[发明专利]链路劫持检测方法、装置、用户设备、分析服务器及系统

权利要求书

1.一种链路劫持检测方法，其特征在于，应用于用户设备，所述方法包括：

向超文本传输协议http服务器请求web页面信息；

接收所述http服务器返回的web页面信息及所述http服务器上预置的js监控脚本；

根据所述js监控脚本将所接收的web页面信息中与统一资源定位符url相关的信息发送给分析服务器，以便所述分析服务器从所述与url相关的信息中解析出url文本信息，并根据所述url文本信息识别所述所接收的web页面信息的链路劫持状态。

2.根据权利要求1所述的方法，其特征在于，所述与url相关的信息包括：所接收的web页面信息中的文本信息，和/或从所接收的web页面信息中抓取到的js信息。

3.根据权利要求2所述的方法，其特征在于，所述分析服务器从所述与url相关的信息中解析出url文本信息包括：

当与url相关的信息包括所接收的web页面信息中的文本信息时，分析服务器根据url关键词从所述文本信息中提取出url文本信息；

当与url相关的信息包括从所接收的web页面信息中抓取到的js信息时，分析服务器通过预设的js监控脚本引擎从所述js信息中提取出嵌套的url文本信息。

4.一种链路劫持检测方法，其特征在于，应用于分析服务器，所述方法包括：

在用户设备接收到超文本传输协议http服务器返回的web页面信息及所述http服务器上预置的js监控脚本后，接收所述用户设备根据所述js监控脚本发送的所接收的web页面信息中的与统一资源定位符url相关的信息；

从所述与url相关的信息中解析出url文本信息；

根据所述url文本信息识别所述所接收的web页面信息的链路劫持状态。

5.根据权利要求4所述的方法，其特征在于，所述与url相关的信息包括：所接收的web页面信息中的文本信息，和/或从所接收的web页面信息中抓取到的js信息。

6.根据权利要求5所述的方法，其特征在于，所述从所述与url相关的信息中解析出url文本信息包括：

当与url相关的信息包括所接收的web页面信息中的文本信息时，根据url关键词从所述与url相关的信息中提取出url文本信息；

当与url相关的信息包括从所接收的web页面信息中抓取到的js信息时，通过预设的js监控脚本引擎从所述js信息中提取出嵌套的url文本信息。

7.根据权利要求6所述的方法，其特征在于，所述根据所述url文本信息识别所述所接收的web页面信息的链路劫持状态包括：

判断url文本信息对应的url是否与url白名单中的url相匹配；

若是，确定所述所接收的web页面信息未存在链路劫持；

若否，确定所述所接收的web页面信息存在链路劫持。

8.根据权利要求7所述的方法，其特征在于，所述方法还包括：在确定所述所接收的web页面信息存在链路劫持之后，判断链路劫持所插入的url是否与恶意url库中的url相匹配；

若是，则确定所接收的web页面信息中存在的链路劫持为恶意劫持；

若否，则确定所接收的web页面信息中存在的链路劫持为非恶意劫持。

9.根据权利要求7所述的方法，其特征在于，还包括：在确定所述所接收的web页面信息存在链路劫持之后，结合用户IP和业务标识确定链路劫持的来源，以便对链路劫持的来源进行统计归总。

10.根据权利要求7-9任一项所述的方法，其特征在于，所述方法还包括：

在确定所述所接收的web页面信息存在链路劫持之后，结合用户IP区域信息，和Internet服务提供商区域信息向用户设备输出告警信息；或，

在被链路劫持的web页面的劫持量超出阈值时，向web页面对应的http服务器发出告警信息。