[发明专利]链路劫持检测方法、装置、用户设备、分析服务器及系统

说明书

本发明实施例提供一种链路劫持检测方法、装置、用户设备、分析服务器及系统，其中方法包括：向超文本传输协议http服务器请求web页面信息；接收所述http服务器返回的web页面信息及所述http服务器上预置的js监控脚本；根据所述js监控脚本将所接收的web页面信息中与统一资源定位符url相关的信息发送给分析服务器，以便所述分析服务器从所述与url相关的信息中解析出url文本信息，并根据所述url文本信息识别所述所接收的web页面信息的链路劫持状态。本发明实施例可以保证链路劫持分析的精准性，减小了链路劫持漏报现象，保证了链路劫持检测的效果。

技术领域

本发明涉及信息安全技术领域，更具体地说，涉及一种链路劫持检测方法、装置、用户设备、分析服务器及系统。

背景技术

链路劫持是指在网络传输物理链路上向web（网页）页面插入恶意代码或URL（Uniform Resource Locator，统一资源定位符），以达到窃取用户信息的目的；由于链路劫持存在用户信息泄露的安全隐患，因此对链路劫持进行检测，从而通过链路劫持检测判断用户请求的web页面中是否存在恶意代码或URL，显得十分必要。

目前针对页面的链路劫持检测，一般采用在链路中旁挂检测设备的方式进行检测，检测设备根据抓取的返回给用户的页面信息，判断返回页面是否存在链路劫持行为，图1示出了现有实现链路劫持检测的网络拓扑图，可进行参照。结合图1，现有技术针对页面实现链路劫持检测的具体流程如下：用户设备向服务器发送GET/POST（http协议的请求方法，get是从服务器上获取数据，post是向服务器传送数据）请求；服务器根据请求类型向用户返回应答信息；检测设备通过镜像获得一份服务器返回信息的拷贝，从该拷贝中解析出URL，与预置的URL白名单进行比对，识别出存在链路劫持行为的页面及恶意URL。

本发明的发明人在研究和实践过程中发现，现有技术至少存在以下的技术问题：旁路挂载检测设备的检测效果受检测设备挂载位置的限制，检测设备越接近用户设备，链路劫持检测的效果越明显，然而检测设备一般靠近服务器，很难做到靠近用户设备，这就使得在检测设备与用户设备之间的传输链路上存在链路劫持的几率增大，从而影响链路劫持检测的精准性，同时也可能会出现链路劫持漏报，影响链路劫持检测的效果。

发明内容

有鉴于此，本发明实施例提供一种链路劫持检测方法、装置、用户设备、分析服务器及系统，以解决现有技术存在的链路劫持检测效果受旁路挂载的检测设备挂载位置的限制，从而影响链路劫持分析的精准性，同时也可能会出现链路劫持漏报、影响链路劫持检测的效果的问题。

为实现上述目的，本发明实施例提供如下技术方案：

一种链路劫持检测方法，应用于用户设备，所述方法包括：

向超文本传输协议http服务器请求web页面信息；

接收所述http服务器返回的web页面信息及所述http服务器上预置的js监控脚本；

根据所述js监控脚本将所接收的web页面信息中与统一资源定位符url相关的信息发送给分析服务器，以便所述分析服务器从所述与url相关的信息中解析出url文本信息，并根据所述url文本信息识别所述所接收的web页面信息的链路劫持状态。

其中，所述与url相关的信息包括：所接收的web页面信息中的文本信息，和/或从所接收的web页面信息中抓取到的js信息。

其中，所述分析服务器从所述与url相关的信息中解析出url文本信息包括：

当与url相关的信息包括所接收的web页面信息中的文本信息时，分析服务器根据url关键词从所述文本信息中提取出url文本信息；

当与url相关的信息包括从所接收的web页面信息中抓取到的js信息时，分析服务器通过预设的js监控脚本引擎从所述js信息中提取出嵌套的url文本信息。