CN113395234B - 推广信息的流量劫持检测方法及装置 - Google Patents

推广信息的流量劫持检测方法及装置 Download PDF

Info

Publication number
CN113395234B
CN113395234B CN202010169804.XA CN202010169804A CN113395234B CN 113395234 B CN113395234 B CN 113395234B CN 202010169804 A CN202010169804 A CN 202010169804A CN 113395234 B CN113395234 B CN 113395234B
Authority
CN
China
Prior art keywords
promotion information
information
application program
popularization
promotion
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010169804.XA
Other languages
English (en)
Other versions
CN113395234A (zh
Inventor
余志华
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tencent Technology Shenzhen Co Ltd
Original Assignee
Tencent Technology Shenzhen Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tencent Technology Shenzhen Co Ltd filed Critical Tencent Technology Shenzhen Co Ltd
Priority to CN202010169804.XA priority Critical patent/CN113395234B/zh
Publication of CN113395234A publication Critical patent/CN113395234A/zh
Application granted granted Critical
Publication of CN113395234B publication Critical patent/CN113395234B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

本发明提供了一种推广信息的流量劫持检测方法及装置;方法包括:接收到应用程序发送的与第一推广信息相关联的目标参数;其中,所述第一推广信息与所述应用程序页面中的推广信息位相关联,所述目标参数为,所述应用程序在通过所述推广信息位呈现第二推广信息过程中所获取;基于目标参数,对所述应用程序呈现的所述第二推广信息进行流量劫持分析,得到分析结果;当所述分析结果表征所述第二推广信息与所述第一推广信息不相同时,确定所述推广信息位呈现的所述第二推广信息位对应流量劫持的推广信息。通过本发明,能够准确的识别推广信息的流量劫持行为。

Description

推广信息的流量劫持检测方法及装置
技术领域
本发明涉及数据处理技术,尤其涉及一种推广信息的流量劫持检测方法、装置及存储介质。
背景技术
流量劫持,是黑产利用各种恶意软件,木马修改浏览器、锁定主页或不同弹出新窗口等方式,强制用户访问某些网站或信息,从而造成用户流量损失的情况。
相关技术中对推广信息的流量劫持分析,通常是根据推广信息的曝光率和点击率,来判断推广信息是否有被劫持的可能。然而曝光率和点击率会受到很多因素的影响,例如容易受到推广信息创意本身是否有吸引力等因素的影响,因此,通过推广信息的曝光率和点击率来识别流量劫持的方式,识别的准确率很低。
发明内容
本发明实施例提供一种推广信息的流量劫持检测方法、装置及存储介质,能够准确的识别出推广信息呈现过程中的流量劫持行为。
本发明实施例的技术方案是这样实现的:
本发明实施例提供一种推广信息的流量劫持检测方法,包括:
接收到应用程序发送的与第一推广信息相关联的目标参数;
其中,所述第一推广信息与所述应用程序页面中的推广信息位相关联,所述目标参数为,所述应用程序在通过所述推广信息位呈现第二推广信息过程中所获取;
基于所述目标参数,对所述应用程序呈现的所述第二推广信息进行流量劫持分析,得到分析结果;
当所述分析结果表征所述第二推广信息与所述第一推广信息不相同时,确定所述推广信息位呈现的所述第二推广信息为对应流量劫持的推广信息。
本发明实施例提供一种推广信息的流量劫持检测装置,包括:
接收模块,用于接收到应用程序发送的与第一推广信息相关联的目标参数;其中,所述第一推广信息与所述应用程序页面中的推广信息位相关联,所述目标参数为,所述应用程序在通过所述推广信息位呈现第二推广信息过程中所获取;
分析模块,用于基于所述目标参数,对所述应用程序呈现的所述第二推广信息进行流量劫持分析,得到分析结果;
确定模块,用于当所述分析结果表征所述第二推广信息与所述第一推广信息不相同时,确定所述推广信息位呈现的所述第二推广信息为对应流量劫持的推广信息。
上述方案中,所述装置还包括发送模块;
所述发送模块,用于向所述应用程序发送日志上报指令,所述日志上报指令,用于所述应用程序获取并上报预设时间段内的日志数据;
所述接收模块,还用于接收所述应用程序发送的所述日志数据,所述日志数据,用于供基于所述日志数据,分析所述流量劫持对应的流量劫持路径。
上述方案中,所述分析模块,还用于对所述应用程序发送的所述日志数据进行分析;
当所述日志数据表征,设定时间段内,至少两个第一推广信息显示时长呈现规律分布,并且所述第一推广信息显示时长小于最小显示时长阈值时,确定所述流量劫持对应的流量劫持路径为如下流量劫持路径:
通过模拟点击所述第一推广信息显示页面的功能图标,触发关闭所述第一推广信息的显示页面,在所述推广信息位呈现所述第二推广信息;
其中,所述第一推广信息显示时长为,所述推广信息位显示所述第一推广信息的时长。
上述方案中,所述接收模块,还用于接收所述应用程序发送的页面数据获取请求,所述页面数据获取请求,用于请求获取所述推广信息位对应的推广信息的页面数据;
所述发送模块,还用于返回所述推广信息的页面数据,所述页面数据包括所述功能图标的位置信息,所述功能图标的位置信息为随机分配。
本发明实施例提供一种计算机可读存储介质,存储有可执行指令,用于引起处理器执行时,实现本发明实施例提供的推广信息的流量劫持检测方法。
本发明实施例提供的推广信息的流量劫持检测方法、装置及存储介质,服务器通过对推广信息位呈现第二推广信息时所获取的目标参数进行分析,判断第一推广信息与第二推广信息是否相同;其中,第一推广信息是与推广信息位相关联,是通过推广信息位本应该呈现的推广信息,而第二推广信息是推广信息位实际呈现的推广信息;如果第一推广信息与第二推广信息不同,则说明推广信息位实际呈现的推广信息并非该推广信息位本应该呈现的推广信息,从而判断出推广信息位呈现的第二推广信息是流量劫持对应的推广信息,也就是说推广信息位在呈现推广信息的过程中存在流量劫持。如此,能够准确的识别推广信息的流量劫持行为。
附图说明
图1是本发明实施例提供的推广信息的流量劫持检测方法的实施场景示意图;
图2是本发明实施例提供的电子设备的一个可选的结构示意图;
图3是本发明实施例提供的推广信息的流量劫持检测方法的一个可选的流程示意图;
图4A及图4B是本发明实施例基于点击位置绘制的热力图示意图;
图5是本发明实施例提供的基于展示内容进行流量劫持分析的方法示意图;
图6是本发明实施例提供的推广信息的流量劫持检测方法的一个可选的交互流程示意图;
图7是本发明实施例提供的闪屏广告对比示意图;
图8是本发明实施例提供的流量劫持检测装置的结构示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述,所描述的实施例不应视为对本发明的限制,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
在以下的描述中,涉及到“一些实施例”,其描述了所有可能实施例的子集,但是可以理解,“一些实施例”可以是所有可能实施例的相同子集或不同子集,并且可以在不冲突的情况下相互结合。
在以下的描述中,所涉及的术语“第一\第二\第三”仅仅是是区别类似的对象,不代表针对对象的特定排序,可以理解地,“第一\第二\第三”在允许的情况下可以互换特定的顺序或先后次序,以使这里描述的本发明实施例能够以除了在这里图示或描述的以外的顺序实施。
除非另有定义,本文所使用的所有的技术和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同。本文中所使用的术语只是为了描述本发明实施例的目的,不是旨在限制本发明。
对本发明实施例进行进一步详细说明之前,对本发明实施例中涉及的名词和术语进行说明,本发明实施例中涉及的名词和术语适用于如下的解释。
1)流量劫持:利用各种恶意软件,木马修改浏览器、锁定主页或不停弹出新窗口等方式,强制用户访问某些网站或信息,从而造成用户流量损失的情形。
2)黑产:以网络技术为主要手段,为计算机信息系统安全和网络空间管理秩序带来潜在威胁或重大安全隐患的非法行为。
下面,先对本发明实施例提供的推广信息的流量劫持检测方法的实施场景进行说明,图1为本发明实施例提供的推广信息的流量劫持检测方法的实施场景示意图,参见图1,为实现支撑一个示例性应用,为实现支撑一个示例性应用,终端400上设置有应用程序客户端,如视频播放客户端、即时通讯客户端,终端400通过网络300连接服务器200,网络300可以是广域网或者局域网,又或者是二者的组合。
在一些实施例中,用户打开用户终端400的应用客户端,应用程序客户端基于图形界面410,通过推广信息位呈现第二推广信息,获取并发送与第一推广信息相关联的目标参数;其中,第一推广信息与应用程序页面中的推广信息位相关联,是本次对包含该推广信息位的页面进行展示时,需要通过推广信息位进行呈现的推广信息;
服务器200,用于接收终端400中应用程序发送的目标参数,基于目标参数,对应用程序呈现的第二推广信息进行流量劫持分析,得到分析结果;当分析结果表征第二推广信息与第一推广信息不相同时,确定推广信息为呈现的第二推广信息为对应流量劫持的推广信息。
接下来对实施本发明实施例的推广信息的流量劫持检测方法的电子设备进行说明。参见图2,图2是本发明实施例提供的电子设备的一个可选的结构示意图;图2所示的电子设备200包括:至少一个处理器210、存储器250、至少一个网络接口220和用户接口230。服务器200中的各个组件通过总线系统240耦合在一起。可理解,总线系统240用于实现这些组件之间的连接通信。总线系统240除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图2中将各种总线都标为总线系统240。
处理器210可以是一种集成电路芯片,具有信号的处理能力,例如通用处理器、数字信号处理器(DSP,Digital Signal Processor),或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等,其中,通用处理器可以是微处理器或者任何常规的处理器等。
用户接口230包括使得能够呈现媒体内容的一个或多个输出装置231,包括一个或多个扬声器和/或一个或多个视觉显示屏。用户接口230还包括一个或多个输入装置232,包括有助于用户输入的用户接口部件,比如键盘、鼠标、麦克风、触屏显示屏、摄像头、其他输入按钮和控件。
存储器250可以是可移除的,不可移除的或其组合。示例性的硬件设备包括固态存储器,硬盘驱动器,光盘驱动器等。存储器250可选地包括在物理位置上远离处理器210的一个或多个存储设备。
存储器250包括易失性存储器或非易失性存储器,也可包括易失性和非易失性存储器两者。非易失性存储器可以是只读存储器(ROM,Read Only Me mory),易失性存储器可以是随机存取存储器(RAM,Random Access Memor y)。本发明实施例描述的存储器250旨在包括任意适合类型的存储器。
在一些实施例中,存储器250能够存储数据以支持各种操作,这些数据的示例包括程序、模块和数据结构或者其子集或超集,下面示例性说明。
操作系统251,包括用于处理各种基本系统服务和执行硬件相关任务的系统程序,例如框架层、核心库层、驱动层等,用于实现各种基础业务以及处理基于硬件的任务;
网络通信模块252,用于经由一个或多个(有线或无线)网络接口220到达其他计算设备,示例性的网络接口220包括:蓝牙、无线相容性认证(WiFi)、和通用串行总线(USB,Universal Serial Bus)等;
呈现模块253,用于经由一个或多个与用户接口230相关联的输出装置231(例如,显示屏、扬声器等)使得能够呈现信息(例如,用于操作外围设备和显示内容和信息的用户接口);
输入处理模块254,用于对一个或多个来自一个或多个输入装置232之一的一个或多个用户输入或互动进行检测以及翻译所检测的输入或互动。
在一些实施例中,本发明实施例提供的装置可以采用软件方式实现,图2示出了存储在存储器250中的推广信息的流量劫持检测装置255,其可以是程序和插件等形式的软件,包括以下软件模块:接收模块2551、分析模块2552、确定模块2553和发送模块2554,这些模块是逻辑上的,因此根据所实现的功能可以进行任意的组合或进一步拆分。将在下文中说明各个模块的功能。
在另一些实施例中,本发明实施例提供的推广信息的流量劫持检测装置可以采用硬件方式实现,作为示例,本发明实施例提供的装置可以是采用硬件译码处理器形式的处理器,其被编程以执行本发明实施例提供的推广信息的流量劫持检测方法,例如,硬件译码处理器形式的处理器可以采用一个或多个应用专用集成电路(ASIC,ApplicationSpecific Integrated Circuit)、DSP、可编程逻辑器件(PLD,Programmable LogicDevice)、复杂可编程逻辑器件(CPLD,Complex Programmable Logic Device)、现场可编程门阵列(FPGA,Field-Pro grammable Gate Array)或其他电子元件。
下面,对本发明实施例提供的推广信息的流量劫持检测方法进行说明。参见图3,图3是本发明实施例提供的推广信息的流量劫持检测方法的一个可选的流程示意图,在一些实施例中,该推广信息的流量劫持检测方法可由服务器或终端实施,或由服务器及终端协同实施,下面以服务器实施为例,结合图3示出的步骤进行说明。
步骤101:服务器接收到应用程序发送的与第一推广信息相关联的目标参数。
其中,第一推广信息与应用程序页面中的推广信息位相关联,目标参数为,应用程序在通过推广信息位呈现第二推广信息过程中所获取;
这里,第一推广信息是应用程序页面的推广信息位本应该呈现的推广信息,第二推广信息是应用程序页面的推广信息位实际呈现的推广信息;以推广信息为广告为例,在实际应用中,该广告所对应的展示形式可以为闪屏广告、插屏广告、浮层广告等;以广告的展示形式为闪屏广告为例,当终端中的应用程序启动时,从服务器侧拉取第一推广信息所对应的页面数据,以进行闪屏广告展示,应用程序在通过闪屏广告位进行闪屏广告展示过程中,若存在流量劫持,则实际展示的广告内容(即第二推广信息)与本应展示的广告内容(第一推广信息)不同,若不存在流量劫持,则二者的内容相同。
在一些实施例中,目标参数可以包括点击位置、展示内容、应用程序进程状态、生命周期的回调参数中至少一种。例如,目标参数包括点击位置及展示内容两种参数;其中,点击位置可以为用户点击第二推广信息时的位置坐标,展示内容可以为应用程序展示第二推广信息时的截图内容。
步骤102:服务器基于目标参数,对应用程序呈现的第二推广信息进行流量劫持分析,得到分析结果。
服务器根据接收到的目标参数,对应用程序客户端页面的推广信息位实际呈现的第二推广信息进行流量劫持分析,以判断应该通过推广信息位呈现的第一推广信息是否遭到流量劫持,在实际应用中,当服务器接收到的目标参数不同时,可以采用不同的流量劫持分析方式。
在一些实施例中,当目标参数为点击位置时,服务器可通过如下方式对应用程序呈现的第二推广信息进行流量劫持分析:
服务器统计接收到的点击位置的数量,当点击位置数量达到数量阈值时,基于点击位置,绘制热力图;当热力图表征点击位置集中分布或均匀分布时,确定第二推广信息与第一推广信息不相同。
这里,点击位置,是指应用程序客户端中在推广信息位呈现推广信息时,用户对推广信息的点击位置,应用程序在通过推广信息位呈现第二推广信息的过程中获取用户针对第二推广信息的点击位置并上报服务器,该点击位置可以为点击坐标、点击区域等;热力图,是一种通过使用具备显著颜色差异的方式呈现数据效果的密度图,通过热力图能够更直观有效的展现出用户在推广信息页面的点击情况。
在实际应用中,用户会根据个人习惯或所呈现的推广信息的特征(如推广商品在推广信息页面中的位置)点击所呈现的推广信息,点击位置分布更随机,若应用程序通过推广信息位呈现推广信息的过程中存在流量劫持,则用户点击的对象并非本应呈现的第一推广信息,而用户针对流量劫持对应的第二推广信息的点击位置不会被应用程序得到并上报,应用程序获取到的是黑产模拟的针对第一推广信息的点击位置,而模拟的点击位置集中分布或者均匀分布,因此,当服务器基于点击位置绘制的热力图表征点击位置集中分布或者均匀分布时,便可确定该应用程序在呈现推广信息过程中存在流量劫持。
图4A及图4B是本发明实施例基于点击位置绘制的热力图示意图,在热力图中,点击位置的分布是通过特殊高亮显示的方式来表征的,参见图4A及图4B,在图4A中,标号41所示区域为特殊高亮显示区域,该区域指示点击位置的分布,可以明显的看出,点击位置集中分布;在图4B中,标号42所示区域为特殊高亮显示区域,该区域指示点击位置的分布,可以明显的看出,点击位置均匀分布,而在实际应用中,由于用户对于呈现的推广信息的点击往往较为随机,因此,当通过热力图分析出点击位置集中分布或均匀分布时,可知接收到的上报的点击位置为非用户真实的点击位置数据,而是黑产模拟的点击位置,进而可以确定第一推广信息与第二推广信息不相同,也即可确定第一推广信息的呈现过程中存在流量劫持。
在一些实施例中,当目标参数为展示内容时,服务器可通过如下方式对应用程序呈现的第二推广信息进行流量劫持分析:
服务器将第一推广信息的展示内容与第二推广信息的展示内容做相似度比对;当相似度低于相似度阈值时,确定第二推广信息与第一推广信息不相同。
在实际实施时,展示内容可以为图片内容或文本内容;相似度阈值大小可以依据实际需要进行设定,如设定相似度阈值为85%。
以展示内容为图片内容为例,在一些实施例中,第二推广信息的展示内容,可以是应用程序在获取截屏权限后,在通过推广信息位呈现第二推广信息时截取的对应第二推广信息的截屏图片;第一推广信息的展示内容为,广告主提供的对应第一推广信息的推广信息图片;服务器将应用程序上报的截屏图片与自身存储的推广信息图片进行相似度匹配,当相似度不低于预设的相似度阈值时,确定截屏图片与推广信息图片相同,当相似度低于相似度阈值时,确定截屏图片与推广信息图片不相同,也即,确定截屏图片为对应流量劫持的第二推广信息的图片,本应呈现的第一推广信息被流量劫持。
参见图5,图5是本发明实施例提供的基于展示内容进行流量劫持分析的方法示意图,其中,标号51所示为应用程序上报的对应呈现的第二推广信息的截屏图片,标号52所示为服务器自身存储的对应第一推广信息的推广信息图片,可以发现,黑产仿制的第二推广信息页面结构与广告主配置的第一推广信息页面结构基本相同,只有推广信息实质内容存在差异。为了确定推广信息位呈现的第二推广信息是否为流量劫持对应的推广信息。服务器需要对第二推广信息的实质内容与第一推广信息的实质内容进行相似度比对。
在实际实施时,服务器可以通过将应用程序上报的截屏图片与自身存储的推广信息图片的每个像素点进行比对,若像素点像素值相等,则相似点加一,如此,扫描完两张图片,就能得到两张图片之间的相似点的数量,再将相似点数量除以总像素点数量,即可得到两张图片的相似度。或者,服务器还可以通过计算两张图片的互信息,根据互信息的比值确定两张图片的相似度,关于计算相似度的方法,在这里就不具体限制了。当两张图片的相似度不低于相似度阈值,则确定应用程序上报的截屏图片与自身存储的推广信息图片相同,反之,确定应用程序上报的截屏图片与自身存储的推广信息图片不相同,即截屏图片为对应流量劫持的第二推广信息的图片,本应呈现的第一推广信息被流量劫持。
在一些实施例中,当目标参数为生命周期的回调参数时,服务器可通过如下方式对应用程序呈现的第二推广信息进行流量劫持分析:
服务器统计目标时间段内,出现切换时间差的次数;当切换时间差的次数超过第一次数阈值时,确定第二推广信息与第一推广信息不相同。
其中,切换时间差为,推广信息位呈现第二推广信息时,调用界面获得焦点回调参数与调用界面失去焦点回调参数之间的时间差;
这里,界面获得焦点回调参数,是指Activity的回调方法onResume(),onResume()是当用户与Activity进行交互时被调用的;此时Activity处于运行状态;界面失去焦点回调参数,是指Activity的回调方法onPause(),onPause()在启动或恢复其他Activity时被调用,onPause()被调用后,Activity进入后台,处于不可见状态。而统计用户在目标时间段内的切换时间差次数,可以是统计单个用户,也可以是一个区域内的多个用户,而目标时间段可以根据实际需要进行设定,如一天之内,或一周之内;第一次数阈值可以依据实际需要进行设定,如设定第一次数阈值为4次,在这里就不具体限制。
在实际应用中,用户启动应用程序后,应用程序通过推广信息位向用户呈现推广信息时,Activity需要调用onResume(),实现用户与Activity的交互;若应用程序通过推广信息位呈现推广信息的过程中存在流量劫持,则用户看到的推广信息并非本应该呈现的第一推广信息,应用程序会在启动之后,迅速切换为后台运行状态,此时Activity需要调用onPause(),使Activity处于不可见状态,即Activity调用onResume()与调用onPause()之间的切换时间差会非常短。并且,为了避免因为用户误操作而导致误判的情况,服务器在分析流量劫持时,统计目标时间段内,用户切换时间差的次数,将切换时间差次数与第一次数阈值进行对比,当切换时间差的次数小于第一次数阈值,确定可能是用户误操作导致的切换时间差,当切换时间差次数超过第一次数阈值,确定推广信息位呈现给用户的第二推广信息并非推广信息位本应该呈现的第一推广信息。
在一些实施例中,当目标参数为应用程序的进程状态时,服务器可通过如下方式对应用程序呈现的第二推广信息进行流量劫持分析:
服务器统计预设时间段内,当推广信息位呈现第二推广信息时,所述应用程序的进程状态为后台运行状态的次数;当统计到的应用程序的进程状态为后台运行状态的次数超过第二次数阈值时,确定第二推广信息与第一推广信息不相同。
这里,统计预设时间段内,推广信息位呈现第二推广信息时,应用程序的进程状态为后台运行状态的次数,可以是统计单个用户,也可以是一个区域内的多个用户,而预设时间段可以根据实际需要进行设定,如一天之内,或者一周之内,第二次数阈值可以依据实际需要进行设定,如设定第二次数阈值为3次,在这里就不具体限制。
在实际应用中,若推广信息位呈现推广信息的过程中存在流量劫持,则在推广信息位呈现推广信息时,应用程序进程状态应为后台运行状态,因此,服务器通过判断推广信息位呈现推广信息时的应用程序进程状态,可以确定推广信息位呈现推广信息的过程中存在流量劫持。同时,为了避免因为用户误操作而导致误判的情况,服务器在分析流量劫持时,可以统计目标时间段内,用户切换时间差的次数,将切换时间差次数与第二次数阈值进行对比,当切换时间差的次数小于第二次数阈值,确定可能是用户误操作导致的切换时间差,当切换时间差次数超过第二次数阈值,确定推广信息位呈现给用户的第二推广信息并非推广信息位本应该呈现的第一推广信息。
在另一些实施例中,由于目标参数可以包括点击位置、展示内容、应用程序进程状态、生命周期的回调参数中至少一种,当服务器获取的目标参数包含两种或两种以上时,基于目标参数,服务器分别执行对应各个目标参数的流量劫持分析方式,得到各个目标参数对应的分析结果。若分析结果中至少有一个分析结果表征第二推广信息与第一推广信息不相同,则确定当目标参数包含两种或两种以上时,流量劫持的分析结果为第一推广信息与第二推广信息不相同,也即,当分析结果中至少有一个分析结果表征第二推广信息与第一推广信息不相同时,确定通过推广信息位呈现的第二推广信息为对应流量劫持的推广信息。
以目标参数包括点击位置和展示内容为例,服务器分别基于目标参数执行对应的流量劫持分析方式,得到两个流量劫持分析结果,若基于点击位置进行流量劫持分析得到的分析结果表征第一推广信息与第二推广信息相同,而基于展示内容确定的分析结果表明第一推广信息与第二推广信息不相同,则服务器基于这两个目标参数确定的分析结果为第一推广信息与第二推广信息不相同,进而确定通过推广信息位呈现的第二推广信息为对应流量劫持的推广信息。如此,通过获取多组不同类型的目标参数,经由不同的流量劫持分析方式,对推广信息位呈现的第二推广信息进行流量劫持分析,多维度的分析流量劫持行为,使得流量劫持分析更全面,流量劫持识别准确率更高。
步骤103:当分析结果表征第二推广信息与第一推广信息不相同时,确定推广信息位呈现的第二推广信息为对应流量劫持的推广信息。
具体地,当服务器流量劫持分析结果表征第二推广信息与第一推广信息不相同时,即推广信息位实际呈现的推广信息并非推广信息位本应该呈现的推广信息时,可以确定第二推广信息为对应流量劫持的推广信息;通过推广信息位呈现推广信息过程中获取的目标参数,分析推广信息对应的流量劫持,避免基于推广信息的点击率和曝光率来分析流量劫持,提高推广信息的流量劫持准确度。
通过上述方式,实现了推广信息的流量劫持检测方法,应用程序客户端在推广信息位呈现推广信息时,获取与推广信息相关联的目标参数,发送给服务器,服务器基于目标参数,对推广信息进行流量劫持分析,能够准确的识别推广信息的流量劫持行为。
在另一些实施例中,服务器在确定推广信息位呈现的第二推广信息为对应流量劫持的推广信息后,为了分析流量劫持对应的流量劫持路径,还可以向所述应用程序发送日志上报指令,接收应用程序发送的日志数据,以基于日志数据,分析流量劫持对应的流量劫持路径。
这里,日志上报指令,用于应用程序获取并上报预设时间段内的日志数据;日志数据包括:通过推广信息位呈现第二推广信息所产生的日志数据;预设时间段可以依据实际需要进行设定,如半个小时,或一个小时,还可以由用户自己设定,在这里就不具体限制。
在实际实施时,推广信息的流量劫持检测方法还可以包括:服务器向用户终端发送应用程序客户端在通过推广信息位呈现推广信息的过程中存在流量劫持的确定信息,用户终端接收到确定信息后,向用户发送告警提示信息,提示用户,终端可能存在病毒侵袭或木马植入的风险。
在一些实施例中,服务器在接收应用程序发送的日志数据后,还可以执行:
对应用程序发送的日志数据进行分析;
当日志数据表征,设定时间段内,至少两个第一推广信息显示时长呈现规律分布,并且第一推广信息显示时长小于最小显示时长阈值时,确定流量劫持对应的流量劫持路径为如下流量劫持路径:
通过模拟点击第一推广信息显示页面的功能图标,触发关闭第一推广信息的显示页面,在推广信息位呈现所述第二推广信息;
其中,第一推广信息显示时长为,推广信息位显示第一推广信息的时长。
在实际应用中,服务器对应用程序发送的日志数据进行分析,根据推广信息位呈现第二推广信息所产生的日志数据的变化,确定该推广信息位存在的流量劫持对应的流量劫持路径。
在实际实施时,若日志数据表明,推广信息位显示第一推广信息的时长小于最小显示时长阈值,这里,最小显示时长阈值可以根据实际情况进行设定,例如,设定为0.5秒。并且,在设定时间段内,出现了多次第一推广信息显示时长小于最小显示时长阈值的情况,由此可以推测出流量劫持对应的流量劫持路径为:应用程序通过推广信息位向用户呈现第一推广信息,黑产迅速模拟点击第一推广信息页面上的“跳过”功能图标,在极短的时间内(即小于最小显示时长阈值)关闭第一推广信息的显示页面,然后在推广信息位覆盖第二推广信息,让用户没有察觉出第一推广信息的显示。
通过上述方式,服务器在识别出推广信息位存在流量劫持之后,还能够根据通过推广信息位呈现推广信息时所产生的日志数据,分析出流量劫持对应的流量劫持路径。
在一些实施例中,服务器在分析出流量劫持对应的流量劫持路径后,为了阻止黑产基于上述流量劫持路径,实现流量劫持所执行的操作,可以执行如下操作:
服务器接收应用程序发送的页面数据获取请求,并返回所述推广信息的页面数据;其中,页面数据获取请求,用于请求获取推广信息位对应的推广信息的页面数据;页面数据包括功能图标的位置信息,功能图标的位置信息为服务器随机分配。
这里,页面数据中包括的功能图标,用于指示取消显示当前页面的功能入口,也即,当用户点击推广信息页面中的功能图标时,将取消对于该推广信息页面的显示。
例如,上述流量劫持对应的流量劫持路径可以为:在应用程序客户端呈现推广信息时,模拟点击第一推广信息页面的“跳过”功能图标,从而关闭了第一推广信息的显示页面,并在推广信息位覆盖显示第二推广信息。
对此,为了抵制这种流量劫持,可以在应用程序客户端检测到推广信息位,向服务器发送推广信息的页面数据获取请求时,服务器随机分配推广信息显示页面的功能图像位置,并将推广信息的页面数据返回给应用程序客户端。如此,应用程序每次通过推广信息位呈现第一推广信息时,第一推广信息页面上的功能图标位置都可能不同,黑产无法通过模拟点击的方式关闭第一推广信息的显示页面,从而抵制了这种流量劫持路径的实施。
在识别出推广信息位存在流量劫持之后,通过获取日志数据,根据日志数据分析出流量劫持对应的流量劫持路径,并根据流量劫持路径,制定出抵制该流量劫持路径的策略,避免用户终端的应用客户端被流量劫持,保证用户数据安全。
接下来,继续对本发明实施例提供的推广信息的流量劫持检测方法进行介绍,图6是本发明实施例提供的推广信息的流量劫持检测方法的一个可选的交互流程示意图,参见图6,本发明实施例提供的推广信息的流量劫持检测方法由终端的应用程序、服务器协同实施。
步骤601:应用程序检测到推广信息位,向服务器发送推广信息获取请求。
步骤602:服务器接收到应用程序发送的推广信息获取请求,返回第一推广信息。
步骤603:应用程序在通过推广信息位呈现第二推广信息时,获取并发送目标参数。
这里,第一推广信息是应用程序在推广信息位本应该呈现的推广信息,第二推广信息,是应用程序在推广信息位中实际呈现的推广信息;以推广信息为广告为例,在实际应用中,该广告所对应的展示形式可以为闪屏广告、插屏广告、浮层广告等;以广告的展示形式为闪屏广告为例,当终端中的应用程序启动时,从服务器侧拉取第一推广信息所对应的页面数据,以进行闪屏广告展示,应用程序在通过闪屏广告位进行闪屏广告展示过程中,若存在流量劫持,则实际展示的广告内容(即第二推广信息)与本应展示的广告内容(第一推广信息)不同,若不存在流量劫持,则二者的内容相同。
在一些实施例中,目标参数是应用程序在通过推广信息位实际呈现推广信息的过程中获取的,是与该推广信息位本应该呈现的推广信息相关联的参数,目标参数可以包括点击位置、展示内容、应用程序进程状态、生命周期的回调参数中至少一种。例如,目标参数包括点击位置及展示内容两种参数;其中,点击位置可以为用户点击第二推广信息时的位置坐标,展示内容可以为应用程序展示第二推广信息时的截图内容。
步骤604:服务器基于接收到应用程序发送的目标参数,对应用程序呈现的第二推广信息进行流量劫持分析,得到分析结果。
服务器根据接收到的目标参数,对应用程序客户端页面的推广信息位实际呈现的第二推广信息进行流量劫持分析,以判断应该通过推广信息位呈现的第一推广信息是否遭到流量劫持,在实际应用中,当服务器接收到的目标参数不同时,可以采用不同的流量劫持分析方式。
在一些实施例中,当目标参数为点击位置时,服务器可通过如下方式对应用程序呈现的第二推广信息进行流量劫持分析:
服务器统计接收到的点击位置的数量,当点击位置数量达到数量阈值时,基于点击位置,绘制热力图;当热力图表征点击位置集中分布或均匀分布时,确定第二推广信息与第一推广信息不相同。
这里,点击位置,是指应用程序客户端中在推广信息位呈现推广信息时,用户对推广信息的点击位置,应用程序在通过推广信息位呈现第二推广信息的过程中获取用户针对第二推广信息的点击位置并上报服务器,该点击位置可以为点击坐标、点击区域等;热力图,是一种通过使用具备显著颜色差异的方式呈现数据效果的密度图,通过热力图能够更直观有效的展现出用户在推广信息页面的点击情况。
在一些实施例中,当目标参数为展示内容时,服务器可通过如下方式对应用程序呈现的第二推广信息进行流量劫持分析:
服务器将第一推广信息的展示内容与第二推广信息的展示内容做相似度比对;当相似度低于相似度阈值时,确定第二推广信息与第一推广信息不相同。
在实际实施时,展示内容可以为图片内容或文本内容;相似度阈值大小可以依据实际需要进行设定,如设定相似度阈值为85%。
在一些实施例中,当目标参数为生命周期的回调参数时,服务器可通过如下方式对应用程序呈现的第二推广信息进行流量劫持分析:
服务器统计目标时间段内,出现切换时间差的次数;当切换时间差的次数超过第一次数阈值时,确定第二推广信息与第一推广信息不相同。
其中,切换时间差为,推广信息位呈现第二推广信息时,调用界面获得焦点回调参数与调用界面失去焦点回调参数之间的时间差;
这里,界面获得焦点回调参数,是指Activity的回调方法onResume(),onResume()是当用户与Activity进行交互时被调用的;此时Activity处于运行状态;界面失去焦点回调参数,是指Activity的回调方法onPause(),onPause()在启动或恢复其他Activity时被调用,onPause()被调用后,Activity进入后台,处于不可见状态。而统计用户在目标时间段内的切换时间差次数,可以是统计单个用户,也可以是一个区域内的多个用户,而目标时间段可以根据实际需要进行设定,如一天之内,或一周之内;第一次数阈值可以依据实际需要进行设定,如设定第一次数阈值为4次,在这里就不具体限制。
在一些实施例中,当目标参数为应用程序的进程状态时,服务器可通过如下方式对应用程序呈现的第二推广信息进行流量劫持分析:
服务器统计预设时间段内,当推广信息位呈现第二推广信息时,所述应用程序的进程状态为后台运行状态的次数;当统计到的应用程序的进程状态为后台运行状态的次数超过第二次数阈值时,确定第二推广信息与第一推广信息不相同。
这里,统计用户在预设时间段内的无效曝光次数,可以是统计单个用户,也可以是一个区域内的多个用户,而预设时间段可以根据实际需要进行设定,如一天之内,或者一周之内,第二次数阈值可以依据实际需要进行设定,如设定第二次数阈值为3次,在这里就不具体限制。
在另一些实施例中,当服务器获取的目标参数包含多个参数时,基于目标参数,服务器分别执行对应各个目标参数的流量劫持分析方式,在得到各个目标参数对应的分析结果后,若分析结果中至少有一个分析结果表征第二推广信息与第一推广信息不相同,则确定基于多个目标参数,进行流量劫持分析的分析结果为第一推广信息与第二推广信息不相同。
例如,应用程序获取并发送的目标参数包括:点击位置、展示内容和应用程序的进程状态;服务器基于接收到的目标参数,分别执行对应的流量劫持分析方式。即,服务器统计接收到的点击位置的数量,当点击位置数量达到数量阈值时,基于点击位置,绘制热力图;基于热力图得到第一分析结果;服务器再将第一推广信息的展示内容与第二推广信息的展示内容做相似度比对,根据相似度比对结果,得到第二分析结果;最后服务器统计预设时间段内的,推广信息位呈现第二推广信息时,应用程序的进程状态为后台运行状态的次数;并将统计的次数与预先设定的第二次数阈值进行比较,得到第三分析结果;
若第一、第二、第三分析结果中,至少有一个分析结果表明第一推广信息与第二推广信息不同,即可确定第二推广信息被流量劫持。
如此,服务器可以基于多种不同的目标参数,经由不同的流量劫持分析方式,从不同分析角度对第二推广信息进行流量劫持分析,多维度的分析流量劫持行为,使得流量劫持分析更全面,流量劫持识别准确率更高
步骤605:当分析结果表征第二推广信息与第一推广信息不相同时,服务器确定推广信息位呈现的第二推广信息为对应流量劫持的推广信息。
通过推广信息位呈现推广信息过程中获取的目标参数,分析推广信息对应的流量劫持,避免基于推广信息的点击率和曝光率来分析流量劫持,提高推广信息的流量劫持准确度。
在一些实施例中,服务器在确定推广信息位呈现的第二推广信息为对应流量劫持的推广信息后,向应用程序发送推广信息位呈现推广信息的过程中存在流量劫持的确定信息,应用程序接收到存在流量劫持的确定信息后,向用户发送告警提示信息,提示本终端可能存在病毒或木马攻击风险。
在一些实施例中,服务器在确定推广信息位呈现的第二推广信息为对应流量劫持的推广信息后,为了分析流量劫持对应的流量劫持路径,还可以向所述应用程序发送日志上报指令,应用程序接收到日志上报指令,获取并上报日志数据,服务器基于应用程序上报的日志数据,分析流量劫持对应的流量劫持路径。
这里,日志上报指令,用于应用程序获取并上报预设时间段内的日志数据;其中日志数据包括:通过推广信息位呈现第二推广信息所产生的日志数据;应用程序发送的日志数据,用于供服务器基于日志数据,分析流量劫持对应的流量劫持路径。
在实际应用中,服务器对应用程序发送的日志数据进行分析,根据推广信息位呈现第二推广信息所产生的日志数据的变化,确定该推广信息位存在的流量劫持对应的流量劫持路径。
在实际实施时,若日志数据表征,设定时间段内,至少两个第一推广信息显示时长呈现规律分布,并且第一推广信息显示时长小于最小显示时长阈值时,推测流量劫持对应的流量劫持路径为如下流量劫持路径:
通过模拟点击第一推广信息显示页面的功能图标,触发关闭第一推广信息的显示页面,在推广信息位呈现第二推广信息;
其中,第一推广信息显示时长为,推广信息位显示所述第一推广信息的时长。
在一些实施例中,服务器在分析出流量劫持对应的流量劫持路径后,为了阻止黑产基于流量劫持路径,实现流量劫持所执行的操作包括:
应用程序在检测到推广信息位时,向服务器发送页面数据获取请求;其中,页面数据获取请求,用于请求获取推广信息位对应的推广信息的页面数据;
服务器接收到应用程序发送的页面数据获取请求后,返回推广信息页面数据;其中页面数据包括功能图标的位置信息,该功能图标的位置信息是服务器随机分配的。
如此,在识别出推广信息位存在流量劫持之后,通过获取日志数据,根据日志数据分析出流量劫持对应的流量劫持路径,并根据流量劫持路径,制定出抵制该流量劫持路径的策略,避免用户终端的应用客户端被流量劫持。
下面,将说明本发明实施例在一个实际的应用场景中的示例性应用。
首先以腾讯视频客户端的闪屏广告为例,分析闪屏广告流量劫持场景。
黑产对腾讯视频客户端闪屏广告页面进行分析,参见图7,图7是本发明实施例提供的闪屏广告对比示意图,其中,标号71所示为腾讯视频的闪屏广告页面,标号72所示为黑产仿制的闪屏广告页面。可以发现闪屏广告页面中标号73至75所示的广告标识、“跳过”功能图标以及腾讯视频标识区这三个部分不会随广告内容而变化,于是,模拟出相同的广告页面结构,将广告实质内容更换,就能够制作出与腾讯视频客户端相同的闪屏广告界面。并且黑产还会进一步模仿闪屏广告的展示时间、闪屏广告被点击后链接的页面的结构、以及闪屏广告“跳过”功能图标被点击后,闪屏广告消失的特征,由此,黑产制作了一个与腾讯视频客户端闪屏广告页面完全相同的模拟闪屏广告页面。
用户在终端界面点击腾讯视频客户端时,黑产在客户端启动的一瞬间,将模拟闪屏广告页面启动,将其覆盖在客户端闪屏广告页面上,如此,呈现给用户的闪屏广告,就被替换为模拟闪屏广告,从而劫持用户的流量。
并且黑产可以通过服务器,随时下发指令,以关闭流量劫持,限制一天内流量劫持的频率,或者制作出模拟点击等各种欺骗策略,使得应用程序上报给服务器的点击率和曝光率处于正常的范围内,以欺骗应用程序开发者。
基于此,下面将对本发明实施例提供的推广信息的流量劫持检测方法进行说明。
步骤701:服务器接收到腾讯视频客户端上报的闪屏广告相关联的目标参数;
其中,目标参数包括应用程序进程状态、生命周期回调参数、闪屏广告截屏图片和用户对闪屏广告的点击坐标;
步骤702:基于目标参数,服务器对腾讯视频客户端呈现的闪屏广告进行流量劫持分析,得到分析结果;
具体地,服务器可以基于目标参数,分别执行对应各个目标参数的流量劫持方式对腾讯视频客户端呈现的闪屏广告进行流量劫持分析。
首先基于应用程序进程状态参数,服务器在预设时间段内,统计腾讯视频客户端上报的应用程序进程状态为后台运行状态的次数,若应用程序进程状态为后台运行状态的次数超过第二次数阈值,则得到的分析结果为客户端实际呈现的闪屏广告并非其本应该呈现的闪屏广告。
其中,应用程序进程状态,是指闪屏广告处于曝光状态时的应用程序进程状态。
在实际应用中,闪屏广告被流量劫持时,闪屏广告页面并不在前台显示,应用程序的进程会切换到后台运行状态,应用程序在向服务器上报曝光数据时,会上报应用程序的进程状态。如果闪屏广告处于曝光时,应用程序的进程处于前台运行状态,则闪屏广告的曝光是有效曝光;如果闪屏广告处于曝光时,应用程序的进程处于后台运行状态,则闪屏广告的曝光是无效曝光;通过腾讯视频客户端上报的应用程序进程状态,对应用程序的闪屏广告无效曝光次数进行统计,若无效曝光次数超过第二次数阈值。
其次,基于生命周期回调参数,服务器统计在目标时间段内,Activity调用onResume()和调用onPause()之间的切换时间差的出现次数,当切换时间差的次数超过第一次数阈值时,确定客户端实际呈现的闪屏广告并非其本应该呈现的闪屏广告。
在实际应用中,由于Activity从前台运行状态切换到后台运行状态,会先调用onResume(),然后调用onPause(),服务器统计在目标时间段内,腾讯视频客户端上报调用onResume()和调用onPause()之间的切换时间差,当切换时间差的出现次数较多,并且切换时间差非常短时,闪屏广告存在被流量劫持的可能。
然后,基于闪屏广告截屏图片,服务器将腾讯视频客户端截取的闪屏广告图片和广告主配置的闪屏广告图片进行相似度比对;当相似度低于相似度阈值时,确定闪屏广告被流量劫持;
在实际实施时,需要对腾讯视频客户端进行设置,以获取截屏权限;在腾讯视频客户端展示闪屏广告时,自动截屏保存并上传服务器。
通过将腾讯视频客户端实际展示的闪屏广告与广告主配置的闪屏广告进行对比,以防止闪屏广告被黑产偷梁换柱。
最后,基于用户对闪屏广告的点击坐标,服务器统计腾讯视频客户端上报的用户对闪屏广告的点击坐标,当点击坐标的数量达到数量阈值时,基于点击坐标,绘制热力图;当热力图表征点击位置集中分布或均匀分布时,确定客户端实际呈现的闪屏广告与客户端本应该呈现的闪屏广告不相同。
在实际应用中,用户可能会根据个人习惯或推广信息特征点击闪屏广告,其点击坐标分布更随机,若应用程序通过推广信息位呈现推广信息的过程中存在流量劫持,则用户点击的对象并非本应呈现的第一推广信息,而用户针对流量劫持对应的第二推广信息的点击位置不会被应用程序得到并上报,应用程序获取到的是黑产模拟的针对第一推广信息的点击位置,而模拟的点击位置集中分布或者均匀分布,因而,当热力图中特殊高亮显示区域集中分布或均匀分布时,说明腾讯视频上报的用户对闪屏广告的点击坐标可能是黑产模拟点击坐标,即客户端实际呈现的闪屏广告与客户端本应该呈现的闪屏广告不相同。
步骤703:当分析结果表征实际呈现的闪屏广告与广告主配置的闪屏广告不相同时,确定腾讯视频客户端闪屏广告位实际呈现的闪屏广告为对应流量劫持的闪屏广告。
服务器基于上述目标参数,分别得到对应的分析结果,若分析结果中至少有一个结果表征实际呈现的闪屏广告与广告主配置的闪屏广告不相同时,服务器可以确定腾讯视频客户端闪屏广告位实际呈现的闪屏广告为对应流量劫持的闪屏广告。
例如,服务器基于应用程序进程状态参数,得到的第一分析结果表征客户端实际呈现的闪屏广告与客户端本应该呈现的闪屏广告不相同;基于生命周期回调参数,得到的第二分析结果表征客户端实际呈现的闪屏广告与客户端本应该呈现的闪屏广告相同;基于客户端截取的闪屏广告图片,得到的第三分析结果表征客户端实际呈现的闪屏广告与客户端本应该呈现的闪屏广告不相同;基于用户对闪屏广告的点击坐标,得到的第四分析结果表征客户端实际呈现的闪屏广告与客户端本应该呈现的闪屏广告相同。由于得到的四个分析结果中存在两个分析结果都表征客户端实际呈现的闪屏广告与客户端本应该呈现的闪屏广告不相同,则服务器可以确定腾讯视频客户端闪屏广告位实际呈现的闪屏广告为对应流量劫持的闪屏广告。
在一些实施例中,服务器在确定客户顿实际呈现的闪屏广告为对应流量劫持的闪屏广告后,还可以执行以下操作。
在腾讯视频客户端预先设置好日志上报功能,在服务器分析出实际呈现的闪屏广告为对应流量劫持的闪屏广告时,服务器向腾讯视频客户端下发日志上报指令,客户端获取30分钟内与客户端内的闪屏广告位相关联的日志数据,发送给服务器,以供开发者根据详细的日志数据,推测流量劫持对应的流量劫持路径。从而进一步制定抵制流量劫持的产品策略。
下面继续说明本发明实施例提供的推广信息的流量劫持检测装置255的实施为软件模块的示例性结构,图8为本发明实施例提供的流量劫持检测装置的结构示意图,参见图8,本发明实施例提供的流量劫持检测装置255包括:
接收模块2551,用于接收到应用程序发送的与第一推广信息相关联的目标参数;其中,所述第一推广信息与所述应用程序页面中的推广信息位相关联,所述目标参数为,所述应用程序在通过所述推广信息位呈现第二推广信息过程中所获取。
分析模块2552,用于基于所述目标参数,对所述应用程序呈现的所述第二推广信息进行流量劫持分析,得到分析结果。
确定模块2553,用于当所述分析结果表征所述第二推广信息与所述第一推广信息不相同时,确定所述推广信息位呈现的所述第二推广信息为对应流量劫持的推广信息。
在一些实施例中,所述装置还包括发送模块2554;
所述发送模块2554,用于向所述应用程序发送日志上报指令,所述日志上报指令,用于所述应用程序获取并上报预设时间段内的日志数据;
所述接收模块2551,还用于接收所述应用程序发送的所述日志数据,所述日志数据,用于供基于所述日志数据,分析所述流量劫持对应的流量劫持路径。
在一些实施例中,所述分析模块2552,还用于对所述应用程序发送的所述日志数据进行分析;
当所述日志数据表征,设定时间段内,至少两个第一推广信息显示时长呈现规律分布,并且所述第一推广信息显示时长小于最小显示时长阈值时,确定所述流量劫持对应的流量劫持路径为如下流量劫持路径:
通过模拟点击所述第一推广信息显示页面的功能图标,触发关闭所述第一推广信息的显示页面,在所述推广信息位呈现所述第二推广信息;
其中,所述第一推广信息显示时长为,所述推广信息位显示所述第一推广信息的时长。
在一些实施例中,所述接收模块2551,还用于接收所述应用程序发送的页面数据获取请求,所述页面数据获取请求,用于请求获取所述推广信息位对应的推广信息的页面数据;
所述发送模块2554,还用于返回所述推广信息的页面数据,所述页面数据包括所述功能图标的位置信息,所述功能图标的位置信息为随机分配。
本发明实施例提供一种存储有可执行指令的存储介质,其中存储有可执行指令,当可执行指令被处理器执行时,将引起处理器执行本发明实施例提供的推广信息的流量劫持检测方法。
在一些实施例中,存储介质可以是FRAM、ROM、PROM、EPROM、EE PROM、闪存、磁表面存储器、光盘、或CD-ROM等存储器;也可以是包括上述存储器之一或任意组合的各种设备。
在一些实施例中,可执行指令可以采用程序、软件、软件模块、脚本或代码的形式,按任意形式的编程语言(包括编译或解释语言,或者声明性或过程性语言)来编写,并且其可按任意形式部署,包括被部署为独立的程序或者被部署为模块、组件、子例程或者适合在计算环境中使用的其它单元。
作为示例,可执行指令可以但不一定对应于文件系统中的文件,可以可被存储在保存其它程序或数据的文件的一部分,例如,存储在超文本标记语言(H TML,Hyper TextMarkup Language)文档中的一个或多个脚本中,存储在专用于所讨论的程序的单个文件中,或者,存储在多个协同文件(例如,存储一个或多个模块、子程序或代码部分的文件)中。
作为示例,可执行指令可被部署为在一个计算设备上执行,或者在位于一个地点的多个计算设备上执行,又或者,在分布在多个地点且通过通信网络互连的多个计算设备上执行。
综上所述,通过本发明实施例构建更全面,多维度的数据检测指标,并在推广信息被流量劫持时,获取并上报日志数据,根据日志数据分析流量劫持对应的流量劫持路径,并针对这种流量劫持路径制定抵制策略。
以上所述,仅为本发明的实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和范围之内所作的任何修改、等同替换和改进等,均包含在本发明的保护范围之内。

Claims (9)

1.一种推广信息的流量劫持检测方法,其特征在于,该方法包括:
接收到应用程序发送的与第一推广信息相关联的目标参数;
其中,所述第一推广信息与所述应用程序页面中的推广信息位相关联,所述第一推广信息为闪屏广告,所述闪屏广告中呈现的广告标识、功能图标和软件标识区不随所述闪屏广告的内容而变化,所述目标参数为,所述应用程序在通过所述推广信息位呈现第二推广信息过程中所获取;
当所述目标参数为点击位置时,统计接收到的所述点击位置的数量;当所述点击位置数量达到数量阈值时,基于所述点击位置,绘制热力图;当所述热力图表征所述点击位置集中分布或均匀分布时,确定所述第二推广信息与所述第一推广信息不相同;
当所述第二推广信息与所述第一推广信息不相同时,确定所述推广信息位呈现的所述第二推广信息为对应流量劫持的推广信息。
2.根据权利要求1所述的方法,其特征在于,
所述目标参数包括:点击位置、展示内容、应用程序进程状态、生命周期的回调参数中至少之一。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当所述目标参数为展示内容时,将所述第一推广信息的展示内容与所述第二推广信息的展示内容做相似度比对;其中,所述第二推广信息的展示内容为,在通过所述推广信息位呈现所述第二推广信息时截取的页面信息;
当所述相似度低于相似度阈值时,确定所述第二推广信息与所述第一推广信息不相同。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当所述目标参数为生命周期的回调参数时,统计目标时间段内,出现切换时间差的次数;其中,所述切换时间差为,所述推广信息位呈现所述第二推广信息时,调用界面获得焦点回调参数与调用界面失去焦点回调参数之间的时间差;
当所述切换时间差的次数超过第一次数阈值时,确定所述第二推广信息与所述第一推广信息不相同。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当所述目标参数为应用程序的进程状态时,统计预设时间段内,当所述推广信息位呈现所述第二推广信息时,所述应用程序的进程状态为后台运行状态的次数;
当统计到的所述应用程序的进程状态为后台运行状态的次数超过第二次数阈值时,确定所述第二推广信息与所述第一推广信息不相同。
6.根据权利要求1所述的方法,其特征在于,所述确定所述第二推广信息为对应流量劫持的推广信息后,所述方法还包括:
向所述应用程序发送日志上报指令,所述日志上报指令,用于所述应用程序获取并上报预设时间段内的日志数据;
其中,所述日志数据包括:通过所述推广信息位呈现所述第二推广信息所产生的日志数据;
接收所述应用程序发送的所述日志数据,所述日志数据,用于供基于所述日志数据,分析所述流量劫持对应的流量劫持路径。
7.根据权利要求6所述的方法,其特征在于,所述方法还包括:
对所述应用程序发送的所述日志数据进行分析;
当所述日志数据表征,设定时间段内,至少两个第一推广信息显示时长呈现规律分布,并且所述第一推广信息显示时长小于最小显示时长阈值时,确定所述流量劫持对应的流量劫持路径为如下流量劫持路径:
通过模拟点击所述第一推广信息显示页面的功能图标,触发关闭所述第一推广信息的显示页面,在所述推广信息位呈现所述第二推广信息;
其中,所述第一推广信息显示时长为,所述推广信息位显示所述第一推广信息的时长。
8.根据权利要求7所述的方法,其特征在于,所述确定所述流量劫持对应的流量劫持路径后,所述方法还包括:
接收所述应用程序发送的页面数据获取请求,所述页面数据获取请求,用于请求获取所述推广信息位对应的推广信息的页面数据;
返回所述推广信息的页面数据,所述页面数据包括所述功能图标的位置信息,所述功能图标的位置信息为随机分配。
9.一种推广信息的流量劫持检测装置,其特征在于,所述装置包括:
接收模块,用于接收到应用程序发送的与第一推广信息相关联的目标参数;
其中,所述第一推广信息与所述应用程序页面中的推广信息位相关联,所述第一推广信息为闪屏广告,所述闪屏广告中呈现的广告标识、功能图标和软件标识区不随所述闪屏广告的内容而变化,所述目标参数为,所述应用程序在通过所述推广信息位呈现第二推广信息过程中所获取;
分析模块,用于当所述目标参数为点击位置时,统计接收到的所述点击位置的数量;当所述点击位置数量达到数量阈值时,基于所述点击位置,绘制热力图;当所述热力图表征所述点击位置集中分布或均匀分布时,确定所述第二推广信息与所述第一推广信息不相同;
确定模块,用于当所述第二推广信息与所述第一推广信息不相同时,确定所述推广信息位呈现的所述第二推广信息为对应流量劫持的推广信息。
CN202010169804.XA 2020-03-12 2020-03-12 推广信息的流量劫持检测方法及装置 Active CN113395234B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010169804.XA CN113395234B (zh) 2020-03-12 2020-03-12 推广信息的流量劫持检测方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010169804.XA CN113395234B (zh) 2020-03-12 2020-03-12 推广信息的流量劫持检测方法及装置

Publications (2)

Publication Number Publication Date
CN113395234A CN113395234A (zh) 2021-09-14
CN113395234B true CN113395234B (zh) 2024-05-28

Family

ID=77615716

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010169804.XA Active CN113395234B (zh) 2020-03-12 2020-03-12 推广信息的流量劫持检测方法及装置

Country Status (1)

Country Link
CN (1) CN113395234B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115695050B (zh) * 2022-12-31 2023-04-07 北京仁科互动网络技术有限公司 点击劫持攻击的防范方法、装置、电子设备及存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104486140A (zh) * 2014-11-28 2015-04-01 华北电力大学 一种检测网页被劫持的装置及其检测方法
CN106970850A (zh) * 2016-01-13 2017-07-21 阿里巴巴集团控股有限公司 应用程序坑位的劫持检测方法和装置
CN107124430A (zh) * 2017-06-08 2017-09-01 腾讯科技(深圳)有限公司 页面劫持监控方法、装置、系统和存储介质
CN107562864A (zh) * 2017-08-30 2018-01-09 努比亚技术有限公司 一种广告屏蔽方法、移动终端及计算机可读存储介质
US9876896B1 (en) * 2016-06-21 2018-01-23 Sprint Communications Company L.P. System and method of interdicting malware infiltration as spoofed advertisement

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104486140A (zh) * 2014-11-28 2015-04-01 华北电力大学 一种检测网页被劫持的装置及其检测方法
CN106970850A (zh) * 2016-01-13 2017-07-21 阿里巴巴集团控股有限公司 应用程序坑位的劫持检测方法和装置
US9876896B1 (en) * 2016-06-21 2018-01-23 Sprint Communications Company L.P. System and method of interdicting malware infiltration as spoofed advertisement
CN107124430A (zh) * 2017-06-08 2017-09-01 腾讯科技(深圳)有限公司 页面劫持监控方法、装置、系统和存储介质
CN107562864A (zh) * 2017-08-30 2018-01-09 努比亚技术有限公司 一种广告屏蔽方法、移动终端及计算机可读存储介质

Also Published As

Publication number Publication date
CN113395234A (zh) 2021-09-14

Similar Documents

Publication Publication Date Title
US10929266B1 (en) Real-time visual playback with synchronous textual analysis log display and event/time indexing
US10257199B2 (en) Online privacy management system with enhanced automatic information detection
US9219787B1 (en) Stateless cookie operations server
US9553918B1 (en) Stateful and stateless cookie operations servers
CN109388532B (zh) 测试方法、装置、电子设备及计算机可读取存储介质
CN105471935B (zh) 信息提示方法和装置
CN103617395A (zh) 一种基于云安全拦截广告程序的方法、装置和系统
CN109547426B (zh) 业务响应方法及服务器
CN112817817A (zh) 埋点信息查询方法、装置、计算机设备和存储介质
CN112799925A (zh) 数据采集方法、装置、电子设备和可读存储介质
CN114157568B (zh) 一种浏览器安全访问方法、装置、设备及存储介质
EP2973192B1 (en) Online privacy management
CN115378713A (zh) 区块链应用预警防御方法、存储介质和电子设备
CN113395234B (zh) 推广信息的流量劫持检测方法及装置
CN108509228B (zh) 加载页面的方法、终端设备及计算机可读存储介质
CN112817816A (zh) 埋点处理方法、装置、计算机设备和存储介质
CN115688102A (zh) 窗口的处理方法、装置、处理器及电子设备
CN112083974B (zh) 一种广告窗口关闭方法、装置及电子设备
CN106709343B (zh) 病毒监测方法及装置
CN113836216A (zh) 数据展示方法、装置、存储介质及电子设备
CN111443907A (zh) 一种调用sdk功能的方法和装置
CN112698983A (zh) 一种数据处理方法和相关装置
US20220191177A1 (en) System and method for securing messages
CN116955054A (zh) 数据处理方法、装置、电子设备、介质及程序产品
CN117932604A (zh) 安全检测方法、装置、设备和计算机可读存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant