一種防止惡意程序攻擊網絡支付頁面的方法及裝置製造方法

2023-06-07 04:32:56 3

一種防止惡意程序攻擊網絡支付頁面的方法及裝置製造方法
【專利摘要】本發明涉及網絡通信【技術領域】，其公開了一種防止惡意程序攻擊網絡支付頁面的方法及裝置，該方法包括：檢測瀏覽器所訪問的頁面是否為網絡支付頁面；當檢測到瀏覽器所訪問的頁面為網絡支付頁面時，監測是否存在惡意程序訪問所述瀏覽器的行為；當監測到所述惡意程序訪問所述瀏覽器的行為時，攔截所述惡意程序。由此，一旦檢測到瀏覽器所訪問的頁面為網絡支付頁面，則加強對瀏覽器的監測，以便確定在瀏覽器訪問網絡支付頁面的過程中是否存在惡意程序訪問瀏覽器的行為，當存在這種行為時，則對該惡意程序進行攔截，以達到保護支付信息不被洩露，提高支付安全性的效果。
【專利說明】一種防止惡意程序攻擊網絡支付頁面的方法及裝置
【技術領域】
[0001 ] 本發明涉及網絡通信【技術領域】，具體涉及一種防止惡意程序攻擊網絡支付頁面的 方法及裝置。
【背景技術】
[0002]隨著網際網路的發展，網絡支付功能得到了越來越廣泛的應用。用戶通過網絡支付 功能可以在線支付各種費用。例如，當用戶登錄網上商城購買物品時，可以通過預先開通的 網絡銀行進行網上轉帳支付，在具體支付過程中，用戶需要輸入有關支付的重要信息(包括 銀行卡帳號和預先設置的密碼等)，這些重要信息一旦被惡意第三方盜取則會嚴重威脅支 付的安全性。
[0003]在現有技術中，惡意第三方為了通過木馬盜取用戶的重要信息，可以在用戶通過 網頁點擊支付按鈕時，誘導用戶的瀏覽器跳轉到惡意第三方預先設置好的惡意網頁上，由 於該惡意網頁與正常的支付網頁非常相似，因此，用戶很可能會毫無防備地在該惡意網頁 上輸入與支付有關的重要信息，此時，就會造成用戶信息的洩漏，進而威脅到支付的安全 性。

【發明內容】

[0004]鑑於上述問題，提出了本發明以便提供一種克服上述問題或者至少部分地解決上 述問題的防止惡意程序攻擊網絡支付頁面的方法及裝置。
[0005]根據本發明的一個方面，提供了一種防止惡意程序攻擊網絡支付頁面的方法，包 括:檢測瀏覽器所訪問的頁面是否為網絡支付頁面；當檢測到瀏覽器所訪問的頁面為網絡 支付頁面時，監測是否存在惡意程序訪問所述瀏覽器的行為；當監測到所述惡意程序訪問 所述瀏覽器的行為時，攔截所述惡意程序。
[0006]可選地，進一步包括步驟:預先設置特徵資料庫，所述特徵資料庫用於存儲網絡支 付頁面的特徵，所述檢測瀏覽器所訪問的頁面是否為網絡支付頁面的步驟具體包括:獲取 瀏覽器所訪問的頁面的特徵，並判斷所述瀏覽器所訪問的頁面的特徵是否與所述特徵數據 庫中存儲的特徵匹配，當判斷結果為是時，確定所述瀏覽器所訪問的頁面是網絡支付頁面； 當判斷結果為否時，確定所述瀏覽器所訪問的頁面不是網絡支付頁面。
[0007]可選地，所述瀏覽器所訪問的頁面的特徵包括瀏覽器所訪問的頁面的URL，且所述 特徵資料庫中存儲的網絡支付頁面的特徵包括網絡支付頁面的URL，其中，當所述網絡支付 頁面為動態頁面中的頂級頁或內嵌頁時，所述特徵資料庫中存儲的網絡支付頁面的特徵進 一步包括:所述網絡支付頁面對應的refer鏈,其中,所述refer鏈用於存儲所述網絡支付 頁面所屬的動態頁面中的頂級頁與各個內嵌頁之間的嵌套關係，以及所述頂級頁與各個內 嵌頁對應的URL。
[0008]可選地，所述特徵資料庫為存儲在客戶端本地的本地特徵資料庫，或者，所述特徵 資料庫為存儲在網絡伺服器端的網絡特徵資料庫。[0009]可選地，所述惡意程序訪問所述瀏覽器的行為包括以下行為中的一個或多個:所 述惡意程序獲取所述瀏覽器的窗口句柄的行為；所述惡意程序獲取所述瀏覽器的接口指針 的行為；所述惡意程序獲取所述瀏覽器的瀏覽器句柄的行為。
[0010]可選地，監測所述惡意程序訪問所述瀏覽器的行為通過掛鈎技術實現。
[0011]可選地，所述惡意程序訪問所述瀏覽器的行為是所述惡意程序獲取所述瀏覽器的 瀏覽器句柄的行為。
[0012]根據本發明的另一方面，提供了一種防止惡意程序攻擊網絡支付頁面的裝置，包 括:檢測單元，適於檢測瀏覽器所訪問的頁面是否為網絡支付頁面；監測單元，適於當檢測 到瀏覽器所訪問的頁面為網絡支付頁面時，監測是否存在惡意程序訪問所述瀏覽器的行 為；攔截單元，適於當監測到所述惡意程序訪問所述瀏覽器的行為時，攔截所述惡意程序。
[0013]可選地，進一步包括存儲單元，適於預先設置特徵資料庫，所述特徵資料庫用於存 儲網絡支付頁面的特徵；所述檢測單元適於獲取瀏覽器所訪問的頁面的特徵，並判斷所述 瀏覽器所訪問的頁面的特徵是否與所述特徵資料庫中存儲的特徵匹配，當判斷結果為是 時，確定所述瀏覽器所訪問的頁面是網絡支付頁面；當判斷結果為否時，確定所述瀏覽器所 訪問的頁面不是網絡支付頁面。
[0014]可選地，所述瀏覽器所訪問的頁面的特徵包括瀏覽器所訪問的頁面的URL，且所述 特徵資料庫中存儲的網絡支付頁面的特徵包括網絡支付頁面的URL，其中，當所述網絡支付 頁面為動態頁面中的頂級頁或內嵌頁時，所述特徵資料庫中存儲的網絡支付頁面的特徵進 一步包括:所述網絡支付頁面對應的refer鏈,其中,所述refer鏈用於存儲所述網絡支付 頁面所屬的動態頁面中的頂級頁與各個內嵌頁之間的嵌套關係，以及所述頂級頁與各個內 嵌頁對應的URL。
[0015]可選地，所述監測單元監測的惡意程序訪問所述瀏覽器的行為包括以下行為中的 一個或多個:所述惡意程序獲取所述瀏覽器的窗口句柄的行為；所述惡意程序獲取所述瀏 覽器的接口指針的行為；所述惡意程序獲取所述瀏覽器的瀏覽器句柄的行為。
[0016]可選地，所述監測單元通過掛鈎技術監測所述惡意程序訪問所述瀏覽器的行為。
[0017]可選地，所述監測單元監測的惡意程序訪問所述瀏覽器的行為是所述惡意程序獲 取所述瀏覽器的瀏覽器句柄的行為。
[0018]根據本發明的方法及裝置，一旦檢測到瀏覽器所訪問的頁面為網絡支付頁面，則 加強對瀏覽器的監測，以便確定在瀏覽器訪問網絡支付頁面的過程中是否存在惡意程序訪 問瀏覽器的行為，當存在這種行為時，則對該惡意程序進行攔截，以達到保護支付信息不被 洩露，提高支付安全性的效果。
[0019]上述說明僅是本發明技術方案的概述，為了能夠更清楚了解本發明的技術手段， 而可依照說明書的內容予以實施，並且為了讓本發明的上述和其它目的、特徵和優點能夠 更明顯易懂，以下特舉本發明的【具體實施方式】。
【專利附圖】

【附圖說明】
[0020]通過閱讀下文優選實施方式的詳細描述，各種其他的優點和益處對於本領域普通 技術人員將變得清楚明了。附圖僅用於示出優選實施方式的目的，而並不認為是對本發明 的限制。而且在整個附圖中，用相同的參考符號表示相同的部件。在附圖中:[0021]圖1示出了本發明實施例提供的防止惡意程序攻擊網絡支付頁面的方法流程圖； 以及
[0022]圖2示出了本發明實施例提供的防止惡意程序攻擊網絡支付頁面的裝置結構圖。 【具體實施方式】
[0023]下面將參照附圖更詳細地描述本公開的示例性實施例。雖然附圖中顯示了本公開 的示例性實施例，然而應當理解，可以以各種形式實現本公開而不應被這裡闡述的實施例 所限制。相反，提供這些實施例是為了能夠更透徹地理解本公開，並且能夠將本公開的範圍 完整的傳達給本領域的技術人員。
[0024]本發明提供了一種防止惡意程序攻擊網絡支付頁面的方法及裝置，用以解決目前 在網絡支付過程中由於用戶信息洩漏所導致的威脅支付安全性的問題。
[0025]圖1示出了本發明實施例提供的防止惡意程序攻擊網絡支付頁面的方法流程圖。 該方法的執行主體例如可以是安裝在客戶端上的獨立於瀏覽器的軟體程序(例如安全衛士 等)，或者，也可以是直接安裝在客戶端瀏覽器上的瀏覽器插件，另外，上述客戶端既可以是 固定終端(例如電腦終端)，也可以是移動終端(例如手機終端)。如圖1所示，該方法起始於 步驟S110，在步驟SllO中，檢測瀏覽器所訪問的頁面是否為網絡支付頁面。
[0026]其中，在步驟SllO中，需要對瀏覽器當前所訪問的頁面進行持續監測，在此過程 中，主要是對瀏覽器切換新頁面的行為進行監測，並且，每當監測到瀏覽器打開了一個新頁 面時，判斷該新頁面是否為網絡支付頁面。其中，瀏覽器打開新頁面的行為具體包括下述幾 種情形:
[0027]在第一種情形中，瀏覽器打開的新頁面為靜態頁面，所謂靜態頁面，是指頁面內容 是不能隨時改動的，而是一次性寫好頁面內容後放在伺服器上供客戶端瀏覽器瀏覽的，如 果想改動頁面內容，必須先在頁面上修改完畢後再上傳到伺服器以覆蓋原有頁面。由於靜 態頁面上所顯示的內容有可能是釣魚網站預先寫好的內容，因此，當瀏覽器打開一個新的 靜態頁面時需要進行監測。
[0028]在第二種情形中，瀏覽器打開的新頁面為動態頁面，所謂動態頁面，是指頁面內容 是能夠隨時改動的。例如，在伺服器端與客戶端的頁面內容不相同，最原始的頁面存在服務 器端，根據用戶反饋的內容或者要求，在伺服器端計算得出結果以後，直接把結果傳遞到客 戶端電腦上顯示出來。由於動態頁面上每次所顯示的內容都有可能是釣魚網站預先寫好的 內容，因此，當瀏覽器打開一個新的動態頁面時更需要進行監測。
[0029]在上述兩種情形中所打開的新頁面，既有可能是用戶通過地址欄輸入URL後主動 請求加載的頁面，也有可能是通過其他頁面上的超連結等元素引導進入的頁面，或者還可 能是一些腳本運行完畢後自動加載的頁面，總之，無論上述新頁面是如何加載的，都需要進 行監測。
[0030]介紹完瀏覽器打開新頁面的行為方式之後，下面結合上述行為方式給出判斷上述 新頁面是否為網絡支付頁面的方法。其中，由於動態頁面的內容繁多，而且還可以通過腳本 來修改當前顯示的頁面內容，所以即使是在頁面掩碼貌似正常的情況下，也有可能在腳本 加載完成後顯示出一個偽造的支付寶或中獎內容，從而誘使用戶受騙。因此，下面主要針對 第二種情形中的動態網頁的特點來介紹判斷新頁面是否為網絡支付頁面的方式。[0031]其中，動態頁面通常採用嵌套頁的形式實現，例如，在頂級頁的內容中進一步嵌套了多個層次的內嵌頁。這時，為了防止僅僅關注頂級頁面，漏掉釣魚欺詐網頁信息的情況發生，需要對動態頁面的每個層次都進行識別和監測。為此，需要先通過瀏覽器輔助對象 (Browser Helper Object,BHO)獲取事件標記的方式來識別出當前頁面是內嵌頁還是頂級頁，然後再根據內嵌頁或頂級頁的特點進行有針對性的監測。
[0032]為了清楚地表示出動態頁面的頂級頁與各個內嵌頁之間的層次關係，在本發明中引入refer鏈的概念。下面詳細介紹一下refer鏈的含義和確定方式:
[0033]首先，將瀏覽器所打開的當前頁面稱為第i級頁面，i ^ 2，該第i級頁面是由初始頁面(即頂級頁)的第i級連結所打開的頁面。通常，在用戶打開瀏覽器後，瀏覽器訪問默認的初始頁面或者通過用戶在地址欄的輸入觸發初始頁面的訪問請求，通過用戶在初始頁面上點擊連結或者其它連結方式由初始頁面連結到第2級頁面，通過用戶在第2級頁面上點擊連結或者其它連結方式由第2級頁面連結到第3級頁面，依此類推，最後由第1-1級頁面連結到第i級頁面。舉例來說，用戶打開瀏覽器後在地址欄輸入WWW.s0.com，該頁面就是初始頁面(下面用A來表示其URL);然後，用戶在搜索欄輸入「話費充值」，點擊搜索按鈕，瀏覽器會跳到 http://www.s0.com/s?ie=utf-8&src=360sou_home&q=%E8%AF%9D%E8%B4%B9%E 5%85%85%E5%80%BC,該頁面為第2級頁面(下面用B來表示其URL);第2級頁面提供了很多連結，用戶點擊其中一個連結，瀏覽器會跳到此連結對應的頁面http://chongzh1.360.cn/ mobile/，該頁面為第3級頁面(下面用C來表示其URL);用戶在第3級頁面上點擊「網遊點卡」連結，瀏覽器會跳到http://chongzh1.360.cn/Game Card/index,該頁面為第4級頁面 (下面用D來表示其URL)。用戶在第3級頁面上點擊「網遊點卡」連結，瀏覽器就會監控到第 4 級頁面:http://cho ngzh1.360.cn/GameCard/index 的訪問請求。
[0034]然後，在監控到第i級頁面的訪問請求後，瀏覽器將加載第i級頁面，在加載第i 級頁面的過程中，獲取包含第i級頁面的頁面ID的refer鏈。該refer鏈包含初始頁面至第i級頁面的頁面ID和URL，其中各級頁面的頁面ID是瀏覽器在加載頁面的過程中為頁面所生成的唯一的ID，在refer鏈中它作為頁面的URL的索引值。瀏覽器通過第i級頁面的頁面ID查詢包含第i級頁面的URL且第i級頁面是最後一級頁面的refer鏈。例如,refer 鏈為 A (IDl) ->B (ID2) ->C (ID3) ->D (ID4)，其中 A、B、C 和 D 分別為各級頁面的 URL, ID1、ID2、 ID3和ID4分別為各級頁面的頁面ID。在瀏覽器加載頁面D時，根據頁面D的頁面ID4查詢到上述refer鏈。因此,在上述示例中,在加載第4級頁面的過程中,將獲取如下refer鏈: A (IDl) ->B (ID2) ->C (ID3) ->D (ID4)。獲取到該refer鏈之後，客戶端可以將該refer鏈所包含的所有URL發送給伺服器。客戶端可以僅將refer鏈所包含的各級頁面的URL上報給伺服器，無需上報各級頁面的頁面ID。對於refer鏈:A (IDl)->B (ID2)->C (ID3)->D (ID4)， 客戶端將A->B->C->D發送給伺服器。可選地，根據與伺服器之間的雲查詢協議，本方法可以將refer鏈所包含的所有URL加密成密文發送給伺服器。
[0035]綜上，每當通過初始頁面的各級連結打開新頁面時，負責維護refer鏈的進程獲取新頁面的頁面ID和URL以及新頁面的上一級頁面的頁面ID或URL，根據該上一級頁面的頁面ID或URL查詢對應的refer鏈,倉ij建refer鏈的對應節點。由此可見,通過refer鏈能夠清楚地表示出動態頁面中的頂級頁與各個內嵌頁之間的嵌套關係，如果某一頂級頁或當前打開的內嵌頁的上一級內嵌頁存在釣魚信息，則可以確定當前打開的內嵌頁也是不安全的，因此，通過refer鏈能夠識別出當前打開的內嵌頁的來源，因而能夠更加準確地判斷 該內嵌頁是否安全。另外，具體到本實施例中，即使瀏覽器當前打開的內嵌頁不是網絡支付 頁面，但如果該內嵌頁的上一級頁面或上幾級頁面是網絡支付頁面，那麼，也應該對該內嵌 頁加強監測。總之，通過refer鏈能夠使步驟SllO中的監測角度更加全面。
[0036]基於動態頁面的上述特點以及refer鏈的含義，具體地，在判斷該新頁面是否為 網絡支付頁面時可以根據網絡支付頁面的特點靈活選擇多種判斷方式:
[0037]在第一種判斷方式中，預先設置特徵資料庫，該特徵資料庫用來存儲網絡支付頁 面的特徵。這裡所說的網絡支付頁面主要是指包含「確認付款」等類按鈕的頁面，一旦用戶 在支付頁面上點擊了「確認付款」的按鈕，就會將款項打入對方帳號，因此，對這類支付頁面 進行監控是非常有必要的。其中，網絡支付頁面的特徵可以通過多種形式表現，例如，可以 是網絡支付頁面的URL地址，因為根據URL地址就可以唯一地標識一個網頁。當採用URL 地址作為網絡支付頁面的特徵時，需要預先獲取各類支付頁面的URL地址，例如，可以將常 見的各類付款方式(如各個銀行的信用卡、儲蓄卡以及支付寶等)所對應的支付頁面的URL 地址存儲到該特徵資料庫中。這裡所說的URL地址既可以是完整的URL地址，也可以僅僅 是URL地址中所要包含的部分特徵。例如，假設用戶通過建設銀行的網上銀行功能進行付 款，在其對應的支付頁面的URL地址中一定會包含有關建設銀行的標識信息，那麼，只要在 特徵資料庫中存儲該標識信息就可以監測到所有包含該標識信息的支付頁面，從而能夠監 測到所有通過建設銀行進行付款的頁面。同理，在特徵資料庫中還應該存儲其他的各個銀 行以及其他各類支付方式所對應的URL地址(或URL地址中有關於付款的標識信息)。另外， 當網絡支付頁面為動態頁面中的頂級頁或內嵌頁時，在特徵資料庫中還可以進一步存儲該 網絡支付頁面對應的refer鏈,該refer鏈存儲了該網絡支付頁面所屬的動態頁面中的頂 級頁與各個內嵌頁之間的嵌套關係，以及頂級頁與各個內嵌頁對應的URL的集合。這樣，即 使瀏覽器當前打開的新頁面不是網絡支付頁面，但只要在該頁面所屬的動態頁面的某一級 頁面中包含網絡支付頁面，也會將該頁面識別出來，由此使得監測更加全面。
[0038]在第二種判斷方式中，也需要預先設置特徵資料庫，該特徵資料庫中不僅包括用 來存儲網絡支付頁面的特徵信息(如第一種判斷方式中的URL等)，另外，在特徵資料庫中還 需要存儲網絡支付頁面的模板信息。
[0039]首先，特徵資料庫中的特徵信息用於精準識別，所謂精準識別，就是抓取的頁面特 徵會生成一個籤名，該籤名中的全部特徵必須都與特徵資料庫中的特徵信息匹配。例如，根 據瀏覽器當前訪問頁面的頁面特徵生成的籤名中包含20個特徵，必須是20個特徵全部與 特徵資料庫中的特徵信息匹配才可以。只有在瀏覽器打開的新頁面與特徵信息匹配的情況 下，才會進一步根據模板信息來確認該新頁面是否為網絡支付頁面，否則則直接中止對該 新頁面的檢測，因此，通過特徵信息精準識別的方式能夠快速過濾掉大量的無關網頁，從而 集中精力識別潛在的網絡支付頁面。
[0040]然後，特徵資料庫中的模板信息用於模糊識別:在模板信息中存儲了網絡支付頁 面的一些內容特徵(例如與支付有關的敏感詞彙:「支付」、「付款」等)，通常，模板信息中存 儲的內容特徵為多個；然後，對瀏覽器打開的新頁面的內容進行識別，以判斷其內容是否與 模板信息符合。具體地，在對瀏覽器打開的新頁面的內容進行識別時，如果是動態頁面，要 等腳本(如js腳本)運行完畢，且網頁的文檔對象模型(DOM)組建完畢後進行識別，才能保證識別的內容是網頁的完整內容，如果該動態頁面包含多級頁面，還需要對其中的每一層 內嵌頁都進行識別，從而防止漏掉釣魚信息。識別出瀏覽器打開的頁面內容之後，判斷頁面 內容與模板信息中的各項內容特徵之間的相似度，根據相似度分別進行打分，並且，還可以 根據每項內容特徵的重要性為其賦予不同的權重，根據頁面內容對應於每項內容特徵的分 值以及該項內容特徵的權重來得出頁面內容的綜合得分，根據綜合得分的高低來判斷該頁 面是否為網絡支付頁面。因此，在模糊識別的過程中，是通過打分，或者綜合評價的方式來 識別的，例如可以採用統計模型和神經網絡等算法實現。對於常見的文字混淆，圖片混淆， 或者改變語言順序的混淆方式都可以通過模糊識別檢測出來。
[0041]由此可見，第二種判斷方式在第一種判斷方式的基礎上又增加了基於頁面內容的 模糊識別技術，因而判斷結果更為準確。實際上，第二種判斷方式中的基於頁面內容的模糊 識別技術也可以單獨作為一種判斷方式來實現。另外，本領域技術人員還可以根據需要靈 活採用其它的判斷方式，例如，也可以根據正則表達式的匹配方式進行判斷等。
[0042]另外，上述兩種方式中的特徵資料庫既可以是存儲在客戶端本地的本地特徵數據 庫，也可以是存儲在網絡伺服器端的網絡特徵資料庫。優選地，可以將特徵資料庫同時存儲 在網絡伺服器端和客戶端本地，這樣，當發現新的支付頁面的特徵時，首先對網絡伺服器端 的特徵資料庫進行更新，更新後，可以由網絡伺服器主動將更新後的特徵資料庫中的內容 發送給各個客戶端，由各個客戶端對本地存儲的特徵資料庫進行相應的更新；或者，也可以 由各個客戶端每隔預設時間間隔自動地向伺服器端請求最新的特徵資料庫。通過在網絡服 務器端和客戶端本地同時存儲特徵資料庫的方式，既能夠確保特徵資料庫的及時更新，又 能夠在客戶端暫時斷網的情況下為客戶端提供保護。
[0043]設置好上述的特徵資料庫之後，在判斷瀏覽器所訪問的頁面是否為網絡支付頁面 時，首先需要獲取瀏覽器所訪問的頁面的特徵，即該頁面的URL地址；然後，判斷該URL地址 是否與特徵資料庫中存儲的某一特徵匹配，當判斷結果為是時，確定該瀏覽器所訪問的頁 面是網絡支付頁面；當判斷結果為否時，則確定該瀏覽器所訪問的頁面不是網絡支付頁面。
[0044]另外，在步驟SllO中，也可以由瀏覽器本身對訪問的頁面進行判斷，當判斷出訪 問頁面為網絡支付頁面時，由瀏覽器通知本方法的執行主體。
[0045]當在上述步驟SllO中檢測到該瀏覽器所訪問的頁面為網絡支付頁面時，則轉入 步驟S120，在步驟S120中，監測是否存在惡意程序訪問該瀏覽器的行為。也就是說，當檢測 到該瀏覽器所訪問的頁面為網絡支付頁面時，則使瀏覽器轉入強力保護模式，在該模式下， 對瀏覽器加強檢測，從而提高瀏覽器的主動防禦功能，避免受到惡意程序的攻擊。其中，惡 意程序可以通過惡意網址類別和可信度值來判斷，其中，惡意網址類別又可以進一步包括: 釣魚網站，假冒主站、虛假信息以及醫療廣告等類別。
[0046]其中，惡意程序訪問瀏覽器的行為包括以下行為中的一個或多個:惡意程序獲取 瀏覽器的窗口句柄的行為；惡意程序獲取瀏覽器的接口指針的行為；以及，惡意程序獲取 瀏覽器的瀏覽器句柄(handle)的行為。具體地，獲取瀏覽器的窗口句柄的目的在於查找到 瀏覽器本身；在獲取到窗口句柄之後，如果進一步獲取到瀏覽器的接口指針，則可以對查找 到的該瀏覽器進行訪問；再進一步地，如果該瀏覽器當前打開了多個頁面，那麼，只有進一 步獲取到具體的某一頁面所對應的瀏覽器句柄，才可以對該頁面進行訪問。通過上述描述 可以看出，上述的三個行為是依次發生的，因此，上述三個行為的危險性也是逐步加深的:如果監測到獲取窗口句柄的行為，只能說明有惡意程序希望訪問該瀏覽器；如果監測到獲 取接口指針的行為，也只能說明有惡意程序能夠訪問該瀏覽器；而只有監測到了獲取瀏覽 器句柄的行為，才能夠確定有惡意程序能夠訪問該瀏覽器所訪問的當前頁面，即:該惡意程 序對當前頁面已經構成了威脅。由此可以看出，如果監測前兩種行為，則能夠較早地發現潛 在的惡意程序，但是也有可能導致誤報率較高，而且監測成本也較高；相比之下，如果監測 第三種行為，既可以有效地預防惡意程序發起的攻擊，還可以顯著降低誤報率，且監測成本 也較低。因此，優選地，本實施例中以監測第三種行為為例進行介紹。
[0047]在介紹關於第三種行為的具體監測方式之前，首先介紹一下惡意程序通過第三 種行為攻擊網絡支付頁面的具體實現方式:首先，惡意程序通過windows的遠程程序調用 (Remote Procedure Call, RPC)機制,獲取到瀏覽器句柄。其中，瀏覽器句柄可以通過一個 接口表示，該接口例如可以是表達上下文欄位PresentationContext接口，或者,該接口也 可以是瀏覽器事件響應註冊接口、瀏覽器對象接口、HTML修改接口等各類能夠操作瀏覽器 的接口。惡意程序獲取到瀏覽器句柄之後，就可以利用該瀏覽器句柄實現操作瀏覽器的目 的。通常情況下，惡意程序獲取到瀏覽器句柄之後，可以篡改瀏覽器所顯示的網絡支付頁 面。例如，惡意程序可以採用如下兩種篡改方式:在第一種篡改方式中，惡意程序提前註冊 為一個商家，然後將瀏覽器所顯示的正確的網絡支付頁面修改為惡意程序對應的商家的虛 假支付頁面，該虛假支付頁面與瀏覽器所顯示的正確的網絡支付頁面通常非常相似，因此， 用戶一般不易察覺，從而會因疏忽而將錢款打入虛假支付頁面對應的收款方，從而使用戶 的錢財造成損失。在第二種篡改方式中，惡意程序不僅會將正確的網絡支付頁面修改為惡 意程序對應的商家的虛假支付頁面，而且，還會對支付金額等重要信息進行篡改，例如，將 支付金額為10元篡改為支付金額為1000元，從而導致用戶出現重要的財產損失。除了篡 改瀏覽器所顯示的網絡支付頁面的方式之外，惡意程序還可能獲取到用戶支付時的帳號信 息和密碼，從而直接利用用戶的帳號信息和密碼來完成一些非法的支付操作，從而為用戶 帶來更大的損失。由此可見，雖然惡意程序攻擊網絡支付頁面時的攻擊行為多種多樣，但實 現這些攻擊行為的共同前提是:必須獲取到瀏覽器句柄。因此，通過監測惡意程序獲取瀏覽 器句柄的行為能夠有效杜絕惡意程序的攻擊行為。
[0048]下面介紹一下監測惡意程序獲取瀏覽器句柄的行為的具體監測方式。具體地，可 以通過掛鈎(HOOK)技術來實現對惡意程序的監測，即:在瀏覽器程序中的指定位置設置掛 鉤(H00K)，以實現對指定位置的運行狀態的監測。為了實現對瀏覽器句柄進行監測的目的， 上面提到的指定位置可以是瀏覽器句柄所對應的接口(如PresentationContext接口)。通 過對瀏覽器句柄所對應的接口設置掛鈎，可以在任何程序(包括惡意程序在內)試圖獲取瀏 覽器句柄時，先觸發預設的掛鈎函數中的邏輯功能。其中，掛鈎函數中的邏輯功能例如可以 是:通知本發明中的方法的執行主體(例如安全衛士軟體等)，只有得到許可後才可以獲取 瀏覽器句柄，從而使本發明在步驟S120中監測到惡意程序訪問瀏覽器的行為。
[0049]可選地，在步驟S120中，還可以進一步在瀏覽器程序的多個位置設置掛鈎函數， 例如，可以在每個能夠訪問瀏覽器的接口處(包括上述的惡意程序獲取瀏覽器的窗口句柄 的行為所對應的接口，以及惡意程序獲取瀏覽器的接口指針的行為所對應的接口等)都設 置掛鈎函數，這樣，只要有程序試圖訪問瀏覽器，就會通過這些預設的掛鈎函數通知本發明 中的方法的執行主體，因此，只要沒有得到本發明中的方法的執行主體的許可，任何程序都無法訪問瀏覽器。換句話說，在本發明中，當瀏覽器訪問網頁支付頁面時，使瀏覽器進行強 力保護模式，在該模式下，任何訪問瀏覽器的行為都會受到監控，相當於為瀏覽器提供了一 道堅實的壁壘。
[0050]當監測到上述惡意程序訪問瀏覽器的行為時，執行步驟S130。在步驟S130中，攔 截該惡意程序。具體攔截時，可以直接殺死該惡意程序，使其無法運行；或者，也可以將該惡 意程序提示給用戶，由用戶來決定是否清除該惡意程序。總之，只要能夠阻止惡意程序的攻 擊行為即可。
[0051]另外，在本發明提供的防止惡意程序攻擊網絡支付頁面的方法中，還可以進一步 包括步驟:當檢測到瀏覽器退出對網絡支付頁面的訪問時，使瀏覽器退出強力保護模式，轉 入正常模式，在正常模式下，不對上述訪問瀏覽器的行為進行監測。
[0052]綜上所述，在本發明提供的防止惡意程序攻擊網絡支付頁面的方法中，首先檢測 瀏覽器所訪問的頁面是否為網絡支付頁面，並在瀏覽器訪問網絡支付頁面時，進入瀏覽器 的強力保護模式，以加強對瀏覽器的安全監測。在強力保護模式下，持續監測是否存在惡意 程序訪問瀏覽器的行為，並在監測到這種行為時攔截惡意程序，由此避免了惡意程序對支 付頁面的攻擊。
[0053]由此可見，在本發明提供的方法中，不需要提前查找各類惡意程序，由於惡意程序 種類繁多且千變萬化，因此，如果通過提前查找所有的惡意程序來實現攔截的目的，不僅會 耗費大量的程序資源，而且還容易造成漏查。在本發明中，是根據瀏覽器對應的用戶場景來 決定是否監測的(即:針對瀏覽器所訪問的頁面類型來提供保護):在瀏覽器訪問安全頁面 (例如與支付無關，因而不會受騙的頁面)時，無需對瀏覽器提供強力保護，由此能夠節約程 序資源，避免了不必要的資源消耗；在瀏覽器訪問敏感頁面(例如與支付有關，可能會導致 受騙的頁面)時，對瀏覽器提供強力保護，並且，在保護過程中，不是漫無目的地尋找潛在的 攻擊源，而是有針對性地監測與攻擊有關的行為，一旦監測到了這樣的行為，就對該行為的 執行者(即惡意程序)進行攔截。通過上述方式，使本發明中的防止惡意程序攻擊網絡支付 頁面的方法更有針對性、更節約資源、且不會造成漏查，因而安全性也更高。
[0054]圖2示出了本發明實施例提供的防止惡意程序攻擊網絡支付頁面的裝置的結構 示意圖。該裝置例如可以是安裝在客戶端上的軟體程序模塊(例如安全衛士模塊等)。如圖 2所示，該裝置包括:檢測單元21、監測單元22以及攔截單元23。
[0055]其中，檢測單元21檢測瀏覽器所訪問的頁面是否為網絡支付頁面。
[0056]其中，檢測單元21需要對瀏覽器當前所訪問的頁面進行持續監測，在此過程中， 主要是對瀏覽器切換新頁面的行為進行監測，並且，每當監測到瀏覽器打開了一個新頁面 時，判斷該新頁面是否為網絡支付頁面。
[0057]具體地，在判斷該新頁面是否為網絡支付頁面時可以根據網絡支付頁面的特點靈 活選擇多種判斷方式，下面給出一種可能的判斷方式:
[0058]首先，預先設置特徵資料庫，為此，該裝置還需要包括一個存儲單元，由該存儲單 元來存儲特徵資料庫。該特徵資料庫用來存儲網絡支付頁面的特徵。這裡所說的網絡支付 頁面主要是指包含「確認付款」等類按鈕的頁面，一旦用戶在支付頁面上點擊了「確認付款」 的按鈕，就會將款項打入對方帳號，因此，對這類支付頁面進行監控是非常有必要的。其中， 網絡支付頁面的特徵可以通過多種形式表現，例如，可以是網絡支付頁面的URL地址，因為根據URL地址就可以唯一地標識一個網頁。當採用URL地址作為網絡支付頁面的特徵時， 需要預先獲取各類支付頁面的URL地址，例如，可以將常見的各類付款方式(如各個銀行的 信用卡、儲蓄卡以及支付寶等)所對應的支付頁面的URL地址存儲到該特徵資料庫中。這 裡所說的URL地址既可以是完整的URL地址，也可以僅僅是URL地址中所要包含的部分特 徵。例如，假設用戶通過建設銀行的網上銀行功能進行付款，在其對應的支付頁面的URL地 址中一定會包含有關建設銀行的標識信息，那麼，只要在特徵資料庫中存儲該標識信息就 可以監測到所有包含該標識信息的支付頁面，從而能夠監測到所有通過建設銀行進行付款 的頁面。同理，在特徵資料庫中還應該存儲其他的各個銀行以及其他各類支付方式所對應 的URL地址(或URL地址中有關於付款的標識信息)。
[0059]另外，上述的特徵資料庫既可以是存儲在客戶端本地的本地特徵資料庫，也可以 是存儲在網絡伺服器端的網絡特徵資料庫。優選地，可以將特徵資料庫同時存儲在網絡服 務器端和客戶端本地，這樣，當發現新的支付頁面的特徵時，首先對網絡伺服器端的特徵數 據庫進行更新，更新後，可以由網絡伺服器主動將更新後的特徵資料庫中的內容發送給各 個客戶端，由各個客戶端對本地存儲的特徵資料庫進行相應的更新；或者，也可以由各個客 戶端每隔預設時間間隔自動地向伺服器端請求最新的特徵資料庫。通過在網絡伺服器端和 客戶端本地同時存儲特徵資料庫的方式，既能夠確保特徵資料庫的及時更新，又能夠在客 戶端暫時斷網的情況下為客戶端提供保護。
[0060]設置好上述的特徵資料庫之後，檢測單元21在判斷瀏覽器所訪問的頁面是否為 網絡支付頁面時，首先需要獲取瀏覽器所訪問的頁面的特徵，即該頁面的URL地址；然後， 判斷該URL地址是否與特徵資料庫中存儲的某一特徵匹配，當判斷結果為是時，確定該瀏 覽器所訪問的頁面是網絡支付頁面；當判斷結果為否時，則確定該瀏覽器所訪問的頁面不 是網絡支付頁面。
[0061]除了採用URL地址來判斷瀏覽器所訪問的頁面是否為網絡支付頁面外，本領域技 術人員也可以靈活採用其他的判斷方式，例如，可以在特徵資料庫中存儲一些與支付有關 的敏感詞彙(例如「支付」、「付款」等)，然後檢測單元21持續監測瀏覽器所訪問的頁面內容， 當監測到頁面內容中包含上述敏感詞彙時則確定瀏覽器所訪問的頁面為網絡支付頁面。
[0062]當檢測單元21檢測到該瀏覽器所訪問的頁面為網絡支付頁面時，由監測單元22 監測是否存在惡意程序訪問該瀏覽器的行為。也就是說，當檢測到該瀏覽器所訪問的頁面 為網絡支付頁面時，則使瀏覽器轉入強力保護模式，在該模式下，對瀏覽器加強監測，從而 提高瀏覽器的主動防禦功能，避免受到惡意程序的攻擊。
[0063]其中，惡意程序訪問瀏覽器的行為包括以下行為中的一個或多個:惡意程序獲取 瀏覽器的窗口句柄的行為；惡意程序獲取瀏覽器的接口指針的行為；以及，惡意程序獲取 瀏覽器的瀏覽器句柄(handle)的行為。具體地，獲取瀏覽器的窗口句柄的目的在於查找到 瀏覽器本身；在獲取到窗口句柄之後，如果進一步獲取到瀏覽器的接口指針，則可以對查找 到的該瀏覽器進行訪問；再進一步地，如果該瀏覽器當前打開了多個頁面，那麼，只有進一 步獲取到具體的某一頁面所對應的瀏覽器句柄，才可以對該頁面進行訪問。通過上述描述 可以看出，上述的三個行為是依次發生的，因此，上述三個行為的危險性也是逐步加深的: 如果監測到獲取窗口句柄的行為，只能說明有惡意程序希望訪問該瀏覽器；如果監測到獲 取接口指針的行為，也只能說明有惡意程序能夠訪問該瀏覽器；而只有監測到了獲取瀏覽器句柄的行為，才能夠確定有惡意程序能夠訪問該瀏覽器所訪問的當前頁面，即:該惡意程 序對當前頁面已經構成了威脅。由此可以看出，如果監測前兩種行為，則能夠較早地發現潛 在的惡意程序，但是也有可能導致誤報率較高，而且監測成本也較高；相比之下，如果監測 第三種行為，既可以有效地預防惡意程序發起的攻擊，還可以顯著降低誤報率，且監測成本 也較低。因此，優選地，本實施例中以監測第三種行為為例進行介紹。
[0064]下面介紹一下監測單元22監測惡意程序獲取瀏覽器句柄的行為的具體監測 方式。具體地，可以通過掛鈎(HOOK)技術來實現對惡意程序的監測，即:在瀏覽器程序 中的指定位置設置掛鈎(H00K)，以實現對指定位置的運行狀態的監測。為了實現對瀏 覽器句柄進行監測的目的，上面提到的指定位置可以是瀏覽器句柄所對應的接口(如 PresentationContext接口)。通過對瀏覽器句柄所對應的接口設置掛鈎，可以在任何程序 (包括惡意程序在內)試圖獲取瀏覽器句柄時，先觸發預設的掛鈎函數中的邏輯功能。其中， 掛鈎函數中的邏輯功能例如可以是:通知本發明中的裝置中的監測單元，只有得到監測單 元的許可後才可以獲取瀏覽器句柄。
[0065]可選地，監測單元22還可以進一步在瀏覽器程序的多個位置設置掛鈎函數，例 如，可以在每個能夠訪問瀏覽器的接口處(包括上述的惡意程序獲取瀏覽器的窗口句柄的 行為所對應的接口，以及惡意程序獲取瀏覽器的接口指針的行為所對應的接口等)都設置 掛鈎函數，這樣，只要有程序試圖訪問瀏覽器，就會通過這些預設的掛鈎函數通知監測單 元，因此，只要沒有得到監測單元的許可，任何程序都無法訪問瀏覽器。換句話說，在本發明 中，當瀏覽器訪問網頁支付頁面時，使瀏覽器進行強力保護模式，在該模式下，任何訪問瀏 覽器的行為都會受到監控，相當於為瀏覽器提供了一道堅實的壁壘。
[0066]當監測到上述惡意程序訪問瀏覽器的行為時，由攔截單元23攔截該惡意程序。具 體攔截時，可以直接殺死該惡意程序，使其無法運行；或者，也可以將該惡意程序提示給用 戶，由用戶來決定是否清除該惡意程序。總之，只要能夠阻止惡意程序的攻擊行為即可。
[0067]綜上所述，在本發明提供的防止惡意程序攻擊網絡支付頁面的裝置中，首先檢測 瀏覽器所訪問的頁面是否為網絡支付頁面，並在瀏覽器訪問網絡支付頁面時，進入瀏覽器 的強力保護模式，以加強對瀏覽器的安全監測。在強力保護模式下，持續監測是否存在惡意 程序訪問瀏覽器的行為，並在監測到這種行為時攔截惡意程序，由此避免了惡意程序對支 付頁面的攻擊。
[0068]由此可見，在本發明提供的裝置中，不需要提前查找各類惡意程序，由於惡意程序 種類繁多且千變萬化，因此，如果通過提前查找所有的惡意程序來實現攔截的目的，不僅會 耗費大量的程序資源，而且還容易造成漏查。在本發明中，是根據瀏覽器對應的用戶場景來 決定是否監測的(即:針對瀏覽器所訪問的頁面類型來提供保護):在瀏覽器訪問安全頁面 (例如與支付無關，因而不會受騙的頁面)時，無需對瀏覽器提供強力保護，由此能夠節約程 序資源，避免了不必要的資源消耗；在瀏覽器訪問敏感頁面(例如與支付有關，可能會導致 受騙的頁面)時，對瀏覽器提供強力保護，並且，在保護過程中，不是漫無目的地尋找潛在的 攻擊源，而是有針對性地監測與攻擊有關的行為，一旦監測到了這樣的行為，就對該行為的 執行者(即惡意程序)進行攔截。通過上述方式，使本發明中的防止惡意程序攻擊網絡支付 頁面的裝置更有針對性、更節約資源、且不會造成漏查，因而安全性也更高。
[0069]在此提供的算法和顯示不與任何特定計算機、虛擬系統或者其它設備固有相關。各種通用系統也可以與基於在此的示教一起使用。根據上面的描述，構造這類系統所要求 的結構是顯而易見的。此外，本發明也不針對任何特定程式語言。應當明白，可以利用各種 程式語言實現在此描述的本發明的內容，並且上面對特定語言所做的描述是為了披露本發 明的最佳實施方式。
[0070]在此處所提供的說明書中，說明了大量具體細節。然而，能夠理解，本發明的實施 例可以在沒有這些具體細節的情況下實踐。在一些實例中，並未詳細示出公知的方法、結構 和技術，以便不模糊對本說明書的理解。
[0071]類似地，應當理解，為了精簡本公開並幫助理解各個發明方面中的一個或多個，在 上面對本發明的示例性實施例的描述中，本發明的各個特徵有時被一起分組到單個實施 例、圖、或者對其的描述中。然而，並不應將該公開的方法解釋成反映如下意圖:即所要求保 護的本發明要求比在每個權利要求中所明確記載的特徵更多的特徵。更確切地說，如下面 的權利要求書所反映的那樣，發明方面在於少於前面公開的單個實施例的所有特徵。因此， 遵循【具體實施方式】的權利要求書由此明確地併入該【具體實施方式】，其中每個權利要求本身 都作為本發明的單獨實施例。
[0072]本領域那些技術人員可以理解，可以對實施例中的設備中的模塊進行自適應性地 改變並且把它們設置在與該實施例不同的一個或多個設備中。可以把實施例中的模塊或單 元或組件組合成一個模塊或單元或組件，以及此外可以把它們分成多個子模塊或子單元或 子組件。除了這樣的特徵和/或過程或者單元中的至少一些是相互排斥之外，可以採用任 何組合對本說明書(包括伴隨的權利要求、摘要和附圖)中公開的所有特徵以及如此公開的 任何方法或者設備的所有過程或單元進行組合。除非另外明確陳述，本說明書(包括伴隨的 權利要求、摘要和附圖)中公開的每個特徵可以由提供相同、等同或相似目的的替代特徵來 代替。
[0073]此外，本領域的技術人員能夠理解，儘管在此所述的一些實施例包括其它實施例 中所包括的某些特徵而不是其它特徵，但是不同實施例的特徵的組合意味著處於本發明的 範圍之內並且形成不同的實施例。例如，在下面的權利要求書中，所要求保護的實施例的任 意之一都可以以任意的組合方式來使用。
[0074]本發明的各個部件實施例可以以硬體實現，或者以在一個或者多個處理器上運行 的軟體模塊實現，或者以它們的組合實現。本領域的技術人員應當理解，可以在實踐中使用 微處理器或者數位訊號處理器(DSP)來實現根據本發明實施例的瀏覽器客戶端中的一些或 者全部部件的一些或者全部功能。本發明還可以實現為用於執行這裡所描述的方法的一部 分或者全部的設備或者裝置程序(例如，電腦程式和電腦程式產品)。這樣的實現本發 明的程序可以存儲在計算機可讀介質上，或者可以具有一個或者多個信號的形式。這樣的 信號可以從網際網路網站上下載得到，或者在載體信號上提供，或者以任何其他形式提供。
[0075]應該注意的是上述實施例對本發明進行說明而不是對本發明進行限制，並且本領 域技術人員在不脫離所附權利要求的範圍的情況下可設計出替換實施例。在權利要求中， 不應將位於括號之間的任何參考符號構造成對權利要求的限制。單詞「包含」不排除存在 未列在權利要求中的元件或步驟。位於元件之前的單詞「一」或「一個」不排除存在多個這 樣的元件。本發明可以藉助於包括有若干不同元件的硬體以及藉助於適當編程的計算機來 實現。在列舉了若干裝置的單元權利要求中，這些裝置中的若干個可以是通過同一個硬體項來具體體現。單詞第一、第二、以及第三等的使用不表示任何順序。可將這些單詞解釋為 名稱。
【權利要求】
1.一種防止惡意程序攻擊網絡支付頁面的方法，包括:檢測瀏覽器所訪問的頁面是否為網絡支付頁面；當檢測到瀏覽器所訪問的頁面為網絡支付頁面時，監測是否存在惡意程序訪問所述瀏覽器的行為；當監測到所述惡意程序訪問所述瀏覽器的行為時，攔截所述惡意程序。
2.如權利要求1所述的方法，其中，進一步包括步驟:預先設置特徵資料庫，所述特徵資料庫用於存儲網絡支付頁面的特徵，所述檢測瀏覽器所訪問的頁面是否為網絡支付頁面的步驟具體包括:獲取瀏覽器所訪問的頁面的特徵，並判斷所述瀏覽器所訪問的頁面的特徵是否與所述特徵資料庫中存儲的特徵匹配，當判斷結果為是時，確定所述瀏覽器所訪問的頁面是網絡支付頁面；當判斷結果為否時，確定所述瀏覽器所訪問的頁面不是網絡支付頁面。
3.如權利要求2所述的方法，其中，所述瀏覽器所訪問的頁面的特徵包括瀏覽器所訪問的頁面的URL，且所述特徵資料庫中存儲的網絡支付頁面的特徵包括網絡支付頁面的URL，其中，當所述網絡支付頁面為動態頁面中的頂級頁或內嵌頁時，所述特徵資料庫中存儲的網絡支付頁面的特徵進一步包括:所述網絡支付頁面對應的refer鏈，其中，所述 refer鏈用於存儲所述網絡支付頁面所屬的動態頁面中的頂級頁與各個內嵌頁之間的嵌套關係，以及所述頂級頁與各個內嵌頁對應的URL。
4.如權利要求2或3所述的方法，其中，所述特徵資料庫為存儲在客戶端本地的本地特徵資料庫，或者，所述特徵資料庫為存儲在網絡伺服器端的網絡特徵資料庫。
5.如權利要求1所述的方法，其中，所述惡意程序訪問所述瀏覽器的行為包括以下行為中的一個或多個:所述惡意程序獲取所述瀏覽器的窗口句柄的行為；所述惡意程序獲取所述瀏覽器的接口指針的行為；所述惡意程序獲取所述瀏覽器的瀏覽器句柄的行為。
6.如權利要求1或5所述的方法，其中，監測所述惡意程序訪問所述瀏覽器的行為通過掛鈎技術實現。
7.如權利要求5所述的方法，其中，所述惡意程序訪問所述瀏覽器的行為是所述惡意程序獲取所述瀏覽器的瀏覽器句柄的行為。
8.一種防止惡意程序攻擊網絡支付頁面的裝置，包括:檢測單元，適於檢測瀏覽器所訪問的頁面是否為網絡支付頁面；監測單元，適於當檢測到瀏覽器所訪問的頁面為網絡支付頁面時，監測是否存在惡意程序訪問所述瀏覽器的行為；攔截單元，適於當監測到所述惡意程序訪問所述瀏覽器的行為時，攔截所述惡意程序。
9.如權利要求8所述的裝置，其中，進一步包括存儲單元，適於預先設置特徵資料庫， 所述特徵資料庫用於存儲網絡支付頁面的特徵；所述檢測單元適於獲取瀏覽器所訪問的頁面的特徵，並判斷所述瀏覽器所訪問的頁面的特徵是否與所述特徵資料庫中存儲的特徵匹配，當判斷結果為是時，確定所述瀏覽器所訪問的頁面是網絡支付頁面；當判斷結果為否時，確定所述瀏覽器所訪問的頁面不是網絡支付頁面。
10.如權利要求9所述的裝置，其中，所述瀏覽器所訪問的頁面的特徵包括瀏覽器所訪問的頁面的URL，且所述特徵資料庫中存儲的網絡支付頁面的特徵包括網絡支付頁面的 URL，其中，當所述網絡支付頁面為動態頁面中的頂級頁或內嵌頁時，所述特徵資料庫中存儲的頁面的特徵進一步包括:所述網絡支付頁面對應的refer鏈,其中,所述refer鏈用於存儲所述網絡支付頁面所屬的動態頁面中的頂級頁 與各個內嵌頁之間的嵌套關係，以及所述頂級頁與各個內嵌頁對應的URL。
【文檔編號】G06F21/56GK103605924SQ201310625876
【公開日】2014年2月26日 申請日期:2013年11月28日 優先權日:2013年11月28日
【發明者】張聰, 肖鵬, 孫曉駿 申請人:北京奇虎科技有限公司, 奇智軟體（北京）有限公司