專利名稱:主動審計系統(tǒng)及方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡安全領(lǐng)域���,尤其涉及網(wǎng)絡審計系統(tǒng)及其方法����。
背景技術(shù):
伴隨著信息技術(shù)的日新月異和網(wǎng)絡信息系統(tǒng)應用的發(fā)展,越來越多
的政府機構(gòu)���、企業(yè)���、意識到日趨復雜的IT業(yè)務系統(tǒng)與不同背景業(yè)務用 戶的行為給網(wǎng)絡帶來了潛在的威脅,例如系統(tǒng)內(nèi)部業(yè)務數(shù)據(jù)����、重要敏 感文件等可通過電子郵件、數(shù)據(jù)庫訪問�����、遠程終端訪問(TELNET�、 FTP 等)、網(wǎng)絡文件共享(NETBIOS)等方式被篡改��、泄露和竊?����。痪W(wǎng)民訪 問非法網(wǎng)站��、發(fā)布非法言論等違規(guī)上網(wǎng)行為日益泛濫���;而且還存在網(wǎng) 絡惡意用戶嚴重破壞政府、企業(yè)的信息系統(tǒng)安全等破壞行為����。因此, 用于對網(wǎng)絡用戶的上網(wǎng)行為進行分析和監(jiān)控的網(wǎng)絡信息安全內(nèi)容審計 (CASNI)已成為網(wǎng)絡信息安全中不可或缺的重要組成部分�。
目前已經(jīng)開發(fā)了各種網(wǎng)絡信息安全內(nèi)容審計系統(tǒng)用于各種企業(yè)和 組織,這些網(wǎng)絡信息安全內(nèi)容審計系統(tǒng)一般采用如下方式來進行安全 內(nèi)容審計其首先從諸如企業(yè)的網(wǎng)關(guān)或者路由器之類的網(wǎng)絡關(guān)鍵節(jié)點 收集數(shù)據(jù)包�,然后分析并審計從這些網(wǎng)絡關(guān)鍵節(jié)點獲得的網(wǎng)絡數(shù)據(jù)內(nèi) 容,從而發(fā)現(xiàn)一些網(wǎng)絡用戶的不當行為�����。通常網(wǎng)絡信息安全審計系統(tǒng) 的審計對象包括局域網(wǎng)內(nèi)用戶的郵件內(nèi)容�、郵件附件內(nèi)容、上網(wǎng)行 為����、瀏覽網(wǎng)頁內(nèi)容、FTP行為���,以及QQ/MSN等聊天內(nèi)容與行為����,
以企業(yè)為例,由于企業(yè)內(nèi)部用戶都需要通過網(wǎng)關(guān)來訪問外部網(wǎng)絡���, 因此��,傳統(tǒng)的網(wǎng)絡信息安全內(nèi)容審計系統(tǒng)可以通過對經(jīng)由網(wǎng)關(guān)的數(shù)據(jù) 包進行分析和審計����,從而發(fā)現(xiàn)企業(yè)內(nèi)部用戶是否進行訪問一些包含暴 力���、色情等不健康內(nèi)容的網(wǎng)頁���、訪問一些包含有木馬病毒、跨站腳本 等不安全內(nèi)容的網(wǎng)頁����、以及將企業(yè)內(nèi)部信息泄露到外部等不當行為, 而且一般傳統(tǒng)的審計系統(tǒng)可以觸發(fā)警告事件來報告這些不當行為����,或 者采取一些動作來阻止用戶的不當行為(如可以阻止用戶對包含不健 康內(nèi)容或者不安全內(nèi)容網(wǎng)頁的訪問)���。
然而,這類傳統(tǒng)的內(nèi)容安全審計系統(tǒng)存在一些固有的限制�����。首先��,這些系統(tǒng)一般僅僅對通過網(wǎng)絡關(guān)鍵節(jié)點的數(shù)據(jù)包進行分析�����,因此這些 系統(tǒng)只能覆蓋通過網(wǎng)絡關(guān)鍵節(jié)點的網(wǎng)絡用戶的行為��,即這些系統(tǒng)只能 覆蓋有限區(qū)域�����,而無法做到全方位的安全內(nèi)容審計����。例如�����,如果企業(yè) 用戶通過其便攜式計算機自帶的無線網(wǎng)卡、經(jīng)由覆蓋企業(yè)的無線網(wǎng)絡 系統(tǒng)將企業(yè)內(nèi)部數(shù)據(jù)發(fā)布到公共網(wǎng)絡上���,則現(xiàn)有內(nèi)容安全審計系統(tǒng)就 沒有辦法檢測到該泄密行為�����。此外�����,現(xiàn)有內(nèi)容安全審計系統(tǒng)只能被動 的對經(jīng)由網(wǎng)絡關(guān)鍵節(jié)點的用戶數(shù)據(jù)包進行分析��,則由于各種技術(shù)原因 造成的數(shù)據(jù)內(nèi)容遺漏難以避免��,例如�,如果用戶所訪問的網(wǎng)站采用了
加密傳輸協(xié)議(如HTTPS協(xié)議)�����,現(xiàn)有內(nèi)容安全審計系統(tǒng)很難分析出 用戶數(shù)據(jù)包的內(nèi)容�����,因此也就很難對其中的用戶不良行為進行監(jiān)測���。
可以看出���,現(xiàn)有內(nèi)容安全審計系統(tǒng)主要是因為被動地在一些網(wǎng)絡節(jié) 點上監(jiān)視網(wǎng)絡數(shù)據(jù)而存在上述問題���,因此所希望的具有一種可以彌補 現(xiàn)有被動審計系統(tǒng)的不足的、基于主動審計技術(shù)的內(nèi)容安全審計方案�, 其可以通過對目標范圍進行主動安全審計來為現(xiàn)有被動內(nèi)容安全審計
系統(tǒng)提供了有力的補充。
發(fā)明內(nèi)容
本發(fā)明的目的在于提供一種基于主動審計技術(shù)的內(nèi)容安全審計系 統(tǒng)和方法�,其通過對目標范圍進行主動安全審計來為現(xiàn)有被動內(nèi)容安 全審計系統(tǒng)提供了有力的補充。
根據(jù)本發(fā)明的一個方面����,提供了一種內(nèi)容安全審計系統(tǒng)�,其包括配 置裝置,獲取指定要主動進行審計的URL列表�;網(wǎng)頁提取裝置,為所 述URL列表中的每個URL提取該URL所指向的網(wǎng)頁的網(wǎng)頁源代碼�����;以 及內(nèi)容分析和審計裝置���,對所述網(wǎng)頁源代碼進行內(nèi)容分析�,以確定所 述網(wǎng)頁源代碼是否包括敏感內(nèi)容或者惡意代碼。
根據(jù)本發(fā)明的 一個可選特征����,該內(nèi)容安全審計系統(tǒng)還包括被動內(nèi)容 安全審計子系統(tǒng),用于獲取在網(wǎng)絡關(guān)鍵節(jié)點處的數(shù)據(jù)�,對這些數(shù)據(jù)進 行分析以確定所述URL列表。
根據(jù)本發(fā)明的另一個方面��,提供了一種內(nèi)容安全審計方法��,包括步 驟獲取指定要主動進行審計的URL列表�;為所述URL列表中的每個 URL提取該URL所指向的網(wǎng)頁的網(wǎng)頁源代碼;對所述網(wǎng)頁源代碼進行內(nèi) 容分析�����,以確定所述網(wǎng)頁源代碼是否包括敏感內(nèi)容或者惡意代碼�。根據(jù)本發(fā)明的另一個方面�,提供了一種內(nèi)容安全審計系統(tǒng),其包 括主動內(nèi)容安全審計子系統(tǒng)和被動內(nèi)容安全審計子系統(tǒng),所述主動內(nèi)
容安全審計子系統(tǒng)包括配置裝置,獲取指定要主動進行審計的URL 列表��;網(wǎng)頁提取裝置����,為所述URL列表中的每個URL提取該URL所指 向的網(wǎng)頁的網(wǎng)頁源代碼�;以及內(nèi)容分析和審計裝置,對所述網(wǎng)頁源代 碼進行內(nèi)容分析��,以確定所述網(wǎng)頁源代碼是否包括敏感內(nèi)容或者惡意 代碼��,以及所述被動內(nèi)容安全審計子系統(tǒng)包括數(shù)據(jù)監(jiān)聽裝置�,獲取 經(jīng)過網(wǎng)絡關(guān)鍵節(jié)點的數(shù)據(jù)內(nèi)容�;用戶行為分析裝置���,對所述數(shù)據(jù)監(jiān)聽 裝置獲取的數(shù)據(jù)內(nèi)容進行統(tǒng)計分析,其中所述用戶行為分析裝置通過 所述統(tǒng)計分析獲取與用戶相關(guān)的URL列表�����,并且將其提供給所述配置 裝置作為所述要主動進行審計的URL列表�����。
根據(jù)本發(fā)明的內(nèi)容安全審計系統(tǒng)和方法可以提供一種更為主動的 內(nèi)容安全審計方式�����,用于對指定的網(wǎng)站���、網(wǎng)頁資源進行深度內(nèi)容挖掘 與安全掃描,在審計敏感信息的同時也提供木馬掃描等安全審計。此 外����,根據(jù)本發(fā)明的內(nèi)容安全審計系統(tǒng)和方法在審計方式上擺脫以往通 過在網(wǎng)絡關(guān)鍵節(jié)點部署的方案�,能更加全面的對用戶瀏覽的網(wǎng)站信息 進行審計�����;并且在審計形式上采用主動掃描審計方式�,防范于未然����, 減小因信息安全造成的風險。
通過閱讀下文優(yōu)選實施方式的詳細描述�,各種其他的優(yōu)點和益處對 于本領(lǐng)域普通技術(shù)人員將變得清楚明了 。附圖僅用于示出優(yōu)選實施方 式的目的���,而并不認為是對本發(fā)明的限制�。而且在整個附圖中,用相 同的參考符號表示相同的部件��。在附圖中
圖l說明了根據(jù)本發(fā)明實施例的內(nèi)容安全審計系統(tǒng)的結(jié)構(gòu)框圖2示出了 URL深度示意圖3說明了根據(jù)本發(fā)明實施例的內(nèi)容安全審計方法的流程圖���; 圖4說明了根據(jù)本發(fā)明另一個實施例的內(nèi)容安全審計系統(tǒng)的結(jié)構(gòu) 框圖5說明了根據(jù)本發(fā)明另一個實施例的內(nèi)容安全審計方法的流程 圖���;以及
圖6說明了根據(jù)本發(fā)明另一個實施例的內(nèi)容安全審計系 的部署示意圖��。
具體實施例
在對本發(fā)明的具體實施例進行描述之前��,首先將要概述一下在本技
術(shù)領(lǐng)域經(jīng)常使用的術(shù)語URL�,即統(tǒng)一資源定位符,其是對在互聯(lián)網(wǎng)上所 存在的網(wǎng)頁的標識��。只要在網(wǎng)絡瀏覽器中輸入該URL����,就可以在網(wǎng)絡瀏 覽器中顯示該URL所指向的網(wǎng)頁的內(nèi)容���。由于URL和URL所指向的網(wǎng)
頁內(nèi)容之間存在--對應關(guān)系,因此����,在下文中��,這二者是可替換使
用的��。例如�,URL包括違法內(nèi)容意思為該URL所指向的網(wǎng)頁中包含有違 法內(nèi)容�����。
圖1說明了根據(jù)本發(fā)明實施例的內(nèi)容安全審計系統(tǒng)100的結(jié)構(gòu)框 圖。配置裝置101獲取被指定要進行主動審計的URL列表���,并且將該 URL列表提供給網(wǎng)頁提取裝置103��。對于配置裝置101所提供的URL列 表中的每個URL��,網(wǎng)頁提取裝置103逐個提取該URL所指向的網(wǎng)頁的網(wǎng) 頁源代碼�����,然后將該網(wǎng)頁源代碼提供給內(nèi)容分析裝置107�����。
析�����,提取其中的文本內(nèi)容和腳本內(nèi)容,并且將它們分別提供給內(nèi)容檢 測裝置109和安全檢測裝置111���。
內(nèi)容檢測裝置109對文本內(nèi)容進行分析���,以確定其中的文本內(nèi)容是 否包括敏感內(nèi)容�。例如,內(nèi)容檢測裝置109中可以包括預先設置的違 法內(nèi)容列表�����,當文本內(nèi)容與違法內(nèi)容列表中的違法內(nèi)容相匹配時,可 以判定該URL包括違法內(nèi)容����,因此內(nèi)容檢測裝置109可產(chǎn)生警告消息 并將其提供給報警裝置113進行處理。此外����,內(nèi)容檢測裝置109中還 可以包括預先設置好的企業(yè)內(nèi)部信息內(nèi)容列表,這樣���,當文本內(nèi)容與 企業(yè)內(nèi)部信息內(nèi)容列表中的企業(yè)內(nèi)部信息內(nèi)容相匹配時�����,可以判定該 URL包括與企業(yè)內(nèi)部信息相關(guān)的內(nèi)容,內(nèi)容檢測裝置109可產(chǎn)生警告消 息并將其提供給報警裝置113進行處理����。可以有多種方式來判斷文本 內(nèi)容是否與某個內(nèi)容相匹配����,因此內(nèi)容檢測裝置109可以多種方式來 實現(xiàn),所有這些方式都在本發(fā)明的保護范圍之內(nèi),
安全檢測裝置111對腳本內(nèi)容進行分析����,以判斷該腳本內(nèi)容中是否 包括木馬和跨站腳本等惡意代碼?�?梢杂卸喾N方式來判斷腳本內(nèi)容中 是否包括惡意代碼�,例如,現(xiàn)在的網(wǎng)頁木馬一般以ActiveX控件的形式存在�,而且這些木馬一般都具有特征碼,因此可以通過在安全檢測
裝置111中包括特征碼列表��,并利用特征碼匹配來確定ActiveX控件 是否包括木馬等����。任何可以對腳本內(nèi)容進行分析以判斷該內(nèi)容是否包 括惡意代碼的安全檢測裝置實現(xiàn)都在本發(fā)明的保護范圍之內(nèi)。當安全 檢測裝置111從腳本內(nèi)容中檢測到惡意代碼時���,就產(chǎn)生警告消息并將 其提供給報警裝置113進行處理.
應當注意的是��,上面雖然描述了內(nèi)容檢測裝置109和安全檢測裝置 111分別對文本內(nèi)容和腳本內(nèi)容進行分析以分別檢測敏感內(nèi)容和惡意
代碼�。但是應當理解的是�,在某些情況下, 一些敏感內(nèi)容也可能包含 在腳本內(nèi)容中��,而惡意代碼有時也需要文本內(nèi)容的支持.因此,內(nèi)容 檢測裝置109和安全檢測裝置111需要同時對文本內(nèi)容和腳本內(nèi)容二 者進行分析��,這也在本發(fā)明的保護范圍之內(nèi)�。
報警裝置113對由內(nèi)容檢測裝置109和安全檢測裝置ni所提供的 警告信息進行各種處理,這些處理例如包括將包含違法內(nèi)容和惡意代 碼的URL存入到惡意URL列表中��;以及將包括與企業(yè)內(nèi)部信息相關(guān)內(nèi) 容的URL存入到泄密URL列表中����。報警裝置113然后可以生成包含上 述信息的報警消息,并且將這些報警消息寫入到報警文件中.報警裝 置113此后還可以通過例如郵件�,短消息等各種手段通知系統(tǒng)管理員 所述報警消息。
當內(nèi)容檢測裝置109和安全檢測裝置111二者均沒有發(fā)現(xiàn)網(wǎng)頁源代 碼的任何不良或者異常信息時��,網(wǎng)頁提取裝置103接著提取下一個URL 所指向的網(wǎng)頁源代碼以進行分析��。
可選地����,僅僅對配置裝置101所提供的URL列表進行內(nèi)容安全審計 可能是不夠的�。 一般而言, 一個網(wǎng)頁可能包含有多個到其它網(wǎng)頁的URL 鏈接��,而且用戶通常會通過點擊網(wǎng)頁上的某個URL鏈接來跳轉(zhuǎn)到另一 個網(wǎng)頁進行瀏覽����?;诖?,內(nèi)容安全審計系統(tǒng)100也希望能夠?qū)εc配 置裝置101所提供的URL相關(guān)的其它URL進行安全審計,因此內(nèi)容安 全審計系統(tǒng)100中還包含了鏈接提取裝置105����,其分析網(wǎng)頁提取裝置 10 3所提供的網(wǎng)頁源代碼,提取該網(wǎng)頁源代碼中所包括的URL鏈接以生 成新的URL列表�����,然后鏈接提取裝置105接著將新生成的URL列表提 供給網(wǎng)頁提取裝置103�����。因此���,網(wǎng)頁提取裝置103和鏈接提取裝置105 以循環(huán)的方式進行工作��,從而生成包含大量URL的URL列表��。例如��,由配置裝置101提供給網(wǎng)頁提取裝置103的URL列表中的某個URL所 指向的網(wǎng)頁中包括了 IO個URL鏈接�,則鏈接提取裝置105將提供包括 10個URL的URL列表給網(wǎng)頁提取裝置103,假如這10個URL中的每個 所指向的網(wǎng)頁中均包括10個URL鏈接����,則此后,鏈接提取裝置105將 提供IOO個URL給網(wǎng)頁提取裝置103��,以此類推.由于在當前環(huán)境中���, 網(wǎng)頁數(shù)目正以天文數(shù)字在爆炸性地增長����,每個網(wǎng)頁所包括的URL鏈接 通常也遠遠不止10個��,所以�,鏈接提取裝置105將很有可能獲取大量 與由配置裝置101所提供的某個URL相對應的URL鏈接.這種情況與 傳統(tǒng)的網(wǎng)絡蜘蛛(spider)程序所面對的情況相同.為了對鏈接提取 裝置105所提取的URL鏈接數(shù)目進行限制,鏈接提取裝置105可以從
當前URL距離最初由配置裝置101提供的URL的距離�,如圖2所示)。 鏈接提取裝置105還可以從配置裝置101獲取域范圍設置以便限制僅 僅提取在某個域名下的URL鏈接等�����。當然其它任何可以對鏈接提取裝 置105所提取的URL鏈接進行限制的方式均在本發(fā)明的保護范圍之內(nèi)�����。 可選地���,由于內(nèi)容安全審計系統(tǒng)IOO需要對大量的URL進行安全審 計��,這通常需要較長的運行時間����,因此內(nèi)容安全審計系統(tǒng)100中還包 括實時統(tǒng)計裝置115����,用于實時提供內(nèi)容安全審計系統(tǒng)100當前的運行 狀況,比如當前已經(jīng)完成安全審計的網(wǎng)頁數(shù)目�����、已經(jīng)發(fā)現(xiàn)的問題網(wǎng)頁 數(shù)目���、總共要進行安全審計的網(wǎng)頁數(shù)目���、大概還需要多長時間來完成 安全審計等。
內(nèi)容安全審計系統(tǒng)100可以定期�、在提供給配置裝置101的URL 列表更新了時、在內(nèi)容檢測裝置109中的違法內(nèi)容列表和企業(yè)內(nèi)部信 息內(nèi)容列表更新了時�、或者安全檢測裝置111中的特征碼列表更新了 時運行�,以便確保利用最新的手段和參考內(nèi)容來對目標URL進行安全 審計��。
應當理解的是��,在上述實施例中��,對各個裝置的劃分僅僅是示意性 的���,例如����,內(nèi)容檢測裝置109和安全檢測裝置111可以合并為單個內(nèi) 容和安全檢測裝置來一并執(zhí)行內(nèi)容檢測裝置109和安全檢測裝置111 的功能��。此外���,內(nèi)容分析裝置107���、內(nèi)容檢測裝置109和安全檢測裝置 lll也可以合并為單個內(nèi)容分析和審計裝置,以執(zhí)行內(nèi)容分析裝置107�����、 內(nèi)容檢測裝置109和安全檢測裝置111的全部功能。圖3說明了根據(jù)本發(fā)明實施例的內(nèi)容安全審計方法300的流程圖����, 其適合于在上述內(nèi)容安全審計系統(tǒng)100中使用�。
在步驟S302處,獲取被指定要進行主動安全審計的URL列表.然 后在步驟S304處���,通過對URL列表中的每個URL所指向的網(wǎng)頁進行鏈 接分析����,以提取與該URL相關(guān)的新URL�����,并且將新URL加入到URL列表 中以便擴充URL列表.當然����,步驟S304可以不對URL列表進行擴充, 或者可以通過鏈接深度限制(即���,僅僅提取到初始URL為給定距離的 URL)或者域限制(即����,僅僅提取在某個域名下的URL)等限定要擴充 的URL,
在步驟S306處,獲取URL列表中第一個URL�。然后在步驟S308處,
提取該URL所指向的網(wǎng)頁的源代碼�����,并且對該網(wǎng)頁源代碼進行解析�����,
提取其中的文本內(nèi)容和腳本內(nèi)容�。
在步驟S310處,分別對在步驟S308所提取的文本內(nèi)容和腳本內(nèi)容
進行文本內(nèi)容檢測和安全檢測���,以確定該網(wǎng)頁源代碼是否包含了諸如 違法內(nèi)容和企業(yè)內(nèi)部信息相關(guān)內(nèi)容之類的敏感內(nèi)容或者惡意代碼�。步 驟S310可以以上面在內(nèi)容檢測裝置109和安全檢測裝置111中所描述 的處理來執(zhí)行���。
當在步驟S310確定對網(wǎng)頁源代碼的安全審計發(fā)現(xiàn)有安全問題時���, 在步驟S312處理這些安全問題,例如將包含違法內(nèi)容和惡意代碼的網(wǎng) 頁URL存入到惡意URL列表中��;以及將包括企業(yè)內(nèi)部信息相關(guān)內(nèi)容的 URL存入到泄密URL列表中�����。并且將這些安全問題記錄到報警文件中, 并且還可以通過例如郵件���,短消息等各種手段通知系統(tǒng)管理員所述報 警消息�。
然后在步驟S314判斷在URL列表中是否還有URL要進行安全審計�, 如果還有URL要進行安全審計�,則在步驟S316獲取下一個要進行處理 的URL,并且將其送到步驟S308進行處理。如果已經(jīng)完成了對全部URL 的安全審計���,則結(jié)束內(nèi)容安全審計方法300���。
根據(jù)本發(fā)明上述實施例的內(nèi)容安全審計系統(tǒng)ioo和內(nèi)容安全審計 方法300通過指定網(wǎng)絡審計對象(以URL形式提供)來進行敏感內(nèi)容審 計與安全審計。系統(tǒng)100和方法300可以定期檢測用戶習慣瀏覽的網(wǎng) 站是否帶有木馬病毒����,未雨綢繆,以防止被感染木馬病毒����,并且還可 以定期檢測用戶是否不當?shù)貙⑵髽I(yè)內(nèi)部信息泄漏到其習慣瀏覽的網(wǎng)站上(比如用戶博客和論壇等)。內(nèi)容安全審計系統(tǒng)100和方法300將 安全審計對象指定為具體的網(wǎng)站或網(wǎng)頁����,因此安全審計處理不再受到 網(wǎng)絡關(guān)鍵節(jié)點的限制����,避免了以往由于無法在外部網(wǎng)絡關(guān)鍵節(jié)點部署 安全審計產(chǎn)品而無法對一些網(wǎng)絡審計對象進行審計的情況.此外�����,由 于內(nèi)容安全審計系統(tǒng)100和方法300通過獲取URL所指向的網(wǎng)頁源代 碼的方式進行安全審計�,其不受在網(wǎng)頁傳輸過程中所采用的各種加密 手段的限制,因此不會如傳統(tǒng)內(nèi)容安全審計系統(tǒng)在中間網(wǎng)絡關(guān)鍵節(jié)點 被動捕獲數(shù)據(jù)那樣��,由于無法對加密的數(shù)據(jù)進行解析而遺漏要進行安 全審計的信息���。
圖4說明了根據(jù)本發(fā)明另 一個實施例的內(nèi)容安全審計系統(tǒng)400的結(jié) 構(gòu)框圖�,其中并入了主動內(nèi)容安全審計子系統(tǒng)410和被動內(nèi)容安全審 計子系統(tǒng)450��,并且實現(xiàn)了這兩個子系統(tǒng)之間的聯(lián)動��,主動內(nèi)容安全審 計子系統(tǒng)410的結(jié)構(gòu)類似于上述內(nèi)容安全審計系統(tǒng)100��,因此其中的網(wǎng) 頁提取裝置413�����、鏈接提取裝置415、內(nèi)容分析裝置417�、內(nèi)容檢測裝 置419、安全檢測裝置421分別與上述網(wǎng)頁提取裝置103�、鏈接提取裝 置105、內(nèi)容分析裝置107�、內(nèi)容檢測裝置109、安全檢測裝置111的
結(jié)構(gòu)和功能基本相同��,因此對它們就不再贅述����。
被動內(nèi)容安全審計子系統(tǒng)450中的數(shù)據(jù)監(jiān)聽裝置451獲取經(jīng)過網(wǎng)絡 關(guān)鍵節(jié)點的數(shù)據(jù)包�����,并且從中還原出用戶經(jīng)由該節(jié)點傳輸?shù)膬?nèi)容.URL 控制裝置453中包含有URL類庫454�����,該URL類庫454中按具體類別分 別記錄了包含有諸如色情�、暴力等違法內(nèi)容的URL和包含惡意代碼的 的URL。例如�,URL類庫454可以包括違法內(nèi)容URL列表和惡意代碼URL 列表。當發(fā)現(xiàn)用戶正經(jīng)由網(wǎng)絡關(guān)鍵節(jié)點訪問的URL包含在URL類庫 中時�����,URL控制裝置453可以阻止用戶對這些URL的訪問。
被動內(nèi)容安全審計子系統(tǒng)450還包括內(nèi)容審計裝置455和安全審計 裝置457��。內(nèi)容審計裝置455對由數(shù)據(jù)監(jiān)聽裝置451所還原出的網(wǎng)頁內(nèi) 容���、HTTPPOST內(nèi)容�、論壇����、郵件等傳輸內(nèi)容進行內(nèi)容安全審計,以確 定用戶正在瀏覽的URL是否包括違反內(nèi)容或者用戶正在傳輸企業(yè)內(nèi)部 數(shù)據(jù)等��。安全審計裝置457對由數(shù)據(jù)監(jiān)聽裝置所還原出的內(nèi)容是否存 在惡意代碼進行審計(例如����,檢測用戶訪問的網(wǎng)頁是否包含諸如木馬 病毒和跨站腳本之類的惡意代碼)。子系統(tǒng)450中還具有審計報警裝 置459,用于在內(nèi)容審計裝置455和安全審計裝置457審計出數(shù)據(jù)監(jiān)聽裝置451所還原的內(nèi)容存在安全問題時�,對這些安全問題進行處理, 例如記錄包含違反內(nèi)容和惡意代碼的URL并阻攔對這些URL的進一步 訪問�����、記錄用戶瀏覽包括違反內(nèi)容的URL和傳輸企業(yè)內(nèi)部信息的行為�����、 并且將這些信息整理為警告消息并記錄在報警文件中.審計報警裝置 459可以將所發(fā)現(xiàn)的、包含違法內(nèi)容和惡意代碼的URL添加到URL類庫 "4中�。此外,審計報警裝置459可以實時將該警告消息通知給正在經(jīng) 由網(wǎng)絡關(guān)鍵節(jié)點進行訪問的用戶����,并且還可以通過例如郵件,短消息 等各種手段通知系統(tǒng)管理員所述報警消息����。
被動內(nèi)容安全審計子系統(tǒng)450還包括用戶行為分析裝置461,其通 過數(shù)據(jù)監(jiān)聽裝置451所還原出的數(shù)據(jù)內(nèi)容進行統(tǒng)計分析��,以獲得系統(tǒng) 內(nèi)部用戶的上網(wǎng)行為���,尤其是系統(tǒng)內(nèi)部用戶的上網(wǎng)偏好。例如用戶行 為分析裝置461可以獲得系統(tǒng)內(nèi)容用戶習慣瀏覽的URL列表�����,近期瀏 覽次數(shù)最高的前IO個網(wǎng)站URL等等之類的系統(tǒng)用戶上網(wǎng)偏好信息.
內(nèi)容安全審計系統(tǒng)400的一個顯著特征在于��,實現(xiàn)了主動內(nèi)容安全 審計子系統(tǒng)410和被動內(nèi)容安全審計子系統(tǒng)450的聯(lián)動.被動內(nèi)容安 全審計子系統(tǒng)450中的用戶行為分析裝置461可以獲取與系統(tǒng)用戶緊 密相關(guān)的URL列表�,并且將該URL列表提供給主動內(nèi)容安全審計子系 統(tǒng)410的配置裝置411作為指定要主動進行審計的URL列表����?���?梢岳?用主動內(nèi)容安全審計子系統(tǒng)410的報警裝置423中所生成的惡意URL 列表對被動內(nèi)容安全審計子系統(tǒng)450的URL類庫4S4進行更新。此夕卜�����, 主動內(nèi)容安全審計子系統(tǒng)410中的內(nèi)容檢測裝置419和安全檢測裝置 421甚至可以和被動內(nèi)容安全審計子系統(tǒng)450中的內(nèi)容審計裝置455和 安全審計裝置457共享相同的內(nèi)容檢測和惡意代碼檢測引擎��。
可選地����,內(nèi)容安全審計系統(tǒng)400還可以包括審計報表裝置480,用 于合并報警裝置423和審計報警裝置459所生成的報警消息����,從而可 以向系統(tǒng)管理員提供統(tǒng)一的審計報表。
由于主動內(nèi)容安全審計子系統(tǒng)410和被動內(nèi)容安全審計子系統(tǒng)450
之間的相對獨立性���,因此�����,內(nèi)容安全審計系統(tǒng)400中還包括有啟動裝 置402,用于分別啟動主動內(nèi)容安全審計子系統(tǒng)410和被動內(nèi)容安全審 計子系統(tǒng)450���。
被動內(nèi)容安全審計子系統(tǒng)450可以采用其他現(xiàn)有的實現(xiàn)方式���。根據(jù) 本發(fā)明的另 一個實施例,只要被動內(nèi)容安全審計子系統(tǒng)可以獲取在網(wǎng)絡關(guān)鍵節(jié)點處的數(shù)據(jù)����,對這些數(shù)據(jù)進行分析以確定用戶的上網(wǎng)偏好,
并從這些上網(wǎng)偏好中確定和用戶緊密相關(guān)的URL列表(例如用戶經(jīng)常 訪問網(wǎng)站的URL列表)��,該被動內(nèi)容安全審計子系統(tǒng)就可以作為上面 參考圖4所述的內(nèi)容安全審計系統(tǒng)中的被動內(nèi)容安全審計子系統(tǒng)450.
圖5說明了根據(jù)本發(fā)明另 一個實施例�����、其中實現(xiàn)了主動內(nèi)容安全審 計和被動內(nèi)容安全審計的聯(lián)動的方法500的流程圖��,除了步驟S502之 外����,方法500的步驟S504到S516的處理和圖3所示方法300中的步 驟S304到S316的處理相同�����,為了簡潔起見,這里不再對這些步驟進 行描述���。在步驟S502中���,在網(wǎng)絡關(guān)鍵節(jié)點處獲取數(shù)據(jù),并且對這些數(shù) 據(jù)進行分析以獲取用戶上網(wǎng)偏好����,并生成要進行主動安全審計的URL 列表。也就是說�����,在步驟S502處進行被動安全內(nèi)容審計�,并生成要進 行主動安全審計的URL列表。應當注意的是�����,任何進行被動安全內(nèi)容 審計的方法都在本發(fā)明的保護范圍之內(nèi)����。可選地,方法500還可以包 括步驟S518�����,用于利用在步驟S512所生成的惡意URL列表更新被動內(nèi) 容安全審計時所使用的URL類庫�����。
實現(xiàn)主動安全內(nèi)容審計和被動安全內(nèi)容審計的聯(lián)動具有明顯的優(yōu) 點����。首先,被動安全內(nèi)容審計可以對通過網(wǎng)絡關(guān)鍵節(jié)點的數(shù)據(jù)進行實 時監(jiān)控����,從而具有實時性,但是被動安全內(nèi)容審計訪問受網(wǎng)絡關(guān)鍵節(jié) 點的限制�,無法實現(xiàn)對具體網(wǎng)站的全面審計。主動安全內(nèi)容審計可以
定期對所指定的網(wǎng)站進行全面審計����,但是主動安全內(nèi)容審計必須要確 定需要進行主動審計的網(wǎng)站(URL列表),而被動安全內(nèi)容審計可以根 據(jù)經(jīng)由網(wǎng)絡關(guān)鍵節(jié)點的數(shù)據(jù)來分析出需要進行主動審計的URL列表. 因此�,可以看出,通過主動安全內(nèi)容審計和被動安全內(nèi)容審計的聯(lián)動�, 可以提供一種更全面的內(nèi)容審計方式。
圖6說明了根據(jù)本發(fā)明另 一個實施例的內(nèi)容安全審計系統(tǒng)600的部 署示意圖�����。內(nèi)容安全審計系統(tǒng)600通常與企業(yè)核心交換機601相連����, 以便內(nèi)容安全審計系統(tǒng)600中的被動內(nèi)容安全審計子系統(tǒng)可以對經(jīng)由 核心交換機601的數(shù)據(jù)進行監(jiān)視和審計。此外�����,內(nèi)容安全審計系統(tǒng)600 中的主動內(nèi)容安全審計子系統(tǒng)可以根據(jù)被動內(nèi)容安全審計子系統(tǒng)所提 供的要進行主動審計的URL列表�����,對在企業(yè)外部網(wǎng)絡上的網(wǎng)站進行主 動內(nèi)容安全審計����。
例如,如果企業(yè)內(nèi)部用戶A經(jīng)常在企業(yè)內(nèi)部利用其工作計算機610訪問外部的網(wǎng)站620 (例如���,blog.xxx.com),由于企業(yè)到外部的網(wǎng)絡 訪問均需要通過企業(yè)核心交換機601�����,所以內(nèi)容安全審計系統(tǒng)600中的 被動內(nèi)容安全審計子系統(tǒng)可以獲取URL blog. xxx. com作為要主動進行 內(nèi)容安全審計的URL.隨后��,內(nèi)容安全審計系統(tǒng)600中的主動內(nèi)容安全 審計子系統(tǒng)可以對blog. xxx. com進行主動內(nèi)容審計��,因此��,即使用戶 A通過其它途徑(例如�����,通過家中的網(wǎng)絡鏈接)將企業(yè)內(nèi)部資料發(fā)布到 blog. xxx.com上��,也會很快被內(nèi)容安全審計系統(tǒng)600檢測到并通知給 系統(tǒng)管理員��。
因此���,可以看出����,與現(xiàn)有的內(nèi)容安全審計系統(tǒng)相比��,根據(jù)本發(fā)明的 內(nèi)容安全審計系統(tǒng)的覆蓋范圍更寬����,而且能夠檢測的內(nèi)容也更多��,因 此具有顯著的優(yōu)點�����,并特別適用于對內(nèi)部數(shù)據(jù)保密性要求較高的企業(yè)。
應該注意的是上述實施例對本發(fā)明進行說明而不是對本發(fā)明進行 限制��,并且本領(lǐng)域技術(shù)人員在不脫離所附權(quán)利要求的范圍的情況下可 設計出替換實施例��。在權(quán)利要求中��,不應將位于括號之間的任何參考 符號構(gòu)造成對權(quán)利要求的限制���,單詞"包含"不排除存在未列在權(quán)利 要求中的元件或步驟�。位于元件之前的單詞"一"或"一個"不排除 存在多個這樣的元件����。本發(fā)明可以借助于包括有若干不同元件的硬件 以及借助于適當編程的計算機來實現(xiàn)。在列舉了若干裝置的單元權(quán)利 要求中���,這些裝置中的若干個可以是通過同一個硬件項來具體體現(xiàn). 單詞第一���、第二�、以及第三等的使用不表示任何順序.可將這些單詞 解釋為名稱��。
權(quán)利要求
1.一種內(nèi)容安全審計系統(tǒng)��,包括配置裝置����,獲取指定要主動進行審計的URL列表;網(wǎng)頁提取裝置�����,為所述URL列表中的每個URL提取該URL所指向的網(wǎng)頁的網(wǎng)頁源代碼����;以及內(nèi)容分析和審計裝置,對所述網(wǎng)頁源代碼進行內(nèi)容分析���,以確定所述網(wǎng)頁源代碼是否包括敏感內(nèi)容或者惡意代碼���。
2. 如權(quán)利要求1所述的內(nèi)容安全審計系統(tǒng),其中所述內(nèi)容分析和 審計裝置包括內(nèi)容分析裝置��,提取所述網(wǎng)頁源代碼中的文本內(nèi)容和腳本內(nèi)容��;以及內(nèi)容和安全檢測裝置,用于確定所述文本內(nèi)容和腳本內(nèi)容是否包括敏感內(nèi)容或者惡意代碼���。
3. 如權(quán)利要求2所述的內(nèi)容安全審計系統(tǒng)��,其中所述內(nèi)容和安全檢測裝置包括內(nèi)容檢測裝置���,用于確定所述網(wǎng)頁源代碼的文本內(nèi)容是 否包括敏感內(nèi)容�����。
4. 如權(quán)利要求3所述的內(nèi)容安全審計系統(tǒng)�����,其中所述內(nèi)容檢測裝置包括違法內(nèi)容列表�����,并且當所述文本內(nèi)容與所述違法內(nèi)容列表中的 內(nèi)容相匹配時���,確定所述文本內(nèi)容包括敏感內(nèi)容����。
5. 如權(quán)利要求3所述的內(nèi)容安全審計系統(tǒng),其中所述內(nèi)容檢測裝 置包括企業(yè)內(nèi)部信息內(nèi)容列表�,并且當所述文本內(nèi)容與所述企業(yè)內(nèi)部 信息內(nèi)容列表中的內(nèi)容相匹配時,確定所述文本內(nèi)容包括敏感內(nèi)容.
6. 如權(quán)利要求2所述的內(nèi)容安全審計系統(tǒng)����,其中所述內(nèi)容和安全 檢測裝置包括安全檢測裝置,用于確定所述網(wǎng)頁源代碼的腳本內(nèi)容是 否包括惡意代碼�。
7. 如權(quán)利要求1所述的內(nèi)容安全審計系統(tǒng),其中所述惡意代碼為 木馬和跨站腳本中的至少一種�,
8. 如權(quán)利要求1所述的內(nèi)容安全審計系統(tǒng),還包括鏈接提取裝置�����, 用于提取所述URL列表中的每個URL所指向的網(wǎng)頁中包括的URL鏈接 來創(chuàng)建新的子URL列表���,并且將所述子URL列表并入到所述URL列表 中來擴充所述URL列表���。
9. 如權(quán)利要求1所述的內(nèi)容安全審計系統(tǒng),還包括報警裝置���,用 于在所述內(nèi)容分析和審計裝置確定所述網(wǎng)頁源代碼包括敏感內(nèi)容或者 惡意代碼時����,記錄所述網(wǎng)頁源代碼對應的URL,并且生成指示檢測到敏 感內(nèi)容或者惡意代碼的報警消息��。
10. 如上述任一個權(quán)利要求所述的內(nèi)容安全審計系統(tǒng)����,其中還包 括被動內(nèi)容安全審計子系統(tǒng),用于獲取在網(wǎng)絡關(guān)鍵節(jié)點處的數(shù)據(jù)�����,對 這些數(shù)據(jù)進行分析以確定所述URL列表��,
11. 一種內(nèi)容安全審計方法��,包括步驟 獲取指定要主動進行審計的URL列表����;為所述URL列表中的每個URL提取該URL所指向的網(wǎng)頁的網(wǎng)頁源代碼��;對所述網(wǎng)頁源代碼進行內(nèi)容分析����,以確定所述網(wǎng)頁源代碼是否包括 敏感內(nèi)容或者惡意代碼。
12. 如權(quán)利要求11所述的內(nèi)容安全審計方法,其中所述對所述網(wǎng) 頁源代碼進行內(nèi)容分析的步驟包括提取所述網(wǎng)頁源代碼中的文本內(nèi)容和腳本內(nèi)容���;以及確定所述文本內(nèi)容和腳本內(nèi)容是否包括敏感內(nèi)容或者惡意代碼���。
13. 如權(quán)利要求12所述的內(nèi)容安全審計方法,其中所述確定所述 文本內(nèi)容和腳本內(nèi)容是否包括敏感內(nèi)容或者惡意代碼包括將所述文本內(nèi)容與違法內(nèi)容列表中的內(nèi)容進行匹配����,當所述文本 內(nèi)容與所述違法內(nèi)容列表中的內(nèi)容相匹配時,確定所述文本內(nèi)容包括 敏感內(nèi)容����;以及將所述文本內(nèi)容與企業(yè)內(nèi)部信息內(nèi)容列表中的內(nèi)容進行匹配,當 所述文本內(nèi)容與所述企業(yè)內(nèi)部信息內(nèi)容列表中的內(nèi)容相匹配時�,確定 所述文本內(nèi)容包括敏感內(nèi)容。
14. 如權(quán)利要求12所述的內(nèi)容安全審計方法���,其中所述確定所述 文本內(nèi)容和腳本內(nèi)容是否包括敏感內(nèi)容或者惡意代碼包括確定所述網(wǎng)頁源代碼的腳本內(nèi)容是否包括惡意代碼���。
15. 如權(quán)利要求11所述的內(nèi)容安全審計方法,其中所迷惡意代碼 為木馬和跨站腳本中的至少一種���。
16. 如權(quán)利要求11所述的內(nèi)容安全審計方法�����,還包括步驟提取 所述URL列表中的每個URL所指向的網(wǎng)頁源代碼中包括的URL來創(chuàng)建新的子URL列表�����,并且將所述子URL列表并入到所述URL列表中來擴 充所述URL列表��。
17. 如權(quán)利要求11所述的內(nèi)容安全審計方法�����,還包括步驟在確 定所述網(wǎng)頁源代碼包括敏感內(nèi)容或者惡意代碼時���,記錄所述網(wǎng)頁源代 碼對應的URL,并且生成指示檢測到異常信息的報警消息����。
18. 如上述權(quán)利要求11-17中的任一個所述的內(nèi)容安全審計方法��, 還包括被動內(nèi)容安全審計步驟�����,其獲取在網(wǎng)絡關(guān)鍵節(jié)點處的數(shù)據(jù)�����,對 這些數(shù)據(jù)進行分析以確定所述指定要主動進行審計的URL列表���。
19�, 一種內(nèi)容安全審計系統(tǒng)�,包括主動內(nèi)容安全審計子系統(tǒng)和被動內(nèi)容安全審計子系統(tǒng),所述主動內(nèi)容安全審計子系統(tǒng)包括-配置裝置����,獲取指定要主動進行審計的URL列表;-網(wǎng)頁提取裝置�����,為所述URL列表中的每個URL提取該URL所指向的網(wǎng)頁的網(wǎng)頁源代碼��;以及-內(nèi)容分析和審計裝置�,對所述網(wǎng)頁源代碼進行內(nèi)容分析,以確定所述網(wǎng)頁源代碼是否包括敏感內(nèi)容或者惡意代碼�����, 以及所述被動內(nèi)容安全審計子系統(tǒng)包括 -數(shù)據(jù)監(jiān)聽裝置��,獲取經(jīng)過網(wǎng)絡關(guān)鍵節(jié)點的數(shù)據(jù)內(nèi)容; -用戶行為分析裝置����,對所述數(shù)據(jù)監(jiān)聽裝置獲取的數(shù)據(jù)內(nèi)容進行 統(tǒng)計分析,其中所述用戶行為分析裝置通過所述統(tǒng)計分析獲取與用戶相關(guān)的 URL列表����,并且將其提供給所述配置裝置作為所述要主動進行審計的 URL列表。
20.如權(quán)利要求19所述的內(nèi)容安全審計系統(tǒng)�,其中所述主動內(nèi)容 安全審計子系統(tǒng)包括報警裝置,用于記錄所述包括敏感內(nèi)容或者惡意 代碼的網(wǎng)頁源代碼對應的URL�,以及所述被動內(nèi)容安全審計子系統(tǒng)包括URL控制裝置,所述URL控制 裝置包括URL類庫���,用于控制用戶對URL類庫中所包含的URL的訪問��,其中所述報警裝置利用所記錄的URL來更新所述URL類庫中的URL�����。
全文摘要
提供了一種內(nèi)容安全審計系統(tǒng),該系統(tǒng)包括配置裝置����,獲取指定要主動進行審計的URL列表���;網(wǎng)頁提取裝置,為所述URL列表中的每個URL提取該URL所指向的網(wǎng)頁的網(wǎng)頁源代碼��;以及內(nèi)容分析和審計裝置�,對所述網(wǎng)頁源代碼進行內(nèi)容分析,以確定所述網(wǎng)頁源代碼是否包括敏感內(nèi)容或者惡意代碼����。所述系統(tǒng)還包括被動內(nèi)容安全審計子系統(tǒng),用于獲取在網(wǎng)絡關(guān)鍵節(jié)點處的數(shù)據(jù)��,以及對這些數(shù)據(jù)進行分析以確定所述URL列表��。還提供了由該系統(tǒng)使用的內(nèi)容安全審計方法��。
文檔編號H04L29/06GK101656710SQ200810118759
公開日2010年2月24日 申請日期2008年8月21日 優(yōu)先權(quán)日2008年8月21日
發(fā)明者張云海 申請人:中聯(lián)綠盟信息技術(shù)(北京)有限公司