黑色产业内容的检测分析方法及装置与流程

本发明涉及网络安全技术领域，尤其涉及黑色产业内容的检测分析方法及装置。

背景技术：

网络技术的发展为人们生活带来了很多便捷，日常生活中可以通过连接因特网浏览网页查找教育、医疗方面的各种信息，也可以通过政府网站办理相关事务等。与此同时，常有企图不良的组织或个人通过利用网站漏洞攻击网站，并利用服务器/客户端上的资源进行交易或占用服务器/客户端的资源，因此形成攻击、制作黑色产业内容、传播、交易的一个完整的产业链条，即黑色产业链。在黑色产业链中攻击者在目标设备上执行恶意操作，通过这些恶意操作产生各种数据，从而获取利益，为网络安全造成了隐患。

现有技术中，为了防止黑色产业内容通常会使用特征检测、统计检测等安全防御机制对服务器是否被攻击进行检测，当检测后可能提示用户拦截了木马通信链接或者挡住了结构化查询语言(structuredquerylanguag,sql)注入攻击又或者是挡住了webshell攻击，然而对于服务器被攻击后存在哪些黑色产业内容，黑色产业内容的类别通常并没有进行检测与分析。

技术实现要素：

本发明的主要目的在于提供一种黑色产业内容的检测分析方法及装置，旨在实现识别黑色产业内容、分析黑色产业内容的类别的目的。

为实现上述目的，本发明提供的一种黑色产业内容的检测分析方法包括以下步骤：

获取待检测服务器与客户端交互的数据包，所述数据包包含所述客户端向服务器发送的请求数据或所述服务器向所述客户端发送的回复数据；

对所述请求数据或所述回复数据进行黑色产业内容检测；

当检测到所述请求数据或所述回复数据存在黑色产业内容时，根据检测 到的黑色产业内容和预置的第一规则库分析所述黑色产业内容的类别，所述第一规则库包含所述黑色产业内容与所述类别的对应关系。

优选地，所述对所述请求数据或所述回复数据进行黑色产业内容检测包括：

将所述请求数据或所述回复数据通过预置的正则表达式进行检测，所述预置的正则表达式用于将所述请求数据或所述回复数据与预置的第二规则库中的数据进行匹配；

当所述数据包包含所述请求数据且匹配到所述第二规则库中的数据时，确认所述请求数据存在所述黑色产业内容；当所述数据包包含所述回复数据且匹配到所述第二规则库中的信息时，确认所述回复数据存在所述黑色产业内容。

优选地，所述对所述请求数据或所述回复数据进行黑色产业内容检测还包括：

检测所述请求数据或所述回复数据是否存在预置应用的特征信息；

当所述数据包包含所述请求数据且存在所述特征信息时，确认所述请求数据存在所述黑色产业内容；当所述数据包包含所述回复数据且存在所述特征信息时，确认所述回复数据存在所述黑色产业内容。

优选地，所述对所述请求数据或所述回复数据进行黑色产业内容检测之前还包括：

将获取到的所述数据包进行入侵检测，判断所述服务器是否受到入侵攻击；

当所述服务器受到所述入侵攻击时，执行所述检测所述请求数据或所述回复数据是否存在黑色产业内容的步骤。

优选地，所述黑色产业内容的检测分析方法还包括：

当检测到所述服务器受到所述入侵攻击或所述请求数据存在所述黑色产业内容或所述回复数据存在所述黑色产业内容时，向所述客户端发送对应的告警信息。

此外，为实现上述目的，本发明还提供一种黑色产业内容的检测分析装置，所述黑色产业内容的检测分析装置包括：

获取模块，用于获取待检测服务器与客户端交互的数据包，所述数据包包含所述客户端向服务器发送的请求数据或所述服务器向所述客户端发送的回复数据；

黑色产业内容检测模块，用于对所述请求数据或所述回复数据进行黑色产业内容检测；

黑色产业内容分析模块，用于当检测到所述请求数据或所述回复数据存在黑色产业内容时，根据检测到的黑色产业内容和预置的第一规则库分析所述黑色产业内容的类别，所述第一规则库包含所述黑色产业内容与所述类别的对应关系。

优选地，所述黑色产业内容检测模块包括：

第一检测单元，用于将所述请求数据或所述回复数据通过预置的正则表达式进行检测，所述预置的正则表达式用于将所述请求数据或所述回复数据与预置的第二规则库中的数据进行匹配；

第一确认单元，用于当所述数据包包含所述请求数据且匹配到所述第二规则库中的数据时，确认所述请求数据存在所述黑色产业内容；当所述数据包包含所述回复数据且匹配到所述第二规则库中的信息时，确认所述回复数据存在所述黑色产业内容。

优选地，所述黑色产业内容检测模块还包括：

第二检测单元，用于检测所述请求数据或所述回复数据是否存在预置应用的特征信息；

第二确认单元，用于当所述数据包包含所述请求数据且存在所述特征信息时，确认所述请求数据存在所述黑色产业内容；当所述数据包包含所述回复数据且存在所述特征信息时，确认所述回复数据存在所述黑色产业内容。

优选地，所述黑色产业内容的检测分析装置还包括：

入侵检测模块，用于将获取到的所述数据包进行入侵检测，判断所述服务器是否受到入侵攻击；

所述黑色产业内容检测模块还用于当所述服务器受到所述入侵攻击时，检测所述请求数据或所述回复数据是否存在黑色产业内容。

优选地，所述黑色产业内容的检测分析装置还包括：

告警模块，用于当检测到所述服务器受到所述入侵攻击或所述请求数据 存在所述黑色产业内容或所述回复数据存在所述黑色产业内容时，向所述客户端发送对应的告警信息。

本发明实施例通过获取待检测服务器与客户端交互的数据包，所述数据包包含所述客户端向服务器发送的请求数据或所述服务器向所述客户端发送的回复数据；对所述请求数据或所述回复数据进行黑色产业内容检测；当检测到所述请求数据或所述回复数据存在黑色产业内容时，根据检测到的黑色产业内容和预置的第一规则库分析所述黑色产业内容的类别，所述第一规则库包含所述黑色产业内容与所述类别的对应关系。由于检测到的黑色产业内容即为存在的黑色产业内容，因此实现了识别黑色产业内容的目的，且通过利用第一规则库确定检测到的黑色产业内容的类别，有效实现分析黑色产业内容的类别的目的，对服务器是否存在黑色产业内容以及存在的内容和类别进行全方位检测。

附图说明

图1为本发明黑色产业内容的检测分析方法第一实施例的流程示意图；

图2为本发明黑色产业内容的检测分析方法第二实施例的流程示意图；

图3为本发明黑色产业内容的检测分析方法第三实施例的流程示意图；

图4为本发明黑色产业内容的检测分析方法第四实施例的流程示意图；

图5为本发明黑色产业内容的检测分析装置第一实施例的功能模块结构示意图；

图6为本发明黑色产业内容的检测分析装置第二实施例的功能模块结构示意图；

图7为本发明黑色产业内容的检测分析装置第三实施例的功能模块结构示意图；

图8为本发明黑色产业内容的检测分析装置第四实施例的功能模块结构示意图。

本发明目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。

具体实施方式

应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

本发明黑色产业内容的检测分析方法。参照图1，在第一实施例中，该黑色产业内容的检测分析方法包括：

步骤s10，获取待检测服务器与客户端交互的数据包，所述数据包包含所述客户端向服务器发送的请求数据或所述服务器向所述客户端发送的回复数据；

步骤s20，对所述请求数据或所述回复数据进行黑色产业内容检测；

步骤s30，当检测到所述请求数据或所述回复数据存在黑色产业内容时，根据检测到的黑色产业内容和预置的第一规则库分析所述黑色产业内容的类别，所述第一规则库包含所述黑色产业内容与所述类别的对应关系。

本发明提供的黑色产业内容的检测分析方法主要应用于服务器中，对服务器的黑色产业内容进行检测以及对黑色产业内容的类别进行分析。

本实施例中，上述服务器与客户端是待检测服务器端与对应的客户端。所述数据包的内容是客户端向服务器发送的请求数据，或者是服务器向客户端发送的回复数据。上述黑色产业内容是指攻击者在目标设备上执行恶意操作的内容，如在目标设备上投放的虚假药物广告、游戏推广、博彩内容或挖取比特币，当客户端打开网页后会看到这些黑色产业内容，甚至有的黑色产业内容指向的链接页面带有木马会令使用者电脑中毒，由此引发一系列网络安全问题。当攻击者攻击服务器时可能向服务器上传黑色产业内容；当服务器本身已经存在黑色产业内容时，可能回复给客户端的数据中包含黑色产业内容。因此这里通过检测客户端向服务器发送的请求数据或者是服务器向客户端发送的回复数据来判断是否存在黑色产业内容，或者是服务器被攻击后已经存在黑色产业内容并向客户端发送黑色产业内容。

当进行检测时，获取到的服务器与客户端交互的数据包首先会经过rfc定义的协议标准进行解析，然后再进行黑色产业内容检测。rfc(requestforcomments)是一系列以编号排定的文件，rfc文件内详细说明了因特网通讯协议。当检测到服务器与客户端交互的数据包中包含黑色产业内容时，即客户 端向服务器发送的数据或者是服务器向客户端发送的数据是包含黑色产业内容的，则此时对黑色产业内容的类别进行分析。例如，当检测到百家乐时，根据预置的规则库判断所述黑色产业内容为博彩类别，上述预置的第一规则库中包含黑色产业内容与类别的对应关系。当检测分析后可以将结果保存在系统日志中，并对客户端提示服务器存在的黑色产业内容以及黑色产业内容的类别。

本发明实施例通过获取待检测服务器与客户端交互的数据包，所述数据包包含所述客户端向服务器发送的请求数据或所述服务器向所述客户端发送的回复数据；对所述请求数据或所述回复数据进行黑色产业内容检测；当检测到所述请求数据或所述回复数据存在黑色产业内容时，根据检测到的黑色产业内容和预置的第一规则库分析所述黑色产业内容的类别，所述第一规则库包含所述黑色产业内容与所述类别的对应关系。由于检测到的黑色产业内容即为存在的黑色产业内容，因此实现了识别黑色产业内容的目的，且通过利用第一规则库确定检测到的黑色产业内容的类别，有效实现分析黑色产业内容的类别的目的，对服务器是否存在黑色产业内容以及存在的内容和类别进行全方位检测。

进一步地，参照图2，基于本发明黑色产业内容的检测分析方法第一实施例，在本发明黑色产业内容的检测分析第二实施例中，上述步骤s20包括：

步骤s211，将所述请求数据或所述回复数据通过预置的正则表达式进行检测，所述预置的正则表达式用于将所述请求数据或所述回复数据与预置的第二规则库中的数据进行匹配；

步骤s212，当所述数据包包含所述请求数据且匹配到所述第二规则库中的数据时，确认所述请求数据存在所述黑色产业内容；当所述数据包包含所述回复数据且匹配到所述第二规则库中的信息时，确认所述回复数据存在所述黑色产业内容。

本实施例中上述预置的正则表达式是用于将请求数据或回复数据与预置的第二规则库中的数据进行匹配，当采用正则表达式进行匹配时使用解析引擎在程序运行时解析正则表达式的内容。例如，当采用表达式[pcre:”*(网络博彩网|澳门赌博网|百家乐)*”；]对数据包中请求数据或回复数据进行检测时，会 检查请求数据或回复数据中是否包含网络博彩网、澳门赌博网、百家乐等关键字。上述预置的正则表达式待匹配的内容来自于预置的规则库，上述预置的第二规则库可以包含预置的关键词，如包含百家乐、游戏平台等，也可以包含预置的恶意链接，也可以包含黑色产业内容的检测正则表达式等，具体可以根据需要进行设定。例如在政府网站的页面，页面匹配到：[pcre:”*(酒吧|模特|夜总会)招聘*”；]，表示被插入色情类黑色产业内容，页面标题匹配：pcre:”*<title>(大保健|延时药|)</title>*”；]，表示被植入虚假药物的黑色产业内容。其中第一规则库中的黑色产业内容部分可以包含第二规则库中的全部内容，也可以包含除了第二规则库中的全部内容以外的其他黑色产业内容。

通过正则表达式匹配到规则库中的内容时，若获取的数据包包含的是客户端向服务器发送的请求数据，则表示有攻击者在向服务器提交黑色产业内容，此时拦截并进行分析，将拦截及分析的结果提示用户。当获取的数据包包含的是服务器向客户端发送的回复数据，如某教育网站匹配到“大发888游戏平台”这样的黑色产业内容，且判断到该信息指向的链接为非本站链接(可能是123.game.com)，那么可以确认该服务器存在黑色产业内容，进而分析并提示用户相关信息。

本实施例通过将所述数据包中的请求数据或回复数据通过预置的正则表达式进行匹配来判断是否存在黑色产业内容，匹配到的黑色产业内容是攻击者向服务器提交的黑色产业内容或者服务器返回给客户端的黑色产业内容，这些信息也就是存在的黑色产业内容，因此达到了识别黑色产业内容的目的。

进一步地，参照图3，基于本发明黑色产业内容的检测分析方法第一实施例，在本发明黑色产业内容的检测分析第三实施例中，上述步骤s20还包括：

步骤s221，检测所述请求数据或所述回复数据是否存在预置应用的特征信息；

步骤s222，当所述数据包包含所述请求数据且存在所述特征信息时，确认所述请求数据存在所述黑色产业内容；当所述数据包包含所述回复数据且存在所述特征信息时，确认所述回复数据存在所述黑色产业内容。

本实施例中上述预置应用是指预先定义的恶意应用，例如挖掘比特币的应用等，可以根据需要选择应用。上述预置应用的特征信息是指反映预置应 用的行为的信息，每一种应用在运行时都会有一些特定的行为特征，比如连接指定的服务器或者是使用某些特定的通信协议。检测请求数据或回复数据是否存在预置应用的特征信息就是检测数据包中是否存在使用一些特定的通信协议，是否连接特定的服务器上传或下载信息等，可以根据需要选择检测哪些应用的哪些特定信息。例如检测到连接挖掘比特币的服务器，表明可能存在挖掘比特币的恶意行为。此时可以进行进一步的分析，并记录在日志中同时向用户告警。

本实施例通过预置应用的特征信息标识黑色产业内容，将数据包中的请求数据或回复数据于通过预置应用的特征信息进行检测，达到识别黑色产业内容的目的。可以理解的是，这个检测可以通过服务器与客户端交互获取的数据包进行检测，还可以在待检测的服务器上对整个服务器已经存在的信息进行检测。

进一步地，参照图4，基于本发明黑色产业内容的检测分析方法上述实施例，在本发明黑色产业内容的检测分析第四实施例中，上述步骤s20之前包括：

步骤s40，将获取到的所述数据包进行入侵检测，判断所述服务器是否受到入侵攻击；当所述服务器受到所述入侵攻击时，执行步骤s20。

本实施例中入侵检测是对攻击者入侵服务器进行检测，可以使用的检测方法有sql注入检测，跨站脚本攻击(crosssitescripting,xss)攻击检测等方法，可以根据需要选择一种或几种组合使用。当检测到所述服务器受到入侵攻击时表明可能会有黑色产业内容篡改服务器，此时进行黑色产业内容的检测。

sql注入是攻击者利用sql语句的漏洞将恶意代码插入到sql中，并使恶意代码得以执行。例如，存在以下sql语句：selectcount(*)fromloginwhereusername＝’{0}’andpassword＝’{1}’,username,password，当用户民和密码都为admin时，客户端提交用户名admin，密码admin，可以正常登陆系统，然而当客户端输入admin’--，密码输入123时，也可以正常登陆系统，或者客户端输入admin’--，密码输入345也能正常登陆系统，这是因为，后台获取输入框的信息以后，要执行的sql语句为selectcount(*)fromloginwhereusername＝’admin’--password＝’123’，其中--被识别为注视符，后面的语句被省 略而登陆成功。在检测sql注入时，可以通过对sql注入语句扫描检测来判断是否有sql注入，具体实现方式在现有技术中有很多，可以根据需要选择使用。

进行xss攻击的攻击者通常在网页中嵌入客户端脚本(例如javascript),当用户浏览此网页时，脚本就会在用户的浏览器上执行，从而达到攻击者的目的。例如获取用户的cookie、链接到恶意连接等。xss攻击检测方法可以通过分析web应用程序代码中的数据传输情况等方法来实现，具体的实现方式可以根据需要选择。

本实施例通过对服务器与客户端的交互信息进行检测判断是否有攻击者入侵服务器。使客户端在服务器存在黑色产业内容前就了解客户端是否存在恶意攻击。

进一步地，基于本发明黑色产业内容的检测分析方法上述实施例，在本发明黑色产业内容的检测分析第五实施例中，上述黑色产业内容的检测分析方法还包括：

当检测到所述服务器受到所述入侵攻击或所述请求数据存在所述黑色产业内容或所述回复数据存在所述黑色产业内容时，向所述客户端发送对应的告警信息。

本实施例中上述告警信息可以在入侵检测发现有恶意攻击时对客户端进行提醒，也可以在根据服务器与客户端的交互过程中发现存在黑色产业内容时发送告警信息进行提醒。告警信息的内容可以包括提示客户端正在交互的内容包含的黑色产业内容或者是该交互的服务器本身已经存在黑色产业内容(存在黑色产业内容的服务器可以称为黑产主机)，以及黑色产业内容的类别。告警信息的提示方式可以根据需要选择，可以在用户端弹出窗口提示用户存在的黑色产业内容，例如提示服务器被恶意攻击者入侵，并且被添加了虚假药物信息。

本实施例通过发现恶意攻击或者黑色产业内容时对客户端发送告警信息，使用户知晓服务器被攻击的情况以及具体的黑色产业内容和类别。

本发明还提供一种黑色产业内容的检测分析装置，参照图5，提供了本发明黑色产业内容的检测分析装置第一实施例，该实施例中，黑色产业内容的 检测分析装置包括：

获取模块10，用于获取待检测服务器与客户端交互的数据包，所述数据包包含所述客户端向服务器发送的请求数据或所述服务器向所述客户端发送的回复数据；

黑色产业内容检测模块20，用于对所述请求数据或所述回复数据进行黑色产业内容检测；

黑色产业内容分析模块30，用于当检测到所述请求数据或所述回复数据存在所述黑色产业内容时，根据检测到的所述黑色产业内容和预置的第一规则库分析所述黑色产业内容的类别，所述第一规则库包含所述黑色产业内容与所述类别的对应关系。

本发明提供的黑色产业内容的检测分析装置主要应用于服务器中，对服务器的黑色产业内容进行检测以及对黑色产业内容的类别进行分析。

本实施例中，上述服务器与客户端是待检测服务器端与对应的客户端。所述数据包的内容是客户端向服务器发送的请求数据，或者是服务器向客户端发送的回复数据。上述黑色产业内容是指攻击者在目标设备上执行恶意操作的内容，如在目标设备上投放的虚假药物广告、游戏推广、博彩内容或挖取比特币，当客户端打开网页后会看到这些黑色产业内容，甚至有的黑色产业内容指向的链接页面带有木马会令使用者电脑中毒，由此引发一系列网络安全问题。当攻击者攻击服务器时可能向服务器上传黑色产业内容；当服务器本身已经存在黑色产业内容时，可能回复给客户端的数据中包含黑色产业内容。因此这里通过检测客户端向服务器发送的请求数据或者是服务器向客户端发送的回复数据来判断是否存在黑色产业内容，或者是服务器被攻击后已经存在黑色产业内容并向客户端发送黑色产业内容。

当黑色产业内容检测模块20进行检测时，获取到的服务器与客户端交互的数据包首先会经过rfc定义的协议标准进行解析，然后再进行黑色产业内容检测。rfc(requestforcomments)是一系列以编号排定的文件，rfc文件内详细说明了因特网通讯协议。当检测到服务器与客户端交互的数据包中包含黑色产业内容时，即客户端向服务器发送的数据或者是服务器向客户端发送的数据是包含黑色产业内容的，则此时对黑色产业内容的类别进行分析。例如，当检测到百家乐时，根据预置的规则库判断所述黑色产业内容为博彩 类别，上述预置的第一规则库中包含黑色产业内容与类别的对应关系。当检测分析后可以将结果保存在系统日志中，并对客户端提示存在的黑色产业内容以及黑色产业内容的类别。

本发明实施例通过获取待检测服务器与客户端交互的数据包，所述数据包包含所述客户端向服务器发送的请求数据或所述服务器向所述客户端发送的回复数据；对所述请求数据或所述回复数据进行黑色产业内容检测；当检测到所述请求数据或所述回复数据存在黑色产业内容时，根据检测到的黑色产业内容和预置的第一规则库分析所述黑色产业内容的类别，所述第一规则库包含所述黑色产业内容与所述类别的对应关系。由于检测到的黑色产业内容即为存在的黑色产业内容，因此实现了识别黑色产业内容的目的，且通过利用第一规则库确定检测到的黑色产业内容的类别，有效实现分析黑色产业内容的类别的目的，对服务器是否存在黑色产业内容以及存在的内容和类别进行全方位检测。

进一步地，参照图6，基于本发明黑色产业内容的检测分析装置第一实施例，在本发明黑色产业内容的检测分析装置第二实施例中，上述黑色产业内容检测模块20还包括：

第一检测单元211，用于将所述请求数据或所述回复数据通过预置的正则表达式进行检测，所述预置的正则表达式用于将所述数据包中的数据与预置的第二规则库中的数据进行匹配；

第一确认单元212，用于当所述数据包包含所述请求数据且匹配到所述第二规则库中的数据时，确认所述请求数据存在所述黑色产业内容；当所述数据包包含所述回复数据且匹配到所述第二规则库中的信息时，确认所述回复数据存在所述黑色产业内容。

本实施例中上述预置的正则表达式是用于将请求数据或回复数据与预置的第二规则库中的数据进行匹配，当采用正则表达式进行匹配时使用解析引擎在程序运行时解析正则表达式的内容。例如，当采用表达式[pcre:”*(网络博彩网|澳门赌博网|百家乐)*”；]对数据包中请求数据或回复数据进行检测时，会检查请求数据或回复数据中是否包含网络博彩网、澳门赌博网、百家乐等关键字。上述预置的正则表达式待匹配的内容来自于预置的规则库，上述预置 的第二规则库可以包含预置的关键词，如包含百家乐、游戏平台等，也可以包含预置的恶意链接，也可以包含黑色产业内容的检测正则表达式等，具体可以根据需要进行设定。例如在政府网站的页面，页面匹配到：[pcre:”*(酒吧|模特|夜总会)招聘*”；]，表示被插入色情类黑色产业内容，页面标题匹配：pcre:”*<title>(大保健|延时药|)</title>*”；]，表示被植入虚假药物的黑色产业内容。其中第一规则库中的黑色产业内容部分可以包含第二规则库中的全部内容，也可以包含除了第二规则库中的全部内容以外的其他黑色产业内容。

第一检测单元211通过正则表达式匹配到规则库中的内容时，若获取的数据包包含的是客户端向服务器发送的请求数据，则表示有攻击者在向服务器提交黑色产业内容，此时拦截并进行分析，将拦截及分析的结果提示用户。当获取的数据包包含的是服务器向客户端发送的回复数据，如某教育网站匹配到“大发888游戏平台”这样的黑色产业内容，且判断到该信息指向的链接为非本站链接(可能是123.game.com)，那么可以确认该服务器存在黑色产业内容，进而分析并提示用户相关信息。

本实施例通过将所述数据包中的请求数据或回复数据通过预置的正则表达式进行匹配来判断是否存在黑色产业内容，匹配到的黑色产业内容是攻击者向服务器提交的黑色产业内容或者服务器返回给客户端的黑色产业内容，这些信息也就是服务器存在的黑色产业内容，因此达到了识别黑色产业内容的目的。

进一步地，参照图7，基于本发明黑色产业内容的检测分析装置第一实施例，在本发明黑色产业内容的检测分析装置第三实施例中，上述黑色产业内容检测模块20还包括：

第二检测单元221，用于检测所述请求数据或所述回复数据是否存在预置应用的特征信息；

第二确认单元222，用于当所述数据包包含所述请求数据且存在所述特征信息时，确认所述请求数据存在所述黑色产业内容；当所述数据包包含所述回复数据且存在所述特征信息时，确认所述回复数据存在所述黑色产业内容。

本实施例中上述预置应用是指预先定义的恶意应用，例如挖掘比特币的应用等，可以根据需要选择应用。上述预置应用的特征信息是指反映预置应 用的行为的信息，每一种应用在运行时都会有一些特定的行为特征，比如连接指定的服务器或者是使用某些特定的通信协议。第二检测单元221检测请求数据或回复数据是否存在预置应用的特征信息就是检测数据包中是否存在使用一些特定的通信协议，是否连接特定的服务器上传或下载信息等，可以根据需要选择检测哪些应用的哪些特定信息。例如检测到连接挖掘比特币的服务器，表明可能存在挖掘比特币的恶意行为。此时可以进行进一步的分析，并记录在日志中同时向用户告警。

本实施例通过预置应用的特征信息标识黑色产业内容，将数据包中的请求数据或回复数据于通过预置应用的特征信息进行检测，达到识别黑色产业内容的目的。可以理解的是，这个检测可以通过服务器与客户端交互获取的数据包进行检测，还可以在待检测的服务器上对整个服务器已经存在的信息进行检测。

进一步地，参照图8，基于本发明黑色产业内容的检测分析装置上述实施例，在本发明黑色产业内容的检测分析装置第四实施例中，上述黑色产业内容的检测分析装置还包括：

入侵检测模块40，用于将获取到的所述数据包进行入侵检测，判断所述服务器是否受到入侵攻击。

所述黑色产业内容检测模块20还用于当所述服务器受到所述入侵攻击时，检测所述请求数据或所述回复数据是否存在黑色产业内容。

本实施例中入侵检测是对攻击者入侵服务器进行检测，可以使用的检测方法有sql注入检测，跨站脚本攻击(crosssitescripting,xss)攻击检测等方法，可以根据需要选择一种或几种组合使用。当检测到所述服务器受到入侵攻击时表明可能会有黑色产业内容篡改服务器，此时调用黑色产业内容检测模块20进行黑色产业内容的检测。

sql注入是攻击者利用sql语句的漏洞将恶意代码插入到sql中，并使恶意代码得以执行。例如，存在以下sql语句：selectcount(*)fromloginwhereusername＝’{0}’andpassword＝’{1}’,username,password，当用户民和密码都为admin时，客户端提交用户名admin，密码admin，可以正常登陆系统，然而当客户端输入admin’--，密码输入123时，也可以正常登陆系统，或者客户端 输入admin’--，密码输入345也能正常登陆系统，这是因为，后台获取输入框的信息以后，要执行的sql语句为selectcount(*)fromloginwhereusername＝’admin’--password＝’123’，其中--被识别为注视符，后面的语句被省略而登陆成功。在检测sql注入时，可以通过对sql注入语句扫描检测来判断是否有sql注入，具体实现方式在现有技术中有很多，可以根据需要选择使用。

进行xss攻击的攻击者通常在网页中嵌入客户端脚本(例如javascript),当用户浏览此网页时，脚本就会在用户的浏览器上执行，从而达到攻击者的目的。例如获取用户的cookie、链接到恶意连接等。xss攻击检测方法可以通过分析web应用程序代码中的数据传输情况等方法来实现，具体的实现方式可以根据需要选择。

本实施例通过对服务器与客户端的交互信息进行检测判断是否有攻击者入侵服务器。使客户端在服务器存在黑色产业内容前就了解客户端是否存在恶意攻击。

进一步地，基于本发明黑色产业内容的检测分析装置上述实施例，在本发明黑色产业内容的检测分析装置第五实施例中，上述黑色产业内容的检测分析装置还包括：

告警模块，用于当检测到所述服务器受到所述入侵攻击或所述请求数据存在所述黑色产业内容或所述回复数据存在所述黑色产业内容时，向所述客户端发送对应的告警信息。

本实施例中上述告警信息可以在入侵检测模块40或黑色产业内容检测模块20检测到黑色产业内容后进行提醒。具体地，上述告警信息可以在入侵检测发现有恶意攻击时对客户端进行提醒，也可以在根据服务器与客户端的交互过程中发现存在黑色产业内容时发送告警信息进行提醒。告警信息的内容可以包括提示客户端正在交互的内容包含的黑色产业内容或者是该交互的服务器本身已经存在黑色产业内容(存在黑色产业内容的服务器可以称为黑产主机)，以及黑色产业内容的类别。告警信息的提示方式可以根据需要选择，可以在用户端弹出窗口提示用户存在的黑色产业内容，例如提示服务器被恶意攻击者入侵，并且被添加了虚假药物信息。

本实施例通过发现恶意攻击或者黑色产业内容时对客户端发送告警信 息，使用户知晓服务器被攻击的情况以及具体的黑色产业内容和类别。

以上仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。