一种网络安全防护方法、装置、设备及介质与流程

1.本技术涉及网络安全技术领域，具体涉及一种网络安全防护方法、装置、设备及介质。


背景技术：

2.随着互联网技术的飞速发展，网络系统越来越容易遭受到各种攻击，网络安全问题日益突出。
3.目前网络安全防护的主要方法是通过网络应用防火墙(web application firewall，waf)根据既定规则对恶意请求进行拦截。但拦截对象主要是以互联网协议地址(internet protocol address，ip地址)为主。然而，基于ip地址的网络安全防护方法会存在误报及漏报的问题。


技术实现要素：

4.本技术实施例提供一种网络安全防护方法、装置、电子设备及存储介质，提升网络安全防护的精确性。
5.第一方面，本技术实施例提供一种网络安全防护方法，包括：
6.接收终端设备发送的至少一个数据包；其中，所述至少一个数据包包括用户信息；
7.根据所述用户信息，确定设备标识；其中，所述设备标识用于标识所述终端设备；
8.将所述设备标识插入到所述至少一个数据包中，发送所述至少一个数据包到安全防护设备。
9.上述方法中，由于在终端设备的ip地址改变的情况下，设备标识并不受到影响。因此，根据设备标识进行网络安全防护，相较于基于ip地址进行网络安全防护，提升网络安全防护的准确性，即使是恶意终端的ip地址发生变化，也能够基于设备标识对恶意终端进行拦截，减少漏报的问题。另外，如果非恶意终端的ip地址被恶意终端冒用被加入到黑名单中，基于设备标识进行网络安全防护的方法也可以降低误拦截的情况。
10.可选的，所述根据所述用户信息以及时间参数，确定设备标识，包括：
11.根据所述用户信息以及时间参数，确定所述设备标识；其中，所述时间参数用于确定第一时间段；所述设备标识在所述第一时间段内有效。
12.上述方法中，由于设备标识在第一时间段内标识终端设备，可以防止恶意终端根据该设备标识长期追踪终端设备，减少用户隐私信息泄露。
13.可选的，所述将所述设备标识插入到所述至少一个数据包中，包括：
14.在所述至少一个数据包采用的是第一传输协议的情况下，将所述设备标识插入到所述至少一个数据包所有数据包的包头扩展字段中；
15.在所述至少一个数据包采用的是第二传输协议的情况下，将所述设备标识插入到握手数据包的包头扩展字段中；其中，所述握手数据包为所述至少一个数据包中的第一个数据包。
16.上述方法中，根据数据采用的传输协议的不同，确定将设备标识插入到数据包中的不同方法，更具有灵活性。同时，网关设备在数据包的包头插入设备标识，无需对终端设备或接收端进行改造。
17.可选的，所述用户信息包括移动电话薄号码、国际移动用户识别码，以及国际移动设备身份码中的至少一项。
18.上述方法中，移动电话薄号码、国际移动用户识别码以及国际移动设备身份码等是固定的可以标识终端设备的信息，通过移动电话薄号码、国际移动用户识别码，以及国际移动设备身份码中的至少一项确定设备标识，可以提升网络安全防护的准确性。
19.第二方面，本技术实施例提供一种网络安全防护方法，包括：
20.接收网关设备发送的至少一个数据包；其中，所述至少一个数据包包括设备标识，所述设备标识用于在第一时间段内标识终端设备，所述至少一个数据包用于访问目标网页；
21.解析所述至少一个数据包，获取所述设备标识；
22.在第一名单存在所述设备标识的情况下，禁止所述终端设备访问所述目标网页；其中，所述第一名单包括用于指示恶意终端的至少一个设备标识。
23.上述方法，基于设备标识进行网络安全防护，由于在终端设备的ip地址改变的情况下，设备标识并不受到影响。因此，根据设备标识进行网络安全防护，相较于基于ip地址进行网络安全防护更加准确。在恶意终端的ip地址发生变化的情况下，也能够基于设备标识拦截恶意终端，减少漏报的问题。另外，如果非恶意终端的ip地址被恶意终端冒用被加入到黑名单中，基于设备标识进行网络安全防护的方法也可以降低误拦截的情况。同时，通过第一名单确认设备标识是否为恶意终端的设备标识，可以降低安全防护设备的负载，减小功耗。
24.可选的，所述根据所述用户请求使用的传输协议，解析所述至少一个数据包，获得所述设备标识，包括：
25.在所述至少一个数据包采用的是第一传输协议的情况下，对所述至少一个数据包中的任一数据包进行解析，获得设备标识；
26.在所述至少一个数据包采用的是第二传输协议的情况下，对所述至少一个数据包的握手数据包进行解析，获得所述设备标识；其中，所述握手数据包为所述数据包中的第一个数据包。
27.上述方法，根据数据包采用的传输协议的不同，确定具体如何解析数据包，更具有灵活性。
28.可选的，在解析所述至少一个数据包，获得所述设备标识之后，所述方法还包括：
29.在所述至少一个数据包采用的是第二传输协议的情况下，从所述握手数据包中删除所述设备标识以及所述设备标识对应的扩展字段。
30.上述方法，考虑到第二传输协议为可加密传输、身份认证的网络协议，在获得终端的设备标识之后，从握手数据包中删除设备标识以及设备标识对应的扩展字段，使接收端在接收到数据包之后进行完整性校验。
31.可选的，在所述第一名单不存在所述设备标识的情况下，所述方法还包括：
32.在确定预设规则包含所述至少一个数据包指示的行为的情况下，禁止所述数据包
访问所述目标网页，并将所述设备标识添加到所述第一名单中；其中，所述预设规则包括用于指示对网页的多个恶意行为。
33.上述方法，通过预设规则确定数据包指示的行为是否为恶意行为，能够确定对应的终端设备是否为恶意终端，进一步提升网络安全防护的准确性。同时，通过预设规则确定恶意终端的设备标识，将恶意终端的设备标识加入到第一名单，实现第一名单的更新，使第一名单中用于指示恶意终端的设备标识更加全面，精确。
34.可选的，所述方法还包括：
35.在禁止所述至少一个数据包访问所述目标网页之后，向所述终端设备发送告警。
36.上述方法，通过向终端设备发送告警，提示用户终端设备为恶意终端，以及访问目标网页行为为不安全的行为。
37.第三方面，本技术实施例提供一种网络安全防护装置，包括：
38.接收模块，用于接收终端设备发送的至少一个数据包；其中，所述至少一个数据包包括用户信息；
39.处理模块，用于根据所述用户信息，确定设备标识；其中，所述设备标识用于标识所述终端设备；
40.将所述设备标识插入到所述至少一个数据包中，发送所述至少一个数据包到安全防护设备。
41.第四方面，本技术实施例提供一种网络安全防护装置，包括：
42.接收模块，用于接收网关设备发送的至少一个数据包；其中，所述至少一个数据包包括设备标识，所述设备标识用于在第一时间段内标识终端设备，所述至少一个数据包用于访问目标网页；
43.处理模块，用于解析所述至少一个数据包，获取所述设备标识；
44.在第一名单存在所述设备标识的情况下，禁止所述终端设备访问所述目标网页；其中，所述第一名单包括用于指示恶意终端的至少一个设备标识。
45.第五方面，本技术实施例还提供了一种电子设备，包括存储器，处理器及存储在存储器上并可在处理器运行的计算机程序，当计算机程序被处理器执行时，使得处理器实现上述第一方面或第二方面中的任一种网络安全防护方法。
46.第六方面，本技术实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质内存储有计算机程序，所述计算机程序被处理器执行时，实现第一方面或第二方面的网络安全防护方法。
47.第七方面，本技术实施例还提供了一种计算机程序产品，包括计算机程序，所述计算机程序被处理器执行以实现如上述第一方面或第二方面中任一项的网络安全防护方法。
48.第三方面至第七方面中任意一种实现方式所带来的技术效果可参见第一方面或第二方面中对应的实现方式所带来的技术效果，此处不再赘述。
附图说明
49.为了更清楚地说明本技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以
根据这些附图获得其他的附图。
50.图1为本技术实施例中提供的一种网络安全防护方法的应用场景示意图；
51.图2为本技术实施例中提供的一种网络安全防护方法的流程图；
52.图3为本技术实施例中提供的另一种网络安全防护方法的流程图；
53.图4为本技术实施例中提供的一种告警示意图；
54.图5为本技术实施例中提供的一种网络安全防护方法的示例性流程图；
55.图6为本技术实施例中提供的一种通信装置的结构示意图；
56.图7为本技术实施例中提供的另一种通信装置的结构示意图；
57.图8为本技术实施例中提供的一种网络安全防护设备的结构示意图。
具体实施方式
58.为了使本技术的目的、技术方案和优点更加清楚，下面将结合附图对本技术作进一步地详细描述，显然，所描述的实施例仅仅是本技术一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本技术保护的范围。
59.本技术实施例描述的应用场景是为了更加清楚的说明本技术实施例的技术方案，并不构成对于本技术实施例提供的技术方案的限定，本领域普通技术人员可知，随着新应用场景的出现，本技术实施例提供的技术方案对于类似的技术问题，同样适用。其中，在本技术的描述中，除非另有说明，“多个”的含义是两个或两个以上。
60.现有网络安全防护方法中，主要的防护对象为恶意终端的ip地址。但是ip地址与恶意终端并非固定对应的。大部分攻击是由分布在各地的傀儡机通过家庭宽带网络发起的。傀儡机所使用的ip地址是动态的、共享的。例如，宽带终端或移动终端可以通过重新拨号来获取新的ip地址。又例如，恶意终端可以通过虚拟ip地址发起网络攻击。也就是说，ip地址是可能变化的。上述傀儡机是指感染僵尸程序病毒，从而被黑客程序控制的设备。
61.基于ip地址的安全防护方法存在较大误报、漏报、误告警以及误拦截的问题。例如，恶意终端可以通过不同的ip地址访问网页，因此可能存在有些ip地址未被判断为恶意终端的ip地址，从而导致漏报的问题。又例如，上文中傀儡机可以通过家庭宽带网络发起攻击，因此可能会占用非恶意终端的ip地址，这就导致非恶意终端在采用该ip地址访问网页时，会被误拦截的问题。因此，基于ip地址进行网络安全防护的方案准确性低。为了解决上述问题，本技术实施例提供一种网络安全防护方法。
62.如图1所示，为本技术实施例提供的一种可选的网络安全防护方法的应用场景示意图，包括终端101、网关设备102、以及安全防护设备103。终端101、网关设备102、以及安全防护设备103之间可以通过网络实现可通信的连接，以实现本技术的网络安全防护方法。
63.用户可以使用终端101发送至少一个数据包用于访问目标网页，进行信息交互。例如接收或发送消息等。终端101上可以安装有各种客户端应用程序，例如程序编写类应用、网页浏览器应用、搜索类应用等。终端101可以是具有显示屏并且支持网页浏览的各种电子设备，例如移动终端、固定终端或便携式终端，包括但不限于智能手机、平板电脑、台式计算机等等。
64.网关设备102为终端101所在网络的网关设备，例如移动网络中的分组数据网网关
(packet data network-gateway，p-gw)，具体例如路由器、交换机等。
65.安全防护设备103可以通过服务器实现，服务器可以是独立的物理服务器，也可以是多个物理服务器构成的服务器集群或者分布式系统，还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、内容分发网络(content delivery network，cdn)、以及大数据和人工智能平台等基础云计算服务的云服务器，但并不局限于此。安全防护设备103可以配置有web应用防火墙(web application firewall，waf)。
66.终端101用于发送至少一个数据包。网关设备102接收终端设备发送的至少一个数据包。其中，至少一个数据包包括用户信息。根据用户信息以及时间参数，确定设备标识。其中，设备标识用于在第一时间段内标识终端设备。第一时间段是由时间参数确定的。将设备标识插入至少一个数据包中，发送至少一个数据包到安全防护设备103。安全防护设备103用于接收网关设备发送的至少一个数据包。其中，至少一个数据包用于访问目标网页。解析至少一个数据包，获取设备标识。在第一名单存在设备标识的情况下，禁止终端设备访问目标网页。其中，第一名单包括用于指示恶意终端的至少一个设备标识。
67.如图2所示，为本技术实施例提供的一种网络安全防护方法的流程示意图。
68.s201、接收终端设备发送的至少一个数据包；其中，至少一个数据包包括用户信息。
69.上述至少一个数据包用于访问目标网页，网关设备可以接收该至少一个数据包。网关设备例如为p-gw。其中，至少一个数据包可以包括用户信息，以及目标网页的ip地址。
70.一种可能的情况中，用户信息是表示终端设备上网认证的关键信息。当终端为固定终端时，例如台式计算机，用户信息包括：设备的产品序列号(serial number，sn)、媒体存取控制(media accesscontrol，mac)地址等信息中至少一项。
71.当终端为移动终端时，例如移动手机，用户信息包括：移动电话薄号码(mobile directory number，mdn)、国际移动用户识别码(international mobile subscriber identity，imsi)、国际移动设备身份码(international mobile equipment identity，imei)等信息中至少一项。
72.其中，mdn为本网移动用户被叫时，主叫用户所需拨的号码。imsi是用于区分蜂窝网络中不同用户的、在所有蜂窝网络中不重复的识别码。imei用于在移动电话网络中识别每一部独立的手机等移动通信设备，相当于移动电话的身份证。
73.s202、根据用户信息，确定设备标识；其中，设备标识用于标识所述终端设备。
74.例如，网关设备可以对用户信息进行加密，确定设备标识。又例如，网关设备可以根据智能编码算法，对用户信息进行编码，确定设备标识。
75.又例如，网关设备可以根据密钥，通过哈希运算消息认证码(hash-based message authentication code，hmac)算法对用户信息进行加密，确定设备标识。其中，密钥是在网关设备中预先设置的。在同一时间段内，计算各个不同的终端设备的设备标识时，各个终端设备采用同一个密钥。也就是说，在同一网关设备的同一时间段，不同终端设备的密钥是相同的。
76.可以理解的是，网关设备还可以通过其他方式确定设备标识，如信息摘要算法(md5 message-digest algorithm，md5)、雪花(snowflake)算法等，本技术不做具体限定。
设备标识在第一时间段可能不会发生改变，且不同终端设备的设备标识是不同的。
77.基于该方案，由于哈希算法是一种单向密码加密的算法，很难反向推导原始数据，因此根据用户信息进行哈希运算确定设备标识，可以避免泄露用户隐私信息。
78.可选的，网关设备可以根据用户信息和时间参数确定设备标识。其中，该时间参数可以指示第一时间段，确定的该设备标识在第一时间段内可以标识终端设备。也就是说，设备标识的有效期是第一时间段。可选的，超过该第一时间段设备标识不能够再标识终端设备。
79.例如，将时间参数设置为2022/9，则第一时间段为2022年9月。通过哈希计算得到的设备标识用于在2022年9月标识上述终端设备。在2022年10月，用于标识该终端设备的设备标识将发生改变。将时间参数设置为2022/9/5，第一时间段为2022年9月5日。在2022年9月6日，用于标识该终端设备的设备标识将发生改变。
80.需要说明的是，第一时间段可以是根据经验设置的，如设置为1天、2天或者7天、30天等，本技术不做具体限定。
81.基于该方案，通过时间参数确定设备标识，使设备标识在第一时间段内标识终端设备，具有时效性。由于设备标识在第一时间段内标识终端设备，可以防止恶意终端根据设备标识长期追踪终端设备，从而搜集用户隐私信息，减少用户隐私信息泄露。
82.s203、将设备标识插入到至少一个数据包中，发送至少一个数据包到安全防护设备。
83.一种可能的情况中，在接收到的至少一个数据包采用的是第一传输协议的情况下，网关设备将设备标识插入接收到的至少一个数据包中每个数据包的包头(header)的扩展字段中。
84.例如，第一传输协议可以是超文本传输(hypertext transfer protocol，http)协议的情况下，网关设备可以将设备标识插入接收到的至少一个数据包中每个数据包的包头的扩展字段中。
85.另一种可能的情况中，在接收到的至少一个数据包采用的是第二传输协议的情况下，将设备标识插入到握手数据包的包头扩展字段中。其中，握手数据包为接收到的至少一个数据包中的第一个数据包。可选的，握手数据包为客户端问候(client hello)请求包。
86.例如，第二传输协议可以是https(http 安全套接字协议(secure sockets layer，ssl))协议的情况下，将设备标识插入到握手数据包的包头扩展字段中。
87.需要说明的是，https传输协议为加密传输。为了防止在向数据包插入设备标识时，将用户加密信息打乱，所以只在接收到的至少一个数据包中的第一个数据包，即握手数据包，插入设备标识即可。
88.网关设备可以在向至少一个数据包中插入设备标识之后，按照数据包中的目标网页的ip地址，向安全防护设备发送插入设备标识后的至少一个数据包。
89.基于该方案，通过网关设备对数据包的包头插入设备标识的方法，达到无需对终端设备进行改造就可以标识终端设备，且终端设备全程无感知。
90.在网关设备发送插入设备标识的至少一个数据包到安全防护设备之后，安全防护设备解析接收到的至少一个数据包得到设备标识。根据第一名单以及设备标识，确定终端设备是否为恶意终端设备。参考图3提供的实施例，下面对安全防护设备接收到网关设备发
送的至少一个数据包之后，如何确定终端设备为恶意终端进行说明。
91.如图3所示，本技术实施例提供一种网络安全防护方法的流程图。
92.s301、接收网关设备发送的至少一个数据包；其中，至少一个数据包包括设备标识，设备标识用于在第一时间段内标识终端设备，至少一个数据包用于访问目标网页。
93.安全防护设备通过网络与网关设备进行通信。接收网关设备发送的至少一个数据包。
94.s302、解析至少一个数据包，获取设备标识。
95.一种可能的情况中，在接收到的至少一个数据包采用的是第一传输协议的情况下，对至少一个数据包中的任一数据包进行解析，获得设备标识。在接收到的至少一个数据包采用的是第一传输协议的情况下，接收到的所有数据包的包头都被网关设备插入设备标识。读取接收到的至少一个数据包中任意一个数据包包头的扩展字段，获得设备标识。可选的，上文中第一传输协议为http传输协议。
96.另一种可能的情况中，在接收到的至少一个数据包采用的是第二传输协议的情况下，对握手数据包进行解析，获得设备标识。其中，握手数据包为上述接收到的至少一个数据包中的第一个数据包。可选的，上文中第二传输协议为https传输协议。
97.在接收到的至少一个数据包采用的是第二传输协议的情况下，因为接收到至少一个数据包中只有握手数据包被网关设备插入设备标识，且握手数据包是接收到的至少一个数据包中的第一个数据包。读取握手数据包包头的扩展字段，获得设备标识。
98.基于该方案，安全防护设备根据数据包采用的传输协议的不同，确定具体如何解析数据包，更加灵活。
99.s303、在第一名单存在设备标识的情况下，禁止终端设备访问目标网页；其中，第一名单包括用于指示恶意终端的至少一个设备标识。
100.一种可能的情况中，由于采用第一传输协议传输数据包，在数据包中插入设备标识不影响后续解析。安全防护设备获得设备标识后，在安全防护设备与接收端为两个不同的设备的情况下，为了使接收端接收到初始的用户请求，对网关设备插入设备标识的过程无感知。安全防护设备可以从每个数据包的包头中删除设备标识以及携带设备标识的扩展字段。
101.可选的，在安全防护设备与接收端为两个不同的设备的情况下，接收端需要根据设备标识，再次进行网络安全防护检验。安全防护设备可以减少工作量，不从每个数据包的包头中删除设备标识以及携带设备标识的扩展字段。
102.另一种可能的情况中，由于采用第二传输协议传输数据包，第二传输协议为可加密传输、身份认证的网络协议，接收端是需要进行完整性校验的。在获得终端的设备标识之后，安全防护设备从握手数据包中删除设备标识以及设备标识对应的扩展字段。
103.例如，在安全防护设备接收到的至少一个数据包采用https的进行传输的情况下，在解析获取设备标识之后，在client hello包中删除该终端设备的设备标识以及携带该终端设备的设备标识的扩展字段。
104.可以理解的是，接收端与安全防护设备可以为同一设备，也可以为不同设备。可选的，上文中的接收端可以为独立的服务器或者是多个服务器组成的服务器集群。
105.在一种可能的实施例中，安全防护设备在对接收到的至少一个数据包进行解析，
获得设备标识之后，将设备标识与第一名单进行逐一匹配。其中，第一名单用于指示恶意终端的至少一个设备标识。恶意终端表示存在异常行为的终端，异常行为表示对网络安全产生威胁的行为。
106.一种可能的情况中，在第一名单中存在设备标识的情况下，禁止该设备标识对应的终端设备访问目标网页。另一种可能的情况中，在第一名单不存在设备标识的情况下，确定预设规则是否包含上述至少一个数据包指示的行为。在预设规则包含至少一个数据包指示的行为的情况下，禁止上述数据包访问目标网页，并将上述数据包包含的设备标识添加到第一名单中。在预设规则不包含至少一个数据包指示的行为的情况下，允许上述至少一个数据包访问目标网页。
107.上文中，数据包指示的行为是通过对数据包进行分析，提取数据包的长度、帧格式、协议、源ip地址、源端口以及目标ip地址等信息得到的。预设规则包括用于指示对网页的多个恶意行为。
108.可以理解的是，在接收端与安全防护设备为同一设备时，允许上述至少一个数据包访问目标网页。在接收端与安全防护设备为不同设备时，安全防护设备发送上述至少一个数据包到接收端。
109.由于在第一名单中的设备标识是不断增加的，且设备标识是具有时效性的。因此，需要更新第一名单。例如，根据预设规则确定恶意终端的设备标识。将恶意终端的设备标识加入到第一名单中，实现第一名单的更新。又例如，在其他安全防护设备发现恶意终端的设备标识情况下，接收其他安全防护设备发送的恶意终端的设备标识。在第一名单中添加上述恶意终端的设备标识，实现第一名单的更新。又例如，根据到达第一时间段后对应的时间节点更新第一名单。使第一名单中用于指示恶意终端设备的设备标识能够随着第一时间段进行更新。
110.基于该方案，更新第一名单中用于指示恶意终端的设备标识，使第一名单更加全面，从而使网络安全防护更加准确。
111.在一种可能的实施例中，安全防护设备在禁止终端设备访问目标网页之后，向终端设备发送告警。其中，告警用于表示该终端设备发送的数据包指示的行为不安全。例如，在禁止至少一个数据包访问目标网页之后，向终端设备返回告警。假设终端设备具有显示屏。终端设备接收到的告警如图4所示，提示“访问目标网页行为不安全”。可以理解的是，上述图4示出的告警仅作为示例性示出，不构成对本技术实施例中的告警的限定。本技术实施例中，安全防护设备发送的告警还可以包括短信息或语音电话等。
112.在另一种可能的实施例中，假设安全防护设备具有显示屏，可以在显示屏上显示告警信息，或者，安全防护设备将告警信息发送给网络管理人员的终端设备，提醒网络管理人员存在不安全的用户请求，以便网络管理人员及时处理。
113.本技术实施例中，通过上述基于设备标识进行网络安全防护的方法，可以提升网络安全防护的精确性。由于在终端设备的ip地址改变的情况下，设备标识并不受到影响。因此，相较于根据ip地址进行网络安全防护更加准确。在恶意终端的ip地址发生变化的情况下，也可以基于设备标识拦截恶意终端，减少漏报的问题。在非恶意终端的ip地址被恶意终端冒用被加入到黑名单时，基于设备标识进行网络安全防护，也可以降低误拦截的情况。以下，结合图5对本技术实施例提供的一种安全防护方法进行详细介绍。参阅图5，本技术提供
一种安全防护方法的示例性流程图，可以包括以下操作。
114.s501、网关设备接收终端设备发送的至少一个数据包；其中，至少一个数据包包括用户信息；
115.s502、网关设备根据用户信息以及时间参数，确定设备标识；
116.s503、网关设备判断至少一个数据包采用的传输协议是否为第一传输协议，若是，执行s504；若否；执行s505；
117.s504、网关设备将设备标识插入到至少一个数据包所有数据包的包头扩展字段中；
118.s505、网关设备将设备标识插入到握手数据包的包头扩展字段中；其中，握手数据包为至少一个数据包中的第一个数据包；
119.s506、网关设备发送至少一个数据包到安全防护设备；
120.s507、安全防护设备接收网关设备发送的至少一个数据包；其中，至少一个数据包包括设备标识，设备标识用于在第一时间段内标识终端设备，至少一个数据包用于访问目标网页；
121.s508、安全防护设备判断至少一个数据包采用的传输协议是否为第一传输协议，若是，执行s509；若否；执行s510；
122.s509、安全防护设备对至少一个数据包中的任一数据包进行解析，获得设备标识；
123.s510、安全防护设备对至少一个数据包的握手数据包进行解析，获得设备标识；
124.s511、安全防护设备从握手数据包中删除设备标识以及设备标识对应的扩展字段；
125.s512、安全防护设备判断第一名单是否存在设备标识；其中，第一名单包括用于指示恶意终端的至少一个设备标识；若是，执行s513；若否，执行s514；
126.s513、安全防护设备禁止终端设备访问目标网页；
127.s514、安全防护设备向终端设备发送告警；
128.s515、安全防护设备判断预设规则是否包含至少一个数据包指示的行为，其中，预设规则包括用于指示对网页的多个恶意行为；若是，执行s516；若否；执行s517；
129.s516、将设备标识添加到第一名单中，执行s513；
130.s517、安全防护设备允许至少一个数据包访问目标网页。
131.如图6所示，本技术提供一种可能的通信装置的结构示意图，这些通信装置可以用于实现上述方法实施例中网关设备的操作，因此也能实现上述方法实施例所具备的有益效果。
132.如图6所示，通信装置600包括接收模块610、处理模块620、发送模块630。通信装置600用于实现实施例中网关设备的操作。
133.接收模块610，用于接收终端设备发送的至少一个数据包；其中，所述至少一个数据包包括用户信息。
134.处理模块620，用于根据用户信息，确定设备标识；其中，设备标识用于标识所述终端设备。
135.发送模块630，用于将所述设备标识插入到所述至少一个数据包中，发送所述至少一个数据包到安全防护设备。
136.可选的，所述根据所述用户信息以及时间参数，确定设备标识，处理模块620具体用于：
137.根据所述用户信息以及时间参数，确定所述设备标识；其中，所述时间参数用于确定第一时间段；所述设备标识在所述第一时间段内有效。
138.可选的，所述将所述设备标识插入到所述至少一个数据包中，处理模块620具体用于：
139.在所述至少一个数据包采用的是第一传输协议的情况下，将所述设备标识插入到所述至少一个数据包所有数据包的包头扩展字段中；
140.在所述至少一个数据包采用的是第二传输协议的情况下，将所述设备标识插入到握手数据包的包头扩展字段中；其中，所述握手数据包为所述至少一个数据包中的第一个数据包。
141.可选的，所述用户信息包括移动电话薄号码、国际移动用户识别码，以及国际移动设备身份码中的至少一项。
142.如图7所示，本技术提供一种可能的通信装置的结构示意图，通信装置700包括接收模块710、处理模块720、确定模块730。通信装置700用于实现上述方法实施例中安全防护设备的操作，因此也能实现上述方法实施例所具备的有益效果。
143.接收模块710，用于接收网关设备发送的至少一个数据包；其中，所述至少一个数据包包括设备标识，所述设备标识用于在第一时间段内标识终端设备，所述至少一个数据包用于访问目标网页。
144.处理模块720，用于解析所述至少一个数据包，获取所述设备标识；
145.确定模块730，用于在第一名单存在所述设备标识的情况下，禁止所述终端设备访问所述目标网页；其中，所述第一名单包括用于指示恶意终端的至少一个设备标识。
146.可选的，所述根据所述用户请求使用的传输协议，解析所述至少一个数据包，获得所述设备标识，处理模块720具体用于：
147.在所述至少一个数据包采用的是第一传输协议的情况下，对所述至少一个数据包中的任一数据包进行解析，获得设备标识；
148.在所述至少一个数据包采用的是第二传输协议的情况下，对所述至少一个数据包的握手数据包进行解析，获得所述设备标识；其中，所述握手数据包为所述数据包中的第一个数据包。
149.可选的，在解析所述至少一个数据包，获得所述设备标识之后，处理模块720还用于：
150.在所述至少一个数据包采用的是第二传输协议的情况下，从所述握手数据包中删除所述设备标识以及所述设备标识对应的扩展字段。
151.可选的，在所述第一名单不存在所述设备标识的情况下，处理模块720还用于：
152.在确定预设规则包含所述至少一个数据包指示的行为的情况下，禁止所述数据包访问所述目标网页，并将所述设备标识添加到所述第一名单中；其中，所述预设规则包括用于指示对网页的多个恶意行为。
153.可选的，处理模块720还用于：
154.在禁止所述至少一个数据包访问所述目标网页之后，向所述终端设备发送告警。
155.在介绍了本技术示例性实施方式的网络安全防护方法和装置之后，接下来，介绍根据本技术的另一示例性实施方式的电子设备。
156.所属技术领域的技术人员能够理解，本技术的各个方面可以实现为系统、方法或程序产品。因此，本技术的各个方面可以具体实现为以下形式，即：完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等)，或硬件和软件方面结合的实施方式，这里可以统称为“电路”、“模块”或“系统”。
157.在一些可能的实施方式中，根据本技术的电子设备可以至少包括至少一个处理器、以及至少一个存储器。其中，存储器存储有程序代码，当程序代码被处理器执行时，使得处理器执行本说明书上述描述的根据本技术各种示例性实施方式的网络安全防护方法中的步骤。
158.下面参照图8来描述根据本技术的这种实施方式的电子设备80。图8显示的电子设备80仅仅是一个示例，不应对本技术实施例的功能和使用范围带来任何限制。电子设备80用于实现上述方法实施例中网络设备或安全防护设备的操作，因此也能实现上述方法实施例所具备的有益效果。
159.如图8所示，电子设备80以通用电子设备的形式表现。电子设备80的组件可以包括但不限于：上述至少一个处理器81、上述至少一个存储器82、连接不同系统组件(包括存储器82和处理器81)的总线83。
160.总线83表示几类总线结构中的一种或多种，包括存储器总线或者存储器控制器、外围总线、处理器或者使用多种总线结构中的任意总线结构的局域总线。
161.存储器82可以包括易失性存储器形式的可读介质，例如随机存取存储器(ram)821和/或高速缓存存储器822，还可以进一步包括只读存储器(rom)823。
162.存储器82还可以包括具有一组(至少一个)程序模块824的程序/实用工具825，这样的程序模块824包括但不限于：操作系统、一个或者多个应用程序、其它程序模块以及程序数据，这些示例中的每一个或某种组合中可能包括网络环境的实现。
163.电子设备80也可以与一个或多个外部设备84(例如键盘、指向设备等)通信，还可与一个或者多个使得用户能与电子设备80交互的设备通信，和/或与使得该电子设备80能与一个或多个其它电子设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(i/o)接口85进行。并且，电子设备80还可以通过网络适配器86与一个或者多个网络(例如局域网(lan)，广域网(wan)和/或公共网络，例如因特网)通信。如图所示，网络适配器86通过总线83与用于电子设备80的其它模块通信。应当理解，尽管图中未示出，可以结合电子设备80使用其它硬件和/或软件模块，包括但不限于：微代码、设备驱动器、冗余处理器、外部磁盘驱动阵列、raid系统、磁带驱动器以及数据备份存储系统等。
164.在一些可能的实施方式中，本技术提供的一种网络安全防护方法的各个方面还可以实现为一种程序产品的形式，其包括程序代码，当程序产品在计算机设备上运行时，程序代码用于使计算机设备执行本说明书上述描述的根据本技术各种示例性实施方式的一种网络安全防护方法中的步骤。
165.程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。可读存储介质的更具体的例子(非
穷举的列表)包括：具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。
166.本技术的实施方式的用于网络安全防护的程序产品可以采用便携式紧凑盘只读存储器(cd-rom)并包括程序代码，并可以在电子设备上运行。然而，本技术的程序产品不限于此，在本文件中，可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
167.可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了可读程序代码。这种传播的数据信号可以采用多种形式，包括——但不限于——电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质，该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
168.可读介质上包含的程序代码可以用任何适当的介质传输，包括——但不限于——无线、有线、光缆、rf等等，或者上述的任意合适的组合。
169.可以以一种或多种程序设计语言的任意组合来编写用于执行本技术操作的程序代码，程序设计语言包括面向对象的程序设计语言—诸如java、c 等，还包括常规的过程式程序设计语言—诸如“c”语言或类似的程序设计语言。程序代码可以完全地在用户电子设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户电子设备上部分在远程电子设备上执行、或者完全在远程电子设备或服务端上执行。在涉及远程电子设备的情形中，远程电子设备可以通过任意种类的网络——包括局域网(lan)或广域网(wan)—连接到用户电子设备，或者，可以连接到外部电子设备(例如利用因特网服务提供商来通过因特网连接)。
170.应当注意，尽管在上文详细描述中提及了装置的若干单元或子单元，但是这种划分仅仅是示例性的并非强制性的。实际上，根据本技术的实施方式，上文描述的两个或更多单元的特征和功能可以在一个单元中具体化。反之，上文描述的一个单元的特征和功能可以进一步划分为由多个单元来具体化。
171.此外，尽管在附图中以特定顺序描述了本技术方法的操作，但是，这并非要求或者暗示必须按照该特定顺序来执行这些操作，或是必须执行全部所示的操作才能实现期望的结果。附加地或备选地，可以省略某些步骤，将多个步骤合并为一个步骤执行，和/或将一个步骤分解为多个步骤执行。
172.本领域内的技术人员应明白，本技术的实施例可提供为方法、系统、或计算机程序产品。因此，本技术可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本技术可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
173.本技术是参照根据本技术的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个
机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
174.这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
175.这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
176.显然，本领域的技术人员可以对本技术进行各种改动和变型而不脱离本技术的精神和范围。这样，倘若本技术的这些修改和变型属于本技术权利要求及其等同技术的范围之内，则本技术也意图包含这些改动和变型在内。