[发明专利]非法网站过滤方法及装置

说明书

技术领域

本发明涉及网络安全技术领域，尤其涉及一种非法网站过滤方法及装置。

背景技术

防火墙指的是一个由软件和硬件设备组合而成、在内网和外部网之间、 专用网与公共网之间的界面上构造的保护屏障，是一种保障网络安全的形象 说法，它是一种计算机硬件和软件的结合，使因特网与内网之间建立起一个 安全网关，从而保护内网免受非法用户侵入。

URL(统一资源定位符，Uniform Resource Locator)分类过滤属于防火墙 的一个功能模块，其目的是为用户提供拦截互联网不良信息的过滤服务，它 包括一个专门的地址库，用来过滤用户访问的非法网站。URL分类过滤功能 会在模块初始化时将地址库加载到防火墙内存中，并依靠地址库来对用户访 问的网站进行过滤。用户访问网站的过程分为以下几个步骤：(1)会建立一 条所访问URL的IP地址的连接；(2)根据已建立的连接发送URL请求；(3) 用户会收到要访问的数据，也就是网页中显示的信息。URL分类过滤功能就 是针对前两个步骤进行处理的：在建立连接时，从同步报文中提取用户访问 URL的IP地址，将其与地址库中的IP地址比对，当IP地址匹配时，再进一 步将步骤(2)中的URL与地址库中该IP地址对应的URL进行比对，如果 URL匹配成功，则说明用户访问的网站属于地址库中的不良网站，会将此连 接断开，用户将无法浏览这个非法网站，否则，允许报文通过防火墙，用户 将会浏览到网站信息。

从上面介绍可知，将地址库加载到防火墙内存中是URL分类过滤功能的 实现前提。然而，目前非法网站种类繁多，且数目庞大，因此，按照黄、赌、 毒、邪教等内容分门别类的存放了IP地址和相关URL的地址库数据量非常大， 通常达1G以上，因此，无法一次加载到内存中。

为了解决无法将庞大地址库加载到防火墙内存中的问题，目前已实现的 方案中，是仅将地址库中的IP地址加载到防火墙的内存中，仅以IP地址进行 比对，从而过滤非法网站。然而，这种仅以IP地址过滤非法网站的方式存在 致命的缺陷，仅按照IP地址进行匹配，很容易造成对于用户访问的网站进行 误操作，例如，色情网站经常利用更换IP地址的方式来达到逃避监控的目的， 如果只对IP地址进行比对，很很能由于原来色情网站的IP地址目前被一个正 常网站使用，而导致正常的网站得不到访问。

发明内容

有鉴于此，本发明提供一种非法网站过滤方法及装置，以解决现有方案 仅通过比对IP地址过滤非法网站而存在的对网站进行误操作的问题。

为此，本发明实施例采用如下技术方案：

一种非法网站过滤方法，包括：获取建立网站连接的IP地址，确定防火 墙内存中匹配有该IP地址且在内存中未保存符合该IP地址的URL时，将保 存于所述防火墙内存之外的符合该IP地址的所有URL加载到所述内存中； 在发送URL请求时，判断发送的URL是否与防火墙内存中符合所述IP地址 的URL之一匹配，若是，断开连接，否则，允许报文通过防火墙。

在将保存于所述防火墙内存之外的符合该IP的所有URL加载到所述内 存中之前，还包括：判断所述防火墙内存使用量是否超过阈值，若是，将内 存中使用次数最少的IP地址记录项删除，再执行所述将保存于所述防火墙内 存之外的符合该IP的所有URL加载到所述内存中的步骤，否则，直接执行 将所述将保存于所述防火墙内存之外的符合该IP的所有URL加载到所述内 存中的步骤；其中，在每次匹配URL成功后，将IP地址记录项的使用计数 加一，所述IP地址记录项由一个IP地址及其对应的URL构成。

所述保存于所述防火墙内存之外的符合该IP的所有URL是以IP地址为 文件名的IP文件形式保存的。

当确定防火墙内存中既匹配有所述IP地址又保存了符合所述IP地址的 URL时，在发送URL请求时，直接执行以下步骤：判断发送的URL是否与 防火墙内存中符合所述IP地址的URL之一匹配，若是，断开连接，否则， 允许报文通过防火墙。

在所述防火墙内存初始化时，将IP地址集合加载到内存中，并在内存中 设置一个空的动态地址表，该动态地址表用于保存加载的URL。

在成功匹配IP地址后，将IP连接设置检测标记，后续在发送URL请求 时，仅对具有检测标记的IP连接的URL进行匹配。