CN104268474A - 一种基于浏览器脚本行为的入侵检测方法及装置 - Google Patents
一种基于浏览器脚本行为的入侵检测方法及装置 Download PDFInfo
- Publication number
- CN104268474A CN104268474A CN201410516038.4A CN201410516038A CN104268474A CN 104268474 A CN104268474 A CN 104268474A CN 201410516038 A CN201410516038 A CN 201410516038A CN 104268474 A CN104268474 A CN 104268474A
- Authority
- CN
- China
- Prior art keywords
- data
- transmission data
- browser
- information
- code
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种基于浏览器脚本行为的入侵检测方法及装置。所述入侵检测方法包括静态检测字节码,以找到与污点数据库中的污点数据相匹配的污点信息;动态执行所述字节码,并在所述动态执行的过程中跟踪所述污点信息的传输路径,以得到第一传输数据。根据所述第一传输数据判断所述污点信息是否传送到非法目的地;如果所述污点信息是传送到非法目的地,则将所述污点信息标记为可疑信息;检测与所述浏览器互换所述可疑信息的传输点,以获取表示所述传输点的第二传输数据,所述第二传输数据包括所述传输点的目的地数据和依赖数据;比较所述第一传输数据和所述第二传输数据;以及根据所述比较的结果判断所述脚本代码是否是恶意脚本。
Description
技术领域
本发明涉及信息安全领域,具体涉及一种基于浏览器脚本行为的入侵检测方法及装置。
背景技术
随着Internet技术的广泛应用,越来越多的信息资源通过Web服务共享。例如,企业信息化过程中的各种应用都选择Web平台进行架设,此外,社交网络和微博等互联网产品得到快速应用,使得web浏览成为了互联网上使用率最高的网络服务,同时也成为了恶意代码利用的有效传播途径。
在这些恶意攻击中,XSS(Cross Site Scripting,跨站脚本攻击)和CSRF(Cross-site Request Forgery,跨站请求伪造)的危害很大。其中,XSS是指恶意攻击者往Web页面里插入恶意html代码。当用户浏览该页时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。CSRF通过伪装来自受信任用户的请求来利用受信任的网站。例如,网站是通过cookie来识别用户的,当用户成功进行身份验证之后浏览器就会得到一个标识其身份的cookie,只要不关闭浏览器或者退出登录,以后访问这个网站会带上这个cookie。如果这期间浏览器被人控制着请求了这个网站的链接,可能就会执行一些用户不想做的功能(比如,修改个人资料),达到恶意攻击的目的。
然而,由于攻击方式的多样性,现有技术中的反病毒服务商无法有效的探测和遏制以XSS和CSRF为代表的网络攻击。
发明内容
本发明要解决的技术问题在于提供一种基于浏览器脚本行为的入侵检测方法及装置,以在保证有效检测以XSS和CSRF为代表的网络攻击,提高网络安全性。
为解决上述技术问题,本发明采用如下技术方案:
本发明提供了一种浏览器的入侵检测方法,其特征在于,所述入侵检测方法包括以下步骤:
读取所述浏览器的脚本代码;
对所述脚本代码进行语法分析,以得到表示所述脚本代码语法树的语法数据;
根据所述语法数据生成与所述语法树对应的字节码;
静态检测所述字节码,以找到与污点数据库中的污点数据相匹配的污点信息;
动态执行所述字节码,并在所述动态执行的过程中跟踪所述污点信息的传输路径,以得到第一传输数据,所述第一传输数据包括所述浏览器的传输目的地址和依赖数据;
根据所述第一传输数据判断所述污点信息是否传送到非法目的地;
如果所述污点信息是传送到非法目的地,则将所述污点信息标记为可疑信息;
检测与所述浏览器互换所述可疑信息的传输点,以获取表示所述传输点的第二传输数据,所述第二传输数据包括所述传输点的目的地数据和依赖数据;
比较所述第一传输数据和所述第二传输数据;以及
根据所述比较的结果判断所述脚本代码是否是恶意脚本。
在一个实施例中,所述第一传输数据的依赖数据包括所述浏览器和所述传输点之间传输的多个分散数据片段,所述多个分散数据片段在到达目的地址以后组成数据信息。
在一个实施例中,所述比较所述第一传输数据和所述第二传输数据的步骤还包括:
比较所述第二传输数据中的依赖数据和所述可疑信息;
如果所述依赖数据包括与所述可疑信息相匹配的信息,则比较所述第一传输数据的目的地址和所述第二传输数据的目的地址;以及
如果所述比较结果表示所述传输点和所述浏览器同源,则判定所述脚本代码为恶意代码。
在一个实施例中,所述污点信息包括所述浏览器的用户身份信息、账号密码、地理位置和浏览记录。
在一个实施例中,所述动态执行所述代码的步骤还包括:
读取所述字节码的出口代码;以及
从所述字节码的出口代码向入口代码遍历执行所述字节码,以找到第一传输数据的目的地址和分散在所述字节码各码段的多个数据字段,其中,所述多个数据字段组成所述传输数据。
本发明还提供了一种浏览器的入侵检测装置,其特征在于,所述入侵检测装置包括:
第一读取模块,用于读取所述浏览器的脚本代码;
字节码生成模块,用于对所述脚本代码进行语法分析,以得到表示所述脚本代码语法树的语法数据,并根据所述语法数据生成与所述语法树对应的字节码;
静态检测模块,用于静态检测所述字节码,以找到与污点数据库中的污点数据相匹配的污点信息;
动态执行模块,用于动态执行所述字节码,并在所述动态执行的过程中跟踪所述污点信息的传输路径,以得到第一传输数据,所述第一传输数据包括所述浏览器的传输目的地址和依赖数据;
第一判断模块,用于根据所述第一传输数据判断所述污点信息是否传送到非法目的地,其中,如果所述污点信息是传送到非法目的地,则将所述污点信息标记为可疑信息;
传输点检测模块,检测与所述浏览器互换所述可疑信息的传输点,以获取表示所述传输点的第二传输数据,所述第二传输数据包括所述传输点的目的地数据和依赖数据;以及
第一比较模块,用于比较所述第一传输数据和所述第二传输数据,并根据所述比较的结果判断所述脚本代码是否是恶意脚本。
在一个实施例中,所述第一传输数据的依赖数据包括所述浏览器和所述传输点之间传输的多个分散数据片段,所述多个分散数据片段在到达目的地址以后组成数据信息。
在一个实施例中,所述第一比较模块还包括:
第二比较模块,用于比较所述第二传输数据中的依赖数据和所述可疑信息;
第三比较模块,如果所述依赖数据包括与所述可疑信息相匹配的信息,则比较所述第一传输数据的目的地址和所述第二传输数据的目的地址;以及
第二判断模块,如果所述比较结果表示所述传输点和所述浏览器同源,所述判断模块判定所述脚本代码为恶意代码。
在一个实施例中,所述污点信息包括所述浏览器的用户身份信息、账号密码、地理位置和浏览记录。
在一个实施例中,所述动态执行模块还包括:
第二读取模块,用于读取所述字节码的出口代码;以及
传输数据检测模块,用于从所述字节码的出口代码向入口代码遍历执行所述字节码,以找到发往所述第一传输数据的目的地址和分散在所述字节码各码段的多个数据字段,其中,所述多个数据字段组成所述第一传输数据。
与现有技术相比,本发明的入侵检测方法及装置可以有效的检测出脚本代码中蕴含的恶意代码(例如,诸如CSRF这样的通过冒充用户权限将用户信息传送到网络中作越权操作的恶意攻击),由此,提高了网络安全性。
附图说明
图1所示为根据本发明的实施例的基于浏览器脚本行为的入侵检测方法。
图2所示为根据本发明的实施例的动态执行字节码的方法。
图3所示为根据本发明的实施例的比较第一传输数据和第二传输数据的方法。
图4所示为根据本发明的实施例的基于浏览器脚本行为的入侵检测装置。
图5所示为根据本发明的实施例的动态执行模块的结构图。
图6所示为根据本发明的实施例的第一比较模块的结构图。
具体实施方式
以下将对本发明的实施例给出详细的说明。尽管本发明将结合一些具体实施方式进行阐述和说明,但需要注意的是本发明并不仅仅只局限于这些实施方式。相反,对本发明进行的修改或者等同替换,均应涵盖在本发明的权利要求范围当中。
另外,为了更好的说明本发明,在下文的具体实施方式中给出了众多的具体细节。本领域技术人员将理解,没有这些具体细节,本发明同样可以实施。在另外一些实例中,对于大家熟知的方法、流程、元件和电路未作详细描述,以便于凸显本发明的主旨。
图1所示为根据本发明的实施例的基于浏览器脚本行为的入侵检测方法100。XSS(Cross Site Scripting,跨站脚本)攻击和CSRF(Cross-site Request Forgery,跨站请求伪造)攻击的特点在于在没有得到用户授权的情况下,利用浏览器脚本将用户的信息(例如:身份安全信息)传输到远程网站,做恶意操作。入侵检测方法100将根据这一攻击特点进行识别检测工作。
在步骤102中,读取当前浏览器的脚本代码。在步骤104中,对该脚本代码进行语法分析,以得到表示该脚本代码语法树的语法数据。在步骤106中,根据该语法数据生成与该语法树对应的字节码。也就是说,在步骤102至106中,入侵检测方法100将脚本代码转换为当前处理器可执行的机器码。
在步骤108中,静态检测该字节码,以找到与污点数据库中的污点数据相匹配的污点信息。在一个实施例中,污点数据库存储了用户或管理员自行设定的敏感信息。例如,由于用户的身份信息最容易被盗取,污点数据库存储了用户的信息。这些信息包括用户身份信息、账号密码、地理位置和浏览记录等。在其他的实施例中,污点信息也可以包括其他信息。在步骤108中,在检测到污点信息以后,可以在对应代码段做标记,也可存储对应污点信息于污点信息存储器。
在步骤110中,动态执行该字节码,并在动态执行的过程中跟踪污点信息的传输路径,以得到第一传输数据。第一传输数据包括当前浏览器的传输目的地址和依赖数据。在一个实施例中,第一传输数据的依赖数据包括当前浏览器和各传输点之间传输的多个分散数据片段,所述多个分散数据片段在到达目的地址以后组成数据信息。例如,当执行浏览器的脚本代码时,浏览器需要对传输点传送数据流。传送数据流的形式上可以是在一个代码段连续传送,也可以分散在不同的代码段作分时段的传送,每一个时段传送一个特定数据片段。当所有数据片段均到达目的地址时,该特定数据片段将联合起来形成需要的数据流。依赖数据是指在浏览器的脚本代码中存在的分散的数据片段。步骤110将在图2做进一步描述。
图2所示为根据本发明的实施例的动态执行字节码的方法110。图2是对步骤110的进一步描述。图2的实施例提供了一种倒序的动态执行方法。在步骤202中,读取该字节码的出口代码。在步骤204中,从字节码的出口代码向入口代码遍历执行该字节码,以找到第一传输数据的目的地址和分散在所述字节码各码段的多个数据字段,其中,多个数据字段组成传输数据。在一个实施例中,动态执行方法也可以从入口代码至出口代码作遍历执行,以获取第一传输数据。
回到图1,在步骤112中,根据第一传输数据判断所述污点信息是否传送到非法目的地。例如,如果第一传输数据的目的地址与非法目的数据库存储的地址相匹配,则认为该污点信息传送到非法目的地。
在步骤114中,如果污点信息是传送到非法目的地,则将该污点信息标记为可疑信息,此时,流程图100进入步骤116。否则,认为该污点信息正常,不再对该污点信息执行步骤116至120。
在步骤116中,检测与所述浏览器互换可疑信息的传输点,以获取表示传输点的第二传输数据,第二传输数据包括传输点的目的地数据和依赖数据。
在步骤118中,比较第一传输数据和第二传输数据。在步骤120中,根据比较的结果判断脚本代码是否是恶意脚本。步骤118和120将在图3中作进一步描述。
图3所示为根据本发明的实施例的比较第一传输数据和第二传输数据的方法118。图3是对步骤118和120的进一步描述。在步骤302中,比较第二传输数据中的依赖数据和可疑信息。在步骤304中,如果依赖数据包括与可疑信息相匹配的信息(说明污点数据会发送到该传输点),则进入步骤306,进一步比较第一传输数据的目的地址和第二传输数据的目的地址。在步骤304中,如果依赖数据没有包括与可疑信息相匹配的信息(说明污点数据不会发送到该传输点),则进入步骤311。
在步骤308中,如果步骤306中的比较结果表示传输点和所述浏览器不同源(例如,第一传输数据的目的地址与第二传输数据的目的地址不匹配),则说明浏览器的脚本行为会将可疑信息传输到非法目的地,此时,判定所述脚本代码为恶意代码。否则,流程图118进入步骤311。在步骤311中,判断是否所有的可疑信息都进行了验证。如果所有的可疑信息均验证,则进入步骤312,所述脚本代码为正常脚本。否则,流程图118进入302,继续验证下一可疑信息。
优点在于,入侵检测方法100可以有效的检测出脚本代码中蕴含的恶意代码(例如,诸如CSRF这样的通过冒充用户权限将用户信息传送到网络中作越权操作的恶意攻击),由此,提高了网络安全性。
图4所示为根据本发明的实施例的基于浏览器脚本行为的入侵检测装置400。入侵检测装置400包括第一读取模块402、字节码生成模块404、静态检测模块406、动态执行模块408、第一判断模块410、传输点检测模块412和第一比较模块414。
第一读取模块402读取浏览器的脚本代码。字节码生成模块404对脚本代码进行语法分析,以得到表示脚本代码语法树的语法数据,并根据语法数据生成与语法树对应的字节码。静态检测模块406对字节码进行静态检测,以找到与污点数据库中的污点数据相匹配的污点信息。在一个实施例中,污点信息包括浏览器的用户身份信息。动态执行模块408动态执行字节码,并在动态执行的过程中跟踪污点信息的传输路径,以得到第一传输数据,第一传输数据包括浏览器的传输目的地址和依赖数据。在一个实施例中,第一传输数据的依赖数据包括浏览器和传输点之间传输的多个分散数据片段,该多个分散数据片段在到达目的地址以后组成数据信息。
第一判断模块410根据第一传输数据判断污点信息是否传送到非法目的地,其中,如果污点信息是传送到非法目的地,则将污点信息标记为可疑信息。传输点检测模块406检测与浏览器互换可疑信息的传输点,以获取表示传输点的第二传输数据,第二传输数据包括传输点的目的地数据和依赖数据。第一比较模块414比较第一传输数据和第二传输数据,并根据比较的结果判断脚本代码是否是恶意脚本。
图5所示为根据本发明的实施例的动态执行模块408的结构图。在一个实施例中,动态执行模块408包括第二读取模块502和传输数据检测模块504。第二读取模块502读取字节码的出口代码。传输数据检测模块504从字节码的出口代码向入口代码遍历执行,以找到发往第一传输数据的目的地址和分散在字节码各码段的多个数据字段,其中,多个数据字段组成第一传输数据。
图6所示为根据本发明的实施例的第一比较模块414的结构图。在一个实施例中,第一比较模块414包括第二比较模块602、第三比较模块604和第二判断模块606。第二比较模块602比较第二传输数据中的依赖数据和可疑信息。如果依赖数据包括与可疑信息相匹配的信息,第三比较模块604比较第一传输数据的目的地址和第二传输数据的目的地址。如果传输点和浏览器不同源,第二判断模块606判定所述脚本代码为恶意代码。
优点在于,入侵检测装置400可以有效的检测出脚本代码中蕴含的恶意代码(例如,诸如CSRF这样的通过冒充用户权限将用户信息传送到网络中作越权操作的恶意攻击),由此,提高了网络安全性。
上文具体实施方式和附图仅为本发明之常用实施例。显然,在不脱离权利要求书所界定的本发明精神和发明范围的前提下可以有各种增补、修改和替换。本领域技术人员应该理解,本发明在实际应用中可根据具体的环境和工作要求在不背离发明准则的前提下在形式、结构、布局、比例、材料、元素、组件及其它方面有所变化。因此,在此披露之实施例仅用于说明而非限制,本发明之范围由后附权利要求及其合法等同物界定,而不限于此前之描述。
Claims (10)
1.一种浏览器的入侵检测方法,其特征在于,所述入侵检测方法包括以下步骤:
读取所述浏览器的脚本代码;
对所述脚本代码进行语法分析,以得到表示所述脚本代码语法树的语法数据;
根据所述语法数据生成与所述语法树对应的字节码;
静态检测所述字节码,以找到与污点数据库中的污点数据相匹配的污点信息;
动态执行所述字节码,并在所述动态执行的过程中跟踪所述污点信息的传输路径,以得到第一传输数据,所述第一传输数据包括所述浏览器的传输目的地址和依赖数据;
根据所述第一传输数据判断所述污点信息是否传送到非法目的地;
如果所述污点信息是传送到非法目的地,则将所述污点信息标记为可疑信息;
检测与所述浏览器互换所述可疑信息的传输点,以获取表示所述传输点的第二传输数据,所述第二传输数据包括所述传输点的目的地数据和依赖数据;
比较所述第一传输数据和所述第二传输数据;以及
根据所述比较的结果判断所述脚本代码是否是恶意脚本。
2.根据权利要求1所述的浏览器的入侵检测方法,其特征在于,所述第一传输数据的依赖数据包括所述浏览器和所述传输点之间传输的多个分散数据片段,所述多个分散数据片段在到达目的地址以后组成数据信息。
3.根据权利要求2所述的浏览器的入侵检测方法,其特征在于,所述比较所述第一传输数据和所述第二传输数据的步骤还包括:
比较所述第二传输数据中的依赖数据和所述可疑信息;
如果所述依赖数据包括与所述可疑信息相匹配的信息,则比较所述第一传输数据的目的地址和所述第二传输数据的目的地址;以及
如果所述比较结果表示所述传输点和所述浏览器不同源,则判定所述脚本代码为恶意代码。
4.根据权利要求1所述的浏览器的入侵检测方法,其特征在于,所述污点信息包括所述浏览器的用户身份信息、账号密码、地理位置和浏览记录。
5.根据权利要求1或2或3或4所述的浏览器的入侵检测方法,其特征在于,所述动态执行所述代码的步骤还包括:
读取所述字节码的出口代码;以及
从所述字节码的出口代码向入口代码遍历执行所述字节码,以找到第一传输数据的目的地址和分散在所述字节码各码段的多个数据字段,其中,所述多个数据字段组成所述传输数据。
6.一种浏览器的入侵检测装置,其特征在于,所述入侵检测装置包括:
第一读取模块,用于读取所述浏览器的脚本代码;
字节码生成模块,用于对所述脚本代码进行语法分析,以得到表示所述脚本代码语法树的语法数据,并根据所述语法数据生成与所述语法树对应的字节码;
静态检测模块,用于静态检测所述字节码,以找到与污点数据库中的污点数据相匹配的污点信息;
动态执行模块,用于动态执行所述字节码,并在所述动态执行的过程中跟踪所述污点信息的传输路径,以得到第一传输数据,所述第一传输数据包括所述浏览器的传输目的地址和依赖数据;
第一判断模块,用于根据所述第一传输数据判断所述污点信息是否传送到非法目的地,其中,如果所述污点信息是传送到非法目的地,则将所述污点信息标记为可疑信息;
传输点检测模块,检测与所述浏览器互换所述可疑信息的传输点,以获取表示所述传输点的第二传输数据,所述第二传输数据包括所述传输点的目的地数据和依赖数据;以及
第一比较模块,用于比较所述第一传输数据和所述第二传输数据,并根据所述比较的结果判断所述脚本代码是否是恶意脚本。
7.根据权利要求6所述的浏览器的入侵检测装置,其特征在于,所述第一传输数据的依赖数据包括所述浏览器和所述传输点之间传输的多个分散数据片段,所述多个分散数据片段在到达目的地址以后组成数据信息。
8.根据权利要求7所述的浏览器的入侵检测装置,其特征在于,所述第一比较模块还包括:
第二比较模块,用于比较所述第二传输数据中的依赖数据和所述可疑信息;
第三比较模块,如果所述依赖数据包括与所述可疑信息相匹配的信息,则比较所述第一传输数据的目的地址和所述第二传输数据的目的地址;以及
第二判断模块,如果所述比较结果表示所述传输点和所述浏览器不同源,所述判断模块判定所述脚本代码为恶意代码。
9.根据权利要求6所述的浏览器的入侵检测装置,其特征在于,所述污点信息包括所述浏览器的用户身份信息、账号密码、地理位置和浏览记录。
10.根据权利要求6或7或8或9所述的浏览器的入侵检测装置,其特征在于,所述动态执行模块还包括:
第二读取模块,用于读取所述字节码的出口代码;以及
传输数据检测模块,用于从所述字节码的出口代码向入口代码遍历执行所述字节码,以找到发往所述第一传输数据的目的地址和分散在所述字节码各码段的多个数据字段,其中,所述多个数据字段组成所述第一传输数据。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410516038.4A CN104268474A (zh) | 2014-09-30 | 2014-09-30 | 一种基于浏览器脚本行为的入侵检测方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410516038.4A CN104268474A (zh) | 2014-09-30 | 2014-09-30 | 一种基于浏览器脚本行为的入侵检测方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN104268474A true CN104268474A (zh) | 2015-01-07 |
Family
ID=52159995
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410516038.4A Pending CN104268474A (zh) | 2014-09-30 | 2014-09-30 | 一种基于浏览器脚本行为的入侵检测方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN104268474A (zh) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104933364A (zh) * | 2015-07-08 | 2015-09-23 | 中国科学院信息工程研究所 | 一种基于调用行为的恶意代码自动化同源判定方法及系统 |
CN105791261A (zh) * | 2015-12-28 | 2016-07-20 | 华为技术有限公司 | 一种跨站脚本攻击的检测方法和检测设备 |
CN106709290A (zh) * | 2016-12-16 | 2017-05-24 | 江苏通付盾科技有限公司 | 一种应用安全性分析方法及装置 |
CN106850591A (zh) * | 2017-01-13 | 2017-06-13 | 北京蓝海讯通科技股份有限公司 | 数据标记装置和方法 |
CN107682343A (zh) * | 2017-10-18 | 2018-02-09 | 杭州白客安全技术有限公司 | 基于网络包动态污点分析技术的低误报率ids/ips |
CN109190372A (zh) * | 2018-07-09 | 2019-01-11 | 四川大学 | 一种基于字节码的JavaScript恶意代码检测模型 |
CN109462583A (zh) * | 2018-10-31 | 2019-03-12 | 南京邮电大学 | 一种基于静态和动态相结合的反射型漏洞检测方法 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102156832A (zh) * | 2011-03-25 | 2011-08-17 | 天津大学 | 一种Firefox扩展的安全缺陷检测方法 |
US20110239294A1 (en) * | 2010-03-29 | 2011-09-29 | Electronics And Telecommunications Research Institute | System and method for detecting malicious script |
-
2014
- 2014-09-30 CN CN201410516038.4A patent/CN104268474A/zh active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20110239294A1 (en) * | 2010-03-29 | 2011-09-29 | Electronics And Telecommunications Research Institute | System and method for detecting malicious script |
CN102156832A (zh) * | 2011-03-25 | 2011-08-17 | 天津大学 | 一种Firefox扩展的安全缺陷检测方法 |
Non-Patent Citations (2)
Title |
---|
张曾科: "《计算机网络》", 28 February 2003, 清华大学出版社 * |
秦英: ""基于行为的跨站脚本攻击检测技术研究与实现"", 《中国优秀硕士学位论文全文数据库 信息科技辑》 * |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104933364A (zh) * | 2015-07-08 | 2015-09-23 | 中国科学院信息工程研究所 | 一种基于调用行为的恶意代码自动化同源判定方法及系统 |
CN104933364B (zh) * | 2015-07-08 | 2018-06-19 | 中国科学院信息工程研究所 | 一种基于调用行为的恶意代码自动化同源判定方法及系统 |
CN105791261A (zh) * | 2015-12-28 | 2016-07-20 | 华为技术有限公司 | 一种跨站脚本攻击的检测方法和检测设备 |
CN106709290A (zh) * | 2016-12-16 | 2017-05-24 | 江苏通付盾科技有限公司 | 一种应用安全性分析方法及装置 |
CN106850591A (zh) * | 2017-01-13 | 2017-06-13 | 北京蓝海讯通科技股份有限公司 | 数据标记装置和方法 |
CN106850591B (zh) * | 2017-01-13 | 2019-08-02 | 北京蓝海讯通科技股份有限公司 | 数据标记装置和方法 |
CN107682343A (zh) * | 2017-10-18 | 2018-02-09 | 杭州白客安全技术有限公司 | 基于网络包动态污点分析技术的低误报率ids/ips |
CN107682343B (zh) * | 2017-10-18 | 2020-08-14 | 杭州白客安全技术有限公司 | 基于网络包动态污点分析技术的低误报率入侵检测方法 |
CN109190372A (zh) * | 2018-07-09 | 2019-01-11 | 四川大学 | 一种基于字节码的JavaScript恶意代码检测模型 |
CN109462583A (zh) * | 2018-10-31 | 2019-03-12 | 南京邮电大学 | 一种基于静态和动态相结合的反射型漏洞检测方法 |
CN109462583B (zh) * | 2018-10-31 | 2021-04-20 | 南京邮电大学 | 一种基于静态和动态相结合的反射型漏洞检测方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104268474A (zh) | 一种基于浏览器脚本行为的入侵检测方法及装置 | |
US10102372B2 (en) | Behavior profiling for malware detection | |
KR101890272B1 (ko) | 보안이벤트 자동 검증 방법 및 장치 | |
US11212305B2 (en) | Web application security methods and systems | |
Blum et al. | Lexical feature based phishing URL detection using online learning | |
Bin et al. | A DNS based anti-phishing approach | |
Athulya et al. | Towards the detection of phishing attacks | |
WO2012101623A1 (en) | Web element spoofing prevention system and method | |
Choudhary et al. | Comparative analysis of mobile phishing detection and prevention approaches | |
CN104301314B (zh) | 一种基于浏览器标签属性的入侵检测方法及装置 | |
Naresh et al. | Intelligent phishing website detection and prevention system by using link guard algorithm | |
Praitheeshan et al. | Attainable hacks on Keystore files in Ethereum wallets—A systematic analysis | |
Singh et al. | Detection and prevention of phishing attack using dynamic watermarking | |
Mishra et al. | Intelligent phishing detection system using similarity matching algorithms | |
Nisa et al. | Security provision for protecting intelligent sensors and zero touch devices by using blockchain method for the smart cities | |
Varshney et al. | Malicious browser extensions: A growing threat: A case study on Google Chrome: Ongoing work in progress | |
Gupta et al. | Alleviating the proliferation of JavaScript worms from online social network in cloud platforms | |
Khurana et al. | A systematic analysis on mobile application software vulnerabilities: Issues and challenges | |
Satter et al. | Vulnerabilities assessment of emerging web-based services in developing countries | |
Wadkar et al. | Prevention of information leakages in a web browser by monitoring system calls | |
Namasivayam | Categorization of Phishing Detection Features and Using the Feature Vectors to Classify Phishing Websites | |
Choi et al. | ELPA: emulation-based linked page map analysis for the detection of drive-by download attacks | |
Patel | Design and Implementation of Heuristic based Phishing detection technique | |
Rahamathunnisa et al. | Preventing from phishing attack by implementing url pattern matching technique in web | |
US20220174093A1 (en) | Phishing website detection by checking form differences followed by false credentials submission |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20150107 |