系统恶意攻击的检测方法、装置、电子设备及存储介质

技术领域

本申请涉及信息系统技术领域，尤其是涉及一种系统恶意攻击的检测方法、装置、电子设备及存储介质。

背景技术

随着经济技术的发展和人们生活水平的提高，网络迅速发展起来，成为了满足人们日常需求必不可少的一部分。但是网络在为大多数用户创造便利的同时，也成为了少数人投机取巧的工具。有些人会通过网络利用某些平台的漏洞盗取他人信息甚至直接盗取钱财。

有时，当用户在使用某软件平台，或者打开某些链接时，即使用户并未输入自己的相关信息，但是由于这些软件平台或者链接被恶意攻击，在使用这些软件平台或者链接时可能会隐藏某些恶意选项，当用户意外点击后，信息也都会被窃取。这在很大程度上给用户带来了一定的损失，引起用户的不满，甚至还有可能给其他用户带来恐慌，造成更大的网络事故。

发明内容

本申请提供一种系统恶意攻击的检测方法、装置、电子设备及存储介质，以解决上述技术问题。

第一方面，本申请提供系统恶意攻击的检测方法。

实时接收信息系统的运行数据；

基于预设信息数据库，将所述运行数据与所述预设信息数据库中的预设信息数据进行匹配，并根据匹配结果，确定当前时刻的运行数据是否存在异常；

若所述运行数据存在异常，则提取异常数据并分析，确定所述异常数据对应的关联信息；所述关联信息包括产生时间、产生位置、异常数据对应的协议中的至少一项；

根据所述关联信息，生成恶意攻击预警板块并展示。

实时接收用户在使用信息系统时产生的运行数据。利用预设信息数据库，将这些运行数据与预设信息数据库中的预设信息进行匹配，确定接收到的运行数据中是否存在异常数据，如果有，则对异常数据进行提取并分析，确定异常数据的关联信息。进而根据异常数据的关联信息，生成一个恶意攻击预警板块并展示给用户以提醒用户及时关闭页面或退出平台。通过这种方法，实时接收运行数据并进行匹配。在可能存在恶意攻击时，及时生成恶意攻击预警板块提醒用户，提高恶意攻击的预防能力，以减少用户的损失。另外，这种实时接收并分析确认是否存在恶意攻击的方式比固定时间段进行一次数据分析确定是否存在恶意攻击的方式效果更好。

可选的，所述方法还包括：

若根据异常数据的分析结果确定当前时刻存在恶意攻击，则根据预设信息数据库，确定恶意攻击的攻击类型；

根据所述攻击类型、预设攻击处理方式，确定所述恶意攻击的处理方式，并根据所述处理方式抵御所述恶意攻击。

在检测到确实存在恶意攻击时，可以先根据上述实施例确定异常数据所属恶意攻击的攻击类型，然后确定处理方式，对这一恶意攻击及时进行处理。避免恶意攻击给系统或用户带来损失。

可选的，所述方法还包括：

基于预设攻击等级，将所述恶意攻击与所述预设攻击等级中对应的恶意攻击信息进行对比，确定所述恶意攻击的攻击等级；

根据所述恶意攻击的攻击等级，确定所述信息系统抵御所述恶意攻击后的防御值；

将所述信息系统抵御后的防御值与预设防御阈值进行对比，确定所述信息系统是否需要进行防御提升；

若确定所述信息系统需要进行防御提升，则根据预设提升方案对所述信息系统进行防御提升。

当信息系统抵御恶意攻击后会降低自身的防御能力，当防御值降低到预设防御阈值时，及时根据预设提升方案对信息系统进行防御提升。避免防御能力下降，导致的恶意攻击抵御失败的情况。

可选的，所述运行数据包括页面源码；所述基于预设信息数据库，将所述运行数据与所述预设信息数据库中的预设信息数据进行匹配，并根据匹配结果，确定当前时刻的运行数据是否存在异常，包括：

提取当前时刻所述运行数据中的页面源码；

基于预设信息数据库，将所述页面源码与所述预设信息数据库中存储的页面源码进行匹配；

根据匹配结果，确定所述预设信息数据库中是否包含所述页面源码，并确定当前时刻的运行数据是否存在异常。

可以将运行数据的页面源码与预设信息数据库中源码标签的页面源码进行匹配，确定运行数据的页面源码是否存在异常。如果运行数据的页面源码与预设信息数据库中源码存储标签中的页面源码不匹配，此时，这一页面源码可能被恶意攻击，对应的运行数据大概率也会存在异常。通过这种方式可以从运行数据对应的页面的源码进行检测，从而确定是否存在异常的运行数据，提高检测的准确性、可靠性。

可选的，所述运行数据还包括页面内容，所述方法还包括：

若所述预设信息数据库中包含所述页面源码，则将所述页面内容对应的源码与所述页面源码进行匹配，并根据匹配结果，确定所述页面内容对应的源码与所述页面源码是否完全匹配；

所述若所述运行数据存在异常，则提取并分析异常数据，确定产生所述异常数据的关联信息，包括：

若所述页面内容对应的源码中存在与所述页面源码不匹配的源码，则确定不匹配的源码对应的内容的详细信息；所述详细信息为对所述页面内容进行关键词提取后得到的；

根据所述详细信息，确定页面是否存在异常信息；

若所述页面存在异常信息，则根据运行数据，确定所述页面的关联信息。

在页面源码与预设信息数据库中包含的页面源码匹配上以后，说明页面源码不存在恶意攻击，此时可以对这一页面源码对应的展示给用户的页面内容进行再一次的检测。确定展示给用户的内容与页面源码中的内容是否一致。从而进一步确定用户当前时刻查看的页面是否可能存在恶意攻击。如果展示给用户的内容确实与页面源码中的内容不一致，则这一页面内容中可能存在恶意攻击，此时可以根据页面源码中不存在的内容的详细信息，确定异常数据，从而确定出关联信息。通过这种方式可以进一步对当前时刻的页面进行检测，使检测结果更加准确。通过对不同纬度的数据进行检测，使得检测更加全面，更能有效预防恶意攻击。

可选的，所述页面内容包括文字内容、图片内容；所述方法还包括：

根据预设提取规则，提取所述页面内容中包含的文字内容；

将提取到的文字内容与所述预设信息数据库中的敏感文字进行匹配，确定所述文字内容中是否包含敏感文字；

若所述文字内容中不包含敏感文字，则根据预设提取规则，提取所述页面内容中包含的图片内容；

针对任一图片内容，将所述图片内容进行特征提取，确定所述图片内容对应的图片特征；

将所述图片特征与预设信息数据库中的敏感特征进行匹配，确定所述图片内容中是否包含敏感特征；

若所述图片内容中包含敏感特征，则根据预设预警方式，生成恶意攻击预警板块并展示。

在对页面内容进行检测时，可以对页面内容中包含的文字内容以及图片内容进行检测，使得检测过程更加精细，检测结果也更加准确。

可选的，所述根据所述关联信息，生成恶意攻击预警板块并展示，包括：

根据预设预警模板、所述异常数据，确定所述异常数据对应的预警模板；

根据所述关联信息，补充所述预警模板，生成当前时刻的恶意攻击预警板块并展示。

在运行数据中存在异常数据时，根据异常数据可能引发的恶意攻击的类型，选择合适的预警模板，细化以后再生成恶意攻击预警板块。这样可以更有针对性的提醒用户及时关闭或停止浏览相关内容，也可以减少单一预警板块对用户的提醒效果差的问题。提高预警效果，达到预警目的，尽可能地减少用户的损失。

第二方面，本申请提供一种系统恶意攻击的检测装置，包括：

数据接收模块，用于实时接收信息系统的运行数据；

数据确认模块，用于基于预设信息数据库，将所述运行数据与所述预设信息数据库中的预设信息数据进行匹配，并根据匹配结果，确定当前时刻的运行数据是否存在异常；

关联信息确定模块，用于若所述运行数据存在异常，则提取异常数据并分析，确定所述异常数据对应的关联信息；所述关联信息包括产生时间、产生位置、异常数据对应的协议中的至少一项；

展示模块，用于根据所述关联信息，生成恶意攻击预警板块并展示。

可选的，所述系统恶意攻击的检测装置还包括抵御模块，用于：

若根据异常数据的分析结果确定当前时刻存在恶意攻击，则根据预设信息数据库，确定恶意攻击的攻击类型；

根据所述攻击类型、预设攻击处理方式，确定所述恶意攻击的处理方式，并根据所述处理方式抵御所述恶意攻击。

可选的，所述系统恶意攻击的检测装置还包括防御力分析模块，用于：

基于预设攻击等级，将所述恶意攻击与所述预设攻击等级中对应的恶意攻击信息进行对比，确定所述恶意攻击的攻击等级；

根据所述恶意攻击的攻击等级，确定所述信息系统抵御所述恶意攻击后的防御值；

将所述信息系统抵御后的防御值与预设防御阈值进行对比，确定所述信息系统是否需要进行防御提升；

若确定所述信息系统需要进行防御提升，则根据预设提升方案对所述信息系统进行防御提升。

可选的，所述数据确认模块具体用于：

提取当前时刻所述运行数据中的页面源码；

基于预设信息数据库，将所述页面源码与所述预设信息数据库中存储的页面源码进行匹配；

根据匹配结果，确定所述预设信息数据库中是否包含所述页面源码，并确定当前时刻的运行数据是否存在异常。

可选的，所述系统恶意攻击的检测装置还包括页面分析模块，用于：

若所述预设信息数据库中包含所述页面源码，则将所述页面内容对应的源码与所述页面源码进行匹配，并根据匹配结果，确定所述页面内容对应的源码与所述页面源码是否完全匹配；

所述若所述运行数据存在异常，则提取并分析异常数据，确定产生所述异常数据的关联信息，包括：

若所述页面内容对应的源码中存在与所述页面源码不匹配的源码，则确定不匹配的源码对应的内容的详细信息；所述详细信息为对所述页面内容进行关键词提取后得到的；

根据所述详细信息，确定页面是否存在异常信息；

若所述页面存在异常信息，则根据运行数据，确定所述页面的关联信息。

可选的，所述系统恶意攻击的检测装置还包括内容分析模块，用于：

根据预设提取规则，提取所述页面内容中包含的文字内容；

将提取到的文字内容与所述预设信息数据库中的敏感文字进行匹配，确定所述文字内容中是否包含敏感文字；

若所述文字内容中不包含敏感文字，则根据预设提取规则，提取所述页面内容中包含的图片内容；

针对任一图片内容，将所述图片内容进行特征提取，确定所述图片内容对应的图片特征；

将所述图片特征与预设信息数据库中的敏感特征进行匹配，确定所述图片内容中是否包含敏感特征；

若所述图片内容中包含敏感特征，则根据预设预警方式，生成恶意攻击预警板块并展示。

可选的，所述展示模块具体用于：

根据预设预警模板、所述异常数据，确定所述异常数据对应的预警模板；

根据所述关联信息，补充所述预警模板，生成当前时刻的恶意攻击预警板块并展示。

第三方面，本申请提供一种电子设备，包括：存储器和处理器，所述存储器上存储有能够被处理器加载并执行第一方面的方法的计算机程序。

第四方面，本申请提供一种计算机可读存储介质，存储有能够被处理器加载并执行第一方面的方法的计算机程序。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本申请一实施例提供的一种应用场景示意图；

图2为本申请一实施例提供的一种系统恶意攻击的检测方法的流程图；

图3为本申请一实施例提供的一种系统恶意攻击的检测装置的结构示意图；

图4为本申请一实施例提供的一种电子设备的结构示意图。

具体实施方式

为使本申请实施例的目的、技术方案和优点更加清楚，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述。显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

另外，本文中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。另外，本文中字符“/”，如无特殊说明，一般表示前后关联对象是一种“或”的关系。

下面结合说明书附图对本申请实施例作进一步详细描述。

随着经济技术的发展和人们生活水平的提高，网络迅速发展起来，成为了满足人们日常需求必不可少的一部分。但是网络在为大多数用户创造便利的同时，也成为了少数人投机取巧的工具，有些人可能会通过网络利用某些平台的漏洞盗取他人信息甚至直接盗取钱财。有时，即使用户并未输入自己的相关信息，但是由于这些软件平台或者链接被恶意攻击，在使用这些软件平台或者链接时可能会隐藏某些恶意选项，当用户意外点击后，信息也都会被窃取。这在很大程度上给用户带来了一定的损失，引起用户的不满，甚至还有可能给其他用户带来恐慌，造成更大的网络事故。

基于此，本申请提供一种系统恶意攻击的检测方法、装置、电子设备及存储介质。

在信息系统运行过程中，可以实时产生运行数据并传输到本申请提供的系统恶意攻击的检测装置中，在接收到这些运行数据后，将其与预设信息数据库中的预设信息进行匹配，从而确定这些运行数据是否存在异常。如果这些运行数据中存在异常数据，则将异常数据进行提取并分析，确定异常数据对应的关联信息，进而根据关联信息生成一个对应的恶意攻击预警板块并展示给用户。做到当存在恶意攻击时的及时提醒，及时阻止。避免用户在访问某些页面或平台时因为不知晓这一页面或平台已经被攻击而被盗取了信息的情况。

图1为本申请提供的一种应用场景示意图。当用户访问某平台或者某页面时，可以用本申请提供的系统恶意攻击的检测方法检测某平台或者某页面是否存在恶意攻击。用户访问某平台或者某页面时使用的服务器可以搭载本申请提供的系统恶意攻击的检测方法，可以将其认为是受攻击方服务器。发送恶意攻击的服务器为攻击方服务器。实时接收受攻击方服务器在运行过程中产生的运行数据。将这些运行数据，与预设信息数据库中的预设信息数据进行匹配，当攻击方服务器发送恶意攻击时，根据匹配结果会得到异常数据，然后通过提取和分析异常数据，确定异常数据的关联信息，并根据关联信息在受攻击方服务器中生成恶意攻击预警板块进行展示。实时接收运行数据并匹配，根据实时匹配结果，确定当前是否存在恶意攻击，可以提高检测的效率，提高检测准确性。同时，在检测到恶意攻击时，可以通过生成的预警板块及时提醒用户，避免用户有所损失。

具体的实现方式可以参考以下实施例。

图2为本申请一实施例提供的一种系统恶意攻击的检测方法的流程图，本实施例的方法可以应用于以上场景中的受攻击方服务器。如图2所示的，该方法包括：

S201、实时接收信息系统的运行数据。

每个平台或链接各自都对应一个信息系统。在具体实现过程中，某些存在关联性的平台或链接可能共用一个信息系统。用户在使用信息系统时，会产生一些数据，这些数据可以理解为本申请中的运行数据。运行数据可以包括用户浏览的平台信息、浏览内容、点击内容、输入内容、访问信息系统的IP地址等，凡是在运行过程中产生的数据都可以归为运行数据。

具体的，在用户访问信息系统时所产生的运行数据都会实时传输到搭载本申请方法的服务器中，受攻击方服务器也会实时接收这些运行数据。

S202、基于预设信息数据库，将运行数据与预设信息数据库中的预设信息数据进行匹配，并根据匹配结果，确定当前时刻的运行数据是否存在异常。

预设信息数据库可以理解为一个存储运行过程中涉及的所有的数据。比如可以存储用户访问的页面或者平台的信息，还可以存储文字、图片等内容，还可以存储用户输入的内容等等。

在一些实现方式中，这个预设信息数据库中可以设置多个标签，这些标签可以与存储的内容类型相匹配。使得存储在这一预设信息数据库中的内容可以通过标签查询到，保证这一预设信息数据库中的内容相对清晰，不会非常杂乱。在存储过程中，这一预设信息数据库会对需要存储的数据或者内容进行类型匹配，然后根据类型确定需要存储的数据或者内容属于哪一标签。确定以后再将这些需要存储的数据或者内容存储到对应的标签下。

可以在预设信息数据库中建立一个深度学习模型，这一深度学习模型可以识别出运行的数据是否异常。具体的，首先建立一个深度学习模型，然后将大量的运行数据以及这些运行数据是否正常都一一输入进去，训练这一建立好的深度学习模型，使得这一深度学习模型在接收到运行数据后，可以确定运行数据是否正常。

具体的，将上述步骤S201中接收到的运行数据输入到这一预设信息数据库中，并确定接收到的运行数据是否存在异常。

S203、若运行数据存在异常，则提取异常数据并分析，确定异常数据对应的关联信息；关联信息包括产生时间、产生位置、异常数据对应的协议中的至少一项。

用户通过使用某一平台或链接时，这一平台或链接对应的信息系统会生成运行数据。受攻击方服务器在接收时除了接收运行数据，还可以将运行数据的产生时间、产生位置、对应使用了哪一协议等信息一起接收。运行数据产生时间、产生位置、对应使用了哪一协议等信息在本申请中可以认为是这些运行数据的关联信息。

如果通过上述步骤S202确定接收到的运行数据确实存在异常，此时，将存在异常的数据单独提取出来，根据接收到的内容，确定这些异常数据的产生时间、产生位置、使用了哪一协议等关联信息。

S204、根据关联信息，生成恶意攻击预警板块并展示。

恶意攻击预警板块可以是一个信息弹窗，提醒用户具体哪个位置、哪些操作或者哪些内容可能会造成恶意攻击，或者也可以为用户展示这一恶意攻击的后果。

在一些实现方式中，如果想要展示这一恶意攻击的后果，则需要根据异常数据，分析确定恶意攻击的类型。此时，可以在预设信息数据库中提前设置若干种可能存在的恶意攻击类型、相关信息以及这些恶意攻击所造成的危害。这些相关信息可能包括恶意攻击的名称、攻击方式、恶意攻击后产生的异常数据的形式等。当产生异常数据时，将异常数据与预设信息数据库中的恶意攻击的相关信息进行匹配。匹配成功之后确定恶意攻击的类型，从而确定这一恶意攻击所造成的危害，并进行展示。

在另一些实现方式中，预设信息数据库中可以预设大量的预警模板，通过异常数据，确定可能的恶意攻击类型以后，可以根据恶意攻击的类型，匹配到合适的预警模板。

具体的，根据上述步骤S203得到的异常数据的关联信息后，根据关联信息中的内容，生成一个恶意攻击预警板块展示给用户。

通过本实施例提供的方法，实时接收用户在使用信息系统时产生的运行数据。利用预设信息数据库，将这些运行数据与预设信息数据库中的预设信息进行匹配，确定接收到的运行数据中是否存在异常数据，如果有，则对异常数据进行提取并分析，确定异常数据的关联信息。进而根据异常数据的关联信息，生成一个恶意攻击预警板块并展示给用户以提醒用户及时关闭页面或退出平台。通过这种方法，实时接收运行数据并进行匹配。在可能存在恶意攻击时，及时生成恶意攻击预警板块提醒用户，提高恶意攻击的预防能力，以减少用户的损失。另外，这种实时接收并分析确认是否存在恶意攻击的方式比固定时间段进行一次数据分析确定是否存在恶意攻击的方式效果更好。

在一些实施例中，如果对异常数据进行分析，确定当前时刻确实存在恶意攻击后，可以根据预设信息数据库确定恶意攻击的攻击类型，然后根据这一攻击类型以及预设攻击处理方式，确定这一恶意攻击的处理方式，并将其进行处理。具体的，可以包括：若根据异常数据的分析结果确定当前时刻存在恶意攻击，则根据预设信息数据库，确定恶意攻击的攻击类型；根据攻击类型、预设攻击处理方式，确定恶意攻击的处理方式，并根据处理方式抵御恶意攻击。

预设攻击处理方式可以为常见的恶意攻击的处理的方式或者抵御的方式。可以在预设信息数据库中设置一个攻击处理标签，这些预设攻击处理方式可以存储在预设信息数据库中的攻击处理标签下。

具体的，根据上述实施例中所实现的功能，当运行数据中的异常数据确实属于恶意攻击时，可以通过预设信息数据库的数据标签来确定恶意攻击的攻击类型。然后将恶意攻击的攻击类型与攻击处理标签中的预设攻击处理方式对应的恶意攻击类型进行匹配。确定当前恶意攻击使用哪种处理方式处理合适。确定以后可以根据对应的处理方式对这一恶意攻击进行抵御。

通过本实施例提供的方式，在检测到确实存在恶意攻击时，可以先根据上述实施例确定异常数据所属恶意攻击的攻击类型，然后确定处理方式，对这一恶意攻击及时进行处理。避免恶意攻击给系统或用户带来损失。

在一些实施例中，可以通过预设攻击等级，确定当前进行恶意攻击的攻击等级。通过当前进行恶意攻击的攻击等级，确定抵御这一恶意攻击以后系统的防御能力是否需要进行提升。如果需要则根据预设提升方案对信息系统进行防御提升。具体的，可以包括：基于预设攻击等级，将恶意攻击与预设攻击等级中对应的恶意攻击信息进行对比，确定恶意攻击的攻击等级；根据恶意攻击的攻击等级，确定信息系统抵御恶意攻击后的防御值；将信息系统抵御后的防御值与预设防御阈值进行对比，确定信息系统是否需要进行防御提升；若确定信息系统需要进行防御提升，则根据预设提升方案对信息系统进行防御提升。

预设攻击等级可以用来反映恶意攻击对用户或者信息系统带来的影响。比如，在本实施例中可以为预设攻击等级设置三个攻击等级：一般攻击、中级攻击、高级攻击。一般攻击对用户或者信息系统带来的影响较小。中级攻击可能会对信息系统带来损伤，影响信息系统的稳定。高级攻击可能会直接导致信息系统瘫痪或者使用户产生损失。在一些实现方式中，可以通过现在常见的恶意攻击造成的影响将恶意攻击进行归类，得到上述的预设攻击等级。

在一些实现方式中，可以在预设信息数据库中设置一个攻击信息标签，这一攻击信息标签不仅可以存储预设攻击等级，还存储有每个攻击等级包含的恶意攻击的恶意攻击信息。这些恶意攻击信息可以包括此恶意攻击的名称、攻击范围、攻击影响等内容。

预设防御阈值可以用来确定信息系统的防御能力是否能够满足日常所需。比如，可以设置预设防御阈值为整体防御能力的60%，当信息系统的防御能力低于整体防御能力的60%，即信息系统的防御值低于预设防御阈值时，可能当前信息系统无法抵御一次中级攻击，此时可能需要对其进行防御提升。

预设提升方案可以理解为根据信息系统当前的防御值，进行防御提升时对应的方案。可以根据历史防御提升方案，确定当前信息系统应该进行怎样的提升，从而从历史防御提升方案中选择合适的方案，作为预设提升方案。

具体的，当存在恶意攻击时，可以将这一恶意攻击与预设攻击等级中所包含的恶意攻击信息进行对比，确定当前恶意攻击所属于的攻击等级。在本实施例中信息系统每进行一次恶意攻击的抵御，其自身的防御能力就会有所下降。因此在确定了当前恶意攻击的攻击等级后，确定信息系统在抵御这一恶意攻击以后的防御能力。如果信息系统在抵御这一恶意攻击以后的防御能力值低于预设防御阈值，此时，根据预设提升方案对信息系统进行防御提升。

通过本实施例提供的方式，当信息系统抵御恶意攻击后会降低自身的防御能力，当防御值降低到预设防御阈值时，及时根据预设提升方案对信息系统进行防御提升。避免防御能力下降，导致的恶意攻击抵御失败的情况。

在一些实施例中，可以根据运行数据中的页面源码进行分析，确定当前时刻的页面源码与正常状态下的页面源码是否一致。如果不一致则这一页面源码下的页面中可能存在恶意攻击。具体的，运行数据中包括页面源码，上述方法还可以包括：提取当前时刻运行数据中的页面源码；基于预设信息数据库，将页面源码与预设信息数据库中存储的页面源码进行匹配；根据匹配结果，确定预设信息数据库中是否包含页面源码，并确定当前时刻的运行数据是否存在异常。

运行数据中可以包括对应产生这一运行数据的页面源码。在预设信息数据库中可以设置一个源码标签。这一标签中可以存储这一信息系统中所涉及的所有页面在正常状态下的页面源码。

在利用运行数据与预设信息数据库中的预设信息进行匹配时，可以通过运行数据中对应包含的页面源码实现。具体的，提取当前时刻接收的运行数据中的页面源码。将这一页面源码与预设信息数据库中源码标签中的页面源码进行匹配。如果这一页面源码可以与预设信息数据库中源码标签中的页面源码匹配上，则说明这一页面源码对应的运行数据是正常的。如果这一页面源码不能与预设信息数据库中源码存储标签中的页面源码完全匹配上，则说明当前时刻接收到的运行数据中存在异常。

通过本实施例提供的方式，可以将运行数据的页面源码与预设信息数据库中源码标签的页面源码进行匹配，确定运行数据的页面源码是否存在异常。如果运行数据的页面源码与预设信息数据库中源码存储标签中的页面源码不匹配，此时，这一页面源码可能被恶意攻击，对应的运行数据大概率也会存在异常。通过这种方式可以从运行数据对应的页面的源码进行检测，从而确定是否存在异常的运行数据，提高检测的准确性、可靠性。

在一些实施例中，在对页面源码进行了检测，确定页面源码正常以后，还可以对页面内容进行检测。如果页面内容与页面源码中的内容不完全吻合，则将不吻合的内容进行关键词提取得到详细信息，然后根据这些详细信息确定页面中是否存在异常数据，进而确定出这些异常数据对应的关联信息。具体的，运行数据中还包括页面内容。上述方法还可以包括：若预设信息数据库中包含页面源码，则将页面内容对应的源码与页面源码进行匹配，并根据匹配结果，确定页面内容对应的源码与页面源码是否完全匹配；

相应地，若运行数据存在异常，则提取并分析异常数据，确定产生异常数据的关联信息，可以包括：若页面内容对应的源码中存在与所述页面源码不匹配的源码，则确定不匹配的源码对应的内容的详细信息；详细信息为对页面内容进行关键词提取后得到的；根据详细信息，确定页面是否存在异常信息；若页面存在异常信息，则根据运行数据，确定页面的关联信息。

页面内容可以理解为用户在访问过程中，访问的页面所展示给用户且用户可以用眼睛看到的内容，这些内容可以包括文字、图片、视频等。

不匹配的源码对应的内容的详细信息可以为这些内容想要展示的含义、这些内容存储的位置等。

具体的，如果通过上述实施例确定运行数据的页面源码与预设信息数据库中源码存储标签中的页面源码可以匹配上，此时可以运行数据中的页面内容与页面源码中所包含的页面内容进行匹配。确定当前时刻展示给用户的页面内容与页面源码中的内容是否一致。如果展示给用户的页面内容与页面源码中所包含的内容不一致，则说明展示给用户的页面内容可能被恶意篡改了。将这些与页面源码中所包含的内容不一致页面内容利用关键词提取的方式，提取相应的动词、名词，通过提取出的关键词，确定这些页面内容是否会对用户构成危害。如果确实存在某些页面内容会对用户构成危害，或者无法确定是否会对用户构成危害，此时可以将这些页面内容对应的运行数据作为异常数据，根据运行数据，确定出这一页面内容中的关联信息。

通过本实施例提供的方式，在页面源码与预设信息数据库中包含的页面源码匹配上以后，说明页面源码不存在恶意攻击，此时可以对这一页面源码对应的展示给用户的页面内容进行再一次的检测。确定展示给用户的内容与页面源码中的内容是否一致。从而进一步确定用户当前时刻查看的页面是否可能存在恶意攻击。如果展示给用户的内容确实与页面源码中的内容不一致，则这一页面内容中可能存在恶意攻击，此时可以根据页面源码中不存在的内容的详细信息，确定异常数据，从而确定出关联信息。通过这种方式可以进一步对当前时刻的页面进行检测，使检测结果更加准确。通过对不同纬度的数据进行检测，使得检测更加全面，更能有效预防恶意攻击。

在一些实施例中，可以对页面内容中的文字内容以及图片内容进行进一步的检测。当文字中不包含敏感文字时，再去检测图片内容。如果图片内容追踪存在敏感特征，则可以根据预设预警方式，生成恶意攻击预警板块进行展示。具体的，页面内容中还包括文字内容。图片内容。上述方法还可以包括：根据预设提取规则，提取页面内容中包含的文字内容；将提取到的文字内容与预设信息数据库中的敏感文字进行匹配，确定文字内容中是否包含敏感文字；若文字内容中不包含敏感文字，则根据预设提取规则，提取页面内容中包含的图片内容；针对任一图片内容，将图片内容进行特征提取，确定图片内容对应的图片特征；将图片特征与预设信息数据库中的敏感特征进行匹配，确定图片内容中是否包含敏感特征；若图片内容中包含敏感特征，则根据预设预警方式，生成恶意攻击预警板块并展示。

敏感文字可以理解为对用户存在诱导的文字，或者不确定安全性的链接，或者不确定安全性且带有文字提示的选项等，也可以是某些触犯法律或道德底线的文字。敏感特征可以为影响身心健康的一些图像特征，或者带有明显诱导提示的图片内容。这些敏感文字和敏感特征可以提前存储在预设信息数据库中的敏感标签中。

预设提取规则可以在提取文字时以名词为主，名词临近动词为辅，进行敏感文字提取。若某一名词周围没有动词则可以忽略这一名词。在这一名词所在的句子中某一动词与这一名词之间不存在其他动词时，将这一动词称为临近动词。临近动词可以为一个，也可以为多个，满足条件即可。在提取图片内容时可以提取对应页面中各部分的格式，如果某一部分格式为图片格式，即JPG或其他图片格式，则可以认为是图片内容。具体的图片格式可以提前输入到这一预设提取规则中。

预设预警方式可以设置多个，用来提醒用户。比如，当用户浏览的界面存在敏感文字，对用户的身心健康可能会造成影响时，可以在该进行预警弹窗，警告用户不要继续浏览当前界面；当用户浏览的界面存在诱导性链接，可能会对用户的系统或信息造成损失时，可以在对应链接所处的页面位置进行预警弹窗提醒，提醒用户不要轻易点击该链接；当用户浏览的界面存在带有诱导性的图片时，可以在该图片内容上方进行弹窗遮挡，并提醒用户理性对待。在一些实现方式中，可以将敏感特征与预设预警方式中关于图片方面的预警方式进行匹配，从而确定哪一敏感特征应该采用哪种预警方式。

具体的，在对页面内容进行检测时，可以通过预设提取规则对页面内容中的文字内容进行更加精准的提取。并将提取到的文字内容与预设信息数据库中的敏感文字进行匹配，从而确定当前页面内容中是否包含敏感文字。如果不存在敏感文字，则说明当前页面的文字内容均正常。此时可以通过预设提取规则，提取页面内容中包含的图片内容。然后对所有图片均进行特征提取，并将提取出的图片特征与预设信息数据库中的敏感特征进行对比，确定提取出的图片特征中是否含有敏感特征。如果图片特征中含有敏感特征，则利用预设预警方式，确定当前敏感特征对应的预警方式。从而根据这一预警方式生成恶意攻击预警板块并展示给用户。

通过本实施例提供的方式，在对页面内容进行检测时，可以对页面内容中包含的文字内容以及图片内容进行检测，使得检测过程更加精细，检测结果也更加准确。

在一些实施例中，在生成恶意攻击预警板块时，可以先通过预设预警模板以及异常数据确定这一异常数据对应的预警模板，然后通过异常数据的关联信息对预警模板进行细化，进而生成恶意攻击预警板块并展示给用户。具体的，可以包括：根据预设预警模板、异常数据，确定异常数据对应的预警模板；根据关联信息，补充预警模板，生成当前时刻的恶意攻击预警板块并展示。

可以在预设信息数据库中设置一个模板标签，预设预警模板可以设置在预设信息数据库中的模板标签下，不同的恶意攻击类型可能对应着不同的提醒方式，因此可以设置多个模板，这些模板被统称为预设预警模板。另外，还可以在预设信息数据库中设置一个数据标签，常见的异常数据以及这些异常数据可能引起的恶意攻击的类型都可以对应存储在预设信息数据库中的数据标签中，并且数据标签与模板标签可以相互关联。

具体的，当确定运行数据中存在异常数据后，将这一异常数据与上述数据标签中存储的内容进行对比，确定这一异常数据可能引起的恶意攻击的类型，进而根据这一恶意攻击的类型从预设预警模板中确定对应的预警模板。然后通过上述实施例确定的这一异常数据的关联信息，将预警模板中的内容进行补充，得到对应的恶意攻击预警板块并展示给用户。

通过本实施例提供的方式，在运行数据中存在异常数据时，根据异常数据可能引发的恶意攻击的类型，选择合适的预警模板，细化以后再生成恶意攻击预警板块。这样可以更有针对性的提醒用户及时关闭或停止浏览相关内容，也可以减少单一预警板块对用户的提醒效果差的问题。提高预警效果，达到预警目的，尽可能地减少用户的损失。

图3为本申请一实施例提供的一种系统恶意攻击的检测装置的结构示意图，如图3所示的，本实施例的系统恶意攻击的检测装置300包括：数据接收模块301和数据确认模块302、关联信息确定模块303、展示模块304。

数据接收模块301，用于实时接收信息系统的运行数据；

数据确认模块302，用于基于预设信息数据库，将所述运行数据与所述预设信息数据库中的预设信息数据进行匹配，并根据匹配结果，确定当前时刻的运行数据是否存在异常；

关联信息确定模块303，用于若所述运行数据存在异常，则提取异常数据并分析，确定所述异常数据对应的关联信息；所述关联信息包括产生时间、产生位置、异常数据对应的协议中的至少一项；

展示模块304，用于根据所述关联信息，生成恶意攻击预警板块并展示。

可选的，所述系统恶意攻击的检测装置还包括抵御模块305，用于：

若根据异常数据的分析结果确定当前时刻存在恶意攻击，则根据预设信息数据库，确定恶意攻击的攻击类型；

根据所述攻击类型、预设攻击处理方式，确定所述恶意攻击的处理方式，并根据所述处理方式抵御所述恶意攻击。

可选的，所述系统恶意攻击的检测装置还包括防御力分析模块306，用于：

基于预设攻击等级，将所述恶意攻击与所述预设攻击等级中对应的恶意攻击信息进行对比，确定所述恶意攻击的攻击等级；

根据所述恶意攻击的攻击等级，确定所述信息系统抵御所述恶意攻击后的防御值；

将所述信息系统抵御后的防御值与预设防御阈值进行对比，确定所述信息系统是否需要进行防御提升；

若确定所述信息系统需要进行防御提升，则根据预设提升方案对所述信息系统进行防御提升。

可选的，所述数据确认模块302具体用于：

提取当前时刻所述运行数据中的页面源码；

基于预设信息数据库，将所述页面源码与所述预设信息数据库中存储的页面源码进行匹配；

根据匹配结果，确定所述预设信息数据库中是否包含所述页面源码，并确定当前时刻的运行数据是否存在异常。

可选的，所述系统恶意攻击的检测装置还包括页面分析模块307，用于：

若所述预设信息数据库中包含所述页面源码，则将所述页面内容对应的源码与所述页面源码进行匹配，并根据匹配结果，确定所述页面内容对应的源码与所述页面源码是否完全匹配；

所述若所述运行数据存在异常，则提取并分析异常数据，确定产生所述异常数据的关联信息，包括：

若所述页面内容对应的源码中存在与所述页面源码不匹配的源码，则确定不匹配的源码对应的内容的详细信息；所述详细信息为对所述页面内容进行关键词提取后得到的；

根据所述详细信息，确定页面是否存在异常信息；

若所述页面存在异常信息，则根据运行数据，确定所述页面的关联信息。

可选的，所述系统恶意攻击的检测装置还包括内容分析模块308，用于：

根据预设提取规则，提取所述页面内容中包含的文字内容；

将提取到的文字内容与所述预设信息数据库中的敏感文字进行匹配，确定所述文字内容中是否包含敏感文字；

若所述文字内容中不包含敏感文字，则根据预设提取规则，提取所述页面内容中包含的图片内容；

针对任一图片内容，将所述图片内容进行特征提取，确定所述图片内容对应的图片特征；

将所述图片特征与预设信息数据库中的敏感特征进行匹配，确定所述图片内容中是否包含敏感特征；

若所述图片内容中包含敏感特征，则根据预设预警方式，生成恶意攻击预警板块并展示。

可选的，所述展示模块具体304用于：

根据预设预警模板、所述异常数据，确定所述异常数据对应的预警模板；

根据所述关联信息，补充所述预警模板，生成当前时刻的恶意攻击预警板块并展示。

本实施例的装置，可以用于执行上述任一实施例的方法，其实现原理和技术效果类似，此处不再赘述。

图4为本申请一实施例提供的一种电子设备的结构示意图，如图4所示，本实施例的电子设备400可以包括：存储器401和处理器402。

存储器401上存储有能够被处理器402加载并执行上述实施例中方法的计算机程序。

其中，处理器402和存储器401相连，如通过总线相连。

可选地，电子设备400还可以包括收发器。需要说明的是，实际应用中收发器不限于一个，该电子设备400的结构并不构成对本申请实施例的限定。

处理器402可以是CPU（Central Processing Unit，中央处理器），通用处理器，DSP（Digital Signal Processor，数据信号处理器），ASIC（Application SpecificIntegrated Circuit，专用集成电路），FPGA（Field Programmable Gate Array，现场可编程门阵列）或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框，模块和电路。处理器402也可以是实现计算功能的组合，例如包含一个或多个微处理器组合，DSP和微处理器的组合等。

总线可包括一通路，在上述组件之间传送信息。总线可以是PCI（PeripheralComponent Interconnect，外设部件互连标准）总线或EISA（Extended Industry StandardArchitecture，扩展工业标准结构）总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示，图中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

存储器401可以是ROM（Read Only Memory，只读存储器）或可存储静态信息和指令的其他类型的静态存储设备，RAM（Random Access Memory，随机存取存储器）或者可存储信息和指令的其他类型的动态存储设备，也可以是EEPROM（Electrically ErasableProgrammable Read Only Memory，电可擦可编程只读存储器）、CD-ROM（Compact DiscRead Only Memory，只读光盘）或其他光盘存储、光碟存储（包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等）、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。

存储器401用于存储执行本申请方案的应用程序代码，并由处理器402来控制执行。处理器402用于执行存储器401中存储的应用程序代码，以实现前述方法实施例所示的内容。

其中，电子设备包括但不限于：移动电话、笔记本电脑、数字广播接收器、PDA（个人数字助理）、PAD（平板电脑）、PMP（便携式多媒体播放器）、车载终端（例如车载导航终端）等等的移动终端以及诸如数字TV、台式计算机等等的固定终端。还可以为服务器等。图4示出的电子设备仅仅是一个示例，不应对本申请实施例的功能和使用范围带来任何限制。

本实施例的电子设备，可以用于执行上述任一实施例的方法，其实现原理和技术效果类似，此处不再赘述。

本申请还提供一种计算机可读存储介质，存储有能够被处理器加载并执行如上实施例中的方法的计算机程序。

本领域普通技术人员可以理解：实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时，执行包括上述各方法实施例的步骤；而前述的存储介质包括：ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。