CN102833269B - 跨站攻击的检测方法、装置和具有该装置的防火墙 - Google Patents

跨站攻击的检测方法、装置和具有该装置的防火墙 Download PDF

Info

Publication number
CN102833269B
CN102833269B CN201210346751.XA CN201210346751A CN102833269B CN 102833269 B CN102833269 B CN 102833269B CN 201210346751 A CN201210346751 A CN 201210346751A CN 102833269 B CN102833269 B CN 102833269B
Authority
CN
China
Prior art keywords
parameter
cross
carried out
data
site
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201210346751.XA
Other languages
English (en)
Other versions
CN102833269A (zh
Inventor
张斌
常磊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Jingyi Zhiyuan Wuhan Information Technology Co Ltd
Hillstone Networks Co Ltd
Original Assignee
Hillstone Networks Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hillstone Networks Co Ltd filed Critical Hillstone Networks Co Ltd
Priority to CN201210346751.XA priority Critical patent/CN102833269B/zh
Publication of CN102833269A publication Critical patent/CN102833269A/zh
Application granted granted Critical
Publication of CN102833269B publication Critical patent/CN102833269B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Storage Device Security (AREA)
  • Devices For Executing Special Programs (AREA)

Abstract

本发明提供了一种跨站攻击的检测方法、检测装置和具有该装置的防火墙。该检测方法首先对用户提交的数据进行参数分解,然后对分解后的参数进行HTTP编码的解码,最后对解码后的参数进行词法分析和语法分析,并尝试建立语法树,当语法树能够成功建立时,确定用户提交的数据对应的行为是跨站攻击。通过本发明,实现了一种基于语法分析的智能检测手段,不是通过描述攻击表现形式,而是通过描述跨站攻击本质特征以达到检测跨站攻击的目的,降低了误报率和漏报率。

Description

跨站攻击的检测方法、装置和具有该装置的防火墙
技术领域
本发明涉及互联网领域,具体而言,涉及一种跨站攻击的检测方法、装置和具有该装置的防火墙。
背景技术
近几年,跨站攻击(CrossSiteScripting,XSS)始终盘踞着Web安全威胁的榜首。攻击者通过XSS,可以达到诸如钓鱼、网站挂马、HTTP会话劫持、信息盗取等非法目的,因此,XSS严重影响Web的安全和正常运行。
为了检测XSS,现有的IPS、IDS或WAF等系统中,均是基于正则表达式匹配的防护技术,也即通过正则表达式描述XSS行为,与正则表达式相匹配的行为确定为XSS行为,例如采用如下的正则表达式:<iframe\s+(src\s*=|height\s*=|width\s*=)。
但是,可以用于XSS的形式非常多,几乎每一个HTML标签、CSS标签都可以被用于攻击,为了避免漏报,需要通过大量的正则表达式进行匹配,无疑会直接产生网络性能的降低。同时,HTML、CSS标签的混淆形式非常多,例如攻击者可以通过HTTP编码、HTML编码、添加无效字符(控制字符、换行符、标点符号)等手段进行防御躲避,使得基于正则表达式的防护技术出现漏报。为了避免漏报,需要对正则表达式放宽描述精度,而这种做法又会直接导致误报的出现。此外,采用基于正则表达式的防护技术,在规则命中后,没有额外的处理,从而安全管理员不能知道攻击的详细行为,给安全管理员的工作带来了额外的分析负担。
综上,由于正则表达式本身描述能力的局限性,使得基于正则表达式的XSS检测技术存在误报高和漏报高的缺点。
为了克服正则表达式在表述能力上的弱点,现存的很多WAF类产品采用基于机器学习的检测技术。通常该类技术都需要一个学习阶段,也即:采用统计分析、数据挖掘等方法,学习到正常流量的数据特征后,在后续的检测阶段,对接收到的流量在学习到的正常流量模型的指导下进行分类,采用“非正常即异常”的方式检测攻击。
但是,由于机器学习过程中存在过学习和欠学习的问题,过学习通常意味着攻击流量混入了正常流量中被错误地学习,从而导致攻击的特征被带入到最终的正常流量模型,此时在检测时会带来漏报的问题;欠学习通常意味着学习流量并没有包含所有的正常流量模式,导致部分正常流量的模型没有被学习到,在检测过程中会导致误报的问题。
综上,由于现实中很难完整地学习到正常流量的所有特征,使得基于机器学习的检测技术中仍然存在误报和漏报的问题。
针对相关技术中跨站攻击的检测方法容易误报和漏报的问题,目前尚未提出有效的解决方案。
发明内容
本发明的主要目的在于提供一种跨站攻击的检测方法、装置和具有该装置的防火墙,以解决跨站攻击的检测方法容易误报和漏报的问题。
为了实现上述目的,根据本发明的一个方面,提供了一种跨站攻击的检测方法。
根据本发明的跨站攻击的检测方法包括:对用户提交的数据进行参数分解,得到分解后的参数;对分解后的参数进行HTTP编码的解码,得到解码后的参数;对解码后的参数进行词法分析,得到词法分析后的参数;对词法分析后的参数进行语法分析,并建立语法树;以及当语法树建立成功时,确定用户提交的数据对应的行为是跨站攻击。
进一步地,对用户提交的数据进行参数分解包括以下任意一种或多种参数分解:对数据请求行中的URI进行参数分解;对数据请求的Cookie首部进行参数分解;对数据请求的Cookie2首部进行参数分解;对数据请求的Referer首部进行参数分解;以及对POST请求的实体进行参数分解。
进一步地,在对解码后的参数进行词法分析之前,该方法还包括:判断解码后的参数是否由数字和/或字母组成,其中,对解码后的参数进行词法分析包括:当解码后的参数不是由数字和/或字母组成时,对解码后的参数进行词法分析。
进一步地,对解码后的参数进行词法分析,以得到词法分析后的参数包括:对解码后的参数进行HTML的词法分析,以得到HTML词法分析后的参数;以及对解码后的参数进行CSS的词法分析,以得到CSS词法分析后的参数。
进一步地,对词法分析后的参数进行语法分析包括:对HTML词法分析后的参数进行HTML语法分析;以及对CSS词法分析后的参数进行CSS语法分析。
进一步地,在确定用户提交的数据对应的行为是跨站攻击后,该方法还包括:对成功建立的语法树进行语义分析;以及根据语义分析的结果确定跨站攻击的目的。
进一步地,在确定用户提交的数据对应的行为是跨站攻击后,该方法还包括:将用户提交的数据在虚拟机中执行;以及根据执行结果确定跨站攻击的目的。
为了实现上述目的,根据本发明的另一方面,提供了一种跨站攻击的检测装置。根据本发明的跨站攻击的检测装置用于执行本发明提供的任意一种检测方法。
为了实现上述目的,根据本发明的另一方面,提供了一种跨站攻击的检测装置。根据本发明的跨站攻击的检测装置包括:协议分析器,用于对用户提交的数据进行参数分解,并对分解后的参数进行HTTP编码的解码,得到解码后的参数;词法分析器,用于对解码后的参数进行词法分析,得到词法分析后的参数;以及语法分析器,用于对词法分析后的参数进行语法分析,并建立语法树,以及当语法树建立成功时,确定用户提交的数据对应的行为是跨站攻击。
进一步地,该装置还包括:判断单元,用于在对解码后的参数进行词法分析之前,判断解码后的参数是否由数字和/或字母组成,其中,词法分析器还用于当解码后的参数不是由数字和/或字母组成时,对解码后的参数进行词法分析。
进一步地,该装置还包括:语义解析器,用于在确定用户提交的数据对应的行为是跨站攻击后,对成功建立的语法树进行语义分析,以及根据语义分析的结果确定跨站攻击的目的。
进一步地,该装置还包括:虚拟机,用于在确定用户提交的数据对应的行为是跨站攻击后,执行用户提交的数据,以及根据执行结果确定跨站攻击的目的。
为了实现上述目的,根据本发明的另一方面,提供了一种防火墙。
根据本发明的防火墙包括本发明提供的任意一种跨站攻击的检测装置。
通过本发明,采用包括以下步骤的跨站攻击的检测方法:首先对用户提交的数据进行参数分解,然后对分解后的参数进行HTTP编码的解码,最后对解码后的参数进行词法分析和语法分析,并尝试建立语法树,当语法树能够成功建立时,确定用户提交的数据对应的行为是跨站攻击,实现了一种基于语法分析的智能检测手段,不是通过描述攻击表现形式,而是通过描述跨站攻击本质特征以达到检测跨站攻击的目的,解决了跨站攻击的检测方法容易误报和漏报的问题,进而达到了同时降低误报和漏报的效果。
附图说明
构成本申请的一部分的附图用来提供对本发明的进一步理解,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本发明实施例的防火墙的工作示意图;
图2是根据本发明第一实施例的跨站攻击的检测装置的框图;
图3是根据本发明第二实施例的跨站攻击的检测装置的框图;
图4是根据本发明实施例的语法树的示意图;以及
图5是根据本发明实施例的跨站攻击的检测方法的流程图。
具体实施方式
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本发明。
图1是根据本发明实施例的防火墙的工作示意图,如图1所示,从因特网至WEB服务器,依次经过路由器或交换器、防火墙以及负载平衡,防火墙具有跨站攻击检测功能,设置于因特网与服务器之间,对跨站攻击的用户数据进行过滤,防止攻击者对服务器的恶意访问。
其中,该实施例中的防火墙在进行跨站攻击检测时,对用户提交的数据进行词法和语法的分析,通过描述攻击本质特征来检测跨站攻击,能够更好的检测并组织跨站攻击,降低误检测和漏检测的概率。
本发明实施例还提供了跨站攻击的检测装置,以下对本发明实施例所提供的跨站攻击的检测装置进行介绍。需要说明的是,在本发明实施例的跨站攻击的检测装置均可应用于本发明的防火墙。
图2是根据本发明第一实施例的跨站攻击的检测装置的框图,如图2所示,该检测装置包括协议分析器10、词法分析器30和语法分析器50。
协议分析器10首先对经过检测装置的HTTP流量进行HTTP协议分析,也即对用户提交的数据先进行参数分解,然后对分解后的参数进行HTTP编码的解码,最终输出解码后的参数。
优选地,协议分析器10分析的对象主要针对的是跨站攻击通常发生的对象,并且按照数据提交的数据,依次分析请求行、请求首部和请求实体。其中,具体的分析对象包括请求行中的URI、请求的Cookie首部、请求的Cookie2首部、请求的Referer首部和POST请求的实体。
通过协议分析器10后得到解码后的参数后,词法分析器30对各个解码后的参数进行词法分析,并去掉注释、无意义的字符,例如:对于下列标签:
<scriptsrc%$#=”xxx”>
浏览器会忽略“src”后边到“=”前边的字符,这些字符就是无意义字符。严格来说,这样写是一种错误,但是浏览器为了容错和方便的需要(因为很多开发者由于笔误,错写了无效字符),主动选择了忽视无效字符。这虽然让浏览器获得了更好的容错性能,但是也给攻击者提供了便利,可以利用无效的字符进行攻击特征混淆,得到词法分析后的参数。
语法分析器50维护一个完善的、严格的通过上下文无关语言描述的语法分析表,把经过词法分析器30分析后的参数进行语法分析,尝试按照语言规范建立语法树。
跨站攻击XSS的原理是注入可以在浏览器端执行的脚本,所以,要实施跨站攻击,攻击者所提交的恶意数据无论怎么变化,最终都必须满足语法规范,否则受害者浏览器将不能执行嵌入的恶意代码。因此,经过语法分析器50按照完备的规范进行语法解析后,如果用户提交的数据能够通过语法分析并成功建立语法树,这就意味着用户提交的数据包含符合语法规范的代码,即确定用户提交的数据对应的行为是可疑的跨站攻击。
采用该实施例提供的跨站攻击的检测装置,实现了一种基于语法分析的智能检测手段,实时对用户提交的数据进行分析检测,不是通过描述攻击表现形式,而是通过描述跨站攻击本质特征以达到检测跨站攻击的目的,同时降低跨站攻击检测的误报率和漏报率,能够更好地防止跨站攻击,维护网络安全。
图3是根据本发明第二实施例的跨站攻击的检测装置的框图,如图3所示,协议分析器首先对经过检测装置的HTTP流量进行HTTP协议分析,也即对用户提交的数据先进行参数分解,分析的对象主要针对的是跨站攻击通常发生的对象,具体包括请求行中的URI、请求的Cookie首部、请求的Cookie2首部、请求的Referer首部和POST请求的实体,然后对各个对象的各个参数进行HTTP编码的解码。
例如,协议分析器对用户提交的如下URI进行参数分解和解码:
/seach.asp?id=1&&find=%3C%26%23%78%34%39%3B%4D%47%20%53%54%59%4C%45%3D%22%78%73%73%3A%65%78%70%72%2F%2A%58%53%53%2A%2F%65%73%73%69%6F%6E%28%61%6C%65%72%74%28%27%58%53%53%27%29%29%22%3E%0A
经过协议分析器后,将被分解、解码还原成两个参数:
Id(name=”id”,value=1);
Find(name=”find”,value=<&#x49;MGSTYLE=″xss:expr/*XSS*/ession(alert(′XSS′))″>)。
为了提高检测装置的处理速度,在进行词法和语法分析前,先进行初步判断,以排除明显的正常流量,该检测装置还包括判断单元,在经过协议分析器进行参数分解和解码之后,在对解码后的参数进行词法分析之前,判断单元判断解码后的参数是否由数字和/或字母组成。例如,针对上述的两个参数Id和Find,由于第一个参数Id的值是一个有数字组成的字符串,所以该参数肯定不会发生跨站攻击,而第二个参数Find,其值中包含标点符号,需要进行进一步的词法分析。如果URI的两个参数Id和Find均由数字和字母的组合、数字或字母组成,则该URI为正常明显流量,不需要进行跨站攻击的检测。
在上述的判断中,如果解码后的参数不是由数字和/或字母组成时,则需对解码后的参数进行词法分析。其中,HTML词法分析器负责还原HTML编码,并去掉注释、无意义的字符;CSS词法分析器负责还原CSS中的编码,并去掉注释、无意义的字符。对于上述的Find参数,经过HTML词法分析器后,将还原成:
<IMGSTYLE=″xss:expression(alert(′XSS′))″>)。
在进行词法分析后,语法分析器把经过词法分析器分析后的参数进行语法分析,其中,HTML语法分析器用于维护一个完善的、严格的通过上下文无关语言描述的HTML语法分析表;CSS语法分析器用于维护一个完善的、严格的通过上下文无关语言描述的CSS语法分析表。语法分析器的作用是把经过词法分析器解码后的字符串,尝试按照语言规范建立语法树。对于上述的Find参数,经过语法分析器后,能够建立如图4所示的语法树,从而能够确定用户提交的数据对应的行为是可疑的跨站攻击。
在成功建立语法树的基础上,通过最终的HTML语义解析器和CSS语义解析器对语法树进行分析,如果发现用户提交的代码在语义上是Script操作,或者添加有潜在威胁的标签,例如IFRAME、OBJECT、LINK、SCRIPT、STYLE、APPLET、META、EMBED等等,则可进一步确认攻击者的攻击目的,最终将分析得到的攻击目的存储在日志收集器中,并进行报警。
在该实施例中,实现了一种基于语法分析和语义执行的智能检测手段,通过描述攻击本质特征检测跨站攻击而不是通过描述攻击表现形式,并且进一步对确定的跨站攻击进行语义分析,向安全管理员提供跨站攻击的分析结果。
采用该实施例提供的跨站攻击的检测装置,能够克服正则表达式描述能力弱的缺点,比基于正则表达式特征的检测手段具有更高的检测能力,对抵御零日攻击具有更好的适应力,有更高的检出率和更低的漏报率;相比于基于机器学习的检测手段,该装置克服了机器学习问题中过学习和欠学习的问题,使得漏报率和误报率更低;并且能够提供能详细的行为目的说明,有效帮助安全管理员进行事后分析。
为了更加准确的得到跨站攻击的目的,可以采用虚拟机来替代图3所示实施例中的语义解析器,在确定用户提交的数据对应的行为是跨站攻击后,通过虚拟机来执行用户提交的数据,从而根据执行结果准确的确定跨站攻击的目的。
本发明实施例还提供了跨站攻击的检测方法,以下对本发明实施例所提供的跨站攻击的检测方法进行介绍。需要说明的是,在本发明实施例的跨站攻击的检测方法可以通过本发明实施例所提供的跨站攻击的检测装置来执行,本发明实施例的跨站攻击的检测装置也可以用于执行本发明实施例所提供的跨站攻击的检测方法。
图5是根据本发明实施例的跨站攻击的检测方法的流程图,如图5所示,该方法包括如下的步骤S102至步骤S110:
步骤S102:对用户提交的数据进行参数分解,得到分解后的参数。
步骤S104:对分解后的参数进行HTTP编码的解码,得到解码后的参数。
上述的步骤S102和步骤S104可通过图2所示实施例中的协议分析器10执行,通过上述的两个步骤,对经过跨站攻击防护设备的HTTP流量进行HTTP协议分析,也即对用户提交的数据先进行参数分解,然后对分解后的参数进行HTTP编码的解码,最终输出解码后的参数。
优选地,上述两个步骤中分析的对象主要针对的是跨站攻击通常发生的对象,并且按照数据提交的数据,依次分析请求行、请求首部和请求实体。其中,具体的分析对象包括请求行中的URI、请求的Cookie首部、请求的Cookie2首部、请求的Referer首部和POST请求的实体。
步骤S106:对解码后的参数进行词法分析,得到词法分析后的参数。
该步骤可通过图2所示实施例中的词法分析器30执行,在词法分析过程中,可直接将注释和无意义的字符去掉,优选地,对解码后的参数进行词法分析包括HTML词法分析和CSS词法分析。
步骤S108:对词法分析后的参数进行语法分析,并建立语法树。
步骤S110:当语法树建立成功时,确定用户提交的数据对应的行为是跨站攻击。
上述的步骤S108和步骤S110可通过图2所示实施例中的语分析器50执行,跨站攻击XSS的原理是注入可以在浏览器端执行的脚本,所以,要实施跨站攻击,攻击者所提交的恶意数据无论怎么变化,最终都必须满足语法规范,否则受害者浏览器将不能执行嵌入的恶意代码。因此,步骤S108和步骤S110按照完备的规范进行语法解析后,如果用户提交的数据能够通过语法分析并成功建立语法树,这就意味着用户提交的数据包含符合语法规范的代码,即确定用户提交的数据对应的行为是可疑的跨站攻击,优选地,对HTML词法分析后的参数进行HTML语法分析,对CSS词法分析后的参数进行CSS语法分析。
采用该实施例提供的跨站攻击的检测方法,能够克服正则表达式描述能力弱的缺点,比基于正则表达式特征的检测手段具有更高的检测能力,对抵御零日攻击具有更好的适应力,有更高的检出率和更低的漏报率;相比于基于机器学习的检测手段,该装置克服了机器学习问题中过学习和欠学习的问题,使得漏报率和误报率更低。
为了提高检测方法速度,在进行词法和语法分析前,先进行初步判断,以排除明显的正常流量,优选地,在该步骤S106之前,该方法还包括:判断解码后的参数是否由数字和/或字母组成,其中,如果解码后的参数是由数字和/或字母组成,则该用户提交的数据属于正常流量,无需进行后续的步骤S108和步骤S110的处理,如果解码后的参数不是由数字和/或字母组成,依次执行步骤S108和步骤S110的处理,对解码后的参数进行词法分析和语法分析。
为了能够向安全管理员提供详细的跨站攻击的行为目的,有效帮助安全管理员进行事后分析,优选地,在步骤S110之后,确定用户提交的数据对应的行为是跨站攻击后,该方法还包括:对成功建立的语法树进行语义分析,并根据语义分析的结果确定跨站攻击的目的。
为了向安全管理员提供更加准确的得到跨站攻击的目的,更加有效地帮助安全管理员进行事后分析,进一步优选地,在步骤S110之后,将用户提交的数据在虚拟机中执行,并根据执行结果确定跨站攻击的目的。
从以上的描述中,可以看出,本发明实现了如下技术效果:实现了一种基于语法分析的智能检测手段,实时对用户提交的数据进行分析检测,不是通过描述攻击表现形式,而是通过描述跨站攻击本质特征以达到检测跨站攻击的目的,同时降低跨站攻击检测的误报率和漏报率,能够更好地防止跨站攻击,维护网络安全。
需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (10)

1.一种跨站攻击的检测方法,其特征在于,包括:
对用户提交的数据进行参数分解,得到分解后的参数,其中,对用户提交的数据进行参数分解包括:对数据请求行中的URI进行参数分解;
对所述分解后的参数进行HTTP编码的解码,得到解码后的参数;
对所述解码后的参数进行词法分析,得到词法分析后的参数;
对所述词法分析后的参数进行语法分析,并建立语法树;
当所述语法树建立成功时,确定所述用户提交的数据对应的行为是跨站攻击;
对成功建立的语法树进行语义分析;以及
根据语义分析的结果确定所述跨站攻击的目的。
2.根据权利要求1所述的跨站攻击的检测方法,其特征在于,对用户提交的数据进行参数分解还包括以下任意一种或多种参数分解:
对数据请求的Cookie首部进行参数分解;
对数据请求的Cookie2首部进行参数分解;
对数据请求的Referer首部进行参数分解;以及
对POST请求的实体进行参数分解。
3.根据权利要求1所述的跨站攻击的检测方法,其特征在于,在对所述解码后的参数进行词法分析之前,所述方法还包括:
判断所述解码后的参数是否由数字和/或字母组成,
其中,对所述解码后的参数进行词法分析包括:当所述解码后的参数不是由数字和/或字母组成时,对所述解码后的参数进行词法分析。
4.根据权利要求1所述的跨站攻击的检测方法,其特征在于,对所述解码后的参数进行词法分析,以得到词法分析后的参数包括:
对所述解码后的参数进行HTML的词法分析,以得到HTML词法分析后的参数;以及
对所述解码后的参数进行CSS的词法分析,以得到CSS词法分析后的参数。
5.根据权利要求4所述的跨站攻击的检测方法,其特征在于,对所述词法分析后的参数进行语法分析包括:
对所述HTML词法分析后的参数进行HTML语法分析;以及
对所述CSS词法分析后的参数进行CSS语法分析。
6.根据权利要求1至5中任一项所述的跨站攻击的检测方法,其特征在于,在确定所述用户提交的数据对应的行为是跨站攻击后,所述方法还包括:
将所述用户提交的数据在虚拟机中执行;以及
根据执行结果确定所述跨站攻击的目的。
7.一种跨站攻击的检测装置,其特征在于,包括:
协议分析器,用于对用户提交的数据进行参数分解,并对分解后的参数进行HTTP编码的解码,得到解码后的参数,其中,对用户提交的数据进行参数分解包括:对数据请求行中的URI进行参数分解;
词法分析器,用于对所述解码后的参数进行词法分析,得到词法分析后的参数;以及
语法分析器,用于对所述词法分析后的参数进行语法分析,并建立语法树,以及当所述语法树建立成功时,确定所述用户提交的数据对应的行为是跨站攻击;
语义解析器,用于在确定所述用户提交的数据对应的行为是跨站攻击后,对成功建立的语法树进行语义分析,以及根据语义分析的结果确定所述跨站攻击的目的。
8.根据权利要求7所述的跨站攻击的检测装置,其特征在于,还包括:
判断单元,用于在对所述解码后的参数进行词法分析之前,判断所述解码后的参数是否由数字和/或字母组成,
其中,所述词法分析器还用于当所述解码后的参数不是由数字和/或字母组成时,对所述解码后的参数进行词法分析。
9.根据权利要求7或8所述的跨站攻击的检测装置,其特征在于,还包括:
虚拟机,用于在确定所述用户提交的数据对应的行为是跨站攻击后,执行所述用户提交的数据,以及根据执行结果确定所述跨站攻击的目的。
10.一种防火墙,其特征在于,包括:权利要求7或8所述的跨站攻击的检测装置。
CN201210346751.XA 2012-09-18 2012-09-18 跨站攻击的检测方法、装置和具有该装置的防火墙 Active CN102833269B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201210346751.XA CN102833269B (zh) 2012-09-18 2012-09-18 跨站攻击的检测方法、装置和具有该装置的防火墙

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201210346751.XA CN102833269B (zh) 2012-09-18 2012-09-18 跨站攻击的检测方法、装置和具有该装置的防火墙

Publications (2)

Publication Number Publication Date
CN102833269A CN102833269A (zh) 2012-12-19
CN102833269B true CN102833269B (zh) 2016-03-30

Family

ID=47336239

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201210346751.XA Active CN102833269B (zh) 2012-09-18 2012-09-18 跨站攻击的检测方法、装置和具有该装置的防火墙

Country Status (1)

Country Link
CN (1) CN102833269B (zh)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104601540B (zh) * 2014-12-05 2018-11-16 华为技术有限公司 一种跨站脚本XSS攻击防御方法及Web服务器
CN104601556B (zh) * 2014-12-30 2017-12-26 中国科学院信息工程研究所 一种面向web的攻击检测方法及系统
CN106202889A (zh) * 2016-06-30 2016-12-07 上海艾牙健康科技有限公司 一种口腔微视仪应用系统及全口拍摄方法
CN109218339B (zh) * 2017-06-29 2021-08-10 北京京东尚科信息技术有限公司 请求处理方法和装置
CN109726185B (zh) * 2018-12-28 2020-12-25 杭州安恒信息技术股份有限公司 一种基于语法树的日志解析方法、系统和计算机可读介质
CN110602029B (zh) * 2019-05-15 2022-06-28 上海云盾信息技术有限公司 一种用于识别网络攻击的方法和系统
CN110650117B (zh) * 2019-08-01 2022-03-25 平安科技(深圳)有限公司 跨站攻击防护方法、装置、设备及存储介质
CN112883372B (zh) * 2019-11-29 2024-02-09 中国电信股份有限公司 跨站脚本攻击检测方法和装置

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101459548A (zh) * 2007-12-14 2009-06-17 北京启明星辰信息技术股份有限公司 一种脚本注入攻击检测方法和系统
CN101751530A (zh) * 2009-12-29 2010-06-23 成都市华为赛门铁克科技有限公司 检测漏洞攻击行为的方法及设备
CN101895516A (zh) * 2009-05-19 2010-11-24 北京启明星辰信息技术股份有限公司 一种跨站脚本攻击源的定位方法及装置

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101459548A (zh) * 2007-12-14 2009-06-17 北京启明星辰信息技术股份有限公司 一种脚本注入攻击检测方法和系统
CN101895516A (zh) * 2009-05-19 2010-11-24 北京启明星辰信息技术股份有限公司 一种跨站脚本攻击源的定位方法及装置
CN101751530A (zh) * 2009-12-29 2010-06-23 成都市华为赛门铁克科技有限公司 检测漏洞攻击行为的方法及设备

Also Published As

Publication number Publication date
CN102833269A (zh) 2012-12-19

Similar Documents

Publication Publication Date Title
CN102833269B (zh) 跨站攻击的检测方法、装置和具有该装置的防火墙
Gupta et al. XSS-secure as a service for the platforms of online social network-based multimedia web applications in cloud
CN102833270A (zh) Sql注入攻击的检测方法、装置和具有该装置的防火墙
Gupta et al. Enhancing the browser-side context-aware sanitization of suspicious HTML5 code for halting the DOM-based XSS vulnerabilities in cloud
CN103744802B (zh) Sql注入攻击的识别方法及装置
US8024804B2 (en) Correlation engine for detecting network attacks and detection method
US8225402B1 (en) Anomaly-based detection of SQL injection attacks
Tajpour et al. SQL injection detection and prevention tools assessment
US8051484B2 (en) Method and security system for indentifying and blocking web attacks by enforcing read-only parameters
Tajpour et al. Comparison of SQL injection detection and prevention techniques
US20140173736A1 (en) Method and system for detecting webpage Trojan embedded
US20110066585A1 (en) Extracting information from unstructured data and mapping the information to a structured schema using the naïve bayesian probability model
Tripp et al. Finding your way in the testing jungle: A learning approach to web security testing
CN101447991A (zh) 用于测试入侵检测系统的测试装置及测试方法
CN110602021A (zh) 一种基于http请求行为与业务流程相结合的安全风险值评估方法
CN106203095A (zh) 一种webshell的检测方法和检测系统
CN108683685A (zh) 一种针对xss攻击的云安全cdn系统及监测方法
CN107122657B (zh) 一种防御sql注入攻击的数据库代理装置
Chaudhary et al. Securing heterogeneous embedded devices against XSS attack in intelligent IoT system
CN117240598B (zh) 攻击检测方法、装置、终端设备及存储介质
CN101471781A (zh) 一种脚本注入事件处理方法和系统
Aliero et al. Review on SQL injection protection methods and tools
Das et al. Detection of cross-site scripting attack under multiple scenarios
Zhang et al. Research on SQL injection vulnerabilities and its detection methods
Aliero et al. Classification of Sql Injection Detection And Prevention Measure

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C53 Correction of patent for invention or patent application
CB02 Change of applicant information

Address after: 215163 Jiangsu city of Suzhou province high tech Industrial Development Zone, kolding Road No. 78 Su Gaoxin Software Park Building 7 layer 3

Applicant after: HILLSTONE NETWORKS

Address before: 215163 Jiangsu city of Suzhou province high tech Zone (Suzhou city) kolding Road No. 78 Gaoxin Software Park Building 7 floor 3

Applicant before: Suzhou Shanshi Network Co., Ltd.

COR Change of bibliographic data

Free format text: CORRECT: APPLICANT; FROM: SUZHOU SHANSHI NETWORK CO., LTD. TO: HILLSTONE NETWORKS COMMUNICATION TECHNOLOGY CO., LTD.

C14 Grant of patent or utility model
GR01 Patent grant
CP03 Change of name, title or address
CP03 Change of name, title or address

Address after: 215163 No. 181 Jingrun Road, Suzhou High-tech Zone, Jiangsu Province

Patentee after: SHANSHI NETWORK COMMUNICATION TECHNOLOGY CO., LTD.

Address before: 215163 3rd Floor, 7th Building, No. 78 Keling Road, Suzhou High-tech Industrial Development Zone, Jiangsu Province

Patentee before: HILLSTONE NETWORKS

TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20220117

Address after: 215163 No. 181 Jingrun Road, Suzhou High-tech Zone, Jiangsu Province

Patentee after: Shanshi Netcom Communication Technology Co.,Ltd.

Patentee after: Jingyi Zhiyuan (Wuhan) Information Technology Co., Ltd

Address before: 215163 No. 181 Jingrun Road, Suzhou High-tech Zone, Jiangsu Province

Patentee before: Shanshi Netcom Communication Technology Co.,Ltd.