WO2013053278A1 - 网络安全识别方法、安全检测服务器、客户端及系统 - Google Patents

Abstract

本发明公开了一种网络安全识别方法、安全检测服务器、客户端及系统，属于信息安全领域。方法包括：安全检测服务器接收客户端发送的访问统一资源定位符对应的网络内容的请求；安全检测服务器查找数据库，并判断数据库中是否存在统一资源定位符的安全状态，当数据库中不存在统一资源定位符的安全状态时，安全检测服务器收集与统一资源定位符相关的数据，并根据收集的数据确定统一资源定位符的安全状态；安全检测服务器将统一资源定位符的安全状态返回给客户端，使客户端根据统一资源定位符的安全状态确定是否访问统一资源定位符对应的网络内容。减轻了客户端的载荷，保证了客户端的安全性。

Description

网络安全识别方法、 安全检测服务器、 客户端及系统 本申请要求于 2011年 10月 14日提交中国专利局、 申请号为 201110311462. 1、发明名 称为 "网络安全识别方法、 安全检测服务器、 客户端及系统" 的中国专利申请的优先权， 其全部内容通过弓 I用结合在本申请中。

说

技术领域

本发明涉及信息安全领域， 特别涉及一种网络安全识别方法、 设备及系统。 背景技术 书 随着互联网技术的发展， 越来越多的内容通过互联网进行传输和访问。 目前， 常用 B/S (Browser/Server, 浏览器 /服务器） 应用模式来实现内容在互联网上的传输和访问， 具体 地， 内容都是以文件的方式存放在 Web (—种基于 HTTP超文本传输协议的平台）服务器上， 并通过 HTTP (Hyper Text Transfer Protocol , 超文本传输协议） 协议传送到客户端， 经 客户端浏览器处理后， 将内容表现在客户端上。

但是， 层出不穷的病毒及木马使得内容在网络中的传输和访问的安全性变得很差， 带 来一定的经济和精神上的损失。 目前常用的解决办法是： 客户端依靠安装的病毒库和防火 墙等软件来对传输的内容中的病毒及木马进行识别。

但是， 在客户端安装病毒库及防火墙等软件将会加重客户端的载荷， 并且增加了对病 毒库及防火墙等软件的维护和升级的成本及工作量， 尤其是对于像手机等存储容量及事件 处理能力有限的客户端来讲， 上述问题会更加显著。 发明内容

为了解决上述技术问题， 本发明实施例提供了一种网络安全识别方法、 安全检测服务 器、 客户端及系统。 所述技术方案如下：

一种网络安全识别方法， 所述方法包括：

安全检测服务器接收客户端发送的访问统一资源定位符对应的网络内容的请求； 所述安全检测服务器查找数据库， 并判断所述数据库中是否存在所述统一资源定位符 的安全状态，

当所述数据库中不存在所述统一资源定位符的安全状态时， 所述安全检测服务器收集 与所述统一资源定位符相关的数据， 并根据收集的数据确定所述统一资源定位符的安全状 态；

所述安全检测服务器将所述统一资源定位符的安全状态返回给所述客户端， 使所述客 户端根据所述统一资源定位符的安全状态确定是否访问所述统一资源定位符对应的网络内 容。

一种安全检测服务器， 所述安全检测服务器包括： 接收模块、 数据库、 查找判断模块、 确定模块及返回模块； 其中，

所述接收模块， 用于接收客户端发送的访问统一资源定位符对应的网络内容的请求； 所述数据库， 用于存储统一资源定位符与安全状态间对应关系；

所述查找判断模块， 用于查找所述数据库， 并判断所述数据库中是否存在所述统一资 源定位符的安全状态；

所述确定模块， 用于当所述查找判断模块判断得出所述数据库中不存在所述统一资源 定位符的安全状态时， 收集与所述统一资源定位符相关的数据， 并根据收集的数据确定所 述统一资源定位符的安全状态；

所述返回模块， 用于将所述统一资源定位符的安全状态返回给所述客户端， 使所述客 户端根据所述统一资源定位符的安全状态确定是否访问所述统一资源定位符对应的网络内 容。

一种网络安全识别方法， 所述方法包括：

客户端在访问统一资源定位符对应的网络内容之前， 判断缓存中是否存储有所述统一 资源定位符的安全状态；

如果缓存中储有所述统一资源定位符的安全状态， 所述客户端从所述缓存中获取所述 统一资源定位符的安全状态；

如果缓存中未存储有所述统一资源定位符的安全状态， 所述客户端向安全检测服务器 发送访问统一资源定位符对应的网络内容的请求， 并接收所述安全检测服务器返回的所述 统一资源定位符的安全状态；

所述客户端根据所述统一资源定位符的安全状态确定是否访问所述统一资源定位符对 应的网络内容。

一种客户端， 所述客户端包括： 判断模块、 第一获取模块、 第二获取模块和决策模块; 所述判断模块， 用于在访问统一资源定位符对应的网络内容之前， 判断缓存中是否存 储有所述统一资源定位符的安全状态；

所述第一获取模块， 用于如果缓存中储有所述统一资源定位符的安全状态， 从所述缓 存中获取所述统一资源定位符的安全状态；

所述第二获取模块， 用于如果缓存中未存储有所述统一资源定位符的安全状态， 向安 全检测服务器发送访问统一资源定位符对应的网络内容的请求， 并接收所述安全检测服务 器返回的所述统一资源定位符的安全状态；

所述决策模块， 用于所述客户端根据所述统一资源定位符的安全状态确定是否访问所 述统一资源定位符对应的网络内容。

一种网络安全识别系统， 所述系统包括： 客户端及安全检测服务器；

所述客户端用于在访问统一资源定位符对应的网络内容之前， 判断缓存中是否存储有 所述统一资源定位符的安全状态， 用于如果缓存中储有所述统一资源定位符的安全状态， 从所述缓存中获取所述统一资源定位符的安全状态， 如果缓存中未存储有所述统一资源定 位符的安全状态， 向安全检测服务器发送访问统一资源定位符对应的网络内容的请求； 所述安全检测服务器用于接收客户端发送的访问统一资源定位符对应的网络内容的请 求， 查找数据库并判断所述数据库中是否存在所述统一资源定位符的安全状态， 当所述数 据库中不存在所述统一资源定位符的安全状态时， 收集与所述统一资源定位符相关的数据， 并根据收集的数据确定所述统一资源定位符的安全状态， 之后， 将所述统一资源定位符的 安全状态返回给所述客户端；

所述客户端用于接收所述安全检测服务器返回的所述统一资源定位符的安全状态， 并 根据所述统一资源定位符的安全状态确定是否访问所述统一资源定位符对应的网络内容。

本发明实施例通过上述技术方案的实现， 使得客户端仅根据返回的统一资源定位符的 安全状态即可知道该统一资源定位符所对应的网络内容是否安全， 减轻了客户端的载荷， 客户端根据获取的统一资源定位符的安全状态决定是继续访问网络内容还是取消访问， 从 而保证了客户端的安全性。 附图说明

图 la是本发明实施例 1中提供的一种网络安全识别方法流程图；

图 lb是本发明实施例 1中提供的一种网络安全识别方法流程图；

图 2是本发明实施例 2提供的一种网络安全识别方法流程图； 图 3是本发明实施例 3提供的一种安全检测服务器；

图 4是本发明实施例 3提供的一种客户端；

图 5是本发明实施例 4中提供的一种网络安全识别系统图；

图 6是本发明实施例 4中提供的一种网络安全识别系统图；

图 7是本发明实施例 4中提供的一种网络安全识别系统图；

图 8是本发明实施例 4提供的一种客户端的结构框图；

图 9是本发明实施例 4提供的一种安全检测服务器的结构框图；

图 10是本发明实施例 4提供的一种经归类 URL数据库的实例图；

图 11是本发明实施例 4提供的一种未经归类 URL数据库的实例图。 具体实施方式

为使本发明的技术方案和优点更加清楚， 下面将结合附图对本发明实施方式作进一步 地详细描述。

实施例 1

参见图 la， 一种网络安全识别方法， 该方法包括如下步骤：

步骤 101a: 安全检测服务器接收客户端发送的访问统一资源定位符对应的网络内容的 请求；

步骤 102a: 安全检测服务器查找数据库， 并判断所述数据库中是否存在所述统一资源 定位符的安全状态；

步骤 103a: 当所述数据库中不存在所述统一资源定位符的安全状态时， 安全检测服务 器收集与所述统一资源定位符相关的数据， 并根据收集的数据确定所述统一资源定位符的 安全状态；

步骤 104a: 安全检测服务器将所述统一资源定位符的安全状态返回给所述客户端， 使 所述客户端根据所述统一资源定位符的安全状态确定是否访问所述统一资源定位符对应的 网络内容。

参见图 lb， 一种网络安全识别方法， 该方法包括如下步骤：

步骤 101b: 客户端在访问统一资源定位符对应的网络内容之前， 判断缓存中是否存储 有统一资源定位符的安全状态，

如果缓存中储有统一资源定位符的安全状态， 执行步骤 102b;

如果缓存中未存储有统一资源定位符的安全状态， 执行步骤 103b_; 步骤 102b: 客户端从缓存中获取统一资源定位符的安全状态， 执行步骤 104b;

步骤 103b:客户端向安全检测服务器发送访问统一资源定位符对应的网络内容的请求， 并接收安全检测服务器返回的统一资源定位符的安全状态；

步骤 104b: 客户端根据统一资源定位符的安全状态确定是否访问统一资源定位符对应 的网络内容。

本发明实施例通过上述技术方案的实现， 使得客户端仅根据返回的统一资源定位符的 安全状态即可知道该统一资源定位符所对应的网络内容是否安全， 减轻了客户端的载荷， 客户端根据获取的统一资源定位符的安全状态决定是继续访问网络内容还是取消访问， 从 而保证了客户端的安全性。 实施例 2

基于上述系统的描述， 本发明实施例提供了一种网络安全识别方法， 由安全检测服务 器来识别网络内容的安全性， 参见图 2， 所述方法的具体步骤如下：

步骤 201 : 客户端接收用户输入的 URL请求， 以通过该 URL请求获取相应的网络内容； 步骤 202: 客户端读取缓存， 判断是否缓存有该 URL的安全状态，

如果有， 执行步骤 203;

若果没有， 执行步骤 204;

这里， 客户端为了提高自身访问 URL所指示网络内容的速度， 将曾访问过的 URL及其 安全状态放在内存中， 此时占用的内存称为缓存， 以后， 客户端再访问网络内容时， 客户 端浏览器首先会搜索内存缓存， 如果所要访问的 URL 的安全状态已在缓存中， 就不必从安 全检测服务器中获取， 而直接从缓存中调出使用即可， 从而提高了自身访问网络内容的速 度；

步骤 203: 客户端从缓存中取出该 URL的安全状态， 并根据该安全状态判断该 URL所指 示网络内容是否安全，

如果安全， 则继续执行该 URL请求， 结束操作；

如果不安全， 则执行步骤 210;

需要说明的是， 步骤 202和 203是选择执行步骤；

步骤 204 :客户端将用户输入的 URL请求发送给安全检测服务器；

步骤 205: 安全检测服务器根据该 URL请求查找数据库， 该数据库具体为经归类 URL数 据库， 存储有 URL及其相应的安全状态； 需要说明的是， 安全检测服务器可以通过如下方式来预先建立数据库， 该数据库具体 为经归类 URL数据库：

方式一： 统计记录客户端反馈的 URL的安全状态， 并将反馈的安全状态写入经归类 URL 数据库；

客户端在访问到 URL对应的网络内容后， 确定该 URL的安全状态， 并向安全监测服务 器反馈该 URL对应的安全状态， 以便安全监测服务器根据客户端所反馈的安全状态确定该 URL最终的安全状态。

例如， 客户端打开 URL指示的网页 （本应是视频资源下载网页）， 而最终展现在客户端 的却是一个游戏页面， 则客户端认为该 URL所指示的网络内容被植入了恶意插件， 是不安 全的， 并将该 URL的安全状态反馈给安全检测服务器， 以便安全检测服务器进行统计记录; 方式二： 从网络服务器中下载该 URL所指示的页面数据， 具体可以通过安装的用于下 载 URL所指示页面数据的软件程序、 例行程序或过程等来实现该过程；

检索 URL 页面源数据并对其进行扫描以查找该页面源数据内可指示网络内容类型的特 定的关键字， 根据该关键字类型来确定该 URL所指示网络内容的安全状态， 并将安全状态 写入经归类 URL数据库；

例如， 经检索扫描得到 URL页面源数据内包含 " javascript：〃 "， 那么该 URL页面可 能被识别为 Java脚本， 尽管该内容并非固有危险的， 但是具有 Java脚本的网页包含恶意 内容的可能性会比较大；

方式三： 从网络服务器中下载该 URL所指示的页面数据， 具体可以通过安装的用于下 载 URL所指示页面数据的软件程序、 例行程序或过程等来实现该过程；

在所安装的病毒库内， 将 URL 页面数据与病毒库内的病毒特征进行匹配， 根据匹配结 果来确定该 URL所指示网络内容的安全状态， 并将安全状态写入经归类 URL数据库；

例如， 可以将 URL页面数据与已知的恶意 IP地址相关联的域进行比较匹配， 当与已知 的恶意 IP地址相关联的域匹配上时， 则说明该 URL页面数据是不安全的， 否则， 则认为该 URL页面数据是安全的。

步骤 206: 安全检测服务器判断是否能在数据库内查找得到该 URL的安全检测结果， 如果不能， 执行步骤 207;

如果能， 执行步骤 208;

步骤 207: 安全检测服务器根据预设方法来得到 URL的安全状态， 具体通过步骤 205中 所述的方式二或方式三的方式来得到该 URL的安全状态； 步骤 208: 安全检测服务器将该 URL的安全状态返回给客户端；

步骤 209: 客户端缓存接收到的 URL的安全状态， 并根据接收到的 URL的安全状态判断 该 URL是否有安全，

如果不安全， 执行步骤 210;

如果安全， 则继续执行该 URL请求， 结束操作；

步骤 210: 客户端判断该 URL请求是要进行网页访问还是进行资源下载，

如果是进行网页访问， 则执行步骤 211 ;

如果是进行资源下载， 则执行步骤 212;

步骤 211 : 客户端继续执行处理该 URL请求的操作， 并在页面预定区域显示安全提示信 息， 操作结束；

步骤 212: 客户端显示资源下载的安全提示信息， 并等待接收用户是否继续进行资源下 载的指示信息，

当接收到用户输入的继续进行资源下载的指示信息后， 执行步骤 213;

当接收到用户输入的取消资源下载的指示信息后， 结束操作；

步骤 213: 客户端下载资源， 并显示相应的警告信息， 结束操作；

通过上述客户端与安全检测服务器之间的信息交互， 客户端仅需要做一些简单的读取 和判断操作即可知道所要访问的网络内容的安全状态， 减轻了客户端的载荷， 客户端根据 获取的所要访问的网络内容的安全状态决定是继续访问网络内容还是取消访问， 从而保证 了客户端的安全性。

实施例 3

参见图 3， 一种安全检测服务器， 该安全检测服务器具体与方法实施例 2中所述的安全 检测服务器相同， 包括： 接收模块 30、 数据库 34、 查找判断模块 31、 确定模块 32及返回 模块 33;

接收模块 30， 用于接收客户端发送的访问统一资源定位符对应的网络内容的请求； 数据库 34， 用于存储统一资源定位符与安全状态间对应关系；

查找判断模块 31， 用于查找数据库， 并判断数据库中是否存在统一资源定位符的安全 状态；

确定模块 32，用于当查找判断模块 31判断得出数据库中不存在统一资源定位符的安全 状态时， 收集与统一资源定位符相关的数据， 并根据收集的数据确定统一资源定位符的安 全状态； 返回模块 33， 用于将统一资源定位符的安全状态返回给客户端， 使客户端根据统一资 源定位符的安全状态确定是否访问统一资源定位符对应的网络内容。

具体地， 判断查找模块 31包括：

收集单元， 用于从网络服务器中下载统一资源定位符对应的网络内容；

检测单元， 用于检索网络内容内可指示网络内容类型的特定关键字；

第一确定单元， 用于根据特定关键字确定统一资源定位符的安全状态。

判断查找模块 31还可以包括：

收集单元， 用于从网络服务器中下载统一资源定位符对应的网络内容；

匹配单元， 用于在安装的病毒库内， 将网络内容与病毒库内的病毒特征进行匹配； 第二确定单元， 用于根据匹配结果来确定统一资源定位符的安全状态。

需要说明的是， 该安全检测服务器还包括：

第一建立模块， 用于预先建立数据库， 并将客户端返回的统一资源定位符的安全状态 写入数据库； 或者

第二建立模块， 用于预先建立数据库， 并从网络服务器中下载统一资源定位符对应的 网络内容， 检索网络内容内可指示网络内容类型的特定关键字， 根据特定关键字确定统一 资源定位符的安全状态， 并将统一资源定位符的安全状态建立数据库； 或者

第三建立模块， 用于预先建立数据库， 并从网络服务器中下载统一资源定位符对应的 网络内容， 在安装的病毒库内， 将网络内容与病毒库内的病毒特征进行匹配， 根据匹配结 果来确定统一资源定位符的安全状态， 并将统一资源定位符的安全状态建立数据库。

参见图 4， 一种客户端， 该客户端具体与方法实施例 2中的客户端相同， 包括： 判断模 块 40、 第一获取模块 41、 第二获取模块 42和决策模块 43;

判断模块 40， 用于在访问统一资源定位符对应的网络内容之前， 判断缓存中是否存储 有统一资源定位符的安全状态；

第一获取模块 41， 用于如果缓存中储有统一资源定位符的安全状态， 从缓存中获取统 一资源定位符的安全状态；

第二获取模块 42， 用于如果缓存中未存储有统一资源定位符的安全状态， 向安全检测 服务器发送访问统一资源定位符对应的网络内容的请求， 并接收安全检测服务器返回的统 一资源定位符的安全状态；

决策模块 43， 用于客户端根据统一资源定位符的安全状态确定是否访问统一资源定位 符对应的网络内容。 其中， 所述决策模块包括：

判断单元， 用于根据所述统一资源定位符的安全状态判断所述统一资源定位符是否安 全；

第一执行单元， 用于如果所述判断单元确定所述统一资源定位符安全， 继续执行访问 所述统一资源定位符对应的网络内容的操作；

第二执行单元， 用于如果所述判断单元确定所述统一资源定位符不安全， 判断所述统 一资源定位符是进行网页访问还是进行资源下载；

第一处理单元， 用于如果所述第二执行单元确定所述统一资源定位符是进行网页访问， 则在页面预定区域显示安全提示信息；

第二处理单元， 用于如果所述第二执行单元确定所述统一资源定位符是进行资源下载， 则显示资源下载的安全提示信息， 等待接收用户是否继续进行资源下载的指示信息， 并在 接收到用户输入的继续进行资源下载的指示信息后， 下载资源并显示警告信息。

本实施例在具体实现时， 图 4所示的客户端还可以包括：

意见反馈模块， 用于在访问到统一资源定位符对应的网络内容后， 确定所述统一资源 定位符的安全状态， 并向所述安全监测服务器反馈所述统一资源定位符对应的安全状态， 以便所述安全监测服务器根据所述客户端所反馈的安全状态确定所述统一资源定位最终的 安全状态。

本发明实施例通过上述技术方案的实现， 使得客户端仅根据返回的统一资源定位符的 安全状态即可知道该统一资源定位符所对应的网络内容是否安全， 减轻了客户端的载荷， 客户端根据获取的统一资源定位符的安全状态决定是继续访问网络内容还是取消访问， 从 而保证了客户端的安全性。

实施例 4

本发明实施例提供了一种识别网络内容安全性的系统， 其中， 所述网络内容通过 URL ( Uniform / Universal Resource Locator, 统一资源定位符） 请求得到， 所述网络内容 包括可执行的安全内容和恶意内容。 其中， 安全内容是指网络浏览器或网络客户端可执行 指令的任意类型的内容， 例如小程序、 嵌入 HTML或其他超文本文档 （例如 Java脚本或 VB 脚本的脚本语言） 的可执行代码、 嵌入其他文档 （例如微软 Word宏或样式表） 中的可执行 代码等， 恶意内容是指不可执行但可经计算以利用客户端的弱点的内容， 例如 "网络钓鱼" 方案的交互内容， 在所述方案中， 交互内容经设计以表现为由例如银行等受信任网站所提 供的内容的样子， 以便欺骗用户向未经授权方提供证书或其他敏感信息。 参见图 5， 一种网络安全识别系统， 该系统包括： 客户端 50及安全检测服务器 51 ; 客户端 50用于在访问统一资源定位符对应的网络内容之前， 判断缓存中是否存储有统 一资源定位符的安全状态， 用于如果缓存中储有统一资源定位符的安全状态， 从缓存中获 取统一资源定位符的安全状态， 如果缓存中未存储有统一资源定位符的安全状态， 向安全 检测服务器 51发送访问统一资源定位符对应的网络内容的请求；

安全检测服务器 51用于接收客户端 50发送的访问统一资源定位符对应的网络内容的 请求， 查找数据库并判断数据库中是否存在统一资源定位符的安全状态， 当数据库中不存 在统一资源定位符的安全状态时， 收集与统一资源定位符相关的数据， 并根据收集的数据 确定统一资源定位符的安全状态， 之后， 将统一资源定位符的安全状态返回给客户端 50; 客户端 50用于接收安全检测服务器 51返回的统一资源定位符的安全状态， 并根据统 一资源定位符的安全状态确定是否访问统一资源定位符对应的网络内容。

具体地， 客户端 50的结构具体与实施例 3中所述的客户端的结构相同， 此处就不再赘 述， 安全检测服务器的结构具体与实施例 3 中所述的安全检测服务器相同， 此处就不再赘 述。

本发明实施例通过上述技术方案的实现， 使得客户端仅根据返回的统一资源定位符的 安全状态即可知道该统一资源定位符所对应的网络内容是否安全， 减轻了客户端的载荷， 客户端根据获取的统一资源定位符的安全状态决定是继续访问网络内容还是取消访问， 从 而保证了客户端的安全性。

参见图 6， 本发明实施例中所提供的一种网络安全识别系统除了可以包括客户端 50和 安全检测服务器 51还可以包括网络服务器 52。 其中， 客户端 50可以是连接到网络的各种 类型的客户端， 例如包括手机、 掌上电脑、 台式计算机及 PDA (个人数字助理）等， 客户端 50还可以装载有操作系统， 所述操作系统允许客户端 50通过如网络浏览器、 电子邮件等各 种软件程序模块与网络进行双向通信； 客户端 50与安全检测服务器 51相连接， 使得向网 络发送的 URL请求在进入网络过程中经过安全检测服务器 51，安全检测服务器 51还可以与 网络服务器 52相连接， 对通过网络下载到客户端 50的网络内容进行识别和归类； 客户端 50还与网络服务器 52相连， 实现与网络服务器 52之间的双向通信， 使得客户端 50可以上 载数据到网络服务器 52或从网络服务器 52 中下载数据， 所述网络服务器 52具体可以是 Web/WAP服务器。

参见图 7， 本发明实施例中所提供的一种网络安全识别系统除了可以包括客户端 50、 安全检测服务器 51和网络服务器 52外还可以包括代理服务器 53， 本图所示系统在图 2所 示系统的基础上加入了代理服务器 53， 所述代理服务器 53分别于客户端 50、 安全检测服 务器 51和网络服务器 52相连并与之通信。 客户端 50将部分实现较复杂应用的实现交给代 理服务器 53来实现， 从而减轻自身的载荷， 代理服务器 53的出现使得像手机这种存储能 力及计算能力较小的客户端的载荷得到了极大的解放， 并一定程序上扩充了像手机这种客 户端功能， 而代理服务器 53所承担的应用程序的运行由客户端 50远程控制实现。

参见图 8， 呈现的是客户端 50的更详细的结构框图。 客户端 50可包含上载 /下载模块 500和 URL请求模块 501 ; 其中， 上载 /下载模块 500可用于向网络发送和接收数据； URL请 求模块 501从接收用户输入的 URL请求， 且可向网络发送 URL请求以检索与 URL请求所指 示的网路内容。 通常， 上载 /下载模块 500和 URL请求模块 501中的每一者的功能可由例如 网络浏览器的软件应用程序执行， 其中， Internet Explorer (因特网探测器）、 Mozilla Firefox (智谋火狐）、 Opera (奥普拉）及 Safari (远征）等众所周知的浏览器软件。 或者， 上载 /下载模块 500和 URL请求模块 501的功能可在不同的软件应用程序之间划分， 例如， FTP应用程序可执行上载 /下载模块 500的功能， 而网络浏览器可执行 URL请求。

需要说明的是， 客户端 50还包含缓存模块 502， 所述缓存模块 502用于缓存客户端 50 曾经访问的网络内容及相应网络内容的安全状态。 以后， 客户端 50每次访问网络内容时， 网络浏览器会首先搜索缓存模块 502，如果本次访问的网络内容及其相应的安全状态已经存 在缓存模块 502里， 就不必从网上下载， 而直接可以从缓存模块 502中调出使用， 从而提 高了访问网络内容的访问速度。

客户端 50还包括判断模块 503， 所述判断模块 503用于判断上载 /下载模块 500和 /或 URL请求模块 501所请求访问的网络内容是否存在风险；

具体地， 判断模块 503从缓存模块 502中查询所要访问的网络内容的安全状态， 在缓 存模块 502 中存储有所要访问的网络内容的安全状态时， 根据查询结果判断所请求访问的 网络内容是否存在风险； 在缓存模块 502 中未存储有所要访问的网络内容的安全状态时， 向安全检测服务器 51中的经归类 URL数据库 510 (下文将详细论述） 查询该所要访问的网 络内容的安全状态， 并根据查询结果判断所请求访问的网络内容是否存在风险；

客户端 50还包括决策模块 505， 用于根据判断模块 503的判断结果决定是否允许客户 端 50继续执行上载 /下载模块 500和 /或 URL请求模块 501的访问请求；

客户端 50还包括意见反馈模块 505，用于向安全检测服务器 51反馈上载 /下载模块 500 和 /或 URL请求模块 501所访问到 URL相关的网络内容的安全状态；

客户端 50还包括显示模块 506， 用于将判断模块 503的判断结果显示给用户。 客户端 50与安全检测服务器 51进行通信。 安全检测服务器 51用于分析传入和传出所 述客户端 50的网络内容， 并对所述网络业务对所述客户端 50可能造成的影响进行确定及 归类。 参见图 9， 提供了一种安全检测服务器 51的详细结构实例图。 安全检测服务器 51可 与客户端 50进行双向通信， 从客户端 50处接收文件上载、 下载及 URL请求和反馈意见， 安全检测服务器还可以与网络双向通信。 在具体实现时， 安全检测服务器 51可与保护客户 端 50免受网络中未经授权的入侵的防火墙硬件或软件集成。

安全检测服务器 51包括： 经归类 URL数据库 510， 用于存储 URL及其对应的安全状态， 该安全状态为 URL所指示的网络内容安全与否的量化属性， 以帮助客户端 50确定自己所发 送的 URL请求是否被许可完成； 该经归类 URL数据库 510具体可以是关系数据库、 平面文 件、 面向对象数据库等。

在具体实现时， 还可以对经归类 URL数据库 510中的 URL字段进行索引编码， 使得经 归类 URL数据库 510内的信息可以被实时地快速地搜索， 当经归类数据库 510内的列表涉 及到几百万甚至更多的 URL时， 那么， 对该众多的 URL列表进行索引编码以快速的在这众 多 URL列表中找到目标 URL是有益的。

参见图 10， 提供了一种经归类 URL数据库的实例图， 该数据库中包含 URL列， 用于存 储已归类的 URL串； 该数据库还包含类别列， 用于存储相应 URL串所关联数据的安全状态。

安全检测服务器 51还包括未经归类 URL数据库 511，用于存储来自客户端 50的未在经 归类 URL数据库 510内的 URL。 参见图 11， 给出了一种未经归类 URL数据库的实例图。

安全检测服务器 51还包括： 收集模块 512， 该收集模块 512具体可以是用于收集 URL 所指示的网络内容的软件程序、 例行程序或过程等， 当安全检测服务器 51从客户端 50中 的上载 /下载模块 200和 /或 URL请求模块 501接收到 URL的请求时， 收集模块 512可经配 置以访问 URL并下载页面数据到 URL归类模块 513，以供 URL归类模块 513进行分析并归类； URL归类模块 513， 用于对从客户端 50接收到的未经归类的 URL进行归类， 具体包括: 检索单元， 用于检索 URL 页面源数据并对其进行扫描以查找该页面源数据内可指示网 络内容类型的特定的关键字；

例如， 经检索扫描得到 URL页面源数据内包含 " javascript：〃 "， 那么该 URL页面可 能被识别为 Java脚本， 尽管该内容并非固有危险的， 但是具有 Java脚本的网页包含恶意 内容的可能性会比较大；

意见接收单元， 用于接收客户端 50反馈的 URL相关的网络内容的安全状态； 病毒库匹配查找单元， 用于在所安装的病毒库内， 将 URL 页面数据与病毒库内的病毒 特征进行匹配；

例如， 可以将 URL页面数据与已知的恶意 IP地址相关联的域进行比较匹配等。

归类单元， 用于汇总检索单元和 /或意见接收单元和 /或病毒库匹配查找单元所得到的 信息， 并根据所汇总的信息对 URL进行安全状态， 将安全状态后的 URL存储到经安全状态 URL数据库 510中；

需要说明的是， 该安全检测服务器 51还包括记录存储模块 515， 用于记录客户端 50对 特定 URL的请求发生情况。 具体地， 记录客户端 50请求未经归类 URL的每一事件， 或者， 记录客户端 50请求未经归类 URL的频率。 记录存储模块 515中的信息可用于确定未经归类 URL是否是具有特定重要性或者优先权。

需要说明的是， 上述记录存储模块 515还可以记录对经归类 URL的请求， 相应地， 该 安全检测服务器 512还包括修正模块 515，用于根据对经归类 URL的请求的记录情况对经归 类 URL的安全状态进行修正， 以避免 URL被赋予错误的安全状态。

以上所述的安全检测服务器 51与实施例 2和 3中的安全检测服务器是同一本体。 通过本发明实施例所提供的系统， 使得客户端在请求 URL之前根据安全检测服务器所 存储的经归类 URL数据库或 URL安全状态模块获知该请求的 URL是否安全， 从而确定是否 要对该 URL继续进行请求， 保证了客户端的安全性。 以上实施例提供的技术方案中的全部或部分内容可以通过软件编程实现， 其软件程序 存储在可读取的存储介质中， 存储介质例如： 计算机中的硬盘、 光盘或软盘。 以上所述仅为本发明的较佳实施例， 并不用以限制本发明， 凡在本发明的原则之内， 所作的任何修改、 等同替换、 改进等， 均应包含在本发明的保护范围之内。

Claims

权 利 要 求 书

1、 一种网络安全识别方法， 其特征在于， 所述方法包括：

安全检测服务器接收客户端发送的访问统一资源定位符对应的网络内容的请求； 所述安全检测服务器查找数据库， 并判断所述数据库中是否存在所述统一资源定位符的 安全状态，

当所述数据库中不存在所述统一资源定位符的安全状态时， 所述安全检测服务器收集与 所述统一资源定位符相关的数据， 并根据收集的数据确定所述统一资源定位符的安全状态； 所述安全检测服务器将所述统一资源定位符的安全状态返回给所述客户端， 使所述客户 端根据所述统一资源定位符的安全状态确定是否访问所述统一资源定位符对应的网络内容。

2、根据权利要求 1所述的方法， 其特征在于， 所述收集与所述统一资源定位符相关的数 据， 并根据收集的数据确定所述统一资源定位符的安全状态， 包括：

从网络服务器中下载所述统一资源定位符对应的网络内容；

检索所述网络内容内可指示所述网络内容类型的特定关键字；

根据所述特定关键字确定所述统一资源定位符的安全状态。

3、根据权利要求 1所述的方法， 其特征在于， 所述收集与所述统一资源定位符相关的数 据， 并根据收集的数据确定所述统一资源定位符的安全状态， 包括：

从网络服务器中下载所述统一资源定位符对应的网络内容；

在安装的病毒库内， 将所述网络内容与所述病毒库内的病毒特征进行匹配；

根据匹配结果来确定所述统一资源定位符的安全状态。

4、 根据权利要求 1所述的方法， 其特征在于， 所述方法还包括：

预先建立所述数据库；

将所述客户端返回的统一资源定位符的安全状态写入到所述数据库； 或者

从网络服务器中下载统一资源定位符对应的网络内容， 检索所述网络内容内可指示所述 网络内容类型的特定关键字， 根据所述特定关键字确定所述统一资源定位符的安全状态， 并 将所述统一资源定位符的安全状态写入到所述数据库； 或者

从网络服务器中下载所述统一资源定位符对应的网络内容， 在安装的病毒库内， 将所述 网络内容与所述病毒库内的病毒特征进行匹配， 根据匹配结果来确定所述统一资源定位符的 安全状态， 并将所述统一资源定位符的安全状态写入所述数据库。

5、 一种安全检测服务器， 其特征在于， 所述安全检测服务器包括： 接收模块、 数据库、 查找判断模块、 确定模块及返回模块； 其中，

所述接收模块， 用于接收客户端发送的访问统一资源定位符对应的网络内容的请求； 所述数据库， 用于存储统一资源定位符与安全状态间对应关系；

所述查找判断模块， 用于查找所述数据库， 并判断所述数据库中是否存在所述统一资源 定位符的安全状态；

所述确定模块， 用于当所述查找判断模块判断得出所述数据库中不存在所述统一资源定 位符的安全状态时， 收集与所述统一资源定位符相关的数据， 并根据收集的数据确定所述统 一资源定位符的安全状态；

所述返回模块， 用于将所述统一资源定位符的安全状态返回给所述客户端， 使所述客户 端根据所述统一资源定位符的安全状态确定是否访问所述统一资源定位符对应的网络内容。

6、 根据权利要求 5所述的安全检测服务器， 其特征在于， 所述判断查找模块包括： 收集单元， 用于从网络服务器中下载所述统一资源定位符对应的网络内容；

检测单元， 用于检索所述网络内容内可指示所述网络内容类型的特定关键字； 第一确定单元， 用于根据所述特定关键字确定所述统一资源定位符的安全状态。

7、 根据权利要求 5所述的安全检测服务器， 其特征在于， 所述判断查找模块包括： 收集单元， 用于从网络服务器中下载所述统一资源定位符对应的网络内容；

匹配单元， 用于在安装的病毒库内， 将所述网络内容与所述病毒库内的病毒特征进行匹 配；

第二确定单元， 用于根据匹配结果来确定所述统一资源定位符的安全状态。

8、 根据权利要求 5所述的安全检测服务器， 其特征在于， 所述安全检测服务器还包括： 第一建立模块， 用于预先建立所述数据库， 并将所述客户端返回的统一资源定位符的安全状 态写入所述数据库； 或者

第二建立模块， 用于预先建立所述数据库， 并从网络服务器中下载统一资源定位符对应 的网络内容， 检索所述网络内容内可指示所述网络内容类型的特定关键字， 根据所述特定关 键字确定所述统一资源定位符的安全状态， 并将所述统一资源定位符的安全状态建立所述数 据库； 或者

第三建立模块， 用于预先建立所述数据库， 并从网络服务器中下载所述统一资源定位符 对应的网络内容， 在安装的病毒库内， 将所述网络内容与所述病毒库内的病毒特征进行匹配， 根据匹配结果来确定所述统一资源定位符的安全状态， 并将所述统一资源定位符的安全状态 建立所述数据库。

9、 一种网络安全识别方法， 其特征在于， 所述方法包括：

客户端在访问统一资源定位符对应的网络内容之前， 判断缓存中是否存储有所述统一资 源定位符的安全状态；

如果缓存中储有所述统一资源定位符的安全状态， 所述客户端从所述缓存中获取所述统 一资源定位符的安全状态；

如果缓存中未存储有所述统一资源定位符的安全状态， 所述客户端向安全检测服务器发 送访问统一资源定位符对应的网络内容的请求， 并接收所述安全检测服务器返回的所述统一 资源定位符的安全状态；

所述客户端根据所述统一资源定位符的安全状态确定是否访问所述统一资源定位符对应 的网络内容。

10、 根据权利要求 9所述的方法， 其特征在于， 所述客户端根据所述统一资源定位符的 安全状态确定是否访问所述统一资源定位符对应的网络内容包括：

所述客户端根据所述统一资源定位符的安全状态判断所述统一资源定位符是否安全； 如果安全， 继续执行访问所述统一资源定位符对应的网络内容的操作；

如果不安全， 判断所述统一资源定位符是进行网页访问还是进行资源下载；

如果是进行网页访问， 则在页面预定区域显示安全提示信息；

如果是进行资源下载， 则显示资源下载的安全提示信息， 等待接收用户是否继续进行资 源下载的指示信息， 并在接收到用户输入的继续进行资源下载的指示信息后， 下载资源并显 示警告信息。

11、 根据权利要求 9或 10所述的方法， 其特征在于， 所述方法还包括： 所述客户端在访问到统一资源定位符对应的网络内容后， 确定所述统一资源定位符的安 全状态， 并向所述安全监测服务器反馈所述统一资源定位符对应的安全状态， 以便所述安全 监测服务器根据所述客户端所反馈的安全状态确定所述统一资源定位最终的安全状态。

12、 一种客户端， 其特征在于， 所述客户端包括： 判断模块、 第一获取模块、 第二获取 模块和决策模块；

所述判断模块， 用于在访问统一资源定位符对应的网络内容之前， 判断缓存中是否存储 有所述统一资源定位符的安全状态；

所述第一获取模块， 用于如果缓存中储有所述统一资源定位符的安全状态， 从所述缓存 中获取所述统一资源定位符的安全状态；

所述第二获取模块， 用于如果缓存中未存储有所述统一资源定位符的安全状态， 向安全 检测服务器发送访问统一资源定位符对应的网络内容的请求， 并接收所述安全检测服务器返 回的所述统一资源定位符的安全状态；

所述决策模块， 用于所述客户端根据所述统一资源定位符的安全状态确定是否访问所述 统一资源定位符对应的网络内容。

13、 根据权利要求 12所述的客户端， 其特征在于， 所述决策模块包括：

判断单元，用于根据所述统一资源定位符的安全状态判断所述统一资源定位符是否安全; 第一执行单元， 用于如果所述判断单元确定所述统一资源定位符安全， 继续执行访问所 述统一资源定位符对应的网络内容的操作；

第二执行单元， 用于如果所述判断单元确定所述统一资源定位符不安全， 判断所述统一 资源定位符是进行网页访问还是进行资源下载；

第一处理单元， 用于如果所述第二执行单元确定所述统一资源定位符是进行网页访问， 则在页面预定区域显示安全提示信息；

第二处理单元， 用于如果所述第二执行单元确定所述统一资源定位符是进行资源下载， 则显示资源下载的安全提示信息， 等待接收用户是否继续进行资源下载的指示信息， 并在接 收到用户输入的继续进行资源下载的指示信息后， 下载资源并显示警告信息。

14、 根据权利要求 12或 13所述的客户端， 其特征在于， 所述客户端还包括： 意见反馈模块， 用于在访问到统一资源定位符对应的网络内容后， 确定所述统一资源定 位符的安全状态， 并向所述安全监测服务器反馈所述统一资源定位符对应的安全状态， 以便 所述安全监测服务器根据所述客户端所反馈的安全状态确定所述统一资源定位最终的安全状 态。

15、 一种网络安全识别系统， 其特征在于， 所述系统包括： 客户端及安全检测服务器； 所述客户端用于在访问统一资源定位符对应的网络内容之前， 判断缓存中是否存储有所 述统一资源定位符的安全状态， 用于如果缓存中储有所述统一资源定位符的安全状态， 从所 述缓存中获取所述统一资源定位符的安全状态， 如果缓存中未存储有所述统一资源定位符的 安全状态， 向安全检测服务器发送访问统一资源定位符对应的网络内容的请求；

所述安全检测服务器用于接收客户端发送的访问统一资源定位符对应的网络内容的请 求， 查找数据库并判断所述数据库中是否存在所述统一资源定位符的安全状态， 当所述数据 库中不存在所述统一资源定位符的安全状态时， 收集与所述统一资源定位符相关的数据， 并 根据收集的数据确定所述统一资源定位符的安全状态， 之后， 将所述统一资源定位符的安全 状态返回给所述客户端；

所述客户端用于接收所述安全检测服务器返回的所述统一资源定位符的安全状态， 并根 据所述统一资源定位符的安全状态确定是否访问所述统一资源定位符对应的网络内容。