一种网络威胁的检测方法、装置、电子设备及存储介质与流程

本发明涉及网络安全技术领域，尤其涉及一种网络威胁的检测方法、装置、电子设备及存储介质。

背景技术：

网站攻击一直备受黑客青睐。黑客常常试图利用系统安全漏洞、网站旁注入侵等进行网络攻击。

在进行网络攻击时，黑客和网络钓鱼诈骗者常常将网络威胁登录终端的页面伪造成网页的连接错误页面，使用户误以为是网页错误，从而对威胁无法察觉和采取应对措施，使用户的信息安全面临很大威胁。

技术实现要素：

有鉴于此，本发明实施例提供一种网络威胁的检测方法、装置、电子设备及存储介质，能够快速准确地检测出网络威胁，有效提升网络信息安全。

第一方面，本发明实施例提供一种网络威胁的检测方法，包括：当网页显示为连接错误页面时，检测所述网页的源代码；通过对所述网页及所述源代码中预设网页元素的分析，确定所述网页是否为威胁页面。

可选的，所述预设网页元素包括以下至少一种：登录表单、登录提示、滚动条。

可选的，所述当网页显示为连接错误页面时，检测所述网页的源代码包括：当网页显示为连接错误页面时，提示用户不要关闭所述网页并检测所述网页的源代码。

可选的，所述通过对所述网页及所述源代码中预设网页元素的分析，确定所述网页是否为威胁页面包括：通过检测所述网页及所述源代码中是否包含所述预设网页元素和/或检测所述预设网页元素的显示属性，确定所述网页是否为威胁页面。

可选的，所述通过检测所述网页及所述源代码中是否包含所述预设网页元素和/或检测所述预设网页元素的显示属性，确定所述网页是否为威胁页面包括：检测所述源代码中是否包含登录表单；在检测结果为包含所述登录表单的情况下，查看所述登录表单是否将其映射到所述网页的登录提示隐藏；在查看结果为所述登录提示被隐藏的情况下，通过使用向下翻页键继续检测翻页后的所述网页中是否存在登录提示；在继续检测的检测结果为存在所述登录提示的情况下，确定所述网页为威胁页面。

可选的，所述查看所述登录表单是否将其映射到所述网页的登录提示隐藏包括：在所述源代码中查看所述登录提示是否被设置于所述网页的页面底部且所述页面的滚动条已被隐藏；在查看结果为所述登录提示被设置于所述网页的页面底部且所述页面的滚动条已被隐藏的情况下，确定所述登录表单将所述登录提示隐藏。

可选的，在确定所述网页为威胁页面之前，所述方法还包括：确定所述源代码中是否包含预设黑名单中的指令代码；所述确定所述网页为威胁页面包括：在所述源代码中包含所述预设黑名单中的指令代码的情况下，确定所述网页为威胁页面。

第二方面，本发明的实施例还提供一种网络威胁的检测装置，包括：检测单元，用于当网页显示为连接错误页面时，检测所述网页的源代码；确定单元，用于通过对所述网页及所述源代码中预设网页元素的分析，确定所述网页是否为威胁页面。

可选的，所述预设网页元素包括以下至少一种：登录表单、登录提示、滚动条。

可选的，所述检测单元具体用于：当网页显示为连接错误页面时，提示用户不要关闭所述网页并检测所述网页的源代码。

可选的，所述确定单元具体用于：通过检测所述网页及所述源代码中是否包含所述预设网页元素和/或检测所述预设网页元素的显示属性，确定所述网页是否为威胁页面。

可选的，所述确定单元包括：第一检测模块，用于检测所述源代码中是否包含登录表单；查看模块，用于在所述第一检测模块的检测结果为包含所述登录表单的情况下，查看所述登录表单是否将其映射到所述网页的登录提示隐藏；第二检测模块，用于在所述查看结果为所述登录提示被隐藏的情况下，通过使用向下翻页键继续检测翻页后的所述网页中是否存在登录提示；确定模块，用于在所述第二检测模块的检测结果为存在所述登录提示的情况下，确定所述网页为威胁页面。

可选的，所述查看模块具体用于：在所述源代码中查看所述登录提示是否被设置于所述网页的页面底部且所述页面的滚动条已被隐藏；在查看结果为所述登录提示被设置于所述网页的页面底部且所述页面的滚动条已被隐藏的情况下，确定所述登录表单将所述登录提示隐藏。

可选的，所述确定模块，还用于在确定所述网页为威胁页面之前，确定所述源代码中是否包含预设黑名单中的指令代码，在所述源代码中包含所述预设黑名单中的指令代码的情况下，确定所述网页为威胁页面。

第三方面，本发明的实施例还提供一种电子设备，所述电子设备包括：壳体、处理器、存储器、电路板和电源电路，其中，电路板安置在壳体围成的空间内部，处理器和存储器设置在电路板上；电源电路，用于为上述电子设备的各个电路或器件供电；存储器用于存储可执行程序代码；处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序，用于执行本发明实施例提供的任一种网络威胁的检测方法。

第四方面，本发明的实施例还提供一种计算机可读存储介质，所述计算机可读存储介质存储有一个或者多个程序，所述一个或者多个程序可被一个或者多个处理器执行，以实现本发明实施例提供的任一种网络威胁的检测方法。

本发明的实施例提供的网络威胁的检测方法、装置、电子设备及存储介质，当网页显示为连接错误页面时，能够检测所述网页的源代码，通过对所述网页及所述源代码中预设网页元素的分析，确定所述网页是否为威胁页面，这样就能够快速准确地检测出网络威胁，从而有效提升了网络信息安全。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。

图1为本发明的实施例提供的网络威胁的检测方法的一种流程图；

图2为本发明的实施例提供的网络威胁的检测方法的一种详细流程图；

图3为本发明的实施例提供的网络威胁的检测装置的一种结构示意图；

图4为本发明的实施例提供的电子设备的一种结构示意图。

具体实施方式

下面结合附图对本发明实施例进行详细描述。

应当明确，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

第一方面，本发明实施例提供一种网络威胁的检测方法，能够快速准确地检测出网络威胁，有效提升网络信息安全。

如图1所示，本发明的实施例提供的网络威胁的检测方法，包括：

s11，当网页显示为连接错误页面时，检测所述网页的源代码；

本步骤中，连接错误页面可以为用户请求访问预设网络地址时，由于种种原因服务器返回给用户的、与上述预设网络地址不一致的页面，例如404错误页面等。网页的源代码是指运行后生成该网页的代码，例如html(hypertextmarkuplanguage，超文本标记语言)代码。

s12，通过对所述网页及所述源代码中预设网页元素的分析，确定所述网页是否为威胁页面。

在网页及其对应的源代码中，都包括有多种网页元素。其中，网页中的网页元素例如可以包括菜单、对话框、滚动条等，源代码中的网页元素例如可以包括各种表单等。本步骤通过对其中某些网页元素的分析，即可确定该网页是否为威胁页面。

本发明的实施例提供的网络威胁的检测方法，当网页显示为连接错误页面时，能够检测所述网页的源代码，通过对所述网页及所述源代码中预设网页元素的分析，确定所述网页是否为威胁页面，这样就能够快速准确地检测出网络威胁，从而有效提升了网络信息安全。

此外，本发明提供的网络威胁的检测方法对网页安全性的判断还具有较广泛的应用范围，能够为基于黑名单或白名单的威胁判断提供有效补充。

可选的，在步骤s11中，当浏览器返回连接错误的页面时，可以检测该连接错误的页面对应的源代码，如html文件。为了避免用户不恰当的操作会影响检测，进一步的，在本发明的一个实施例中，当网页显示为连接错误页面时，可以提示用户不要关闭所述网页并检测所述网页的源代码。

在步骤s12中，可以结合源代码及其对应的前台网页中的预设网页元素确定该前台网页是否为威胁页面。可选的，预设网页元素可以包括以下一种或多种：登录表单、登录提示、滚动条。其中，登录表单可以位于网页的源代码中，用于生成网页上的登录提示。登录提示和滚动条位于网页中。登录提示是用于通过输入用户名、密码等信息进行网页登录的对话框。当威胁应用入侵系统时，可以通过该对话框登录系统的webshell以便发动攻击。滚动条可以实现页面的滑动，以便在窗口中可以滚动显示更多内容。

具体而言，在步骤s12中，通过对所述网页及所述源代码中预设网页元素的分析，确定所述网页是否为威胁页面可以包括：通过检测所述网页及所述源代码中是否包含所述预设网页元素和/或检测所述预设网页元素的显示属性，确定所述网页是否为威胁页面。

也就是说，在具体进行网页元素的分析时，重点考察预设网页元素是否存在，如果存在的话其显示属性又是怎样的。其中，显示属性例如可以是显示位置、显示尺寸、线条颜色、线条宽度等。当这些网页元素的显示状态或属性符合某些预设条件时，即可判定网页为威胁页面。

可选的，在本发明的一个实施例中，通过检测所述网页及所述源代码中是否包含所述预设网页元素和/或检测所述预设网页元素的显示属性，确定所述网页是否为威胁页面具体可以包括：

检测所述源代码中是否包含登录表单；

在检测结果为包含所述登录表单的情况下，查看所述登录表单是否将其映射到所述网页的登录提示隐藏；

在查看结果为所述登录提示被隐藏的情况下，通过使用向下翻页键继续检测翻页后的所述网页中是否存在登录提示；

在继续检测的检测结果为存在所述登录提示的情况下，确定所述网页为威胁页面。

也就是说，在进行检测时，首先检测该网页对应的源代码中是否包含有登录表单。如果源代码中没有包含登录表单，则说明该网页并没有尝试登录webshell(一种网页后门)，从而可以判定该网页为正常网页，如果源代码中包含登录表单，则需要进一步查看该登录表单映射至网页的登录提示是如何进行显示配置的。例如，登录提示既可以在网页中显示，也可以利用css(cascadingstylesheets，层叠样式表)使登录表单映射到网页的登录提示隐藏起来不显示。

可选的，在本发明的实施例中可以通过多种方式将登录提示隐藏起来，例如，在本发明的一个实施例中，查看所述登录表单是否将其映射到所述网页的登录提示隐藏可以包括：

在源代码中查看登录提示是否被设置于网页的页面底部且所述页面的滚动条已被隐藏；

在查看结果为所述登录提示被设置于所述网页的页面底部且所述页面的滚动条已被隐藏的情况下，确定所述登录表单将所述登录提示隐藏。

这样，由于登录提示被设置于页面底部，且页面的滚动条被隐藏起来，用户就不容易看到登录提示，也就不会注意到网页的异常，这正是很多网络威胁藏匿的重要方式，因此，如果发现上述特征，那么对应的网页就有是威胁网页的可能了。

为了进一步确定该网页是否为威胁网页，在本发明的一个实施例中，可以在网页中调用系统的向下翻页键“pagedown”，调用后继续检测翻页后的网页中是否存在登录提示，如果存在，则说明登录提示确实是被故意隐藏的，该网页是威胁网页，如果翻页后的网页中不存在登录提示，则可以确定该网页不是威胁网页。可选的，对于确定出来的威胁页面，可以将其加入威胁黑名单，以便为今后的威胁网页判断提供依据。

当然，为了进一步提高判断的准确性，在确定所述网页为威胁页面之前，本发明的实施例提供的网络威胁的检测方法还包括：确定所述源代码中是否包含预设黑名单中的指令代码；则所述确定所述网页为威胁页面可以包括：在所述源代码中包含所述预设黑名单中的指令代码的情况下，确定所述网页为威胁页面。也就是说，如果该连接错误网页是威胁页面伪装的，则在其源代码中必然存在与真正的连接错误网页不同的指令，可以将这些指令预先编成黑名单，一旦检测出某些网页的源代码中含有这些指令，则可以确定该网页是威胁页面。

下面通过具体实施例对本发明的实施例提供的网络威胁的检测方法进行详细说明。

如图2所示，本发明实施例提供的网络威胁的检测方法可以包括：

s201、网页显示为连接错误页面；

s202、提示用户暂时不要关闭该页面；

s203、检测网页的url(uniformresourcelocator，统一资源定位符)是否在威胁黑名单中，如果是，执行s210，如果否，执行步骤s204；

s204、检测该前端网页对应的源代码中是否包含登录表单，如果是，执行步骤s205，如果否，执行步骤s211；

s205、检测该登录表单是否将其映射到前端网页的登陆提示设置在前端网页的底部且该前端网页的滚动条已被隐藏，如果是，执行步骤s206，如果否，执行步骤s211；

s206、在前端网页调用向下翻页键，检测翻页后的前端网页中是否包含登陆提示，如果是，执行步骤s207，如果否，执行步骤s211；

s207、检测该前端网页的源代码中知否包含预设黑名单中的指令，如果是，执行步骤s208，如果否，执行步骤s211；

s208、确定该前端网页为攻击者伪造的威胁页面；

s209、将该网页的url加入网页黑名单中；

s210、提示用户该网页存在风险；

s211、确定该网页为正常错误页面。

第二方面，本发明的实施例还提供一种网络威胁的检测装置，能够快速准确地检测出网络威胁，有效提升网络信息安全。

如图3所示，本发明的实施例提供的网络威胁的检测装置可以包括：

检测单元31，用于当网页显示为连接错误页面时，检测所述网页的源代码；

确定单元32，用于通过对所述网页及所述源代码中预设网页元素的分析，确定所述网页是否为威胁页面。

本发明的实施例提供的网络威胁的检测装置，当网页显示为连接错误页面时，能够检测所述网页的源代码，通过对所述网页及所述源代码中预设网页元素的分析，确定所述网页是否为威胁页面，这样就能够快速准确地检测出网络威胁，从而有效提升了网络信息安全。

可选的，所述预设网页元素包括以下至少一种：登录表单、登录提示、滚动条。

可选的，检测单元31具体用于：当网页显示为连接错误页面时，提示用户不要关闭所述网页并检测所述网页的源代码。

可选的，确定单元32具体用于：通过检测所述网页及所述源代码中是否包含所述预设网页元素和/或检测所述预设网页元素的显示属性，确定所述网页是否为威胁页面。

可选的，确定单元32可以包括：

第一检测模块，用于检测所述源代码中是否包含登录表单；

查看模块，用于在所述第一检测模块的检测结果为包含所述登录表单的情况下，查看所述登录表单是否将其映射到所述网页的登录提示隐藏；

第二检测模块，用于在所述查看结果为所述登录提示被隐藏的情况下，通过使用向下翻页键继续检测翻页后的所述网页中是否存在登录提示；

确定模块，用于在所述第二检测模块的检测结果为存在所述登录提示的情况下，确定所述网页为威胁页面。

可选的，所述查看模块具体用于：在所述源代码中查看所述登录提示是否被设置于所述网页的页面底部且所述页面的滚动条已被隐藏；在查看结果为所述登录提示被设置于所述网页的页面底部且所述页面的滚动条已被隐藏的情况下，确定所述登录表单将所述登录提示隐藏。

可选的，所述确定模块，还用于在确定所述网页为威胁页面之前，确定所述源代码中是否包含预设黑名单中的指令代码，在所述源代码中包含所述预设黑名单中的指令代码的情况下，确定所述网页为威胁页面。

第三方面，本发明实施例提供一种电子设备，能够快速准确地检测出网络威胁，有效提升网络信息安全。

如图4所示，本发明的实施例提供的一种电子设备，可以包括：壳体41、处理器42、存储器43、电路板44和电源电路45，其中，电路板44安置在壳体41围成的空间内部，处理器42和存储器43设置在电路板44上；电源电路45，用于为上述电子设备的各个电路或器件供电；存储器43用于存储可执行程序代码；处理器42通过读取存储器43中存储的可执行程序代码来运行与可执行程序代码对应的程序，用于执行前述任一实施例所述的网络威胁的检测方法。

处理器42对上述步骤的具体执行过程以及处理器42通过运行可执行程序代码来进一步执行的步骤，可以参见前述实施例的描述，在此不再赘述。

该电子设备以多种形式存在，包括但不限于：

(1)移动通信设备：这类设备的特点是具备移动通信功能，并且以提供话音、数据通信为主要目标。这类终端包括：智能手机(例如iphone)、多媒体手机、功能性手机，以及低端手机等。

(2)超移动个人计算机设备：这类设备属于个人计算机的范畴，有计算和处理功能，一般也具备移动上网特性。这类终端包括：pda、mid和umpc设备等，例如ipad。

(3)便携式娱乐设备：这类设备可以显示和播放多媒体内容。该类设备包括：音频、视频播放器(例如ipod)，掌上游戏机，电子书，以及智能玩具和便携式车载导航设备。

(4)服务器：提供计算服务的设备，服务器的构成包括处理器、硬盘、内存、系统总线等，服务器和通用的计算机架构类似，但是由于需要提供高可靠的服务，因此在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面要求较高。

(5)其他具有数据交互功能的电子设备。

第四方面，本发明的实施例还提供一种计算机可读存储介质，所述计算机可读存储介质存储有一个或者多个程序，所述一个或者多个程序可被一个或者多个处理器执行，以实现前述实施例提供的任一种网络威胁的检测方法，因此也能实现相应的技术效果，前文已经进行了详细说明，此处不再赘述。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个......”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

本说明书中的各个实施例均采用相关的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。

尤其，对于装置实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

为了描述的方便，描述以上装置是以功能分为各种单元/模块分别描述。当然，在实施本发明时可以把各单元/模块的功能在同一个或多个软件和/或硬件中实现。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体(read-onlymemory，rom)或随机存储记忆体(randomaccessmemory，ram)等。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。