一种基于云的持续更新事件结果与统计信息的系统及方法

一种基于云的持续更新事件结果与统计信息的系统及方法
【专利摘要】本发明提供了一种基于云的持续更新事件结果与统计信息的系统及方法，包括：客户端循环获取URL事件；并判断所述URL是否能够与白名单或黑名单匹配，如果是，则根据黑名单或白名单进行处置，并记录检测结果，同时更新事件统计列表；否则将所述URL上传到云端分析系统；客户端按预设时间间隔，向云端分析系统查询所有检测结果为待确认的URL的云端分析结果；判断是否存在URL的云端分析结果，如果存在，则获取云端分析结果，并用所述云端分析结果更新对应URL的检测结果及事件统计列表。通过本发明的方法及系统，能够解决未知URL事件的判定，能及时到云端分析系统中获取之前未确定的结果并更新客户端记录，不依赖于检测时所产生的结果，便于及时发现威胁。
【专利说明】一种基于云的持续更新事件结果与统计信息的系统及方法
【技术领域】
[0001]本发明涉及计算机网络安全【技术领域】，尤其涉及一种基于云的持续更新事件结果与统计信息的系统及方法。
【背景技术】
[0002]随着网络技术的发展，各种网络安全威胁形式逐渐增多，目前URL事件判定方法是即时的，即针对URL事件，依据自身的黑白名单库对URL事件给予判定结果。而这种URL事件判定方法存在一定弊端，其对URL事件判定能力取决于黑白名单库收集是否全面与及时。并且未来的安全威胁多为apt (高级持续威胁)，apt是无法检测和防御的，apt的关键在于在最短时间内发现威胁，而传统的URL事件的检测模型是无法应对apt的。

【发明内容】

[0003]本发明提供一种基于云的持续更新事件结果与统计信息的系统及方法，解决了现有技术中无法判定未知URL事件的问题。
[0004]一种基于云的持续更新事件结果与统计信息的系统，包括:客户端设备及云分析系统；
所述客户端设备包括:
URL获取模块，用于客户端循环获取URL事件；
URL处置模块，用于判断所述URL是否能够与白名单或黑名单匹配，如果是，则根据黑名单或白名单进行处置，并将检测结果记录到统计模块，同时更新事件统计列表；否则将所述URL上传到云端分析系统，所述URL的检测结果为待确认，将检测结果记录到统计模块，并更新事件统计列表；
统计模块，用于记录检测结果及事件统计列表；
查询模块，用于按预设时间间隔，向云端分析系统查询所有检测结果为待确认的URL的云端分析结果；判断是否存在URL的云端分析结果，如果存在，则获取云端分析结果，并用所述云端分析结果更新统计模块中对应URL的检测结果及与所述URL相关事件的检测结果，同时更新事件统计列表；如果不存在，则等待下一次查询；
所述云分析系统包括:
获取模块，用于获取客户端引擎装置上传的URL ；
分析模块，用于根据所述URL，下载对应文件并进行分析；
记录模块，用于记录分析模块的分析结果，供客户端查询。
[0005]所述的系统中，所述的获取的URL事件为用户提交的URL或客户端在网络中捕获的 URL。
[0006]所述的系统中，所述的事件统计列表为客户端设备及云端分析系统检测到的各事件的统计表。
[0007]—种基于云的持续更新事件结果与统计信息的方法，适用于上述系统，包括: 客户端循环获取URL事件；
判断所述URL是否能够与白名单或黑名单匹配，如果是，则根据黑名单或白名单进行处置，并记录检测结果，同时更新事件统计列表；否则将所述URL上传到云端分析系统，所述URL的检测结果为待确认，并记录检测结果，同时更新事件统计列表；
客户端按预设时间间隔，向云端分析系统查询所有检测结果为待确认的URL的云端分析结果；判断是否存在URL的云端分析结果，如果存在，则获取云端分析结果，并用所述云端分析结果更新对应URL的检测结果及与所述URL相关事件的检测结果，同时更新事件统计列表；如果不存在，则等待下一次查询；
所述云分析系统获取客户端引擎装置上传的URL;根据所述URL，下载对应文件并进行分析；记录分析模块的分析结果，供客户端查询。
[0008]所述的方法中，所述的获取的URL事件为用户提交的URL或客户端在网络中捕获的 URL。
[0009]所述的方法中，所述的事件统计列表为客户端设备及云端分析系统检测到的各事件的统计表。
[0010]一种基于云的持续更新事件结果与统计信息的方法，适用于上述系统中的客户端设备，包括:
客户端循环获取URL事件；
判断所述URL是否能够与白名单或黑名单匹配，如果是，则根据黑名单或白名单进行处置，并记录检测结果，同时更新事件统计列表；否则将所述URL上传到云端分析系统，所述URL的检测结果为待确认，并记录检测结果，同时更新事件统计列表；
客户端按预设时间间隔，向云端分析系统查询所有检测结果为待确认的URL的云端分析结果；判断是否存在URL的云端分析结果，如果存在，则获取云端分析结果，并用所述云端分析结果更新对应URL的检测结果及与所述URL相关事件的检测结果，同时更新事件统计列表；如果不存在，则等待下一次查询。
[0011]所述的方法中，所述的获取的URL事件为用户提交的URL或客户端在网络中捕获的 URL。
[0012]所述的方法中，所述的事件统计列表为客户端设备及云端分析系统检测到的各事件的统计表。
[0013]本发明能够对未知URL事件进行判定，当URL事件无法在本地客户端判定黑白时，通过将URL上传到云端分析系统进一步分析，本地保存URL记录，标识URL为待确认状态，一段时间后，可以向云端查询分析结果，将检测结果更新。通过这种方法可以很好的解决未知URL事件的判定问题，即一个URL事件的结果不完全由实时检测环节决定，而是可以不停从后端的云同步到最新的结果。客户端可以根据不断更新的检测结果，更新统计数据，可以在最短的时间内发现威胁，以便及时处置。
[0014]本发明提供了一种基于云的持续更新事件结果与统计信息的系统及方法，包括:客户端循环获取URL事件；并判断所述URL是否能够与白名单或黑名单匹配，如果是，则根据黑名单或白名单进行处置，并记录检测结果，同时更新事件统计列表；否则将所述URL上传到云端分析系统；客户端按预设时间间隔，向云端分析系统查询所有检测结果为待确认的URL的云端分析结果；判断是否存在URL的云端分析结果，如果存在，则获取云端分析结果，并用所述云端分析结果更新对应URL的检测结果及事件统计列表。通过本发明的方法及系统，能够解决未知URL事件的判定，能及时到云端分析系统中获取之前未确定的结果并更新客户端记录，不依赖于检测时所产生的结果，便于及时发现威胁。
【专利附图】

【附图说明】
[0015]为了更清楚地说明本发明或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0016]图1为一种基于云的持续更新事件结果与统计信息的系统结构示意图；
图2为一种基于云的持续更新事件结果与统计信息的方法中客户端设备检测URL流程
图；
图3为一种基于云的持续更新事件结果与统计信息的方法中客户端设备查询结果流程图；
图4为一种基于云的持续更新事件结果与统计信息的方法中云分析系统流程图。【具体实施方式】
[0017]为了使本【技术领域】的人员更好地理解本发明实施例中的技术方案，并使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图对本发明中技术方案作进一步详细的说明。
[0018]本发明提供一种基于云的持续更新事件结果与统计信息的系统及方法，解决了现有技术中无法判定未知URL事件的问题。
[0019]一种基于云的持续更新事件结果与统计信息的系统，如图1所示，包括:客户端设备101及云分析系统102 ；
所述客户端设备包括:
URL获取模块101-1，用于客户端循环获取URL事件；本发明中的客户端通常指网络设备，但不局限于网络设备；
URL处置模块101-2，用于判断所述URL是否能够与白名单或黑名单匹配，如果是，则根据黑名单或白名单进行处置，并将检测结果记录到统计模块，同时更新事件统计列表；否则将所述URL上传到云端分析系统，所述URL的检测结果为待确认，将检测结果记录到统计模块，并更新事件统计列表；
统计模块101-3，用于记录检测结果及事件统计列表；
查询模块101-4，用于按预设时间间隔，向云端分析系统查询所有检测结果为待确认的URL的云端分析结果；判断是否存在URL的云端分析结果，如果存在，则获取云端分析结果，并用所述云端分析结果更新统计模块中对应URL的检测结果及与所述URL相关事件的检测结果，同时更新事件统计列表；如果不存在，则等待下一次查询；通过该过程，实现一个URL事件的结果不完全由实时检测环节决定，而是可以不停从后端的云同步到最新的结果。客户端可以根据不断更新的检测结果，更新统计数据。
[0020]所述云分析系统102包括: 获取模块102-1，用于获取客户端引擎装置上传的URL ；
分析模块102-2，用于根据所述URL，下载对应文件并进行分析；
记录模块102-3，用于记录分析模块的分析结果，供客户端查询。
[0021]所述的系统中，所述的获取的URL事件为用户提交的URL或客户端在网络中捕获的 URL。
[0022]所述的系统中，所述的事件统计列表为客户端设备及云端分析系统检测到的各事件的统计表。
[0023]一种基于云的持续更新事件结果与统计信息的方法，适用于上述系统；
客户端设备检测URL流程如图2所示:
S201:客户端循环获取URL事件；
S201:判断所述URL是否能够与白名单或黑名单匹配，如果是，则执行S203，否则执行S204 ；
5203:根据黑名单或白名单进行处置，并记录检测结果，同时更新事件统计列表；
5204:将所述URL上传到云端分析系统，所述URL的检测结果为待确认，并记录检测结果，同时更新事件统计列表；
客户端设备查询结果流程如图3所示:
5301:客户端按预设时间间隔，向云端分析系统查询所有检测结果为待确认的URL的云端分析结果；
5302:判断是否存在URL的云端分析结果，如果存在，则执行S303，否则执行S304 ；
5303:获取云端分析结果，并用所述云端分析结果更新对应URL的检测结果及与所述URL相关事件的检测结果，同时更新事件统计列表；
5304:等待下一次查询。
[0024]云分析系统流程如图4所示:
5401:云分析系统获取客户端引擎装置上传的URL ；
5402:根据所述URL，下载对应文件并进行分析；
5403:记录分析模块的分析结果，供客户端查询。
[0025]所述的方法中，所述的获取的URL事件为用户提交的URL或客户端在网络中捕获的 URL。
[0026]所述的方法中，所述的事件统计列表为客户端设备及云端分析系统检测到的各事件的统计表。
[0027]—种基于云的持续更新事件结果与统计信息的方法，适用于上述系统中的客户端设备，包括:
客户端循环获取URL事件；
判断所述URL是否能够与白名单或黑名单匹配，如果是，则根据黑名单或白名单进行处置，并记录检测结果，同时更新事件统计列表；否则将所述URL上传到云端分析系统，所述URL的检测结果为待确认，并记录检测结果，同时更新事件统计列表；
客户端按预设时间间隔，向云端分析系统查询所有检测结果为待确认的URL的云端分析结果；判断是否存在URL的云端分析结果，如果存在，则获取云端分析结果，并用所述云端分析结果更新对应URL的检测结果及与所述URL相关事件的检测结果，同时更新事件统计列表；如果不存在，则等待下一次查询。
[0028]所述的方法中，所述的获取的URL事件为用户提交的URL或客户端在网络中捕获的 URL。
[0029]所述的方法中，所述的事件统计列表为客户端设备及云端分析系统检测到的各事件的统计表。
[0030]本发明能够对未知URL事件进行判定，当URL事件无法在本地客户端判定黑白时，通过将URL上传到云端分析系统进一步分析，本地保存URL记录，标识URL为待确认状态，一段时间后，可以向云端查询分析结果，将检测结果更新。通过这种方法可以很好的解决未知URL事件的判定问题，即一个URL事件的结果不完全由实时检测环节决定，而是可以不停从后端的云同步到最新的结果。客户端可以根据不断更新的检测结果，更新统计数据，可以在最短的时间内发现威胁，以便及时处置。
[0031]本发明提供了一种基于云的持续更新事件结果与统计信息的系统及方法，包括:客户端循环获取URL事件；并判断所述URL是否能够与白名单或黑名单匹配，如果是，则根据黑名单或白名单进行处置，并记录检测结果，同时更新事件统计列表；否则将所述URL上传到云端分析系统；客户端按预设时间间隔，向云端分析系统查询所有检测结果为待确认的URL的云端分析结果；判断是否存在URL的云端分析结果，如果存在，则获取云端分析结果，并用所述云端分析结果更新对应URL的检测结果及事件统计列表。通过本发明的方法及系统，能够解决未知URL事件的判定，能及时到云端分析系统中获取之前未确定的结果并更新客户端记录，不依赖于检测时所产生的结果，便于及时发现威胁。
[0032]本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于系统实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。
[0033]虽然通过实施例描绘了本发明，本领域普通技术人员知道，本发明有许多变形和变化而不脱离本发明的精神，希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。
【权利要求】
1.一种基于云的持续更新事件结果与统计信息的系统，其特征在于，包括:客户端设备及云分析系统； 所述客户端设备包括: URL获取模块，用于客户端循环获取URL事件； URL处置模块，用于判断所述URL是否能够与白名单或黑名单匹配，如果是，则根据黑名单或白名单进行处置，并将检测结果记录到统计模块，同时更新事件统计列表；否则将所述URL上传到云端分析系统，所述URL的检测结果为待确认，将检测结果记录到统计模块，并更新事件统计列表； 统计模块，用于记录检测结果及事件统计列表； 查询模块，用于按预设时间间隔，向云端分析系统查询所有检测结果为待确认的URL的云端分析结果；判断是否存在URL的云端分析结果，如果存在，则获取云端分析结果，并用所述云端分析结果更新统计模块中对应URL的检测结果及与所述URL相关事件的检测结果，同时更新事件统计列表；如果不存在，则等待下一次查询； 所述云分析系统包括: 获取模块，用于获取客户端引擎装置上传的URL ； 分析模块，用于根据所述URL，下载对应文件并进行分析； 记录模块，用于记录分析模块的分析结果，供客户端查询。
2.如权利要求1所述的系统，其特征在于，所述的获取的URL事件为用户提交的URL或客户端在网络中捕获的URL。
3.如权利要求1所述的系统，其特征在于，所述的事件统计列表为客户端设备及云端分析系统检测到的各事件的统计表。
4.一种基于云的持续更新事件结果与统计信息的方法，适用于权利要求1所述系统，其特征在于，包括: 客户端循环获取URL事件； 判断所述URL是否能够与白名单或黑名单匹配，如果是，则根据黑名单或白名单进行处置，并记录检测结果，同时更新事件统计列表；否则将所述URL上传到云端分析系统，所述URL的检测结果为待确认，并记录检测结果，同时更新事件统计列表； 客户端按预设时间间隔，向云端分析系统查询所有检测结果为待确认的URL的云端分析结果；判断是否存在URL的云端分析结果，如果存在，则获取云端分析结果，并用所述云端分析结果更新对应URL的检测结果及与所述URL相关事件的检测结果，同时更新事件统计列表；如果不存在，则等待下一次查询； 所述云分析系统获取客户端引擎装置上传的URL ;根据所述URL，下载对应文件并进行分析；记录分析模块的分析结果，供客户端查询。
5.如权利要求4所述的方法，其特征在于，所述的获取的URL事件为用户提交的URL或客户端在网络中捕获的URL。
6.如权利要求4所述的方法，其特征在于，所述的事件统计列表为客户端设备及云端分析系统检测到的各事件的统计表。
7.一种基于云的持续更新事件结果与统计信息的方法，适用于权利要求1所述系统中的客户端设备，其特征在于，包括:客户端循环获取URL事件； 判断所述URL是否能够与白名单或黑名单匹配，如果是，则根据黑名单或白名单进行处置，并记录检测结果，同时更新事件统计列表；否则将所述URL上传到云端分析系统，所述URL的检测结果为待确认，并记录检测结果，同时更新事件统计列表； 客户端按预设时间间隔，向云端分析系统查询所有检测结果为待确认的URL的云端分析结果；判断是否存在URL的云端分析结果，如果存在，则获取云端分析结果，并用所述云端分析结果更新对应URL的检测结果及与所述URL相关事件的检测结果，同时更新事件统计列表；如果不存在，则等待下一次查询。
8.如权利要求7所述的方法，其特征在于，所述的获取的URL事件为用户提交的URL或客户端在网络中捕获的URL。
9.如权利要求7所述的方法，其特征在于，所述的事件统计列表为客户端设备及云端分析系统检测到的各 事件的统计表。
【文档编号】H04L29/06GK103581162SQ201210578079
【公开日】2014年2月12日 申请日期:2012年12月27日 优先权日:2012年12月27日
【发明者】肖新光, 童志明, 沈长伟 申请人:哈尔滨安天科技股份有限公司