[发明专利]主动审计系统及方法

说明书

技术领域

本发明涉及网络安全领域，尤其涉及网络审计系统及其方法。

背景技术

伴随着信息技术的日新月异和网络信息系统应用的发展，越来越多 的政府机构、企业、意识到日趋复杂的IT业务系统与不同背景业务用 户的行为给网络带来了潜在的威胁。例如系统内部业务数据、重要敏 感文件等可通过电子邮件、数据库访问、远程终端访问(TELNET、FTP 等)、网络文件共享(NETBIOS)等方式被篡改、泄露和窃取；网民访 问非法网站、发布非法言论等违规上网行为日益泛滥；而且还存在网 络恶意用户严重破坏政府、企业的信息系统安全等破坏行为。因此， 用于对网络用户的上网行为进行分析和监控的网络信息安全内容审计 (CASNI)已成为网络信息安全中不可或缺的重要组成部分。

目前已经开发了各种网络信息安全内容审计系统用于各种企业和 组织，这些网络信息安全内容审计系统一般采用如下方式来进行安全 内容审计：其首先从诸如企业的网关或者路由器之类的网络关键节点 收集数据包，然后分析并审计从这些网络关键节点获得的网络数据内 容，从而发现一些网络用户的不当行为。通常网络信息安全审计系统 的审计对象包括：局域网内用户的邮件内容、邮件附件内容、上网行 为、浏览网页内容、FTP行为，以及QQ/MSN等聊天内容与行为。

以企业为例，由于企业内部用户都需要通过网关来访问外部网络， 因此，传统的网络信息安全内容审计系统可以通过对经由网关的数据 包进行分析和审计，从而发现企业内部用户是否进行访问一些包含暴 力、色情等不健康内容的网页、访问一些包含有木马病毒、跨站脚本 等不安全内容的网页、以及将企业内部信息泄露到外部等不当行为， 而且一般传统的审计系统可以触发警告事件来报告这些不当行为，或 者采取一些动作来阻止用户的不当行为(如可以阻止用户对包含不健 康内容或者不安全内容网页的访问)。

然而，这类传统的内容安全审计系统存在一些固有的限制。首先， 这些系统一般仅仅对通过网络关键节点的数据包进行分析，因此这些 系统只能覆盖通过网络关键节点的网络用户的行为，即这些系统只能 覆盖有限区域，而无法做到全方位的安全内容审计。例如，如果企业 用户通过其便携式计算机自带的无线网卡、经由覆盖企业的无线网络 系统将企业内部数据发布到公共网络上，则现有内容安全审计系统就 没有办法检测到该泄密行为。此外，现有内容安全审计系统只能被动 的对经由网络关键节点的用户数据包进行分析，则由于各种技术原因 造成的数据内容遗漏难以避免。例如，如果用户所访问的网站采用了 加密传输协议(如HTTPS协议)，现有内容安全审计系统很难分析出 用户数据包的内容，因此也就很难对其中的用户不良行为进行监测。

可以看出，现有内容安全审计系统主要是因为被动地在一些网络节 点上监视网络数据而存在上述问题，因此所希望的具有一种可以弥补 现有被动审计系统的不足的、基于主动审计技术的内容安全审计方案， 其可以通过对目标范围进行主动安全审计来为现有被动内容安全审计 系统提供了有力的补充。

发明内容

本发明的目的在于提供一种基于主动审计技术的内容安全审计系 统和方法，其通过对目标范围进行主动安全审计来为现有被动内容安 全审计系统提供了有力的补充。

根据本发明的一个方面，提供了一种内容安全审计系统，其包括配 置装置，获取指定要主动进行审计的URL列表；网页提取装置，为所 述URL列表中的每个URL提取该URL所指向的网页的网页源代码；以 及内容分析和审计装置，对所述网页源代码进行内容分析，以确定所 述网页源代码是否包括敏感内容或者恶意代码。

根据本发明的一个可选特征，该内容安全审计系统还包括被动内容 安全审计子系统，用于获取在网络关键节点处的数据，对这些数据进 行分析以确定所述URL列表。

根据本发明的另一个方面，提供了一种内容安全审计方法，包括步 骤：获取指定要主动进行审计的URL列表；为所述URL列表中的每个 URL提取该URL所指向的网页的网页源代码；对所述网页源代码进行内 容分析，以确定所述网页源代码是否包括敏感内容或者恶意代码。