WO2017004952A1 - 用于检测和阻止恶意点击广告链接的方法和装置 - Google Patents

Abstract

本发明提供了一种用于检测和阻止恶意点击广告链接的方法和装置，其中的方法包括：在内核态，对网络访问请求进行监听，将监听到的网络访问请求上传至用户态，并在确定出监听到的网络访问请求符合拦截信息集合中的相应广告链接拦截信息的情况下，对网络访问请求进行拦截处理；在用户态，在确定出来自内核态的网络访问请求属于针对广告的网络访问请求时，统计网络访问请求对应的广告链接的点击情况，在确定点击情况符合恶意点击条件的情况下，向内核态下发针对广告链接的广告链接拦截信息，以更新该拦截信息集合。本发明提供的技术方案能够尽可能早的消除恶意点击广告链接现象给网络带来的不良影响，从而节约了网络传输资源，并提高了网络侧的设备性能。

Description

用于检测和阻止恶意点击广告链接的方法和装置

相关申请的交叉引用

本申请请求于2015年7月9日提交的申请号为201510401739.8的中国专利申请的优先权，该中国专利申请的内容以引用方式被完整包含于此。

技术领域

本发明涉及网络技术，尤其是涉及一种用于检测和阻止恶意点击广告链接的方法和装置。

背景技术

广播、电视以及报刊杂志等信息媒介是广告的传统媒介。随着网络技术尤其是无线网络技术的快速发展，网络已经成为能够快速有效的实现信息推广的新型广告媒介。

目前，在利用网络实现信息推广的过程中，位于网络侧的广告平台通常会与流量渠道进行合作，以借助流量渠道向网络用户推送其广告信息。由于流量渠道与广告平台之间往往存在利益关系，因此，流量渠道中可能会存在恶意点击广告链接的行为，该恶意点击行为会给广告平台带来利益损失。

为了避免恶意点击行为对广告平台的损害，目前通常会在网络侧对用户侧传输来的网络访问请求进行检测，在检测出该网络访问请求是由于恶意点击行为而产生的网络访问请求时，阻止该网络访问请求，从而避免恶意点击行为对广告平台利益的损害。

发明人在实现本发明过程中发现，虽然现有的用于检测和阻止恶意点击广告链接的实现方式能够避免恶意点击行为给广告平台带来利益损害，但是，恶意点击行为所对应的网络访问请求已经占用了网络传输资源，而且，网络侧对用户侧传输来的所有网络访问请求进行检测势必 会大量消耗网络侧的计算资源，从而会对网络侧的设备性能产生影响。

发明内容

本发明的目的是提供一种用于检测和阻止恶意点击广告链接的方法和装置。

根据本发明的其中一个方面，提供一种用于检测和阻止恶意点击广告链接的方法，且该方法包括以下步骤：在内核态，对网络访问请求进行监听，将监听到的网络访问请求上传至用户态，并在确定出所述监听到的网络访问请求符合拦截信息集合中的相应广告链接拦截信息的情况下，对所述监听到的网络访问请求进行拦截处理；在用户态，在确定出来自内核态的网络访问请求属于针对广告的网络访问请求的情况下，统计所述网络访问请求对应的广告链接的点击情况，在确定所述点击情况符合恶意点击条件的情况下，向内核态下发针对所述广告链接的广告链接拦截信息，以更新该拦截信息集合。

根据本发明的另一个方面，还提供一种用于检测和阻止恶意点击广告链接的装置，所述装置主要包括：监听模块，设置于内核态，适于对网络访问请求进行监听，并将监听到的网络访问请求上传至用户态；拦截模块，设置于内核态，适于在确定出所述监听到的网络访问请求符合拦截信息集合中的相应广告链接拦截信息的情况下，对所述监听到的网络访问请求进行拦截处理；统计模块，设置于在用户态，适于在确定出来自内核态的网络访问请求属于针对广告的网络访问请求的情况下，统计所述网络访问请求对应的广告链接的点击情况；控制模块，设置于用户态，适于在确定所述点击情况符合恶意点击条件的情况下，向内核态下发针对所述广告链接的广告链接拦截信息，以更新该拦截信息集合。

与现有技术相比，本发明具有以下优点：本发明通过在用户侧的内核态对网络访问请求进行监听并上报，使用户态可以根据接收到的网络访问请求实时的统计出广告链接的当前点击情况，这样，在出现恶意点击广告链接的现象时，用户态可以及时发现，并及时向内核态下 发相应的广告链接拦截信息，使内核态可以对后续产生的相应网络访问请求进行拦截，从而尽可能的使恶意点击广告链接产生的网络访问请求不会由用户侧向网络侧发送，将恶意点击广告链接的现象限制在用户侧；由于本发明中的用户侧仅针对其内部产生的网络访问请求进行监听以及拦截处理，因此，本发明提供的技术方案对用户侧自身的资源消耗非常有限，基本上不会对用户侧的设备性能产生影响；由此可知，本发明提供的技术方案能够在尽可能早的时间段内消除了恶意点击广告链接现象给网络带来的不良影响，从而节约了网络传输资源，并提高了网络侧的设备性能。

附图说明

通过阅读参照以下附图所作的对非限制性实施例所作的详细描述，本发明的其它特征、目的和优点将会变得更明显：

图1为本发明实施例一的用于检测和阻止恶意点击广告链接的方法流程图；

图2为本发明实施例二的用于检测和阻止恶意点击广告链接的方法流程图；

图3为本发明实施例三的用于检测和阻止恶意点击广告链接的方法流程图；

图4为本发明实施例四的用于检测和阻止恶意点击广告链接的装置示意图。

附图中相同或相似的附图标记代表相同或相似的部件。

具体实施方式

在更加详细地讨论示例性实施例之前应当提到的是，一些示例性实施例被描述成作为流程图描绘的处理或方法。虽然流程图将各项操作描述成顺序的处理，但是其中的许多操作可以被并行地、被并发地或者同时被实施。此外，各项操作的顺序可以被重新安排。当其操作完成时，所述处理可以被终止，但是还可以具有未包括在附图中的附加 步骤。另外，所述处理可以对应于方法、函数、规程、子例程、子程序等等。

在上下文中所称“用户设备”，也可以称为“用户网络终端设备”，是指位于用户侧，且可以通过运行预定程序或指令来执行数值计算和/或逻辑计算等预定处理过程的智能电子设备，其可以包括处理器与存储器，由处理器执行在存储器中预存的存续指令来执行预定处理过程，或是由ASIC、FPGA、DSP等硬件执行预定处理过程，或是由上述二者组合来实现。

在上下文中所称“服务器”可以包括：逻辑上的服务器或者实体上的服务器，实体上的服务器也可以称为“网络设备”，是指位于网络侧(如位于云端)，且可以通过运行预定程序或指令来执行数值计算和/或逻辑计算等预定处理过程的智能电子设备，其可以包括处理器以及存储器，由处理器执行在存储器中预存的存续指令来执行预定处理过程，或是由ASIC、FPGA、DSP等硬件执行预定处理过程，或是由上述二者组合来实现。

上述智能电子设备包括但不限于可以通过有线或者无线方式接入网络的台式PC机、笔记本电脑、智能移动电话以及平板电脑等；上述实体上的服务器可以为小型台式设备或者大型台式设备等；上下文中的服务器包括但不限于单个网络服务器、多个网络服务器组成的服务器组或基于云计算(Cloud Computing)的由大量计算机或网络服务器构成的云，其中，云计算是分布式计算的一种，由一群松散耦合的计算机集组成的一个超级虚拟计算机。需要说明的是，上述用户设备以及服务器仅为举例，其他现有的或者今后可能出现的用户设备以及网络设备如可适用于本发明，也应包含在本发明保护范围内，并以引用方式包含于此。

后面所讨论的方法(其中的一些是通过流程图示出的)通常可以通过硬件、软件、固件、中间件、微代码、硬件描述语言或其任意组合来实施。当用软件、固件、中间件或微代码来实施时，用以实施必要任务的程序代码或代码段可以被存储在机器或者计算机可读介质(比如 存储介质)中。(一个或多个)处理器可以实施必要的任务。

这里所公开的具体结构以及功能细节仅仅是代表性的，并且是用于描述本发明的示例性实施例的目的。但是本发明可以通过许多替换形式来具体实现，并且不应当被解释成仅仅受限于这里所阐述的实施例。

应当理解的是，虽然在这里可能使用了术语“第一”、“第二”等等来描述各个单元，但是这些单元不应当受这些术语限制。使用这些术语仅仅是为了将一个单元与另一个单元进行区分。举例来说，在不背离示例性实施例的范围的情况下，第一单元可以被称为第二单元，并且类似地第二单元可以被称为第一单元。这里所使用的术语“和/或”包括其中一个或更多所列出的相关联项目的任意和所有组合。

应当理解的是，当一个单元被称为“连接”或者“耦合”到另一个单元时，其可以直接连接或者耦合到所述另一单元，或者可存在一中间单元。与此相对，当一个单元被称为“直接连接”或“直接耦合”到另一单元时，则不存在一中间单元。应当按照类似的方式来解释被用于描述单元之间的关系的其他类似词语(例如“处于...之间”相比于“直接处于...之间”，“与...邻近”相比于“与...直接邻近”等等)。

这里所使用的术语仅仅是为了描述具体实施例而不意图限制示例性实施例。除非上下文明确地另有所指，否则，这里所使用的单数形式“一个”或者“一项”等还意图包括复数。还应当理解的是，这里所使用的术语“包括”和/或“包含”规定所陈述的特征、整数、步骤、操作、单元和/或组件的存在，而不排除存在或者添加一个或者更多其他特征、整数、步骤、操作、单元、组件和/或其组合。

还应当提到的是，在一些替换实现方式中，所提到的功能/动作可按照不同于附图中标示的顺序发生。举例来说，取决于所涉及的功能/动作，相继示出的两幅图实际上可基本上同时执行或者有时可以按照相反的顺序来执行。

下面结合附图对本发明作进一步详细描述。

实施例一、用于检测和阻止恶意点击广告链接的方法。

图1为本实施例的用于检测和阻止恶意点击广告链接的方法的流程图，且图1所示的方法主要包括在内核态中执行的步骤S110和步骤S111以及在用户态中执行的步骤S120以及步骤S121。下面对图1中的各步骤分别进行说明。

S110、对网络访问请求进行监听，并将监听到的网络访问请求上传至用户态。

具体的，基于用户在其用户设备上的操作(如打开网页操作、文件上传操作或者文件下载操作等)，用户设备中会产生相应的网络访问请求，本实施例是在用户侧的内核态对网络访问请求进行监听的。本实施例可以利用用户设备的操作系统提供的网络过滤驱动(NetFilter)对内核态中的网络访问请求进行监听；例如针对WINDOWS XP操作系统而言，本实施例可以利用TDI(Trandport Driver Interface，传输驱动程序接口)框架对内核态中的网络访问请求进行监听；再例如针对WINDOWS vista操作系统而言，本实施例可以利用WFP(Windows Filtering Platform，Windows过滤平台)框架对网络访问请求进行监听。本实施例不限制对内核态中的网络访问请求进行监听的具体实现方式。

在网络访问请求(尤其是广告所对应的网络访问请求)通常为基于HTTP(HyperText Transfer Protocol，超文本传输协议)的消息的情况下，本实施例可以对内核态中的HTTP消息进行监听，也就是说，在内核态中监听到HTTP消息时，将该HTTP消息由内核态上报至用户态。当然，在网络访问请求为基于其他协议的消息时，本实施例所监听的消息类型也应相应的发生变化。本实施例不限制网络访问请求的具体表现形式。

S111、在确定出上述监听到的网络访问请求符合拦截信息集合中相应的广告链接拦截信息的情况下，对上述监听到的网络访问请求进行拦截处理。

具体的，本实施例在内核态中监听到网络访问请求的情况下，一方面需要执行将该网络访问请求上报至用户态的处理操作，另一方面需 要执行对该网络访问请求是否需要拦截的判断处理操作。本实施例并不限制上报处理操作与拦截判断处理操作的先后执行顺序，也就是说，上报处理操作和拦截判断处理操作既可以同时进行，也可以先执行上报处理操作再执行拦截判断处理操作，还可以先执行拦截判断处理操作再执行上报处理操作。

本实施例是利用拦截信息集合来判断是否需要对监听到的网络访问请求进行拦截处理的，即内核态中预先设置有拦截信息集合，该拦截信息集合可以为空，也可以包含有至少一条广告链接拦截信息；如在初始状态下拦截信息集合为空；再如在用户侧在当前一段时间内没有出现恶意点击广告链接现象的情况下，拦截信息集合为空；而在用户侧在当前一段时间内出现了恶意点击广告链接现象的情况下，由于用户态向内核态下发了广告链接拦截信息而使拦截信息集合中包含有一条或者多条广告链接拦截信息。由此可知，本实施例内核态中的拦截信息集合是由用户态动态维护更新的。

本实施例中的广告链接拦截信息主要包括网络访问请求的特征信息，该特征信息主要用于表征需要拦截的网络访问请求。该特征信息可以为网络访问请求的标识信息，如特征信息可以为链接地址信息等。

本实施例中的广告链接拦截信息还可以包括其他信息，如本条广告链接拦截信息的有效期等等。本实施例不限制广告链接拦截信息所包含的具体内容。另外，在广告链接拦截信息中包含有效期的情况下，内核态可以在广告链接拦截信息对应的有效期结束时，自动执行删除拦截信息集合中相应的广告链接拦截信息或者执行为拦截信息集合中相应的广告链接拦截信息设置过期标志等操作；而在广告链接拦截信息中没有包含有效期的情况下，内核态可以根据用户态下发的删除广告链接拦截信息通知而删除拦截信息集合中相应的广告链接拦截信息。

本实施例中的拦截信息集合可以采用文件或者数据库或者表或者数组等方式来汇集广告链接拦截信息，本实施例不限制拦截信息集合的 具体表现形式。

本实施例的拦截判断的一个具体例子为：在内核态中监听到HTTP消息的情况下，判断当前的拦截信息集合是否为空，如果拦截信息集合为空，则本次的拦截判断结果为不对该HTTP消息进行后续的拦截处理操作，内核态按照现有的方式进行后续处理，如内核态通过硬件向网络侧发送该HTTP消息；如果拦截信息集合不为空，则将该HTTP消息中的链接地址信息与拦截信息集合中的每一条广告链接拦截信息中的链接地址信息分别进行匹配，如果拦截信息集合中存在链接地址信息与HTTP消息中的链接地址信息相匹配的广告链接拦截信息，则本次的拦截判断结果为需要对该HTTP消息进行拦截处理；如果拦截信息集合中并不存在链接地址信息与HTTP消息中的链接地址信息相匹配的广告链接拦截信息，则本次的拦截判断结果为不需要对该HTTP消息进行拦截处理，内核态按照现有的方式进行后续处理，如内核态通过硬件向网络侧发送该HTTP消息。

本实施例中的对网络访问请求的拦截处理可以具体为丢弃该网络访问请求(即删除HTTP消息)等，以避免该网络访问请求由用户侧向网络侧传输。

本实施例可以利用用户设备中的操作系统提供的相应功能实现对内核态中的网络访问请求执行拦截判断处理操作以及拦截处理操作；如针对WINDOWS XP操作系统而言，本实施例可以利用操作系统提供的NDIS(Network Driver Interface Specification，网络驱动接口规范)对内核态中的网络访问请求进行拦截判断处理操作以及拦截处理操作；再如针对WINDOWS vista操作系统而言，本实施例可以利用WFP框架对网络访问请求进行拦截判断处理操作以及拦截处理操作。本实施例不限制在内核态中对网络访问请求进行拦截判断处理操作以及拦截处理操作的具体实现方式。

S120、在确定出来自内核态的网络访问请求属于针对广告的网络访问请求的情况下，统计该网络访问请求对应的广告链接的点击情况。

具体的，本实施例在用户态接收到来自内核态的网络访问请求时， 应先在用户态中针对该网络访问请求进行判断，以确定来自内核态的该网络访问请求是否属于针对广告的网络访问请求(即由于点击广告链接而产生的网络访问请求)；然后，在判断出该网络访问请求属于针对广告的网络访问请求的情况下，再基于该网络访问请求进行广告链接的点击情况的统计操作；而如果判断出该网络访问请求并不属于针对广告的网络访问请求，则不会对该网络访问请求进行点击情况的统计操作，而是可以直接丢弃用户态中的该网络访问请求。

本实施例可以利用预先设置的广告链接特征信息集合来判断来自内核态的网络访问请求是否属于针对广告的网络访问请求，即用户态中预先设置有广告链接特征信息集合。本实施例中的广告链接特征信息集合在通常情况下不为空，即通常会包含有至少一条广告链接特征信息，该广告链接特征信息主要用于表征由点击广告链接而产生的网络访问请求。广告链接特征信息可以具体为广告链接的标识信息，如广告链接特征信息可以具体为广告链接地址信息等。本实施例的广告链接特征信息集合在初始状态下可能会处于为空的状态。

本实施例的广告链接特征信息集合通常是由网络侧动态维护更新的，如用户侧在接收到网络侧(如云端服务器)下发的增加广告链接特征信息的通知时，将该通知中的广告链接特征信息添加至广告链接特征信息集合中；再如用户侧在接收到网络侧(如云端服务器)下发的删除广告链接特征信息的通知时，将根据该通知中承载的信息从广告链接特征信息集合中删除相应的广告链接特征信息。另外，在广告链接特征信息集合中的广告链接特征信息对应有有效期的情况下，用户态可以在广告链接特征信息对应的有效期结束时，自动执行广告链接特征信息集合相应的广告链接特征信息或者执行为广告链接特征信息集合中相应的广告链接特征信息设置过期标志等操作；而在广告链接特征信息集合的广告链接特征信息没有对应有效期的情况下，用户态可以根据网络侧下发的删除广告链接特征信息通知而删除广告链接特征信息结合中相应的广告链接特征信息。

本实施例的广告链接特征信息集合可以采用文件或者数据库或者表 或者数组等形式，本实施例不限制广告链接特征信息集合的具体表现形式。

本实施例中的判断网络访问请求是否属于针对广告的网络访问请求的一个具体例子为：从来自内核态的网络访问请求中提取链接地址信息，并将提取的链接地址信息与广告链接特征信息集合中的广告链接特征信息逐个进行匹配，如果广告链接特征信息集合中存在与该链接地址信息匹配的广告链接特征信息，则本次的判断结果为该网络访问请求属于针对广告的网络访问请求，否则，本次的判断结果为该网络访问请求不属于针对广告的网络访问请求。

本实施例可以采用现有的多种统计方式来统计针对广告的网络访问请求对应的广告链接的点击情况，一个简单的例子，根据一段时间内的历史网络访问请求以及当前的网络访问请求统计相应的广告链接在预定时间段内的访问频率或者访问次数等。本实施例不限制统计网络访问请求对应的广告链接的点击情况的具体实现方式。

S121、在确定上述点击情况符合恶意点击条件的情况下，向内核态下发针对相应广告链接的广告链接拦截信息，以更新拦截信息集合。

具体的，本实施例的用户态中预先设置有用于进行恶意点击判断的恶意点击条件，该恶意点击条件可以由网络侧(如云端服务器)下发，并由用户侧本地存储(如存储于用户态中)。一个简单的例子，该恶意点击条件可以为在预定时间段内的访问频率超过预定访问频率，也可以为在预定时间段内的访问次数超过预定访问次数等。在恶意点击条件由网络侧下发的应用场景中，恶意点击条件可以是网络侧基于数据挖掘结果而动态设置的恶意点击判断策略；本实施例不限制恶意点击条件的具体内容。

在用户态中，本实施例在统计出某一广告链接的点击情况后，应判断当前统计出的点击情况是否符合恶意点击条件，如果判断出当前统计出的点击情况符合恶意点击条件，则确定该网络访问请求为恶意点击广告链接而产生的网络访问请求，此时用户态应针对该网络访问请求向内核态下发针对该广告链接的广告链接拦截信息，以使内核态可 以及时的对后续针对该广告链接的恶意点击而产生网络访问请求进行拦截；如果判断出当前统计出的点击情况不符合恶意点击条件，则用户态确定出该网络访问请求不是由于恶意点击广告链接而产生的网络访问请求，用户态可以直接将该来自内核态的网络访问请求丢弃。

需要说明的是，用户态在针对该网络访问请求向内核态下发针对广告链接的广告链接拦截信息时，可以根据内核态中的广告链接拦截信息的当前情况而执行相应的广告链接拦截信息的下发操作；如用户态先判断内核态中当前是否存在有效的该广告链接拦截信息(如判断内核态中是否存在该广告链接拦截信息；再如判断内核态中是否存在该广告链接拦截信息以及该广告链接拦截信息是否处于有效状态)，如果内核态中当前存在有效的该广告链接拦截信息，则用户态可以不向内核态下发该广告链接拦截信息(当然，在此情况下，用户态向内核态下发该广告链接拦截信息也是完全可行的)；如果内核态中当前并没有存在有效的该广告链接拦截信息(如内核态中存在该广告链接拦截信息已处于失效状态)，则用户态应向内核态下发该广告链接拦截信息。

用户态向内核态下发的广告链接拦截信息可以是由网络侧下发并本地存储于用户侧的广告链接拦截信息，如网络侧在向用户侧下发广告链接特征信息的过程中，针对每一条广告链接特征信息分别设置相应的广告链接拦截信息，然后，网络侧将广告链接特征信息与对应的广告链接拦截信息一并向用户侧下发。当然，用户态向内核态下发的广告链接拦截信息也可以是用户态自行产生的广告链接拦截信息或者缺省设置的广告链接拦截信息等，本实施例不限制用户态向内核态下发广告链接拦截信息的具体实现方式以及用户态所下发的广告链接拦截信息的具体来源等。

本实施例能够有效的将恶意点击广告链接的现象限制在用户侧，尽可能的避免了由于恶意点击而在用户侧与网络侧之间建立广告链接的现象，不仅有效的保护了广告平台的利益，还节约了网络传输资源，并提高了网络侧的设备性能。

实施例二、用于检测和阻止恶意点击广告链接的方法。

本实施例以用户侧的用户设备采用WINDOWS XP操作系统为例，并结合图2对本实施例的用于检测和阻止恶意点击广告链接的方法进行说明。

图2中，左侧为用户在发起了网络访问请求后，对网络访问请求的现有处理流程；右侧为本实施例针对用户发起的网络访问请求处理流程；上侧为用户态中执行的操作；下侧为内核态中执行的操作。

S21、用户由于其网络访问操作(如点击当前页面中的广告链接)而发起网络访问请求，该网络访问请求由用户态传输至内核态，并分别到步骤S22以及步骤S23。

S22、该网络访问请求在内核态中进行相应的处理，以向网络侧发送，如针对该网络访问请求进行基于TCP/IP的处理等，到步骤S24。

S23、被传输至内核态中的网络访问请求基于TDI框架的监听而由内核态上报至用户态，到步骤S25。

S24、基于NDIS实现对经过上述步骤S22处理后的网络访问请求的拦截判断，并根据拦截判断结果进行相应的拦截处理；具体的，判断经过步骤S22处理后的网络访问请求中是否包含有广告链接拦截信息集合中的广告链接拦截信息，如果包含，则确定需要对网络访问请求进行拦截处理，此时应禁止针对该网络访问请求执行通过硬件向网络侧发送的操作，如可以直接丢弃该网络访问请求；如果不包含广告链接拦截信息，则确定不需要对网络访问请求进行拦截处理，到步骤S26。

S25、用户态基于从云端服务器处获取的广告链接特征信息形成的广告链接特征信息集合判断当前来自内核态的网络访问请求是否属于针对广告的网络访问请求，如果判断结果为属于针对广告的网络访问请求，则用户态针对该网络访问请求对应的广告链接进行点击情况统计，并继续判断当前统计出的点击情况是否符合用户侧从云端服务器处获取的恶意点击条件，如果判断结果为当前统计出的点击情况符合恶意点击条件，则用户态向内核态下发相应的广告链接拦截信息；如果判断结果为当前统计出的点击情况不符合恶意点击条件，则用户态可以直接丢弃该网络访问请求。

S26、经过步骤S22处理后的网络访问请求通过硬件向网络侧发送。

实施例三、用于检测和阻止恶意点击广告链接的方法。

本实施例以用户侧的用户设备采用WINDOWS vista操作系统为例，并结合图3对本实施例的用于检测和阻止恶意点击广告链接的方法进行说明。

图3中，左侧为用户在发起了网络访问请求后，对网络访问请求的现有处理流程；右侧为本实施例针对用户发起的网络访问请求处理流程；上侧为用户态中执行的操作；下侧为内核态中执行的操作。

S31、用户由于其网络访问操作(如点击当前页面中的广告链接)而发起网络访问请求，该网络访问请求由用户态传输至内核态，并分别到步骤S32以及步骤S33。

S32、该网络访问请求在内核态中进行相应的处理，以向网络侧发送，如针对该网络访问请求进行基于TCP/IP的处理等，到步骤S33。

S33、被传输至内核态中的网络访问请求基于WFP框架的监听而由内核态上报至用户态，到步骤S34。

同时，基于WFP框架实现对经过上述步骤S32处理后的网络访问请求的拦截判断，并根据拦截判断结果进行相应的拦截处理；具体的，判断经过步骤S32处理后的网络访问请求中是否包含有广告链接拦截信息集合中的广告链接拦截信息，如果包含，则确定需要对网络访问请求进行拦截处理，此时应禁止针对该网络访问请求执行通过硬件向网络侧发送的操作，如可以直接丢弃该网络访问请求；如果不包含广告链接拦截信息，则确定不需要对网络访问请求进行拦截处理，到步骤S35。

S34、用户态基于从云端服务器处获取的广告链接特征信息形成的广告链接特征信息集合判断当前来自内核态的网络访问请求是否属于针对广告的网络访问请求，如果判断结果为属于针对广告的网络访问请求，则用户态针对该网络访问请求对应的广告链接进行点击情况统计，并继续判断当前统计出的点击情况是否符合用户侧从云端服务器 处获取的恶意点击条件，如果判断结果为当前统计出的点击情况符合恶意点击条件，则用户态向内核态下发相应的广告链接拦截信息；如果判断结果为当前统计出的点击情况不符合恶意点击条件，则用户态可以直接丢弃该网络访问请求。

S35、经过步骤S32处理后的网络访问请求通过硬件向网络侧发送。

实施例四、用于检测和阻止恶意点击广告链接的装置。

本实施例的装置设置于用户设备中，且该装置的主要结构如图4所示。

图4中，用于检测和阻止恶意点击广告链接的装置包括：监听模块400、拦截模块410、统计模块420以及控制模块430。该装置还可以包括：集合更新模块440。

监听模块400设置于内核态，且监听模块400主要用于对网络访问请求进行监听，并将监听到的网络访问请求上传至用户态。

具体的，基于用户在其用户设备上的操作(如打开网页操作、文件上传操作或者文件下载操作等)，用户设备中会产生相应的网络访问请求，监听模块400是在用户侧的内核态对网络访问请求进行监听的。监听模块400可以利用用户设备的操作系统提供的网络过滤驱动(NetFilter)对内核态中的网络访问请求进行监听；例如针对WINDOWS XP操作系统而言，监听模块400可以利用TDI框架对内核态中的网络访问请求进行监听；再例如针对WINDOWS vista操作系统而言，监听模块400可以利用WFP框架对网络访问请求进行监听。本实施例不限制监听模块400对内核态中的网络访问请求进行监听的具体实现方式。

在网络访问请求(尤其是广告所对应的网络访问请求)通常为基于HTTP的消息的情况下，监听模块400可以对内核态中的HTTP消息进行监听，也就是说，在监听模块400在内核态中监听到HTTP消息时，监听模块400将该HTTP消息由内核态上报至用户态。当然，在网络访问请求为基于其他协议的消息时，监听模块400所监听的消息类型也应 相应的发生变化。本实施例不限制监听模块400所监听的网络访问请求的具体表现形式。

拦截模块410设置于内核态，且拦截模块410主要适于在确定出监听模块400监听到的网络访问请求符合拦截信息集合中的相应广告链接拦截信息的情况下，对监听模块400监听到的网络访问请求进行拦截处理。

具体的，在监听模块400在内核态中监听到网络访问请求的情况下，一方面监听模块400需要执行将该网络访问请求上报至用户态的处理操作，另一方面拦截模块410需要执行对该网络访问请求是否需要拦截的判断处理操作。本实施例并不限制监听模块400执行上报处理操作与拦截模块410执行拦截判断处理操作的先后顺序，也就是说，监听模块400执行的上报处理操作和拦截模块410执行的拦截判断处理操作既可以同时进行，也可以监听模块400先执行上报处理操作，拦截模块410再执行拦截判断处理操作，还可以拦截模块410先执行拦截判断处理操作，监听模块400再执行上报处理操作。

拦截模块410是利用拦截信息集合来判断是否需要对监听模块400监听到的网络访问请求进行拦截处理的，如拦截模块410中预先设置有拦截信息集合，该拦截信息集合通常情况下包含有至少一条广告链接拦截信息，当然该拦截信息集合也存在为空的状态；如在初始状态下拦截信息集合处于为空的状态；再如在用户侧在当前一段时间内没有出现恶意点击广告链接现象的情况下，拦截信息集合处于为空的状态；而在用户侧在当前一段时间内出现了恶意点击广告链接现象的情况下，由于用户态向内核态下发了广告链接拦截信息而使拦截信息集合中包含有一条或者多条广告链接拦截信息。由此可知，本实施例内核态中的拦截信息集合是由用户态动态维护更新的。

本实施例中的广告链接拦截信息主要包括网络访问请求的特征信息，该特征信息主要用于表征需要拦截的网络访问请求。该特征信息可以为网络访问请求的标识信息，如特征信息可以为链接地址信息等。

本实施例中的广告链接拦截信息还可以包括其他信息，如本条广告链接拦截信息的有效期等等。本实施例不限制广告链接拦截信息所包含的具体内容。另外，在广告链接拦截信息中包含有效期的情况下，拦截模块410可以在广告链接拦截信息对应的有效期结束时，自动执行删除拦截信息集合中相应的广告链接拦截信息或者执行为拦截信息集合中相应的广告链接拦截信息设置过期标志等操作；在广告链接拦截信息中没有包含有效期的情况下，拦截模块410可以根据用户态下发的删除广告链接拦截信息通知而删除拦截信息集合中相应的广告链接拦截信息。

本实施例中的拦截信息集合可以采用文件或者数据库或者表或者数组等方式来汇集广告链接拦截信息，本实施例不限制拦截信息集合的具体表现形式。

拦截模块410的拦截判断的一个具体例子为：在监听模块400监听到HTTP消息的情况下，拦截模块410判断当前的拦截信息集合是否为空，如果拦截信息集合为空，则本次的拦截判断结果为不对该HTTP消息进行后续的拦截处理操作，内核态按照现有的方式进行后续处理，如内核态通过硬件向网络侧发送该HTTP消息；如果拦截信息集合不为空，则拦截模块410将该HTTP消息中的链接地址信息与拦截信息集合中的每一条广告链接拦截信息中的链接地址信息分别进行匹配，如果拦截信息集合中存在链接地址信息与HTTP消息中的链接地址信息相匹配的广告链接拦截信息，则本次的拦截判断结果为需要对该HTTP消息进行拦截处理；如果拦截信息集合中并不存在链接地址信息与HTTP消息中的链接地址信息相匹配的广告链接拦截信息，则本次的拦截判断结果为不需要对该HTTP消息进行拦截处理，内核态按照现有的方式进行后续处理，如内核态通过硬件向网络侧发送该HTTP消息。

拦截模块410对网络访问请求的拦截处理可以具体为拦截模块410丢弃该网络访问请求(即删除HTTP消息)等，以避免该网络访问请求由用户侧向网络侧传输。

拦截模块410可以利用用户设备中的操作系统提供的相应功能实现 对内核态中的网络访问请求执行拦截判断处理操作以及拦截处理操作；如针对WINDOWS XP操作系统而言，拦截模块410可以利用操作系统提供的NDIS对内核态中的网络访问请求进行拦截判断处理操作以及拦截处理操作；再如针对WINDOWS vista操作系统而言，拦截模块410可以利用WFP框架对网络访问请求进行拦截判断处理操作以及拦截处理操作。本实施例不限制拦截模块410对内核态中的网络访问请求执行拦截判断处理操作以及拦截处理操作的具体实现方式。

统计模块420设置于在用户态，且统计模块420主要适于在确定出来自内核态的网络访问请求属于针对广告的网络访问请求的情况下，统计网络访问请求对应的广告链接的点击情况。

具体的，在用户态接收到来自内核态的网络访问请求时，统计模块420应先在用户态中针对该网络访问请求进行判断，以确定来自内核态的该网络访问请求是否属于针对广告的网络访问请求(即由于点击广告链接而产生的网络访问请求)；然后，统计模块420在判断出该网络访问请求属于针对广告的网络访问请求的情况下，统计模块420再基于该网络访问请求进行广告链接的点击情况的统计操作；而如果统计模块420判断出该网络访问请求并不属于针对广告的网络访问请求，则统计模块420不会对该网络访问请求进行点击情况的统计操作，而是统计模块420直接丢弃用户态中的该网络访问请求。

统计模块420可以利用预先设置的广告链接特征信息集合来判断来自内核态的网络访问请求是否属于针对广告的网络访问请求，即用户态中预先设置有广告链接特征信息集合。本实施例中的广告链接特征信息集合在通常情况下不为空，即通常会包含有至少一条广告链接特征信息，该广告链接特征信息主要用于表征由点击广告链接而产生的网络访问请求。广告链接特征信息可以具体为广告链接的标识信息，如广告链接特征信息可以具体为广告链接地址信息等。本实施例的广告链接特征信息集合在初始状态下可能会处于为空的状态。

统计模块420判断网络访问请求是否属于针对广告的网络访问请求的一个具体例子为：统计模块420从来自内核态的网络访问请求中提取 链接地址信息，并将提取的链接地址信息与广告链接特征信息集合中的广告链接特征信息逐个进行匹配，如果广告链接特征信息集合中存在与该链接地址信息匹配的广告链接特征信息，则统计模块420确定本次的判断结果为该网络访问请求属于针对广告的网络访问请求，否则，统计模块420确定本次的判断结果为该网络访问请求不属于针对广告的网络访问请求。

统计模块420可以采用现有的多种统计方式来统计针对广告的网络访问请求对应的广告链接的点击情况，一个简单的例子，统计模块420根据一段时间内的历史网络访问请求以及当前的网络访问请求统计相应的广告链接在预定时间段内的访问频率或者访问次数等。本实施例不限制统计网络访问请求对应的广告链接的点击情况的具体实现方式。

控制模块430设置于用户态，且控制模块430主要适于在确定点击情况符合恶意点击条件的情况下，向内核态下发针对该广告链接的广告链接拦截信息，以更新该拦截信息集合。

具体的，控制模块430中预先设置有用于进行恶意点击判断的恶意点击条件。一个简单的例子，该恶意点击条件可以为在预定时间段内的访问频率超过预定访问频率，也可以为在预定时间段内的访问次数超过预定访问次数等。在恶意点击条件由网络侧下发的应用场景中，恶意点击条件可以是网络侧基于数据挖掘结果而动态设置的恶意点击判断策略；本实施例不限制恶意点击条件的具体内容。

在用户态中，在统计模块420统计出某一广告链接的点击情况后，控制模块430应判断当前统计出的点击情况是否符合恶意点击条件，如果判断出当前统计出的点击情况符合恶意点击条件，则控制模块430确定该网络访问请求为恶意点击广告链接而产生的网络访问请求，此时控制模块430应针对该网络访问请求向内核态下发针对该广告链接的广告链接拦截信息，以使拦截模块410可以及时的对后续针对该广告链接的恶意点击而产生网络访问请求进行拦截；如果控制模块430判断出当前统计出的点击情况不符合恶意点击条件，则控制模块430确定出该网 络访问请求不是由于恶意点击广告链接而产生的网络访问请求，控制模块430可以直接将该来自内核态的网络访问请求丢弃。

需要说明的是，控制模块430在针对该网络访问请求向内核态下发针对广告链接的广告链接拦截信息时，可以根据内核态中的广告链接拦截信息的当前情况而执行相应的广告链接拦截信息的下发操作；如控制模块430判断内核态中当前是否存在有效的该广告链接拦截信息(如控制模块430判断内核态中是否存在该广告链接拦截信息；再如控制模块430判断内核态中是否存在该广告链接拦截信息以及该广告链接拦截信息是否处于有效状态)，如果内核态中当前存在有效的该广告链接拦截信息，则控制模块430可以不向内核态下发该广告链接拦截信息(当然，在该情况下控制模块430向内核态下发该广告链接拦截信息也是完全可行的)；如果内核态中当前并没有存在有效的该广告链接拦截信息(如内核态中存在该广告链接拦截信息已处于失效状态)，则控制模块430应向内核态下发该广告链接拦截信息。

控制模块430向内核态下发的广告链接拦截信息可以是由网络侧下发并本地存储于用户侧的广告链接拦截信息，如网络侧在向用户侧下发广告链接特征信息的过程中，针对每一条广告链接特征信息分别设置相应的广告链接拦截信息，然后，网络侧将广告链接特征信息与对应的广告链接拦截信息一并向用户侧下发，集合更新模块440根据网络侧下发的广告链接拦截信息更新拦截信息集合。当然，控制模块430向内核态下发的广告链接拦截信息也可以是控制模块430自行产生的广告链接拦截信息或者缺省设置的广告链接拦截信息等，本实施例不限制控制模块430向内核态下发广告链接拦截信息的具体实现方式以及控制模块430所下发的广告链接拦截信息的具体来源。

集合更新模块440设置于用户态，且集合更新模块440主要适于根据网络侧下发的广告链接特征更新广告链接特征信息集合。也就是说，本实施例的广告链接特征信息集合通常是由网络侧动态维护更新的，如用户侧在接收到网络侧(如云端服务器)下发的增加广告链接特征信息的通知时，集合更新模块440将该通知中的广告链接特征信息添 加至广告链接特征信息集合中；再如用户侧在接收到网络侧(如云端服务器)下发的删除广告链接特征信息的通知时，集合更新模块440将根据该通知中承载的信息从广告链接特征信息集合中删除相应的广告链接特征信息。另外，在广告链接特征信息集合中的广告链接特征信息对应有有效期的情况下，集合更新模块440可以在广告链接特征信息对应的有效期结束时，自动执行广告链接特征信息集合相应的广告链接特征信息或者执行为广告链接特征信息集合中相应的广告链接特征信息设置过期标志等操作；而在广告链接特征信息集合的广告链接特征信息没有对应有效期的情况下，集合更新模块440可以根据网络侧下发的删除广告链接特征信息通知而删除广告链接特征信息结合中相应的广告链接特征信息。本实施例的广告链接特征信息集合可以采用文件或者数据库或者表或者数组等形式，本实施例不限制广告链接特征信息集合的具体表现形式。

另外，集合更新模块440还适于根据网络侧下发的广告链接拦截信息更新拦截信息集合。还有，集合更新模块440也可以适于将网络侧(如云端服务器)下发恶意点击条件存储于用户侧。

需要注意的是，本发明可以在软件和/或者软件与硬件的组合体中被实施，例如，本发明的各个装置可采用专用集成电路(ASIC)或者任何其他类似硬件设备来实现。在一个实施例中，本发明的软件程序可以通过处理器执行以实现上文所述步骤或功能。同样地，本发明的软件程序(包括相关的数据结构)可以被存储到计算机可读记录介质中，例如，RAM存储器、磁或者光驱动器或软磁盘及类似设备。另外，本发明的一些步骤或功能可采用硬件来实现，例如，作为与处理器配合从而执行各个步骤或功能的电路。

对于本领域技术人员而言，显然，本发明不限于上述示范性实施例的细节，而且在不背离本发明的精神或基本特征的情况下，能够以其他的具体形式实现本发明。因此，无论从哪一方面来看，均应该将实施例看作是示范性的，而且是非限制性的，本发明的范围由所附权利要求而不是上述说明来限定，因此，旨在将落在权利要求的等同要件 的含义和范围内的所有变化涵括在本发明内。不应该将权利要求中的任何附图标记视为限制所涉及的权利要求。此外，显然“包括”一词不排除其他单元或步骤，单数不排除复数。系统权利要求中陈述的多个单元或装置也可以由一个单元或装置通过软件或者硬件来实现。第一以及第二等词语用来表示名称，而并不表示任何特定顺序。

虽然前面特别示出并且描述了示例性实施例，但是本领域技术人员将会理解的是，在不背离权利要求书的精神和范围的情况下，在其形式和细节方面可以有所变化。这里所寻求的保护在所附权利要求书中做了阐述。

Claims (15)

1. 一种用于检测和阻止恶意点击广告链接的方法，在用户侧执行，其中，该方法包括以下步骤：

   在内核态，对网络访问请求进行监听，将监听到的网络访问请求上传至用户态，并在确定出所述监听到的网络访问请求符合拦截信息集合中的相应广告链接拦截信息的情况下，对所述监听到的网络访问请求进行拦截处理；

   在用户态，在确定出来自内核态的网络访问请求属于针对广告的网络访问请求的情况下，统计所述网络访问请求对应的广告链接的点击情况，在确定所述点击情况符合恶意点击条件的情况下，向内核态下发针对所述广告链接的广告链接拦截信息，以更新该拦截信息集合。
2. 根据权利要求1所述的方法，其中，所述对网络访问请求进行监听包括：基于网络过滤驱动对网络访问请求进行监听，其中，所述网络访问请求包括超文本传输协议HTTP消息。
3. 根据权利要求2所述的方法，其中，所述基于网络过滤驱动对网络访问请求进行监听包括：

   利用传输驱动程序接口TDI框架对网络访问请求进行监听；或者

   利用Windows文件保护WFP框架对网络访问请求进行监听。
4. 根据权利要求1所述的方法，其中，所述方法还包括：

   根据网络侧下发的广告链接拦截信息更新所述拦截信息集合；和/或

   根据网络侧下发的恶意点击条件更新用户侧的恶意点击条件。
5. 根据权利要求1至4中任一权利要求所述的方法，其中，所述确定出来自内核态的网络访问请求属于针对广告的网络访问请求包括：

   判断来自内核态的网络访问请求中是否包含有广告链接特征信息集合中的广告链接特征，如果包含，则确定出所述网络访问请求属于针对广告的网络访问请求，否则确定出所述网络访问请求不属于针对广告的网络访问请求。
6. 根据权利要求5所述的方法，其中，所述方法还包括：

   根据网络侧下发的广告链接特征更新所述广告链接特征信息集合。
7. 一种用于检测和阻止恶意点击广告链接的装置，设置于用户侧，其中，该装置包括：

   监听模块，设置于内核态，适于对网络访问请求进行监听，并将监听到的网络访问请求上传至用户态；

   拦截模块，设置于内核态，适于在确定出所述监听到的网络访问请求符合拦截信息集合中的相应广告链接拦截信息的情况下，对所述监听到的网络访问请求进行拦截处理；

   统计模块，设置于在用户态，适于在确定出来自内核态的网络访问请求属于针对广告的网络访问请求的情况下，统计所述网络访问请求对应的广告链接的点击情况；

   控制模块，设置于用户态，适于在确定所述点击情况符合恶意点击条件的情况下，向内核态下发针对所述广告链接的广告链接拦截信息，以更新该拦截信息集合。
8. 根据权利要求7所述的装置，其中，所述监听模块具体适于：

   基于网络过滤驱动对网络访问请求进行监听，其中，所述网络访问请求包括超文本传输协议HTTP消息。
9. 根据权利要求8所述的装置，其中，所述监听模块具体适于：

   利用传输驱动程序接口TDI框架对网络访问请求进行监听；或者

   利用Windows文件保护WFP框架对网络访问请求进行监听。
10. 根据权利要求7所述的装置，其中，所述装置还包括：

    根据网络侧下发的广告链接拦截信息更新所述拦截信息集合；和/或

    根据网络侧下发的恶意点击条件更新用户侧的恶意点击条件。
11. 根据权利要求7至11中任一权利要求所述的装置，其中，所述统计模块具体适于：

    判断来自内核态的网络访问请求中是否包含有广告链接特征信息集合中的广告链接特征，如果包含，则确定出所述网络访问请求属于针 对广告的网络访问请求，否则确定出所述网络访问请求不属于针对广告的网络访问请求。
12. 根据权利要求11所述的装置，其中，所述装置还包括：

    集合更新模块，设置于用户态，适于根据网络侧下发的广告链接特征更新所述广告链接特征信息集合。
13. 一种计算机可读存储介质，所述计算机可读存储介质包括计算机指令，当所述计算机指令被执行时，如权利要求1至6中任一项所述的方法被执行。
14. 一种计算机程序产品，当所述计算机程序产品被执行时，如权利要求1至6中任一项所述的方法被执行。
15. 一种计算机设备，所述计算机设备包括存储器和处理器，所述存储器中存储有计算机指令，所述处理器被配置来通过执行所述计算机指令以执行如权利要求1至6中任一项所述的方法。

Images