CN112487321A

CN112487321A - 一种检测方法、装置、存储介质及电子设备

Info

Publication number: CN112487321A
Application number: CN202011442511.0A
Authority: CN
Inventors: 刘德森
Original assignee: Beijing Topsec Technology Co Ltd; Beijing Topsec Network Security Technology Co Ltd; Beijing Topsec Software Co Ltd
Current assignee: Beijing Topsec Technology Co Ltd; Beijing Topsec Network Security Technology Co Ltd; Beijing Topsec Software Co Ltd
Priority date: 2020-12-08
Filing date: 2020-12-08
Publication date: 2021-03-12

Abstract

本公开提供了一种检测方法、装置、存储介质及电子设备，其中，该检测方法包括：获取目标站点的当前页面；提取当前页面中的链接以及链接的特征信息；在链接的域名信息不属于当前页面的域名信息的情况下，基于特征信息确定当前页面中是否存在暗链；在当前页面中存在暗链的情况下，控制与目标站点连接的用户代理清除暗链。本公开提供的检测方法，通过分类模型及时对暗链特征库进行更新，提高暗链检测结果的准确性；并且，通过用户代理及时的消除暗链，无需人工手工消除，提高了暗链消除效率，提高了目标站点的安全性。

Description

一种检测方法、装置、存储介质及电子设备

技术领域

本公开涉及网络安全技术领域，特别涉及一种检测方法、装置、存储介质及电子设备。

背景技术

网站在搜索引擎中能够取得比较靠前的排名成为绝大多数站长梦寐以求的事情，由此站长投入大量研究以获得搜索引擎高排名，即搜索引擎优化(Search EngineOptimization，SEO)，其中不乏采用作弊手段，暗链即是其中之一。暗链又称为链接隐藏作弊，它是一种用户在浏览器中正常浏览网页时看不到的链接，只有在查看源码时才能发现，但能被搜索引擎计算权重。具体地，在SEO界，黑帽SEO使用者利用很多网站的漏洞，在大量网页中植入暗链，尤其是在一些高权重网站的网页中，这些链接指向自己要推广的网站，进而可以迅速提升这些暗链网站的网页排名。其中，将利用黑灰色技术手段来达到自己目的的行为称作黑帽SEO。

考虑到被植入暗链的网页不仅严重影响到网站的公众信誉度，还有可能对访问该网站的用户造成损失，因此，利用以下两种方式来检测待检测网页中是否存在暗链。第一种方式：采用暗链特征库建立黑白名单，用正则匹配方法对待检测网页中的链接进行特征匹配，以检测待检测网页中是否有已知的暗链特征库中的暗链；第二种方式：通过提取暗链相关的文本特征，利用训练样本训练出分类器模型，然后利用该分类模型对待检测网页进行分类，以确定待检测网页中是否存在暗链。

但上述方式中，第一种方式的暗链特征库包含的特征有限，并且无法及时更新，容易漏报，导致检测结果的准确性较差；第二种方式仅通过文本特征、结构特征等进行训练，训练得到的分类模型的准确率较低。并且，上述两种方式中在确定存在暗链的情况下，仅将存在暗链这一检测结果展示出来，之后，用户手动消除暗链，耗时长，暗链消除效率较低。

发明内容

有鉴于此，本公开实施例的目的在于提供一种检测方法、装置、存储介质及电子设备，用于解决现有技术中检测结果的准确性较差，以及无法自动消除暗链的问题。

第一方面，本公开实施例提供了一种检测方法，应用在扫描器上，其中，所述检测方法包括：

获取目标站点的当前页面；

提取所述当前页面中的链接以及所述链接的特征信息；

在所述链接的域名信息不属于所述当前页面的域名信息的情况下，基于所述特征信息确定所述当前页面中是否存在暗链；

在所述当前页面中存在所述暗链的情况下，控制与所述目标站点连接的用户代理清除所述暗链。

在一种可能的实施方式中，所述基于所述特征信息确定所述当前页面中是否存在暗链，包括：

查找暗链特征库中是否存在不属于所述当前页面的域名信息对应的链接的特征信息；

若存在，确定该特征信息对应的链接为暗链。

在一种可能的实施方式中，所述检测方法还包括：

利用预先训练好的分类模型确定不属于所述暗链特征库中的新特征信息；

利用所述新特征信息更新所述暗链特征库。

在一种可能的实施方式中，所述检测方法还包括：

利用所述新特征信息对所述分类模型进行训练，以更新所述分类模型。

在一种可能的实施方式中，所述控制与所述目标站点连接的用户代理清除所述暗链，包括：

生成清除指令；

将所述清除指令发送给所述用户代理，以使所述用户代理基于所述清除指令清除所述暗链。

在一种可能的实施方式中，所述检测方法还包括：

计算对所述当前页面清除所述暗链得到的清除页面与所述目标站点的备份页面之间的相似度；

在所述相似度大于或等于预设阈值的情况下，确定完成所述暗链清除；

在所述相似度小于预设阈值的情况下，生成提示信息并展示。

在一种可能的实施方式中，所述检测方法还包括：

获取预设时间段内所述目标站点的行为日志确定访问基线；

基于所述访问基线以及所述暗链确定所述目标站点存在的漏洞；

对所述漏洞进行修复。

第二方面，本公开实施例还提供了一种检测装置，其包括：

第一获取模块，用于获取目标站点的当前页面；

提取模块，用于提取所述当前页面中的链接以及所述链接的特征信息；

确定模块，用于在所述链接的域名信息不属于所述当前页面的域名信息的情况下，基于所述特征信息确定所述当前页面中是否存在暗链；

清除模块，用于在所述当前页面中存在所述暗链的情况下，控制与所述目标站点连接的用户代理清除所述暗链。

第三方面，本公开还提供了一种存储介质，其中，该计算机可读存储介质上存储有计算机程序，该计算机程序被处理器运行时执行如下步骤：

获取目标站点的当前页面；

提取所述当前页面中的链接以及所述链接的特征信息；

第四方面，本公开还提供了一种电子设备，其中，包括：处理器、存储器和总线，所述存储器存储有所述处理器可执行的机器可读指令，当电子设备运行时，所述处理器与所述存储器之间通过总线通信，所述机器可读指令被所述处理器执行时执行如下步骤：

获取目标站点的当前页面；

提取所述当前页面中的链接以及所述链接的特征信息；

本公开提供的检测方法，通过分类模型及时对暗链特征库进行更新，提高暗链检测结果的准确性；并且，通过用户代理及时的消除暗链，无需人工手工消除，提高了暗链消除效率，提高了目标站点的安全性；还通过对暗链进行追踪溯源，查找目标站点的漏洞并修复漏洞，进而阻断恶意IP，防止被二次攻击，达到对暗链的注入接口进行处置的目的，提高了目标站点的安全性。

为使本公开的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。

附图说明

为了更清楚地说明本公开或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本公开中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1示出了本公开所提供的检测方法的流程图；

图2示出了本公开所提供的检测方法中基于每个链接的域名信息以及特征信息确定当前页面中是否存在暗链的流程图；

图3示出了本公开所提供的检测方法中控制与目标站点连接的用户代理清除暗链的流程图；

图4示出了本公开所提供的检测方法中确定暗链是否已经完全清除的流程图；

图5示出了本公开所提供的检测方法中查找并修复漏洞的流程图；

图6示出了本公开所提供的检测方法中更新暗链特征库的流程图；

图7示出了本公开所提供的检测装置的结构示意图；

图8示出了本公开所提供的电子设备的结构示意图。

具体实施方式

为了使得本公开的目的、技术方案和优点更加清楚，下面将结合本公开的附图，对本公开的技术方案进行清楚、完整地描述。显然，所描述的实施例是本公开的一部分实施例，而不是全部的实施例。基于所描述的本公开的实施例，本领域普通技术人员在无需创造性劳动的前提下所获得的所有其他实施例，都属于本公开保护的范围。

除非另外定义，本公开使用的技术术语或者科学术语应当为本公开所属领域内具有一般技能的人士所理解的通常意义。本公开中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性，而只是用来区分不同的组成部分。“包括”或者“包含”等类似的词语意指出现该词前面的元件或者物件涵盖出现在该词后面列举的元件或者物件及其等同，而不排除其他元件或者物件。“连接”或者“相连”等类似的词语并非限定于物理的或者机械的连接，而是可以包括电性的连接，不管是直接的还是间接的。“上”、“下”、“左”、“右”等仅用于表示相对位置关系，当被描述对象的绝对位置改变后，则该相对位置关系也可能相应地改变。

为了保持本公开的以下说明清楚且简明，本公开省略了已知功能和已知部件的详细说明。

第一方面，为便于对本公开进行理解，首先对本公开所提供的一种检测方法进行详细介绍。如图1所示，为本公开实施例提供的检测方法的流程图，该检测方法应用在检测器上，具体包括以下步骤：

S101，获取目标站点的当前页面。

这里，根据客户的需求，对目标站点进行监测，并利用爬虫爬取该目标站点的当前页面。

在具体实施中，可以实时监测目标站点的当前页面是否产生变化，在当前页面产生变化时，便爬取当前页面；当然，也可以周期性爬取目标站点的当前页面等。

S102，提取当前页面中的链接以及链接的特征信息。

在获取到目标站点的当前页面之后，提取出当前页面中的链接，例如超链接或统一资源定位符(Uniform Resource Locator，URL)。其中，提取出的链接可以为当前页面中的所有链接，也可以是依据用户需求选定的部分链接，本公开实施例对此不作具体限定。

同时，针对每个链接进行特征提取，以得到该链接的特征信息，包括URL主域名、文本特征、隐藏结构特征等。

S103，在链接的域名信息不属于当前页面的域名信息的情况下，基于特征信息确定当前页面中是否存在暗链。

这里，在检测当前页面中是否存在暗链时，首先判断每个链接的域名信息是否属于当前页面，这里，域名信息包括该链接的URL，具体地，在提取到每个链接的URL之后，查看每个链接的URL是否属于当前页面，也即判断每个连接对应的域名与当前页面对应的域名是否相同。

在确定存在不属于当前页面的域名信息的情况下，进一步地基于特征信息确定当前页面中是否存在暗链。本公开实施例通过对连接的域名信息和和特征信息进行二次检测，能够提高检测的效率以及检测结果的准确性。

图2示出了基于特征信息确定当前页面中是否存在暗链方法，具体步骤包括：

S201，查找暗链特征库中是否存在不属于当前页面的域名信息对应的链接的特征信息。

S202，若存在，确定该特征信息对应的链接为暗链。

在确定存在不属于当前页面的域名信息的情况下，也即确定存在不属于当前页面的链接，此时，查找暗链特征库中是否存在不属于当前页面的域名信息对应的链接的特征信息。其中，暗链特征库为根据暗链预先建立好的，其包括属于暗链的多个特征，其能够检测由CSS样式隐藏、HTML视觉属性、位置属性、颜色属性、字体像素、跑马灯等隐藏的暗链。

若暗链特征库中不存在不属于当前页面的域名信息对应的链接的特征信息，则确定该链接安全，也即不属于暗链；若暗链特征库中存在不属于当前页面的域名信息对应的链接的特征信息，则确定该链接为暗链。

其中，考虑到提取出的链接的特征信息包括多个特征，因此，链接特征库中包括特征信息中的一个或多个，均确定该特征信息对应的链接为暗链。

S104，在当前页面中存在暗链的情况下，控制与目标站点连接的用户代理清除暗链。

考虑到扫描器无法与目标站点实现连接，因此，在进行暗链检测之前，预先为用户代理设置访问目标站点的权限，以建立用户代理与目标站点之间的连接；同时，建立用户代理与扫描器之间的连接。

在确定当前页面中存在暗链的情况下，扫描器控制用户代理，以使用户代理消除当前页面中存在的暗链。

具体地，图3示出了控制与目标站点连接的用户代理清除暗链的方法，具体步骤包括：

S301，生成清除指令。

S302，将清除指令发送给用户代理，以使用户代理基于清除指令清除暗链。

在确定当前页面中存在暗链之后，生成清除指令，并将生成的清除指令发送给用户代理。

用户代理在接收到清除指令之后，根据清除指令执行清除操作，以清除当前页面中存在的暗链。也即，本公开实施例无需用户对暗链进行手动消除，可以自动消除检测出的暗链，大大提高了暗链的消除效率。

在清除当前页面存在的暗链之后，通过图4示出的方法进一步确定暗链是否已经完全清除，具体包括S401-S403。

S401，计算对当前页面清除暗链得到的清除页面与目标站点的备份页面之间的相似度。

S402，在相似度大于或等于预设阈值的情况下，确定完成暗链清除。

S403，在相似度小于预设阈值的情况下，生成提示信息并展示。

在对当前页面中暗链进行清除之后，将得到的清除页面与该目标站点的备份页面进行相似度匹配，并计算该清除页面与备份页面之间的相似度。其中，目标站点的备份页面为目标站点发布当前页面之前，当前页面对应的源页面，也即其不存在任何暗链。

在清除页面与备份页面之间的相似度大于或等于预设阈值的情况下，确定完成暗链清除；在清除页面与备份页面之间的相似度小于预设阈值的情况下，生成提示信息并展示给用户，该提示信息用于提示用户当前页面中仍存在暗链，以使用户能够对当前页面中残余的暗链进行消除，以确保当前页面的安全性。其中，将提示信息展示给用户的方式不限于邮件、短信、对话框等。

进一步地，本公开实施例提供的检测方法中，在检测到当前页面中存在暗链之后，能够进一步地基于每个暗链查找目标站点的漏洞，并修复该漏洞，进而阻断恶意IP，防止被二次攻击，达到对暗链的注入接口进行处置的目的。

进一步地，图5示出了查找并修复漏洞的方法，具体包括S501-S503。

S501，获取预设时间段内目标站点的行为日志确定访问基线。

S502，基于基线以及暗链确定目标站点存在的漏洞。

S503，对漏洞进行修复。

这里，在检测出暗链之后，提取每个暗链的注入时间、位置、隐藏形式、注入点等特征。同时，获取预设时间段内目标站点的行为日志确定访问基线，具体为根据目标站点在预设时间段内的访问流量、用户行为等建立访问基线。

通过基线以及暗链对应的原始日志、报文等，对超出基线的异常请求、恶意URL进行溯源，以此分析出可能被利用的漏洞，进而确定目标站点存在的漏洞。

在确定出目标站点存在的漏洞之后，对该漏洞进行修复，以阻断恶意IP，防止被二次攻击，提高该目标站点的安全性。

考虑到上述暗链特征库需要及时进行更新，以确保检测的准确性，因此，本公开实施例提供了图6示出的更新方法，用来对暗链特征库进行更新，具体步骤如下：

S601，利用预先训练好的分类模型确定不属于暗链特征库中的新特征信息。

S602，利用新特征信息更新暗链特征库。

S603，利用新特征信息对分类模型进行训练，以更新分类模型。

首先，利用预先训练好的分类模型对当前网页中的所有链接进行计算，得到当前网页中的暗链；之后，提取暗链的特征信息，并将提取到的特征信息与暗链特征库中的特征进行对比，以确定提取到的特征信息中是否全部落入暗链特征库中，其中，分类模型暗链的提取特征信息的方法与扫描器提取链接的特征信息的方法可以相同，也可以不同。

若存在未落入暗链特征库的新特征信息，则将新特征信息存储至暗链特征库中，以达到更新暗链特征库的目的，进而在后续利用暗链特征库进行暗链检测时，能够提高检测结果的准确性。其中，新特征信息包括至少一个特征。

当然，在确定出新特征信息之后，将该新特征信息与该新特征信息对应的暗链作为训练数据，对分类模型进行训练，以提高分类模型的准确性。其中，新特征信息至少包括暗链的文本、域名、属性特征、位置特征等。具体地训练过程为：首先将新特征信息向量化，得到特征向量；之后将暗链、新特征信息、特征向量、当前页面作为分类模型的输入，分类模型对当前页面进行计算得到训练暗链，将训练暗链与暗链进行对比，并基于对比结果以及新的暗链特征更新分类模型的参数，以得到新的分类模型，达到提高分类模型的准确性的目的。

基于同一发明构思，本公开的第二方面还提供了一种与检测方法对应的检测装置，由于本公开中的装置解决问题的原理与本公开上述检测方法相似，因此装置的实施可以参见方法的实施，重复之处不再赘述。

参见图7所示，检测装置包括：

第一获取模块701，用于获取目标站点的当前页面；

提取模块702，用于提取所述当前页面中的链接以及所述链接的特征信息；

确定模块703，用于在所述链接的域名信息不属于所述当前页面的域名信息的情况下，基于所述特征信息确定所述当前页面中是否存在暗链；

清除模块704，用于在所述当前页面中存在所述暗链的情况下，控制与所述目标站点连接的用户代理清除所述暗链。

在另一实施例中，所述确定模块703包括：

查找单元，用于查找暗链特征库中是否存在不属于所述当前页面的域名信息对应的链接的特征信息；

第一确定单元，用于在存在不属于所述当前页面的域名信息对应的链接的特征信息到的情况下，确定该特征信息对应的链接为暗链。

在另一实施例中，所述确定模块703还包括：

第二确定单元，用于利用预先训练好的分类模型确定不属于所述暗链特征库中的新特征信息；

第一更新单元，用于利用所述新特征信息更新所述暗链特征库。

在另一实施例中，所述确定模块703还包括：

第二更新单元，用于利用所述新特征信息对所述分类模型进行训练，以更新所述分类模型。

在另一实施例中，所述清除模块704包括：

清除单元，用于生成清除指令；

发送单元，用于将所述清除指令发送给所述用户代理，以使所述用户代理基于所述清除指令清除所述暗链。

在另一实施例中，所述清除模块704还包括：

计算单元，用于计算对所述当前页面清除所述暗链得到的清除页面与所述目标站点的备份页面之间的相似度；

第三确定单元，用于在所述相似度大于或等于预设阈值的情况下，确定完成所述暗链清除；

生成单元，用于在所述相似度小于预设阈值的情况下，生成提示信息并展示。

在另一实施例中，所述检测装置还包括修复模块705，用于：

获取预设时间段内所述目标站点的行为日志确定访问基线；

对所述漏洞进行修复。

本公开的第三方面还提供了一种存储介质，该存储介质为计算机可读介质，存储有计算机程序，该计算机程序被处理器执行时实现本公开任意实施例提供的方法，包括如下步骤：

S11，获取目标站点的当前页面；

S12，提取所述当前页面中的链接以及所述链接的特征信息；

S13，在所述链接的域名信息不属于所述当前页面的域名信息的情况下，基于所述特征信息确定所述当前页面中是否存在暗链；

S14，在所述当前页面中存在所述暗链的情况下，控制与所述目标站点连接的用户代理清除所述暗链。

计算机程序被处理器执行基于所述特征信息确定所述当前页面中是否存在暗链时，还具体被处理器执行如下步骤：查找暗链特征库中是否存在不属于所述当前页面的域名信息对应的链接的特征信息；若存在，确定该特征信息对应的链接为暗链。

计算机程序被处理器执行检测方法时，具体被处理器执行如下步骤：利用预先训练好的分类模型确定不属于所述暗链特征库中的新特征信息；利用所述新特征信息更新所述暗链特征库。

计算机程序被处理器执行检测方法时，还被处理器执行如下步骤：利用所述新特征信息对所述分类模型进行训练，以更新所述分类模型。

计算机程序被处理器执行控制与所述目标站点连接的用户代理清除所述暗链时，还被处理器执行如下步骤：生成清除指令；将所述清除指令发送给所述用户代理，以使所述用户代理基于所述清除指令清除所述暗链。

计算机程序被处理器执行检测方法时，还被处理器执行如下步骤：计算对所述当前页面清除所述暗链得到的清除页面与所述目标站点的备份页面之间的相似度；在所述相似度大于或等于预设阈值的情况下，确定完成所述暗链清除；在所述相似度小于预设阈值的情况下，生成提示信息并展示。

计算机程序被处理器执行检测方法时，还被处理器执行如下步骤：获取预设时间段内所述目标站点的行为日志确定访问基线；基于所述访问基线以及所述暗链确定所述目标站点存在的漏洞；对所述漏洞进行修复。

需要说明的是，本公开上述的存储介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本公开中，计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读信号介质还可以是计算机可读存储介质以外的任何存储介质，该计算机可读信号介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。存储介质上包含的程序代码可以用任何适当的介质传输，包括但不限于：电线、光缆、RF(射频)等等，或者上述的任意合适的组合。

本公开的第四方面还提供了一种电子设备，如图8所示，该电子设备至少包括存储器801和处理器802，存储器801上存储有计算机程序，处理器802在执行存储器801上的计算机程序时实现本公开任意实施例提供的方法。示例性的，电子设备计算机程序执行的方法如下：

S21，获取目标站点的当前页面；

S22，提取所述当前页面中的链接以及所述链接的特征信息；

S23，在所述链接的域名信息不属于所述当前页面的域名信息的情况下，基于所述特征信息确定所述当前页面中是否存在暗链；

S24，在所述当前页面中存在所述暗链的情况下，控制与所述目标站点连接的用户代理清除所述暗链。

处理器在执行存储器上存储的基于所述特征信息确定所述当前页面中是否存在暗链时，还执行如下计算机程序：查找暗链特征库中是否存在不属于所述当前页面的域名信息对应的链接的特征信息；若存在，确定该特征信息对应的链接为暗链。

处理器在执行存储器上存储的检测方法时，还执行如下计算机程序：利用预先训练好的分类模型确定不属于所述暗链特征库中的新特征信息；利用所述新特征信息更新所述暗链特征库。

处理器在执行存储器上存储的检测方法时，还执行如下计算机程序：利用所述新特征信息对所述分类模型进行训练，以更新所述分类模型。

处理器在执行存储器上存储的控制与所述目标站点连接的用户代理清除所述暗链时，还执行如下计算机程序：生成清除指令；将所述清除指令发送给所述用户代理，以使所述用户代理基于所述清除指令清除所述暗链。

处理器在执行存储器上存储的检测方法时，还执行如下计算机程序：计算对所述当前页面清除所述暗链得到的清除页面与所述目标站点的备份页面之间的相似度；在所述相似度大于或等于预设阈值的情况下，确定完成所述暗链清除；在所述相似度小于预设阈值的情况下，生成提示信息并展示。

处理器在执行存储器上存储的检测方法时，还执行如下计算机程序：获取预设时间段内所述目标站点的行为日志确定访问基线；基于所述访问基线以及所述暗链确定所述目标站点存在的漏洞；对所述漏洞进行修复。

附图中的流程图和框图，图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

以上描述仅为本公开的较佳实施例以及对所运用技术原理的说明。本邻域技术人员应当理解，本公开中所涉及的公开范围，并不限于上述技术特征的特定组合而成的技术方案，同时也应涵盖在不脱离上述公开构思的情况下，由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本公开中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。

此外，虽然采用特定次序描绘了各操作，但是这不应当理解为要求这些操作以所示出的特定次序或以顺序次序执行来执行。在一定环境下，多任务和并行处理可能是有利的。同样地，虽然在上面论述中包含了若干具体实现细节，但是这些不应当被解释为对本公开的范围的限制。在单独的实施例的上下文中描述的某些特征还可以组合地实现在单个实施例中。相反地，在单个实施例的上下文中描述的各种特征也可以单独地或以任何合适的子组合的方式实现在多个实施例中。

尽管已经采用特定于结构特征和/或方法逻辑动作的语言描述了本主题，但是应当理解所附权利要求书中所限定的主题未必局限于上面描述的特定特征或动作。相反，上面所描述的特定特征和动作仅仅是实现权利要求书的示例形式。

以上对本公开多个实施例进行了详细说明，但本公开不限于这些具体的实施例，本邻域技术人员在本公开构思的基础上，能够做出多种变型和修改实施例，这些变型和修改都应落入本公开所要求保护的范围之内。

Claims

1.一种检测方法，其特征在于，应用在扫描器上，所述检测方法包括：

获取目标站点的当前页面；

提取所述当前页面中的链接以及所述链接的特征信息；

2.根据权利要求1所述的检测方法，其特征在于，所述基于所述特征信息确定所述当前页面中是否存在暗链，包括：

若存在，确定该特征信息对应的链接为暗链。

3.根据权利要求2所述的检测方法，其特征在于，所述检测方法还包括：

利用所述新特征信息更新所述暗链特征库。

4.根据权利要求3所述的检测方法，其特征在于，所述检测方法还包括：

5.根据权利要求1所述的检测方法，其特征在于，所述控制与所述目标站点连接的用户代理清除所述暗链，包括：

生成清除指令；

6.根据权利要求5所述的检测方法，其特征在于，所述检测方法还包括：

7.根据权利要求1所述的检测方法，其特征在于，所述检测方法还包括：

获取预设时间段内所述目标站点的行为日志确定访问基线；

对所述漏洞进行修复。

8.一种检测装置，其特征在于，包括：

第一获取模块，用于获取目标站点的当前页面；

9.一种存储介质，其特征在于，该计算机可读存储介质上存储有计算机程序，该计算机程序被处理器运行时执行如下步骤：

获取目标站点的当前页面；

提取所述当前页面中的链接以及所述链接的特征信息；

10.一种电子设备，其特征在于，包括：处理器、存储器和总线，所述存储器存储有所述处理器可执行的机器可读指令，当电子设备运行时，所述处理器与所述存储器之间通过总线通信，所述机器可读指令被所述处理器执行时执行如下步骤：

获取目标站点的当前页面；

提取所述当前页面中的链接以及所述链接的特征信息；