网页事件安全的判断方法、装置、设备及介质与流程

1.本公开涉及计算机技术领域，尤其涉及一种网页事件安全的判断方法、装置、设备及介质。


背景技术：

2.近年来，广告欺诈成为行业关注的重点话题，其中手机移动端的广告欺诈属于安全行业重点防范的一部分，发生广告欺诈的行为表现多是在恶意软件和黑灰产链条。而手机移动端的广告欺诈的技术实现方式众多，如假流量生成和获利是常见的方式，技术具体实现之一是通过模拟点击方式。模拟点击是通过程序执行模拟点击事件，如模拟按下事件，滑动事件等，从而触发程序行为，达到假流量生成和获利目的。安卓生态系统设计的特点之一是开放，程序软件可以通过调用标准应用程序编程(applicationprogramminginterface，api)接口模拟用户点击程序内的页面某个位置或按钮等。而模拟点击在恶意软件的利用下，通过安卓提供的特性来进行广告欺诈等。
3.现有技术中基本是通过特征匹配和程序动静态分析等来判断恶意软件，但是该恶意软件十分狡猾，在实验的环境或模拟的沙箱环境下很难触发或监控到其恶意行为。


技术实现要素：

4.为了解决上述技术问题或者至少部分地解决上述技术问题，本公开提供了一种网页事件安全的判断方法、装置、设备及介质，以识别广告欺诈，提高系统安全。
5.第一方面，本公开实施例提供一种网页事件安全的判断方法，包括：
6.在网页的事件处理函数接口中进行埋点监控；
7.监测到第一网页事件的发生并采集所述第一网页事件的监控信息；
8.获取系统底层纪录的驱动事件信息；
9.将所述第一网页事件的监控信息与所述系统底层纪录的驱动事件信息进行对比；
10.确定所述第一网页事件的监控信息有对应的驱动事件信息。
11.第二方面，本公开实施例提供一种网页事件安全的判断装置，包括：
12.监控模块，用于在网页的事件处理函数接口中进行埋点监控；
13.采集模块，用于监测到第一网页事件的发生并采集所述第一网页事件的监控信息；
14.获取模块，用于获取系统底层纪录的驱动事件信息；
15.对比模块，用于将所述第一网页事件的监控信息与所述系统底层纪录的驱动事件信息进行对比；
16.确定模块，用于确定所述第一网页事件的监控信息有对应的驱动事件信息。
17.第三方面，本公开实施例提供一种电子设备，包括：
18.存储器；
19.处理器；以及
20.计算机程序；
21.其中，所述计算机程序存储在所述存储器中，并被配置为由所述处理器执行以实现如第一方面所述的方法。
22.第四方面，本公开实施例提供一种非易失性的计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行以实现第一方面所述的方法。
23.第五方面，本公开实施例还提供了一种计算机程序产品，该计算机程序产品包括计算机程序或指令，该计算机程序或指令被处理器执行时实现第一方面所述的方法。
24.本公开实施例提供的网页事件安全的判断方法、装置、设备及介质，通过在网页的事件处理函数接口中进行埋点监控，便于对网页事件进行监控；监测到第一网页事件的发生并采集所述第一网页事件的监控信息；获取系统底层纪录的驱动事件信息；将所述第一网页事件的监控信息与所述系统底层纪录的驱动事件信息进行对比；确定所述第一网页事件的监控信息有对应的驱动事件信息，确定第一网页事件的安全性，能够实时并准确地识别广告欺诈行为，提高了系统安全。
附图说明
25.此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本公开的实施例，并与说明书一起用于解释本公开的原理。
26.为了更清楚地说明本公开实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
27.图1为本公开实施例提供的网页事件安全的判断方法流程图；
28.图2为本公开实施例提供的网页事件异常的判断方法流程图；
29.图3为本公开实施例提供的网页事件安全的判断方法流程图；
30.图4为本公开实施例提供的点击事件的示意图；
31.图5为本公开实施例提供的网页事件的层次树的界面图；
32.图6为本公开实施例提供的网页事件安全的判断装置的结构示意图；
33.图7为本公开实施例提供的电子设备的结构示意图。
具体实施方式
34.为了能够更清楚地理解本公开的上述目的、特征和优点，下面将对本公开的方案进行进一步描述。需要说明的是，在不冲突的情况下，本公开的实施例及实施例中的特征可以相互组合。
35.在下面的描述中阐述了很多具体细节以便于充分理解本公开，但本公开还可以采用其他不同于在此描述的方式来实施；显然，说明书中的实施例只是本公开的一部分实施例，而不是全部的实施例。
36.近年来，广告欺诈成为行业关注的重点话题，其中手机移动端的广告欺诈属于安全行业重点防范的一部分，发生广告欺诈的行为表现多是在恶意软件和黑灰产链条。而手机移动端的广告欺诈的技术实现方式众多，如假流量生成和获利是常见的方式，技术具体实现之一是通过模拟点击方式。模拟点击是通过程序执行模拟点击事件，如模拟按下事件，
滑动事件等，从而触发程序行为，达到假流量生成和获利目的。安卓生态系统设计的特点之一是开放，程序软件可以通过调用标准应用程序编程(applicationprogramminginterface，api)接口模拟用户点击程序内的页面某个位置或按钮等。在安卓中，模拟点击在正常的场景下常常用于自动化测试，程序自动执行一些操作，无障碍服务(accessibilityservice)以及一些复杂的设备交互场景等。而在恶意软件的利用下，安卓提供的特性被利用来进行广告欺诈等。
37.目前，比较常见的广告欺诈方式是根据安卓的网页事件进行模拟点击。根据安卓的网页事件进行模拟点击正常的情况如下：安卓应用中加载网页视图(webview)组件，webview组件中加载网页元素和内容，浏览并在上面进行点击，滑动，缩放等操作。根据安卓的网页事件进行模拟点击异常的情况(即广告欺诈的情况)如下：恶意android应用中在后台(或前台)加载webview组件，webview组件加载网页元素和内容，恶意应用根据网页分析得出将要模拟点击的操作对象id，然后在代码中通过webview组件执行javascript(js)代码，找到需要模拟对象id，并用代码触发网页上的元素对象的事件函数(如onclick等)，从而达到模拟用户操作事件，达到虚假点击，虚假事件，虚假流量。googleplay常年来也发现众多此类的恶意应用，并且通过模拟事件达到订阅服务，从而消耗用户的流量、资费等。
38.现有技术中基本是通过特征匹配和程序动静态分析等来判断恶意软件，但是该恶意软件十分狡猾，在实验的环境或模拟的沙箱环境下很难触发或监控到其恶意行为。针对该问题，本公开实施例提供了一种网页事件安全的判断方法，下面结合具体的实施例对该方法进行介绍。
39.图1为本公开实施例提供的网页事件安全的判断方法流程图。该方法可以由网页事件安全的判断装置执行，该网页事件安全的判断装置可以采用软件和/或硬件的方式实现，该网页事件安全的判断装置可配置于电子设备中，例如服务器或终端，其中，终端具体包括手机、电脑或平板电脑等。另外，该方法可以应用于网页事件安全判断的应用场景，可以理解的是，本公开实施例提供的网页事件安全的判断方法还可以应用在其他场景中。
40.下面对图1所示的网页事件安全的判断方法进行介绍，该方法包括的具体步骤如下：
41.s101、在网页的事件处理函数接口中进行埋点监控。
42.网页事件安全的判断装置在网页的事件处理函数接口中进行埋点监控，具体的，函数接口可以是ontouchevent，dispatchtouchevent等。这部分逻辑位于javascript引擎中，监控点可以在inputmanagerservice的injectinputeventinternal中设立，也可以在accessibilityservice中设立，还可以在浏览器内核和javascript引擎(v8引擎等)的事件传递关键过程函数中设立。
43.s102、监测到第一网页事件的发生并采集所述第一网页事件的监控信息。
44.网页事件安全的判断装置监测到第一网页事件的发生并采集所述第一网页事件的监控信息。
45.具体的，网页事件安全的判断装置通过上述监控点实时检测是否发生第一网页事件，当网页事件安全的判断装置检测到到第一网页事件的发生时，采集第一网页事件的监控信息。
46.可选的，所述第一网页事件的监控信息至少包括：事件类型、时间戳、坐标信息、网
页地址。
47.具体的，第一网页事件的监控信息记录的事件内容包含：事件类型、时间戳、应用包名(即当前事件的所属应用)、坐标信息(即是否在前台)、调用记录(如从桌面调起还是其它应用接起等)、网页地址。
48.s103、获取系统底层纪录的驱动事件信息。
49.网页事件安全的判断装置获取系统底层纪录的驱动事件信息，系统底层驱动收到事件信息，然后根据操作类型封装为不同的事件类型，然后写入/dev/input/event[x]设备目录。
[0050]
s104、将所述第一网页事件的监控信息与所述系统底层纪录的驱动事件信息进行对比。
[0051]
网页事件安全的判断装置对比第一网页事件的监控信息与系统底层纪录的驱动事件信息。
[0052]
s105、确定所述第一网页事件的监控信息有对应的驱动事件信息。
[0053]
网页事件安全的判断装置确定第一网页事件的监控信息有对应的驱动事件信息，也就是说，第一网页事件可能是进行了点击操作，可以理解的是，网页事件可以是安全的，即真实点击，网页事件也可以是不安全的，即模拟点击。本实施例中，确定第一网页事件的监控信息有对应的驱动事件信息，即初筛第一网页事件安全。
[0054]
本公开实施例通过在网页的事件处理函数接口中进行埋点监控，便于对网页事件进行监控；监测到第一网页事件的发生并采集第一网页事件的监控信息；获取系统底层纪录的驱动事件信息；将第一网页事件的监控信息与系统底层纪录的驱动事件信息进行对比；确定第一网页事件的监控信息有对应的驱动事件信息，确定第一网页事件的安全性，能够实时并准确地识别广告欺诈行为，提高了系统安全。
[0055]
图2为本公开实施例提供的网页事件异常的判断方法流程图。如图2所示，该方法包括的具体步骤如下：
[0056]
s201、监测到第二网页事件的发生并采集所述第二网页事件的监控信息。
[0057]
网页事件安全的判断装置监测到第二网页事件的发生并采集所述第二网页事件的监控信息。
[0058]
具体的，网页事件安全的判断装置通过上述监控点实时检测是否发生第二网页事件，当网页事件安全的判断装置检测到到第二网页事件的发生时，采集第二网页事件的监控信息。
[0059]
可选的，所述第二网页事件的监控信息至少包括：事件类型、时间戳、坐标信息、网页地址。
[0060]
具体的，第二网页事件的监控信息记录的事件内容包含：事件类型、时间戳、应用包名(即当前事件的所属应用)、坐标信息(即是否在前台)、调用记录(如从桌面调起还是其它应用接起等)、网页地址。
[0061]
s202、将所述第二网页事件的监控信息与所述系统底层纪录的驱动事件信息进行对比。
[0062]
网页事件安全的判断装置将第二网页事件的监控信息与系统底层纪录的驱动事件信息进行对比。
[0063]
s203、确定所述第二网页事件的监控信息没有对应的驱动事件信息。
[0064]
网页事件安全的判断装置确定第二网页事件的监控信息没有对应的驱动事件信息。
[0065]
s204、确定所述第二网页事件是恶意的模拟点击行为。
[0066]
模拟，是对真实事物或者过程的虚拟。模拟要表现出选定的物理系统或抽象系统的关键特性。模拟的关键问题包括有效信息的获取、关键特性和表现的选定、近似简化和假设的应用，以及模拟的重现度和有效性。可以认为仿真是一种重现系统外在表现的特殊的模拟。
[0067]
模拟点击是通过程序执行模拟点击事件，如模拟按下事件，滑动事件等，从而触发程序行为，以达到假流量生成和获利目的。
[0068]
网页事件安全的判断装置确定第二网页事件是恶意的模拟点击行为。
[0069]
本公开实施例通过监测到第二网页事件的发生并采集第二网页事件的监控信息；将第二网页事件的监控信息与系统底层纪录的驱动事件信息进行对比；确定第二网页事件的监控信息没有对应的驱动事件信息；确定第二网页事件是恶意的模拟点击行为。避免了漏洞提权，判断第二网页事件的恶意的模拟点击是异常行为，可能存在广告欺诈、假流量获利等情况，便于系统及时对第二网页事件进行拦截，进而提高系统安全。
[0070]
图3为本公开实施例提供的网页事件安全的判断方法流程图。如图3所示，该方法包括的具体步骤如下：
[0071]
s301、根据收到对应于所述第一网页事件的输入操作。
[0072]
根据收到对应于所述第一网页事件的输入操作。
[0073]
可选的，所述输入操作可以是系统自动触发，如模拟事件、恶意软件事件，也可以是用户操作，目的是为了抓取恶意软件和恶意应用等，所述操作方式可以包括点击、滑动、缩放等。
[0074]
具体的，模拟事件是通过程序执行模拟点击事件，如模拟按下事件，滑动事件等，从而触发程序行为，达到假流量生成和获利目的；恶意软件事件是通过调用标准api接口模拟用户点击程序内的页面某个位置或按钮等，从而达到虚假点击，虚假事件，虚假流量。
[0075]
具体的，点击操作可以是单击操作，例如左键单击或右键单击，也可以是双击操作；滑动操作可以是滑动轨迹满足预设条件，预设条件可以是滑动轨迹与预设引导轨迹的相似度大于或等于预设相似度，也可以是滑动轨迹的长度大于或等于预设长度且滑动轨迹的角度在预设角度范围内，其中，预设相似度、预设长度、预设角度可以根据实际情况进行限定，本实施例不在赘述；缩放操作指的是使对象沿水平方向(即沿x轴)和/或垂直方向(即沿y轴)放大或缩小。具体可以是通过键盘ctrl键+鼠标的滑动按钮进行缩放，若上述网页事件的终端是触屏的，也可以通过两指滑动。
[0076]
s302、在所述底层产生对应于所述输入操作的驱动事件，记录所述第一网页事件的底层驱动信息。
[0077]
在所述底层产生对应于所述输入操作的驱动事件，记录所述第一网页事件的底层驱动信息。
[0078]
具体的，底层驱动收到输入操作后往原设备(如/input/event[x]设备)目录写入事件信息，如：
[0079]
/dev/input/event5:0003 0035 00000248
[0080]
/dev/input/event5:0003 0036 000006a3
[0081]
/dev/input/event5:0000 0000 00000000
[0082]
/dev/input/event5:0003 0039ffffffff
[0083]
/dev/input/event5:0001 014a 00000000
[0084]
/dev/input/event5:0000 0000 00000000
[0085]
s303、构建对应于所述第一网页事件的层次树，所述层次树为所述第一网页事件分发完成的过程，所述层次树包括上层、中间层、底层。
[0086]
构建对应于第一网页事件的层次树，所述层次树为所述网页事件分发完成的过程，所述层次树包括上层、中间层、底层。
[0087]
事件列，即指从手指接触屏幕至手指离开屏幕这个过程产生的一系列事件。一般情况下，事件列都是以down事件开始、up事件结束，中间有无数的move事件。
[0088]
具体的，如图4所示，当触摸屏幕时(webview或viewgroup控件)将产生点击事件(即touch事件)。具体的，按下view时，意味着所有事件的开始，即down事件，移动手指时，产生无数个move事件，当抬起view时，意味着事件的结束，即up事件，其中，up事件与down事件对应，再move事件过程中，非人为因素导致事件取消，为cancel事件。如图5所示，安卓事件(android view)传递的顺序为activity-》viewgroup-》view，即1个点击事件发生后，事件先传到activity、再传到viewgroup、最终再传到view。对于webview组件来说，webview组件也是android view中的一个子view，摘取webview部分代码可以看出是继承于absolutelayout。而webview与android view不同之处在于，通过decorview-》activity-》phonewindow-》decorview-》viewgroup-》webvi ew拿到传递的事件后，webview会继续传递给浏览器内核，最后传递到javascript引擎中响应网页元素对象注册的事件中处理。也就是上述的层次树。其中，activity是控制生命周期或处理事件，相当于控制器，即上述的上层，后续将以第一事件的监控信息进行描述，viewgroup是一组view的集合，即上述的中层，view是所有ui组件的基类，即上述的底层。
[0089]
本公开实施例通过根据收到对应于所述第一网页事件的输入操作；在所述底层产生对应于所述输入操作的驱动事件，记录所述第一网页事件的底层驱动信息；构建对应于所述第一网页事件的层次树，所述层次树为所述第一网页事件分发完成的过程，所述层次树包括上层、中间层、底层，便于对层次树各个层次的信息进行对比分析，避免了模拟点击的漏洞提权，确定所述网页事件的安全性，能够实时并准确地识别广告欺诈行为，提高了系统安全。
[0090]
在一些实施例中，获取所述第一网页事件的监控信息之前，所述方法还包括：通过模拟事件或测试工具排查所述网页事件，确定所述网页事件安全。
[0091]
终端通过模拟事件或测试工具排查所述网页事件，确定所述网页事件安全。具体的，模拟事件可以是模拟点击事件，测试工具可以是自动测试工具。
[0092]
具体的，网页事件安全，即正常的情况为：
[0093]
android应用中加载webview组件，webview组件中加载网页元素和内容，用户浏览并在上面进行点击，滑动，缩放等操作。
[0094]
通常情况下，恶意android应用中在后台(或前台)加载webview组件，webview组件
加载网页元素和内容，恶意应用根据网页分析得出将要模拟点击的操作对象id，然后在代码中通过webview组件执行javascript(js)代码，找到需要模拟对象id，并用代码触发网页上的元素对象的事件函数(如onclick等)，从而达到模拟输入操作事件，达到虚假点击，虚假事件，虚假流量。例如，googleplay常年来也发现众多此类的恶意应用，并且通过模拟事件达到订阅服务，从而消耗用户的流量、资费等。
[0095]
恶意利用的示例代码如下：
[0096]
mwebview.loadurl("javascript:document.getelementsbyid(\"button\")[0].click()；")；
[0097]
其中，javascript中有几个函数可以找到网页上的元素：
[0098]
getelementsbytagname
[0099]
getelementsbyid
[0100]
getelementsbyname()
[0101]
getelementsbyclassname()
[0102]
现有技术中，通过特征匹配和程序动静态分析等来判断恶意软件，但是该恶意软件或病毒十分狡猾，在实验的环境或模拟的沙箱环境下很难触发或监控到其恶意行为。特别是对于基于安卓(android)的网页事件实现的模拟点击利用的恶意应用，往往会携带正常的webview特征(如一些广告行为，会有loadurl此类函数调用，即加载网页)，从而静态检测不能依据loadurl这个特征判断该应用为恶意，而动态也不能，因为恶意应用在沙箱环境中会加载正常的网页，而在用户环境中会加载需要操作的一些订阅网页等，进而产生广告欺诈。因此，在现有技术模拟事件或测试工具排查网页事件安全的情况下，需再次执行获取所述网页事件的上层监控信息等步骤进一步确定网页事件的安全性。
[0103]
本公开实施例通过模拟事件或测试工具排查所述网页事件，确定所述网页事件安全，排除了模拟事件和自动检测工具检测网络事件时上层监控信息和底层驱动信息不一致的情况，使得网页事件安全的判断方法更加准确。
[0104]
在一些实施例中，记录所述第一网页事件的底层驱动信息，包括：通过压力传感器和目标接口记录所述第一网页事件的底层驱动信息，所述底层驱动信息包括事件类型、时间戳、坐标信息、压强值。
[0105]
修改系统，即在系统上设置压力传感器和目标接口。终端通过压力传感器和目标接口记录第一网页事件的底层驱动信息，其中，所述底层驱动信息包括事件类型、时间戳、坐标信息、压强值。
[0106]
可选的，记录第一网页事件的底层驱动信息，包括：在所述中间层，控制读线程进行所述第一网页事件的读取；在读线程读取所述第一网页事件时，新建一个事件记录所述第一网页事件的底层驱动信息，所述底层驱动信息包括事件类型、时间戳、坐标信息。
[0107]
具体的，按照原生逻辑，不增加设备驱动，在中间层服务inputdispatcher中增加事件信息。在中间层，即viewgroup的事件分发机制中，读线程(即inputreader线程)进行事件读取并传递给inputdispatcher派发线程，当读线程(即inputreader线程)每读取一个第一网页事件时，同时新建另外一个事件记录第一网页事件的底层驱动信息，具体包括事件类型、时间戳、坐标信息等。
[0108]
相应的，新建一个事件记录所述第一网页事件的底层驱动信息之后，所述方法还
包括：将所述底层驱动信息保存到目标文件或内存中。
[0109]
具体的，将上述底层驱动信息保存到目标文件或内存中，其中，目标文件可以是持久的文件。
[0110]
可选的，记录所述第一网页事件的底层驱动信息，包括：通过新增设备驱动记录所述第一网页事件的底层驱动信息，所述底层驱动信息包括事件类型、时间戳、坐标信息，所述新增设备为原设备从机。
[0111]
具体的，新增加一个设备驱动，该新增设备可以是原设备从机，在底层接收到输入操作并且往原设备目录写入事件信息时，通过新增设备驱动记录所述第一网页事件的底层驱动信息，即也向新增设备驱动写入事件信息，例如/dev/input2/，其中，底层驱动信息包括事件类型、时间戳、坐标信息。
[0112]
相应的，通过新增设备驱动记录所述第一网页事件的底层驱动信息之后，所述方法还包括：将所述底层驱动信息保存到所述新增设备中；当所述底层驱动信息缓存大于预设阈值时，清除所述底层驱动信息。
[0113]
具体的，将上述底层驱动信息保存到所述新增设备(即原设备从机)中；当底层驱动信息缓存大于预设阈值时，如预设阈值可以是16m，底层驱动信息缓存大于16m时，清除所述底层驱动信息。可以理解的是，预设阈值为16m仅是本实施例的具体举例，预设阈值也可以取值其他数值，具体可以根据新增设备(即原设备从机)的内存等进行设定，此处不在赘述。其中，底层驱动信息缓存大于预设阈值时清除所述底层驱动信息，相当于对新增设备(即原设备从机)进行定量清除。同样的，也可以在新增设备(即原设备从机)设置定时器，对该新增设备(即原设备从机)中的底层驱动信息进行定时清除。
[0114]
本公开实施例通过具体描述如何记录所述第一网页事件的底层驱动信息，便于对比上层监控信息和底层驱动信息，从而确定事件的安全性，进一步避免广告欺诈行为，提高了系统安全。其中，通过修改系统，在系统上设置压力传感器和目标接口记录第一网页事件的底层驱动信息，它的优点是对系统的修改小，较为简便；通过读线程新建一个事件记录第一网页事件的底层驱动信息，实现容易，不需要新增设备驱动，它的优点是方便快捷；通过新增设备驱动记录第一网页事件的底层驱动信息，实现复杂，需要复制原设备的一套机制，它的优点是安全性高。
[0115]
在一些实施例中，所述第一网页事件的监控信息至少包括：事件类型、时间戳、坐标信息、网页地址；其中，对比所述第一网页事件的监控信息和所述第一网页事件的底层驱动信息，确定所述网页事件的安全性，包括：
[0116]
对比所述第一网页事件的监控信息中的事件类型与所述第一网页事件的底层驱动信息中的事件类型；基于所述第一网页事件的监控信息中的事件类型与所述第一网页事件的底层驱动信息中的事件类型相同，则对比所述第一网页事件的监控信息中的坐标信息与所述第一网页事件的底层驱动信息中的坐标信息；基于所述第一网页事件的监控信息中的坐标信息与所述第一网页事件的底层驱动信息中的坐标信息相同，则计算所述第一网页事件的监控信息中的时间戳与所述第一网页事件的底层驱动信息中的时间戳的差值，对比所述差值与预设阈值的大小；基于所述差值大于或等于所述预设阈值，识别所述网页事件为恶意事件。
[0117]
终端对比第一网页事件的监控信息和第一网页事件的底层驱动信息，若事件类型
不同、坐标信息不同、时间戳的差值大于或等于预设阈值等存在任意一项，则说明可能发生恶意的模拟点击行为，即网页事件不安全，识别到该网页事件为恶意事件。同理，若事件类型相同、坐标信息相同、时间戳的差值小于预设阈值等多项都存在，则网页事件安全。
[0118]
具体的，对比第一网页事件的监控信息中的事件类型与第一网页事件的底层驱动信息中的事件类型，若第一网页事件的监控信息中的事件类型与第一网页事件的底层驱动信息中的事件类型不同，则可能发生恶意的模拟点击行为，即网页事件不安全，识别到该网页事件为恶意事件；若第一网页事件的监控信息中的事件类型与第一网页事件的底层驱动信息中的事件类型相同，则对比第一网页事件的监控信息中的坐标信息与第一网页事件的底层驱动信息中的坐标信息；若第一网页事件的监控信息中的事件类型与第一网页事件的底层驱动信息中的事件类型不同，则可能发生恶意的模拟点击行为，即网页事件不安全，识别到该网页事件为恶意事件；若第一网页事件的监控信息中的坐标信息与第一网页事件的底层驱动信息中的坐标信息相同，则计算第一网页事件的监控信息中的时间戳与第一网页事件的底层驱动信息中的时间戳的差值，对比差值与预设阈值的大小，根据差值小于预设阈值来确定网页事件安全，根据差值大于或等于预设阈值来判断可能发生恶意的模拟点击行为，即网页事件不安全，识别到该网页事件为恶意事件。
[0119]
可以理解的是，当终端识别到网页事件为恶意事件时，会对该恶意事件进行拦截。
[0120]
本公开实施例通过具体描述如何对比上层监控信息和底层驱动信息，具体描述了如何能够识别出恶意事件，进而对恶意事件进行拦截，提高了网页运行的安全性，进一步提高了系统安全。
[0121]
图6为本公开实施例提供的网页事件安全的判断装置的结构示意图。该网页事件安全的判断装置可以是如上实施例所述的终端，或者该网页事件安全的判断装置可以该终端中的部件或组件。本公开实施例提供的网页事件安全的判断装置可以执行网页事件安全的判断方法实施例提供的处理流程，如图6所示，网页事件安全的判断装置60包括：监控模块61、采集模块62、获取模块63、对比模块64、确定模块65；其中，监控模块61，用于在网页的事件处理函数接口中进行埋点监控；采集模块62，用于监测到第一网页事件的发生并采集所述第一网页事件的监控信息；获取模块63，用于获取系统底层纪录的驱动事件信息；对比模块64，用于将所述第一网页事件的监控信息与所述系统底层纪录的驱动事件信息进行对比；确定模块65，用于确定所述第一网页事件的监控信息有对应的驱动事件信息。
[0122]
可选的，监控模块61，还用于监测到第二网页事件的发生并采集所述第二网页事件的监控信息；对比模块64，还用于将所述第二网页事件的监控信息与所述系统底层纪录的驱动事件信息进行对比；确定模块65，还用于确定所述第二网页事件的监控信息没有对应的驱动事件信息；确定所述第二网页事件是恶意的模拟点击行为。
[0123]
可选的，网页事件安全的判断装置60还包括：接收模块66、记录模块67、构建模块68；其中，接收模块66，用于根据收到对应于所述第一网页事件的输入操作；记录模块67，用于在所述底层产生对应于所述输入操作的驱动事件，记录所述第一网页事件的底层驱动信息；构建模块68，用于构建对应于所述第一网页事件的层次树，所述层次树为所述第一网页事件分发完成的过程，所述层次树包括上层、中间层、底层。
[0124]
可选的，记录模块67，还用于通过压力传感器和目标接口记录所述第一网页事件的底层驱动信息，所述底层驱动信息包括事件类型、时间戳、坐标信息、压强值。
[0125]
可选的，记录模块67，还用于在所述中间层，控制读线程进行所述第一网页事件的读取；在读线程读取所述第一网页事件时，新建一个事件记录所述第一网页事件的底层驱动信息，所述底层驱动信息包括事件类型、时间戳、坐标信息。
[0126]
可选的，网页事件安全的判断装置60还包括：保存模块69，用于将所述底层驱动信息保存到目标文件或内存中。
[0127]
可选的，记录模块67，还用于通过新增设备驱动记录所述第一网页事件的底层驱动信息，所述底层驱动信息包括事件类型、时间戳、坐标信息，所述新增设备为原设备从机。
[0128]
可选的，保存模块69，还用于将所述底层驱动信息保存到所述新增设备中；当所述底层驱动信息缓存大于预设阈值时，清除所述底层驱动信息。
[0129]
可选的，所述第一网页事件的监控信息至少包括：事件类型、时间戳、坐标信息、网页地址。
[0130]
可选的，对比模块64，还用于对比所述第一网页事件的监控信息中的事件类型与所述第一网页事件的底层驱动信息中的事件类型；基于所述第一网页事件的监控信息中的事件类型与所述第一网页事件的底层驱动信息中的事件类型相同，则对比所述第一网页事件的监控信息中的坐标信息与所述第一网页事件的底层驱动信息中的坐标信息；基于所述第一网页事件的监控信息中的坐标信息与所述第一网页事件的底层驱动信息中的坐标信息相同，则计算所述第一网页事件的监控信息中的时间戳与所述第一网页事件的底层驱动信息中的时间戳的差值，对比所述差值与预设阈值的大小；确定模块65，还用于基于所述差值大于或等于所述预设阈值，识别所述网页事件为恶意事件。
[0131]
图6所示实施例的网页事件安全的判断装置可用于执行上述方法实施例的技术方案，其实现原理和技术效果类似，此处不再赘述。
[0132]
图7为本公开实施例提供的电子设备的结构示意图。该电子设备可以是如上实施例所述的终端。本公开实施例提供的电子设备可以执行网页事件安全的判断方法实施例提供的处理流程，如图7所示，电子设备70包括：存储器71、处理器72、计算机程序和通讯接口73；其中，计算机程序存储在存储器71中，并被配置为由处理器72执行如上所述的网页事件安全的判断方法。
[0133]
另外，本公开实施例还提供一种非易失性的计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行以实现上述实施例所述的网页事件安全的判断方法。
[0134]
此外，本公开实施例还提供了一种计算机程序产品，该计算机程序产品包括计算机程序或指令，该计算机程序或指令被处理器执行时实现如上所述的网页事件安全的判断方法。
[0135]
需要说明的是，本公开上述的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑磁盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中，计算机可读存储介质可以是任何包含或存储程
序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本公开中，计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读信号介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于：电线、光缆、rf(射频)等等，或者上述的任意合适的组合。
[0136]
在一些实施方式中，客户端、服务器可以利用诸如http(hypertext transfer protocol，超文本传输协议)之类的任何当前已知或未来研发的网络协议进行通信，并且可以与任意形式或介质的数字数据通信(例如，通信网络)互连。通信网络的示例包括局域网(“lan”)，广域网(“wan”)，网际网(例如，互联网)以及端对端网络(例如，ad hoc端对端网络)，以及任何当前已知或未来研发的网络。
[0137]
上述计算机可读介质可以是上述电子设备中所包含的；也可以是单独存在，而未装配入该电子设备中。
[0138]
上述计算机可读介质承载有一个或者多个程序，当上述一个或者多个程序被该电子设备执行时，使得该电子设备：
[0139]
在网页的事件处理函数接口中进行埋点监控；
[0140]
监测到第一网页事件的发生并采集所述第一网页事件的监控信息；
[0141]
获取系统底层纪录的驱动事件信息；
[0142]
将所述第一网页事件的监控信息与所述系统底层纪录的驱动事件信息进行对比；
[0143]
确定所述第一网页事件的监控信息有对应的驱动事件信息。
[0144]
另外，该电子设备还可以执行如上所述的网页事件安全的判断方法中的其他步骤。
[0145]
可以以一种或多种程序设计语言或其组合来编写用于执行本公开的操作的计算机程序代码，上述程序设计语言包括但不限于面向对象的程序设计语言—诸如java、smalltalk、c++，还包括常规的过程式程序设计语言—诸如“c”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中，远程计算机可以通过任意种类的网络——包括局域网(lan)或广域网(wan)—连接到用户计算机，或者，可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
[0146]
附图中的流程图和框图，图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执
行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。
[0147]
描述于本公开实施例中所涉及到的单元可以通过软件的方式实现，也可以通过硬件的方式来实现。其中，单元的名称在某种情况下并不构成对该单元本身的限定。
[0148]
本文中以上描述的功能可以至少部分地由一个或多个硬件逻辑部件来执行。例如，非限制性地，可以使用的示范类型的硬件逻辑部件包括：现场可编程门阵列(fpga)、专用集成电路(asic)、专用标准产品(assp)、片上系统(soc)、复杂可编程逻辑设备(cpld)等等。
[0149]
在本公开的上下文中，机器可读介质可以是有形的介质，其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备，或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(ram)、只读存储器(rom)、可擦除可编程只读存储器(eprom或快闪存储器)、光纤、便捷式紧凑盘只读存储器(cd-rom)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
[0150]
需要说明的是，在本文中，诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
[0151]
以上所述仅是本公开的具体实施方式，使本领域技术人员能够理解或实现本公开。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本公开的精神或范围的情况下，在其它实施例中实现。因此，本公开将不会被限制于本文所述的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

技术特征：
1.一种网页事件安全的判断方法，其特征在于，所述方法包括：在网页的事件处理函数接口中进行埋点监控；监测到第一网页事件的发生并采集所述第一网页事件的监控信息；获取系统底层纪录的驱动事件信息；将所述第一网页事件的监控信息与所述系统底层纪录的驱动事件信息进行对比；确定所述第一网页事件的监控信息有对应的驱动事件信息。2.根据权利要求1所述的方法，其特征在于，所述方法还包括：监测到第二网页事件的发生并采集所述第二网页事件的监控信息；将所述第二网页事件的监控信息与所述系统底层纪录的驱动事件信息进行对比；确定所述第二网页事件的监控信息没有对应的驱动事件信息；确定所述第二网页事件是恶意的模拟点击行为。3.根据权利要求1所述的方法，其特征在于，所述方法还包括：根据收到对应于所述第一网页事件的输入操作；在所述底层产生对应于所述输入操作的驱动事件，记录所述第一网页事件的底层驱动信息；构建对应于所述第一网页事件的层次树，所述层次树为所述第一网页事件分发完成的过程，所述层次树包括上层、中间层、底层。4.根据权利要求3所述的方法，其特征在于，记录所述第一网页事件的底层驱动信息，包括：通过压力传感器和目标接口记录所述第一网页事件的底层驱动信息，所述底层驱动信息包括事件类型、时间戳、坐标信息、压强值。5.根据权利要求3所述的方法，其特征在于，记录所述第一网页事件的底层驱动信息，包括：在所述中间层，控制读线程进行所述第一网页事件的读取；在读线程读取所述第一网页事件时，新建一个事件记录所述第一网页事件的底层驱动信息，所述底层驱动信息包括事件类型、时间戳、坐标信息；其中，所述新建一个事件记录所述第一网页事件的底层驱动信息之后，所述方法还包括：将所述底层驱动信息保存到目标文件或内存中。6.根据权利要求3所述的方法，其特征在于，记录所述第一网页事件的底层驱动信息，包括：通过新增设备驱动记录所述第一网页事件的底层驱动信息，所述底层驱动信息包括事件类型、时间戳、坐标信息，所述新增设备为原设备从机。7.根据权利要求5所述的方法，其特征在于，通过新增设备驱动记录所述第一网页事件的底层驱动信息之后，所述方法还包括：将所述底层驱动信息保存到所述新增设备中；当所述底层驱动信息缓存大于预设阈值时，清除所述底层驱动信息。8.根据权利要求3所述的方法，其特征在于，所述第一网页事件的监控信息至少包括：事件类型、时间戳、坐标信息、网页地址；
其中，将所述第一网页事件的监控信息与所述系统底层纪录的驱动事件信息进行对比，确定所述第一网页事件的监控信息有对应的驱动事件信息，包括：对比所述第一网页事件的监控信息中的事件类型与所述第一网页事件的底层驱动信息中的事件类型；基于所述第一网页事件的监控信息中的事件类型与所述第一网页事件的底层驱动信息中的事件类型相同，则对比所述第一网页事件的监控信息中的坐标信息与所述第一网页事件的底层驱动信息中的坐标信息；基于所述第一网页事件的监控信息中的坐标信息与所述第一网页事件的底层驱动信息中的坐标信息相同，则计算所述第一网页事件的监控信息中的时间戳与所述第一网页事件的底层驱动信息中的时间戳的差值，对比所述差值与预设阈值的大小；基于所述差值大于或等于所述预设阈值，识别所述网页事件为恶意事件。9.一种网页事件安全的判断装置，其特征在于，所述装置包括：监控模块，用于在网页的事件处理函数接口中进行埋点监控；采集模块，用于监测到第一网页事件的发生并采集所述第一网页事件的监控信息；获取模块，用于获取系统底层纪录的驱动事件信息；对比模块，用于将所述第一网页事件的监控信息与所述系统底层纪录的驱动事件信息进行对比；确定模块，用于确定所述第一网页事件的监控信息有对应的驱动事件信息。10.一种电子设备，其特征在于，包括：存储器；处理器；以及计算机程序；其中，所述计算机程序存储在所述存储器中，并被配置为由所述处理器执行以实现如权利要求1-8中任一项所述的方法。

技术总结
本公开涉及一种网页事件安全的判断方法、装置、设备及介质，该方法包括：在网页的事件处理函数接口中进行埋点监控；监测到第一网页事件的发生并采集所述第一网页事件的监控信息；获取系统底层纪录的驱动事件信息；将所述第一网页事件的监控信息与所述系统底层纪录的驱动事件信息进行对比；确定所述第一网页事件的监控信息有对应的驱动事件信息。本公开通过对比第一网页事件的监控信息和系统底层纪录的驱动事件信息确定第一网页事件的安全性，能够实时并准确地识别广告欺诈行为，提高了系统安全。全。全。


技术研发人员：黄超华
受保护的技术使用者：武汉星纪魅族科技有限公司
技术研发日：2023.03.29
技术公布日：2023/7/21