网络资源访问管理方法、系统、设备及存储介质转让专利
申请号 : CN202110412452.0
文献号 : CN112836141B
文献日 : 2021-07-27
发明人 : 陈炎福
申请人 : 腾讯科技(深圳)有限公司
摘要 :
本申请公开了一种网络资源访问管理方法、系统、设备及存储介质。该方法中,终端设备基于包括含有敏感内容的网络资源的地址信息和内容信息的第二信息集合,以及用于控制所述地址信息和所述内容信息的匹配顺序的匹配优先级指令,然后获取网络数据包,解析得到包括访问的网络资源的地址信息和内容信息的第一信息集合,根据匹配优先级指令对第二信息集合和第一信息集合中的信息进行匹配和拦截,并将匹配结果发送给服务器,以使服务器根据匹配结果对第二信息集合或者匹配优先级指令进行更新;该方法可以有效提高拦截不良信息的准确性和灵活性,有利于提高用户的互联网访问体验。本申请可广泛应用于互联网技术领域。
权利要求 :
1.一种网络资源访问管理方法,其特征在于,包括以下步骤:终端设备接收服务器发送的第二信息集合和匹配优先级指令,并配置或者更新所述第二信息集合和所述匹配优先级指令;其中,所述第二信息集合包括含有敏感内容的网络资源的地址信息和内容信息;所述匹配优先级指令用于控制所述地址信息和所述内容信息的匹配顺序;
终端设备获取目标用户访问网络资源过程中产生的网络数据包;所述网络数据包包括访问请求数据包和资源数据包;
终端设备对所述网络数据包进行解包和分析处理,得到第一信息集合;所述第一信息集合包括所述目标用户访问的网络资源的地址信息和内容信息;
终端设备根据所述匹配优先级指令对所述第二信息集合和所述第一信息集合中的信息进行匹配,当匹配成功时对所述网络数据包进行拦截,并确定所述地址信息对应的第一匹配成功率和所述内容信息对应的第二匹配成功率;
终端设备将所述第一匹配成功率和所述第二匹配成功率发送给服务器,以使所述服务器根据所述第一匹配成功率和所述第二匹配成功率对所述第二信息集合或者所述匹配优先级指令进行更新。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括以下步骤:终端设备获取第三信息集合;所述第三信息集合包括预设访问受限的网络资源的地址信息和内容信息;
终端设备根据所述第三信息集合对所述第二信息集合进行更新。
3.根据权利要求1所述的方法,其特征在于,所述获取目标用户访问网络资源过程中产生的网络数据包,对所述网络数据包进行解包和分析处理,得到第一信息集合,包括:当确定操作者为所述目标用户时,从虚拟网卡设备处读取对网络资源访问产生的所述网络数据包,并根据数据的协议类型对所述网络数据包进行解包和分析处理,得到所述第一信息集合。
4.根据权利要求3所述的方法,其特征在于,所述目标用户通过以下步骤确定:终端设备获取所述操作者的身份信息,根据所述身份信息确定所述操作者是否为未成年人;
当所述操作者为未成年人时,将所述操作者确定为目标用户。
5.根据权利要求3所述的方法,其特征在于,所述地址信息包括所述网络资源的域名地址;
所述根据数据的协议类型对所述网络数据包进行解包和分析处理,包括:当所述数据的所述协议类型为用户数据包协议,判断所述数据是否为域名解析请求;
当所述数据为域名解析请求,对所述网络数据包进行解包得到所述网络资源的所述域名地址。
6.根据权利要求5所述的方法,其特征在于,所述地址信息还包括所述网络资源的IP地址和端口地址;
所述根据数据的协议类型对所述网络数据包进行解包和分析处理,还包括:当所述数据不为域名解析请求,对所述网络数据包进行解包得到所述网络资源的所述IP地址和所述端口地址。
7.根据权利要求1所述的方法,其特征在于,所述对所述第二信息集合进行更新,包括:获取第四信息集合;所述第四信息集合包括当前采集的含有敏感内容的网络资源的地址信息和内容信息;
根据所述第四信息集合对所述第二信息集合进行更新。
8.根据权利要求7所述的方法,所述根据所述第四信息集合对所述第二信息集合进行更新,包括:
对所述第四信息集合和所述第二信息集合进行去重合并,得到第五信息集合;
根据所述第五信息集合对所述第二信息集合进行差分处理,得到差分信息集合;
将所述差分信息集合发送给终端设备,以使所述终端设备对配置的所述第二信息集合进行更新。
9.根据权利要求1‑8中任一项所述的方法,其特征在于,所述对所述第二信息集合进行更新,包括:
当所述第一匹配成功率大于所述第二匹配成功率时,对所述内容信息进行更新;
或者,
当所述第一匹配成功率小于等于所述第二匹配成功率时,对所述地址信息进行更新。
10.根据权利要求1‑8中任一项所述的方法,其特征在于,所述对所述第二信息集合进行更新,包括:
当所述第一匹配成功率小于等于第一阈值时,对所述地址信息进行更新;
或者,
当所述第二匹配成功率小于等于第二阈值时,对所述内容信息进行更新。
11.根据权利要求1所述的方法,其特征在于,所述地址信息包括所述网络资源的域名地址、IP地址和端口地址;所述内容信息包括所述网络资源的关键字和资源名称;
所述对所述匹配优先级指令进行更新,包括:调整所述域名地址、所述IP地址、所述端口地址、所述关键字或者所述资源名称中至少一者的匹配顺序。
12.一种网络资源访问管理系统,其特征在于,应用于终端设备,所述系统包括:接收模块,用于接收服务器发送的第二信息集合和匹配优先级指令;并配置或者更新所述第二信息集合和所述匹配优先级指令;其中,所述第二信息集合包括含有敏感内容的网络资源的地址信息和内容信息;所述匹配优先级指令用于控制所述地址信息和所述内容信息的匹配顺序;
获取模块,用于获取目标用户访问网络资源过程中产生的网络数据包;所述网络数据包包括访问请求数据包和资源数据包;
处理模块,用于对所述网络数据包进行解包和分析处理,得到第一信息集合;所述第一信息集合包括所述目标用户访问的网络资源的地址信息和内容信息;
匹配模块,用于根据所述匹配优先级指令对所述第二信息集合和所述第一信息集合中的信息进行匹配,当匹配成功时对所述网络数据包进行拦截,并确定所述地址信息对应的第一匹配成功率和所述内容信息对应的第二匹配成功率;
发送模块,用于将所述第一匹配成功率和所述第二匹配成功率发送给服务器,以使所述服务器根据所述第一匹配成功率和所述第二匹配成功率对所述第二信息集合或者所述匹配优先级指令进行更新。
13.一种计算机设备,其特征在于,包括:至少一个处理器;
至少一个存储器,用于存储至少一个程序;
当所述至少一个程序被所述至少一个处理器执行,使得所述至少一个处理器实现如权利要求1‑11中任一项所述的方法。
14.一种计算机可读存储介质,其中存储有处理器可执行的程序,其特征在于:所述处理器可执行的程序在由处理器执行时用于实现如权利要求1‑11中任一项所述的方法。
说明书 :
网络资源访问管理方法、系统、设备及存储介质
技术领域
[0001] 本申请涉及互联网技术领域,尤其是一种网络资源访问管理方法、系统、设备及存储介质。
背景技术
[0002] 近年来,互联网技术飞速发展,在线信息的规模与日俱增,因此吸引了许多年轻人甚至未成年人加入到访问互联网的行列中。互联网可为用户提供优质的教育内容,可以引
导未成年人积极参与生活实践,养成良好的行为习惯。
导未成年人积极参与生活实践,养成良好的行为习惯。
[0003] 然而,互联网上也有许多不适合未成年人浏览的不良信息,例如某些网站提供的色情、暴力内容可能影响未成年人的身心健康,部分游戏可能导致未成年人痴迷玩乐而无
心学习。相关技术中,为家长提供了设置未成年人可访问网站或者限制访问网站的功能,以
拦截用户对不良信息的访问。但这些功能的配置过程比较繁琐,操作门槛较高,且应用不灵
活,容易被绕开,对不良信息的拦截效果往往不太理想。综上,相关技术中存在的问题亟需
得到解决。
心学习。相关技术中,为家长提供了设置未成年人可访问网站或者限制访问网站的功能,以
拦截用户对不良信息的访问。但这些功能的配置过程比较繁琐,操作门槛较高,且应用不灵
活,容易被绕开,对不良信息的拦截效果往往不太理想。综上,相关技术中存在的问题亟需
得到解决。
发明内容
[0004] 本申请的目的在于至少一定程度上解决现有技术中存在的技术问题之一。
[0005] 为此,本申请实施例的一个目的在于提供一种网络资源访问管理方法,该方法能够提高对含有不良信息的网络资源访问拦截时的准确性和灵活性,有利于提高用户的互联
网访问体验。
网访问体验。
[0006] 为了达到上述技术目的,本申请实施例所采取的技术方案包括:
[0007] 一方面,本申请实施例提供一种网络资源访问管理方法,该方法包括以下步骤:
[0008] 获取目标用户访问网络资源过程中产生的网络数据包;所述网络数据包包括访问请求数据包和资源数据包;
[0009] 对所述网络数据包进行解包和分析处理,得到第一信息集合;所述第一信息集合包括所述目标用户访问的网络资源的地址信息和内容信息;
[0010] 根据匹配优先级指令对第二信息集合和所述第一信息集合中的信息进行匹配,当匹配成功时对所述网络数据包进行拦截,并确定所述地址信息对应的第一匹配成功率和所
述内容信息对应的第二匹配成功率;其中,所述第二信息集合包括含有敏感内容的网络资
源的地址信息和内容信息;所述匹配优先级指令用于控制所述地址信息和所述内容信息的
匹配顺序;
述内容信息对应的第二匹配成功率;其中,所述第二信息集合包括含有敏感内容的网络资
源的地址信息和内容信息;所述匹配优先级指令用于控制所述地址信息和所述内容信息的
匹配顺序;
[0011] 将所述第一匹配成功率和所述第二匹配成功率发送给服务器,以使所述服务器根据所述第一匹配成功率和所述第二匹配成功率对所述第二信息集合或者所述匹配优先级
指令进行更新。
指令进行更新。
[0012] 另一方面,本申请实施例还提供一种网络资源访问管理系统,该系统包括:
[0013] 获取模块,用于获取目标用户访问网络资源过程中产生的网络数据包;所述网络数据包包括访问请求数据包和资源数据包;
[0014] 处理模块,用于对所述网络数据包进行解包和分析处理,得到第一信息集合;所述第一信息集合包括所述目标用户访问的网络资源的地址信息和内容信息;
[0015] 匹配模块,用于根据匹配优先级指令对第二信息集合和所述第一信息集合中的信息进行匹配,当匹配成功时对所述网络数据包进行拦截,并确定所述地址信息对应的第一
匹配成功率和所述内容信息对应的第二匹配成功率;其中,所述第二信息集合包括含有敏
感内容的网络资源的地址信息和内容信息;所述匹配优先级指令用于控制所述地址信息和
所述内容信息的匹配顺序;
匹配成功率和所述内容信息对应的第二匹配成功率;其中,所述第二信息集合包括含有敏
感内容的网络资源的地址信息和内容信息;所述匹配优先级指令用于控制所述地址信息和
所述内容信息的匹配顺序;
[0016] 发送模块,用于将所述第一匹配成功率和所述第二匹配成功率发送给服务器,以使所述服务器根据所述第一匹配成功率和所述第二匹配成功率对所述第二信息集合或者
所述匹配优先级指令进行更新。
所述匹配优先级指令进行更新。
[0017] 另一方面,本申请实施例还提供了一种计算机可读存储介质,其中存储有处理器可执行的指令,上述处理器可执行的指令在由处理器执行时用于实现前面所述的网络资源
访问管理方法。
访问管理方法。
[0018] 另一方面,本申请实施例提供了一种设备,包括:
[0019] 至少一个处理器;
[0020] 至少一个存储器,用于存储至少一个程序;
[0021] 当至少一个所述程序被至少一个所述处理器执行时实现如前面所述的网络资源访问管理方法。
[0022] 另一方面,本申请实施例还提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在前面所述的计算机可读存介
质中;前面所述的计算机设备的处理器可以从前面所述的计算机可读存储介质读取该计算
机指令,处理器执行该计算机指令,使得该计算机设备执行前面所述的网络资源访问管理
方法。
质中;前面所述的计算机设备的处理器可以从前面所述的计算机可读存储介质读取该计算
机指令,处理器执行该计算机指令,使得该计算机设备执行前面所述的网络资源访问管理
方法。
[0023] 本发明的优点和有益效果将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到:
[0024] 本申请实施例中提供的网络资源访问管理方法,基于包括含有敏感内容的网络资源的地址信息和内容信息的第二信息集合,以及用于控制所述地址信息和所述内容信息的
匹配顺序的匹配优先级指令,实现对终端设备的网络访问的过滤以拦截不良信息;终端设
备获取网络数据包,解析得到包括目标用户访问的网络资源的地址信息和内容信息的第一
信息集合,然后根据匹配优先级指令对第二信息集合和第一信息集合中的信息进行匹配和
拦截,并确定地址信息和内容信息对应的匹配成功率后发送给服务器,以使服务器根据匹
配成功率对第二信息集合或者匹配优先级指令进行更新;该网络资源访问管理方法通过终
端设备对网络访问进行多维度的匹配和过滤,对不良信息网络访问的拦截具有较高的准确
性,并且服务器可以根据匹配结果对匹配的内容或策略做更新,可以增强拦截不良信息的
灵活性,有利于提高用户的互联网访问体验。
匹配顺序的匹配优先级指令,实现对终端设备的网络访问的过滤以拦截不良信息;终端设
备获取网络数据包,解析得到包括目标用户访问的网络资源的地址信息和内容信息的第一
信息集合,然后根据匹配优先级指令对第二信息集合和第一信息集合中的信息进行匹配和
拦截,并确定地址信息和内容信息对应的匹配成功率后发送给服务器,以使服务器根据匹
配成功率对第二信息集合或者匹配优先级指令进行更新;该网络资源访问管理方法通过终
端设备对网络访问进行多维度的匹配和过滤,对不良信息网络访问的拦截具有较高的准确
性,并且服务器可以根据匹配结果对匹配的内容或策略做更新,可以增强拦截不良信息的
灵活性,有利于提高用户的互联网访问体验。
附图说明
[0025] 为了更清楚地说明本申请实施例或者现有技术中的技术方案,下面对本申请实施例或者现有技术中的相关技术方案附图作以下介绍,应当理解的是,下面介绍中的附图仅
仅为了方便清晰表述本发明的技术方案中的部分实施例,对于本领域的技术人员来说,在
无需付出创造性劳动的前提下,还可以根据这些附图获取到其他附图。
仅为了方便清晰表述本发明的技术方案中的部分实施例,对于本领域的技术人员来说,在
无需付出创造性劳动的前提下,还可以根据这些附图获取到其他附图。
[0026] 图1为相关技术中提供的一种设置访问限制功能时的终端设备界面示意图;
[0027] 图2为相关技术中提供的一种通过浏览器访问网站时的终端设备界面示意图;
[0028] 图3为本申请实施例中提供的一种网络资源访问管理方法的实施环境示意图;
[0029] 图4为本申请实施例中提供的一种网络资源访问管理方法的流程示意图;
[0030] 图5为本申请实施例中提供的一种通过浏览器访问网络资源时终端设备与服务器的交互示意图;
[0031] 图6为本申请实施例中提供的一种网络资源访问管理方法中获取第一信息集合的流程示意图;
[0032] 图7为本申请实施例中提供的一种网络资源访问管理方法中第二信息集合与第一信息集合匹配的流程示意图;
[0033] 图8为本申请实施例中提供的一种网络资源访问管理方法应用在直播软件时的终端设备界面示意图;
[0034] 图9为本申请实施例中提供的另一种网络资源访问管理方法的流程示意图;
[0035] 图10为本申请实施例中提供的网络资源访问管理方法中信息数据交互的示意图;
[0036] 图11为本申请实施例中提供的网络资源访问管理方法中更新第二信息集合的示意图;
[0037] 图12为本申请实施例中提供的终端设备配置更新第二信息集合和匹配优先级指令时的流程示意图;
[0038] 图13为本申请实施例中提供的一种网络资源访问管理系统的结构示意图;
[0039] 图14为本申请实施例中提供的另一种网络资源访问管理系统的结构示意图;
[0040] 图15为本申请实施例中提供的一种计算机设备的结构示意图。
具体实施方式
[0041] 下面详细描述本申请的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附
图描述的实施例是示例性的,仅用于解释本发明,而不能理解为对本发明的限制。对于以下
实施例中的步骤编号,其仅为了便于阐述说明而设置,对步骤之间的顺序不做任何限定,实
施例中的各步骤的执行顺序均可根据本领域技术人员的理解来进行适应性调整。
图描述的实施例是示例性的,仅用于解释本发明,而不能理解为对本发明的限制。对于以下
实施例中的步骤编号,其仅为了便于阐述说明而设置,对步骤之间的顺序不做任何限定,实
施例中的各步骤的执行顺序均可根据本领域技术人员的理解来进行适应性调整。
[0042] 除非另有定义,本文所使用的所有的技术和科学术语与属于本申请的技术领域的技术人员通常理解的含义相同。本文中所使用的术语只是为了描述本申请实施例的目的,
不是旨在限制本申请。
不是旨在限制本申请。
[0043] 对本申请实施例进行进一步详细说明之前,对本申请实施例中涉及的名词和术语进行说明。
[0044] IP(Internet Protocol)地址:指互联网协议地址,又称为网际协议地址。IP地址是IP协议提供的一种统一的地址格式,它为互联网上的每一个网络和每一台主机分配一个
逻辑地址,以此来屏蔽物理地址的差异。通过IP地址就可以访问到每一台主机或者网络。IP
地址由4部分数字组成,每部分都不大于256,各部分之间用小数点分开,例如
“113.65.12.132”就是一个IP地址。
逻辑地址,以此来屏蔽物理地址的差异。通过IP地址就可以访问到每一台主机或者网络。IP
地址由4部分数字组成,每部分都不大于256,各部分之间用小数点分开,例如
“113.65.12.132”就是一个IP地址。
[0045] 域名:又称网域,是由一串用点分隔的名字组成的互联网上某一台计算机或计算机组的名称,用于在数据传输时对计算机的定位标识(有时也指地理位置),由于IP地址具
有不方便记忆并且不能显示地址组织的名称和性质等缺点,因此设计出了域名,并通过网
域名称系统(DNS,Domain Name System)来将域名和IP地址相互映射,使人更方便地访问互
联网,而不用去记住能够被机器直接读取的IP地址数串。例如“www.wikipedia.org”是一个
域名,和IP地址“208.80.152.2”相对应。
有不方便记忆并且不能显示地址组织的名称和性质等缺点,因此设计出了域名,并通过网
域名称系统(DNS,Domain Name System)来将域名和IP地址相互映射,使人更方便地访问互
联网,而不用去记住能够被机器直接读取的IP地址数串。例如“www.wikipedia.org”是一个
域名,和IP地址“208.80.152.2”相对应。
[0046] 网址:互联网上网络资源在网上的地址,又叫URL(uniform resource locator,统一资源定位器)。一般域名或者IP地址加上传输协议信息及主机类型信息就构成了网址。例
如http://www.baidu.com/china/index.htm就是一个网址,其中http://代表超文本传输
协议,通知baidu.com服务器显示Web页;www代表一个Web(万维网)服务器;baidu.com/代表
装有网页的服务器的域名;china/代表该服务器上的子目录;index.htm代表文件夹中的一
个HTML文件。
如http://www.baidu.com/china/index.htm就是一个网址,其中http://代表超文本传输
协议,通知baidu.com服务器显示Web页;www代表一个Web(万维网)服务器;baidu.com/代表
装有网页的服务器的域名;china/代表该服务器上的子目录;index.htm代表文件夹中的一
个HTML文件。
[0047] 端口:IP地址中的端口指的是逻辑端口,逻辑端口是用于区分服务的端口,TCP/IP协议中的端口就是逻辑端口,通过不同的逻辑端口地址来区分不同的服务。一个IP地址的
端口通过16bit进行编号,最多可以有65536个端口地址。端口地址可以作为访问主机上的
某一进程的标识符,通过端口可以实现计算机之间进程的通信。
端口通过16bit进行编号,最多可以有65536个端口地址。端口地址可以作为访问主机上的
某一进程的标识符,通过端口可以实现计算机之间进程的通信。
[0048] UDP(User Datagram Protocol,用户数据包协议):互联网协议集支持的一个无连接的传输协议,UDP为应用程序提供了一种无需建立连接就可以发送封装IP数据包的方法。
[0049] 互联网信息时代,用户可以轻松地通过网络完成各种各样的事务,例如办公学习、休闲娱乐、购物交易等活动。而且,随着互联网的日渐普及,它的用户群体的数量增长十分
迅速,呈现出愈发年轻化、低龄化的趋势。当下,越来越多的未成年人也开始接触、使用互联
网,而网络上的信息鱼龙混杂,存在有大量不适合未成年人浏览的信息,影响未成年人的上
网体验,甚至可能会对未成年人的身心健康造成较为恶劣的影响,导致青少年误入歧途。为
此,部分网络软件采用验证用户的身份年龄,当确认用户是成年人时允许访问的方式对访
问网络资源的用户做筛选,但是这种方式相当于直接限制了未成年人用户对网络资源的正
常访问功能,在多数场合并不适用。
迅速,呈现出愈发年轻化、低龄化的趋势。当下,越来越多的未成年人也开始接触、使用互联
网,而网络上的信息鱼龙混杂,存在有大量不适合未成年人浏览的信息,影响未成年人的上
网体验,甚至可能会对未成年人的身心健康造成较为恶劣的影响,导致青少年误入歧途。为
此,部分网络软件采用验证用户的身份年龄,当确认用户是成年人时允许访问的方式对访
问网络资源的用户做筛选,但是这种方式相当于直接限制了未成年人用户对网络资源的正
常访问功能,在多数场合并不适用。
[0050] 相关技术中,部分软件或者操作系统提供了“访问限制功能”,用于给家长或者其他管理人员为未成年人的终端设备设置可访问的网站或者限制访问的网站。例如,参照图
1,图1中示出了一种在终端设备上使用访问限制功能时的界面示意图,在该终端设备上,家
长可以通过进入某个软件或者操作系统中“内容与隐私”选项,开启访问限制功能,然后配
置可访问的网站或者限制访问的网站。具体地,例如图1的界面示意图中,如果家长不希望
孩子浏览一些网站的内容时,可以点击“限制访问内容列表”,然后在弹出的输入框10中点
击显示有“添加:请输入网站”的输入栏110,继而输入网站的网址即可完成配置。对于已配
置好的限制访问网站,则可以在“限制访问内容列表”点击对应的删除按钮120清除。举例来
说,当家长将网站“www.youxi.com”配置为限制访问的网站时,如果该终端设备的用户访问
网站“www.youxi.com”,则该访问的信息将会被拦截,参照图2,此时终端设备的界面会弹出
相应的提示框210,告知用户终端设备无法正常访问网站“www.youxi.com”。虽然上述的“访
问限制功能”在一定程度上能够减少未成年人对不良信息的访问,但是该功能对操作者的
终端设备熟悉程度要求较高,很多家长并不知道该功能的配置方法,且由于互联网内容的
复杂性,配置这些网站的过程十分繁琐且容易出错,在应用过程中还会被未成年人通过更
改设置的方式轻松避开。可见,相关技术中对不良信息的拦截方法应用繁琐,效果不太理
想,无法真正较好地满足用户的实际需求。
1,图1中示出了一种在终端设备上使用访问限制功能时的界面示意图,在该终端设备上,家
长可以通过进入某个软件或者操作系统中“内容与隐私”选项,开启访问限制功能,然后配
置可访问的网站或者限制访问的网站。具体地,例如图1的界面示意图中,如果家长不希望
孩子浏览一些网站的内容时,可以点击“限制访问内容列表”,然后在弹出的输入框10中点
击显示有“添加:请输入网站”的输入栏110,继而输入网站的网址即可完成配置。对于已配
置好的限制访问网站,则可以在“限制访问内容列表”点击对应的删除按钮120清除。举例来
说,当家长将网站“www.youxi.com”配置为限制访问的网站时,如果该终端设备的用户访问
网站“www.youxi.com”,则该访问的信息将会被拦截,参照图2,此时终端设备的界面会弹出
相应的提示框210,告知用户终端设备无法正常访问网站“www.youxi.com”。虽然上述的“访
问限制功能”在一定程度上能够减少未成年人对不良信息的访问,但是该功能对操作者的
终端设备熟悉程度要求较高,很多家长并不知道该功能的配置方法,且由于互联网内容的
复杂性,配置这些网站的过程十分繁琐且容易出错,在应用过程中还会被未成年人通过更
改设置的方式轻松避开。可见,相关技术中对不良信息的拦截方法应用繁琐,效果不太理
想,无法真正较好地满足用户的实际需求。
[0051] 有鉴于此,本申请实施例提供一种网络资源访问管理方法,该方法通过终端设备接收服务器侧下发的包括含有敏感内容的网络资源的地址信息和内容信息的第二信息集
合,以及用于控制地址信息和内容信息的匹配顺序的匹配优先级指令,实现对终端设备的
网络访问行为进行过滤以拦截不良信息;具体地,终端设备侧通过获取网络数据包,解析得
到包括访问的网络资源的地址信息和内容信息的第一信息集合,然后根据匹配优先级指令
对第二信息集合和第一信息集合中的信息进行匹配和拦截,并将匹配结果发送给服务器,
以使服务器根据匹配结果对第二信息集合或者匹配优先级指令进行更新;该网络资源访问
管理方法基于服务器侧下发的不良信息和终端设备侧的访问信息做匹配和拦截,可以有效
提高拦截不良信息的准确性,并且根据匹配结果对服务器侧配置的内容或策略做更新,以
增强拦截不良信息的灵活性,有利于提高用户的互联网访问体验。
合,以及用于控制地址信息和内容信息的匹配顺序的匹配优先级指令,实现对终端设备的
网络访问行为进行过滤以拦截不良信息;具体地,终端设备侧通过获取网络数据包,解析得
到包括访问的网络资源的地址信息和内容信息的第一信息集合,然后根据匹配优先级指令
对第二信息集合和第一信息集合中的信息进行匹配和拦截,并将匹配结果发送给服务器,
以使服务器根据匹配结果对第二信息集合或者匹配优先级指令进行更新;该网络资源访问
管理方法基于服务器侧下发的不良信息和终端设备侧的访问信息做匹配和拦截,可以有效
提高拦截不良信息的准确性,并且根据匹配结果对服务器侧配置的内容或策略做更新,以
增强拦截不良信息的灵活性,有利于提高用户的互联网访问体验。
[0052] 当然,需要说明的是,为了方便对本申请技术方案的理解,本申请实施例中以未成年人作为目标用户,基于对未成年人的网络访问进行拦截为例来解释本申请实施例所能达
到的部分技术效果,但这并不意味着本申请实施例的实施限于对未成年人使用的终端设备
的网络访问进行拦截。应当理解的是,本申请实施例中提供的访问管理方法,同样适用于其
他人员,并且也可以达到类似的技术效果。
到的部分技术效果,但这并不意味着本申请实施例的实施限于对未成年人使用的终端设备
的网络访问进行拦截。应当理解的是,本申请实施例中提供的访问管理方法,同样适用于其
他人员,并且也可以达到类似的技术效果。
[0053] 参考图3,图3示出了本申请实施例的一种实施环境的示意图,在该实施环境中主要包括服务器310和终端设备320。其中,终端设备320可以是任何一种可通过键盘、触摸板、
触摸屏、遥控器、语音交互或手写设备等一种或多种方式进行人机交互的电子产品,例如可
以是个人计算机(Personal Computer,PC)、手机、智能手机、个人数字助手(Personal
Digital Assistant,PDA)、可穿戴设备、掌上电脑PPC(Pocket PC)、智能电视或者平板电脑
等。服务器310可以配置成独立的物理服务器,也可以配置成多个物理服务器构成的服务器
集群或者分布式系统,还可以配置成提供云服务、云数据库、云计算、云存储、网络服务等业
务的云服务器。终端设备320与服务器310之间可以通过无线网络或者有线网络建立通信连
接。该无线网络或有线网络可以使用标准通信技术和/或协议,网络可以设置为因特网,也
可以是其它任何网络,例如包括但不限于局域网(Local Area Network,LAN)、城域网
(Metropolitan Area Network,MAN)、广域网(Wide Area Network,WAN)、移动、有线或者无
线网络、专用网络或者虚拟专用网络的任何组合。
触摸屏、遥控器、语音交互或手写设备等一种或多种方式进行人机交互的电子产品,例如可
以是个人计算机(Personal Computer,PC)、手机、智能手机、个人数字助手(Personal
Digital Assistant,PDA)、可穿戴设备、掌上电脑PPC(Pocket PC)、智能电视或者平板电脑
等。服务器310可以配置成独立的物理服务器,也可以配置成多个物理服务器构成的服务器
集群或者分布式系统,还可以配置成提供云服务、云数据库、云计算、云存储、网络服务等业
务的云服务器。终端设备320与服务器310之间可以通过无线网络或者有线网络建立通信连
接。该无线网络或有线网络可以使用标准通信技术和/或协议,网络可以设置为因特网,也
可以是其它任何网络,例如包括但不限于局域网(Local Area Network,LAN)、城域网
(Metropolitan Area Network,MAN)、广域网(Wide Area Network,WAN)、移动、有线或者无
线网络、专用网络或者虚拟专用网络的任何组合。
[0054] 需要说明的是,上述实施环境的示例并不意味着对本申请实施例提供的网络资源访问管理方法具体应用场景进行限定,图3中的应用场景仅作为示例性的说明。在一些实施
例中,本申请实施例所提供的网络资源访问管理方法的实施环境中,用于存储第二信息集
合可以是区块链服务器;即在实施的过程中,终端设备可以灵活地从区块链中各个已有的
区块获取其他区块链节点所识别、归集的第二信息集合;区块链服务器可以将各个节点识
别、归集的第二信息集合打包成新的区块上传至区块链中。通过区块链的去中心化的数据
存储方式,数据更为公开安全,也可以避免了恶意的数据篡改,同时有利于使得数据的利用
率得到提高。
例中,本申请实施例所提供的网络资源访问管理方法的实施环境中,用于存储第二信息集
合可以是区块链服务器;即在实施的过程中,终端设备可以灵活地从区块链中各个已有的
区块获取其他区块链节点所识别、归集的第二信息集合;区块链服务器可以将各个节点识
别、归集的第二信息集合打包成新的区块上传至区块链中。通过区块链的去中心化的数据
存储方式,数据更为公开安全,也可以避免了恶意的数据篡改,同时有利于使得数据的利用
率得到提高。
[0055] 参照图4,本申请实施例中提供一种网络资源访问管理方法,该访问管理方法可以应用于终端设备中。具体地,该访问管理方法的执行主体可以是终端设备的操作系统,例如
可以是Windows、macOS、Linux、iOS、Android等的任意一种。对于用户来说,由于本申请实施
例中涉及的访问管理方法需要对用户的网络访问行为进行分析和处理,所以该访问管理方
法的执行主体可以被设置为终端设备的操作系统,一方面可以较为全面地在终端设备层面
进行各个软件应用的访问拦截,减少被规避绕开的风险,提高访问拦截的实用性;另一方
面,由终端设备的操作系统执行访问拦截,可以在终端设备的本地端完成对用户访问行为
的处理,无需通过其他的软件进行分析,能够有效减少信息泄露的风险,提高对用户隐私的
保护。
可以是Windows、macOS、Linux、iOS、Android等的任意一种。对于用户来说,由于本申请实施
例中涉及的访问管理方法需要对用户的网络访问行为进行分析和处理,所以该访问管理方
法的执行主体可以被设置为终端设备的操作系统,一方面可以较为全面地在终端设备层面
进行各个软件应用的访问拦截,减少被规避绕开的风险,提高访问拦截的实用性;另一方
面,由终端设备的操作系统执行访问拦截,可以在终端设备的本地端完成对用户访问行为
的处理,无需通过其他的软件进行分析,能够有效减少信息泄露的风险,提高对用户隐私的
保护。
[0056] 下面结合图4对本申请实施例中的网络资源访问管理方法进行说明,图4中的步骤主要包括步骤410至步骤440:
[0057] 步骤410、获取目标用户访问网络资源过程中产生的网络数据包;网络数据包包括访问请求数据包和资源数据包;
[0058] 本申请实施例中,终端设备可以获取其上安装的各个浏览器、软件应用等对网络资源访问过程中产生的网络数据包。具体地,终端设备中可以配置有虚拟网卡,这样由终端
设备中的各个应用向外部服务器发出的数据包以及外部服务器向终端设备中的各个应用
发送的数据包均会被传输至虚拟网卡处,将这些数据包记为网络数据包。换句话说,终端设
备和外界的网络数据包交互都经由虚拟网卡,因此可以从虚拟网卡处获取该网络数据包,
从而根据这些网络数据包对用户的访问行为进行分析,当发现该网络数据包所涉及的网络
资源存在不良信息时,对其进行拦截以达到隔绝访问的目的。
设备中的各个应用向外部服务器发出的数据包以及外部服务器向终端设备中的各个应用
发送的数据包均会被传输至虚拟网卡处,将这些数据包记为网络数据包。换句话说,终端设
备和外界的网络数据包交互都经由虚拟网卡,因此可以从虚拟网卡处获取该网络数据包,
从而根据这些网络数据包对用户的访问行为进行分析,当发现该网络数据包所涉及的网络
资源存在不良信息时,对其进行拦截以达到隔绝访问的目的。
[0059] 参照图5,以用户通过终端设备上的浏览器访问网络资源的过程为例,对终端设备和访问的网络资源所在的web服务器520之间的交互过程进行简要说明:用户在浏览器的地
址栏输入想要访问的网络资源的网址(URL),按下回车键后,浏览器通过UDP连接的方式向
DNS服务器510请求解析该网址中的域名以及其所对应的IP地址;DNS服务器510解析出IP地
址后返回给浏览器,浏览器根据该IP地址和默认端口与网站的web服务器520通过三次握手
建立TCP连接,并向web服务器520发送访问请求;web服务器520对浏览器的访问请求做出响
应,并把对应的html文本发送给浏览器同时关闭TCP连接;浏览器得到html文件后进行内容
显示,从而用户可以通过终端设备进行浏览。可以看出,在用户访问网络资源过程中产生的
数据包主要包含两类,一类是用户对网络资源的访问请求数据包,一类是网络资源针对访
问请求回传的资源数据包,本申请实施例中对网络数据包的拦截,既可以是拦截访问请求
数据包,也可以是拦截资源数据包。
址栏输入想要访问的网络资源的网址(URL),按下回车键后,浏览器通过UDP连接的方式向
DNS服务器510请求解析该网址中的域名以及其所对应的IP地址;DNS服务器510解析出IP地
址后返回给浏览器,浏览器根据该IP地址和默认端口与网站的web服务器520通过三次握手
建立TCP连接,并向web服务器520发送访问请求;web服务器520对浏览器的访问请求做出响
应,并把对应的html文本发送给浏览器同时关闭TCP连接;浏览器得到html文件后进行内容
显示,从而用户可以通过终端设备进行浏览。可以看出,在用户访问网络资源过程中产生的
数据包主要包含两类,一类是用户对网络资源的访问请求数据包,一类是网络资源针对访
问请求回传的资源数据包,本申请实施例中对网络数据包的拦截,既可以是拦截访问请求
数据包,也可以是拦截资源数据包。
[0060] 对于虚拟网卡来说,其一般可以全量获取TCP协议的数据,而在访问请求数据包中,使用UDP协议的DNS域名解析请求由系统默认的DNS服务器IP发送,虚拟网卡设备可能无
法拦截到这类数据,属于比较特殊的UDP数据包;但是系统一般允许自定义设置DNS服务器
IP,故而可以将DNS服务器IP设为虚拟网卡的虚拟IP地址,则所有域名解析请求都会以UDP
数据包的形式转发到虚拟网卡处,因此虚拟网卡可以具备全面的TCP、UDP数据包拦截能力。
法拦截到这类数据,属于比较特殊的UDP数据包;但是系统一般允许自定义设置DNS服务器
IP,故而可以将DNS服务器IP设为虚拟网卡的虚拟IP地址,则所有域名解析请求都会以UDP
数据包的形式转发到虚拟网卡处,因此虚拟网卡可以具备全面的TCP、UDP数据包拦截能力。
[0061] 步骤420、对网络数据包进行解包和分析处理,得到第一信息集合;第一信息集合包括目标用户访问的网络资源的地址信息和内容信息;
[0062] 本申请实施例中,在对网络数据包进行解包和分析处理时,可以获取该数据包访问的网络资源的地址信息和内容信息,将该部分信息记为第一信息集合。第一信息集合中
包括网络资源至少两个维度的信息,即反应网络资源在互联网中的访问地址的地址信息,
以及反应网络资源中具体内容的内容信息。具体地,网络资源的地址信息可以包括网络资
源的IP地址、域名地址、端口地址或者网址中的至少一者;网络资源的内容信息可以包括网
络资源的资源名称或者关键字中的至少一者。例如,某个电影网站的IP地址为
“123.123.123.123”,端口号为第1024端口,域名为“www.dianying.com”,网站的网址(URL)
为“http://www.dianying.com”其上提供了名称为“一部好看的电影”的影视资源供用户浏
览下载,则在浏览器中输入该网站的IP地址及端口、域名或者网址,均可以访问到该网站;
而直接搜索资源名称“一部好看的电影”或者该资源名称的关键字“好看,电影”也能够访问
到该网站。因此,可以通过网络资源所处网站的IP地址、域名地址或者网址表征网络资源的
地址信息,通过网络资源的资源名称或者关键字表征网络资源的内容信息,并根据这些地
址信息和内容信息对网络资源的访问进行匹配和拦截。
包括网络资源至少两个维度的信息,即反应网络资源在互联网中的访问地址的地址信息,
以及反应网络资源中具体内容的内容信息。具体地,网络资源的地址信息可以包括网络资
源的IP地址、域名地址、端口地址或者网址中的至少一者;网络资源的内容信息可以包括网
络资源的资源名称或者关键字中的至少一者。例如,某个电影网站的IP地址为
“123.123.123.123”,端口号为第1024端口,域名为“www.dianying.com”,网站的网址(URL)
为“http://www.dianying.com”其上提供了名称为“一部好看的电影”的影视资源供用户浏
览下载,则在浏览器中输入该网站的IP地址及端口、域名或者网址,均可以访问到该网站;
而直接搜索资源名称“一部好看的电影”或者该资源名称的关键字“好看,电影”也能够访问
到该网站。因此,可以通过网络资源所处网站的IP地址、域名地址或者网址表征网络资源的
地址信息,通过网络资源的资源名称或者关键字表征网络资源的内容信息,并根据这些地
址信息和内容信息对网络资源的访问进行匹配和拦截。
[0063] 本申请实施例中,可以根据网络数据包中数据的协议类型对其进行解包和分析处理。例如参照图6,当获取到网络数据包后,判断其中的数据为UDP协议数据还是TCP协议数
据,若为UDP协议数据,则该数据可能是发送给DNS服务器的域名解析请求,当判断该数据为
域名解析请求时对该数据进行解包分析得到目标用户想要访问的网络资源的域名地址;当
UDP协议数据不是域名解析请求时,则可以对该数据进行解包分析得到目标用户访问的网
络资源的IP地址和端口地址。对于TCP协议类型的数据,在终端设备和访问的网络资源所在
的服务器进行三次TCP握手成功后,对终端设备发送的访问请求数据包进行解析,可以直接
得到目标用户想要访问的网络资源的IP地址、端口地址、资源名称、关键字以及资源类型等
信息。对于上述的从网络数据包中解析得到的各类信息,将其按照信息的类型做整理归集,
即可得到第一信息集合。
据,若为UDP协议数据,则该数据可能是发送给DNS服务器的域名解析请求,当判断该数据为
域名解析请求时对该数据进行解包分析得到目标用户想要访问的网络资源的域名地址;当
UDP协议数据不是域名解析请求时,则可以对该数据进行解包分析得到目标用户访问的网
络资源的IP地址和端口地址。对于TCP协议类型的数据,在终端设备和访问的网络资源所在
的服务器进行三次TCP握手成功后,对终端设备发送的访问请求数据包进行解析,可以直接
得到目标用户想要访问的网络资源的IP地址、端口地址、资源名称、关键字以及资源类型等
信息。对于上述的从网络数据包中解析得到的各类信息,将其按照信息的类型做整理归集,
即可得到第一信息集合。
[0064] 步骤430、根据匹配优先级指令对第二信息集合和第一信息集合中的信息进行匹配,当匹配成功时对网络数据包进行拦截,并确定地址信息对应的第一匹配成功率和内容
信息对应的第二匹配成功率;其中,第二信息集合包括含有敏感内容的网络资源的地址信
息和内容信息;匹配优先级指令用于控制地址信息和内容信息的匹配顺序;
信息对应的第二匹配成功率;其中,第二信息集合包括含有敏感内容的网络资源的地址信
息和内容信息;匹配优先级指令用于控制地址信息和内容信息的匹配顺序;
[0065] 本申请实施例中,对于终端设备来说,其可以预存或者接收服务器发送的第二信息集合和匹配优先级指令。其中,第二信息集合包括含有敏感内容的网络资源的地址信息
和内容信息;匹配优先级指令用于控制地址信息和内容信息的匹配顺序。
和内容信息;匹配优先级指令用于控制地址信息和内容信息的匹配顺序。
[0066] 例如,在一些实施例中,终端设备的操作系统上可以设置有开启、关闭访问拦截功能的选项,用于供未成年人的监护者开启该功能,达到对未成年人使用终端设备时过滤、拦
截不良信息的效果;在一些实施例中,也可以是终端设备获取操作者的身份信息,并根据该
身份信息判断操作者是否是未成年人,当确定操作者是未成年人时,可以自动将其识别为
目标用户,执行本申请实施例中的访问管理方法。当终端设备处于开启访问拦截功能的状
态时,可以从服务器接收下发的信息集合和匹配优先级指令,其中,该信息集合可以包括若
干含有敏感内容的网络资源的地址信息和内容信息,将该信息集合记为第二信息集合。此
处,敏感内容指的是不良信息,例如某些包含有暴力、色情或者赌博等违法信息的网络资
源,均可以被认为是含有敏感内容的网络资源。对这些网络资源的访问行为进行拦截,可以
有效减少对用户的访问体验的不良影响。第二信息集合中同样包括网络资源至少两个维度
的信息,即反应网络资源在互联网中的访问地址的地址信息,以及反应网络资源中具体内
容的内容信息,具体的信息类别和前述的第一信息集合类似,在此不再赘述。本申请实施例
中,匹配优先级指令用于控制地址信息和内容信息后续参与匹配时的顺序。举例来说,匹配
优先级指令可以设置为先匹配地址信息,然后匹配内容信息,当终端设备执行该匹配优先
级指令,即根据网络资源的地址信息以及内容信息对用户的访问进行匹配拦截时,将先匹
配网络资源的地址信息是否一致,如果一致则完成匹配,不再匹配内容信息;如果地址信息
不一致则继续匹配内容信息是否一致。可以理解的是,本申请实施例中控制地址信息和内
容信息的匹配顺序,不仅可以是地址信息和内容信息两个维度的信息的顺序,还可以是地
址信息或者内容信息中各个细分类型信息的顺序。例如若地址信息包括IP地址、域名地址,
内容信息包括资源名称和关键字,则匹配优先级指令可以用于控制IP地址、域名地址、资源
名称和关键字四个匹配信息的顺序,举例来说,匹配优先级指令可以设置为依次匹配IP地
址、关键字、关键字和域名地址,直至匹配一致或者四个匹配信息全部完成匹配。
截不良信息的效果;在一些实施例中,也可以是终端设备获取操作者的身份信息,并根据该
身份信息判断操作者是否是未成年人,当确定操作者是未成年人时,可以自动将其识别为
目标用户,执行本申请实施例中的访问管理方法。当终端设备处于开启访问拦截功能的状
态时,可以从服务器接收下发的信息集合和匹配优先级指令,其中,该信息集合可以包括若
干含有敏感内容的网络资源的地址信息和内容信息,将该信息集合记为第二信息集合。此
处,敏感内容指的是不良信息,例如某些包含有暴力、色情或者赌博等违法信息的网络资
源,均可以被认为是含有敏感内容的网络资源。对这些网络资源的访问行为进行拦截,可以
有效减少对用户的访问体验的不良影响。第二信息集合中同样包括网络资源至少两个维度
的信息,即反应网络资源在互联网中的访问地址的地址信息,以及反应网络资源中具体内
容的内容信息,具体的信息类别和前述的第一信息集合类似,在此不再赘述。本申请实施例
中,匹配优先级指令用于控制地址信息和内容信息后续参与匹配时的顺序。举例来说,匹配
优先级指令可以设置为先匹配地址信息,然后匹配内容信息,当终端设备执行该匹配优先
级指令,即根据网络资源的地址信息以及内容信息对用户的访问进行匹配拦截时,将先匹
配网络资源的地址信息是否一致,如果一致则完成匹配,不再匹配内容信息;如果地址信息
不一致则继续匹配内容信息是否一致。可以理解的是,本申请实施例中控制地址信息和内
容信息的匹配顺序,不仅可以是地址信息和内容信息两个维度的信息的顺序,还可以是地
址信息或者内容信息中各个细分类型信息的顺序。例如若地址信息包括IP地址、域名地址,
内容信息包括资源名称和关键字,则匹配优先级指令可以用于控制IP地址、域名地址、资源
名称和关键字四个匹配信息的顺序,举例来说,匹配优先级指令可以设置为依次匹配IP地
址、关键字、关键字和域名地址,直至匹配一致或者四个匹配信息全部完成匹配。
[0067] 需要说明的是,本申请实施例中,第二信息集合可以是服务器通过任意手段识别、归集得到的信息集合。例如,在一些实施例中,服务器可以是收集多个用户对网络资源含有
不良信息的举报反馈,从而记录得到第二信息集合;在一些实施例中,服务器也可以是通过
大数据分析、自然语言处理等技术处理,从现有的网络资源中检测、识别得到第二信息集
合。当然,服务器中的第二信息集合也可以根据需要进行灵活更新,以尽可能提高对不良信
息的拦截准确性。并且,对于终端设备来说,其获取配置第二信息集合和匹配优先级指令的
过程也可以根据需要多次进行,后续获取的第二信息集合和匹配优先级指令可以对前面已
配置的进行更新。例如,在一些实施例中,当访问拦截功能每次被开启,终端设备自动从服
务器侧拉取一次第二信息集合和匹配优先级指令,并对之前配置的第二信息集合和匹配优
先级指令进行更新;在一些实施例中,当访问拦截功能开启持续一段时间后,终端设备自动
从服务器侧拉取一次第二信息集合和匹配优先级指令,并对当前配置的第二信息集合和匹
配优先级指令进行更新,此处的一段时间可以是任意的时间段,例如一天或者一周等等。当
然,以上终端设备侧更新第二信息集合和匹配优先级指令的方式是示例性的,在一些实施
例中,还可以是每次服务器更新第二信息集合或者匹配优先级指令完毕后,自动向终端设
备发送更新后的内容,以使终端设备完成对第二信息集合或者匹配优先级指令的更新。本
申请实施例中,通过终端设备和服务器的交互使得终端设备获取得到第二信息集合,将繁
重、耗时的不良信息收集工作交由专门的服务器处理,可以减轻终端设备的数据处理量。并
且,服务器可以同时向多个终端设备发送第二信息集合,从而有效提高信息的利用率。
不良信息的举报反馈,从而记录得到第二信息集合;在一些实施例中,服务器也可以是通过
大数据分析、自然语言处理等技术处理,从现有的网络资源中检测、识别得到第二信息集
合。当然,服务器中的第二信息集合也可以根据需要进行灵活更新,以尽可能提高对不良信
息的拦截准确性。并且,对于终端设备来说,其获取配置第二信息集合和匹配优先级指令的
过程也可以根据需要多次进行,后续获取的第二信息集合和匹配优先级指令可以对前面已
配置的进行更新。例如,在一些实施例中,当访问拦截功能每次被开启,终端设备自动从服
务器侧拉取一次第二信息集合和匹配优先级指令,并对之前配置的第二信息集合和匹配优
先级指令进行更新;在一些实施例中,当访问拦截功能开启持续一段时间后,终端设备自动
从服务器侧拉取一次第二信息集合和匹配优先级指令,并对当前配置的第二信息集合和匹
配优先级指令进行更新,此处的一段时间可以是任意的时间段,例如一天或者一周等等。当
然,以上终端设备侧更新第二信息集合和匹配优先级指令的方式是示例性的,在一些实施
例中,还可以是每次服务器更新第二信息集合或者匹配优先级指令完毕后,自动向终端设
备发送更新后的内容,以使终端设备完成对第二信息集合或者匹配优先级指令的更新。本
申请实施例中,通过终端设备和服务器的交互使得终端设备获取得到第二信息集合,将繁
重、耗时的不良信息收集工作交由专门的服务器处理,可以减轻终端设备的数据处理量。并
且,服务器可以同时向多个终端设备发送第二信息集合,从而有效提高信息的利用率。
[0068] 本申请实施例中,对于解析获取到的终端设备对网络资源访问对应的第一信息集合时,可以根据匹配优先级指令对第二信息集合和第一信息集合中的信息进行依序匹配,
当其中的任一类信息匹配成功时,可以认为目标用户想要访问的网络资源可能属于包含有
不良信息的网络资源,此时对该网络数据包进行拦截,以阻止目标用户对该网络资源的访
问,减少不良信息对目标用户互联网使用体验的影响。具体地,举例来说,例如从目标用户
访问某个网络资源的网络数据包中解析得到了该网络资源的IP地址、端口地址、资源名称
和关键字信息,即该网络资源对应的第一信息集合包括IP地址、端口地址、资源名称和关键
字信息。此时则基于第二信息集合对第一信息集合进行匹配,此处参与匹配的第二信息集
合的数量可以是任意的,例如可以是全量的网络资源对应的第二信息集合或者部分抽取的
网络资源对应的第二信息集合。参照图7,若匹配优先级指令中涵盖的匹配顺序为先匹配地
址信息,再匹配内容信息,则可以先取第一信息集合中的IP地址和端口地址,依次与各个参
与匹配的第二信息集合中的IP地址和端口地址进行匹配,若匹配成功,则记录匹配成功的
信息类型为IP地址和端口地址,并拦截该网络数据包;若匹配失败,则按照相同的规则继续
匹配资源名称或者关键字,图7中所示出的匹配顺序为继续依次匹配资源名称和关键字,在
一些实施例中,也可以优先匹配关键字,再匹配资源名称。并且,该匹配优先级指令中也可
以对内容信息中资源名称和关键字的匹配顺序做限定。当IP地址、端口地址、资源名称和关
键字信息全部匹配完毕后,若仍未匹配成功,则说明该网络数据包访问的网络资源有较大
概率并不包含不良信息,此时若网络数据包是访问请求数据包,则可以将其转发至待访问
的网络资源对应的服务器;若网络数据包是资源数据包,则可以接收处理,以完成对网络资
源的正常访问,避免影响到用户的浏览需求。本申请实施例中,在执行上述的匹配过程时,
终端设备还记录并确定第二信息集合与第一信息集合各个类型的信息对应的匹配成功率。
此处的匹配成功率可以分为两个大的维度,例如地址信息对应的记为第一匹配成功率,内
容信息对应的记为第二匹配成功率,而在各个维度下又可以继续根据信息的类型再细分,
例如地址信息对应的第一匹配成功率可以包括IP地址对应的匹配成功率和域名地址对应
的匹配成功率。需要理解的是,此处匹配成功率的计算方式可以有多种,例如在一些实施例
中,可以在一段时间内统计各个类型信息参与匹配的总次数和匹配成功的次数,以匹配成
功的次数除以参与匹配的总次数得到匹配成功率;在一些实施例中,还可以以各个类型信
息匹配成功的次数占总匹配成功的次数的比例来确定匹配成功率。并且统计匹配成功率的
时间间隔也可以根据需要灵活设定。
当其中的任一类信息匹配成功时,可以认为目标用户想要访问的网络资源可能属于包含有
不良信息的网络资源,此时对该网络数据包进行拦截,以阻止目标用户对该网络资源的访
问,减少不良信息对目标用户互联网使用体验的影响。具体地,举例来说,例如从目标用户
访问某个网络资源的网络数据包中解析得到了该网络资源的IP地址、端口地址、资源名称
和关键字信息,即该网络资源对应的第一信息集合包括IP地址、端口地址、资源名称和关键
字信息。此时则基于第二信息集合对第一信息集合进行匹配,此处参与匹配的第二信息集
合的数量可以是任意的,例如可以是全量的网络资源对应的第二信息集合或者部分抽取的
网络资源对应的第二信息集合。参照图7,若匹配优先级指令中涵盖的匹配顺序为先匹配地
址信息,再匹配内容信息,则可以先取第一信息集合中的IP地址和端口地址,依次与各个参
与匹配的第二信息集合中的IP地址和端口地址进行匹配,若匹配成功,则记录匹配成功的
信息类型为IP地址和端口地址,并拦截该网络数据包;若匹配失败,则按照相同的规则继续
匹配资源名称或者关键字,图7中所示出的匹配顺序为继续依次匹配资源名称和关键字,在
一些实施例中,也可以优先匹配关键字,再匹配资源名称。并且,该匹配优先级指令中也可
以对内容信息中资源名称和关键字的匹配顺序做限定。当IP地址、端口地址、资源名称和关
键字信息全部匹配完毕后,若仍未匹配成功,则说明该网络数据包访问的网络资源有较大
概率并不包含不良信息,此时若网络数据包是访问请求数据包,则可以将其转发至待访问
的网络资源对应的服务器;若网络数据包是资源数据包,则可以接收处理,以完成对网络资
源的正常访问,避免影响到用户的浏览需求。本申请实施例中,在执行上述的匹配过程时,
终端设备还记录并确定第二信息集合与第一信息集合各个类型的信息对应的匹配成功率。
此处的匹配成功率可以分为两个大的维度,例如地址信息对应的记为第一匹配成功率,内
容信息对应的记为第二匹配成功率,而在各个维度下又可以继续根据信息的类型再细分,
例如地址信息对应的第一匹配成功率可以包括IP地址对应的匹配成功率和域名地址对应
的匹配成功率。需要理解的是,此处匹配成功率的计算方式可以有多种,例如在一些实施例
中,可以在一段时间内统计各个类型信息参与匹配的总次数和匹配成功的次数,以匹配成
功的次数除以参与匹配的总次数得到匹配成功率;在一些实施例中,还可以以各个类型信
息匹配成功的次数占总匹配成功的次数的比例来确定匹配成功率。并且统计匹配成功率的
时间间隔也可以根据需要灵活设定。
[0069] 步骤440、将第一匹配成功率和第二匹配成功率发送给服务器,以使服务器根据第一匹配成功率和第二匹配成功率对第二信息集合或者匹配优先级指令进行更新。
[0070] 本申请实施例中,终端设备在得到第二信息集合和第一信息集合中各个类型的信息的匹配成功率后,还将这些匹配成功率发送给用于下发、更新第二信息集合和匹配优先
级指令的服务器,以使该服务器根据第一匹配成功率和第二匹配成功率对第二信息集合或
者匹配优先级指令进行更新,具体的更新方式将在服务器侧的实施例部分详细展开,此处
暂不赘述。
级指令的服务器,以使该服务器根据第一匹配成功率和第二匹配成功率对第二信息集合或
者匹配优先级指令进行更新,具体的更新方式将在服务器侧的实施例部分详细展开,此处
暂不赘述。
[0071] 本申请前述实施例中,说明了基于服务器下发的第二信息集合对目标用户的互联网访问行为进行过滤和拦截的具体过程。由于服务器侧一般针对的是公共的不良信息的拦
截需求,例如违法信息必定属于需要被拦截的范畴,而实际应用中,可能存在和目标用户相
关的需求,例如对于未成年人来说,可能部分的网络游戏、直播软件也会较影响他们的正常
学习以及身心健康,因此对于这些和目标用户自身相关的、需要被限制访问的网络资源,可
以由家长或者管理人员根据终端设备使用者的实际需求预先设置一些访问受限的网络资
源,当设置好访问受限的网络资源后,本申请实施例中的访问管理方法中,终端设备可以自
动获取预设访问受限的网络资源的地址信息和内容信息,将这部分信息记为第三信息集
合,第三信息集合中信息的具体类型和第二信息集合类似,在此不再赘述。然后根据第三信
息集合对第二信息集合进行更新,以满足更多个性化的信息过滤需求。举例来说,参照图8,
例如对于中小学生来说,可能直播软件一方面存在大量良莠不齐的娱乐内容,影响小朋友
的身心健康;另一方面这些年纪较小的用户可能对软件功能的认知较浅,经常发生在大人
未知的情况下消费大量金额打赏主播,容易引起经济纠纷。故而可以将这些直播软件设置
为预设访问受限的网络资源,使得低龄用户对这些软件的访问被拦截。
截需求,例如违法信息必定属于需要被拦截的范畴,而实际应用中,可能存在和目标用户相
关的需求,例如对于未成年人来说,可能部分的网络游戏、直播软件也会较影响他们的正常
学习以及身心健康,因此对于这些和目标用户自身相关的、需要被限制访问的网络资源,可
以由家长或者管理人员根据终端设备使用者的实际需求预先设置一些访问受限的网络资
源,当设置好访问受限的网络资源后,本申请实施例中的访问管理方法中,终端设备可以自
动获取预设访问受限的网络资源的地址信息和内容信息,将这部分信息记为第三信息集
合,第三信息集合中信息的具体类型和第二信息集合类似,在此不再赘述。然后根据第三信
息集合对第二信息集合进行更新,以满足更多个性化的信息过滤需求。举例来说,参照图8,
例如对于中小学生来说,可能直播软件一方面存在大量良莠不齐的娱乐内容,影响小朋友
的身心健康;另一方面这些年纪较小的用户可能对软件功能的认知较浅,经常发生在大人
未知的情况下消费大量金额打赏主播,容易引起经济纠纷。故而可以将这些直播软件设置
为预设访问受限的网络资源,使得低龄用户对这些软件的访问被拦截。
[0072] 参照图9,本申请实施例中还提供另一种网络资源访问管理方法,该网络资源访问管理方法可以应用于服务器中。服务器通过执行该网络资源访问管理方法,与前述的终端
设备进行交互,使得终端设备完成对部分目标用户的访问行为的有效拦截以及第二信息集
合和匹配优先级指令的更新。图9中的步骤包括步骤910和步骤920:
设备进行交互,使得终端设备完成对部分目标用户的访问行为的有效拦截以及第二信息集
合和匹配优先级指令的更新。图9中的步骤包括步骤910和步骤920:
[0073] 步骤910、向终端设备发送第二信息集合和匹配优先级指令,以使终端设备根据匹配优先级指令对第二信息集合和第一信息集合中的信息进行匹配,当匹配成功时对网络数
据包进行拦截,并确定地址信息对应的第一匹配成功率和内容信息对应的第二匹配成功
率;第一信息集合由终端设备对网络数据包进行解析得到;
据包进行拦截,并确定地址信息对应的第一匹配成功率和内容信息对应的第二匹配成功
率;第一信息集合由终端设备对网络数据包进行解析得到;
[0074] 本申请实施例中,服务器归集或者更新完毕第二信息集合和匹配优先级指令后,可以向终端设备发送第二信息集合和匹配优先级指令,以使终端设备配置或者更新用于匹
配的信息或者匹配的顺序。终端设备侧具体的网络资源访问管理方法已在前述实施例中详
细阐述,在此不再赘述。
配的信息或者匹配的顺序。终端设备侧具体的网络资源访问管理方法已在前述实施例中详
细阐述,在此不再赘述。
[0075] 步骤920、获取终端设备返回的第一匹配成功率和第二匹配成功率,根据第一匹配成功率和第二匹配成功率对第二信息集合或者匹配优先级指令进行更新。
[0076] 其中,第二信息集合包括含有敏感内容的网络资源的地址信息和内容信息;匹配优先级指令用于控制地址信息和内容信息的匹配顺序;第一信息集合包括终端设备访问的
网络资源的地址信息和内容信息。
网络资源的地址信息和内容信息。
[0077] 本申请实施例中,当服务器获取到终端设备返回的匹配成功率数据后,可以根据该匹配成功率的结果对第二信息集合或者匹配优先级指令进行更新,以尽可能地提高后续
的拦截精度和效率。此处,服务器获取的终端设备返回的匹配成功率包括第一匹配成功率
和第二匹配成功率。在一些实施例中,服务器获取的可以是与一台终端设备对应的匹配成
功率,从而使得服务器对该匹配成功率数据分析后针对该终端设备下发更具针对性的第二
信息集合或者匹配优先级指令,提高对单个目标用户服务的准确性;在一些实施例中,服务
器获取的终端设备返回的匹配成功率也可以是多台终端设备对应的匹配成功率,从而使得
服务器对这些匹配成功率分析后针对批量的终端设备下发更具普适性的第二信息集合或
者匹配优先级指令。
的拦截精度和效率。此处,服务器获取的终端设备返回的匹配成功率包括第一匹配成功率
和第二匹配成功率。在一些实施例中,服务器获取的可以是与一台终端设备对应的匹配成
功率,从而使得服务器对该匹配成功率数据分析后针对该终端设备下发更具针对性的第二
信息集合或者匹配优先级指令,提高对单个目标用户服务的准确性;在一些实施例中,服务
器获取的终端设备返回的匹配成功率也可以是多台终端设备对应的匹配成功率,从而使得
服务器对这些匹配成功率分析后针对批量的终端设备下发更具普适性的第二信息集合或
者匹配优先级指令。
[0078] 参照图10,图10中示出了本申请提供的网络资源访问管理方法对访问请求数据包处理过程中信息交互的示意图。对于服务器而言,在首次执行图9所示出的方法步骤时,可
以先收集第二信息集合,并初始化匹配优先级指令。具体地,此处初始化的匹配优先级指令
可以是对各个信息类型进行随机排序得到的。服务器将第二信息集合和匹配优先级指令发
送给终端设备后,终端设备执行如图4所示出的方法步骤,并返回给服务器匹配成功率数
据,在匹配失败时,终端设备负责将访问请求数据包转发至目标用户待访问的网络资源对
应的服务器,即网络资源服务器。从图10中可以看出,本申请实施例中,服务器负责处理第
二信息集合和匹配优先级指令的收集和更新工作,终端设备负责处理目标用户对网络资源
的访问请求数据包的解析、匹配和访问请求拦截工作,通过终端设备和服务器的交互,完成
第二信息集合和匹配优先级指令的下发与更新。可以理解的是,本申请实施例中的访问管
理方法,将涉及目标用户隐私部分的相关信息和数据限定在了终端本地侧执行,可以有效
保护用户隐私,减少信息的泄露;而对于大批量用于匹配的第二信息集合的收集与更新,以
及匹配优先级指令的更新,则由服务器执行,这样可以有效减轻终端设备的数据处理负担,
降低访问拦截功能对硬件设备资源的占用。
以先收集第二信息集合,并初始化匹配优先级指令。具体地,此处初始化的匹配优先级指令
可以是对各个信息类型进行随机排序得到的。服务器将第二信息集合和匹配优先级指令发
送给终端设备后,终端设备执行如图4所示出的方法步骤,并返回给服务器匹配成功率数
据,在匹配失败时,终端设备负责将访问请求数据包转发至目标用户待访问的网络资源对
应的服务器,即网络资源服务器。从图10中可以看出,本申请实施例中,服务器负责处理第
二信息集合和匹配优先级指令的收集和更新工作,终端设备负责处理目标用户对网络资源
的访问请求数据包的解析、匹配和访问请求拦截工作,通过终端设备和服务器的交互,完成
第二信息集合和匹配优先级指令的下发与更新。可以理解的是,本申请实施例中的访问管
理方法,将涉及目标用户隐私部分的相关信息和数据限定在了终端本地侧执行,可以有效
保护用户隐私,减少信息的泄露;而对于大批量用于匹配的第二信息集合的收集与更新,以
及匹配优先级指令的更新,则由服务器执行,这样可以有效减轻终端设备的数据处理负担,
降低访问拦截功能对硬件设备资源的占用。
[0079] 下面,对本申请实施例中服务器更新第二信息集合和匹配优先级指令的过程进行详细说明。
[0080] 本申请实施例中,假设服务器获取的返回结果是多台终端设备对应的匹配成功率,则可以记录返回的所有匹配成功率的均值,当这些匹配成功率的均值低于某个阈值时,
可以认为目前第二信息集合中的信息可能存在过时、数据量不足的问题,需要对第二信息
集合进行更新。在一些实施例中,也可以定时对第二信息集合进行更新,例如每周或者每个
月更新一次。例如,可以针对第一匹配成功率设置一个阈值,记为第一阈值,当确定到多台
终端设备返回的第一匹配成功率的均值小于等于第一阈值时,对第二信息集合中的地址信
息进行更新;类似地,也可以针对第二匹配成功率设置另一个阈值,记为第二阈值,当确定
到多台终端设备返回的第二匹配成功率的均值小于等于第二阈值时,对第二信息集合中的
内容信息进行更新。
可以认为目前第二信息集合中的信息可能存在过时、数据量不足的问题,需要对第二信息
集合进行更新。在一些实施例中,也可以定时对第二信息集合进行更新,例如每周或者每个
月更新一次。例如,可以针对第一匹配成功率设置一个阈值,记为第一阈值,当确定到多台
终端设备返回的第一匹配成功率的均值小于等于第一阈值时,对第二信息集合中的地址信
息进行更新;类似地,也可以针对第二匹配成功率设置另一个阈值,记为第二阈值,当确定
到多台终端设备返回的第二匹配成功率的均值小于等于第二阈值时,对第二信息集合中的
内容信息进行更新。
[0081] 具体地,在对第二信息集合进行更新时,包括两个部分,一是对服务器本地侧存储的第二信息集合的更新,二是通过服务器对终端设备侧存储的第二信息集合的更新。对于
终端设备侧的更新,可以采用增量更新的方式,以减少终端设备在每次更新第二信息集合
时需要获取的数据量,提高更新的效率。
终端设备侧的更新,可以采用增量更新的方式,以减少终端设备在每次更新第二信息集合
时需要获取的数据量,提高更新的效率。
[0082] 参照图11,图11示出了第二信息集合的更新原理示意图。图11中,第一终端为某次第二信息集合更新时向服务器返回匹配成功率的终端设备,对于服务器来说,其在确定需
要更新第二信息集合时,可以采集当前的含有敏感内容的网络资源的地址信息和内容信
息,将这些信息记为第四信息集合,第四信息集合中的信息类型和获取的方式与第二信息
集合相同,区别在于第二信息集合为原有的含有敏感内容的网络资源的地址信息和内容信
息,第四信息集合则为新归集得到的含有敏感内容的网络资源的地址信息和内容信息。当
然,第四信息集合相对于第二信息集合,其中可能有大量相同的内容,本申请实施例中,通
过第四信息集合对第二信息集合进行增量更新,以确定出需要发送给终端设备更新的内
容。具体地,可以对第二信息集合和第四信息集合进行去重合并,将得到的信息记为第五信
息集合,该第五信息集合即为新的第二信息集合,可以采用第五信息集合替换掉服务器本
地的原有的第二信息集合,得到服务器侧更新后的第二信息集合。则此时,对于一个新的需
要执行网络资源访问管理方法的终端设备,如图11中的第二设备,则可以由服务器向其发
送第二信息集合(也即本次更新后的第二信息集合)和匹配优先级指令,以使第二终端可以
执行图4所示出的方法步骤。
要更新第二信息集合时,可以采集当前的含有敏感内容的网络资源的地址信息和内容信
息,将这些信息记为第四信息集合,第四信息集合中的信息类型和获取的方式与第二信息
集合相同,区别在于第二信息集合为原有的含有敏感内容的网络资源的地址信息和内容信
息,第四信息集合则为新归集得到的含有敏感内容的网络资源的地址信息和内容信息。当
然,第四信息集合相对于第二信息集合,其中可能有大量相同的内容,本申请实施例中,通
过第四信息集合对第二信息集合进行增量更新,以确定出需要发送给终端设备更新的内
容。具体地,可以对第二信息集合和第四信息集合进行去重合并,将得到的信息记为第五信
息集合,该第五信息集合即为新的第二信息集合,可以采用第五信息集合替换掉服务器本
地的原有的第二信息集合,得到服务器侧更新后的第二信息集合。则此时,对于一个新的需
要执行网络资源访问管理方法的终端设备,如图11中的第二设备,则可以由服务器向其发
送第二信息集合(也即本次更新后的第二信息集合)和匹配优先级指令,以使第二终端可以
执行图4所示出的方法步骤。
[0083] 对于已配置有原有的第二信息集合的终端设备来说,如图11中的第一终端,服务器继续通过第五信息集合对原有的第二信息集合进行差分处理,以确定出第五信息集合相
对于第二信息集合存在哪些不同,将第五信息集合相对于第二信息集合多出来的部分内容
记为差分信息集合,差分信息集合即为每次第二信息集合更新时需要增加的内容。服务器
侧得到差分信息集合后,可以将差分信息集合发送给第一终端,以实现对终端设备侧存储
的第二信息集合的更新。此时,第一终端只需要接收差分信息集合直接进行配置即可,可
见,通过上述增量更新的方式,可以大大减少服务器每次更新终端设备侧存储的第二信息
集合时需要发送给终端设备的数据量,能够显著提高更新的效率。
对于第二信息集合存在哪些不同,将第五信息集合相对于第二信息集合多出来的部分内容
记为差分信息集合,差分信息集合即为每次第二信息集合更新时需要增加的内容。服务器
侧得到差分信息集合后,可以将差分信息集合发送给第一终端,以实现对终端设备侧存储
的第二信息集合的更新。此时,第一终端只需要接收差分信息集合直接进行配置即可,可
见,通过上述增量更新的方式,可以大大减少服务器每次更新终端设备侧存储的第二信息
集合时需要发送给终端设备的数据量,能够显著提高更新的效率。
[0084] 本申请实施例中,还可以根据第二信息集合中不同类型的信息的匹配成功率选择补充第二信息集合中部分的信息。例如,当发现地址信息对应的第一匹配成功率大于内容
信息对应的第二匹配成功率时,可以选择单独对第二信息集合的内容信息进行更新;当发
现地址信息对应的第一匹配成功率小于等于内容信息对应的第二匹配成功率时,可以选择
单独对第二信息集合的地址信息进行更新。此处,对地址信息和内容信息的更新过程也可
以采用上述增量更新的方式,基于不同类型的信息的匹配成功率对第二信息集合进行针对
性的补充完善,有利于更加全面、高效地进行拦截,提高拦截的准确性以及计算机资源的利
用率。
信息对应的第二匹配成功率时,可以选择单独对第二信息集合的内容信息进行更新;当发
现地址信息对应的第一匹配成功率小于等于内容信息对应的第二匹配成功率时,可以选择
单独对第二信息集合的地址信息进行更新。此处,对地址信息和内容信息的更新过程也可
以采用上述增量更新的方式,基于不同类型的信息的匹配成功率对第二信息集合进行针对
性的补充完善,有利于更加全面、高效地进行拦截,提高拦截的准确性以及计算机资源的利
用率。
[0085] 本申请实施例中,服务器除了可以对第二信息集合进行更新,还可以对匹配优先级指令进行更新,例如当发现某个类型的信息的匹配成功率较高时,则可以适当调高其参
与匹配时的优先级;反之,当发现某个类型的信息的匹配成功率较低时,则可以适当调低其
参与匹配时的优先级。这样,在终端设备对第二信息集合和第一信息集合进行匹配时,具有
较高匹配价值的信息将优先参与匹配,可以有效提高匹配的效率,有利于匹配工作的快速
完成,减少对终端设备计算资源的消耗。具体地,本申请实施例中对匹配优先级指令的更
新,既可以是对地址信息和内容信息的匹配顺序进行调整,也可以是对更细分的域名地址、
IP地址、端口地址、关键字或者资源名称中至少一者的匹配顺序进行调整。
与匹配时的优先级;反之,当发现某个类型的信息的匹配成功率较低时,则可以适当调低其
参与匹配时的优先级。这样,在终端设备对第二信息集合和第一信息集合进行匹配时,具有
较高匹配价值的信息将优先参与匹配,可以有效提高匹配的效率,有利于匹配工作的快速
完成,减少对终端设备计算资源的消耗。具体地,本申请实施例中对匹配优先级指令的更
新,既可以是对地址信息和内容信息的匹配顺序进行调整,也可以是对更细分的域名地址、
IP地址、端口地址、关键字或者资源名称中至少一者的匹配顺序进行调整。
[0086] 参照图12,在一些实施例中,对于终端设备来说,其可以从服务器定时拉取或者接收服务器推送的第二信息集合(其中包括有独立的差分信息集合)。当接收到第二信息集合
后,终端设备可以判断本地是否已经存储有这些内容的配置,如果没有则可以直接应用接
收到的第二信息集合和匹配优先级指令;如果已经存储有这些内容的配置,则可以和第二
信息集合进行对比,然后确定配置数据是否有更新,若没有更新则可以保留原有的配置,若
存在更新,则可以根据第二信息集合中的差分信息集合对本地配置进行更新,得到新的配
置从而进行应用。当然,以上的更新、配置过程对于匹配优先级指令同样适用,在此不再额
外赘述。
后,终端设备可以判断本地是否已经存储有这些内容的配置,如果没有则可以直接应用接
收到的第二信息集合和匹配优先级指令;如果已经存储有这些内容的配置,则可以和第二
信息集合进行对比,然后确定配置数据是否有更新,若没有更新则可以保留原有的配置,若
存在更新,则可以根据第二信息集合中的差分信息集合对本地配置进行更新,得到新的配
置从而进行应用。当然,以上的更新、配置过程对于匹配优先级指令同样适用,在此不再额
外赘述。
[0087] 参照图13,本申请实施例还公开了一种网络资源访问管理系统,包括:
[0088] 获取模块1310,用于获取目标用户访问网络资源过程中产生的网络数据包;网络数据包包括访问请求数据包和资源数据包;
[0089] 处理模块1320,用于对网络数据包进行解包和分析处理,得到第一信息集合;第一信息集合包括目标用户访问的网络资源的地址信息和内容信息;
[0090] 匹配模块1330,用于根据匹配优先级指令对第二信息集合和第一信息集合中的信息进行匹配,当匹配成功时对网络数据包进行拦截,并确定地址信息对应的第一匹配成功
率和内容信息对应的第二匹配成功率;其中,第二信息集合包括含有敏感内容的网络资源
的地址信息和内容信息;匹配优先级指令用于控制地址信息和内容信息的匹配顺序;
率和内容信息对应的第二匹配成功率;其中,第二信息集合包括含有敏感内容的网络资源
的地址信息和内容信息;匹配优先级指令用于控制地址信息和内容信息的匹配顺序;
[0091] 发送模块1340,用于将第一匹配成功率和第二匹配成功率发送给服务器,以使服务器根据第一匹配成功率和第二匹配成功率对第二信息集合或者匹配优先级指令进行更
新。
新。
[0092] 可选地,在一些实施例中,网络资源访问管理系统还包括:
[0093] 接收模块,用于接收服务器发送的第二信息集合和匹配优先级指令;配置或者更新第二信息集合和匹配优先级指令。
[0094] 可选地,在一些实施例中,网络资源访问管理系统还包括:
[0095] 第三获取模块,用于获取第三信息集合;第三信息集合包括预设访问受限的网络资源的地址信息和内容信息;
[0096] 更新模块,用于根据第三信息集合对第二信息集合进行更新。
[0097] 可选地,在一些实施例中,获取模块及处理模块具体用于:
[0098] 当确定操作者为目标用户时,从虚拟网卡设备处读取对网络资源访问产生的网络数据包,并根据数据的协议类型对网络数据包进行解包和分析处理,得到第一信息集合。
[0099] 可选地,在一些实施例中,网络资源访问管理系统还包括:
[0100] 身份信息获取模块,用于获取操作者的身份信息,根据身份信息确定操作者是否为未成年人;
[0101] 判断模块,用于当操作者为未成年人时,将操作者确定为目标用户。
[0102] 可选地,在一些实施例中,地址信息包括网络资源的域名地址;
[0103] 处理模块包括:
[0104] 判断子模块,用于当确定到数据的协议类型为用户数据包协议,判断数据是否为域名解析请求;
[0105] 第一解析子模块,用于当数据为域名解析请求,对数据进行解包得到网络资源的域名地址。
[0106] 可选地,在一些实施例中,地址信息还包括网络资源的IP地址和端口地址;
[0107] 处理模块还包括:
[0108] 第二解析子模块,用于当数据不为域名解析请求,对数据进行解包得到网络资源的IP地址和端口地址。
[0109] 可选地,在一些实施例中,网络资源访问管理系统还包括:
[0110] 转发接收模块,用于当匹配失败时,将访问请求数据包发送至目标用户访问的网络资源对应的服务器,或者,接收资源数据包。
[0111] 可以理解的是,图4所示的网络资源访问管理方法实施例中的内容均适用于本系统实施例中,本系统实施例所具体实现的功能与图4所示的网络资源访问管理方法实施例
相同,并且达到的有益效果与图4所示的网络资源访问管理方法实施例所达到的有益效果
也相同。
相同,并且达到的有益效果与图4所示的网络资源访问管理方法实施例所达到的有益效果
也相同。
[0112] 参照图14,本申请实施例还公开了另一种网络资源访问管理系统,包括:
[0113] 第二发送模块1410,用于向终端设备发送第二信息集合和匹配优先级指令,以使终端设备根据匹配优先级指令对第二信息集合和第一信息集合中的信息进行匹配,当匹配
成功时对网络数据包进行拦截,并确定地址信息对应的第一匹配成功率和内容信息对应的
第二匹配成功率;第一信息集合由终端设备对网络数据包进行解析得到;
成功时对网络数据包进行拦截,并确定地址信息对应的第一匹配成功率和内容信息对应的
第二匹配成功率;第一信息集合由终端设备对网络数据包进行解析得到;
[0114] 第二获取模块1420,用于获取终端设备返回的第一匹配成功率和第二匹配成功率,根据第一匹配成功率和第二匹配成功率对第二信息集合或者匹配优先级指令进行更
新。
新。
[0115] 其中,第二信息集合包括含有敏感内容的网络资源的地址信息和内容信息;匹配优先级指令用于控制地址信息和内容信息的匹配顺序;第一信息集合包括终端设备访问的
网络资源的地址信息和内容信息。
网络资源的地址信息和内容信息。
[0116] 可选地,在一些实施例中,第二获取模块包括:
[0117] 获取子模块,用于获取第四信息集合;第四信息集合包括当前采集的含有敏感内容的网络资源的地址信息和内容信息;
[0118] 更新子模块,用于根据第四信息集合对第二信息集合进行更新。
[0119] 可选地,在一些实施例中,更新子模块包括:
[0120] 去重合并子模块,用于对第四信息集合和第二信息集合进行去重合并,得到第二信息集合;
[0121] 差分处理子模块,用于根据第二信息集合对第二信息集合进行差分处理,得到差分信息集合;
[0122] 第一处理子模块,用于根据差分信息集合对终端设备接收的第二信息集合进行更新。
[0123] 可选地,在一些实施例中,更新子模块包括:
[0124] 第二处理子模块,用于当第一匹配成功率大于第二匹配成功率时,对第二信息集合的内容信息进行更新;或者,用于当第一匹配成功率小于等于第二匹配成功率时,对第二
信息集合的地址信息进行更新。
信息集合的地址信息进行更新。
[0125] 可选地,在一些实施例中,更新子模块包括:
[0126] 第三处理子模块,用于当第一匹配成功率小于等于第一阈值时,对第二信息集合的地址信息进行更新;或者,当第二匹配成功率小于等于第二阈值时,对第二信息集合的内
容信息进行更新。
容信息进行更新。
[0127] 可选地,在一些实施例中,地址信息包括网络资源的域名地址、IP地址和端口地址;内容信息包括网络资源的关键字和资源名称;
[0128] 更新子模块包括:
[0129] 第四处理子模块,用于调整域名地址、IP地址、端口地址、关键字或者资源名称中至少一者的匹配顺序。
[0130] 可以理解的是,图9所示的网络资源访问管理方法实施例中的内容均适用于本系统实施例中,本系统实施例所具体实现的功能与图9所示的网络资源访问管理方法实施例
相同,并且达到的有益效果与图9所示的网络资源访问管理方法实施例所达到的有益效果
也相同。
相同,并且达到的有益效果与图9所示的网络资源访问管理方法实施例所达到的有益效果
也相同。
[0131] 本申请实施例中还公开一种网络资源访问管理系统,包括终端设备和服务器;
[0132] 该终端设备用于执行如图4所示出的网络资源访问管理方法实施例,该服务器用于执行如图9所示出的网络资源访问管理方法实施例。
[0133] 参照图15,本申请实施例还公开了一种计算机设备,包括:
[0134] 至少一个处理器1510;
[0135] 至少一个存储器1520,用于存储至少一个程序;
[0136] 当至少一个程序被至少一个处理器1510执行,使得至少一个处理器1510实现如图4所示的网络资源访问管理方法实施例或者图9所示的网络资源访问管理方法实施例。
[0137] 可以理解的是,图4所示的网络资源访问管理方法实施例或者图9所示的网络资源访问管理方法实施例中的内容均适用于本计算机设备实施例中,本计算机设备实施例所具
体实现的功能与图4所示的网络资源访问管理方法实施例或者图9所示的网络资源访问管
理方法实施例相同,并且达到的有益效果与图4所示的网络资源访问管理方法实施例或者
图9所示的网络资源访问管理方法实施例所达到的有益效果也相同。
体实现的功能与图4所示的网络资源访问管理方法实施例或者图9所示的网络资源访问管
理方法实施例相同,并且达到的有益效果与图4所示的网络资源访问管理方法实施例或者
图9所示的网络资源访问管理方法实施例所达到的有益效果也相同。
[0138] 本申请实施例还公开了一种计算机可读存储介质,其中存储有处理器可执行的程序,处理器可执行的程序在由处理器执行时用于实现如图4所示的网络资源访问管理方法
实施例或者图9所示的网络资源访问管理方法实施例。
实施例或者图9所示的网络资源访问管理方法实施例。
[0139] 可以理解的是,图4所示的网络资源访问管理方法实施例或者图9所示的网络资源访问管理方法实施例的内容均适用于本计算机可读存储介质实施例中,本计算机可读存储
介质实施例所具体实现的功能与图4所示的网络资源访问管理方法实施例或者图9所示的
网络资源访问管理方法实施例相同,并且达到的有益效果与图4所示的网络资源访问管理
方法实施例或者图9所示的网络资源访问管理方法实施例所达到的有益效果也相同。
介质实施例所具体实现的功能与图4所示的网络资源访问管理方法实施例或者图9所示的
网络资源访问管理方法实施例相同,并且达到的有益效果与图4所示的网络资源访问管理
方法实施例或者图9所示的网络资源访问管理方法实施例所达到的有益效果也相同。
[0140] 本申请实施例还公开了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在上述的计算机可读存介质中;图15所示
的计算机设备的处理器可以从上述的计算机可读存储介质读取该计算机指令,处理器执行
该计算机指令,使得该计算机设备执行图4所示的网络资源访问管理方法或者图9所示的网
络资源访问管理方法实施例。
的计算机设备的处理器可以从上述的计算机可读存储介质读取该计算机指令,处理器执行
该计算机指令,使得该计算机设备执行图4所示的网络资源访问管理方法或者图9所示的网
络资源访问管理方法实施例。
[0141] 可以理解的是,图4所示的网络资源访问管理方法实施例或者图9所示的网络资源访问管理方法实施例的内容均适用于本计算机程序产品或计算机程序实施例中,本计算机
程序产品或计算机程序实施例所具体实现的功能与图4所示的网络资源访问管理方法实施
例或者图9所示的网络资源访问管理方法实施例相同,并且达到的有益效果与图4所示的网
络资源访问管理方法实施例或者图9所示的网络资源访问管理方法实施例所达到的有益效
果也相同。
程序产品或计算机程序实施例所具体实现的功能与图4所示的网络资源访问管理方法实施
例或者图9所示的网络资源访问管理方法实施例相同,并且达到的有益效果与图4所示的网
络资源访问管理方法实施例或者图9所示的网络资源访问管理方法实施例所达到的有益效
果也相同。
[0142] 在一些可选择的实施例中,在方框图中提到的功能/操作可以不按照操作示图提到的顺序发生。例如,取决于所涉及的功能/操作,连续示出的两个方框实际上可以被大体
上同时地执行或方框有时能以相反顺序被执行。此外,在本发明的流程图中所呈现和描述
的实施例以示例的方式被提供,目的在于提供对技术更全面的理解。所公开的方法不限于
本文所呈现的操作和逻辑流程。可选择的实施例是可预期的,其中各种操作的顺序被改变
以及其中被描述为较大操作的一部分的子操作被独立地执行。
上同时地执行或方框有时能以相反顺序被执行。此外,在本发明的流程图中所呈现和描述
的实施例以示例的方式被提供,目的在于提供对技术更全面的理解。所公开的方法不限于
本文所呈现的操作和逻辑流程。可选择的实施例是可预期的,其中各种操作的顺序被改变
以及其中被描述为较大操作的一部分的子操作被独立地执行。
[0143] 此外,虽然在功能性模块的背景下描述了本发明,但应当理解的是,除非另有相反说明,功能和/或特征中的一个或多个可以被集成在单个物理装置和/或软件模块中,或者
一个或多个功能和/或特征可以在单独的物理装置或软件模块中被实现。还可以理解的是,
有关每个模块的实际实现的详细讨论对于理解本发明是不必要的。更确切地说,考虑到在
本文中公开的装置中各种功能模块的属性、功能和内部关系的情况下,在工程师的常规技
术内将会了解该模块的实际实现。因此,本领域技术人员运用普通技术就能够在无需过度
试验的情况下实现在权利要求书中所阐明的本发明。还可以理解的是,所公开的特定概念
仅仅是说明性的,并不意在限制本发明的范围,本发明的范围由所附权利要求书及其等同
方案的全部范围来决定。
一个或多个功能和/或特征可以在单独的物理装置或软件模块中被实现。还可以理解的是,
有关每个模块的实际实现的详细讨论对于理解本发明是不必要的。更确切地说,考虑到在
本文中公开的装置中各种功能模块的属性、功能和内部关系的情况下,在工程师的常规技
术内将会了解该模块的实际实现。因此,本领域技术人员运用普通技术就能够在无需过度
试验的情况下实现在权利要求书中所阐明的本发明。还可以理解的是,所公开的特定概念
仅仅是说明性的,并不意在限制本发明的范围,本发明的范围由所附权利要求书及其等同
方案的全部范围来决定。
[0144] 功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现
有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机
软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计
算机,服务器,或者网络设备等)执行本发明各个实施例方法的全部或部分步骤。而前述的
存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read‑Only Memory)、随机存取存储器
(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机
软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计
算机,服务器,或者网络设备等)执行本发明各个实施例方法的全部或部分步骤。而前述的
存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read‑Only Memory)、随机存取存储器
(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
[0145] 在流程图中表示或在此以其他方式描述的逻辑和/或步骤,例如,可以被认为是用于实现逻辑功能的可执行指令的定序列表,可以具体实现在任何计算机可读介质中,以供
指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执
行系统、装置或设备取指令并执行指令的系统)使用,或结合这些指令执行系统、装置或设
备而使用。就本说明书而言,“计算机可读介质”可以是任何可以包含、存储、通信、传播或传
输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装
置。
指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执
行系统、装置或设备取指令并执行指令的系统)使用,或结合这些指令执行系统、装置或设
备而使用。就本说明书而言,“计算机可读介质”可以是任何可以包含、存储、通信、传播或传
输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装
置。
[0146] 计算机可读介质的更具体的示例(非穷尽性列表)包括以下:具有一个或多个布线的电连接部(电子装置),便携式计算机盘盒(磁装置),随机存取存储器(RAM),只读存储器
(ROM),可擦除可编辑只读存储器(EPROM或闪速存储器),光纤装置,以及便携式光盘只读存
储器(CDROM)。另外,计算机可读介质甚至可以是可在其上打印程序的纸或其他合适的介
质,因为可以例如通过对纸或其他介质进行光学扫描,接着进行编辑、解译或必要时以其他
合适方式进行处理来以电子方式获得程序,然后将其存储在计算机存储器中。
(ROM),可擦除可编辑只读存储器(EPROM或闪速存储器),光纤装置,以及便携式光盘只读存
储器(CDROM)。另外,计算机可读介质甚至可以是可在其上打印程序的纸或其他合适的介
质,因为可以例如通过对纸或其他介质进行光学扫描,接着进行编辑、解译或必要时以其他
合适方式进行处理来以电子方式获得程序,然后将其存储在计算机存储器中。
[0147] 应当理解,本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件
或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下
列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路
的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场
可编程门阵列(FPGA)等。
或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下
列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路
的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场
可编程门阵列(FPGA)等。
[0148] 在本说明书的上述描述中,参考术语“一个实施方式/实施例”、“另一实施方式/实施例”或“某些实施方式/实施例”等的描述意指结合实施方式或示例描述的具体特征、结
构、材料或者特点包含于本发明的至少一个实施方式或示例中。在本说明书中,对上述术语
的示意性表述不一定指的是相同的实施方式或示例。而且,描述的具体特征、结构、材料或
者特点可以在任何的一个或多个实施方式或示例中以合适的方式结合。
构、材料或者特点包含于本发明的至少一个实施方式或示例中。在本说明书中,对上述术语
的示意性表述不一定指的是相同的实施方式或示例。而且,描述的具体特征、结构、材料或
者特点可以在任何的一个或多个实施方式或示例中以合适的方式结合。
[0149] 尽管已经示出和描述了本发明的实施方式,本领域的普通技术人员可以理解:在不脱离本发明的原理和宗旨的情况下可以对这些实施方式进行多种变化、修改、替换和变
型,本发明的范围由权利要求及其等同物限定。
型,本发明的范围由权利要求及其等同物限定。
[0150] 以上是对本发明的较佳实施进行了具体说明,但本发明并不限于实施例,熟悉本领域的技术人员在不违背本发明精神的前提下可做作出种种的等同变形或替换,这些等同
的变形或替换均包含在本申请权利要求所限定的范围内。
的变形或替换均包含在本申请权利要求所限定的范围内。