CN116886441A - 一种网站检测方法、装置、电子设备和可读介质 - Google Patents

一种网站检测方法、装置、电子设备和可读介质 Download PDF

Info

Publication number
CN116886441A
CN116886441A CN202311092682.9A CN202311092682A CN116886441A CN 116886441 A CN116886441 A CN 116886441A CN 202311092682 A CN202311092682 A CN 202311092682A CN 116886441 A CN116886441 A CN 116886441A
Authority
CN
China
Prior art keywords
website
audit
browser
target
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202311092682.9A
Other languages
English (en)
Inventor
侯闻达
杨建�
庞云洁
陈少华
孙云鹏
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Volcano Engine Technology Co Ltd
Original Assignee
Beijing Volcano Engine Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Volcano Engine Technology Co Ltd filed Critical Beijing Volcano Engine Technology Co Ltd
Priority to CN202311092682.9A priority Critical patent/CN116886441A/zh
Publication of CN116886441A publication Critical patent/CN116886441A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/06Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本申请公开了一种网站检测方法、装置、电子设备和可读介质,响应于在办公终端的目标浏览器向第一网站外发具有安全防护属性的目标文件,获取该第一网站的网站信息;基于第一网站的网站信息,判断第一网站是否与预配置的网站设计策略匹配,如果匹配,则生成包括第一网站的网站信息的审计结果,该审计结果用于指示在所述目标浏览器上向第一网站外发具有安全防护属性的目标文件的行为存在安全隐患。这样,通过在办公终端上安装审计客户端,以及在该审计客户端预先配置用于指示是否允许审计的网站范畴的网站审计策略,在既不被办公终端的用户感知又不容易被绕过的前提下完成一次关于网站的安全检测,为后续告警和安全维护提供了可靠的依据。

Description

一种网站检测方法、装置、电子设备和可读介质
技术领域
本申请涉及网络安全技术领域,尤其涉及一种网站检测方法、装置、电子设备和可读介质。
背景技术
企业的工作人员在办公时,会用到办公终端。在很多场景下,工作人员会在办公终端上通过浏览器外发一些文件到网站上,但是,为了网络安全和企业信息安全,通常需要检测这些外发文件是否安全,并在确定外发文件可能导致不安全时,检测外发文件的网站是否安全。
目前,检测外发文件的网站是否安全的方式包括:方式一,通过分析流量实现检测,方式二,通过侵入浏览器实现检测。但是,目前的上述两种方式均会影响用户对浏览器的使用体验,而且容易被工作人员绕过,不利于对网络安全的维护。
基于此,亟待提供一种不被用户感知且不容易被绕过的检测方案,检测外发文件的网站是否安全。
发明内容
为了解决上述技术问题,本申请提供了一种网站检测方法、装置、电子设备和可读介质,能够准确的检测到通过浏览器泄露文件到网站的安全风险,且不影响对浏览器的使用。
为了实现上述目的,本申请提供的技术方案如下:
第一方面,本申请提供了一种网站检测方法,该方法可以包括:
响应于通过目标浏览器外发目标文件的事件,获取所述目标文件外发的第一网站的网站信息;所述目标浏览器是预先配置的允许检测浏览器,所述目标文件是预先配置具有安全防护属性的文件;
基于所述第一网站的网站信息,确定所述第一网站是否与预配置的网站审计策略匹配;所述网站审计策略用于指示是否允许审计的网站范畴;
当所述第一网站与所述网站审计策略匹配时,则生成审计结果,所述审计结果用于指示所述目标浏览器上存在所述目标文件泄露至所述第一网站的安全风险。
在一些可能的实现方式中,所述方法还可以包括:
提供网站审计策略配置通道;
接收通过所述网站审计策略配置通道配置的所述网站审计策略,所述网站审计策略指示跳过审计的第一类网站,和/或,指示必须审计的第二类网站。
在一些可能的实现方式中,所述方法还可以包括:
提供两种审计模式,所述两种审计模式包括第一审计模式和第二审计模式,所述第一审计模式用于指示针对所有外部网站外发行为进行审计;所述第二审计模式用于指示针对指定网站外发行为进行审计;所述第二审计模式支持配置和更新所述指定网站;
确定被选择的审计模式作为所述预配置的网站审计策略。
在一些可能的实现方式中,所述方法还可以包括:
获取通过所述目标浏览器操作文件的事件,排除通过所述目标浏览器执行预定义的安全操作的事件,确定是否发生所述目标浏览器外发目标文件的事件;所述安全操作至少包括浏览器打开本地文件、加载浏览器插件、加载浏览器扩展、发送至本地服务器中至少一项。
在一些可能的实现方式中,所述获取所述目标文件外发的第一网站的网站信息,可以包括下述获取方式的至少一种:
基于用户接口自动化(User interface Automation,UI Automation)回调信息,获取所述第一网站的网站信息;
调用辅助功能(Accessibility),获取所述第一网站的网站信息;
调用核心图形(CoreGraphics),获取所述第一网站的网站信息;
解析会话(Session)文件,获取所述第一网站的网站信息,所述Session文件为监测到所述目标浏览器的Session更新后通过备份获得。
在一些可能的实现方式中,所述方法还可以包括:
提供浏览器审计配置通道;所述浏览器审计配置通道提供办公终端上安装的所有浏览器供选择配置;
确定被选择的浏览器作为所述允许检测浏览器。
在一些可能的实现方式中,所述方法还可以包括:
生成告警并进行上报;所述告警包括所述第一网站的网站信息,所述第一网站的网站信息包括:统一资源定位符(Uniform Resource Locator,URL)、网站名称和网页标题中至少一项。
在一些可能的实现方式中,所述方法还可以包括:
阻断所述目标浏览器上所述第一网站操作所述目标文件的响应。
在一些可能的实现方式中,所述获取所述目标文件外发的第一网站的网站信息,可以包括:
在感知到发生所述通过目标浏览器外发目标文件的事件开始,经过预设时间时触发获取所述第一网站的网站信息。
第二方面,本申请还提供了一种网站检测装置,其特征在于,所述装置包括:
获取单元,用于响应于通过目标浏览器外发目标文件的事件,获取所述目标文件外发的第一网站的网站信息;所述目标浏览器是预先配置的允许检测浏览器,所述目标文件是预先配置具有安全防护属性的文件;
第一确定单元,用于基于预配置的网站审计策略和所述第一网站的网站信息,确定所述第一网站是否为目标审计网站;所述网站审计策略用于指示是否允许审计的网站范畴;
第一生成单元,用于当所述第一网站为目标审计网站时,则生成审计结果,所述审计结果用于指示所述目标浏览器上存在所述目标文件泄露至所述第一网站的安全风险。
在一些可能的实现方式中,所述装置还可以包括:
第一提供单元,用于提供网站审计策略配置通道;
接收单元,用于接收通过所述网站审计策略配置通道配置的所述网站审计策略,所述网站审计策略指示跳过审计的第一类网站,和/或,指示必须审计的第二类网站。
在一些可能的实现方式中,所述装置还可以包括:
第二提供单元,用于提供两种审计模式,所述两种审计模式包括第一审计模式和第二审计模式,所述第一审计模式用于指示针对所有外部网站外发行为进行审计;所述第二审计模式用于指示针对指定网站外发行为进行审计;所述第二审计模式支持配置和更新所述指定网站;
第二确定单元,用于确定被选择的审计模式作为所述预配置的网站审计策略。
在一些可能的实现方式中,所述装置还可以包括:
排除单元,用于获取通过所述目标浏览器操作文件的事件,排除通过所述目标浏览器执行预定义的安全操作的事件,确定是否发生所述目标浏览器外发目标文件的事件;所述安全操作至少包括浏览器打开本地文件、加载浏览器插件、加载浏览器扩展、发送至本地服务器中至少一项。
在一些可能的实现方式中,所述获取单元,具体用于执行下述获取方式的至少一种:
基于UI Automation回调信息,获取所述第一网站的网站信息;
调用Accessibility,获取所述第一网站的网站信息;
调用CoreGraphics,获取所述第一网站的网站信息;
解析Session文件,获取所述第一网站的网站信息,所述Session文件为监测到所述目标浏览器的Session更新后通过备份获得。
在一些可能的实现方式中,所述装置还可以包括:
第三提供单元,用于提供浏览器审计配置通道;所述浏览器审计配置通道提供办公终端上安装的所有浏览器供选择配置;
第三确定单元,用于确定被选择的浏览器作为所述允许检测浏览器。
在一些可能的实现方式中,所述装置还可以包括:
第二生成单元,用于生成告警;所述告警包括所述第一网站的网站信息,所述第一网站的网站信息包括:URL、网站名称和网页标题中至少一项;
发送单元,用于上报所述告警。
在一些可能的实现方式中,所述装置还可以包括:
阻断单元,用于阻断所述目标浏览器上所述第一网站操作所述目标文件的响应。
在一些可能的实现方式中,所述获取单元,具体用于:
在感知到发生所述通过目标浏览器外发目标文件的事件开始,经过预设时间时触发获取所述第一网站的网站信息。
需要说明的是,该装置的具体实现方式以及达到的技术效果,可以参见第一方面或第一方面任意一种实现方式所提供方法的相关描述。
第三方面,本申请还提供了一种电子设备,所述电子设备包括:处理器和存储器;
所述存储器,用于存储指令或程序;
所述处理器,用于执行所述存储器中的所述指令或程序,以使得所述电子设备执行上述目标方面或目标方面任意一种实现方式提供的所述方法。
第四方面,本申请还提供了一种可读介质,所述可读介质中存储有指令或程序,当所述指令或程序在处理器上运行时,使得所述处理器执行上述目标方面或目标方面任意一种实现方式提供的所述方法。
与现有技术相比,本申请实施例至少具有以下优点:
本申请提供的技术方案中,用户的办公终端上包括审计客户端,如果用户通过办公终端的目标浏览器外发目标文件,则获取该目标文件外发的第一网站的网站信息,其中,目标浏览器是预先配置的允许检测浏览器,目标文件是预先配置具有安全防护属性的文件;接着,基于第一网站的网站信息,确定该第一网站是否与预配置的网站审计策略匹配,该网站审计策略用于指示是否允许审计的网站范畴;当第一网站与网站审计策略匹配时生成审计结果,该审计结果用于指示目标浏览器上存在目标文件泄露至第一网站的安全风险。这样,在不影响用户使用该办公终端上的浏览器的前提下,通过在办公终端上安装审计客户端,以及在该审计客户端预先配置用于指示是否允许审计的网站范畴的网站审计策略,在某个浏览器上向某个网站外发存在安全隐患的目标文件时,即可触发审计客户端获取该网站的网站信息,并判断该网站是否与网站审计策略匹配,如果匹配,审计客户端即可认为通过该浏览器向该网站外发目标文件的行为存在安全隐患,从而生成审计结果,以指示该浏览器上存在文件泄露至该网站的安全风险,在既不被办公终端的用户感知又不容易被绕过的前提下完成一次关于网站的安全检测,准确的检测到通过浏览器外发了具有安全风险文件的网站,为后续告警和安全维护提供了可靠的依据。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本申请实施例提供的一种网站检测方法的流程示意图;
图2为本申请实施例提供的一种配置页面的示意图;
图3为本申请实施例提供的一种自定义的选择页面的示意图;
图4为本申请实施例提供的一种新建网站页面的示意图;
图5为本申请实施例提供的一种检测流程的示意图;
图6为本申请实施例提供的一种审计客户端执行检测流程的示意图;
图7为本申请实施例提供的一种审计客户端执行检测流程的信令示意图;
图8为本申请实施例提供的一种网站检测的整体流程的示意图;
图9为本申请实施例提供的一种网站检测装置900的结构示意图;
图10为本申请实施例提供的一种电子设备1000的结构示意图。
具体实施方式
企业员工会在办公终端上执行上传文件、下载文件或创建文件等操作,部分文件需要避免对外公开,例如,员工人员信息、客户信息或机密商业数据等文件,一旦对外公开,轻则对员工或客户的信息安全造成影响,重则给企业在商业竞争或社会评价等方面带来不可估计的损失。所以,对企业员工在办公终端上的行为进行检测十分有必要。
一些情况下,企业员工会通过办公终端上安装的浏览器访问各种网站,并将文件外发到网站上,存在安全隐患。网站例如可以包括但不限于:个人网盘、社交论坛、代码托管网站或员工个人网络附属存储(Network Attached Storage,NAS)等。本申请实施例针对该情况下目前网站检测的方案进行研究,发现的不足及相关说明如下。
目前网站检测的方案可以分为两类:方式一,通过分析流量实现检测,方式二,通过侵入浏览器实现检测。方式一的检测思路主要可以概况为:在办公终端上或网络出口(即企业的内网网关)上部署流量检测系统,该流量检测系统用于检测有风险的文件或信息的外发请求。方式一的一些可能的实现中,需要将办公终端的浏览器上原有的传输层安全(Transport Layer Security,TLS)证书替换为可信证书,不仅证书的替换会被用户感知到,而且会影响用户通过浏览器访问该网站的性能;方式一的另一些可能的实现中,需要将流量劫持到流量检测系统上,由于本申请实施例适用的情况中,网络环境可能是公司内网、家庭宽带或公共场所wifi等,当办公终端所处的网络环境为非公司内网环境时,流量不会被劫持到流量检测系统所连接的检测网关,从而绕过流量检测系统的检测;方式一的又一些可能的实现中,对于办公终端处于非公司内网环境,通过在办公终端配置代理或隧道等方式,将流量引入公司内网,该实现一方面可能与办公终端本地的其他网络服务冲突,另一方面会产生额外的流量费用,影响用户的办公体验。方式二的检测思路主要可以概括为:在办公终端上,侵入浏览器的方式检测浏览器上网站的网页信息和用户外发操作。方式二的一些可能的实现方式中,通过给浏览器按照插件或扩展实现检测,该实现中用户能够看到浏览器插件或扩展的安装状态,并通过手动卸载插件或扩展绕过检测;方式二的另一些可能的实现方式中,通过钩(hook)浏览器进程的方式实现检测,该实现中会对浏览器的稳定性产生影响,可能导致浏览器崩溃等问题,影响用户正常使用浏览器。而且,对于方式二,由于浏览器种类繁多,对插件、扩展或hook的兼容性提出了较高要求,升级维护成本高,而且,在获取到有安全隐患网站的网站信息时,可能仅仅将网站信息作为告警的补充信息,需要运营人员从海量的告警中进行再次筛选,不仅增加了运维成本,而且容易遗漏安全隐患,不利于网络安全。
针对通过办公终端上安装的浏览器访问网站并将文件或信息外发到网站上的情况,本申请实施例设计了能够解决目前网站检测方案不足的一种网站检测方法,在用户的办公终端上安装审计客户端,如果用户通过办公终端的目标浏览器,向第一网站发送具有安全防护属性的目标文件,则,响应于通过目标浏览器外发目标文件的事件,审计客户端可以获取外发该目标文件的第一网站的网站信息,目标浏览器是预先配置的允许检测浏览器;接着,基于第一网站的网站信息,判断第一网站是否与预配置的网站审计策略匹配,该网站审计策略用于指示是否允许审计的网站范畴;如果第一网站与该网站审计策略匹配,则,审计客户端生成审计结果,该审计结果用于指示目标浏览器上存在目标文件泄露至第一网站的安全风险。
这样,在不影响用户使用该办公终端上的浏览器的前提下,通过在办公终端上安装审计客户端,以及在该审计客户端预先配置的用于指示是否允许审计的网站范畴的网站审计策略,在某个浏览器上向某个网站外发存在安全隐患的目标文件时,即可触发审计客户端获取该网站的网站信息,并判断该网站是否与网站审计策略匹配,如果匹配,审计客户端即可认为通过该浏览器向该网站外发目标文件的行为存在安全隐患,从而生成审计结果,以指示该浏览器上存在文件泄露至该网站的安全风险,在既不被办公终端的用户感知又不容易被绕过的前提下完成一次关于网站的安全检测,准确的检测到通过浏览器外发了具有安全风险文件的网站,为后续告警和安全维护提供了可靠的依据。
需要说明的是,办公终端可以指企业员工用于办公的终端设备,例如可以是笔记本电脑或台式电脑。办公终端可以理解为属于企业且企业有权利进行监督和管理的终端设备,该监控和管理行为属于企业和企业员工之间约定的、不涉及个人隐私的行为,仅限于维护企业、企业员工以及企业客户等的信息安全和网络安全。办公终端的操作系统可以是:Windows、macOS或Linux。审计客户端也可以称为检测客户端,是指安装在办公终端上的、用于检测通过浏览器向某个网站外发具有安全隐患文件的行为是否存在安全隐患的客户端。管理人员或运维人员可以在审计客户端对应的审计服务器所连接的界面进行网站审计策略的配置,网站审计策略的配置完成后,在办公终端开机状态时始终后台运行审计客户端,审计客户端基于该网站审计策略执行网站检测,发现浏览器上存在文件泄露至某个网站的安全风险。
本申请实施例中,文件可以理解为对所有能够通过浏览器外发的内容的概括。文件例如可以包括下述内容形式中的至少一项:文档、图片信息、视频信息、文字信息等。
需要说明的是,实施该网站检测方法的主体可以为本申请实施例提供的网站检测装置,该网站检测装置可以包括审计客户端,或者,该网站检测装置可以与审计客户端交互,又或者,该网站检测装置可以理解为审计客户端本身。该网站检测装置可以承载于电子设备或电子设备的功能模块中。该电子设备可以安装有审计客户端,或者,可以访问审计客户端。
图1为本申请实施例提供的一种网站检测方法流程示意图。该方法可以应用于网站检测装置,该网站检测装置例如可以下图9所示的网站检测装置900。由于该网站检测装置可以包括审计客户端或与审计客户端交互或指审计客户端自己,所以,也可以认为该方法应用于审计客户端,该审计客户端所在的办公终端上至少还可以包括目标浏览器。
如图1所示,该方法例如可以包括下述S101~S103:
S101,响应于通过目标浏览器外发目标文件的事件,获取所述目标文件外发的第一网站的网站信息;所述目标浏览器是预先配置的允许检测浏览器,所述目标文件是预先配置具有安全防护属性的文件。
其中,目标文件可以理解为具有安全防护属性的文件。所述具有安全防护属性的文件,可以理解为,包含有个人信息、客户信息、内部代码或者其他机密的商业数据等需要保密的数据;所述安全访问属性可以是预先为文件标注的属性标签,该属性标签用于表征该文件是否需要安全防护,即是否允许被外发至外部网站;所述安全防护属性也可以基于文件包含的内容本身进行分析确定,例如,当所述文件包含预设的安全属性关键词时,则确定文件具有安全防护属性。以手机号码为例,一种情况下,安全防护属性可以是手机号码的属性,例如,安全防护属性可以包括:11位数字且开头为130、131、132、135、137、138、150、152等特定符号的属性,那么,如果外发的文件中包括与安全防护属性匹配的部分,则,该外发的文件可以理解为具有安全防护属性的目标文件。另一种情况下,安全防护属性可以是“手机号码”这一属性标签,如果外发的文件包括“手机号码”这一属性标签,或者,如果通过对外发的文件自身的内容分析确定该文件可以被添加“手机号码”的属性标签,则,该外发的文件可以理解为具有安全防护属性的目标文件。
其中,外发可以指打开并读取目标文件的动作。
为了方便管理人员或运维人员的配置,与审计客户端对应的审计服务器提供界面,该界面上提供配置页面,管理人员或运维人员能够在配置页面上对审计客户端的网站审计策略进行配置。该配置页面至少包括网站审计策略的配置项。此外,配置页面上还可以包括浏览器审计策略的配置项。
作为一个示例,该配置页面上还可以提供两种审计模式的选择,将确定被选择的审计模式作为预配置的网站审计策略。两种审计模式可以包括第一审计模式和第二审计模式,该第一审计模式用于指示针对所有外部网站外发行为进行审计;该第二审计模式用于指示针对指定网站外发行为进行审计。其中,第二审计模式支持配置和更新所述指定网站。
当网络审计策略对应第二审计模式时,配置页面上可以提供网站审计策略配置通道,审计客户端可以接收通过所述网站审计策略配置通道配置的网站审计策略,该网站审计策略可以指示跳过审计的第一类网站,和/或,指示必须审计的第二类网站。其中,如果仅配置第一类网站,那么,第二审计模式下的指定网站可以是所有外部网站剔除第一类网站后的网站;如果仅配置第二类网站,那么,第二审计模式下的指定网站可以是第二类网站;如果既配置第一类网站又配置第二类网站,那么,第二审计模式下的指定网站可以是属于第二类网站且不属于第一类网站的网站。
作为一个示例,该配置页面上还可以提供浏览器审计配置通道,该浏览器审计配置通道提供办公终端上安装的所有浏览器供选择配置,例如可以将被选择的浏览器作为允许检测的浏览器。审计客户端可以接收通过浏览器审计配置通道配置的允许检测浏览器,该允许检测浏览器包括S101中的目标浏览器。
举例来说,图2示出了一种配置页面的示意图,如图2所示,该配置页面可以包括需要检测的浏览器的配置部分、需要检测的网站的配置部分以及不需要检测的网站的配置部分,此外,该配置页面还可以包括不需要检测的浏览器的配置部分。每个配置部分可以包括至少一个选项和/或一个“自定义”按钮,用户可以通过点击选项对应的选择框勾选该选项或者通过双击选项对应的选择框选中该选项,用户也可以通过点击“自定义”按钮进入自定义浏览器或网站的选择页面。图3以自定义网站的选择页面为例示出了选择页面,该选择页面中包括至少一个保存的自定义网站,每个自定义网站可以包括下述信息中的至少一个:URL、网页标题或网站名称,网站名称可以是用户自定配置的,可以对每个自定义网站进行编辑或删除的动作。此外,图3所示的选择页面还可以包括“新建网站”选项,用户点击该“新建网站”选项,选择页面跳转到图4所示的新建网站页面,用户可以在该新建网站页面上输入要增加的网站的URL、网页标题或网站名称中的至少一个信息,通过点击“确定”按钮,完成新建网站的动作,关闭该新建网站页面,显示图3所示的选择页面,该新建网站即可成为在图3所示的选择页面上维护的一个自定义网站。为了方便用户选择自定义的网站,图3所示的选择页面中的自定义网站可以按照自定义网站新建的时间先后顺序排列,例如,可以将此次的新建网站置顶显示。
作为一个示例,如果展示页面上没有提供浏览器审计配置通道,即,没有配置浏览器集合的功能,那么,审计客户端可以默认要对办公终端上安装的所有浏览器进行检测。那么,S101中,目标浏览器可以是办公终端上的任意浏览器,即,无论用户在办公终端的任何浏览器上向第一网站外发目标文件,均触发获取第一网站的网站信息。
作为另一个示例,如果展示页面上提供了浏览器审计配置通道,即,具有配置浏览器集合的功能,那么,S101例如可以包括:响应于在目标浏览器上外发目标文件的事件,判断目标浏览器是否与通过浏览器审计配置通道配置的浏览器集合匹配,如果匹配,则,获取外发目标文件的第一网站的网站信息;如果不匹配,则,不再获取外发文件的第一网站的网站信息以及后续S102~S103的步骤,终止执行本次检测。其中,浏览器集合用于指示需要检测的浏览器。一种情况下,配置页面提示配置不需要检测的浏览器集合,那么,浏览器集合中所包括的浏览器均为不需要检测的浏览器,浏览器集合间接指示需要检测的浏览器,目标浏览器与通过浏览器审计配置通道配置的浏览器集合匹配可以指目标浏览器不属于配置的浏览器集合。另一种情况下,配置页面提示配置需要检测的浏览器集合,那么,浏览器集合中所包括的浏览器均为需要检测的浏览器,浏览器集合直接指示需要检测的浏览器,目标浏览器与通过浏览器审计配置通道配置的浏览器集合匹配可以指目标浏览器属于配置的浏览器集合。又一种情况下,配置页面提示配置浏览器集合包括需要检测的第一类浏览器和不需要检测的第二类浏览器,那么,目标浏览器与通过浏览器审计配置通道配置的浏览器集合匹配可以指目标浏览器不属于第二类浏览器且属于第一类浏览器。如此,展示页面可以根据实际需求灵活设计配置浏览器集合的功能,实现浏览器维度的检测过滤,仅针对与浏览器集合匹配的浏览器上外发目标文件的行为执行本申请实施例提供的网站检测方法,使得该网站检测方法更加智能。
需要说明的是,本申请实施例中,为了使得网站检测更加准确,可以在获取通过所述目标浏览器操作文件的事件之后,排除通过所述目标浏览器执行预定义的安全操作的事件,确定是否发生所述目标浏览器外发目标文件的事件。如果确定发生目标浏览器外发目标文件的事件,则,执行本申请实施例提供的方法,实现网站检测;如果确定没有发生目标浏览器外发目标文件的事件,而属于预定义的安全操作,则,认为无需执行本申请实施例提供的方法。其中,预定义的安全操作至少可以包括浏览器打开本地文件、加载浏览器插件、加载浏览器扩展、发送至本地服务器中至少一项。对于不同类型的安全操作,执行上述排除步骤的时机可以灵活设置。例如,对于加载浏览器插件或加载浏览器扩展的安全操作,可以在S101之前执行;对于浏览器打开本地文件或发送至本地服务器的安全操作,可以在S101之后S102之前执行。
在一些实现方式中,考虑到操作目标文件不仅可以是外发动作,也可能是由插件带来的加载浏览器插件的动作或者由扩展带来的加载浏览器扩展的动作。具体而言,浏览器的配置文件中通常会记录安装的插件或扩展的安装位置,在浏览器加载该插件或扩展时会读取该插件或扩展的安装位置对应的路径,该读取该插件或扩展的安装位置对应的路径的动作也可能被审计客户端感知为在目标浏览器上向第一网站外发目标文件的行为。所以,为了提高网站检测的精度,避免由于扩展或插件加载出现误报的情况,审计客户端感知到在目标浏览器上操作文件的事件之后,获取第一网站的网站信息之前,该方法还可以包括:基于目标浏览器的配置文件,判断所述操作是否属于加载浏览器插件或加载浏览器扩展的动作,如果属于,则不再获取第一网站的网站信息以及后续S102~S103的步骤,如果不属于,则触发执行获取第一网站的网站信息。
第一网站的网站信息,可以包括但不限于:URL、网站名称和网页标题中至少一项。
在一些实现方式中,第一网站的网站信息例如可以从针对浏览器的缓存信息中获取,由于对浏览器的缓存信息是近实时而非绝对实时的,有一定的延迟,所以,为了保证S101中所获取的第一网站的网站信息不是之前缓存的其他网站的网站信息,S101中获取第一网站的网站信息例如可以包括:在感知到发生所述通过目标浏览器外发目标文件的事件开始,经过预设时间(如2秒)时触发获取所述第一网站的网站信息。如此,能够优化使用“右键-打开”打开浏览器等可能导致缓存信息与待检测的第一网站的网站信息不匹配的情况,克服了所获取的第一网站的网站信息不准确的问题。
作为一个示例,S101中获取第一网站的网站信息,包括下述方式的至少一个:a、基于UI Automation回调信息,获取所述第一网站的网站信息,注册的UI Automation在目标浏览器的组件变化时通知审计客户端缓存回调信息;b、调用Accessibility,获取所述第一网站的网站信息;c、调用CoreGraphics,获取所述第一网站的网站信息;d、解析Session文件,获取所述第一网站的网站信息,该Session文件为监测到目标浏览器的Session更新后通过备份获得。其中,UI Automation、Accessibility和CoreGraphics都可以理解为办公终端的操作系统为目标浏览器开放的接口,Session文件可以理解为办公终端的文件系统中的一类文件。在审计客户端开始执行检测之前,审计客户端会监控浏览器启动或退出事件,注册UI Automation通知回调,使得浏览器组件变化时通知审计客户端进行回调信息的缓存,对于a而言,可以直接读取缓存的UI Automation回调信息;此外,审计客户端还会监控浏览器中Session文件的更新,在浏览器中Session文件的更新写入完成后执行备份操作,记录当前浏览的状态,对于d而言,可以直接读取并解析Session文件获得第一网站的网站信息。
在具体实现时,S101可以基于上述a、b、c和d中的任意一个或多个方式获取第一网站的网站信息。如果基于两个或两个以上方式获取第一网站的网站信息,那么,可以基于多个方式所获取的网站信息的准确性为每个方式设置对应的优先级,以保证多个方式获取到相同的信息项(如URL)但具体信息不同时,能够基于各方式对应的优先级确定第一网站的网站信息,所确定的网站信息中每个信息项具有唯一的具体信息。例如,基于方式a和方式b获取目标网站的网站信息,b的优先级高于a的优先级,基于方式a获得的是URL 2,基于方式b获得的是URL 1和网页标题1,那么,基于方式a和方式b获取第一网站的网站信息可以包括:URL 1和网页标题1。
而且,所确定的网站信息可以是使用的各方式所获取的网站信息的信息项,例如,基于方式a和方式b获取第一网站的网站信息,基于方式a获得的是第一网站的URL 1和网站名称1,基于方式b获得的是第一网站的URL 1和网页标题1,那么,基于方式a和方式b获取第一网站的网站信息可以包括:URL 1、网页标题1和网站名称1。
可见,通过S101获取到第一网站的网站信息,为基于本申请实施例实现网站检测提供了数据基础。
S102,基于所述第一网站的网站信息,确定所述第一网站是否与预配置的网站审计策略匹配;所述网站审计策略用于指示是否允许审计的网站范畴。
在一些实现方式中,考虑到目标浏览器上操作目标文件不仅可以是外发动作,也可能是打开本地文件或发送至本地服务器等本地操作。具体而言,可能将浏览器作为某种文件格式(如便携式文档格式(Portable Document Format,PDF))的阅读器,那么,该访问第一网站的网站信息中可能包括该格式文件在本地存储的本地路径;或者,开发人员在开发网站的调试阶段,可能在浏览器上打开本地服务器进行文件上传等动作,上述本地操作的动作也可能被审计客户端感知为在目标浏览器上的第一网站操作目标文件的行为。所以,为了提高网站检测的精度,避免由于本地操作导致出现误报的情况,可以在获取到第一网站的网站信息之后,在S102之前,基于第一网站的网站信息,判断通过目标浏览器操作文件的事件是否为预定义的安全操作中属于本地操作的事件,如果是,则不再执行后续S102~S103的步骤,如果不属于,则触发执行S102。
作为一个示例,如果网站审计策略对应第一审计模式,展示页面上可以不配置网站集合,审计客户端默认要对所有的网站进行检测。那么,第一网站可以是目标浏览器上能够访问的任何网站,即,无论用户在办公终端的目标浏览器上向任何网站外发目标文件,均认为S102中判断的结果为是,能够继续执行S103。
作为另一个示例,如果网站审计策略对应第二审计模式,展示页面上可以配置网站集合的功能,网站审计策略基于配置的网站集合指示是否允许审计的网站范畴。S102例如可以包括:基于所获取到的第一网站的网站信息,判断第一网站是否与预配置的网站审计策略匹配,如果匹配,则,生成审计结果;如果不匹配,则,不再执行后续S103,终止执行本次检测。其中,网站审计策略用于指示是否允许审计的网站范畴。一种情况下,配置页面提示配置不需要检测(也可以称为需要排除或跳过审计)的第一类网站,即,网站审计策略指示跳过审计的第一类网站,第一类网站间接指示需要检测的网站,第一网站与网站审计策略匹配可以指第一网站不属于第一类网站。另一种情况下,配置页面提示配置需要检测的第二类网站,即,网站审计策略指示必须审计的第二类网站,第二类网站直接指示需要检测的网站,第一网站与网站审计策略匹配可以指第一网站属于第二类网站。又一种情况下,配置页面提示配置第一类网站和第二类网站,那么,第一网站与网站审计策略匹配可以指第一网站不属于第一类网站且属于第二类网站。如此,展示页面可以根据实际需求灵活设计配置网站集合的功能,实现网站维度的检测过滤,仅针对与网站审计策略中配置的网站集合匹配的网站外发目标文件的行为,执行本申请实施例提供的网站检测方法,使得该网站检测方法更加智能。
可见,S102借助预先配置的网站审计策略以及S101所获得的第一网站的网站信息,判断向该第一网站外发不希望被外发的目标文件是否是有安全隐患的行为,从网站维度设置检测规则(即网站审计策略)并进行检测,使得检测既方便又准确。
S103,当所述第一网站与所述网站审计策略匹配时,则生成审计结果,所述审计结果用于指示所述目标浏览器上存在所述目标文件泄露至所述第一网站的安全风险。
具体实现时,当确定第一网站与网站审计策略匹配时,可以确定在目标浏览器向该第一网站上外发不希望被外发的目标文件是有安全隐患的行为,所以,生成审计结果,该审计结果至少可以包括第一网站的网站信息,用于告知管理人员发生了外发目标文件的行为,且该行为发生的具体网站为第一网站。
在一些可能的实现方式中,为了进一步提示企业存在该安全隐患,该方法还可以包括:基于所述审计结果生成告警信息,该告警信息至少可以包括第一网站的网站信息,该告警信息用于指示所述在所述目标浏览器上向第一网站外发具有安全防护属性的目标文件的行为存在安全隐患;向审计客户端对应的审计服务器发送所述告警信息。举例来说,该告警信息可以包括外发信息,外发信息可以包括:第一网站的URL、网页标题和网站名称,此外,外发信息还可以包括下述信息中的至少一个:事件标识、外发时间、上报时间、目标浏览器、截图存证、命中的网站审计策略或命中的安全防护属性。此外,该告警信息还可以包括文件信息,文件信息例如可以包括下述信息中的至少一个:目标文件的文件名、文件路径、文件大小、文件MD5或文件类型。
在一些可能的实现方式中,为了进一步提示企业存在该安全隐患,除了告警,还可以通过阻断目标浏览器上第一网站操作目标文件的响应,更快和更有效的提高企业的网络和信息安全。
可见,该方法中,在不影响用户使用该办公终端上的浏览器的前提下,通过在办公终端上安装审计客户端,以及在该审计客户端预先配置网站审计策略,在某个浏览器上向某个网站外发具有安全防护属性的目标文件时,即可触发审计客户端获取该网站的网站信息,并判断该网站是否与网站审计策略匹配,如果匹配,审计客户端即可认为通过该浏览器向该网站外发目标文件的行为存在安全隐患,从而生成包括该网站的网站信息的审计结果,在既不被办公终端的用户感知又不容易被绕过的前提下完成一次关于网站的安全检测,准确的检测到通过浏览器外发了具有安全风险文件的网站并获得该网站的网站信息,为实现对该情况的可靠告警以及安全维护作好了准备工作。
为了让本申请实施例提供的方法更加清楚,下面结合附图对一种可能的具体实施方式进行示例性的描述。
本申请实施例中,在办公终端的审计客户端检测浏览器的第一网站发生外发不希望泄露的目标文件的行为,并以非侵入的方式提取出第一网站的网站信息(包括第一网站的URL和/或网页标题),按照预先配置的网站审计策略进行第一网站的检测,如果生成审计结果则产生对应的告警信息,并由审计客户端将告警信息上报给审计服务器,由审计服务器将告警信息显示给管理人员。
上述过程中,可以包括:审计客户端后台配置网站审计策略以及审计客户端实施检测,具体可以参见图5。审计客户端后台可以指审计客户端对应的审计服务器提供的界面,该界面能够提供配置页面(例如可以参见图2所示)。
以网站审计策略对应第二审计模式为例,如图5所示,审计客户端后台配置网站审计策略的流程例如可以包括:
S11,判断是否开始浏览器检测,如果是,则执行S12和/或S13,否则结束该流程。
S12,在配置页面上选择需要检测的网站,获得第二类网站。
S13,在配置页面上选择不需要检测的网站,获得第一类网站。
其中,S12和S13中的网站可以是选择的内置网站,例如聊天软件、网盘、邮箱、云笔记、云文档、代码代管或论坛;或者,也可以是自定义的网站,自定义网站时需要配置网站的URL和/或网页标题,还可以配置网站名称,其中,URL支持正则匹配。
需要说明的是,第一类网站的优先级通常高于第二类网站,即,在检测过程中,优先进行第一类网站的匹配,只有第一网站不属于第一类网站,才进行第二类网站的匹配,一旦第一网站属于第一类网站,则不进行后续的检测流程。如果确定第一网站不属于第一类网站,才判断该第一网站是否属于第二类网站,如果第一网站属于第二类网站,则进行后续的检测流程,如果第一网站不属于第二类网站,不进行后续的检测流程。
上述S12~S13可以认为是网站审计策略的配置。
可选地,该流程还可以包括过滤规则的配置,例如可以包括下述S14~S15:
S14,查看和/或筛选外发网站以及详细的网站信息。
可选地,该流程中,还可以包括:
S15,配置过滤规则,该过滤规则用于过滤浏览器的本地操作和/或浏览器的扩展(或插件)加载。
如图5所示,审计客户端实施检测的流程例如可以包括:
S21,判断审计客户端是否开启浏览器检测,如果是,则执行S22,否则结束该流程。
S22,开启浏览器行为监控。
S23,触发浏览器外发检测,获取第一网站的网站信息(包括URL和网页标题)。
S24,对第一网站的网站信息,依据网站审计策略和过滤规则执行判断,如果判断结果为匹配,则根据第一网站的网站信息生成对应的审计结果和告警信息。
其中,“如果判断结果为匹配”可以理解为:基于第一网站的网站信息确定第一网站与网站审计策略匹配,且向第一网站外发目标文件的行为不属于过滤规则所指示的安全操作。
S25,将告警信息发送给审计服务器,为S14的执行提供数据基础。
对于办公终端上的审计客户端的检测流程,参见图6所示,例如可以包括:
S31,开启网站检测后,审计客户端执行:(1)监控浏览器启动或退出事件,注册UIAutomation通知回调,在浏览器组件变化时通知审计客户端;(2)监控浏览器Session文件的更新,在更新写入完成后执行备份操作,记录当前浏览状态。
S32,在用户通过第一网站外发目标文件时,审计客户端执行:(1)浏览器打开或读取目标文件,触发审计客户端开始检测流程;(2)审计客户端判定需要获取第一网站的网站信息(也可以称为站点信息)。
S33,审计客户端获取第一网站的网站信息,包括下述方式中的至少一种:(1)读取当前缓存的UI Automation回调信息,获取活跃窗口或活跃标签页的相关信息;(2)调用Accessibility检查目标浏览器的窗口,获取第一网站的URL和网页标题;(3)调用CoreGraphics检查目标浏览器的窗口,获取该窗口的标题(即网页标题);(4)解析备份的Session文件,获取活跃窗口或活跃标签页的相关信息。其中,该S33中的(1)~(4)分别对应上述图1所示的方法中的a~d。
S34,审计客户端根据所获取的第一网站的网站信息,按照网站审计策略执行检测:(1)根据优先级,依次匹配需要忽略的网站(即第一类网站)和需要检测的网站(即第二类网站),(2)如果命中需要忽略的网站,则跳过当前检测流程;(3)如果命中需要检测的网站,则继续当前检测流程,产生告警信息。
S35,审计客户端生成告警信息时,可以将第一网站的网站信息填充到告警信息中,并将告警信息上报至审计服务端。
对于办公终端上的审计客户端的检测流程,以图7所示的信令交互流程为基础,例如可以包括:
S41,用户打开或切换浏览器网页,浏览器执行:S411,向UI Automation通知UI变化,UI Automation将该变化通知给审计客户端,审计客户端进行更新和缓存;S412,向Session文件更新页面信息,Session文件将向文件系统事件源通知文件操作,文件系统事件源通知审计客户端进行更新和备份。
S42,用户在浏览器上外发目标文件,浏览器在网站上上传目标文件,对文件系统事件源而言感知到打开或读取目标文件,文件系统事件源通知审计客户端:浏览器在网站上有打开或读取目标文件的操作。
S43,审计客户端进行通用过滤后,解析备份的Session文件,获得活跃页面的相关信息。
S44,审计客户端向Accessibility请求获取UI组件信息,Accessibility向浏览器读取或枚举组件,浏览器向Accessibility发送目标组件字段,Accessibility向审计客户端返回活跃页面的相关信息。
S45,审计客户端判定泄露第一网站,并对第一网站按照网站审计策略进行过滤。
S46,审计客户端在确定存在泄露风险时,生成并向审计服务器发送告警信息。
S47,审计服务器保存告警信息并展示。
为了使得网站检测的流程更加清楚,下面结合图8介绍网站检测涉及的整体流程。如图8所示,网站检测的整体流程可以包括:
S51,审计客户端检测到需要检测的浏览器的进程执行打开或读取文件的操作。
S52,排除该操作为浏览器的扩展(或插件)加载。
S53,判定该文件为具有安全防护属性的文件。
S54,获取执行该操作的第一网站的网站信息。
S55,根据第一网站的网站信息中的URL,排除该操作为本地操作。
S56,按照需要忽略的网站集合,排除该第一网站为不需要检测的网站。
S57,按照需要检测的网站集合,确定该第一网站为需要检测的网站。
S58,执行取证或阻断等响应。
S59,组装告警并上报。
需要说明的是,图8所示的流程中,S51、S53、S58和S59为网站检测的通用步骤,S52以及S54~S57为本申请实施例提供的网站检测方法设计的步骤(对应图8中灰色背景显示的步骤),其中,S54、S56和S57为必须执行的步骤,S52和S55为实现过滤规则的可选步骤。
可见,通过本申请实施例设计的网站检测方法,在不产生用户感知、不影响用户浏览器体验的前提下,审计客户端能够近实时地获取正在外发文件网站的网站信息,当同时存在多个浏览器、有多个浏览器窗口、个人资料或标签页时,能够精确定位到正在外发文件的网站。当检测到特定浏览器外发文件时,获取对应网站的网站信息,根据网站信息和管理人员配置的网站审计策略进行匹配,不命中不需要检测的网站,且命中需要检测的网站时,生成包括该网站的网站信息的告警信息,并上报到审计服务器。此外,为了更加准确的网站检测结果,该网站检测方法中还包括过滤规则的匹配,即,将浏览器打开本地文件、加载插件、加载扩展、发送到本地服务器等动作与外发文件区分开,避免发生误报。
相应的,本申请实施例还提供了一种网站检测装置900,参见图9所示,该装置900可以应用于办公终端的审计客户端,所述办公终端上还包括目标浏览器。该装置900例如可以包括:
获取单元901,用于响应于通过目标浏览器外发目标文件的事件,获取所述目标文件外发的第一网站的网站信息;所述目标浏览器是预先配置的允许检测浏览器,所述目标文件是预先配置具有安全防护属性的文件。
第一确定单元902,用于基于预配置的网站审计策略和所述第一网站的网站信息,确定所述第一网站是否为目标审计网站;所述网站审计策略用于指示是否允许审计的网站范畴。
第一生成单元903,用于当所述第一网站为目标审计网站时,则生成审计结果,所述审计结果用于指示所述目标浏览器上存在所述目标文件泄露至所述第一网站的安全风险。
在一些可能的实现方式中,所述装置900还可以包括:
第一提供单元,用于提供网站审计策略配置通道;
接收单元,用于接收通过所述网站审计策略配置通道配置的所述网站审计策略,所述网站审计策略指示跳过审计的第一类网站,和/或,指示必须审计的第二类网站。
在一些可能的实现方式中,所述装置900还可以包括:
第二提供单元,用于提供两种审计模式,所述两种审计模式包括第一审计模式和第二审计模式,所述第一审计模式用于指示针对所有外部网站外发行为进行审计;所述第二审计模式用于指示针对指定网站外发行为进行审计;所述第二审计模式支持配置和更新所述指定网站;
第二确定单元,用于确定被选择的审计模式作为所述预配置的网站审计策略。
在一些可能的实现方式中,所述装置900还可以包括:
排除单元,用于获取通过所述目标浏览器操作文件的事件,排除通过所述目标浏览器执行预定义的安全操作的事件,确定是否发生所述目标浏览器外发目标文件的事件;所述安全操作至少包括浏览器打开本地文件、加载浏览器插件、加载浏览器扩展、发送至本地服务器中至少一项。
在一些可能的实现方式中,所述获取单元901,具体用于执行下述获取方式的至少一种:
基于UI Automation回调信息,获取所述第一网站的网站信息;
调用Accessibility,获取所述第一网站的网站信息;
调用CoreGraphics,获取所述第一网站的网站信息;
解析Session文件,获取所述第一网站的网站信息,所述Session文件为监测到所述目标浏览器的Session更新后通过备份获得。
在一些可能的实现方式中,所述装置900还可以包括:
第三提供单元,用于提供浏览器审计配置通道;所述浏览器审计配置通道提供办公终端上安装的所有浏览器供选择配置;
第三确定单元,用于确定被选择的浏览器作为所述允许检测浏览器。
在一些可能的实现方式中,所述装置900还可以包括:
第二生成单元,用于生成告警;所述告警包括所述第一网站的网站信息,所述第一网站的网站信息包括:URL、网站名称和网页标题中至少一项;
发送单元,用于上报所述告警。
在一些可能的实现方式中,所述装置900还可以包括:
阻断单元,用于阻断所述目标浏览器上所述第一网站操作所述目标文件的响应。
在一些可能的实现方式中,所述获取单元901,具体用于:
在感知到发生所述通过目标浏览器外发目标文件的事件开始,经过预设时间时触发获取所述第一网站的网站信息。
需要说明的是,该装置900的具体实现方式以及达到的技术效果,可以参见图1所示的方法的相关描述。
另外,本申请实施例还提供了一种电子设备,所述设备包括处理器以及存储器:所述存储器,用于存储指令或计算机程序;所述处理器,用于执行所述存储器中的所述指令或计算机程序,以使得所述电子设备执行本申请实施例提供的评论展示方法的任一实施方式。
参见图10,其示出了适于用来实现本公开实施例的电子设备1000的结构示意图。本公开实施例中的终端设备可以包括但不限于诸如移动电话、笔记本电脑、数字广播接收器、PDA(个人数字助理)、PAD(平板电脑)、PMP(便携式多媒体播放器)、车载终端(例如车载导航终端)等等的移动终端以及诸如数字TV、台式计算机等等的固定终端。图10示出的电子设备仅仅是一个示例,不应对本公开实施例的功能和使用范围带来任何限制。
如图10所示,电子设备1000可以包括处理装置(例如中央处理器、图形处理器等)1001,其可以根据存储在只读存储器(ROM)1002中的程序或者从存储装置1008加载到随机访问存储器(RAM)1003中的程序而执行各种适当的动作和处理。在RAM1003中,还存储有电子设备1000操作所需的各种程序和数据。处理装置1001、ROM 1002以及RAM 1003通过总线1004彼此相连。输入/输出(I/O)接口1005也连接至总线1004。
通常,以下装置可以连接至I/O接口1005:包括例如触摸屏、触摸板、键盘、鼠标、摄像头、麦克风、加速度计、陀螺仪等的输入装置1006;包括例如液晶显示器(LCD)、扬声器、振动器等的输出装置1007;包括例如磁带、硬盘等的存储装置1008;以及通信装置1009。通信装置1009可以允许电子设备1000与其他设备进行无线或有线通信以交换数据。虽然图10示出了具有各种装置的电子设备1000,但是应理解的是,并不要求实施或具备所有示出的装置。可以替代地实施或具备更多或更少的装置。
特别地,根据本公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括承载在非暂态计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信装置1009从网络上被下载和安装,或者从存储装置1008被安装,或者从ROM1002被安装。在该计算机程序被处理装置1001执行时,执行本公开实施例的方法中限定的上述功能。
本公开实施例提供的电子设备与上述实施例提供的方法属于同一发明构思,未在本实施例中详尽描述的技术细节可参见上述实施例,并且本实施例与上述实施例具有相同的有益效果。
本申请实施例还提供了一种计算机可读介质,所述计算机可读介质中存储有指令或计算机程序,当所述指令或计算机程序在设备上运行时,使得所述设备执行本申请实施例提供的评论展示方法的任一实施方式。
需要说明的是,本公开上述的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本公开中,计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读信号介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:电线、光缆、RF(射频)等等,或者上述的任意合适的组合。
在一些实施方式中,客户端、服务器可以利用诸如HTTP(Hyper Text TransferProtocol,超文本传输协议)之类的任何当前已知或未来研发的网络协议进行通信,并且可以与任意形式或介质的数字数据通信(例如,通信网络)互连。通信网络的示例包括局域网(“LAN”),广域网(“WAN”),网际网(例如,互联网)以及端对端网络(例如,ad hoc端对端网络),以及任何当前已知或未来研发的网络。
上述计算机可读介质可以是上述电子设备中所包含的;也可以是单独存在,而未装配入该电子设备中。
上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被该电子设备执行时,使得该电子设备可以执行上述方法。
可以以一种或多种程序设计语言或其组合来编写用于执行本公开的操作的计算机程序代码,上述程序设计语言包括但不限于面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
附图中的流程图和框图,图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本公开实施例中所涉及到的单元可以通过软件的方式实现,也可以通过硬件的方式来实现。其中,单元/模块的名称在某种情况下并不构成对该单元本身的限定。
本文中以上描述的功能可以至少部分地由一个或多个硬件逻辑部件来执行。例如,非限制性地,可以使用的示范类型的硬件逻辑部件包括:现场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、片上系统(SOC)、复杂可编程逻辑设备(CPLD)等等。
在本公开的上下文中,机器可读介质可以是有形的介质,其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
需要说明的是,本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的系统或装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
应当理解,在本申请中,“至少一个(项)”是指一个或者多个,“多个”是指两个或两个以上。“和/或”,用于描述关联对象的关联关系,表示可以存在三种关系,例如,“A和/或B”可以表示:只存在A,只存在B以及同时存在A和B三种情况,其中A,B可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系。“以下至少一项(个)”或其类似表达,是指这些项中的任意组合,包括单项(个)或复数项(个)的任意组合。例如,a,b或c中的至少一项(个),可以表示:a,b,c,“a和b”,“a和c”,“b和c”,或“a和b和c”,其中a,b,c可以是单个,也可以是多个。
还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
需要说明的是,在本申请实施例中,不涉及用户敏感信息,用户相关信息均是在经过用户授权之后获取、使用并确定的。在一个示例中,在获取用户相关信息之前,相应界面显示获取数据使用授权相关的提示信息,该提示信息是依据相关法律法规通过恰当的方式对本公开所涉及个人信息的类型、使用范围、使用场景等告知用户,以使该用户基于该提示信息确定是否同意授权。可以理解的是,上述通知和获取用户授权过程仅是示意性的,不对本公开的实现方式构成限定,其它满足相关法律法规的方式也可应用于本公开的实现方式中。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下,在其它实施例中实现。因此,本申请将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (12)

1.一种网站检测方法,其特征在于,包括:
响应于通过目标浏览器外发目标文件的事件,获取所述目标文件外发的第一网站的网站信息;所述目标浏览器是预先配置的允许检测浏览器,所述目标文件是预先配置具有安全防护属性的文件;
基于所述第一网站的网站信息,确定所述第一网站是否与预配置的网站审计策略匹配;所述网站审计策略用于指示是否允许审计的网站范畴;
当所述第一网站与所述网站审计策略匹配时,则生成审计结果,所述审计结果用于指示所述目标浏览器上存在所述目标文件泄露至所述第一网站的安全风险。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
提供网站审计策略配置通道;
接收通过所述网站审计策略配置通道配置的所述网站审计策略,所述网站审计策略指示跳过审计的第一类网站,和/或,指示必须审计的第二类网站。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
提供两种审计模式,所述两种审计模式包括第一审计模式和第二审计模式,所述第一审计模式用于指示针对所有外部网站外发行为进行审计;所述第二审计模式用于指示针对指定网站外发行为进行审计;所述第二审计模式支持配置和更新所述指定网站;
确定被选择的审计模式作为所述预配置的网站审计策略。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
获取通过所述目标浏览器操作文件的事件,排除通过所述目标浏览器执行预定义的安全操作的事件,确定是否发生所述目标浏览器外发目标文件的事件;所述安全操作至少包括浏览器打开本地文件、加载浏览器插件、加载浏览器扩展、发送至本地服务器中至少一项。
5.根据权利要求1-4任一项所述的方法,其特征在于,所述获取所述目标文件外发的第一网站的网站信息,包括下述获取方式的至少一种:
基于用户接口自动化UI Automation回调信息,获取所述第一网站的网站信息;
调用辅助功能Accessibility,获取所述第一网站的网站信息;
调用核心图形CoreGraphics,获取所述第一网站的网站信息;
解析会话Session文件,获取所述第一网站的网站信息,所述Session文件为监测到所述目标浏览器的Session更新后通过备份获得。
6.根据权利要求1-5任一项所述的方法,其特征在于,所述方法还包括:
提供浏览器审计配置通道;所述浏览器审计配置通道提供办公终端上安装的所有浏览器供选择配置;
确定被选择的浏览器作为所述允许检测浏览器。
7.根据权利要求1-6任一项所述的方法,其特征在于,所述方法还包括:
生成告警并进行上报;所述告警包括所述第一网站的网站信息,所述第一网站的网站信息包括:统一资源定位符URL、网站名称和网页标题中至少一项。
8.根据权利要求1-7任一项所述的方法,其特征在于,所述方法还包括:
阻断所述目标浏览器上所述第一网站操作所述目标文件的响应。
9.根据权利要求1-8任一项所述的方法,其特征在于,所述获取所述目标文件外发的第一网站的网站信息,包括:
在感知到发生所述通过目标浏览器外发目标文件的事件开始,经过预设时间时触发获取所述第一网站的网站信息。
10.一种网站检测装置,其特征在于,所述装置包括:
获取单元,用于响应于通过目标浏览器外发目标文件的事件,获取所述目标文件外发的第一网站的网站信息;所述目标浏览器是预先配置的允许检测浏览器,所述目标文件是预先配置具有安全防护属性的文件;
确定单元,用于基于预配置的网站审计策略和所述第一网站的网站信息,确定所述第一网站是否为目标审计网站;所述网站审计策略用于指示是否允许审计的网站范畴;
生成单元,用于当所述第一网站为目标审计网站时,则生成审计结果,所述审计结果用于指示所述目标浏览器上存在所述目标文件泄露至所述第一网站的安全风险。
11.一种电子设备,其特征在于,所述电子设备包括:处理器和存储器;
所述存储器,用于存储指令或程序;
所述处理器,用于执行所述存储器中的所述指令或程序,以使得所述电子设备执行权利要求1-9任一项所述的方法。
12.一种可读介质,其特征在于,所述可读介质中存储有指令或程序,当所述指令或程序在处理器上运行时,使得所述处理器执行权利要求1-9任一项所述的方法。
CN202311092682.9A 2023-08-28 2023-08-28 一种网站检测方法、装置、电子设备和可读介质 Pending CN116886441A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311092682.9A CN116886441A (zh) 2023-08-28 2023-08-28 一种网站检测方法、装置、电子设备和可读介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311092682.9A CN116886441A (zh) 2023-08-28 2023-08-28 一种网站检测方法、装置、电子设备和可读介质

Publications (1)

Publication Number Publication Date
CN116886441A true CN116886441A (zh) 2023-10-13

Family

ID=88270199

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311092682.9A Pending CN116886441A (zh) 2023-08-28 2023-08-28 一种网站检测方法、装置、电子设备和可读介质

Country Status (1)

Country Link
CN (1) CN116886441A (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20170339563A1 (en) * 2016-05-23 2017-11-23 Citrix Systems, Inc. Browser Plug-In for Secure Web Access
CN113810366A (zh) * 2021-08-02 2021-12-17 厦门天锐科技股份有限公司 一种网站上传文件安全识别系统及方法
CN114201750A (zh) * 2021-12-08 2022-03-18 北京明朝万达科技股份有限公司 一种数据防泄漏方法、装置、电子设备及存储介质
CN114254378A (zh) * 2021-08-19 2022-03-29 厦门天锐科技股份有限公司 一种基于Windows的文件上传下载管控系统及方法
CN115221507A (zh) * 2022-06-23 2022-10-21 浪潮软件集团有限公司 一种基于自定义策略的数据库审计方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20170339563A1 (en) * 2016-05-23 2017-11-23 Citrix Systems, Inc. Browser Plug-In for Secure Web Access
CN113810366A (zh) * 2021-08-02 2021-12-17 厦门天锐科技股份有限公司 一种网站上传文件安全识别系统及方法
CN114254378A (zh) * 2021-08-19 2022-03-29 厦门天锐科技股份有限公司 一种基于Windows的文件上传下载管控系统及方法
CN114201750A (zh) * 2021-12-08 2022-03-18 北京明朝万达科技股份有限公司 一种数据防泄漏方法、装置、电子设备及存储介质
CN115221507A (zh) * 2022-06-23 2022-10-21 浪潮软件集团有限公司 一种基于自定义策略的数据库审计方法

Similar Documents

Publication Publication Date Title
US10671452B2 (en) System and method for tagging and tracking events of an application
US11012493B2 (en) Systems and methods for tag inspection
US8516601B2 (en) Online privacy management
US11582242B2 (en) System, computer program product and method for risk evaluation of API login and use
US20150213282A1 (en) Online Privacy Management System with Enhanced Automatic Information Detection
US10671723B2 (en) Intrusion detection system enrichment based on system lifecycle
US8681700B2 (en) System and method for executed function management and program for mobile terminal
US9172720B2 (en) Detecting malware using revision control logs
US20190042737A1 (en) Intrusion detection system enrichment based on system lifecycle
US20130276124A1 (en) Systems, methods, apparatuses and computer program products for providing mobile device protection
CN109639749B (zh) 云桌面的访问方法、装置、设备及存储介质
US9888022B2 (en) Providing application-specific threat metrics
CN111740992B (zh) 网站安全漏洞检测方法、装置、介质及电子设备
CN114024764A (zh) 数据库异常访问的监控方法、监控系统、设备和存储介质
EP3196798A1 (en) Context-sensitive copy and paste block
US11848935B2 (en) Dynamically generating restriction profiles for managed devices
CN114070619A (zh) 数据库异常访问的监控方法、监控系统、设备和存储介质
CN112560090A (zh) 一种数据检测方法和装置
CN113162937A (zh) 应用安全自动化检测方法、系统、电子设备及存储介质
CN116886441A (zh) 一种网站检测方法、装置、电子设备和可读介质
US20210350024A1 (en) Providing transparency in private-user-data access
US20200106670A1 (en) Efficient rule processing for device management data evaluation
US20210240859A1 (en) Immutable downloads
CN113542185B (zh) 页面防劫持的方法、装置、电子设备和存储介质
US11086990B2 (en) Security module for mobile devices

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination