专利名称:一种在网关进行数据安全检测方法、系统及设备的制作方法
技术领域:
本发明属于网络安全技术领域,尤其涉及一种在网关进行数据安全检测方 法、系统及设备。
背景技术:
浏览器通过运行客户端脚本和加载控件的方式扩展其功能,windows脚本 主机宿主(Windows Scripting Host, WSH)与ActiveX控件受到各种浏览器的 支持,WSH是一组脚本语言操纵windows主机资源的接口 ,只要有足够的权 限,服务器的脚本可以通过该接口控制客户端主机的任何资源;ActiveX是二 进制代码的载体,其可以包含对windows任何API的调用,如果不对脚本或者 ActiveX所调用的接口进行权限控制,来自恶意服务器的脚本或ActiveX控件, 将有机会操纵客户端主机,例如盗取其硬盘信息,植入木马等。
通过设置客户端浏览器的安全选项,禁止某些或者全部脚本/ActiveX控件 的执行,或者,在客户端不使用管理员用户,使脚本/ActiveX不具备足够的权 限操纵客户端资源,但该方法均取决于浏览器用户对网络安全的认识,难以保 证所有的内网客户端不受到恶意脚本/控件的攻击。
发明内容
本发明实施例的目的在于提供一种在网关进行数据安全检测方法,旨在解 决现有技术中通过浏览器引入恶意脚本程序或恶意二进制程序的问题。
本发明实施例是这样实现的, 一种在网关进行数据安全检测方法,所述方 法包括下述步骤
获取网络传输到浏览器的脚本程序和/或ActiveX控件;对所述脚本程序和/或ActiveX控件进行分类4全测; 根据所述脚本程序和/或ActiveX控件的类别,执行相应的动作。 本发明实施例的另 一 目的在于提供一种在网关进行数据安全检测系统,所 述系统包括
获取模块,用于获取网络传输到浏览器的脚本程序和/或ActiveX控件; 分类检测模块,用于对所述脚本程序和/或ActiveX控件进行分类检测;以
及
动作执行模块,用于根据所述脚本程序和/或ActiveX控件的类别,执行相 应的动作。
本发明实施例的另 一 目的在于提供一种在网关进行数据安全检测系统的网 络数据安全检测设备。
在本发明实施例中,获取并分类检测网络上传输的脚本程序和/或ActiveX 控件,根据脚本程序和/或ActiveX控件的类别,执行相应的允许或禁止的动作, 防止恶意的脚本程序或恶意的二进制程序的侵入,保证了网络的安全。
图1是本发明实施例提供的在网关进行数据安全检测方法的实现流程图; 图2是本发明实施例提供的对ActiveX控件进行分类检测的实现流程图; 图3是本发明实施例提供的根据脚本程序的类别,执行相应的动作的实现 流程图4是本发明实施例提供的根据脚本程序的类别,执行相应的动作的实现 流程图5是本发明实施例提供的在网关进行数据安全检测系统的结构框图; 图6是本发明实施例提供的控件分类检测模块的结构框图; 图7是本发明实施例提供的第一动作执行模块的结构框图8是本发明实施例提供的第二动作执行模块的结构框图。
具体实施例方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实 施例,对本发明进4亍进一步详细说明。应当理解,此处所描述的具体实施例仅 仅用以解释本发明,并不用于限定本发明。
在本发明实施例中,获取并分类检测通过网关传输的脚本程序和/或
ActiveX控件,依据脚本程序和/或ActiveX控件的类别,执4亍相应的允许或禁 止的动作。
图1示出了本发明实施例提供的在网关进行数据安全检测方法的实现流程
图,其详细步骤如下所述
在步骤S101中,在网关获取J专输到浏览器的脚本程序和/或ActiveX控件。 在本发明实施例中,脚本程序通过HTTP协议传输,即通过拦截HTTP协
议的GET命令或HTML文件中以〈scripP开头、以</script 〉结尾的数据来获取
脚本程序。
在本发明实施例中,ActiveX控件打包在cab文件或ocx文件,因此通过下 载cab文件或ocx文件获耳又ActiveX控件。
在步骤S102中,对脚本程序和/或ActiveX控件进行分类检测。
在本发明实施例中,才艮据是否调用了 WSH接口对脚本程序进行分类;通 过是否需要管理员权限对ActiveX控件进行分类。
在步骤S103中,依据脚本程序和/或ActiveX控件的类别,执行相应的动作。
图2示出了本发明实施例提供的对ActiveX控件进行分类检测的实现流程, 其详细步骤如下所述
在步骤S201中,对ActiveX控件进行解压。
在步骤S202中,解析解压后的ActiveX控件,并模拟安装ActiveX控件,获取安装的客户端文件。
在步骤S203中,扫描安装的客户端文件,判断ActiveX控件是否需要管理 员权限。
图3示出了本发明实施例提供的根据脚本程序的类别,执行相应的动作的 实现流程,其详细步骤如下所述
在步骤S301中,判断脚本程序是否调用WSH接口 ,是则执行步骤S303, 否则执行步骤S302。
在本发明实施例中,该判断的过程即为对脚本程序的分类检测的过程,根 据是否调用了 WSH接口,对脚本程序进行分类,分为没有调用WSH接口的脚 本程序和调用WSH接口的脚本程序。
在步骤S302中,执行允许脚本程序在浏览器上运行的动作。
在本发明实施例中,执行允许脚本程序在浏览器上运行的动作,即不对该 没有调用WSH接口的脚本程序进行拦截,放行通过,供用户在浏览器上下载 运行。
在步骤S303中,判断网关是否设置了禁止浏览器运行WSH脚本程序的安 全选项,是则执行步骤S304,否则执行步骤S302。
在本发明实施例中,用户可以设置客户端浏览器的安全选项,禁止某些或 者全部的脚本程序的执行,当用户对浏览器进行了安全选项的设置时,即设置 了禁止脚本程序的"t丸行时,不管该脚本程序是否安全,都禁止发送到该浏览器 上。
在步骤S304中,判断查看提供脚本程序的服务器是否为可信任的服务器, 是则执行步骤S302,否则执行步骤S305。
在步骤S305中,执行禁止脚本程序在浏览器上运行的动作。
图4示出了本发明实施例提供的根据脚本程序的类别,执行相应的动作的 实现流程,其详细步骤如下所述
在步骤S401中,判断ActiveX控件是否需要管理员权限,是则执行步骤S402,否则执行步骤S404。
在本发明实施例中,该判断的过程即为对ActiveX控件的分类检测的过程, 根据ActiveX控件是否了需要管理员权限,对ActiveX控件进行分类,分为需 要管理员权限的ActiveX控件和不需要管理员权限的ActiveX控件。
在步骤S402中,判断网关是否设置有禁止浏览器运行需要管理员权限的 ActiveX控件的安全选项,是则执行步骤S403,否则执行步骤S404。
在本发明实施例中,用户可以设置客户端浏览器的安全选项,禁止某些或 者全部的ActiveX控件的执行,当用户对浏览器进行了安全选项的设置时,即 设置了禁止ActiveX控件的执行时,不管该ActiveX控件是否安全,都禁止发 送到该浏览器上。
在步骤S403中,判断查看提供ActiveX控件的服务器是否为可信任的服务
器,是则执行步骤S404,否则执行步骤S405。
在步骤S404中,执行允许ActiveX控件在浏览器上运行的动作。 在步骤S405中,执行禁止ActiveX控件在浏览器上运行的动作。 在本发明实施例中,执行禁止ActiveX控件在浏览器上运行的动作,即对
该不需要管理员权限的ActiveX控件进行拦截。
图,为了便于说明,图中仅给出了与本发明实施例相关的部分,在网关进行数 据安全检测系统可以为内置于网络数据安全检测设备的软件单元、硬件单元或 软硬件结合单元。
在本发明实施例中,网络数据安全检测设备可以为网关设备或网桥,只要 能达到本发明目的的硬件设备即可,不用以限制本发明。
获取模块ll获取网络传输到浏览器的脚本程序和/或ActiveX控件;分类 检测模块12对脚本程序和/或ActiveX控件进行分类^r测;动作执行模块l3依 据脚本程序和/或ActiveX控件的类别,执行相应的动作。
在本发明实施例中,分类检测模块12包括脚本程序分类检测模块1"和控件分类检测模块122,其中
如图6所示,解压才莫块1221对ActiveX控件进行解压;客户端文件获取模 块1222解析解压后的ActiveX控件,并模拟安装ActiveX控件,获取安装的客 户端文件;扫描模块1223扫描安装的客户端文件,判断ActiveX控件是否需要 管理员权限。
在本发明实施例中,动作执行模块13包括第一动作执行模块131和第二动 作执行模块132,其中 ,
如图7所示,当分类检测模块12判断脚本程序没有调用WSH接口时,第 一允许动作执行模块1311执行允许脚本程序在浏览器上运行的动作;当分类检 测模块12判断脚本程序调用WSH接口时,第一判断模块判断网关是否 设置了禁止浏览器运行WSH脚本程序的安全选项;当第一判断模块UU判断
继续查看提供脚本程序的服务器是否为可信任的服务器,是则第一允许动作执 行模块1311执行允许脚本程序在浏览器上运行的动作;否则第一禁止动作执行 模块1313执行禁止脚本程序在浏览器上运行的动作;当第一判断模块l312判 断网关设置了允许浏览器运行WSH脚本程序的安全选项时,第一允许动作执 行模块1313执行允许脚本程序在浏览器上运行的动作。
如图8所示,当分类检测模块12判断ActiveX控件需要管理员权限时,第 二判断模块1321判断网关是否设置有禁止浏览器运行需要管理员权限的 ActiveX控件的安全选项;当第二判断模块1321判断网关设置有禁止浏览器运 行需要管理员权限的ActiveX控件的安全选项时,第二判断模块l321继续查看 提供ActiveX控件的服务器是否为可信任的服务器,是则第二允许动作执行模 块1322执行允许ActiveX控件在浏览器上运行的动作;否则第二禁止动作执行 模块1323执行禁止ActiveX控件在浏览器上运行的动作;当第二判断模块1^1 判断网关设置有允许浏览器运行需要管理员权限的ActiveX控件的安全选项 时,第二允许动作执行模块1323执行允许ActiveX控件在浏览器上运行的动作;当分类检测模块12判断ActiveX控件不需要管理员权限时,第二允许动作执行 模块1322执行允许ActiveX控件在浏览器上运行的动作。
在本发明实施例中,获取并分类检测网络上传输到浏览器的脚本程序和/ 或ActiveX控件,才艮据脚本程序和/或ActiveX控件的类别,执行相应的允许或 禁止的动作,防止恶意的脚本程序或恶意的二进制程序的侵入,保证了网络的 安全。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤是 可以通过程序来指令相关的硬件来完成,所述的程序可以在存储于一计算机可 读取存储介质中,所述的存储介质,如ROM/RAM、磁盘、光盘等。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发 明的精神和原则之内所作的任何修改、等同替换和改进等'均应包含在本发明 的保护范围之内。
权利要求
1、一种在网关进行数据安全检测方法,其特征在于,所述方法包括下述步骤获取网络传输到浏览器的脚本程序和/或ActiveX控件;对所述脚本程序和/或ActiveX控件进行分类检测;根据所述脚本程序和/或ActiveX控件的类别,执行相应的动作。
2、 如权利要求l所述的方法,其特征在于,所述脚本程序通过HTTP协议 传输;所述ActiveX控件打包在cab文件或ocx文件中。
3、 如权利要求l所述的方法,其特征在于,所述对所述ActiveX控件进行 分类检测的步骤具体包括下述步骤对所述ActiveX控件进行解压;解析解压后的ActiveX控件,并模拟安装所述ActiveX控件,获取安装的 客户端文件;扫描所述安装的客户端文件,判断所述ActiveX控件是否需要管理员权限。
4、 如权利要求1所述的方法,其特征在于,所述根掂所述脚本程序和/或 ActiveX控件的类别,执行相应的动作的步骤具体包括下述步骤当所述脚本程序没有调用WSH接口时,执行允许所述脚本程序在浏览器 上运4于的动作;当所述脚本程序调用WSH接口时,判断网关是否设置了禁止浏览器运行 WSH脚本的安全选项;当网关设置了禁止浏览器运行WSH脚本程序的安全选项时,继续查看提 供所述脚本程序的服务器是否为可信任的服务器,是则执行允许所述脚本程序 在浏览器上运行的动作;否则执行禁止所述脚本程序在浏览器上运行的动作;当网关设置了允许浏览器运行WSH脚本程序的安全选项时,执行允许所 述脚本程序在浏览器上运行的动作。
5、 如权利要求1所述的方法,其特征在于,所述根据所述脚本程序和/或ActiveX控件的类别,执行相应的动作的步骤具体包括下述步骤当所述ActiveX控件需要管理员权限时,判断网关是否设置有禁止浏览器 运行需要管理员权限的ActiveX控件的安全选项;当网关设置有禁止浏览器运行需要管理员权限的ActiveX控件的安全选项 时,继续查看提供所述ActiveX控件的服务器是否为可信任的服务器,是则执 行允许所述ActiveX控件在浏览器上运行的动作;否则执行禁止所述ActiveX 控件在浏览器上运行的动作;当网关设置有允许浏览器运行需要管理员权限的ActiveX控件的安全选项 时,执行允许所述ActiveX控件在浏览器上运行的动作;当所述ActiveX控件不需要管理员权限时,执行允许所述ActiveX控件在 浏览器上运行的动作。
6、 一种在网关进行数据安全检测系统,其特征在于,所述系统包括 获取模块,用于获取网络传输到浏览器的脚本程序和/或ActiveX控件; 分类检测才莫块,用于对所述脚本程序和/或ActiveX控件进行分类检测;以及动作执行模块,用于根据所述脚本程序和/或ActiveX控件的类别,执行相 应的动作。
7、 如权利要求6所述的系统,其特征在于,所述分类检测模块包括脚本程 序分类检测模块和控件分类检测模块,其中,所述控件分类检测模块具体包括解压才莫块,用于对所述ActiveX控件进4亍解压;客户端文件获取模块,用于解析解压后的ActiveX控件,并模拟安装所述 ActiveX控件,获取安装的客户端文件;以及扫描模块,用于扫描所述安装的客户端文件,判断所述ActiveX控件是否需要管理员权限。
8、 如权利要求6所述的系统,其特征在于,所述动作执行模块包括第一动 作执行模块和第二动作执行模块,所述第一动作执行模块具体包括第一判断模块、第一允许动作执行模块和第一禁止动作执行模块,其中当所述脚本程序没有调用WSH接口时,第一允许动作执行模块执行允许 所述脚本程序在浏览器上运行的动作;当所述脚本程序调用WSH接口时,第一判断模块判断网关是否设置了禁 止浏览器运行WSH脚本的安全选项;当所述第一判断模块判断网关设置有禁止浏览器运行WSH脚本程序的安 全选项时,第一判断模块继续查看提供所述脚本程序的服务器是否为可信任的 服务器,是则第一允许动作执行模块执行允许所述脚本程序在浏览器上运行的 动作;否则第一禁止动作执行模块执行禁止所述脚本程序在浏览器上运行的动 作;以及当所述第一判断模块判断网关设置了允许浏览器运行WSH脚本程序的安 全选项时,第 一允许动作执行模块执行允许所述脚本程序在浏览器上运行的动作。
9、如权利要求6所述的系统,其特征在于,所述动作执行模块包括第一动 作执行模块和第二动作执行模块,所述第二动作执行模块具体包括第二判断模 块、第二允许动作执行模块和第二禁止动作执行模块,其中当所述ActiveX控件需要管理员权限时,第二判断模块判断网关是否设置 有禁止浏览器运行需要管理员权限的ActiveX控件的安全选项;当第二判断模块判断网关设置有禁止浏览器运行需要管理员权限的 ActiveX控件的安全选项时,第二判断模块继续查看提供所述ActiveX控件的服 务器是否为可信任的服务器,是则第二允许动作执行模块执行允许所述ActiveX 控件在浏览器上运行的动作;否则第二禁止动作执行模块执行禁止所迷ActiveX控件在浏览器上运行的动作;当第二判断模块判断网关设置有允许浏览器运行需要管理员权限的 ActiveX控件的安全选项时,第二禁止动作允许模块执行允许所述ActiveX控件 在浏览器上运行的动作;以及当所述ActiveX控件不需要管理员权限时,第二允许动作执行模块执行允 许所述ActiveX控件在浏览器上运行的动作。
10、 一种包括权利要求6至9任一项所述的在网关进行数据安全检测系统 的网络数据安全检测设备。
全文摘要
本发明适用于网络安全技术领域,提供了一种在网关进行数据安全检测方法、系统及设备,所述方法包括下述步骤获取网络传输到浏览器的脚本程序和/或ActiveX控件;对所述脚本程序和/或ActiveX控件进行分类检测;根据所述脚本程序和/或ActiveX控件的类别,执行相应的动作。在本发明实施例中,获取并分类检测网络上传输到浏览器的脚本程序和/或ActiveX控件,根据脚本程序和/或ActiveX控件的类别,执行相应的允许或禁止的动作,防止恶意的脚本程序或恶意的二进制程序的侵入,保证了网络的安全。
文档编号H04L29/06GK101448005SQ20081024156
公开日2009年6月3日 申请日期2008年12月24日 优先权日2008年12月24日
发明者蔡成志 申请人:深圳市深信服电子科技有限公司