integrated circuit，asic)、现场可编程门阵列(field programmable gate array，fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本技术实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器240也可以是任何常规的处理器等。
113.其中，上述的电子设备200，包括但不限于个人电脑、服务器等。
114.本技术实施例还提供了一种计算机可读取存储介质(以下简称存储介质)，该存储介质上存储有计算机程序，该计算机程序被计算机如上述的电子设备200运行时，执行上述所示的访问控制方法。该计算机可读存储介质包括：u盘、移动硬盘、只读存储器(read-only memory，rom)、随机存取存储器(random access memory，ram)、磁碟或者光盘等各种可以存储程序代码的介质。
115.以上所述仅为本技术的优选实施例而已，并不用于限制本技术，对于本领域的技术人员来说，本技术可以有各种更改和变化。凡在本技术的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本技术的保护范围之内。

技术特征：
1.一种访问控制方法，其特征在于，应用于与公网联通、且部署有网络模拟服务的目标环境，所述方法包括：响应于恶意软件发出的访问报文，检测公网内所述访问报文的目的ip地址是否存活；若所述目的ip地址存活，将所述访问报文转发至所述公网；若所述目的ip地址未存活，将所述访问报文转发至预设的网络模拟服务。2.根据权利要求1所述的方法，其特征在于，所述方法还包括：接收所述恶意软件发送的dns查询请求，所述dns查询请求包括待查询域名；查询所述待查询域名对应的ip地址；向所述恶意软件反馈查询到的所述ip地址。3.根据权利要求2所述的方法，其特征在于，所述方法还包括：若未查询到所述待查询域名对应的ip地址，则向所述恶意软件反馈所述网络模拟服务的ip地址。4.根据权利要求1-3任一项所述的方法，其特征在于，在将所述访问报文转发至所述公网后，所述方法还包括：响应于所述访问报文的响应报文，将所述响应报文发送给所述恶意软件。5.根据权利要求1所述的方法，其特征在于，所述恶意软件部署于隔离环境中，所述隔离环境仅与所述目标环境进行数据交互。6.根据权利要求1所述的方法，其特征在于，所述目标环境中部署有流量存活性探测服务，所述检测公网内所述访问报文的目的ip地址是否存活，包括：利用所述流量存活性探测服务检测公网内所述访问报文的目的ip地址是否存活。7.根据权利要求2所述的方法，其特征在于，所述目标环境中部署有dns查询服务，所述查询所述待查询域名对应的ip地址，包括：利用所述dns查询服务查询所述待查询域名对应的ip地址。8.一种访问控制系统，其特征在于，包括：存活性确定设备，用于响应于恶意软件发出的访问报文，检测公网内所述访问报文的目的ip地址是否存活；若所述目的ip地址存活，将所述访问报文转发至所述公网；若所述目的ip地址未存活，将所述访问报文转发至预设的网络模拟服务。9.根据权利要求8所述的访问控制系统，其特征在于，所述访问控制系统，还包括：dns查询设备，所述dns查询设备用于接收所述恶意软件发送的dns查询请求，所述dns查询请求包括待查询域名；查询所述待查询域名对应的ip地址；向所述恶意软件反馈查询到的所述ip地址。10.根据权利要求9所述的访问控制系统，其特征在于，所述dns查询设备，还用于若未查询到所述待查询域名对应的ip地址，则向所述恶意软件反馈所述网络模拟服务的ip地址。11.根据权利要求8所述的访问控制系统，其特征在于，所述访问控制系统，还包括：网络模拟服务设备，所述网络模拟服务设备部署有网络模拟服务，所述网络模拟服务设备用于接收所述存活性确定设备转发的所述访问报文，并基于所述访问报文伪装所述目的ip地址对应的设备与所述恶意软件建立通信。12.根据权利要求8-11任一项所述的访问控制系统，其特征在于，所述访问控制系统，
还包括：恶意软件隔离设备，所述恶意软件隔离设备内部署有恶意软件，所述存活性确定设备与所述恶意软件隔离设备通信连接。13.一种电子设备，其特征在于，包括：存储器和处理器，所述存储器和所述处理器连接；所述存储器，用于存储程序；所述处理器，用于调用存储于所述存储器中的程序，以执行如权利要求1-7中任一项所述的方法。14.一种计算机可读存储介质，其特征在于，其上存储有计算机程序，所述计算机程序被计算机运行时，执行如权利要求1-7中任一项所述的方法。

技术总结
本申请提供一种访问控制方法、系统、电子设备及计算机可读存储介质，涉及计算机的技术领域。访问控制方法，包括：响应于恶意软件发出的访问报文，检测公网内所述访问报文的目的IP地址是否存活；若所述目的IP地址存活，将所述访问报文转发至所述公网；若所述目的IP地址未存活，将所述访问报文转发至预设的网络模拟服务。通过检测访问报文的目的IP地址是否存活，来确定该访问报文的转发对象。从而不会出现因目的IP地址未存活(死亡)导致的网络阻塞，无法继续触发恶意行为等问题。也能够在目的IP地址存活的情况下，将访问报文转发至公网，进而能够得到恶意软件真实的网络行为。够得到恶意软件真实的网络行为。够得到恶意软件真实的网络行为。


技术研发人员：马权 应凌云 刘璐
受保护的技术使用者：奇安信科技集团股份有限公司
技术研发日：2023.07.17
技术公布日：2023/9/16