WO2010111930A1

WO2010111930A1 - 一种过滤方法、系统及网络设备

Info

Publication number: WO2010111930A1
Application number: PCT/CN2010/071361
Authority: WO
Inventors: 宿宝伍
Original assignee: Huawei Technologies Co Ltd
Current assignee: Huawei Technologies Co Ltd
Priority date: 2009-03-30
Filing date: 2010-03-26
Publication date: 2010-10-07
Anticipated expiration: 2011-09-30
Also published as: JP2012522295A; EP2408166B1; JP5325335B2; EP2408166A4; CN101854335A; CA2757339A1; EP2408166A1; US20120023588A1; CA2757339C

Description

一种过滤方法、系统及网络设备本申请要求于 2009 年 3 月 30 日提交中国专利局、申请号为 200910106362.8、发明名称为"一种过滤的方法、系统及网络设备" 的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本发明涉及通信领域的网络安全技术，尤其涉及一种过滤方法、系统及网络设备。

背景技术

随着通信技术的快速发展，对于智能手机、网际互联协议 IP ( Internet Protocol ) 电话机、个人电脑等用户终端，其应用的操作系统也日益趋于标准化，同时相应的操作系统还具有开放性、通用性等特点。同时，很多用户终端还提供了蓝牙、红外、彩信、通用分组无线业务 GPRS ( General Packet Radio Service )上网、网上冲浪、无线上网等功能。

相应的用户终端也为病毒、木马等恶意软件提供了开放的运行接口，并使得用户终端越来越容易受到各种病毒等恶意软件的攻击，同时病毒还可以通过用户终端进行广泛地传播，从而令通信系统的性能受到影响。

目前，主要是通过在用户终端上安装防病毒软件，在用户进行网页浏览、下载文件，运行文件时，进行查杀病毒。同时，当病毒通过用户终端传播或攻击用户终端时，防病毒软件可以监测到相应的病毒程序，从而阻止病毒的传播或攻击。

在实现本发明过程中，发明人发现现有技术中至少存在如下问题： ( 1 )如智能手机、 IP电话机、个人电脑等用户终端，由于硬件处理能力限制，杀毒软件的安装将会消耗大量的内存空间和 CPU资源，例如在个人电脑上安装的卡巴斯基防病毒软件为例，安装时需要占用大量的内存空间，有时 CPU占用率达到 80%以上，严重影响 CPU的正常工作。

( 2 )采用这种方式还存在容易被恶意软件绕过的风险，目前很多的恶意程序的木马都能够识别用户终端安装的防病毒软件，并能够关闭其防病毒软件或者绕过其防病毒软件的检测，使得用户终端无法识别该病毒，从而无法有效阻止病毒的传播或攻击。

发明内容

本发明实施例的一个目的在于提供一种过滤方法、系统及网络设备，使其有效阻止病毒、蠕虫、木马等恶意软件的传播和攻击，从而降低病毒等恶意软件对用户造成的威胁，提高网络安全性。

为实现上述目的，本发明实施例提供如下的技术方案：

一种过滤方法，应用于网络侧设备，所述方法包括：截取用户终端发送给互联网的请求报文;从所述请求报文中提取统一资源定位符 URL信息；根据所述 URL信息，确定所述 URL信息对应的安全等级；根据所述安全等级，对所述请求报文进行处理。

一种过滤系统，应用于网络侧设备，所述系统包括：

截取单元，用于截取用户终端发送给互联网的请求报文；

提取单元，用于从所述请求报文中提取统一资源定位符 URL信息，并将所述 URL信息发送给确定单元处理；

确定单元，用于根据所述 URL信息，确定所述 URL信息对应的安全等级；

处理单元，用于根据所述确定单元确定的安全等级，对所述请求报文进行处理。

一种网络设备，所述网络设备包括：接收单元，用于接收含有统一资源定位符 URL信息；

处理单元，用于根据所述安全等级，对所述请求报文进行处理。

由上述本发明的实施例提供的具体实施方案可以看出，通过截取用户终端发送给互联网的请求报文，并从所述请求报文中提取统一资源定位符 URL信息；根据所述 URL信息，确定所述 URL信息对应的安全等级；根据所述安全等级，对所述请求文进行处理，解决了在用户终端上安装防病毒软件占用内存空间和 CPU资源的问题，以及存在容易被恶意软件绕过的风险的问题，从而有效阻止病毒等恶意软件的传播或攻击， P争低了病毒对用户终端造成的威胁，提高了网络安全性和用户的体验程度。附图说明

图 1为本发明实施例中提供的一种过滤的方法流程图；

图 2为本发明实施例中提供的一种过滤的方法的具体实现方式流程图；图 3为本发明实施例中提供的一种过滤系统的结构示意图；

图 4为本发明实施例中提供的一种过滤系统的具体实现结构示意图；图 5为本发明实施例中提供的一种网络设备的结构示意图。具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明的实施例作进一步地详细描述。

应当明确，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。如图 1 所示，是本发明实施例中提供的一种过滤方法的流程图，所述方法应用于网络侧设备，包括：

步骤 S100、截取用户终端发送给互联网服务器的请求报文。

步骤 S101、从所述请求报文中提取统一资源定位符 URL ( Uniform

Resource Locator, URL )信息。

其中，网络侧的网络设备可以通过深度报文检测 DPI ( Deep Packet

Inspection, DPI ) 方式或其他方式从所述请求报文中提取统一资源定位符

URL信息；所述网络设备可以为业务路由器 SR ( Service Router, SR ) 、宽带远程接入服务器 BRAS ( Broadband Remote Access Server, BRAS ) 、

GPRS网关 GGSN ( Gateway GPRS Support Node, GGSN )等设备的任意一种几种的任意组合。

步骤 S102、根据所述 URL信息，确定所述 URL信息对应的安全等级。这里与该网络设备相连的本地服务功能实体或存储设备或云端安全服务器都存储有 URL库，且该 URL库中的每个 URL信息具有与该 URL信息对应的安全等级标识。

其中，所述确定所述 URL信息对应的安全等级具体包括：

从网络设备本地缓存的 URL库中进行查找，并确定所述 URL信息对应的安全等级；

或者，接收本地服务功能实体确定并返回的与所述 URL信息对应的安全等级；其中所述 URL信息的安全等级为本地服务功能实体在本地服务功能实体本地缓存的 URL库中查找并确定所述 URL信息的安全等级后返回的安全等级；

或者接收云端安全服务器确定并返回的与所述 URL信息对应的安全等级。

这里上面描述的获取安全等级为：从网络设备自身缓存的 URL库，或者与网路设备相连的本地服务功能实体缓存的 URL库，或者从云端安全服务器中任意一个设备上获取安全等级；也可以适用于下面的情况：当从网络设备本地缓存的 URL库中进行查找，无法确定所述 URL信息对应的安全等级时，或者本地服务功能实体在本地缓存的 URL库中查找，无法确定所述 URL信息对应的安全等级时，将所述 URL信息发送给云端安全服务器进行处理，即在云端安全服务器的 URL库中查找。

步骤 S104、根据所述安全等级，对所述请求报文进行处理。

所述安全等级信息包括：安全、危险、可疑和未知一种或几种的任意组合。

根据所述安全等级，对所述请求报文进行处理具体包括下列一种或几种情况的任意组合：

当所述安全等级信息为安全时，发送所述用户终端的请求报文给互联网 Internet;

当所述安全等级信息为危险时，丢弃所述请求报文，并返回携带告警信息的报文给用户终端，以禁止用户终端发送所述请求报文；

当所述安全等级信息为可疑时，返回提醒信息给用户终端，以提示用户终端所述请求的信息可疑；

当所述安全等级信息为未知时，将所述 URL信息发送给其他网络设备进行安全等级确定，通过返回的安全等级进行处理。

其中，所述 URL库通过云端安全务器定时刷新，其中所述云端安全服务器，又称为 "云端安全服务器集群"，或者"云安全端"等，主要用来对网络信息资源（例如：网页）根据木马、恶意程序等特征进行安全等级评估的设备。

由上述本发明的实施例提供的具体实施方案可以看出，通过截取用户终端发送给互联网服务器的请求报文，并从所述请求报文中提取统一资源定位符 URL信息；根据所述 URL信息，查找 URL库，确定所述 URL信息对应的安全等级；根据所述安全等级，对所述请求报文进行处理，解决了在用户终端上安装防病毒软件占用内存空间和 CPU资源的问题，以及存在容易被恶意软件绕过的风险的问题，从而有效阻止病毒等恶意软件的传播和攻击， P争低了恶意软件对用户终端造成的威胁，提高了网络安全性和用户的体验程度。

请参见图 2，图 2为本发明实施例中提供的一种过滤的方法的具体实现方式流程图。该过滤方法可用于各种网络设备，此处仅以网关设备为例来说明该过滤方法的实现过程。

步骤 S200、用户终端发送请求报文给互联网服务器，请求访问互联网服务器上的信息资源。

其中所述请求报文可以为目的端口为 80的 http get报文，但不局限于该请求 4艮文。

步骤 S202、网关设备截取所述请求报文。

步骤 S203、网关设备从所述请求报文中提取统一资源定位符 URL信其中，所述网关设备可以为网络侧路由设备，但不限于所述路由设备。所述路由设备可以为业务路由器 SR、宽带远程接入服务器 BRAS、 GPRS 网关 GGSN等网络设备的任意一种或几种的任意组合，下面以路由器为例对所述方法进行描述。

所述路由器可以通过深度报文检测 DPI方式或其他方式从所述请求艮文中提取统一资源定位符 URL信息；这里获取所述 URL信息可以由路由器中的接口线路板 LPU ( Line Processing Unit, LPU )来完成。

步骤 S204、网关设备根据所述 URL信息，网关设备从本地缓存的 URL 库中进行查找，并判断是否有 URL信息对应的安全等级。若有，则执行步骤 S206; 否则执行步骤 S208, 或者，执行完步骤 S208和步骤 S212后，再执行步骤 S206。

这里与该网关设备相连的本地服务功能实体或云端安全服务器都存储有 URL库，且该 URL库中的每个 URL信息具有与 URL信息对应的安全等级标识。

其中，所述网关设备自身存储的 URL库或者本地服务功能实体存储的 URL库通过云端安全服务器定时刷新。因为 URL库中的安全等级信息是在变化的，所以需要有刷新机制，所述网关设备自身存储的 URL库或者本地服务功能实体存储的 URL库每隔一定时间需要刷新一次，时间间隔可以是 30s刷新一次，也可以根据实际情况进行相应的调整；其中所述云端安全服务器可以为一个或多个云端安全服务器组成的云端安全服务器群。所述 URL库存储的为 URL信息以及与 URL信息对应的安全等级，这种对应关系也称为 URL列表，即该 URL库中存储了 URL列表，通过 URL列表中的 URL信息可以查找到对应的安全等级，且所述 URL列表通过老化机制进行定时更新。所述网关设备自身存储的 URL库或者本地服务功能实体存储的 URL库不停缓存 URL列表中的信息，会导致本地缓存的 URL列表中的信息逐渐增多，而有些可能是很少用到的，这就需要老化机制，在一定时间间隔没有匹配过的 URL列表中的信息就可以老化掉（老化时间可以是 30分钟，也可以根据实际情况进行相应的调整），这样就可以节约路由器的资源，同时也提高了匹配的效率。

上述执行的步骤 S204可以通过路由器的多业务处理板 MSU ( MSU ) 完成。所述路由器的接口线路板 LPU将含有所述 URL信息的请求报文通过 ACL (访问控制列表， Access Control List, ACL ) 方式重定向到多业务处理板 MSU去处理；其中，所述 MSU可以根据需要将所述 URL信息通过专用接口发送到本地服务功能实体或者云端安全服务器上处理。

步骤 S206、根据查找结果，确定所述 URL信息对应的安全等级并发给所述网关设备。

步骤 S208、从本地服务功能实体缓存的 URL库中进行查找；若查找到，则执行步骤 S206; 否则，执行步骤 S212。若从网关设备本地缓存的 URL库（即自身缓存的 URL库）中的 URL 列表中未查找到 URL信息对应的安全等级（即无法确定所述 URL信息对应的安全等级），则执行步骤 S208; 也可以是由网关设备直接发送 URL信息给所述本地服务功能实体，使得本地功能服务实体根据所述 URL信息，确定并返回所述安全等级给路由器。

步骤 S212、所述云端安全服务器从其本地缓存的 URL库中的 URL列表中查找；若查找到则执行步骤 S206; 否则结束本流程。

若从本地服务功能实体缓存的 URL库中的 URL列表中未查找到 URL 信息对应的安全等级（即无法确定所述 URL信息对应的安全等级），则执行步骤 S212;也可以是由网关设备直接发送 URL信息给所述云端安全服务器，使得云端安全服务器根据所述 URL信息，确定并返回所述安全等级给网关设备；这里所述云端安全服务器可以为一个，也可以为多个云端安全服务器组成的云端安全服务器群。

上述的步骤 S204至 S214中，所述根据 URL信息查找 URL库的步骤可以是先在网关设备自身缓存的 URL库中进行查找，查找不到与所述 URL 信息对应的安全等级后，再去查找本地服务功能实体中缓存的 URL; 也可以是直接在本地服务功能实体缓存的 URL库中进行查找；或者，是直接在云端安全服务器库中存储的 URL库中进行查找然后返回安全等级信息给网关设备。

所述网关设备与云端安全服务器之间的连接可以采用较高带宽和低时延的链路进行传输优化。

步骤 S214、根据所述安全等级，对所述请求报文进行处理。

所述安全等级信息包括：安全、危险、可疑和未知中的一种或几种的任意组合。其中所述安全等级包括：安全评估等级，和 /或内容评估等级；其中安全评估等级可以根据客户的要求定义的风险控制等级进行划分，例如根据客户的要求，配置高、中、低等安全评估等级，在配置以后可以根据配置的情况进行过滤。所述内容评估等级可以根据网页含有的内容进行了分类，例如划分为：成人内容、性教育、酒精 /烟草类内容、赌博、暴力 /种族歧视、枪支贩卖、娱乐、宗教、毒品、违禁药品、游戏、教育、社交类、育儿类、广告类等。可以通过任意其中一种的形式，或者任意几种以组合的形式将所述安全评估等级和内容评估等级进行组合，最终获得并归纳为安全等级信息，比如归纳成安全、危险、可疑和未知四种安全等级信息，当然也可以只有其中一种或几种安全等级信息。

当所述安全等级信息为安全时，发送所述用户终端的请求报文给互联网 Internet服务器；用户终端会收到 Internet服务器的应答报文。

当所述安全等级信息为危险时，丢弃所述请求报文，并返回告警信息的报文给用户终端，以禁止用户终端发送所述请求报文；例如，所述"危险" 可以为请求的 URL指向的网页含有恶意软件或含有病毒，则将所述请求报文直接丢弃，并反馈一个"本网含有病毒等恶意代码，禁止访问"的页面或者信息给用户终端，使得用户终端根据提醒放弃请求。

当所述安全等级信息为可疑时，返回提醒信息给用户终端，以提示用户终端所述请求的信息可疑，建议用户终端不进行访问；若用户终端根据提示信息，坚持要访问，则路由器将所述请求报文继续转发给 Internet, 但是此时存在一定安全隐患；若用户终端根据提示信息，确认不继续访问，则路由器直接丢弃该请求报文，也可以根据用户的配置情况选择直接丢弃该请求 4艮文。

当所述安全等级信息为未知时，有两种方式可以供用户终端选择：其一为将所述 URL信息发送给云端安全服务器群并等待其进行安全等级确定，通过返回的安全等级进行处理；其二为先将所述用户终端的请求报文发送给 Internet，再进行侦测和处理。

所述网络侧路由器等网关设备能够提供虚拟化的服务，即可以由不同的用户终端定制自己的过滤策略，也可以是路由器定时给客户提供过滤报表信息，供用户参考，路由器根据用户定义的策略进行过滤，满足客户的差异性需求。

由上述本发明的实施例提供的具体实施方案可以看出，可以采用在网关设备例如路由器与云端安全服务器群进行 URL信息交互传输；也可以使用本地缓存的方式，或者在本地服务功能实体上进行交互传输，来增强用户体验和提高资源利用效率；通过上述各种实现方式可以有效阻止病毒等恶意软件的传播或攻击同时可以大大缩短过滤花费的时间，增强用户的体验，同时也减少了和云端的交互过程，节约了网络和接口资源。

请参见图 3，图 3为本发明实施例中提供的一种过滤系统的结构示意图。一种过滤系统，应用于网络侧设备，所述系统包括截取单元 300、提取单元 301、确定单元 302、处理单元 304、发送单元 306、本地服务功能实体 308和云端安全服务器 310，其中：

截取单元 300，用于截取用户终端发送给互联网服务器的请求报文，并将所述报文发给提取单元 301进行处理。

提取单元 301，用于从所述请求4艮文中提取统一资源定位符 URL信息，并将所述 URL信息发送给确定单元处理。

确定单元 302，用于根据提取单元 301发送的所述 URL信息，确定所述 URL信息对应的安全等级，将所述安全等级发送给处理单元 304进行处理。

处理单元 304，用于根据所述确定单元 302确定的安全等级，对所述请求4艮文进行处理。

根据所述安全等级信息的不同组合或组成，处理单元 304对所述请求报文进行处理具体包括下列一种或几种情况的任意组合：

( 1 ) 当所述安全等级信息为安全时，发送所述用户终端的请求报文给互联网 Internet服务器；用户终端会收到 Internet服务器的应艮文。

( 2 ) 当所述安全等级信息为危险时，丢弃所述请求报文，并返回告警信息的报文给用户终端，以禁止用户终端发送所述请求报文；例如，所述"危险"可以为请求的 URL指向的网页已经含有恶意木马软件和 /或含有病毒，则将所述请求报文直接丢弃，并反馈一个"本网含有病毒等恶意代码，禁止访问 "的页面或者信息给用户终端，使得用户终端根据提醒放弃请求。

( 3 ) 当所述安全等级信息为可疑时，返回提醒信息给用户终端，以提示用户终端所述请求的信息可疑，建议用户终端不进行访问；若用户终端根据提示信息，坚持要访问，则路由器将所述请求报文继续转发给 Internet, 但是此时存在一定安全隐患；若用户终端根据提示信息，确认不继续访问，则路由器直接丢弃该请求报文，也可以根据用户的配置情况选择直接丢弃该请求 4艮文。

( 4 ) 当所述安全等级信息为未知时，有两种方式可以供用户终端选择：其一为将所述 URL信息发送给其他网路设备进行安全等级确定，通过返回的安全等级进行处理；其二为先将所述用户终端的请求报文发送给 Internet, 再进行侦测和处理。

当所述确定单元 302从本地缓存的 URL库中未查找到 URL信息对应的安全等级时，或者需要从本地服务功能实体获取安全等级时，所述系统还包括：

发送单元 306，用于发送所述 URL信息给本地服务功能实体或者云端安全服务器，并将所述本地服务功能实体或者云端安全服务器返回的与所述 URL信息对应的安全等级发送给所述确定单元 302进行处理。

本地服务功能实体 308，与发送单元 306相连，用于根据所述 URL信息，查找本地缓存的 URL库并确定所述 URL信息的安全等级后返回的 URL 信息给所述确定单元 302。

所述本地服务功能实体 308本地存储有 URL库，且该 URL库中的每个 URL信息具有与 URL信息对应的安全等级标识。

当从本地服务功能实体 308在本地缓存的 URL库中查找，未查找到 URL信息对应的安全等级（即无法确定所述 URL信息对应的安全等级）时，或者需要直接从云端安全服务器获取所述安全等级时，所述系统还包括：云端安全服务器 310，用于接收所述发送给云端安全服务器的 URL信息，所述云端安全服务器 310从本地缓存的 URL库中的 URL列表中进行查找，并确定所述 URL信息对应的安全等级，并将所述安全等级发送给处理单元 304。

其中，所述 URL库通过云端安全服务器 310定时刷新，所述 URL库存储的为 URL信息以及与 URL信息对应的安全等级，这中对应关系也称为 URL列表，即该 URL库中存储了 URL列表，通过 URL列表中的 URL 信息可以查找到对应的安全等级，且所述 URL列表通过老化机制进行定时更新。

由上述本发明的实施例提供的具体实施方案可以看出，通过截取单元 300截取用户终端发送给互联网服务器的请求报文，通过提取单元 301从所述请求报文中提取统一资源定位符 URL信息；确定单元 302根据所述 URL 信息，确定所述 URL信息对应的安全等级；以及处理单元 304才据所述安全等级，对所述请求报文进行处理，解决了在用户终端上安装防病毒软件占用内存空间和 CPU资源的问题，以及存在容易被恶意软件绕过的风险的问题，从而有效阻止病毒的传播或攻击， P争低了病毒等恶意软件对用户终端造成的威胁，提高了网络安全性和用户的体验程度。

请参见图 4，图 4为本发明实施例中提供的一种过滤系统的具体实现结构示意图。

图 4为图 3所述系统的一种具体实现，所述过滤系统应用于网络侧设备，以网关设备中的路由设备为例，但不限于所述路由设备。

所述路由设备 40包括：接口线路板 LPU402和多业务处理板 MSU404; 其中所述 LPU402和 MSU404可以集成在一个设备上，且所述 LPU402和 MSU404可以为一个或多个。

所述路由设备可以为业务路由器 SR、宽带远程接入服务器 BRAS、 GPRS网关 GGSN等设备的任意一种几种的任意组合。

所述接口线路板 LPU402,用于截取用户终端发送给互联网服务器的请求 4艮文，并将所述 URL信息发送给 MSU404处理。

所述多业务处理板 MSU404, 用于从所述请求报文中提取统一资源定位符 URL信息，并根据所述 URL信息，确定所述 URL信息对应的安全等级，并根据所述返回的安全等级，对所述请求报文进行处理。

与所述路由设备 40相连接的有：本地服务功能实体 406，和 /或，云端安全服务器 408。

各实体之间的具体交互过程如下：

LPU402截取用户终端发送给 Internet的请求报文（例如 http get报文，目的端口为 80 )，并将所述请求报文采用 ACL方式将所述请求报文重定向到 MSU404; 所述 MSU404通过深度报文检测 DPI方式或其他方式从所述请求报文中提取统一资源定位符 URL信息。

MSU404可以从本地缓存的 URL库中的 URL列表中进行查找，并判断是否有与 URL信息对应的安全等级;也可以直接从本地服务功能实体 406 或者云端安全服务器 408上获取与 URL信息对应的安全等级。

当 MSU404从 MSU404本地缓存的 URL库中进行查找，未找到所述与 URL信息对应的安全等级时，所述 MSU404将所述 URL信息发送给本地服务功能实体 406; 所述本地服务功能实体 406在自身缓存的 URL库中进行查找；若查找到与所述 URL信息对应的安全等级，则发送所述安全等级给 MSU404;否则，将所述 URL信息通过专用接口发给云端安全服务器 408; 云端安全服务器 408从其本地缓存的 URL库中查找，确定并返回所述 URL 信息对应的安全等级给 MSU404。所述路由设备 40与云端安全服务器 408之间的连接可以采用较高带宽和低时延的链路进行传输优化。

所述安全等级信息包括：安全、危险、可疑和未知一种或几种的任意组合。其中所述安全等级包括：安全评估等级，和 /或内容评估等级；其中安全评估等级可以根据客户的要求定义的风险控制等级进行划分，例如根据客户的要求，配置高、中、低等安全评估等级，在配置以后可以根据配置的情况进行过滤。所述内容评估等级可以根据网页含有的内容进行了分类，例如划分为：成人内容、小孩可以访问的内容等。可以通过任意其中一种的形式，或者任意几种以组合的形式将所述安全评估等级和内容评估等级进行组合，最终获得并归纳为安全等级信息中的安全、危险、可疑和未知四种信息。

根据所述安全等级的不同组合或组成， MSU404对所述请求报文进行处理具体包括下列一种或几种情况的任意组合：

( 1 ) 当所述安全等级信息为安全时，发送所述用户终端的请求报文给互联网 Internet服务器；用户终端会受到 Internet服务器的应艮文。

( 3 ) 当所述安全等级信息为可疑时，返回提醒信息给用户终端，以提示用户终端所述请求的信息可疑，建议用户终端不进行访问；若用户终端根据提示信息，坚持要访问，则路由器将所述请求报文继续转发给 Internet, 但是此时存在一定安全隐患；若用户终端根据提示信息，确认不继续访问，则路由器直接丢弃该请求报文，也可以根据用户的配置情况选择直接丢弃该请求 4艮文。 ( 4 ) 当所述安全等级信息为未知时，有两种方式可以供用户终端选择：其一为将所述 URL信息发送给其他网路设备进行安全等级确定，通过返回的安全等级进行处理；其二为先将所述用户终端的请求报文发送给 Internet 服务器，再进行侦测和处理。

其中，所述路由设备本地缓存中的 URL库和本地服务功能实体本地缓存中的 URL库通过其他网络设备定时刷新。所述路由设备本地缓存中的 URL库和本地服务功能实体本地缓存中的 URL库中的安全等级信息是在变化的，因此需要有刷新机制，在所述路由设备本地缓存中的 URL库和本地服务功能实体本地缓存中的 URL库每隔一定时间需要刷新一次，时间间隔可以是 30s刷新一次，也可以根据实际情况进行相应的调整；所述其他网络设备可以为云端安全设备或者本地服务功能实体。

所述 URL库中存储的是 URL列表，所述 URL列表为所述 URL信息与安全等级的对应关系，即通过所述 URL库中的 URL列表，确定与所述 URL信息对应的安全等级，所述 URL列表通过老化机制进行定时更新。 URL库不停缓存 URL列表中的信息，会导致本地缓存的 URL列表中的信息逐渐增多，而有些可能是很少用到的，这就需要老化机制，在一定时间间隔没有匹配过的 URL列表中的信息就可以老化掉（老化时间可以是 30 分钟，可以根据实际情况进行相应的调整），这样就可以节约路由器的资源，同时也提高了匹配的效率。

由上述本发明的实施例提供的具体实施方案可以看出，若采用在路由设备与云端安全服务器群进行 URL信息交互传输，所需时间较短，不会影响用户的浏览体验；也可以使用本地缓存的方式，或者在本地服务功能实体上进行交互传输，来增强用户体验和提高资源利用效率；通过上述各种实现方式可以有效阻止病毒的传播或攻击，同时可以大大缩短过滤花费的时间，增强用户的体验，同时也减少了和云端的交互过程，节约了网络和接口资源。如图 5所示，图 5为本发明实施例中提供的一种网络设备的结构示意图。

一种网络设备，所述网络设备包括：

接收单元 502，用于接收含有统一资源定位符 URL信息的请求报文。提取单元 504，用于从所述请求报文中提取统一资源定位符 URL信息。确定单元 506，用于根据所述 URL信息，确定所述 URL信息对应的安全等级。

处理单元 508，用于根据所述安全等级，对所述请求报文进行处理。所述网络设备还包括：

存储单元 512，用于存储所述 URL信息及与所述 URL信息对应的安全等级。

查找单元 514，用于根据所述 URL信息，在所述存储单元 512存储的 URL库中查找与所述 URL信息对应的安全等级，并将所述安全等级发送给确定单元 506。

所述网络设备可以为多业务处理板 MSU。当所述 URL信息对应的安全等级无法确定时，还包括：发送单元 510，用于发送所述 URL信息给本地服务功能实体或者云端安全服务器进行处理，并将所述本地服务功能实体或者云端安全服务器返回的与所述 URL信息对应的安全等级发送给所述确定单元 506进行处理。

所述网络设备为多业务处理板 MSU时，也可以集成在接口线路板 LPU 上进行处理。

由上述本发明的实施例提供的网络设备，解决了在用户终端上安装防病毒软件占用内存空间和 CPU资源的问题，以及存在容易被恶意软件绕过的风险的问题，从而有效阻止病毒的传播或攻击， P争低了病毒对网络造成的威胁，提高了网络安全性和用户的体验程度。

以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并补局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应该涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求的保护范围为准。

Claims

权利要求

1、一种过滤的方法，其特征在于，所述方法应用于网络侧设备，包括：截取用户终端发送给互联网服务器的请求报文；

从所述请求报文中提取统一资源定位符 URL信息；

根据所述 URL信息，确定所述 URL信息对应的安全等级；

根据所述安全等级，对所述请求报文进行处理。

2、根据权利要求 1所述的方法，其特征在于，所述确定所述 URL信息对应的安全等级具体包括：

从所述网络侧设备本地缓存的 URL库中进行查找，并确定所述 URL 信息对应的安全等级；或者，

接收本地服务功能实体确定并返回的所述 URL信息的安全等级；其中所述 URL信息的安全等级为本地服务功能实体在其本地缓存的 URL库中查找并确定所述 URL信息的安全等级后返回的安全等级；或者，

接收云端安全服务器确定并返回的所述 URL信息的安全等级；其中所述 URL信息的安全等级为云端安全服务器在云端的 URL库中查找并确定所述 URL信息的安全等级后返回的安全等级；或者，

从网络侧设备本地缓存的 URL库中查找，未找到与所述 URL信息对应的安全等级时，接收本地服务功能实体确定并返回的所述 URL信息的安全等级；其中所述 URL信息的安全等级为本地服务功能实体在其本地缓存的 URL库中查找并确定所述 URL信息的安全等级后返回的安全等级；或者，

从网络侧设备缓存的 URL库中和本地服务功能实体缓存的 URL库中查找，未找到与所述 URL信息对应的安全等级时，接收云端安全服务器确定并返回的所述 URL信息的安全等级；其中所述 URL信息的安全等级为云端安全服务器在云端的 URL库中查找并确定所述 URL信息的安全等级后返回的安全等级。

3、根据权利要求 1或 2所述的方法，其特征在于，所述安全等级包括：安全、危险、可疑和未知的一种或几种的任意组合。

4、根据权利要求 1至 3中任一所述的方法，其特征在于，根据所述安全等级，对所述请求报文进行处理具体包括下列一种或几种情况的任意组合：

当所述安全等级为安全时，发送所述用户终端的请求报文给互联网 Internet服务器；

当所述安全等级为危险时，丢弃所述请求>¾文，以终止用户终端对所述 URL的请求；

当所述安全等级为可疑时，返回提醒信息给用户终端，以提示用户终端所述请求的信息可疑；

当所述安全等级为未知时，将所述 URL信息发送给其他网路设备进行安全等级确定，通过返回的安全等级进行处理。

5、根据权利要求 2至 4中任一所述的方法，其特征在于，所述 URL 库通过所述云端安全服务器定时刷新。

6、一种过滤系统，其特征在于，所述系统应用于网络侧设备，包括：截取单元，用于截取用户终端发送给互联网服务器的请求报文，并将所述报文发送给提取单元处理；

7、根据权利要求 6所述的系统，其特征在于，所述系统还包括：发送单元，用于发送所述 URL信息给本地服务功能实体或云端安全服务器。

8、根据权利要求 7所述的系统，其特征在于，所述系统还包括：本地服务功能实体，用于根据发送单元发送的所述 URL信息，查找本地缓存的 URL库并确定所述 URL信息的安全等级后返回的 URL信息给所述确定单元。

9、根据权利要求 7所述的系统，其特征在于，所述系统还包括：云端安全服务器，用于根据所述发送单元发送的所述 URL信息，从本地缓存的 URL库中进行查找，并确定所述 URL信息对应的安全等级，并将所述安全等级发送给所述确定单元。

10、根据权利要求 9所述的系统，其特征在于，所述 URL库通过所述云端安全务器定时刷新。

11、根据权利要求 6至 9中任一所述的系统，其特征在于，所述安全等级包括：安全、危险、可疑和未知的一种或几种的任意组合。

12、一种网络设备，其特征在于，所述网络设备包括：

接收单元，用于接收含有统一资源定位符 URL信息的请求报文；提取单元，用于从所述请求报文中提取统一资源定位符 URL信息；确定单元，用于根据所述 URL信息，确定所述 URL信息对应的安全等级；

13、根据权利要求 12所述的网络设备，其特征在于，所述网络设备还包括：

存储单元，用于存储所述 URL信息及与所述 URL信息对应的安全等级；

查找单元，用于根据所述 URL信息，在所述存储单元存储的 URL库中查找与所述 URL信息对应的安全等级，并将所述安全等级发送给确定单元。

14、根据权利要求 13所述的网络设备，其特征在于，所述网络设备还包括：

发送单元，用于发送所述 URL信息给本地服务功能实体或者云端安全服务器进行处理，并将所述本地服务功能实体或者所述云端安全服务器返回的与所述 URL信息对应的安全等级发送给所述确定单元进行处理。

15、根据权利要求 14所述的网络设备，其特征在于，所述 URL库通过所述云端安全务器定时刷新。

16、根据权利要求 12至 14中任一所述的网络设备，其特征在于，所述安全等级包括：安全、危险、可疑和未知的一种或几种的任意组合。