CN101622621A

CN101622621A - 阻止恶意网络内容的系统和方法

Info

Publication number: CN101622621A
Application number: CN200880006629A
Authority: CN
Inventors: 丹·哈伯德
Original assignee: Websense LLC
Current assignee: Websense LLC
Priority date: 2007-02-28
Filing date: 2008-01-30
Publication date: 2010-01-06
Anticipated expiration: 2028-01-30
Also published as: CN101622621B; AU2008219550A1; CA2679464A1; US8015174B2; AU2008219550B2; EP2132661A1; US20080208868A1; WO2008106263A1; EP2348422A1

Abstract

某些实施例提供监视从被请求装置发送到请求装置的数据并移除所述数据的某些部分(例如恶意或以其它方式引起反对的内容)的系统和方法。引起反对的内容可包含例如潜在可执行的网络内容。在某些实施例中，所述系统和方法从被拦截数据移除指向具有恶意或以其它方式引起反对的内容的网页的统一资源定位符(URL)链接。

Description

阻止恶意网络内容的系统和方法

技术领域

本申请案涉及通过监视响应于对因特网的数据请求而接收到的数据来控制对因特网的接入。更明确地说，本申请案涉及用于监视用户对内容或信息的请求的结果的系统和方法。

背景技术

据估计，80％的网站访问是通过搜索引擎来启始的。因此，出现在所返回搜索结果或超链接的列表中的网站页往往通过搜索引擎来接收相当大的入站业务。网站在所返回超链接的列表上越高，用户将选择所述超链接的可能性就越大。遗憾的是，例如“谷歌炸弹”或“垃圾索引”等技术允许网站操作者故意修改与其网站相关联的HTML页，以便增加其页被置于搜索引擎结果的列表上较高位置的机会，或以误导或不诚实方式影响其页被指派到的类别。因此，具有不合需要或恶意内容的网站的操作者通常使用此些手段来产生到达其网站的业务。

另外，随着因特网使用的演进，越来越多的内容被从完全不同且有时未知的来源传递给用户。举例来说，用户方对较快且较容易地接入频繁更新的内容的需要已导致例如服务于频繁更新的内容的网络摘要(web feed)等技术的发展。在使用网络摘要的一种常见情形中，内容提供者在其网站上公布网络摘要链接，其允许聚合器程序(也称为摘要阅读器或新闻阅读器)注册以接收经更新的内容。聚合器经配置以周期性地询问其摘要列表中的每一服务器问它们是否具有新内容。对于具有新内容的服务器中的每一者，聚合器记录新内容或下载内容。尽管各种类型的内容可由网络摘要传递，但通常，传递HTML页或到达网页的URL链接。至于上文所论述的搜索引擎结果，具有不合需要或恶意内容的网站的操作者可利用误导技术，其目的是将其恶意内容包含在网络摘要中。

发明内容

本发明的系统、方法和装置每一者具有若干方面，其中没有单一一个方面仅对其所要属性负责。在不限制本发明的范围的情况下，现在将简要论述本发明特征中的若干特征。

在一个实施例中，提供一种监视从被请求装置发送到请求装置的数据的方法。所述方法包含识别来自请求装置的传出请求，以及响应于所述传出请求而拦截从被请求装置发送的内容。将所拦截内容的至少一部分与数据库进行比较。所述方法进一步包含通过至少部分地基于所述内容在所述数据库中的分类和存在而移除所述内容中的至少一些内容来修改所述内容，以及将经修改的内容发送到请求装置。

在另一实施例中，提供一种用于响应于第二装置对来自第一装置的数据的请求而监视从第一装置发送到第二装置的内容的系统。所述系统包含网关服务器模块，其经配置以拦截从第一装置发送到第二装置的内容，并至少部分地基于所拦截内容与经分类URL/内容数据库中的数据的比较而确定所述内容的类别。所述系统进一步包含：策略模块，其包含用于基于内容的类别来修改内容的指令；以及内容过滤模块，其经配置以至少部分地基于所述指令来修改所述内容中的至少一些内容。

在又一实施例中，提供一种控制对从因特网请求以供在工作站处显示的数据的接入的方法。所述方法包含发送对信息的网络请求，以及响应于所述网络请求而在网关服务器模块处接收多个URL。所述方法进一步包含将所述多个URL与经分类URL的数据库进行比较，以及至少部分地基于所述比较来修改所述多个URL中的至少一者。将经修改的多个URL转发到工作站。

在再一实施例中，提供一种用于监视从被请求装置发送到请求装置的数据的系统。所述系统包含用于识别从请求装置到被请求装置的传出请求的构件。所述系统进一步包含用于响应于传出请求而拦截从被请求装置发送的内容的构件；以及用于将所述内容的至少一部分与数据库中的数据进行比较的构件。所述系统进一步包含用于通过至少部分地基于所述内容在所述数据库中的分类和存在而移除所述内容中的至少一些内容来修改所述内容的构件；以及用于将经修改的内容发送到请求装置的构件。

附图说明

在此描述内容中，参看附图，其中相同部分始终以相同标号表示。

图1是根据本发明各方面的系统的各种组件的框图。

图2是来自图1的工作站模块的框图。

图3是来自图1的网关服务器模块的框图。

图4是来自图3的登录数据库的示范性表。

图5是来自图3的URL接入策略的示范性表。

图6A是URL及其相关联类别的示范性表。

图6B是未经分类的URL的示范性表。

图7是来自图1的数据库管理模块的框图。

图8是来自图7的收集系统的框图。

图9是来自图8的收集模块的框图。

图10是对与搜索短语“免费屏幕保护程序”相关联的网站的搜索引擎请求的示范性计算机屏幕截图。

图11A是概述响应于图10的搜索引擎请求从搜索引擎接收到的结果的示范性表。

图11B是图11A中概述的URL连同由图1的系统对所列举的URL执行的分析的结果的列表。

图12A是图11B中所列举的URL对请求与搜索短语“免费屏幕保护程序”相关联的网站的用户将如何出现的说明。

图12B是图11B中所列举的URL在由图1的系统过滤之后对请求与搜索短语“免费屏幕保护程序”相关联的网站的用户将如何出现的说明。

图13是对与搜索短语“免费屏幕保护程序”相关联的图像文件的搜索引擎请求的示范性计算机屏幕截图。

图14是搜索引擎响应于图13中所概括的搜索参数而传回的图像文件的部分列表，其中图1的系统通过阻止引起反对的图像文件的内容被查看而识别引起反对的图像文件。

图15是搜索引擎响应于图13中所概括的搜索参数而传回的图像文件的部分列表，其中图1的系统不会向用户显示引起反对的图像文件。

图16A是由搜索引擎传回的对网络摘要内容的搜索的结果的示范性屏幕截图，且包含文件夹标记的未读新闻的内容的部分列表。

图16B是来自图16A的结果的示范性屏幕截图，其中图1的系统通过在文件上方放置方框(box)来识别恶意网络摘要内容文件。

图17是描绘监视和/或修改响应于对数据的请求而传回给用户的结果的示范性方法的流程图。

具体实施方式

某些实施例提供监视从被请求装置发送到请求装置的数据并移除或识别可能为恶意的或以其它方式含有引起反对的内容(例如，潜在可执行的网络内容)的所传回数据的某些部分的系统和方法。所述系统和方法可进一步从所传回数据移除链接到具有恶意或以其它方式引起反对的内容的网页的统一资源定位符(URL)链接。

如本文所使用，URL是指网络或因特网地址。URL可由接入协议(例如，http)、域名(例如，www.google.com)以及(在一些情况下)到达驻存在由域名指示的服务器上的文件或资源的路径组成。URL链接是可用于接入URL的网页或某一其它网络资源的一部分。URL链接的实例是HTML中的HREF标签。如本文所使用，引起反对的内容可包含一组织希望防止用户在网络上接入的任何数据。组织可指代管理具有接入因特网的用户的本地计算机网络的任何实体。潜在地，可执行的网络内容通常是指包含由网络浏览器或网络客户端计算机执行的指令的任何类型的内容。潜在地，可执行的网络内容可包含(例如)支程序、内嵌在HTML或其它超文本文档(包含例如JavaScript或VBScript等脚本语言)中的可执行码、内嵌在其它文档(例如，微软Word宏或样式表)中的可执行码。潜在地，可执行的网络内容还可指代在例如另一网页、另一计算机或网络浏览器计算机本身上的另一位置中执行代码的文档。举例来说，包含“对象”元素且因此可致使执行ActiveX或其它可执行组件的HTML网页通常可被视为潜在可执行的网络内容，不管所述可执行组件的位置如何。

恶意内容可指代不可执行但目的在于利用客户端计算机上的弱点的内容。然而，潜在可执行的网络内容也可能是恶意内容。举例来说，当图像文件经处理以供显示时，那些图像已被用来利用某些操作系统中的弱点。此外，恶意网络内容还可指代例如“网络钓鱼”方案等交互内容，其中HTML形式或其它网络内容被设计成看起来由另一通常可信任的网站(例如，银行)提供，以便欺骗用户使其向未经授权方提供证书或其它敏感信息。

图1提供根据本发明优选实施例的示范性系统的顶级说明。所述系统包含网络110。网络110可以是局域网、广域网或某一其它类型的网络。网络110可包含一个或一个以上工作站116。工作站116可以是附接到网络的各种类型的客户端计算机。工作站116可以是桌上型计算机、笔记本型计算机、手持式计算机等。工作站116还可加载有允许其经由例如网络浏览器、电子邮件程序等各种软件模块来利用网络的操作系统。

工作站116中的每一者可与网关服务器模块120电连通。网关服务器模块可驻存在网络110的边缘处，使得发送到因特网112和从因特网112发送的业务可穿过网关服务器模块进入或离开网络110。网关服务器模块120可采取安装在服务器上的软件模块的形式，其作为到达比工作站116直接附接到的网络110更广域网络112的网关。同样连接到因特网112的是数据库管理模块114。数据库管理模块114也可以是驻存在一个或一个以上计算装置上的软件模块(或一个或一个以上硬件设备)。数据库管理模块114可驻存在包含某种网络连接硬件(例如，网络接口卡)的机器上，所述网络连接硬件允许数据库管理模块114将数据和信息发送到因特网112且从因特网112接收数据和信息。

一个或一个以上搜索引擎113连接到因特网112。搜索引擎113通常是接收用户对信息和网站(其与所提交用户请求的参数有关)的请求的网站。搜索引擎的众所周知实例是谷歌(Google)、雅虎(Yahoo)和Ask.com。

一个或一个以上辛迪加式网站(syndicated website)115连接到因特网112。辛迪加式网站115提供来自网站的内容的网络摘要。通常，来自辛迪加式网站115的内容被安装在客户端工作站116上的网络摘要阅读器接入。

现在参看图2，呈现工作站116的更详细视图。工作站116可包含工作站模块130。工作站模块130可采取经安装以在工作站116的操作系统上运行的软件的形式。或者，工作站模块130可以是在由工作站116远程启动的另一机器上运行的应用程序。

工作站模块130可包含各种组件。工作站模块可包含本地内容库存模块132，其可存储工作站116所接收到的网络内容中的一些或所有网络内容。在一些实施例中，本地内容库存模块132可周期性地库存从网络110和因特网112接收到的所有内容。可将库存的数据上载到网关服务器模块120，以与存储在经分类URL/内容数据库146中的数据进行比较(图3)。本地内容库存模块132还可经配置以通过与库存的本地内容132进行比较而确定新内容是否正被引入到工作站116。

工作站模块130还可包含一个或一个以上上载/下载模块134以及一个或一个以上网络请求模块136。上载/下载模块134可用于从网络110经由网关服务器模块120并向因特网112发送数据，且经由网关服务器模块120从网络110接收数据。网络请求模块136可接收来自用户或某一系统过程的数据请求，并经由网关服务器模块120发送所述请求，以检索与所述请求相关联的文件和/或内容。所述请求可以是向搜索引擎113作出的搜索引擎请求。响应于搜索，搜索引擎113可基于搜索参数而传回一个网站或网站列表(以及通往那些网站的URL链接)。所述请求也可以是向辛迪加式网站115作出的内容请求。响应于所述请求，辛迪加式网站115可传回到达所请求内容的一个URL链接或URL链接列表。为便于阐释，术语网络请求用于包含用户经由搜索引擎113对内容的请求或经由网络摘要阅读器发送到辛迪加式网站115的请求。图1的系统监视且/或修改响应于网络请求而传回的数据，以抑制引起反对的或恶意内容可为用户使用。

通常，上载/下载模块134和网络请求模块136中的每一者的功能可由例如网络浏览器等软件应用程序执行，Internet Explorer

、火狐(Mozilla Firefox)、Opera、Safari是此项技术中众所周知的浏览软件的实例。这些功能也可由例如网络摘要阅读器、即时消息收发程序、对等文件共享应用程序、数字媒体播放器应用程序(例如，iTunes

RealPlayer、Quicktime)或一些其它应用程序等其它类型的软件执行。

或者，所述模块的功能可在不同软件应用程序之间划分。举例来说，FTP应用程序可执行上载/下载模块134的功能，而网络浏览器执行将请求发送到搜索引擎的功能。网络摘要阅读器应用程序可将对内容的请求发送到辛迪加式网站115。其它类型的软件也可执行上载/下载模块134的功能。尽管这些类型的软件在工作站通常是不合需要的，但例如间谍软件(Spyware)或特洛伊木马(Trojan Horses)等软件可作出发送数据和从因特网接收数据的请求。

工作站模块130可与网关服务器模块120通信。网关服务器模块120可用于分析传入和传出的网络业务并作出关于所述业务可对工作站116具有的影响的各种确定。现在参看图3，提供网关服务器模块120的实例。网关服务器模块120与工作站116进行双向通信。网关服务器模块120可从工作站模块130接收文件上载和下载以及网络请求。网关服务器模块120还与因特网112进行双向通信。因此，可能需要在网络110的工作站116内发起的请求以在其行进到因特网时穿过网关服务器模块120。在一些实施例中，网关服务器模块120可与保护网络110使其免受来自因特网112的未经授权侵入的某一防火墙硬件或软件集成。在其它实施例中，网关服务器模块120可以是安装在驻存于到达因特网112的网络网关处的单独网关服务器上的独立硬件设备或甚至软件模块。

如上文所论述，网关服务器模块120可借助工作站模块130从工作站116接收网络请求且上载/下载数据。网关服务器模块120可包含基于所接收到的数据执行各种功能的各种组件。

网关服务器模块120中包含的一个特征是经分类URL数据库146。URL数据库146可用于存储关于包含与URL相关联的数据的URL的信息。经分类URL数据库146可以是关系数据库，或者经分类URL数据库146可以例如平面文件、面向对象的数据库等某一其它形式存储，且可经由应用编程接口(API)或某一数据库管理软件(DBMS)来接入。URL数据库146通常可用于帮助确定是否将允许完成响应于网络请求而传回的数据。在一个实施例中，对存储在URL数据库146中的URL进行分类。

网关服务器模块120还可包含策略模块142。策略模块142可用于实施关于某些内容将如何由网关服务器模块120或由安装在网络110内的防火墙或某一其它安全软件处置的网络策略。在一个实施例中，策略模块142可经配置以响应于网络请求而提供关于如何处置所传回的URL列表的系统向导，其中所传回URL中的至少一些URL是经分类的。举例来说，网关服务器模块120可经配置以编辑或识别被分类为“恶意”或“间谍软件”的所传回URL。在其它实施例中，策略模块142可用于确定如何处置尚未被分类的所传回URL。在一个实施例中，系统可经配置以阻止不在经分类URL数据库146中的所有所传回URL。策略模块142还可经配置以基于作出请求的用户或作出请求的时间而允许某些未经分类的URL。这允许系统避免在(例如)配置将不满足运行网关服务器模块120的组织的商业需求时具有一成不变的(one-size-fits-all)配置。

网关服务器模块120还可包含内容过滤模块149。内容过滤模块149可结合策略模块和经分类URL/内容数据库146而工作，以对响应于网络请求而传回的搜索结果的多个部分进行过滤。在一个实施例中，内容过滤模块149可经配置以从响应于发送到因特网搜索引擎113的用户查询而传回的URL列表中移除URL链接或其它内容。作为实例而非限制，内容过滤模块149可经配置以对传出的搜索引擎查询进行辨认。由搜索引擎113传回到客户端工作站116的页可被网关服务器模块120拦截并由内容过滤模块149分析。内容过滤模块149可经配置以分析传回的页，并识别所传回搜索结果中的URL链接和内嵌内容项目(例如，图像或活动内容)。

可将每一经识别URL链接或内容项目与URL/内容数据库146中的数据进行比较以确定URL链接是否已被分类。如果URL链接已被分类，那么咨询策略模块以获得关于如何处置内容的指令。举例来说，策略模块142可指令内容过滤模块149移除通往被分类为“恶意”或“间谍软件”的网页的URL链接。另外，内容过滤模块149还可经配置以基于所述内容在URL/内容数据库146中的存在和分类，从传回的搜索引擎结果中移除引起反对的内容。下文将结合图10到图17提供此过程的进一步细节。

网关服务器模块120可包含收集模块140。收集模块140可以是用于收集关于URL的数据的软件程序、例行程序或过程。在一个实施例中，当从网络请求模块136接收到对来自辛迪加式网站115的内容的因特网请求时，收集模块140可经配置以访问与辛迪加式网站115相关联的网站，并将数据下载到网关服务器模块120以供网关服务器模块120的组件分析。所下载数据还可经由因特网112发送以传递到数据库管理模块114(如下文将进一步详细论述)。

在一些实施例中，网关服务器模块120还可包含登录数据库144。登录数据库144可执行各种功能。举例来说，登录数据库144可存储网络110内某些类型的发生事件(occurrence)的记录。在一个实施例中，登录数据库144可经配置以记录其中未经分类URL被工作站116请求的每一事件。在一些实施例中，登录数据库144还可经配置以记录其中搜索引擎结果包含到达未经分类URL的URL链接的事件。在一些实施例中，登录数据库144还可经配置以记录特定未经分类URL响应于网络请求而传回的频率。此信息可用于确定未经分类URL是否应具有特定重要性或优先权，且应被数据库管理模块114分类在较早接收到的数据之前。在一些实施例中，未经分类URL可单独存储在未经分类URL数据库147中。

举例来说，可编写某一间谍软件以从特定URL请求数据。如果网络110内的许多工作站116感染了所述间谍软件，那么到达特定URL的重复的请求可提供网络内存在某一异常的指示。或者，如果特定URL链接被连续传回有从搜索引擎113请求的搜索结果，那么其可提供搜索引擎已经以某一方式受到威胁且所传回的结果可能包含有害数据的指示。登录数据库还可经配置以记录经分类URL数据的请求。在一些实施例中，对经分类URL的请求进行分类可有助于确定特定URL是否已被错误地表征。

现在参看图4，论述登录数据库144的实例。登录数据库144包含四列数据。第一列“请求次数”152指示已响应于网络110内的网络请求而传回特定URL的次数。第二列“URL”154记录正被记在登录数据库144中的特定URL串。因此，当URL被发送到登录数据库144时，可首先搜索数据库以确定URL串是否已在其中。如果不在，那么可将所述URL串添加到数据库。在一些实施例中，收集模块140可经配置以访问所请求的URL并搜集关于所述URL的数据。收集模块140可检索所请求的URL的页来源，并对其进行扫描以获得可指示内容类型的某些关键字。举例来说，如果页来源包含“javascript://”，那么页可被识别为具有JavaScript。虽然此内容本质上并不危险，但具有JavaScript的网页包含经设计以利用浏览器应用程序如何处置JavaScript函数调用的恶意内容的机会可能较大。在一些实施例中，此数据可存储在登录数据库144中在JavaScript列155中。登录数据库还可从包含活动-X内容的页接收类似信息，并将所述内容存储在活动X列156中。在其它实施例中，可针对java支程序、VBScript等检测并存储其它类型的内容。

再次参看图3，网关服务器模块120可进一步包含管理接口模块148或“管理模块”。管理模块148可用于允许网络管理员或组织内的其它技术人员配置网关服务器模块120的各种特征。在某些实施例中，管理模块148允许网络管理员或某一其它网络管理类型来配置策略模块142。

现在参看图5，提供URL接入策略数据库158的实例。URL接入策略数据库158可由策略模块142用来实施供网络110内的工作站116接入基于网络的内容的策略。在所展示的实施例中，URL接入策略数据库158包含具有四个列的表。第一列是用户列160。“用户”列160包含关于服从所述表的给定行中所界定的策略的用户的数据。下一列，“类别”162列举所述行所界定的策略所适用于的内容的类别。第三列，“始终阻止”164表示当所请求内容的用户和类别166与如所述特定行中所界定的用户和类别匹配时由系统实施的行为和策略。在一个实施例中，“始终阻止”字段可以是其中数据可被设置为真或假的布尔型字段。因此，在数据表中所示的第一行中，策略模块142经配置以“始终阻止”用户“asmith.”对“恶意内容”的请求。

如上文所述，策略模块还可经配置以实施基于不同时间的策略。在图5中所提供的实施例中，第四列“允许时间”166提供此功能性。第二行数据提供如何实施时间策略的实例。将用户160设置为“bnguyen”，且将类别162设置为“赌博”。所述策略不经配置以“始终阻止”针对“bnguyen”的赌博内容，如保持空白的字段所指示。然而，这些网络请求在此期间被允许的时间局限于下午6点到上午8点。因此，采用这些类型的策略允许网络管理员向工作站和用户提供某一程度的灵活性，但以网络业务在典型工作时间期间不受损害的方式进行此动作。

图6A是URL及其相关联类别的示范性表。图6B是未经分类URL的示范性表。在一个实施例中，经分类的URL可存储在例如图6A所示的表的两列式数据库表146中。在一个实施例中，所述表可包含URL列172，其可存储已被表征的URL串。类别列174可存储关于所述URL已如何由数据库模块114表征的数据(如下文将详细描述)。在一个实施例中，可将URL字段编入索引，使得其可被更快地实时搜索到。因为经分类URL的列表可达上百万个URL之多，所以快速接入例行程序是有益的。

现在参看图6B，提供未经分类URL 147的表(较早结合图3而描述)。此表可填充有来自工作站116的网络请求，其请求经分类URL表146中不存在的URL或URL列表。举例来说，可将被网络摘要阅读器识别为具有用户所请求的且未经分类的内容的网站添加到未经分类URL 147的表。另外，所述表还可包含在由搜索引擎113响应于搜索引擎请求而传回的页中所列举的未经分类的URL。如下文将更详细地描述，网关服务器模块120可经配置以查询经分类URL数据库146，以确定是否应阻止由搜索引擎113传回的页中所列举的URL或将其从页内容中移除。如果所述URL在经分类数据库146中，那么策略模块可确定是否从所传回网页中移除URL列表。然而，如果未在经分类URL数据库中发现所列举URL，那么可将所述URL添加到未经分类URL的列表176，使得所述URL可经由因特网112发送到数据库管理模块114，且稍后被分析并分类且下载到经分类URL的数据库146中。

图7是可包含在数据库管理模块114中的各种组件的说明。如上文所论述，数据库管理模块114可与网络110及其相关联工作站116远程定位(可经由因特网112接入)。数据库管理模块可采取例如服务器排等一个或许多不同硬件和软件组件的形式，所述服务器排同时运行数百个服务器以实现经改进的性能。

在一个实施例中，数据库管理模块114可包含上载/下载模块178。上载/下载模块178可以是允许数据库管理模块114将数据发送到任何数目的位置且从因特网112接收数据的软件或硬件组件，且可能或可能不以与网关服务器模块120上的上载/下载模块134大体类似的方式操作。在一个实施例中，上载/下载模块经配置以在因特网112上将新分类的URL发送到网关服务器模块120，以添加到其本地URL数据库146。

数据库管理模块114还可包含数据库管理模块URL/内容数据库180。数据库管理模块URL/内容数据库180可采取数据仓库(data warehouse)的形式，所述数据仓库存储URL串和关于已由下文将进一步详细描述的收集系统182收集的URL的信息。数据库管理模块URL/内容数据库180可以是被编入索引以提供对数据的快速且有效搜索的关系数据库。在某些实施例中，URL/内容数据库180可以是横跨许多物理硬件组件和存储媒体的数据仓储应用程序。URL/内容数据库180可包含例如URL串、与那些串相关联的内容、关于如何搜集内容(例如，由蜜罐客户端(honey client)，通过客户提交等)的信息以及(可能)URL被写入到URL/内容数据库180中的日期等数据。

数据库管理模块114可进一步包含训练系统184。训练系统184可以是用于界定可用于对基于网络的内容进行分类的特性和定义的软件/硬件模块。数据库管理模块114可进一步提供评分/分类系统186，其利用训练系统184所创建的定义和特性来提供对网络内容的评分或分类(例如，类别)，使得分类可经由上载/下载模块178传递到网关服务器模块120。

现在参看图8，提供收集系统182的更详细视图。收集系统182可包含耦合(直接或间接)到数据挖掘模块192的数据库管理收集模块190。数据库管理收集模块190可由数据库管理模块114用来为URL/内容数据库180收集关于尚未分类的URL的数据。数据库管理收集模块190还可用于收集URL以供其它系统组件进行额外分析。数据库管理收集模块190可与其可从中收集关于URL的数据的一个或一个以上收集来源194相关联。收集来源194可采取各种形式。在一些实施例中，收集来源194可包含主动和被动蜜罐以及蜜罐客户端，对存储在网关服务器模块120上用以识别应用程序的登录数据库144的数据分析、URL以及用于收集的协议。收集来源194还可为对因特网112进行搜索以获得页内容内的特定关键字或搜索短语的网络爬行应用程序。收集来源194还可包含URL和从DNS数据库挖掘到的IP地址数据，以识别与已知的恶意IP地址相关联的域。在一些实施例中，可通过从共享此信息的其它组织接收恶意代码和恶意URL样本来收集用于分类的URL。在另外其它实施例中，可经由经配置以充分地从公众接收提示的电子邮件模块，在很大程度上以通过罪犯举报热线识别罪犯的方式来收集URL。

现在参看图9，提供数据库管理收集模块190的更详细视图。数据库管理收集模块190可包含允许其有效地利用上文所描述的收集来源194中的每一者的各种子组件。数据库管理收集模块190可包含搜索短语数据模块197和表达数据模块198。搜索短语数据模块197收集并提供可与识别不适当内容有关的搜索短语。表达数据模块198可包含例如规则表达、运算数或某一其它表达等各种类型的表达。搜索短语数据模块197和表达数据模块198每一者可包含可用于界定用于网络爬行收集来源194的搜索参数的可更新记录集。数据库管理收集模块190还可包含优先权模块200。优先权模块200可采取在收集系统182内运行的软件过程的形式，或优先权模块200可作为单独过程来运行。优先权模块可用于确定数据库管理收集模块所收集的数据的优先级，以便使潜在较危险或可疑的URL(或数据)在可能无害的URL之前接受严格检查。在一个实施例中，优先权模块200可基于从其接收到URL的收集来源194而指派优先权。举例来说，如果URL是从客户报告接收到的，那么所述URL可被指定有较高优先权。类似地，如果从接入已知过去拥有恶意内容的域或IP地址或子网络的网络爬虫接收到URL，那么所述URL可接收高优先权。类似地，蜜罐客户端(下文进一步详细论述)所识别的潜在危险网站也可接收高优先权。数据库管理收集模块190还可包含数据选择模块202，其可与优先权模块200合作以确定被识别的URL是否应被标记为供分类的侯选URL。在一个实施例中，数据选择URL可提供用户接口，其用于接收搜索参数以通过基于优先权和内容搜索数据来进一步改善经确定优先级的数据。

如上文所指示，收集模块还可包含数据下载模块204。数据下载模块204可经配置以识别要访问的URL，并从所访问的URL下载数据和内容。数据下载模块204可结合数据库管理收集模块190中的各种子系统而工作，以为URL/内容数据库180检索数据。一种此子系统是网络爬虫模块206。网络爬虫模块206可以是经配置以通过接入网页并遵循那些页中所包含的超链接来接入因特网112上的网站的软件应用程序。网络爬虫模块206可配置有若干同时发生的过程，其允许所述模块同时爬行许多网站，并将所访问的URL报告回数据库管理模块URL/内容数据库180，如下文将进一步详细论述。数据库管理收集模块190还可包含蜜罐客户端模块208。蜜罐客户端模块208是经配置以便以对所访问页内所存储的恶意代码具有吸引力的方式模仿网络浏览器访问网站的行为的软件过程。蜜罐客户端模块208可访问网站并跟踪网站的行为，且将内容下载回URL/内容数据库180以供进一步分析。

数据库管理收集模块190还可包含第三方供应者模块212，其经配置以从第三方接收URL和相关联内容。举例来说，第三方模块212可经配置以提供可由一般公众接入的网站。所述模块可经配置以接收输入的URL串，其接着可被输入到URL/内容数据库180中。在一些实施例中，第三方模块还可经配置以接收来自私有或公共邮寄列表的电子邮件，并识别电子邮件内所嵌的任何URL数据以存储在URL/内容数据库180中。

数据库管理收集模块190还可包含网关服务器接入模块210。网关服务器接入模块是可经配置以有规律地接入网关服务器模块120上的登录数据库144以下载/上载登录数据库144所识别的所有新近未经分类的网络内容的软件组件或程序。

返回参看图8，收集系统182还可包含数据挖掘模块192。数据挖掘模块192可用于获得关于存储在数据库管理模块的URL/内容数据库180中的URL的额外数据。在许多情况下，由收集来源194供应到数据库管理收集模块190和URL/内容数据库180的信息仅限于URL串。因此，为了使系统有效地对所述URL内的内容进行分类，更多数据可能是必需的。举例来说，可能需要检查实际页内容，以便确定URL内是否嵌有危险内容。数据挖掘模块192用于收集关于URL的此额外必要数据，且将在下文进一步详细论述。

如先前所论述，本发明的某些实施例提供使用内容过滤模块149从响应于用户请求而传回到客户端工作站116的页移除不想要的内容。在一个特定实施例中，搜索引擎结果可被网关服务器模块120拦截，并被过滤以在呈现给用户之前从传回的页移除例如指向具有引起反对的内容的网页的URL链接等非所要内容。图10到图12提供网关服务器模块的各种组件可如何经配置以拦截、过滤和/或修改搜索引擎查询结果中所传回的引起反对的内容的说明。

现在参看图10，提供针对搜索引擎113的条目表(entry form)220的实例。条目表220包含用户可将搜索参数223输入到其中的文本框222。在所提供的实例中，搜索参数包含文字“免费屏幕保护程序”。搜索条目表220还可包含搜索类型选择224。在所提供的实例中，搜索类型选择224包含例如网络、图像、视频、新闻、地图等各种用户可选选项。如图10所示，选择针对“网络”的选项，其指示搜索将寻找网页以传回给用户。条目表220还可包含提交元素226。提交元素226允许用户将其搜索提交给搜索引擎113。

当用户将搜索请求提交给搜索引擎113时，搜索引擎113通常搜索其数据库和索引，以确定与所提交的搜索有关的网页或其它项目。结果以网页形式传回给用户，所述网页显示关于允许用户接入所识别页的相关页和URL链接的数据。如上文结合图3所述，网关服务器模块120可经配置以拦截传回的搜索引擎结果并分析其内容。

图11A和图11B提供网关服务器模块120对由搜索引擎113响应于图10所示的搜索而传回的页所执行的分析的实例。在许多实施例中，此信息将对用户隐藏，且分析的结果很大程度上将是透明的。然而，在其它实施例中，可将分析的结果呈现给用户，使得所述结果具有搜索结果何时已从其查询移除的指示。在其它实施例中，此信息可以报告形式呈现给网络管理者。报告中所呈现的数据可用于分析网关服务器模块120如何处置某些类型的搜索，并有助于确定如何以防止策略模块142阻止或移除并非引起反对的内容的方式来配置策略模块142。

参看图11A，图表230提供所传回搜索结果的类别分解的实例。图表230包含标头区域232。标头区域232可包含与传回到客户端计算机16的被网关服务器模块120拦截的数据有关的信息。在所提供的实例中，标头232包含描述被拦截页的URL的信息。标头232还包含由网关服务器模块120分析的URL的数目和分析所花费的时间的列表。在被拦截数据包含搜索引擎结果的实施例中，标头232中的信息还可包含提交给搜索引擎113的搜索串。

图表230还可包含包括关于被网关服务器模块120拦截的特定URL的信息的一个或一个以上列。在图11A中所提供的实例中，被拦截内容的分解包含被拦截URL的类别的频率的列表。第一列234包含类别的描述。第二列236包含在被拦截内容中发现的在所述类别中的链接的数目。第三列238可包含链接在每一类别中的份额(percentageshare)。

现在参看图11B，链接分析图表250提供关于被网关服务器模块120拦截且由内容过滤模块149分析的URL链接中的每一者的更详细信息。链接分析图表250可包含列举关于每一被拦截项目的信息的若干列。第一列252可包含例如针对URL链接的“a，href”、针对内嵌图像文件的“img src”等项目类型。图表250还可包含第二列254，其中列举每一经分析的URL。图表250可进一步包含第三列256，其指定相对于例如“观察”、“允许”或“阻止”等每一数据项目而采取的动作。链接分析图表还可包含针对每一项目的第四列258，其列举链接中的URL的类别；以及第五列260，其可包含代表第四列258中的类别的数字代码。

图12A和图12B分别是未经过滤和经过滤搜索引擎结果的屏幕截图。图12A是图11B中所列举的URL将如何向请求与搜索短语“免费屏幕保护程序”相关联的网站的用户呈现的说明。未经修改的搜索结果页270包含图11B所展示的所有内容，没有任何内容被阻止或从所述页中移除。未经修改的页270包含通往被搜索引擎113识别为与搜索请求有关的网页的URL链接272。未经修改的页270还包含内嵌在页中的图像274。图像274可包含由搜索引擎113本身存储的数据，图像274其可包含内嵌在来自另一网站的页内容中的图像文件。

图12B是图11B中所列举的URL在由图1的系统过滤之后将如何向请求与搜索短语“免费屏幕保护程序”相关联的网站的用户呈现的说明。图12B说明经修改的搜索结果页276。在所展示的实施例中，网关服务器模块120已拦截图12A中所描述的未经修改的搜索结果页270，且已在搜索引擎结果内识别了引起反对的内容(或通往引起反对的内容的URL链接)。如图12B所示，经修改的页276包含从搜索引擎113传回的若干未经修改的URL链接272。如上文所述，内容过滤模块149和网关服务器模块120不基于这些链接在URL/内容数据库146中的分类以及通过策略模块142界定并实施的策略来修改这些链接。

经修改的页276还包含已由网关服务器模块120移除或未被网关服务器模块120显示的额外URL链接。在所展示的实施例中，URL链接的内容已被内容阻止通知278代替，所述内容阻止通知278向用户提供页内容已被修改以移除引起反对的内容的通知。在一些实施例中，通知278可包含指示为何移除所述内容的原因的文本。举例来说，通知可指示URL链接将接入URL/内容数据库146中被分类为成人内容的页，且策略模块142已经配置以阻止此内容。在其它实施例中，经修改的页276可不提供内容已被修改的指示。在此实施例中，可以对用户透明的方式移除链接及其相关联数据，此替代实施方案将在下文相对于图14和图15进一步加以详细论述。

如先前所论述，可从响应于网络请求而发送的数据中过滤各种类型的引起反对的内容。在本发明的又一方面中，可在呈现给发出请求的用户之前，从网页移除内嵌的多媒体数据。图13到图15说明其中网关服务器模块120的各种组件基于策略模块142中所界定的策略以及URL/内容数据库146中图像的分类而阻止图像数据的一个实施例。

图13是对与搜索短语“免费屏幕保护程序”相关联的图像文件的搜索引擎请求的示范性计算机屏幕截图。图13中也使用来自图10的搜索条目表220。与图10中搜索类型选择224被设置为“网络”的实例不同，在图13所示的实施例中，搜索类型选择224被设置为“图像”。图像的选择由黑体字文本且由表提交按钮226中指示所述搜索将搜索图像的文本来指示。在将搜索参数223键入到文本框222中，并通过致动搜索按钮226将搜索提交给搜索引擎113之后，搜索引擎113执行搜索操作并将结果传回给用户。与结合图10到图12而描述的先前搜索不同，从此搜索传回的结果呈与简单的文本串不同的图像数据的形式。在所传回的页到达客户端工作站116之前，网关服务器模块120拦截所传回的结果。

图14是搜索引擎113响应于图13中所概括的搜索参数而传回的图像文件的部分列表，其中图1的系统通过阻止对图像文件的视觉接入来识别恶意图像文件。图15是搜索引擎113响应于图13中所概括的搜索参数而传回的图像文件的部分列表，其中图1的系统不向用户显示引起反对的图像文件。图14和图15提供内容过滤模块149可如何修改所传回的图像数据的两个实例。在上述两种情况下，根据如策略模块142所界定的策略以及所传回图像内容的类别来修改页。

现在参看图14，由内容过滤模块149执行的对图像搜索页280的修改对用户是可见的，且被展示为被禁数据块。页280包含由搜索引擎113传回且未被网关服务器模块120阻挡的被允许图像282，且还包含被阻止图像284的通知。在所说明的实施例中，被阻止图像284由显示元素代替，从而通知用户图像已被阻止。

如上文所论述，在一些实施例中，网关服务器模块120可在不通知用户的情况下拦截传入的网络内容并移除引起反对的内容。图15是搜索引擎113响应于图13中所概括的搜索参数而传回的图像文件的部分列表，其中图1的系统不向用户显示引起反对的图像文件。与图14所示的其中在经修改页280中识别被阻止内容的实施例不同，在此实施例中，被阻止图像284由网关服务器模块120在不通知用户的情况下从页移除。因此，由网关服务器模块120传递到客户端计算机116的页已被修改以移除客户端计算机116的用户不知道的引起反对的内容。在先前所描述的实施例中，被拦截的内容是来自搜索引擎请求的所传回结果。然而，如所属领域的技术人员将容易了解，在其它实施例中，网关服务器模块120的功能性可应用于许多不同内容类型。在一个此类替代实施例中，网关服务器模块120可经配置以拦截响应于存储在客户端工作站116上的网络摘要软件的请求而发送的网络摘要内容。

通常，网络摘要内容将采取XML文件的形式。如先前所论述，客户端计算机116可包含用于接入辛迪加式网络内容的软件。图16提供网络摘要软件所请求的内容可如何由网关服务器模块120过滤的说明。图16A是由搜索引擎传回的对网络摘要内容的搜索的结果的示范性屏幕截图，且包含网络摘要界面300中文件夹标记的未读新闻的内容的部分列表。网络摘要界面300可包含导航区域302、项目列表区域304和预览区域306。导航区域302允许用户导航到已下载到网络摘要阅读器软件中的内容。项目区域304可包含包括到达内容的URL链接的项目的列表。所述列表中的每一项目可包含提供链接到所述项目的内容的概述的标题。预览区域306允许用户预览在与每一内容项目相关联的URL链接处发现的内容。

图16B是来自图16A的结果的示范性屏幕截图，其中图1的系统通过在网络摘要阅读界面300中的文件上方放置逻辑框来识别引起反对的网络摘要内容文件。如上文所述，列表区域304中的每一项目包含到达网络内容的URL链接。当网络摘要阅读器请求来自(例如)辛迪加式网站115等网络摘要的内容时，网络摘要将所请求的内容发送到网络摘要阅读器软件。虽然所请求的内容转运到客户端计算机116，但网关服务器模块120可拦截所述内容，并将其与存储在URL/内容数据库146中的数据进行比较。基于策略模块142和内容过滤模块149的配置，可通过修改从内容提供者发送的XML页来从网络摘要移除所述内容。在图16B所示的实例中，已从列表区域304移除内容项目中的一者。代替被移除的内容项目的是已从网络摘要移除所述内容项目的通知308。

图17是描述监视响应于来自(例如)因特网搜索引擎113或网络摘要的网络请求而发送到工作站116的数据的过程的流程图。所述过程在框1700处开始，其中网关模块识别传出的网络请求。如先前所述，传出的网络请求通常可在工作站116处发起，且可以是搜索请求、网络摘要请求或某一其它类型的请求。当数据响应于网络请求而发送回到工作站116时，在框1702处，网关服务器模块120拦截所传回的数据。所述过程接着移动到框1704，其中将被拦截数据与存储在数据库(例如，经分类URL/内容数据库146)中的数据进行比较。接下来，所述过程移动到决策框1706，其中确定被拦截数据中的一些或所有数据是否在数据库146中表示。如果未在数据库146中发现被拦截数据，那么在框1716处将数据发送到收集模块。收集模块可以是作为网关服务器模块120的一部分的收集模块140，或者其可以是作为数据库管理模块114的一部分的收集模块190。接着，在框1718处，收集模块处理数据，且接着将所述数据发送到评分/分类系统186，在所述评分/分类系统186处，可根据所述数据的内容对所述数据进行分类。

如果在数据库146中发现被拦截数据，那么所述过程移动到决策框1708，其中系统接着确定被拦截数据是否已在数据库146中被分类。如果被拦截数据尚未分类，那么过程移动到框1718，其中将数据发送到评分/分类系统186以进行分类。在将数据发送到分类系统186之后，所述过程接着移动到框1720，其中将未经分类内容策略应用于被拦截数据。接下来，所述过程移动到框1720，其中基于未经分类内容策略，根据所述策略来修改(或可能不修改)内容。

现在返回到框1708，如果被拦截数据已经被分类，那么过程接着移动到框1710，其中策略模块142基于被拦截数据的类别来确定是修改还是阻止被拦截内容。接下来，在框1712处，将数据传送到内容过滤模块149，所述内容过滤模块149通过移除或阻止如根据策略模块142中所界定的策略而识别的引起反对的内容来修改所述内容。一旦内容过滤模块148已完成其对被拦截页的修改，接着就在框1714处将经修改的页发送到发起工作站116。

所属领域的技术人员将理解，可在不脱离本发明的精神的情况下作出许多以及各种修改。因此，应清楚地理解，本发明的形式只是说明性的，且无意限制本发明的范围。

Claims

1.一种监视从被请求装置发送到请求装置的数据的方法，所述方法包括：

识别来自所述请求装置的传出请求；

响应于所述传出请求而拦截从所述被请求装置发送的内容；

将所述内容的至少一部分与数据库进行比较；

通过至少部分地基于所述内容在所述数据库中的分类和存在而移除所述内容中的至少一些内容来修改所述内容；以及

将所述经修改的内容发送到所述请求装置。

2.根据权利要求1所述的方法，其进一步包括在所述被拦截内容尚未在所述数据库中的情况下，将所述被拦截内容发送到收集模块。

3.根据权利要求2所述的方法，其进一步包括收集与尚未在所述数据库中的所述被拦截内容有关的数据。

4.根据权利要求3所述的方法，其进一步包括基于所述所收集的数据来确定不在所述数据库中的一个或一个以上URL链接的侯选状态。

5.根据权利要求4所述的方法，其进一步包括：

向策略模块请求指令；以及

从所述策略模块接收指令，其中修改所述内容是至少部分地基于所述所接收的指令。

6.根据权利要求1所述的方法，其中所述被请求装置是搜索引擎。

7.根据权利要求6所述的方法，其中所述传出请求是搜索引擎查询。

8.根据权利要求7所述的方法，其中所述内容表示包含URL链接的网页。

9.根据权利要求8所述的方法，其中所述搜索引擎将所述URL链接识别为与所述搜索引擎查询有关。

10.根据权利要求1所述的方法，其中所述被请求装置是经配置以分配网络摘要的服务器。

11.根据权利要求10所述的方法，其中所述传出请求是聚合器程序请求。

12.根据权利要求11所述的方法，其中所述内容是网络摘要。

13.根据权利要求12所述的方法，其中所述网络摘要包括由所述聚合器程序聚合的URL链接。

14.根据权利要求13所述的方法，其中当修改所述内容时，从所述内容中移除被分类为潜在有害内容的URL链接。

15.一种用于响应于第二装置对来自第一装置的数据的请求而监视从所述第一装置发送到所述第二装置的内容的系统，所述系统包括：

网关服务器模块，其经配置以拦截从所述第一装置发送到所述第二装置的所述内容，并至少部分地基于所述被拦截内容与经分类URL/内容数据库中的数据的比较来确定所述内容的类别；

策略模块，其包含用于基于所述内容的所述类别来修改内容的指令；以及

内容过滤模块，其经配置以至少部分地基于所述指令来修改所述内容中的至少一些内容。

16.根据权利要求15所述的系统，其中所述网关服务器模块进一步经配置以在所述被拦截内容尚未在所述经分类URL/内容数据库中的情况下将所述被拦截内容发送到收集模块。

17.根据权利要求16所述的系统，其进一步包括收集模块，所述收集模块经配置以在所述被拦截内容尚未在所述URL/内容数据库中的情况下收集与所述被拦截内容有关的数据。

18.根据权利要求17所述的系统，其进一步包括分类模块，所述分类模块经配置以从所述收集模块接收所述被拦截内容，且进一步经配置以确定所述被拦截内容的分类。

19.根据权利要求15所述的系统，其中所述第一装置是搜索引擎，且所述第二装置是客户端工作站。

20.根据权利要求19所述的系统，其中所述请求是搜索引擎查询。

21.根据权利要求20所述的系统，其中从所述搜索引擎发送到所述客户端工作站的所述内容包括包含URL链接的搜索结果。

22.根据权利要求21所述的系统，其中所述URL链接由所述搜索引擎识别为与所述搜索引擎查询有关。

23.根据权利要求15所述的方法，其中所述第一装置是经配置以分配网络摘要的服务器。

24.根据权利要求23所述的方法，其中所述第二装置包含网络摘要读取软件。

25.根据权利要求24所述的方法，其中所述内容是网络摘要。

26.根据权利要求25所述的方法，其中所述网络摘要包括到达由所述网络摘要读取软件聚合的内容的URL链接。

27.根据权利要求26所述的方法，其中被分类为引起反对的内容的URL链接由所述过滤模块从所述内容中移除。

28.一种控制对向因特网请求以供在工作站处显示的数据的接入的方法，所述方法包括：

发送对信息的网络请求；

响应于所述网络请求在网关服务器模块处接收多个URL；

将所述多个URL与经分类URL的数据库进行比较；

至少部分地基于所述比较来修改所述多个URL中的至少一者；以及

将所述经修改的多个URL转发到所述工作站。

29.一种用于监视从被请求装置发送到请求装置的数据的系统，所述系统包括：

用于识别从所述请求装置到所述被请求装置的传出请求的构件；

用于响应于所述传出请求而拦截从所述被请求装置发送的内容的构件；

用于将所述内容的至少一部分与数据库中的数据进行比较的构件；

用于通过至少部分地基于所述内容在所述数据库中的分类和存在而移除所述内容中的至少一些内容来修改所述内容的构件；以及

用于将所述经修改内容发送到所述请求装置的构件。