通信系统、服务器、分析以及网络安全浏览方法及系统与流程

本发明涉及通信技术领域，特别是涉及一种通信系统、服务器、分析以及网络安全浏览方法及系统。

背景技术：

为了国家安全和企业保密的需要，政府和企业常常需要对其用户的上网行为进行约束和监控，这通常由“防火墙(firewall)”来实现。所谓“防火墙”，是指一种将不同网络之间比如企业内部网和互联网Internet分开的方法，它实际上是一种隔离技术。防火墙既可在网络层实现也可在应用层实现。网络层防火墙可视为一种IP封包过滤器，运作在底层的TCP/IP协议堆栈上。通常以枚举的方式，只允许符合特定规则的封包通过，其余的一概禁止穿越防火墙。这些规则可以经由网络管理员定义或修改(也即我们常常说的黑白名单)。应用层防火墙是在TCP/IP堆栈的“应用层”上运作，例如使用浏览器时所产生的数据流或者使用FTP时的数据流都是属于这一层。它可以拦截进出某应用程序的所有封包，并且封锁其他的封包(通常是直接将封包丢弃)。

虽然防火墙是目前唯一可行并被国家和企业认可的技术方案，但由于它无法实现用最小的代价判断用户浏览和获取的网络内容，通常只能对某一网站实施完全屏蔽，使得其用户体验一直被中国的网络用户所抱怨。举例来说，通常人们去访问Google/gmail网站也并不一定是去浏览获取或发送敏感内容——Google一直是全球最方便的信息搜索工具，可以给广大的科研人员带来极大的便利。

于是基于虚拟专用网络VPN(Virtual Private Network)搭建的绕过防火墙的技术应运而生。对“好”用户而言，他们只能依赖于VPN去获取他们想要的科研资料；而对“坏”用户而言，则希望尽可能的绕过这类管控(俗称“翻墙”)去获取敏感内容。

VPN通常是要在一个公用网络/互联网上建立一个临时的、安全的，稳定的连接隧道。VPN不是真的专用网络，但却能够实现专用网络的功能。VPN中的隧道是由隧道协议形成的，VPN通常使用的隧道协议有：点到点隧道协议(PPTP)、第二层隧道协议(L2TP)以及IPSec/SSL。虽然目前一些已知的VPN隧道协议可以破解，但要在协议破解后的网络层监控用户的浏览内容，目前在技术/成本上还是非常挑战的，特别在大用户量并发情况下－－通常做法就是基于深度包检测DPI(deep packet inspection)采集网络数据包，重组后分析。因而要实现内容的完全监管覆盖工程上不太可能。再者，由于基于VPN方案的设计初衷就是为了尽量避免政府和企业的监管，特别是P2P+VPN的技术实现进一步加大了监管的难度，所以目前通常的做法就是扫描网络出口的流量，发现异常立即阻止该出口的目的IP地址，这更进一步产生系统的误报率。

综上所述，当政府和企业花很大精力和成本在保护数字空间的安全和机密信息时，我们发现，一方面基于防火墙的黑白名单来限制要去访问的网站会给正常用户带来诸多不便——更不用说该方案的技术局限——例如，我们知道Github是全球的计算机源代码共享网站，政府和企业也没有限制访问它，但该网站也有违规的内容；另一方面，由于网络技术/规模/成本的限制，用DPI/DFI(深度数据包/流检测Deep Packet/Flow Inspection)来抓取，分析，重现用户上网的内容以供决策和存证的解决方案很难覆盖全网络。

技术实现要素：

鉴于以上所述现有技术的缺点，本发明的目的在于提供一种通信系统、服务器、分析以及网络安全浏览方法及系统，用于解决现有技术中不能基于用户访问内容对用户的访问行为进行灵活的监控的问题。

为实现上述目的及其他相关目的，本发明提供一种网络安全浏览方法，所述方法运行于一浏览平台中，所述方法包括：预设网站黑名单以及网站灰名单；接收网络访问请求；判断所述网络访问请求对应的访问网站是否属于所述网站黑名单或所述网站灰名单；当所述网络访问请求对应的访问网站既不属于所述网站黑名单也不属于所述网站灰名单时，通过与所述浏览平台关联的网关访问与所述网络访问请求对应的网站，并从所述网站中获取访问内容；当所述网络访问请求对应的所述网站属于所述网站黑名单时，屏蔽对应的网站的访问且存储该黑名单访问记录；当所述网络访问请求对应的所述网站属于所述网站灰名单时，通过与所述浏览平台关联的网关访问与所述网络访问请求对应的网站，并从所述网站中获取访问内容；且将所述访问内容实时镜像至一分析平台，以供所述分析平台根据预设的敏感内容库的内容对所述访问内容进行检测，且当所述访问内容属于敏感内容时，对所述访问内容进行存储；将获取的所述访问内容编码为视频流，并将所述视频流响应所述网络访问请求。

于本发明一具体实施例中，当所述网络访问请求对应的所述网站属于所述网站黑名单时，还包括生成一警告信息响应所述网络访问请求或发送至预设的终端。

于本发明一具体实施例中，当所述访问内容属于敏感内容时，接收所述分析平台反馈的屏蔽请求，以根据所述屏蔽请求屏蔽对应的网站的访问、和/或生成一告警信息响应所述网络访问请求、和/或生成一告警信息发送至预设的终端。

于本发明一具体实施例中，所述浏览平台中预设多个应用容器，每个所述应用容器运行一自定义的操作系统和多个自定义的内容浏览的应用软件，当同时接收到多个所述网络访问请求时，每个所述网络访问请求分别对应启动一所述内容浏览的应用软件进行网站的访问。

于本发明一具体实施例中，根据所述网关的设置对所述网站黑名单、所述网站灰名单、以及所述敏感内容库进行更新。

为实现上述目的及其他相关目的，本发明还提供一种网络安全浏览系统，所述系统包括于一浏览平台中，所述系统包括：预设模块，用以预设网站黑名单以及网站灰名单；访问请求接收模块，用以接收网络访问请求；判断模块，用以判断所述网络访问请求对应的访问网站是否属于所述网站黑名单或所述网站灰名单；访问模块，用以当所述网络访问请求对应的访问网站既不属于所述网站黑名单也不属于所述网站灰名单时，通过与所述浏览平台关联的网关访问与所述网络访问请求对应的网站，并从所述网站中获取访问内容；当所述网络访问请求对应的所述网站属于所述网站黑名单时，屏蔽对应的网站的访问且存储该黑名单访问记录；当所述网络访问请求对应的所述网站属于所述网站灰名单时，通过与所述浏览平台关联的网关访问与所述网络访问请求对应的网站，并从所述网站中获取访问内容；且将所述访问内容实时镜像至一分析平台，以供所述分析平台根据预设的敏感内容库的内容对所述访问内容进行检测，且当所述访问内容属于敏感内容时，对所述访问内容进行存储；响应模块，用以将获取的所述访问内容编码为视频流，并将所述视频流响应所述网络访问请求。

为实现上述目的及其他相关目的，本发明还提供一种浏览平台，运行如上任一项所述的网络安全浏览方法。

为实现上述目的及其他相关目的，本发明还提供一种服务器，运行有如上所述的浏览平台。

为实现上述目的及其他相关目的，本发明还提供一种分析方法，运行于一分析平台中，所述分析平台与如上所述的浏览平台通信，所述分析方法包括：接收所述浏览平台对所述网络访问请求对应的访问内容的实时镜像；根据预设的敏感内容库的内容对所述访问内容进行检测，且当所述访问内容属于敏感内容时，对所述访问内容进行存储。

于本发明一具体实施例中，当所述访问内容属于敏感内容时，向所述浏览平台反馈屏蔽请求。

于本发明一具体实施例中，所述分析平台根据预设的敏感内容库的内容对所述访问内容进行检测的方式包括：预先根据所述敏感内容库，建立对应的访问内容和内容分类的识别模型；将获取到的所述访问内容输入所述识别模型；获取对应所述访问内容的内容分类，进而判断所述访问内容是否属于敏感内容。

于本发明一具体实施例中，根据所述网关的设置对所述敏感内容库进行更新。

为实现上述目的及其他相关目的，本发明还提供一种分析系统，运行于一分析平台中，所述分析平台与如上所述的浏览平台通信，所述分析系统包括：访问内容接收模块，用以接收所述浏览平台对所述网络访问请求对应的访问内容的实时镜像；内容检测模块，用以根据预设的敏感内容库的内容对所述访问内容进行检测，且当所述访问内容属于敏感内容时，对所述访问内容进行存储。

为实现上述目的及其他相关目的，本发明还提供一种分析平台，运行如上中任一项所述的分析方法。

为实现上述目的及其他相关目的，本发明还提供一种服务器，运行有如上所述的分析平台。

为实现上述目的及其他相关目的，本发明还提供一种通信系统，包括如上所述的浏览平台、如上所述的分析平台、以及与所述浏览平台和所述分析平台通信连接的网关。

如上所述，本发明的通信系统、服务器、分析以及网络安全浏览方法及系统，通过浏览平台进行网站的访问，且对访问的网站进行检测，判断是否属于网站黑名单或网站灰名单，且当属于网站黑名单时，屏蔽对相应网站的访问，当属于网站灰名单时，将对该网站的访问行为镜像至一分析平台，通过分析平台判断对该网站的访问内容是否属于敏感内容，当为是时，进行访问行为的记录或者反馈告警信息。且用户获取的访问内容以视频的方式呈现。本发明将用户对网站的访问行为转化为自定义平台的自定义浏览器对网站的访问，且通过分析平台对属于网站灰名单的网站的访问进行实时监控，保证网络访问的安全性，且将访问内容以视频的方式反馈给用户，防止用户对访问内容的复制等操作，进一步保证网络浏览的安全性。

附图说明

图1显示为本发明的通信系统在一具体实施例中的组成示意图。

图2显示为本发明的网络安全浏览方法在一具体实施例中的流程示意图。

图3显示为本发明的网络安全浏览系统在一具体实施例中的模块示意图。

图4显示为本发明的分析方法在一具体实施例中的流程示意图。

图5显示为本发明的分析系统在一具体实施例中的模块示意图。

元件标号说明

10 通信系统

11 浏览平台

12 分析平台

13 网关

14 服务器

15 服务器

20 方法

21～27 步骤

30 网络安全浏览系统

31 预设模块

32 访问请求接收模块

33 判断模块

34 访问模块

35 响应模块

40 分析方法

41、42 步骤

50 分析系统

51 访问内容接收模块

52 内容检测模块

具体实施方式

以下通过特定的具体实例说明本发明的实施方式，本领域技术人员可由本说明书所揭露的内容轻易地了解本发明的其他优点与功效。本发明还可以通过另外不同的具体实施方式加以实施或应用，本说明书中的各项细节也可以基于不同观点与应用，在没有背离本发明的精神下进行各种修饰或改变。需说明的是，在不冲突的情况下，以下实施例及实施例中的特征可以相互组合。

需要说明的是，以下实施例中所提供的图示仅以示意方式说明本发明的基本构想，遂图示中仅显示与本发明中有关的组件而非按照实际实施时的组件数目、形状及尺寸绘制，其实际实施时各组件的型态、数量及比例可为一种随意的改变，且其组件布局型态也可能更为复杂。

为了使本发明之叙述更加详尽与完备，可参照附图及以下所述之各种实施例。但所提供之实施例并非用以限制本发明所涵盖的范围；步骤的描述亦非用以限制其执行之顺序，任何由重新组合，所产生具有均等功效的装置，皆为本发明所涵盖的范围。

于实施方式与申请专利范围中，除非内文中对于冠词有所特别限定，否则「一」与「该」可泛指单一个或复数个。将进一步理解的是，本文中所使用的「包含」、「包括」、「具有」及相似词汇，指明其所记载的特征、区域、整数、步骤、操作、组件与/或组件，但不排除其所述或额外的其一个或多个其它特征、区域、整数、步骤、操作、组件、组件，与/或其中之群组。

关于本文中所使用的「网络」泛指具有结构关系、组成关系、连接关系、通信关系、运算关系、或逻辑关系的实体元件或抽象元件的关系组合，不局限于实际的通信网络。

现有技术中，用户要去浏览www.xyz.com网站的内容，他通常直接用自己电脑或者手机里的软件(比如浏览器)输入上述网址，如果该网站对政府或企业而言是合规网站，该用户可以正常浏览以及获取上述网站的内容；如果该网站不合规，那么其IP地址就会被存放在网关的黑名单里(网关通常由企业放置在网络出口处)，用户就被拒绝访问该网站。如果该用户想“非法”访问这个网站，那他可以通过VPN来绕过该网关的监管。所以，现有技术中对用户的非法访问不能严密的监管。且对于有些只是存在敏感信息而不需要屏蔽的网站，不能进行有效的监管。

本发明提出如图1所示的通信系统，图1显示为本发明的通信系统在一具体实施例中的组成示意图。所述通信系统10包括浏览平台11、分析平台12、以及与所述浏览平台11和所述分析平台12通信连接的网关13。

所述浏览平台11运行于如图1所示的服务器14中，所述分析平台12运行于如图1所示的服务器15中。

其中，用户不直接通过所述网关13访问对应的网站，而是先登陆到所述浏览平台11上，浏览平台11以及分析平台12根据访问请求，进而通过网关13访问对应的网站，且将获取的访问内容以视频的形式返回用户，以确保在用户的本地和云端之间有个清楚的隔离。即可以很方便的通过自定义设置的对浏览平台11以及分析平台的12对用户的浏览行为进行监管，且进行屏蔽等操作。具体请见以下描述。

具体请参阅图2，显示为本发明的网络安全浏览方法在一具体实施例中的流程示意图。所述方法20运行于所述浏览平台11中，所述方法20包括：

21：预设网站黑名单以及网站灰名单；优选的，所述浏览平台11根据所述网关的设置对所述网站黑名单、所述网站灰名单、以及所述敏感内容库进行更新。

22：接收网络访问请求；优选的，在接收到一用户通过电子终端发送的所述网络访问请求前，要求所述用户通过安全通道以及实名认证的用户名和密码注册并登陆所述浏览平台11。例如用户通过在电子终端输入关于该浏览平台11的网址或者开启装载于所述电子终端的关于所述浏览平台11的客户端软件(APP)，获得关于该浏览平台11的登陆页面。所述电子终端例如为智能手机、平板电脑、台式电脑、或其他可穿戴设备。

23：判断所述网络访问请求对应的访问网站是否属于所述网站黑名单或所述网站灰名单；根据判断结果，执行相应的动作。

24：当所述网络访问请求对应的访问网站既不属于所述网站黑名单也不属于所述网站灰名单时，即说明该网站为可自由访问的网站，则通过与所述浏览平台关联的网关访问与所述网络访问请求对应的网站，并从所述网站中获取访问内容。

25：当所述网络访问请求对应的所述网站属于所述网站黑名单时，屏蔽对应的网站的访问且存储该黑名单访问记录；优选的，当所述网络访问请求对应的所述网站属于所述网站黑名单时，还包括生成一警告信息响应所述网络访问请求或发送至预设的终端。所述预设的终端例如为企业的监管部门的PC终端，又或者为公安系统的监管终端。且将该访问记录的相关信息记录下来，相关信息包括访问该网站的电子设备的IP地址、登陆所述浏览平台的用户的实名信息、访问过程中的部分截屏信息等。且可以方便后续的监管人员对该访问记录的查看。

26：当所述网络访问请求对应的所述网站属于所述网站灰名单时，通过与所述浏览平台11关联的网关13访问与所述网络访问请求对应的网站，并从所述网站中获取访问内容；且将所述访问内容实时镜像至所述分析平台12，以供所述分析平台12根据预设的敏感内容库的内容对所述访问内容进行检测，且当所述访问内容属于敏感内容时，对所述访问内容进行存储，例如存储该访问对应的访问请求发送终端的IP地址、登陆所述浏览平台的用户的实名信息、以及访问过程中的部分截屏信息等，且可以方便后续的监管人员对该访问记录的查看。即当属于网站灰名单时，不限制对该网站的访问，但是会对用户的访问内容进行实时的监控，当访问的内容为敏感内容的时候，优选的，执行以下操作，所述浏览平台11接收所述分析平台12反馈的屏蔽请求，以根据所述屏蔽请求屏蔽对应的网站的访问、和/或生成一告警信息响应所述网络访问请求、和/或生成一告警信息发送至预设的终端。

27：将获取的所述访问内容编码为视频流，并将所述视频流响应所述网络访问请求。

于本发明一具体实施例中，所述浏览平台11运行于所述服务器14中，所述服务器14在IaaS(Infrastructure as a Service，基础设施即服务)的云基础计算平台上搭建一系列容器，每个所述应用容器运行一自定义的操作系统和多个自定义的内容浏览的应用软件，当同时接收到多个所述网络访问请求时，每个所述网络访问请求分别对应启动一所述内容浏览的应用软件进行网站的访问。本发明可以很方便的在自定义的内容浏览的应用软件中进行相关的设置，例如设置网站黑名单、网站灰名单等其他信息。方便企业或者其他监管人员对监管内容的灵活调整，适应性强。

优选的，所述内容浏览的应用软件主要由网络浏览工具和内容编码工具组成。网络浏览工具可以是标准的网络浏览器，例如遨游浏览器，内容编码工具负责把浏览器里的内容进行视频编码并传送到用户的终端上，这样，虽然用户在浏览网络内容，但实际上其终端上接收到的是视频流，也可以防止用户对访问的网站的内容进行复制、编辑等操作。

在所述浏览平台11上的所有操作都是运行于云端，所有的运算资源和速度都可以线性扩展。

进一步参阅图3，显示为本发明的网络安全浏览系统在一具体实施例中的模块示意图。所述系统30包括于所述浏览平台11中，所述系统30包括：

预设模块31，用以预设网站黑名单以及网站灰名单；

访问请求接收模块32，用以接收网络访问请求；

判断模块33，用以判断所述网络访问请求对应的访问网站是否属于所述网站黑名单或所述网站灰名单；

访问模块34，用以当所述网络访问请求对应的访问网站既不属于所述网站黑名单也不属于所述网站灰名单时，通过与所述浏览平台关联的网关访问与所述网络访问请求对应的网站，并从所述网站中获取访问内容；当所述网络访问请求对应的所述网站属于所述网站黑名单时，屏蔽对应的网站的访问且存储该黑名单访问记录；当所述网络访问请求对应的所述网站属于所述网站灰名单时，通过与所述浏览平台关联的网关访问与所述网络访问请求对应的网站，并从所述网站中获取访问内容；且将所述访问内容实时镜像至一分析平台，以供所述分析平台根据预设的敏感内容库的内容对所述访问内容进行检测，且当所述访问内容属于敏感内容时，对所述访问内容进行存储；

响应模块35，用以将获取的所述访问内容编码为视频流，并将所述视频流响应所述网络访问请求。

所述网络安全浏览系统30的技术方案与所述网络安全浏览方法20的技术方案一一对应，所有关于所述网络安全浏览方法20的描述均可应用于本实施例中。

进一步参阅图4，显示为本发明的分析方法在一具体实施例中的流程示意图。所述分析方法40运行于所述分析平台13中，所述分析方法40包括：

41：接收所述浏览平台对所述网络访问请求对应的访问内容的实时镜像；

42：根据预设的敏感内容库的内容对所述访问内容进行检测，且当所述访问内容属于敏感内容时，对所述访问内容进行存储。

于本发明一具体实施例中，当所述访问内容属于敏感内容时，向所述浏览平台反馈屏蔽请求。

于本发明一具体实施例中，所述分析平台根据预设的敏感内容库的内容对所述访问内容进行检测的方式包括：

预先根据所述敏感内容库，建立对应的访问内容和内容分类的识别模型；

将获取到的所述访问内容输入所述识别模型；

获取对应所述访问内容的内容分类，进而判断所述访问内容是否属于敏感内容。

于本发明一具体实施例中，根据所述网关13的设置对所述敏感内容库进行更新。

所述分析平台13运行于所述服务器15中，优选的，所述服务器15在IaaS云基础计算平台上主要有两个模块：内容理解模块和敏感内容库管理。内容理解模块对实时镜像的内容(文本、图像、以及视频等)进行自动检测，基本上包括内容特征抽取、学习建模、内容分类检测等。比如可以基于检测特定人的人脸和文本来判断该内容的敏感性。敏感内容库管理模块是存储并更新所有的敏感词和目标，同时和第三方敏感库的内容进行同步(更新和被更新)。从而在保证用户合规的消费网络内容时，也确保不能做任何违规的内容浏览和存取。

进一步参阅图5，显示为本发明的分析系统在一具体实施例中的模块示意图。

所述分析系统50运行于所述分析平台12中，所述分析系统50包括：

访问内容接收模块51，用以接收所述浏览平台对所述网络访问请求对应的访问内容的实时镜像。

内容检测模块52，用以根据预设的敏感内容库的内容对所述访问内容进行检测，且当所述访问内容属于敏感内容时，对所述访问内容进行存储。

本发明使得用户的访问行为都在云端平台中运行，大大减小用户本地的计算资源以及节省本地对计算资源的监控，不影响用户的使用体验，同时通过分级分场景的内容监控分析，可以进一步优化监控的计算资源。

且本发明不同于通用的用户通过自己的电脑/手机直接存取网络内容的方式，这里用户通过实名认证和安全通道连接到浏览平台，然后通过浏览平台再存取需要的网络内容，所有经过浏览平台的内容被实时分析监控。和现有的在网络层做内容分析的方案不同，该发明为企业和政府的信息安全在应用层提供了一个独特的保障。

综上所述，本发明的通信系统、服务器、分析以及网络安全浏览方法及系统，通过浏览平台进行网站的访问，且对访问的网站进行检测，判断是否属于网站黑名单或网站灰名单，且当属于网站黑名单时，屏蔽对相应网站的访问，当属于网站灰名单时，将对该网站的访问行为镜像至一分析平台，通过分析平台判断对该网站的访问内容是否属于敏感内容，当为是时，进行访问行为的记录或者反馈告警信息。且用户获取的访问内容以视频的方式呈现。本发明将用户对网站的访问行为转化为自定义平台的自定义浏览器对网站的访问，且通过分析平台对属于网站灰名单的网站的访问进行实时监控，保证网络访问的安全性，且将访问内容以视频的方式反馈给用户，防止用户对访问内容的复制等操作，进一步保证网络浏览的安全性。所以，本发明有效克服了现有技术中的种种缺点而具高度产业利用价值。

上述实施例仅例示性说明本发明的原理及其功效，而非用于限制本发明。任何熟悉此技术的人士皆可在不违背本发明的精神及范畴下，对上述实施例进行修饰或改变。因此，举凡所属技术领域中具有通常知识者在未脱离本发明所揭示的精神与技术思想下所完成的一切等效修饰或改变，仍应由本发明的权利要求所涵盖。