智慧大屏显示信息恶意篡改防护方法及装置与流程

本申请涉及数据安全领域，尤其涉及一种智慧大屏显示信息恶意篡改防护方法及装置。

背景技术

屏幕是一种物联网设备，随着屏幕的IP化、智慧化发展，未来将是一个“屏化”的时代。

目前，智慧大屏如户外LED屏、交通诱导屏随处可见，并且其具有开放性和共享性的特点；而其这两个特点很容易被攻击者盯上，使得智慧大屏成为攻击者传播恶意信息的途径。

攻击者通过攻破智慧大屏的信息发布装置（如消息发布平台），发布恶意信息或者通过黑客手段恶意篡改信息发布装置发送到智慧大屏上的显示信息，达到传播恶意信息的目的。

现有技术中，往往通过在目标主机上部署恶意信息扫描软件，检测主机中是否有恶意文件或者恶意程序的方式来实现智慧大屏的防护，但这些方法并不能有效检测出智慧大屏存在被恶意篡改信息的问题。

技术实现要素：

有鉴于此，本申请提供一种智慧大屏显示信息恶意篡改防护方法及装置。

具体地，本申请是通过如下技术方案实现的：

根据本申请实施例的第一方面，提供一种智慧大屏显示信息恶意篡改防护方法，应用于防护设备，所述方法包括：

以旁路监听的方式，对智慧大屏与消息发布平台之间的链路上的通信流量进行监听；

对监听到的通信流量进行流量分析，识别监听到的通信流量中的目标通信流量；其中，所述目标通信流量为发送给所述智慧大屏的待发布信息；

对所述目标通信流量进行解析，确定所述目标通信流量中的显示信息是否为恶意信息；

当确定第一目标通信流量中的显示信息为恶意信息时，依据记录的第一智慧大屏的口令，将所述第一智慧大屏的显示信息设置为白信息；其中，所述第一目标通信流量为发送给所述第一智慧大屏的目标通信流量。

根据本申请实施例的第二方面，提供一种智慧大屏显示信息恶意篡改防护装置，包括：

监听单元，用于以旁路监听的方式，对智慧大屏与消息发布平台之间的链路上的通信流量进行监听；

识别单元，用于对监听到的通信流量进行流量分析，识别监听到的通信流量中的目标通信流量；其中，所述目标通信流量为发送给所述智慧大屏的待发布信息；

确定单元，用于对所述目标通信流量进行解析，确定所述目标通信流量中的显示信息是否为恶意信息；

防护单元，用于当确定第一目标通信流量中的显示信息为恶意信息时，依据记录的第一智慧大屏的口令，将所述第一智慧大屏的显示信息设置为白信息；其中，所述第一目标通信流量为发送给所述第一智慧大屏的目标通信流量。

根据本申请实施例的第三方面，提供一种电子设备，包括处理器和机器可读存储介质，所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令，所述处理器用于执行机器可执行指令，以实现上述第一方面提供的智慧大屏显示信息恶意篡改防护方法。

根据本申请实施例的第四方面，提供一种机器可读存储介质，该机器可读存储介质内存储有计算机程序，所述计算机程序被处理器执行时实现第一方面提供的智慧大屏显示信息恶意篡改防护方法。

本申请实施例的智慧大屏显示信息恶意篡改防护方法，通过以旁路监听方式，对智慧大屏与消息发布平台之间的链路上的通信流量进行监听，并对监听到的通信流量进行流量分析，识别监听到的通信流量中的目标通信流量，进而，可以对目标通信流量进行解析，确定目标通信流量中的显示信息是否为恶意信息，并当确定第一目标通信流量中的显示信息为恶意信息时，依据记录的第一智慧大屏的口令，将第一智慧大屏的显示信息设置为白信息，从而，可以在智慧大屏的显示信息被恶意篡改时，将被攻击的智慧大屏的显示信息替换为白信息，降低智慧大屏被攻击时造成的危害，提高了智慧大屏的显示信息的安全性。

附图说明

图1为本申请一示例性实施例示出的一种智慧大屏显示信息恶意篡改防护方法的流程示意图；

图2为本申请一示例性实施例示出的一种具体应用场景的架构示意图；

图3为本申请一示例性实施例示出的一种智慧大屏显示信息恶意篡改防护实现流程示意图；

图4为本申请一示例性实施例示出的一种智慧大屏显示信息恶意篡改防护装置的结构示意图；

图5为本申请一示例性实施例示出的一种电子设备的硬件结构示意图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。

在本申请使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。

为了使本领域技术人员更好地理解本申请实施例提供的技术方案，并使本申请实施例的上述目的、特征和优点能够更加明显易懂，下面结合附图对本申请实施例中技术方案作进一步详细的说明。

需要说明的是，本申请实施例中各步骤的序号大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本申请实施例的实施过程构成任何限定。

请参见图1，为本申请实施例提供的一种智慧大屏显示信息恶意篡改防护方法的流程示意图，其中，该智慧大屏显示信息恶意篡改防护方法可以应用于防护设备，如图1所示，该智慧大屏显示信息恶意篡改防护方法可以包括：

步骤S100、以旁路监听的方式，对智慧大屏与消息发布平台之间的链路上的通信流量进行监听。

本申请实施例中，考虑到攻击者通过智慧大屏发布恶意消息一般会需要借用智慧大屏与消息发布平台之间的链路。

为了及时识别到攻击者发布的恶意信息，可以对智慧大屏与消息发布平台之间的链路上的通信流量进行监听。

示例性的，为了降低流量监听对智慧大屏与消息发布平台之间的正常通信流量的影响，可以通过旁路监听的方式对智慧大屏与消息发布平台之间的链路上的通信流量进行监听。

例如，可以在智慧大屏与消息发布平台之间的链路中间的交换设备上进行旁路流量监听，对该交换设备接收到的通信流量进行镜像，并依据得到的镜像通信流量进行后续处理。

步骤S110、对监听到的通信流量进行流量分析，识别监听到的通信流量中的目标通信流量；其中，目标通信流量为发送给智慧大屏的待发布信息。

本申请实施例中，考虑到通过智慧大屏展示的显示信息一般需要携带在消息发布信息中发送给智慧大屏。攻击者通过智慧大屏发布恶意信息时，也需要将恶意信息携带在消息发布信息中。

因而，针对智慧大屏的恶意信息一般包括但不限于如下两个特征：

特征一、恶意信息携带在消息发布信息中；

特征二、携带恶意信息的消息发布信息的目的端设备为智慧大屏。

相应地，对于步骤S100中监听得到的通信流量，可以对其进行流量分析，分别从数据格式和目的地址信息的角度来识别监听到的通信流量是否与上述两个特征匹配，从而，识别出监听到的通信流量中发送给智慧大屏的待发布信息（本文中称为目标通信流量）。

步骤S120、对目标通信流量进行解析，确定目标通信流量中的显示信息是否为恶意信息。

本申请实施例中，对于识别出的目标通信流量，可以对目标通信流量进行解析，提取目标通信流量中携带的显示信息，并确定目标通信流量中携带的显示信息是否为恶意信息。

示例性的，当确定目标通信流量中的显示信息为恶意信息时，可以继续执行步骤S130；当确定目标通信流量中携带的显示信息不是恶意信息时，可以继续进行通信流量的监听、识别目标通信流量以及对目标通信流量进行解析，识别恶意信息。

步骤S130、当确定第一目标通信流量中的显示信息为恶意信息时，依据记录的第一智慧大屏的口令，将第一智慧大屏的显示信息设置为白信息；其中，第一目标通信流量为发送给第一智慧大屏的目标通信流量。

需要说明的是，在本申请实施例中，第一智慧大屏并不特指某一固定的智慧大屏，而是可以指代采用本申请实施例提供的技术方案进行显示信息恶意篡改防护的任一智慧大屏。

本申请实施例中，当确定发送给第一智慧大屏的目标通信流量（本文中称为第一目标通信流量）中的显示信息为恶意信息时，可以依据记录的第一智慧大屏的口令，将第一智慧大屏的显示信息设置为白信息。

示例性的，为了在识别到恶意信息时，及时对恶意信息进行替换，可以记录各智慧大屏的口令。

示例性的，当智慧大屏接收到消息发布信息时，其会依据口令对消息发布信息的发布设备进行认证，并在认证通过后，提取消息发布信息中携带的显示信息，并进行展示。

示例性的，当确定发送给第一智慧大屏的第一目标通信流量中的显示信息为恶意信息时，可以通过信息模拟发布的方式，依据记录的第一智慧大屏的口令，向第一智慧大屏发送携带的显示信息为白信息的消息发布信息，以使第一智慧大屏将展示的显示信息更新为白信息。

示例性的，白信息可以包括空白信息或其它不包括有效信息的信息。

可见，在图1所示方法流程中，通过以旁路监听的方式对智慧大屏与消息发布平台之间的链路上的通信流量进行监听，并对监听到的通信流量进行流量分析，识别监听到的通信流量中的目标通信流量，进而，可以对目标通信流量进行解析，确定目标通信流量中的显示信息是否为恶意信息，并当确定第一目标通信流量中的显示信息为恶意信息时，依据记录的第一智慧大屏的口令，将第一智慧大屏的显示信息设置为白信息，从而，可以在智慧大屏的显示信息被恶意篡改时，将被攻击的智慧大屏的显示信息替换为白信息，降低智慧大屏被攻击时造成的危害，提高了智慧大屏的显示信息的安全性。

在一些实施例中，步骤S110中，识别监听到的通信流量中的目标通信流量，可以包括：

依据记录的智慧大屏的地址信息，将监听到的通信流量中，目的地址与智慧大屏的地址信息匹配的通信流量确定为第一类型通信流量；依据预设的消息发布信息的数据格式，将第一类型通信流量中，数据格式与预设的消息发布信息的数据格式匹配的第一类型通信流量确定为目标通信流量。

示例性的，考虑到攻击者篡改智慧大屏的显示信息时，会将恶意信息携带在消息发布信息中发送给智慧大屏。

因此，为了识别恶意信息，可以先从监听到的通信流量中识别出发送给智慧大屏的消息发布信息。

示例性的，可以依据记录的智慧大屏的地址信息（如IP地址），识别出监听到的通信流量中，目的地址与智慧大屏的地址信息匹配的通信流量（本文中称为第一类型通信流量）。

例如，可以依据智慧大屏的IP地址，将目的IP地址为智慧大屏的IP地址的通信流量确定为第一类型通信流量。

示例性的，上述记录的智慧大屏的地址信息可以通过预先配置的方式，或者，也可以通过对监听到的通信流量进行分析的方式识别并记录，其具体实现方式可以在下文中进行说明。

示例性的，对于识别出的第一类型通信流量，可以依据预设的消息发布信息的数据格式，从第一类型通信流量中进一步识别出消息发布信息（即上述目标通信流量），即将第一类型通信流量中，数据格式与预设的消息发布信息的数据格式匹配的第一类型流量，确定为目标通信流量。

在一些实施例中，步骤S120中，对目标通信流量进行解析，确定目标通信流量中的显示信息是否为恶意信息，可以包括：

当目标通信流量为明文信息时，依据预设的消息发布信息的数据格式，提取目标通信流量中的显示信息，并确定该显示信息是否为恶意信息；

当目标通信流量为密文信息时，依据记录的智慧大屏的口令，对目标通信流量进行解密，并依据预设的消息发布信息的数据格式，提取解密后的目标通信流量中的显示信息，并确定该显示信息是否为恶意信息。

示例性的，考虑到在某些场景中，消息发布平台向智慧大屏发送消息发布信息时，会利用智慧大屏的口令对消息发布信息进行加密。

相应地，对于识别出的发送给智慧大屏的消息发布信息（即上述目标通信流量），可以识别其为明文信息或密文信息。

当目标通信流量为明文信息时，可以依据预设的消息发布信息的数据格式，提取目标通信流量中的显示信息，并确定该显示信息是否为恶意信息。

当目标通信流量为密文信息时，可以依据记录的智慧大屏的口令，对目标通信流量进行解密，并依据预设的消息发布信息的数据格式，提取解密后的目标通信流量中的显示信息，并确定该显示信息是否为恶意信息。

在一些实施例中，上述步骤S130中，当确定第一目标通信流量中的显示信息为恶意信息时，还可以包括：

阻断第一智慧大屏与其它设备之间的通信连接，该其它设备为与第一智大屏之间建立有通信连接的设备中除防护设备之外的设备。

示例性的，为了避免第一智慧大屏被二次攻击，当识别到发送第一智慧大屏的消息发布信息（即上述第一目标通信流量）中的显示信息为恶意信息时，可以阻断第一智慧大屏与其它设备之间的通信连接，以避免攻击者设备再次对第一智慧大屏的显示信息进行篡改。

例如，可以通过向第一智慧大屏发送阻断数据包，以阻断第一智慧大屏与其它设备之间的通信连接，如TCP（Transmission Control Protocol，传输控制协议）连接。

在一些实施例中，步骤S130中，当确定第一目标通信流量中的显示信息为恶意信息时，还可以包括：

更新第一智慧大屏的口令。

示例性的，为了避免第一智慧大屏被二次攻击，当识别到发送第一智慧大屏的消息发布信息（即上述第一目标通信流量）中的显示信息为恶意信息时，还可以更新第一智慧大屏的口令，从而，攻击者依据更新前的口令将无法控制第一智慧大屏展示恶意显示信息。

示例性的，更新第一智慧大屏的口令可以包括更新第一智慧大屏保存的本设备的口令，以及防护设备记录的第一智慧大屏的口令。

在一些实施例中，当确定第一目标通信流量中的显示信息为恶意信息时，还可以包括：

当第一目标通信流量的源设备为消息发布平台时，阻断消息发布平台与智慧大屏之间的通信连接。

示例性的，当确定第一目标通信流量中的显示信息为恶意信息时，还可以确定第一目标通信流量的源设备。

例如，依据第一目标通信流量的源IP地址，确定第一目标通信流量的源设备。

当确定第一目标通信流量的源设备为消息发布平台时，即恶意信息是消息发布平台发布给第一智慧大屏的，可以确定消息发布平台被恶意攻击，此时，可以阻断消息发布平台与智慧大屏之间的通信连接，以避免消息发布平台向其它智慧大屏发布恶意信息。

在一些实施例中，步骤S110中，对监听到的通信流量进行流量分析，识别监听到的通信流量中的目标通信流量之前，所述方法还包括：

识别并记录智慧大屏的地址信息以及消息发布平台的地址信息；

依据智慧大屏的地址信息以及获取到的各智慧大屏的口令，记录各智慧大屏的地址信息与口令的对应关系。

示例性的，防护设备还可以识别并记录智慧大屏的地址信息以及消息发布平台的地址信息，以便依据记录到的智慧大屏的地址信息，识别发送给智慧大屏的流量，以及，依据记录的消息发布平台的地址信息，识别消息发布平台发送的流量。

示例性的，可以通过发送专门针对智慧大屏的探测数据包，依据接收到的响应数据包以及数据包内容确定智慧大屏返回的响应数据包，依据该智慧大屏返回的响应数据白获取智慧大屏的地址信息。

示例性的，考虑到智慧大屏和消息发布平台部署完成之后，智慧大屏会主动向消息发布平台发送心跳数据包和注册数据包，因此，可以依据对监听到的通信流量中的心跳数据包和注册数据包进行识别，依据心跳数据包和注册数据包的目的地址来识别消息发布平台的地址信息。

此外，可以依据通常会有多个智慧大屏向同一消息发布平台发送心跳数据包和注册数据包，因此，可以依据多个智慧大屏发送的心跳数据包和注册数据包的目的地址相同，来对识别到的消息发布平台的地址信息进行验证。

示例性的，当识别到智慧大屏的地址信息时，可以依据识别到的智慧大屏的地址信息，以及获取到的各智慧大屏的口令，记录各智慧大屏的地址信息与口令的对应关系。

示例性的，各智慧大屏的口令可以通过读取配置文件的方式获取。

示例性的，各智慧大屏的地址信息可以用于对监听到的通信流量中的目标通信流量进行筛选。

智慧大屏的地址信息与口令的对应关系可以用于对识别出的密文消息发布信息进行解密，以及，在识别到恶意信息时，将对应智慧大屏的显示信息替换为白信息。

需要说明的是，对于识别并记录的智慧大屏的地址信息，可以通过人工校验的方式，确定是否全面识别，对于未自动识别到的智慧大屏的地址信息，可以通过人工录入的方式补全，从而，可以在耗费少量人力的情况下，实现智慧大屏的地址信息的记录。

为了使本领域技术人员更好地理解本申请实施例提供的技术方案，下面结合具体实例对本申请实施例提供的技术方案进行说明。

请参见图2，为本申请实施例提供的一种具体应用场景的架构示意图，如图2所示，该应用场景可以包括：智慧大屏、消息发布平台、智慧大屏与消息发布平台之间的链路上交换设备（图中仅示出一个交换设备）以及防护设备。

如图2所示，在该实施例中，防护设备可以对交换设备上的通信流量进行镜像，并通过对镜像通信流量进行流量分析的方式，识别是否发送给智慧大屏的恶意信息。

示例性的，防护设备可以包括流量监听模块、口令管理模块、设备阻断模块以及信息模拟发布模块。

需要说明的是，防护设备可以作为一个单独的设备，以旁挂的方式与交换设备连接；或者，防护设备也可以集成部署在交换设备中。

此外，上述各模块可以集中部署在同一个设备，也可以分别以不同的设备的形式分布式部署，即上述流量监听模块、口令管理模块、设备阻断模块以及信息模拟发布模块可以分别部署在不同设备中，共同构成防护设备。

下面结合各模块对智慧大屏显示信息恶意篡改防护实现流程进行说明，如图3所示，其可以包括以下步骤：

S1、流量监听模块监听消息发布平台与智慧大屏之间的通信流量，依据监听到的通信流量记录每一个智慧大屏的IP地址和对应的消息发布平台的IP地址。

示例性的，通信监听模块可以旁路部署在消息发布平台与智慧大屏之间，用于以旁路监听的方式，监听消息发布平台与智慧大屏之间的通信流量，并记录智慧大屏IP地址和消息发布平台IP地址。

例如，以图2所示场景为例，通信监听模块通过流量分析监听得到了智慧大屏的IP地址为<192.168.1.1，192.168.1.2，192.168.1.3>，并存储智慧大屏的IP地址列表；监听得到消息发布平台的IP地址为192.168.1.8，并存储消息发布平台的IP地址。

S2、将流量监听模块监听到的智慧大屏的IP地址推送给口令管理模块，由口令管理模块记录智慧大屏的IP地址与口令的对应关系。

示例性的，口令管理模块和通信监听模块之间可以使用标准API（Application Programming Interface，应用程序接口）接口进行通信。

示例性的，可以通过录入的方式逐个将每个智慧大屏对应的口令录入到口令管理模块。

示例性的，对于流量监听模块推送的智慧大屏的IP地址，可以通过人工进一步校验补全流量监听模块未发现的智慧大屏IP，并补充对应口令。

以图2所示场景为例，通信监听模块将<192.168.1.1, 192.168.1.2, 192.168.1.3>推送给口令管理模块，然后在口令管理模块上将这些IP对应的口令进行录入，形成智慧大屏IP地址-口令列表对，即<（192.168.1.1, xxxxxx），（192.168.1.2, xxxxxx），（192.168.1.3, xxxxxx）>。

假设此时发现还有一个智慧大屏（IP地址为192.168.1.4）没有被通信监听模块发现，此时，口令管理模块可以录入该智慧大屏的IP和口令，并添加到列表对中；并且将智慧大屏192.168.1.4推送给通信监听模块，通信监听模块完善智慧大屏的IP列表，即：<192.168.1.1, 192.168.1.2, 192.168.1.3, 192.168.1.4>。

S3、流量监听模块监听消息发布平台发送给智慧大屏的消息。

S4、流量监听模块根据消息发布平台发送给智慧大屏的消息发布信息的数据格式对S3获取的消息进行实时解析，得到消息发布信息中携带的显示信息。

示例性的，流量监听模块监听发送给智慧大屏的流量信息，并过滤出消息发布信息。

以图2所示场景为例，可以识别监听到的通信流量中，目的IP地址为<192.168.1.1，192.168.1.2，192.168.1.3，192.168.1.4>通信流量（即上述第一类型通信流量），并依据预设的消息发布信息的数据格式，从第一类型通信流量中进一步过滤出消息发布信息（即上述目标通信流量）。

示例性的，流量监听模块还可以预设的消息发布信息的数据格式，对非消息发布平台发送给智慧大屏的通信流量进行实时解析。

示例性的，若识别出的消息发布信息是明文信息，则可以根据提取规则直接提取显示信息；若监听的消息发布信息是密文信息，则可以从口令管理模块获取对应智慧大屏的口令，然后进行解密操作，获取消息发布信息的明文，然后，提取显示信息。

S5、对S4解析出来的显示信息进行判断，判断该显示信息是否为恶意信息。

S6、若S5中确定显示信息为恶意信息，则确定该显示信息对应的源IP地址（记为IP1）和目的IP地址（记为IP2），将IP2发送给口令管理模块，口令管理模块根据S2过程记录的<ip，口令> 对获取IP2对应的口令，然后通过信息模拟发布模块，发送一条白信息到IP2对应的智慧大屏，并记录IP2与该白信息的对应关系，如<IP2，白信息>，以便后续查验。

S7、在确认IP2智慧大屏显示的信息为白信息之后，口令管理模块修改IP2对应的智慧大屏的口令，并记录新的IP2对应的智慧大屏的口令；避免智慧大屏被二次攻击。

S8、在确定S6步骤中的IP1和IP2之后，设备阻断模块阻断掉IP1和IP2之间的通信连接，并对新发起的与IP2对应的智慧大屏的通信连接进行阻断，避免智慧大屏被进一步进行爆破攻击。

示例性的，假设流量监听模块监听到发送给IP地址为192.168.1.1的智慧大屏的显示信息为恶意信息，此时，流量监听模块将192.168.1.1传递给口令管理模块，口令管理模块通过调用信息模拟发布模块，将IP地址为192.168.1.1的智慧大屏的显示信息设置为白信息。

此外，口令管理模块可以及时修改该智慧大屏的口令为新口令；设备阻断模块通过发送阻断数据包，断开其它设备与192.168.1.1的TCP连接。

示例性的，若流量监听模块监听到将恶意信息发布给IP地址为192.168.1.1的智慧大屏的源设备为消息发布平台，即源IP地址为192.168.1.8，则可以判断是由消息发布平台发送了恶意信息给智慧大屏，从而进一步确定消息发布平台被攻击了，此时，通知设备阻断模块，及时阻断消息发布平台与所有智慧大屏的连接，即将<192.168.1.1，192.168.1.2，192.168.1.3，192.168.1.4>与192.168.1.8的通信连接全部阻断。

示例性的，若流量监听模块监听到的将恶意信息发布给IP地址为192.168.1.1的智慧大屏的源设备的IP地址不是192.168.1.8，则可以判断由恶意篡改者恶意篡改设备信息。

以上对本申请提供的方法进行了描述。下面对本申请提供的装置进行描述：

请参见图4，为本申请实施例提供的一种智慧大屏显示信息恶意篡改防护装置的结构示意图，如图4所示，该智慧大屏显示信息恶意篡改防护装置可以包括：

监听单元410，用于以旁路监听的方式，对智慧大屏与消息发布平台之间的链路上的通信流量进行监听；

识别单元420，用于对监听到的通信流量进行流量分析，识别监听到的通信流量中的目标通信流量；其中，所述目标通信流量为发送给所述智慧大屏的待发布信息；

确定单元430，用于对所述目标通信流量进行解析，确定所述目标通信流量中的显示信息是否为恶意信息；

防护单元440，用于当确定第一目标通信流量中的显示信息为恶意信息时，依据记录的第一智慧大屏的口令，将所述第一智慧大屏的显示信息设置为白信息；其中，所述第一目标通信流量为发送给所述第一智慧大屏的目标通信流量。

在一些实施例中，所述识别单元420识别监听到的通信流量中的目标通信流量，包括：

依据记录的智慧大屏的地址信息，将监听到的通信流量中，目的地址与所述智慧大屏的地址信息匹配的通信流量确定为第一类型通信流量；

依据预设的消息发布信息的数据格式，将所述第一类型通信流量中，数据格式与所述预设的消息发布信息的数据格式匹配的第一类型通信流量确定为所述目标通信流量。

在一些实施例中，所述确定单元430对所述目标通信流量进行解析，确定所述目标通信流量中的显示信息是否为恶意信息，包括：

当所述目标通信流量为明文信息时，依据预设的消息发布信息的数据格式，提取所述目标通信流量中的显示信息，并确定该显示信息是否为恶意信息；

当所述目标通信流量为密文信息时，依据记录的智慧大屏的口令，对所述目标通信流量进行解密，并依据预设的消息发布信息的数据格式，提取解密后的目标通信流量中的显示信息，并确定该显示信息是否为恶意信息。

在一些实施例中，所述防护单元440，还用于阻断所述第一智慧大屏与其它设备之间的通信连接，所述其它设备为与所述第一智慧大屏之间建立有通信连接的设备中除防护设备之外的设备；

和/或，

更新所述第一智慧大屏的口令。

在一些实施例中，所述防护单元440，还用于当所述第一目标通信流量的源设备为所述消息发布平台时，阻断所述消息发布平台与所述智慧大屏之间的通信连接。

在一些实施例中，所述识别单元420对监听到的通信流量进行流量分析，识别监听到的通信流量中的目标通信流量之前，还包括：

识别并记录所述智慧大屏的地址信息以及所述消息发布平台的地址信息；

依据所述智慧大屏的地址信息以及获取到的各智慧大屏的口令，记录各智慧大屏的地址信息与口令的对应关系。

请参见图5，为本申请实施例提供的一种电子设备的硬件结构示意图。该电子设备可包括处理器501、存储有计算机程序的机器可读存储介质502。处理器501与机器可读存储介质502可经由系统总线503通信。并且，通过读取并执行机器可读存储介质502中与智慧大屏显示信息恶意篡改防护逻辑对应的计算机程序，处理器501可执行上文描述的任意智慧大屏显示信息恶意篡改防护方法。

本文中提到的机器可读存储介质502可以是任何电子、磁性、光学或其它物理存储装置，可以包含或存储信息，如可执行指令、数据，等等。例如，机器可读存储介质可以是：RAM（Radom Access Memory，随机存取存储器）、易失存储器、非易失性存储器、闪存、存储驱动器（如硬盘驱动器）、固态硬盘、任何类型的存储盘（如光盘、dvd等），或者类似的存储介质，或者它们的组合。

在一些实施例中，还提供了一种机器可读存储介质，该机器可读存储介质内存储有计算机程序，所述计算机程序被处理器执行时实现上文描述的智慧大屏显示信息恶意篡改防护方法。例如，所述机器可读存储介质可以是ROM、RAM、CD-ROM、磁带、软盘和光数据存储设备等。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

以上所述仅为本申请的较佳实施例而已，并不用以限制本申请，凡在本申请的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本申请保护的范围之内。