CN107872463A - 一种web邮件xss攻击检测方法及相关装置 - Google Patents

Abstract

本发明实施例提供一种WEB邮件XSS攻击检测方法及相关装置，涉及网络安全领域。该方法包括：获取网络数据包；解析网络数据包，并过滤得到WEB邮件网络数据包；从WEB邮件网络数据包中提取参数信息，参数信息包括URL、COOKIE、Agent以及邮件内容；解码参数信息，将解码后的参数信息与XSS特征库内对应种类的参数通过正则表达式进行匹配；若匹配满足预设规则，则判定WEB邮件网络数据包具有XSS攻击行为。通过提取参数信息，并进行解码，依据并与预设的XSS数据库分类对比，判断是否具有XSS攻击，不会遗漏编码后的关键字，检测更为准确，相比于传统的检测手段，有效地提高了检测结果的准确性和可靠性。

Description

一种WEB邮件XSS攻击检测方法及相关装置

技术领域

本发明涉及网络安全领域，具体而言，涉及一种WEB邮件XSS攻击检测方法及相关装置。

背景技术

邮件攻击一直以来是信息安全界研究的重点课题之一，邮件伴随着互联网的产生就一直使用至今，并且使用热度一直经久不衰，邮件依然是大部分企业信息及文件传输的主要方式，邮件传输的个人信息越来越多，越来越重要。随着科技的不断发展，对邮件不再采用原始的方式进行攻击，攻击方式在不断更新，变得更隐蔽，影响后果更严重。

现有的检测WEB邮件XSS攻击的方法都是基于关键字脚本对邮件进行检测的，这种检测方式会造成较高的误报率。因此，人们更需要一个更有效和更准确的检测WEB邮件XSS攻击的方法来为大家营造一个安全的邮件信息交互的环境。

发明内容

有鉴于此，本发明实施例的目的在于提供一种WEB邮件XSS攻击检测方法及相关装置，以改善上述问题。

本发明实施例提供一种WEB邮件XSS攻击检测方法，所述方法包括：获取网络数据包；解析所述网络数据包，并过滤得到WEB邮件网络数据包；从所述WEB邮件网络数据包中提取参数信息，所述参数信息包括URL、COOKIE、Agent以及邮件内容；解码所述参数信息，将解码后的参数信息与XSS特征库内对应种类的参数通过正则表达式进行匹配；若匹配满足预设规则，则判定所述WEB邮件网络数据包具有XSS攻击行为。

优选的，所述解析所述网络数据包，并过滤得到WEB邮件网络数据包的步骤之后还包括：将源IP、目的IP、源端口、目的端口及协议类型相同的WEB邮件网络数据包重新组成流数据并保存。

优选的，若所述WEB邮件网络数据包具有XSS攻击行为，将WEB邮件网络数据包的相关信息进行记录，所述相关信息包括源IP地址、目的IP地址、源MAC地址、目的MAC地址，并依据所述相关信息定位攻击源和受攻击者。

优选的，所述从所述WEB邮件网络数据包中提取参数信息的步骤之后还包括：解码所述参数信息，并提取出引用页和主机地址；将所述引用页与预存储的邮件地址名单比对，若所述引用页与所述邮件地址名单中的邮件服务器地址相匹配，则将所述主机地址与所述邮件服务器地址比对，若所述主机地址与所述邮件服务器地址不同，则判定所述WEB邮件网络数据包具有XSS攻击行为。

本发明实施例还提供一种WEB邮件XSS攻击检测装置，所述装置包括：捕获模块，用于获取网络数据包；过滤模块，用于解析所述网络数据包，并过滤得到WEB邮件网络数据包；第一提取模块，用于从所述WEB邮件网络数据包中提取参数信息，所述参数信息包括URL、COOKIE、Agent以及邮件内容；匹配模块，用于解码所述参数信息，将解码后的参数信息与XSS特征库内对应种类的参数通过正则表达式进行匹配；判定模块，用于若匹配满足预设规则，则判定所述WEB邮件网络数据包具有XSS攻击行为。

优选的，还包括缓存模块，用于将源IP、目的IP、源端口、目的端口及协议类型相同的WEB邮件网络数据包重新组成流数据并保存。

优选的，还包括定位模块，用于若所述WEB邮件网络数据包具有XSS攻击行为，将WEB邮件网络数据包的相关信息进行记录，所述相关信息包括源IP地址、目的IP地址、源MAC地址、目的MAC地址，并依据所述相关信息定位攻击源和受攻击者。

优选的，还包括：第二提取模块，用于解码所述参数信息，并提取出引用页和主机地址；比对模块，用于将所述引用页与预存储的邮件地址名单比对，若所述引用页与所述邮件地址名单中的邮件服务器地址相匹配，则将所述主机地址与所述邮件服务器地址比对；所述判定模块还用于若所述主机地址与所述邮件服务器地址不同，则判定所述WEB邮件网络数据包具有XSS攻击行为。

本发明实施例还提供一种电子设备，包括：一个或多个处理器；存储器，用于存储一个或多个程序，当所述一个或多个程序被所述一个或多个处理器执行时，使得所述一个或多个处理器实现如上任一所述的WEB邮件XSS攻击检测方法。

本发明实施例还提供一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如上任一所述的WEB邮件XSS攻击检测方法。

与现有技术相比，本发明实施例提供一种WEB邮件XSS攻击检测方法及相关装置，所述方法包括获取网络数据包；解析所述网络数据包，并过滤得到WEB邮件网络数据包；从所述WEB邮件网络数据包中提取参数信息，所述参数信息包括URL、COOKIE、Agent以及邮件内容；解码所述参数信息，将解码后的参数信息与XSS特征库内对应种类的参数通过正则表达式进行匹配；若匹配满足预设规则，则判定所述WEB邮件网络数据包具有XSS攻击行为。通过提取URL、COOKIE、Agent以及邮件内容等参数信息，并进行解码，依据并与预设的XSS数据库分类对比，判断是否具有XSS攻击，不会遗漏编码后的关键字，检测更为准确，相比于传统的检测手段，有效地提高了检测结果的准确性和可靠性。

为使本发明的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本发明的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1为本发明实施例提供的WEB邮件XSS攻击检测方法的应用环境图。

图2为本发明第一实施例提供的WEB邮件XSS攻击检测方法的流程图。

图3为本发明第二实施例提供的WEB邮件XSS攻击检测方法的流程图。

图4为本发明第三实施例提供的电子设备的结构示意图。

图5为本发明第三实施例提供的WEB邮件XSS攻击检测装置的功能模块示意图。

图标：10-电子设备；101-处理器；102-存储器；103-总线；104-通信接口；200-WEB邮件XSS攻击检测装置；201-捕获模块；202-过滤模块；203-第一提取模块；204-匹配模块；205-判定模块；206-缓存模块；207-定位模块；208-第二提取模块；209-比对模块。

具体实施方式

下面将结合本发明实施例中附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。因此，以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围，而是仅仅表示本发明的选定实施例。基于本发明的实施例，本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。同时，在本发明的描述中，术语“第一”、“第二”等仅用于区分描述，而不能理解为指示或暗示相对重要性。

请参考图1，为本发明实施例提供的WEB邮件XSS攻击检测方法的应用环境图。本实施例的WEB邮件XSS攻击检测方法应用在电子设备中，该电子设备可以是如图1的服务器，用于在用户利用个人计算机上网，和外网(如以太网)进行数据交互时，利用交换机拷贝个人计算机和外网交互的数据，通过服务器对拷贝的数据进行XSS攻击行为的检测。其中，WEB邮件指通过网络服务器收取或发送的邮件，XSS攻击指跨站脚本攻击(Cross SiteScripting，简称XSS)。

第一实施例

请参考图2，是本发明第一实施例提供的WEB邮件XSS攻击检测方法的流程图。需要提到的是，本发明所述的方法不以图2及以下所示的具体顺序为限制。下面将对图2所示的具体流程及步骤进行详细阐述，所述WEB邮件XSS攻击检测方法包括：

步骤S101，获取网络数据包。

利用如图1中配置的带有端口镜像功能的交换机，将交换机外网流量口的数据完全拷贝一份。具体的，将镜像数据线的一端插在拷贝数据的端口，另一端插在执行本实施例的WEB邮件XSS攻击检测方法的服务器上，该服务器即可在个人计算机和外网交互的数据中获取网络数据包。

步骤S102，解析所述网络数据包，并过滤得到WEB邮件网络数据包。

对捕获到的网络数据包进行协议解析，可以预先配置邮件读取或者发送的起始包特征，通过URL的特征字符串进行筛选，过滤得到WEB邮件网络数据包。其中，统一资源定位符(Uniform Resource Locator，简称URL)是对可以从互联网上得到的资源的位置和访问方法的一种简洁的表示，是互联网上标准资源的地址，互联网上的每个文件都有一个唯一的URL。

由于获取的每个WEB邮件网络数据包均携带有IP地址、MAC地址、端口等，本实施例的WEB邮件XSS攻击检测方法在步骤S102之后还可以包括：将源IP、目的IP、源端口、目的端口及协议类型相同的WEB邮件网络数据包重新组成流数据并保存，优选的，保存在同一缓存或文件中。

步骤S103，从所述WEB邮件网络数据包中提取参数信息。

将缓存或文件中所存储WEB邮件网络数据包进行数据分析，提取其中的参数信息，所述参数信息包括URL，COOKIE，Agent、邮件发件人、收件人、邮件内容及附件等信息提取出来，保存在数据库中。COOKIE指某些网站为了辨别用户身份、进行会话标识跟踪而储存在用户本地终端上的数据，Agent指软件程序中的代理。

步骤S104，解码所述参数信息，将解码后的参数信息与XSS特征库内对应种类的参数通过正则表达式进行匹配。

实时从数据库提取参数信息，并进行解码。攻击者在通过XSS攻击时会将关键字进行编码，以躲避攻击检测工具的检测，故首先对参数信息进行解码。然后与XSS特征库内对应种类的参数通过正则表达式(Regular Expression，简称regex或RE)进行匹配。例如，提取的是URL，则将该URL与XSS特征库的URL特征进行匹配，若提取的是COOKIE，则将该COOKIE与XSS特征库的COOKIE特征进行匹配，对应的服务器可以将提取的参数信息的种类与XSS特征库内的对应种类的参数进行特征匹配。所述XSS特征库为预先建立的数据库，包括已经统计的具有XSS攻击行为的特征，所述XSS特征库可以属于该服务器，也可以与服务器通信连接，以便服务器调用所述XSS特征库内的数据。

步骤S105，解码后的参数信息与XSS特征库内对应种类的参数是否匹配？

例如，若提取的是URL，则判断该URL与XSS特征库的URL特征是否匹配？若提取的是COOKIE，则判断该COOKIE与XSS特征库的COOKIE特征是否匹配？若解码后的参数信息与XSS特征库内对应种类的参数不匹配，则结束；若匹配，则执行步骤S108。另外，对于参数信息的种类为邮件附件时，可以将邮件附件放入文件检测系统，通过沙箱检测方式检测附件是否正常。

步骤S108，判定所述WEB邮件网络数据包具有XSS攻击行为。

若解码后的参数信息与XSS特征库内对应种类的参数匹配，说明该WEB邮件网络数据内存在具有XSS攻击行为的特征，判定所述WEB邮件网络数据包具有XSS攻击行为。

另外，在其他具体实施方式中，在步骤S108之后还可以包括：如果该WEB邮件网络数据包具有XSS攻击行为，将相关信息进行记录，相关信息包括源IP地址、目的IP地址、源MAC地址、目的MAC地址，并以此来定位攻击源和受攻击者。

第二实施例

请参考图3，是本发明第二实施例提供的WEB邮件XSS攻击检测方法的流程图。本实施例的WEB邮件XSS攻击检测方法与第一实施例的区别在于，本实施例的WEB邮件XSS攻击检测方法还包括步骤S106、步骤S107和步骤S108。需要提到的是，WEB邮件XSS攻击检测方法中，步骤S106、步骤S107和步骤S108可以相对于步骤S104和步骤S105独立进行，也可以在步骤S104和步骤S105之前或之后执行。即是说，WEB邮件XSS攻击检测方法可以按照如图3所示的顺序执行，还可以的是，步骤S106、步骤S107和步骤S108在步骤S105之后执行或步骤S106、步骤S107和步骤S108在步骤S104之前执行，如此可以实现两种方式XSS攻击检测方式的组合判断，更为准确。

下面以步骤S106、步骤S107和步骤S108相对于步骤S104和步骤S105单独执行的实施方式进行详细描述：

步骤S101，获取网络数据包。

步骤S102，解析所述网络数据包，并过滤得到WEB邮件网络数据包。

步骤S103，从所述WEB邮件网络数据包中提取参数信息。

步骤S106，解码所述参数信息，并提取出引用页和主机地址。

将提取的参数信息进行解码，以得到引用页(Referer)和主机地址(HOST)，例如，引用页为：

Referer:http://www.w3school.com.cn/js/js_function.asp，

主机地址为：HOST:qooqleads.q.doubleclick.net。

步骤S107，所述引用页与所述邮件地址名单中的邮件服务器地址是否匹配？

在服务器中，预先存储有邮件地址名单，该邮箱地址名单中包括多个邮箱服务器地址。如果引用页所对应的地址在所述邮件地址名单中，即所述引用页与所述邮件地址名单中的邮件服务器地址相匹配，则执行步骤S108，如果引用页所对应的地址在所述邮件地址名单没有，即所述引用页与所述邮件地址名单中的邮件服务器地址不匹配，则结束。在其他具体实施方式中，所述引用页与所述邮件地址名单中的邮件服务器地址不匹配，则可以执行步骤S104，通过参数信息特征比对的方式检测XSS攻击。

步骤S108，所述主机地址与所述邮件服务器地址是否相同？

当所述引用页与所述邮件地址名单中的邮件服务器地址相匹配时，则将所述主机地址与所述邮件服务器地址进行比对，以此来判断主机地址是否就是引用页所对应的邮件服务器地址。若所述主机地址与所述邮件服务器地址不同，则执行步骤S109，若所述主机地址与所述邮件服务器地址相同，则结束。在其他具体实施方式中，若所述主机地址与所述邮件服务器地址相同，则可以执行步骤S104，通过参数信息特征比对的方式检测XSS攻击。

步骤S109，判定所述WEB邮件网络数据包具有XSS攻击行为。

在其他具体实施方式中，所述步骤S105中，若解码后的参数信息与XSS特征库内对应种类的参数不匹配，还可以依次执行步骤S106、步骤S107、步骤S108，以此通过判断Referer和HOST是否对应同一邮件服务器的方式来判断该WEB邮件网络数据是否具有攻击行为。

第三实施例

请参考图4，是本发明第三实施例提供的电子设备的结构示意图。该电子设备10可以是计算机或其他任意具有数据处理能力的计算设备，如图1所示的服务器，电子设备10包括处理器101，存储器102，总线103和通信接口104，所述处理器101、通信接口104和存储器102通过总线103连接；处理器101用于执行存储器102中存储的可执行模块，例如计算机程序。

其中，存储器102可能包含高速随机存取存储器(RAM：Random Access Memory)，也可能还包括非不稳定的存储器(non-volatile memory)，例如至少一个磁盘存储器。通过至少一个通信接口103(可以是有线或者无线)实现该系统网元与至少一个其他网元之间的通信连接。

总线104可以是ISA总线、PCI总线或EISA总线等。图4中仅用一个双向箭头表示，但并不表示仅有一根总线或一种类型的总线。

其中，存储器102用于存储程序，例如图5所示的WEB邮件XSS攻击检测装置200。该WEB邮件XSS攻击检测装置200包括至少一个可以软件或固件(firmware)的形式存储于所述存储器102中或固化在所述电子设备10的操作系统(operating system，OS)中的软件功能模块。所述处理器101在接收到执行指令后，执行所述程序以实现第一实施例和第二实施例揭示的WEB邮件XSS攻击检测方法。

处理器101可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法的各步骤可以通过处理器101中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器101可以是通用处理器，包括中央处理器(Central Processing Unit，简称CPU)、网络处理器(Network Processor，简称NP)等；还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。

本实施例还提供了一种计算机可读存储介质，其上存储有计算机程序，计算机程序被处理器执行时实现本发明第一实施例、第二实施例所揭示的WEB邮件XSS攻击检测方法。存储介质位于存储器102，处理器101读取存储器102中的信息，结合其硬件完成上述方法的步骤。

请参考图5，是本发明第三实施例提供的WEB邮件XSS攻击检测装置200的功能模块示意图。所述WEB邮件XSS攻击检测装置200存储于存储器102中，并由处理器101执行。所述WEB邮件XSS攻击检测装置200包括捕获模块201、过滤模块202、第一提取模块203、匹配模块204、判定模块205、缓存模块206、定位模块207、第二提取模块208及比对模块209。

所述捕获模块201，用于获取网络数据包。

本发明实施例中，所述捕获模块201可以执行步骤S101。

过滤模块202，用于解析所述网络数据包，并过滤得到WEB邮件网络数据包。

本发明实施例中，所述过滤模块202可以执行步骤S102。

第一提取模块203，用于从所述WEB邮件网络数据包中提取参数信息，所述参数信息包括URL、COOKIE、Agent以及邮件内容。

本发明实施例中，所述第一提取模块203可以执行步骤S103。

匹配模块204，用于解码所述参数信息，将解码后的参数信息与XSS特征库内对应种类的参数通过正则表达式进行匹配。

本发明实施例中，所述匹配模块204可以执行步骤S104。

判定模块205，用于若所述匹配模块204将解码后的参数信息与XSS特征库内对应种类的参数通过正则表达式匹配成功，则判定所述WEB邮件网络数据包具有XSS攻击行为。

本发明实施例中，所述判定模块205可以执行步骤S109。

所述缓存模块206，用于将源IP、目的IP、源端口、目的端口及协议类型相同的WEB邮件网络数据包重新组成流数据并保存。

第二提取模块208，用于解码所述参数信息，并提取出引用页和主机地址。

本发明实施例中，所述第二提取模块208可以执行步骤S106。

比对模块209，用于将所述引用页与预存储的邮件地址名单比对，若所述引用页与所述邮件地址名单中的邮件服务器地址相匹配，则将所述主机地址与所述邮件服务器地址比对。

本发明实施例中，所述比对模块209可以执行步骤S107和步骤S108。

所述判定模块205还用于若所述主机地址与所述邮件服务器地址不同，则判定所述WEB邮件网络数据包具有XSS攻击行为。

本实施例中，所述定位模块207用于若所述WEB邮件网络数据包具有XSS攻击行为，则依据所述WEB邮件网络数据包中的源IP地址、目的IP地址、源MAC地址、目的MAC地址定位攻击源和受攻击者。

综上所述，本发明实施例提供一种WEB邮件XSS攻击检测方法及相关装置，所述方法包括获取网络数据包；解析所述网络数据包，并过滤得到WEB邮件网络数据包；从所述WEB邮件网络数据包中提取参数信息，所述参数信息包括URL、COOKIE、Agent以及邮件内容；解码所述参数信息，将解码后的参数信息与XSS特征库内对应种类的参数通过正则表达式进行匹配；若匹配满足预设规则，则判定所述WEB邮件网络数据包具有XSS攻击行为。通过提取URL、COOKIE、Agent以及邮件内容等参数信息，并进行解码，依据并与预设的XSS数据库分类对比，判断是否具有XSS攻击，不会遗漏编码后的关键字，检测更为准确。将检测出的具有XSS攻击行为的WEB邮件网络数据包的相关信息进行记录，便于下一次该源IP或源端口的XSS攻击行为的检测，提高系统的可用性。另外，还可以通过对比HOST和Referer是否指向同一邮件服务器的方式判断WEB邮件网络数据包是否具有XSS攻击行为，相比于传统的检测手段，有效地提高了检测结果的准确性和可靠性。

在本申请所提供的几个实施例中，应该理解到，所揭露的装置和方法，也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，附图中的流程图和框图显示了根据本发明的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现方式中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

另外，在本发明各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。

所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。

Claims (10)

1.一种WEB邮件XSS攻击检测方法，其特征在于，所述方法包括：

获取网络数据包；

解析所述网络数据包，并过滤得到WEB邮件网络数据包；

从所述WEB邮件网络数据包中提取参数信息，所述参数信息包括URL、COOKIE、Agent以及邮件内容；

解码所述参数信息，将解码后的参数信息与XSS特征库内对应种类的参数通过正则表达式进行匹配；

若匹配满足预设规则，则判定所述WEB邮件网络数据包具有XSS攻击行为。

2.根据权利要求1所述的WEB邮件XSS攻击检测方法，其特征在于，所述解析所述网络数据包，并过滤得到WEB邮件网络数据包的步骤之后还包括：

将源IP、目的IP、源端口、目的端口及协议类型相同的WEB邮件网络数据包重新组成流数据并保存。

3.根据权利要求2所述的WEB邮件XSS攻击检测方法，其特征在于，若所述WEB邮件网络数据包具有XSS攻击行为，将WEB邮件网络数据包的相关信息进行记录，所述相关信息包括源IP地址、目的IP地址、源MAC地址、目的MAC地址，并依据所述相关信息定位攻击源和受攻击者。

4.根据权利要求1至3任一所述的WEB邮件XSS攻击检测方法，其特征在于，所述从所述WEB邮件网络数据包中提取参数信息的步骤之后还包括：

解码所述参数信息，并提取出引用页和主机地址；

将所述引用页与预存储的邮件地址名单比对，若所述引用页与所述邮件地址名单中的邮件服务器地址相匹配，则将所述主机地址与所述邮件服务器地址比对，若所述主机地址与所述邮件服务器地址不同，则判定所述WEB邮件网络数据包具有XSS攻击行为。

5.一种WEB邮件XSS攻击检测装置，其特征在于，所述装置包括：

捕获模块，用于获取网络数据包；

过滤模块，用于解析所述网络数据包，并过滤得到WEB邮件网络数据包；

第一提取模块，用于从所述WEB邮件网络数据包中提取参数信息，所述参数信息包括URL、COOKIE、Agent以及邮件内容；

匹配模块，用于解码所述参数信息，将解码后的参数信息与XSS特征库内对应种类的参数通过正则表达式进行匹配；

判定模块，用于若匹配满足预设规则，则判定所述WEB邮件网络数据包具有XSS攻击行为。

6.根据权利要求5所述的WEB邮件XSS攻击检测装置，其特征在于，还包括缓存模块，用于将源IP、目的IP、源端口、目的端口及协议类型相同的WEB邮件网络数据包重新组成流数据并保存。

7.根据权利要求6所述的WEB邮件XSS攻击检测装置，其特征在于，还包括定位模块，用于若所述WEB邮件网络数据包具有XSS攻击行为，将WEB邮件网络数据包的相关信息进行记录，所述相关信息包括源IP地址、目的IP地址、源MAC地址、目的MAC地址，并依据所述相关信息定位攻击源和受攻击者。

8.根据权利要求5至7任一所述的WEB邮件XSS攻击检测装置，其特征在于，还包括：

第二提取模块，用于解码所述参数信息，并提取出引用页和主机地址；

比对模块，用于将所述引用页与预存储的邮件地址名单比对，若所述引用页与所述邮件地址名单中的邮件服务器地址相匹配，则将所述主机地址与所述邮件服务器地址比对；

所述判定模块还用于若所述主机地址与所述邮件服务器地址不同，则判定所述WEB邮件网络数据包具有XSS攻击行为。

9.一种电子设备，其特征在于，包括：

一个或多个处理器；

存储器，用于存储一个或多个程序，

当所述一个或多个程序被所述一个或多个处理器执行时，使得所述一个或多个处理器实现如权利要求1-4中任一所述的方法。

10.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，该计算机程序被处理器执行时实现如权利要求1-4中任一所述的方法。