技術(shù)領(lǐng)域

本發(fā)明涉及計算機網(wǎng)絡(luò)安全領(lǐng)域，尤其涉及一種用戶Web訪問行為控制方法及裝置。

背景技術(shù)

互聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)蓬勃發(fā)展的今天，各類安全問題層出不窮，這使得不少安全類產(chǎn)品也應(yīng)運而生，其中典型的包括防火墻（Firewall）、入侵檢測/防御系統(tǒng)（IDS/IPS），還有代理類的虛擬專用網(wǎng)（VPN）等等。這些設(shè)備大多是基于固定的網(wǎng)絡(luò)協(xié)議進行處理的，由于網(wǎng)絡(luò)自身的開發(fā)性和日益豐富的應(yīng)用發(fā)展，以及用戶行為本身的不確定性，使得傳統(tǒng)的基于傳輸協(xié)議的安全技術(shù)和方案已無法達到理想的管理效果。

從硬件到軟件，從設(shè)備到人員管理，網(wǎng)絡(luò)安全技術(shù)和方案涉及很廣。這里，我們將重點集中在應(yīng)用層信息安全方面。

隨著Web2.0時代的到來，網(wǎng)絡(luò)應(yīng)用變得更加豐富，這使得人們上網(wǎng)的行為方式也發(fā)生了巨大變化：從早期只能進行簡單的網(wǎng)頁瀏覽的行為，發(fā)展成了涵蓋搜索、郵件收發(fā)、發(fā)帖（類似的還有博客、評論、回復(fù)等）、聊天、文件上傳/下載等更為復(fù)雜的行為類型。這些Web應(yīng)用，都是在應(yīng)用層協(xié)議上進行描述的，因此原先那些安全類設(shè)備無法覆蓋到這些行為。同時，考慮到應(yīng)用的多樣性和排它性，用戶行為的描述方式也是基于一定的語法特征的，具體的描述方式由服務(wù)提供者定義。

針對用戶上網(wǎng)行為管理問題，網(wǎng)絡(luò)管理者提出了如下需求：

1、對用戶上網(wǎng)行為的精確識別（如登錄、退出、發(fā)帖、發(fā)郵件、下載文件等）；

2、對用戶上網(wǎng)信息進行全面的精細化審計（如賬號、標題、正文、附件名等）；

3、能夠?qū)ι暇W(wǎng)信息進行策略控制和記錄；（如對敏感言論的封堵控制）；

4、能對行為發(fā)起者進行及時定位和跟蹤，了解并預(yù)測其可能的行為。

現(xiàn)有的實現(xiàn)方案通常比較簡單，它們往往只通過Web行為中的URL進行分類查詢和關(guān)鍵字提取，從而做出基本的行為判定和執(zhí)行動作。

顯然，僅僅就URL進行初步過濾無法滿足用戶的所有需求，具體表現(xiàn)如下：

1、功能分類過于簡單，如只有網(wǎng)頁類、搜索類、郵件類等，且使得擴展不便，需要較多的二次開發(fā)工作量；

2、功能精細化處理能力不足，如誤識別、提取條件少、策略簡單等；

3、功能間串行處理，性能較低，從而導(dǎo)致當多種功能并行處理時性能不佳；

4、應(yīng)對協(xié)議中的編碼支持不好，如不同字符集下匹配失敗、顯示亂碼等，從而導(dǎo)致無法進行精確的識別匹配，或因?qū)崟r解碼操作導(dǎo)致性能不佳；

5、更新機制簡單滯后，有效性低，從而在面對高速發(fā)展的互聯(lián)網(wǎng)應(yīng)用時沒有一個快速有效的更新機制；

總的來說，現(xiàn)有的針對網(wǎng)絡(luò)安全的解決方案在實現(xiàn)上比較簡單低效，且不具備理想的功能擴展性。

發(fā)明內(nèi)容

本發(fā)明的目的是提供一種能夠克服至少上述缺陷之一的用戶Web訪問行為控制方法及裝置。

在本發(fā)明的第一方面，提供了一種用戶Web訪問行為控制方法，包括：根據(jù)用戶的Web數(shù)據(jù)識別出其對應(yīng)的URL；根據(jù)所述URL在預(yù)先建立的特征庫中找到對應(yīng)的特征，所述特征庫包含多個URL，每個URL對應(yīng)一個或多個特征；根據(jù)所述特征調(diào)取與所述特征對應(yīng)的HTTP實體，所述HTTP實體是預(yù)先按照HTTP協(xié)議特征從所述Web數(shù)據(jù)中解析出來的；在所述HTTP實體中搜索所述特征中的關(guān)鍵字；在所述搜索命中之后，根據(jù)所述特征的條件屬性在所述HTTP實體中提取與所述關(guān)鍵字對應(yīng)的內(nèi)容；將提取出的內(nèi)容與預(yù)定的策略條件進行匹配；以及執(zhí)行匹配成功的策略條件所對應(yīng)的策略。

在本發(fā)明的第二方面，提供了一種用戶Web訪問行為控制裝置，包括：URL識別模塊，用于根據(jù)用戶的Web數(shù)據(jù)識別出其對應(yīng)的URL；特征查找模塊，用于根據(jù)所述URL在預(yù)先建立的特征庫中找到對應(yīng)的特征，所述特征庫包含多個URL，每個URL對應(yīng)一個或多個特征；HTTP實體調(diào)取模塊，用于根據(jù)所述特征調(diào)取與所述特征對應(yīng)的HTTP實體，所述HTTP實體是預(yù)先按照HTTP協(xié)議特征從所述Web數(shù)據(jù)中解析出來的；關(guān)鍵字搜索模塊，用于在所述HTTP實體中搜索所述特征中的關(guān)鍵字；內(nèi)容提取模塊，用于在所述搜索命中之后，根據(jù)所述特征的條件屬性在所述HTTP實體中提取與所述關(guān)鍵字對應(yīng)的內(nèi)容；策略條件匹配模塊，用于將提取出的內(nèi)容與預(yù)定的策略條件進行匹配；以及策略執(zhí)行模塊，用于執(zhí)行匹配成功的策略條件所對應(yīng)的策略。