专利名称::安全防护方法、网关设备及安全防护系统的制作方法
技术领域:
:本发明涉及网络通信
技术领域:
,尤其涉及一种安全防护方法、网关设备及安全防护系统。
背景技术:
:目前,随着网络技术的迅速发展,网络的使用也更加便捷。如"Web2.0"相关技术和应用的发展使得在线协作、共享更加方便。随着越来越多的"Web2.0"网站出现,更多具有互动能力的Web应用程序被开发出来,黑客也在寻找技术上的瑕疯,用以执行他们的恶意程序代码,从而产生了更多的网络威胁(Web威胁)。Web威胁利用因特网(Internet)执行各种恶意活动,如身份窃取、私密信息窃取、带宽资源占用等。Web威胁所使用的恶意程序代码潜入计算机系统之后,还会扩散并不断更新自己,危害十分严重。从其来源说,Web威胁分为内部攻击和外部攻击两类。前者主要来自信任网络,由于用户执行了未授权访问或无意中定制了恶意攻击所致;后者主要是由于网络漏洞被利用或者用户受到恶意程序制定者的专一攻击所致。现有技术中,保护计算机免受Web威胁的安全防护技术包括通过网站分类过滤保护计算机免受的Web威胁。目前,很多企业采用网站分类技术,把网络上的网站进行识别分类,形成分类库。并且,通过软件和硬件系统集成该功能,用户可以根据需要定制访问策略,从而达到访问相对良好的分类网站。"smartfilter,,、"websense"等产品均采用这类技术。在实现本发明的过程中,发明人发现现有技术至少存在以下缺陷安全防护仅局限于检测网页的设备本身,其他设备无法获知检测网页的设备的检5测结果,因而无法避免恶意网页侵害的问题。
发明内容本发明实施例提出一种安全防护方法、网关设备及安全防护系统,以有效减少恶意网页的侵害。本发明实施例提出了一种安全防护方法,包括获取用户访问的统一资源定位符;提取所述统一资源定位符的特征值;根据所述特征值在预置的信誉数据库中查询对应的信誉数值;当查询到的信誉数值低于设定值的情况时,作防护处理。本发明实施例还提出了一种网关设备,包括获取模块,用于获取用户访问的统一资源定位符;提取模块,用于提取所述统一资源定位符的特征值;查询模块,用于根据所述特征值在预置的信誉数据库中查询对应的信誉数值;防护模块,用于当查询到的信誉数值低于设定值的情况时,作防护处理。本发明实施例还提出了一种安全防护系统,包括网页信誉服务设备,用于提取统一资源定位符的特征值,通过对所述统一资源定位符对应的网页进行;险测,获得所述统一资源定位符对应的信誉数值,并对应存储所述信誉数值与所述特征值;网关设备,用于获取用户访问的统一资源定位符,提取所述统一资源定位符的特征值;根据所述特征值在所述网页信誉服务设备中查询对应的信誉数值;当查询到的信誉数值低于设定值的情况时,作防护处理。上述实施例根据统一资源定位符(UniformResourceLocator,URL)对应的网页检测获得的信誉数值,对URL的信誉进行判断,对于信誉数值较低的URL进行阻断,使得所有能够获取URL的设备都能够通过查询获知URL的信誉,有效解决了恶意网页侵害的问题。下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。图1为本发明实施例的一种安全防护系统的结构示意图2为本发明实施例安全防护系统中网页信誉服务设备的结构示意图3为本发明实施例的一种网关设备的结构示意图;图4为本发明实施例的另一种网关设备的具体工作流程示意图;图5为本发明实施例的一种安全防护方法流程图;图6为本发明实施例安全防护方法所应用的URL信誉过滤旁路部署场景示意图7为本发明实施例安全防护方法所应用的URL信誉过滤直路接入部署场景示意图8为本发明实施例安全防护方法所应用的URL信誉服务TSM终端应用场景示意图9为本发明实施例安全防护方法所应用的URL信誉服务无线应用场景示意图10为本发明实施例安全防护方法所应用的网页信誉服务设备在云安全综合业务网关的应用场景示意图。具体实施例方式图1为本发明实施例的一种安全防护系统的结构示意图。该系统包括网页信誉服务设备11及网关设备12。网页信誉服务设备11用于预先获取并保存网络中用户所访问的URL的特征值及与每个特征值对应的信誉数值,以便其他设备进行查询,其中,所保存的URL的特征值及与每个特征值对应的信誉数值可以作为信誉数据库。网关设备12用于,才是取当前用户访问的URL的特征值,如对当前用户访问的URL进行哈希计算,获得哈希结果,根据哈希结果从网页信誉服务设备11中查询该URL的信誉数值,如果信誉数值低于设定值,则对该URL进行拦截,从而减少了恶意网页的侵害,起到了主动防护的作用。本发明实施例的另一种安全防护系统中,网关设备12还可以对网页信誉服务设备11中保存的URL的特征值及与每个特征值对应的信誉数值进行本地緩存,以减少对URL的处理时间。此时,网关设备12可根据本地的緩存首先进行识别,判断是否有相关信誉记录信息,如果有记录并且信誉数值不低于预先设定值时,则对该URL完全放行;如果该URL的信誉数值低于预先设定值时,则对该URL进行防护处理;其中,所述预先设定值可以是具体情况或经验值预先设定;所述防护处理包括对用户所访问的URL传输进行阻断。本发明实施例的安全防护系统中,网关设备12可进一步在本地没有缓存信誉数据库的情况下,把当前用户所访问的URL上传网页信誉服务设备,以便网页信誉服务设备对该URL进行信誉评价,获得该URL的信誉数据。本发明实施例的安全防护系统中,网页信誉服务设备11可包括提取模块13、检测模块14及存储模块15。提取模块13提取网络中用户访问的URL的特征值,如利用哈希算法对URL进行计算,得到URL的特征值,即获取该URL唯一性的属性,如哈希计算结果。提取模块13提取特征值的URL中,可能没有当前用户访问的URL。如果提取模块13提取特征值的URL中没有当前用户访问的URL,则网关设备查询不到当前用户访问的URL对应的信誉数值,此时网关设备可上报网页信誉服务设备。网页信誉服务设备根据上报获取当前用户访问的URL并进行信誉评估。才企测模块14对通过对URL对应的网页进行4企测,根据;险测结果评定URL的信誉数值。如当检测模块14检测到网页中包含有恶意代码时,给该URL评定一个较低的信誉数值;当检测模块14检测到网页中没有恶意代码时,给该URL评定一个较高的信誉数值。存储模块15存储提取模块13提取的特征值及检测模块14评定的信誉数值,以备网关设备12查询URL的信誉数值。本发明实施例的另一种安全防护系统可进一步包括资源存储模块。资源存储模块用于存储所述URL对应的网页。图2为本发明实施例安全防护系统中网页信誉服务设备的结构示意图。本实施例中,网页信誉服务设备对URL进行信誉评价主要是采用对网络中用户所访问过的网页进行下载,网络爬虫对网页进行下载,然后对网页所包含内容进行检测分析,识别是否具备恶意性,根据识别结果为URL赋予信誉数值。如图2所示,网页信誉服务设备通过网页爬虫在网络上爬取用户感兴趣的网页,然后把网页的内容存在网页资源库中,各个分析引擎如分析引擎l、分析引擎2、分析引擎3等则不停的读取从网页下载下来的数据,包括一些小的附件,对这些数据采用下载可执行模块特征检测、网页挂马检测、脚本病毒检测等。然后根据检测结果进行评价,获得信誉数值,并记录到网页信誉库中。其中,各个分析引擎即上述实施例中的检测模块,网页资源库可以是上述实施例中的资源存储模块;网页信誉库可以是上述实施例中的存储模块。由于URL的信誉是变化的,不是固定的,因此,需要不断更新。此时,网页信誉服务设备可进一步包括更新模块21。该更新模块21可用于按设定时间下载所述URL对应的网页,并在下载的网页更新的情况下,在所述下载的网页上设置用于检测的标记。检测模块可具体用于根据所述标记检测所述下载的网页的内容,并根据检测结果更新信誉数值。如每三天检查一次网页资源库的网页下载时间,利用更新模块21去网站上下载该网页,如果下载下来的网页和网页资源库的相同,则只对网页资源库中的网页下载时间进行更新;如果不同,则将下载的网页保存到网页资源库,同时在下载下来的网页上打上用于检测的标记,以便指示分析引擎进行^r测。分析引擎发现这个标记后对这个网页的内容进行斥企测并重新评定信誉数值。上述系统实施例中,网页信誉服务设备存储的URL的特征值及对应的信誉数值可统称为信誉数据。信誉数据可包含如表1所示的信息。<table>tableseeoriginaldocumentpage10</column></row><table>其中,URL名称可^l示某一URL的名称,初发现时表示该URL最初发现或下载的时间,近发现时表示该URL最近发现或下载的时间也即上述系统实施例中的最近的网页下载时间,哈希结果表示对URL名称利用哈希算法提取的特征值,次数统计表示该URL在网络传播被发现或被下载的次数,信誉数值表示该URL经过检测后获得的信誉数值。图3为本发明实施例的一种网关设备的结构示意图。该网关设备可为SIG、GGSN、云安全网关等,包括获取模块31、提取模块32、查询模块33、及防护模块34。获取模块31获取用户访问的URL。提取模块32提取所述获取的URL的特征值,如对获取模块31获取的URL进行哈希计算,获得该URL的特征值。查询模块33根据提取模块32提取的特征值查询对应的信誉数值,即URL的信誉数值;信誉数值详见上迷系统实施例。防护模块34在查询模块33获取的信誉数值低于设定值的情况下,作防护处理。查询模块33可用于从信誉数据中获取与所述特征值对应的信誉数值。.当信誉数据存储在网页信誉服务设备时,查询模块33可用于从网页信誉服务设备获取URL的信誉数值。当信誉数据存储在本地即本网关设备内时,本发明实施例所提供的网关设备可进一步包括緩存模块。该緩存模块緩存网页信誉服务设备维护的信誉数据。此时,查询模块33可用于从所述緩存模块緩存的信誉数据中获取与所述特征值对应的信誉数值,以提高执行效率。防护模块34可以包括返回子模块及阻断子模块。返回子模块返回告警信息;阻断子模块在用户根据所述告警信息指示停止浏览指示的情况下,阻断所述用户访问的URL。本发明实施例所提供的网关设备还可以包括第一放行模块。在所述用户根据所述告警信息返回继续浏览指示的情况下,第一放行模块放行所述用户访问的URL。本发明实施例所提供的网关设备还可以包括第二放行模块。在所述用户访问的URL的信誉数值高于所述设定值的情况下,第二放行模块放行所述用户访问的URL。本发明实施例所提供的网关设备可进一步包括上报模块。在查询模块33没有获取到对应的信誉数值的情况下,上报模块向网页信誉服务设备上才艮所述用户访问的URL。网关设备的工作流程可如图4所示,包括步骤41、获取用户访问的URL;步骤42、对步骤41获取的URL进行哈希计算,提取特征值;步骤43、查询本地緩存的信誉数值;步骤44、根据本地的緩存首先进行识別,判断是否有相关信誉记录信息,如果有记录,执行步骤45;否则,执行步骤48;步骤45,判断信誉数值是否大于设定值,若是,则执行步骤46;否则,执行步骤47;步骤46、对该URL完全放行;步骤47、则对该URL传输阻断,结束。步骤48、将该URL上报给网页信誉服务设备,让其对该URL进行信誉评价。本发明实施例的另一种网关设备可包括企业网内部权限管理系统的客户端(SecospaceSA)和企业网内部权限管理系统的服务器端(SecospaceSC)。SecospaceSA用于获取用户访问的URL;提取所述URL的特征值;根据所述特征值获取对应的信誉数值;所述信誉数值详见上述系统实施例。SecospaceSC在SecospaceSA获取的信誉数值低于设定值的情况下,阻断所述URL;否则,》文;f亍该URL。图5为本发明实施例的一种安全防护方法流程图。该方法包括步骤51、网关设备获取用户访问的URL;步骤52、提取步骤51获取的URL的特征值;步骤53、根据步骤52提取的特征值在预置的信誉数据库中查询对应的信誉数值;所述信誉数值详见上述系统实施例;步骤54、当查询到的信誉数值低于设定值的情况时,作防护处理。如在步骤53查饰到的信誉数值低于设定值的情况下,阻断步骤51获取的URL。本实施例通过查询URL的信誉数值,并在URL的信誉数值较低的情况下进行阻拦,保证了所有用户访问的URL都能够通过查询其信誉数值,并根据其信誉数值的高低进行阻断或放行,有效解决了恶意网页的侵害的问题。本发明实施例提供的安全防护方法可应用于如图6、图7、图8、图9及图10所示的部署场景。图6为本发明实施例安全防护方法所应用的URL信誉过滤旁路部署场景示意图。图7为本发明实施例安全防护方法所应用的URL信誉过滤直路接入部署场景示意图。图8为本发明实施例安全防护方法所应用的URL信誉服务TSM终端应用场景示意图。图9为本发明实施例安全防护方法所应用的URL信誉服务无线应用场景示意图。图10为本发明实施例安全防护方法所应用的网页信誉服务设备在云安全综合业务网关的应用场景示意图。当本发明实施例提供的安全防护方法应用于图6-图IO所示场景时,上述步骤52可分别由SIG、SecospaceSA、GGSN、网关设备、云安全综合业务网关监听用户向因特网发起的网络(WEB)访问请求,获得URL,并提取URL的特征值对发送至网页信誉服务设备进行信誉查询,网页信誉服务设备判断后返回信誉数值;上述步骤53中可分别由SIG、SecospaceSC、GGSN、网关设备、云安全综合业务网关对网页信誉服务设备返回的信誉数值进行判断,进行防护处理。如对信誉数值低于策略设定值的URL直接进行阻拦,或者进一步伪造回应页面对用户进行告警;又或者,还进一步由用户根据告警进行判断是否继续浏览;若用户返回继续浏览的指示,则对此次访问请求不再处理,即对URL放行;若用户返回不浏览的指示,则对URL进行阻拦。上述实施例中,网页信誉服务设备通过预先对URL进行检测并设定相应的信誉数值供SIG、SecospaceSC、GGSN、云安全综合业务网关等网关设备查询,保证了所有的网关设备都能够根据网页信誉服务设备中存储的信誉数据对URL进行阻拦或放行,避免了恶意网页的侵害。本领域普通技术人员可以理解实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括ROM、RAM、f兹碟或者光盘等各种可以存储程序代码的介质。最后应说明的是以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。1权利要求1、一种安全防护方法,其特征在于,包括获取用户访问的统一资源定位符;提取所述统一资源定位符的特征值;根据所述特征值在预置的信誉数据库中查询对应的信誉数值;当查询到的信誉数值低于设定值的情况时,作防护处理。2、根据权利要求1所述的安全防护方法,其特征在于,所述信誉数据库存放于本地緩存中。3、根据权利要求1所述的安全防护方法,其特征在于,所述防护处理包括阻断用户所访问的统一资源定位符。4、根据权利要求1所述的安全防护方法,其特征在于,还包括网页信誉服务设备按设定时间下载所述统一资源定位符对应的网页;在下载的网页更新的情况下,检测所述下载的网页的内容;根据检测结果更新信誉数值。5、根据权利要求4所述的安全防护方法,其特征在于,所述网页信誉服务设备按设定时间下载所述统一资源定位符对应的网页之后还包括更新下载时间,以根据该下载时间执行下次更新。6、根据权利要求1-5中任一项所述的安全防护方法,其特征在于,还包括在没有查询到所述统一资源定位符的信誉数值的情况下,上报所述用户访问的统一资源定位符用以评估该用户访问的统一资源定位符的信誉数值。7、一种网关设备,其特征在于,包括获取模块,用于获取用户访问的统一资源定位符;提取模块,用于提取所述统一资源定位符的特征值;查询模块,用于根据所述特征值在预置的信誉数据库中查询对应的信誉数值;防护模块,用于当查询到的信誉数值低于设定值的情况时,作防护处理。8、根据权利要求7所述的网关设备,其特征在于,还包括緩存模块,用于在本地存放所述信誉数据库。9、根据权利要求7或8所述的网关设备,其特征在于,所述防护模块用于当查询到的信誉数值低于设定值的情况时,阻断用户所访问的统一资源定位符。10、根据权利要求7或8所述的网关设备,其特征在于,所述防护模块用于当查询到的信誉数值低于设定值的情况时,阻断所述用户访问的统一资源定位符。11、根据权利要求7或8所述的网关设备,其特征在于,还包括上报模块,用于在没有获取到对应的信誉数值的情况下,上报所述用户访问的统一资源定位符,用以评估该用户访问的统一资源定位符的信誉数值。12、一种安全防护系统,其特征在于,包括网页信誉服务设备,用于提取统一资源定位符的特征值,通过对所述统一资源定位符对应的网页进行检测,获得所述统一资源定位符对应的信誉数值,并对应存储所述信誉数值与所述特征值;网关设备,用于获取用户访问的统一资源定位符,提取所述统一资源定位符的特征值;根据所述特征值在所述网页信誉服务设备中查询对应的信誉数值;当查询到的信誉数值低于设定值的情况时,作防护处理。13、根据权利要求12所述的安全防护系统,其特征在于,所述网页信誉服务设备包括提取模块,用于提取所述统一资源定位符的特征值;检测模块,用于对所述统一资源定位符对应的网页进行检测,根据检测结果评定所述统一资源定位符的信誉数值;存储模块,用于存储包括所述统一资源定位符的特征值与信誉数值。14、根据权利要求13所述的安全防护系统,其特征在于,所述网页信誉服务设备还包括资源存储模块,用于存储所述统一资源定位符对应的网页;更新模块,用于按设定时间下载所述统一资源定位符对应的网页,并与所述资源存储模块中存储的网页进行比较;在下载的网页更新的情况下,在所述下载的网页上设置用于4全测的标记;所述检测模块具体用于根据所述标记检测所述下载的网页的内容,并根据检测结果更新信誉数值。15、根据权利要求14所述的安全防护系统,其特征在于,所述更新模块还用于更新下载时间,以根据该下载时间执行下次更新。16、根据权利要求13-15中任一项所述的安全防护系统,其特征在于,所述网页信誉服务设备还包括接收模块,用于接收所述网关设备在所述对应的信誉数值不存在的情况下,上^^艮的所述用户访问的统一资源定位符。全文摘要本发明涉及一种安全防护方法、网关设备及安全防护系统,方法包括获取用户访问的统一资源定位符;提取所述统一资源定位符的特征值;根据所述特征值在预置的信誉数据库中查询对应的信誉数值;当查询到的信誉数值低于设定值的情况时,作防护处理。上述实施例根据URL对应的网页检测获得的信誉数值,对URL的信誉进行判断,对于信誉数值较低的URL进行阻断,使得所有能够获取URL的设备都能够通过查询获知URL的信誉,有效解决了恶意网页侵害的问题。文档编号H04L29/06GK101582887SQ20091008505公开日2009年11月18日申请日期2009年5月20日优先权日2009年5月20日发明者武蒋申请人:成都市华为赛门铁克科技有限公司