CN112769792B

CN112769792B - 一种isp攻击检测方法、装置、电子设备及存储介质

Info

Publication number: CN112769792B
Application number: CN202011612734.7A
Authority: CN
Inventors: 范敦球; 李文瑾; 吴铁军; 王蕴佳
Original assignee: Nsfocus Technologies Inc; Nsfocus Technologies Group Co Ltd
Current assignee: Nsfocus Technologies Inc; Nsfocus Technologies Group Co Ltd
Priority date: 2020-12-30
Filing date: 2020-12-30
Publication date: 2023-05-02
Anticipated expiration: 2040-12-30
Also published as: CN112769792A

Abstract

本发明公开了一种ISP攻击检测方法、装置、电子设备及存储介质，所述方法包括：获取当前浏览的第一网页的第一文档对象模型DOM信息；获取预先保存的白名单中所述第一网页的第二DOM信息，判断所述第一DOM信息和所述第二DOM信息是否相同；如果是，确定所述第一网页不存在ISP攻击，如果否，确定所述第一网页存在ISP攻击。本发明实施例提供的ISP攻击检测方法不需要安全人员分析页面内容，解决了现有技术检测ISP攻击耗时耗力的问题，并且检测效率大大提高。

Description

一种ISP攻击检测方法、装置、电子设备及存储介质

技术领域

本发明涉及网络安全技术领域，尤其涉及一种ISP攻击检测方法、装置、电子设备及存储介质。

背景技术

网络劫持攻击一般分为两种，一个是域名系统DNS劫持攻击，一个是运营商ISP(Internet Service Provider)劫持攻击(后统称ISP攻击)。对于DNS劫持攻击来讲，攻击者通过对用户DNS服务器的恶意修改，把用户要访问的网站引到一个虚假地址的网站上，从而盗取用户的各类个人敏感信息。目前，已经有很多成熟的手段和产品去防护和检测这类攻击手段。但是对于ISP攻击来讲，攻击者可能是某个中间人黑客，也有可能是某个运营商ISP。并且，这种ISP攻击，是以插入广告的形式去获得非法牟利。从甄别角度上来讲，比较困难。目前，对于ISP攻击的检测是一个空白，没有一个规范的方法和手段。都是由安全人员自己去分析访问的页面内容来检测是否发生ISP攻击。这种方法耗时耗力，检测效率低。并且ISP攻击又是一个很严重且普遍的现象。所以对于ISP攻击检测的研究是十分必要的。

发明内容

本发明实施例提供了一种ISP攻击检测方法、装置、电子设备及存储介质，用以解决现有技术检测ISP攻击耗时耗力，检测效率低的问题。

本发明实施例提供了一种ISP攻击检测方法，所述方法包括：

获取当前浏览的第一网页的第一文档对象模型DOM信息；

获取预先保存的白名单中所述第一网页的第二DOM信息，判断所述第一DOM信息和所述第二DOM信息是否相同；

如果是，确定所述第一网页不存在ISP攻击，如果否，确定所述第一网页存在ISP攻击。

进一步地，所述获取当前浏览的第一网页的第一DOM信息包括：

当接收到ISP攻击检测请求，获取所述当前浏览的第一网页的第一DOM信息；或者当判断所述当前浏览的第一网页为预先保存的网页时，获取所述当前浏览的第一网页的第一DOM信息。

进一步地，所述获取当前浏览的第一网页的第一DOM信息之后，判断所述第一DOM信息和所述第二DOM信息是否相同之前，所述方法还包括：

对所述第一DOM信息进行哈希计算，得到第一哈希值；

所述判断所述第一DOM信息和所述第二DOM信息是否相同包括：

判断预先保存的白名单中所述第二DOM信息对应的第二哈希值与所述第一哈希值是否相同；其中，所述第二哈希值是预先对所述第二DOM信息进行哈希计算得到的。

进一步地，所述对所述第一DOM信息进行哈希计算，得到第一哈希值包括：

对所述第一DOM信息中的第一DOM结构信息进行哈希计算，得到第三哈希值，对所述第一DOM信息中的每个第一JavaScript文件对应的响应信息进行哈希计算，得到每个第四哈希值；所述第一哈希值包含所述第三哈希值和所述每个第四哈希值；

所述判断预先保存的白名单中所述第二DOM信息对应的第二哈希值与所述第一哈希值是否相同包括：

判断预先保存的白名单中所述第二DOM信息对应的第五哈希值和每个第六哈希值是否分别与所述第三哈希值和所述每个第四哈希值对应相同；其中，所述第五哈希值是预先对所述第二DOM信息中的第二DOM结构信息进行哈希计算得到的；所述每个第六哈希值是预先对所述第二DOM信息中的每个第二JavaScript文件对应的响应信息进行哈希计算得到的。

进一步地，所述确定所述第一网页存在ISP攻击之后，所述方法还包括：

获取所述第一DOM信息中的每个第一标签信息，根据所述每个第一标签信息的出现频率生成第一频率字典；

获取所述预先保存的白名单中所述第二DOM信息对应的第二频率字典，其中，所述第二频率字典是根据所述第二DOM信息中的每个第二标签信息的出现频率生成的；

根据所述第一频率字典和第二频率字典的并集与交集的差，确定ISP攻击标签信息。

进一步地，所述获取所述第一DOM信息中的每个第一标签信息之后，根据所述每个第一标签信息的出现频率生成第一频率字典之前，所述方法还包括：

针对所述每个第一标签信息，判断该第一标签信息是否存在子标签信息，如果是，滤除该第一标签信息；

其中，所述第二频率字典是根据所述第二DOM信息中的不存在子标签信息的每个第二标签信息的出现频率生成的。

进一步地，所述方法还包括：

根据预设的标签信息与攻击等级的对应关系，确定所述ISP攻击标签信息对应的最高攻击等级，并输出包含最高攻击等级的提示信息。

另一方面，本发明实施例提供了一种运营商ISP攻击检测装置，所述装置包括：

获取模块，用于获取当前浏览的第一网页的第一文档对象模型DOM信息；

判断模块，用于获取预先保存的白名单中所述第一网页的第二DOM信息，判断所述第一DOM信息和所述第二DOM信息是否相同；

第一确定模块，用于如果所述判断模块的判断结果为是，确定所述第一网页不存在ISP攻击，如果所述判断模块的判断结果为否，确定所述第一网页存在ISP攻击。

进一步地，所述获取模块，具体用于当接收到ISP攻击检测请求，获取所述当前浏览的第一网页的第一DOM信息；或者当判断所述当前浏览的第一网页为预先保存的网页时，获取所述当前浏览的第一网页的第一DOM信息。

进一步地，所述装置还包括：

计算模块，用于对所述第一DOM信息进行哈希计算，得到第一哈希值；

所述判断模块，具体用于判断预先保存的白名单中所述第二DOM信息对应的第二哈希值与所述第一哈希值是否相同；其中，所述第二哈希值是预先对所述第二DOM信息进行哈希计算得到的。

进一步地，所述计算模块，具体用于对所述第一DOM信息中的第一DOM结构信息进行哈希计算，得到第三哈希值，对所述第一DOM信息中的每个第一JavaScript文件对应的响应信息进行哈希计算，得到每个第四哈希值；所述第一哈希值包含所述第三哈希值和所述每个第四哈希值；

所述判断模块，具体用于判断预先保存的白名单中所述第二DOM信息对应的第五哈希值和每个第六哈希值是否分别与所述第三哈希值和所述每个第四哈希值对应相同；其中，所述第五哈希值是预先对所述第二DOM信息中的第二DOM结构信息进行哈希计算得到的；所述每个第六哈希值是预先对所述第二DOM信息中的每个第二JavaScript文件对应的响应信息进行哈希计算得到的。

进一步地，所述装置还包括：

第二确定模块，用于获取所述第一DOM信息中的每个第一标签信息，根据所述每个第一标签信息的出现频率生成第一频率字典；获取所述预先保存的白名单中所述第二DOM信息对应的第二频率字典，其中，所述第二频率字典是根据所述第二DOM信息中的每个第二标签信息的出现频率生成的；根据所述第一频率字典和第二频率字典的并集与交集的差，确定ISP攻击标签信息。

进一步地，所述装置还包括：

滤除模块，用于针对所述每个第一标签信息，判断该第一标签信息是否存在子标签信息，如果是，滤除该第一标签信息；

进一步地，所述装置还包括：

输出模块，用于根据预设的标签信息与攻击等级的对应关系，确定所述ISP攻击标签信息对应的最高攻击等级，并输出包含最高攻击等级的提示信息。

另一方面，本发明实施例提供了一种电子设备，包括处理器、通信接口、存储器和通信总线，其中，处理器，通信接口，存储器通过通信总线完成相互间的通信；

存储器，用于存放计算机程序；

处理器，用于执行存储器上所存放的程序时，实现上述任一项所述的方法步骤。

另一方面，本发明实施例提供了一种计算机可读存储介质，所述计算机可读存储介质内存储有计算机程序，所述计算机程序被处理器执行时实现上述任一项所述的方法步骤。

本发明实施例提供了一种ISP攻击检测方法、装置、电子设备及存储介质，所述方法包括：获取当前浏览的第一网页的第一文档对象模型DOM信息；获取预先保存的白名单中所述第一网页的第二DOM信息，判断所述第一DOM信息和所述第二DOM信息是否相同；如果是，确定所述第一网页不存在ISP攻击，如果否，确定所述第一网页存在ISP攻击。

上述的技术方案具有如下优点或有益效果：

考虑到ISP攻击的攻击者插入不属于访问网站的广告从而获得牟利。插入广告的方式包括通过插入额外的HTML代码，比如<img>等去实现对于非法图片的加载，也可以通过修改现存的<img>里src内容去实现对非法图片的加载；或者通过修改或添加CSS代码和JS代码可以实现非法广告窗口的弹出。通过以上分析发现ISP攻击会导致页面结构的改变，从而改变DOM信息。基于此，本发明实施例中，电子设备获取当前浏览的第一网页的第一DOM信息，并且获取保存的白名单中所述第一网页的第二DOM信息，当第一DOM信息和第二DOM信息相同时，说明当前浏览的第一网页的DOM信息未改变，此时确定第一网页不存在ISP攻击，当第一DOM信息和第二DOM信息不相同时，说明当前浏览的第一网页的DOM信息改变，此时确定第一网页存在ISP攻击。本发明实施例提供的ISP攻击检测方法不需要安全人员分析页面内容，解决了现有技术检测ISP攻击耗时耗力的问题，并且检测效率大大提高。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简要介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的ISP攻击检测过程示意图；

图2为本发明实施例提供的ISP攻击检测系统结构图；

图3为本发明实施例提供的在一致性查询中的示例图；

图4为本发明实施例提供的在差异性查询中的示例图；

图5为本发明实施例提供的在差异性查询中的另一示例图；

图6为本发明实施例提供的在差异性查询中的结果返回示例图；

图7为本发明实施例提供的对于个人用户的ISP检测系统结构图；

图8为本发明实施例提供的对于企业的ISP检测系统结构图；

图9为本发明实施例提供的ISP攻击检测装置结构示意图；

图10为本发明实施例提供的电子设备结构示意图。

具体实施方式

下面将结合附图对本发明作进一步地详细描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

实施例1：

图1为本发明实施例提供的一种运营商ISP攻击检测过程示意图，包括以下步骤：

S101：获取当前浏览的第一网页的第一文档对象模型DOM信息。

S102：获取预先保存的白名单中所述第一网页的第二DOM信息，判断所述第一DOM信息和所述第二DOM信息是否相同，如果是，进行S103，如果否，进行S104。

S103：确定所述第一网页不存在ISP攻击。

S104：确定所述第一网页存在ISP攻击。

本发明实施例提供的运营商ISP攻击检测方法应用于电子设备，该电子设备可以是具有防护功能的网关设备、平板电脑、PC等设备。

在本发明实施例中，将当前浏览的网页称为第一网页，将第一网页的文档对象模型DOM(Document Object Model)信息称为第一DOM信息。电子设备可以获取第一网页的第一DOM信息。

电子设备预先保存有白名单，白名单中记录有安全网页及对应的DOM信息。电子设备获取到当前浏览的第一网页的第一DOM信息之后，获取白名单中所述第一网页的第二DOM信息。然后判断第一DOM信息和第二DOM信息是否相同。其中，DOM信息提供了整个文档的访问模型，将文档作为一个树形结构，树的每个结点表示了一个HTML标签或标签内的文本项。因此，在判断第一DOM信息和第二DOM信息是否相同时，可以判断第一DOM信息和第二DOM信息中的每个HTML标签以及标签内的文本项是否相同。如果第一DOM信息和第二DOM信息中的每个HTML标签以及标签内的文本项都相同，则说明第一DOM信息和第二DOM信息相同，否则说明第一DOM信息和第二DOM信息不相同。如果第一DOM信息和第二DOM信息相同，确定第一网页不存在ISP攻击，如果第一DOM信息和第二DOM信息不相同，确定第一网页存在ISP攻击。

由于在本发明实施例中，考虑到ISP攻击的攻击者插入不属于访问网站的广告从而获得牟利。插入广告的方式包括通过插入额外的HTML代码，比如<img>等去实现对于非法图片的加载，也可以通过修改现存的<img>里src内容去实现对非法图片的加载；或者通过修改或添加CSS代码和JS代码可以实现非法广告窗口的弹出。通过以上分析发现ISP攻击会导致页面结构的改变，从而改变DOM信息。基于此，本发明实施例中，电子设备获取当前浏览的第一网页的第一DOM信息，并且获取保存的白名单中所述第一网页的第二DOM信息，当第一DOM信息和第二DOM信息相同时，说明当前浏览的第一网页的DOM信息未改变，此时确定第一网页不存在ISP攻击，当第一DOM信息和第二DOM信息不相同时，说明当前浏览的第一网页的DOM信息改变，此时确定第一网页存在ISP攻击。本发明实施例提供的ISP攻击检测方法不需要安全人员分析页面内容，解决了现有技术检测ISP攻击耗时耗力的问题，并且检测效率大大提高。

实施例2：

为了降低ISP攻击检测的功耗，在上述实施例的基础上，在本发明实施例中，所述获取当前浏览的第一网页的第一DOM信息包括：

在本发明实施例中，用户浏览网页时，可以主动发起ISP攻击检测请求，电子设备接收到ISP攻击检测请求后，获取当前浏览的第一网页的第一DOM信息，并进行后续的ISP攻击检测的过程。或者是电子设备可以预先保存需要进行ISP攻击检测的网页，以保证这些网页的安全使用，电子设备首先判断当前浏览的第一网页为预先保存的网页，如果是，则获取当前浏览的第一网页的第一DOM信息，并进行后续的ISP攻击检测的过程，否则不进行ISP攻击检测的过程。

其中，用户使用个人计算机浏览网页时，可以主动发起ISP攻击检测请求，电子设备接收到ISP攻击检测请求后，进行后续的ISP攻击检测的过程。如果需要保护一些特定的网页时，电子设备可以预先保存需要进行ISP攻击检测的网页，电子设备首先判断当前浏览的第一网页为预先保存的网页，如果是，进行后续的ISP攻击检测的过程，否则不进行ISP攻击检测的过程。

由于在本发明实施例中，当接收到ISP攻击检测请求，获取当前浏览的第一网页的第一DOM信息；或者当判断所述当前浏览的第一网页为预先保存的网页时，获取当前浏览的第一网页的第一DOM信息。降低了ISP攻击检测的功耗，同时对一些网页实现了针对性的检测。

实施例3：

为了提高ISP攻击检测的效率，在上述各实施例的基础上，在本发明实施例中，所述获取当前浏览的第一网页的第一DOM信息之后，判断所述第一DOM信息和所述第二DOM信息是否相同之前，所述方法还包括：

对所述第一DOM信息进行哈希计算，得到第一哈希值；

所述判断所述第一DOM信息和所述第二DOM信息是否相同包括：

电子设备获取当前浏览的第一网页的第一DOM信息之后，对第一DOM信息进行哈希计算，得到第一哈希值。并且电子设备也预先对白名单中每个DOM信息进行哈希计算得到了对应的哈希值。在本发明实施例中，将预先对第二DOM信息进行哈希计算得到的哈希值称为第二哈希值。然后通过判断第二哈希值与第一哈希值是否相同来检测第一网页是否存在ISP攻击。具体的，当第二哈希值与第一哈希值相同时，确定第一网页不存在ISP攻击，当第二哈希值与第一哈希值不相同时，确定第一网页存在ISP攻击。

由于在本发明实施例中，通过比较第一DOM信息对应的第一哈希值和第二DOM信息对应的第二哈希值是否相同来检测是否存在ISP攻击。相较于判断第一DOM信息和第二DOM信息中的每个HTML标签以及标签内的文本项是否相同来检测是否存在ISP攻击，提高了检测效率。

实施例4：

为了在保证ISP攻击检测效率的同时，提高检测的准确性，在上述各实施例的基础上，在本发明实施例中，所述对所述第一DOM信息进行哈希计算，得到第一哈希值包括：

DOM信息包括DOM结构信息和每个JavaScript文件(后称JS文件)对应的响应信息。为了提高检测的准确性，在本发明实施例中，对第一DOM信息中的第一DOM结构信息进行哈希计算，得到第三哈希值，对第一DOM信息中的每个第一JavaScript文件对应的响应信息进行哈希计算，得到每个第四哈希值，其中，第一哈希值包含第三哈希值和每个第四哈希值。需要说明的是，也可以对DOM信息中的其它信息进行哈希计算得到对应的哈希值，并包含于第一哈希值中，也就是说，本发明实施例中不限定第一哈希值仅包含第三哈希值和每个第四哈希值。

另外，电子设备预先针对白名单中的每个DOM信息，也对该DOM信息中的DOM结构信息进行哈希计算得到对应的哈希值；对该DOM信息中的每个JavaScript文件对应的响应信息进行哈希计算得到对应的每个哈希值。

在本发明实施例中，判断预先保存的白名单中第二DOM信息对应的第五哈希值和每个第六哈希值是否分别与第三哈希值和每个第四哈希值对应相同；其中，第五哈希值是预先对所述第二DOM信息中的第二DOM结构信息进行哈希计算得到的；每个第六哈希值是预先对所述第二DOM信息中的每个第二JavaScript文件对应的响应信息进行哈希计算得到的。如果第五哈希值和第三哈希值相同，并且每个第六哈希值和每个第四哈希值对应相同，此时确定第一网页不存在ISP攻击，否则确定第一网页存在ISP攻击。

需要说明的是，在获取JavaScript文件对应的响应信息时，需要对HTTP连接的JavaScript文件的路径做个fetch(JavaScript的一种发送数据包的方法)，把整个返回的response内容作为响应信息，对响应信息进行哈希计算，得出相应的哈希值。

由于在本发明实施例中，分别对DOM信息中的DOM结构信息和每个第一JavaScript文件对应的响应信息进行哈希计算，并比较得到的哈希值与白名单中的哈希值进行比较，相较于仅对DOM信息对应的哈希值进行比较，提高了ISP攻击检测的准确性。

实施例5：

为了对ISP攻击进行定位，在上述各实施例的基础上，在本发明实施例中，所述确定所述第一网页存在ISP攻击之后，所述方法还包括：

在本发明实施例中，电子设备检测出存在ISP攻击之后，获取第一DOM信息中的每个第一标签信息，并根据每个第一标签信息的出现频率生成第一频率字典。并且电子设备获取预先保存的白名单中第二DOM信息对应的第二频率字典，其中，第二频率字典是根据所述第二DOM信息中的每个第二标签信息的出现频率生成的。然后计算第一频率字典和第二频率字典的并集与交集的差，计算结果得到的标签信息即为ISP攻击标签信息。

由于在本发明实施例中，通过标签信息的频率字典确定出ISP攻击标签信息，实现了对ISP攻击进行定位，并且为后续的ISP攻击防护提供了便利。

实施例6：

为了避免对ISP攻击进行定位过程中信息冗余，在上述各实施例的基础上，在本发明实施例中，所述获取所述第一DOM信息中的每个第一标签信息之后，根据所述每个第一标签信息的出现频率生成第一频率字典之前，所述方法还包括：

在本发明实施例中，如果定位得到的ISP攻击标签信息存在子标签信息，那么所有的子标签信息也都会认为是ISP攻击标签信息，这样会造成标签信息的冗余，为了避免上述问题，在本发明实施例中，获取第一DOM信息中的每个第一标签信息之后，判断该第一标签信息是否存在子标签信息，如果是，滤除该第一标签信息，然后根据保留的每个第一标签信息的出现频率生成第一频率字典。同样的，电子设备预先确定根据第二DOM信息中的每个第二标签信息的出现频率生成第二频率字典时，也是根据第二DOM信息中的不存在子标签信息的每个第二标签信息的出现频率生成的。

在本发明实施例中，根据第一DOM信息中的不存在子标签信息的每个第一标签信息的出现频率生成第一频率字典，根据第二DOM信息中的不存在子标签信息的每个第二标签信息的出现频率生成第二频率字典，然后再根据第一频率字典和第二频率字典的并集与交集的差，确定ISP攻击标签信息。这样可以避免ISP攻击标签信息的冗余。其中，本发明实施例中的标签信息包括标签名称信息、标签属性信息和标签内容信息。

实施例7：

为了进一步提高用户体验，在上述各实施例的基础上，在本发明实施例中，所述方法还包括：

在本发明实施例中，电子设备可以保存预设的标签信息与攻击等级的对应关系，例如JS文件相关的标签信息对应的攻击等级最高，为高级攻击，弹出窗口相关的标签信息对应的攻击等级次之，为中级攻击，图片相关的标签信息对应的攻击等级为中级攻击，其它标签信息对应的攻击等级最低，为低级攻击。电子设备确定ISP攻击标签信息之后，根据预设的标签信息与攻击等级的对应关系，确定ISP攻击标签信息对应的最高攻击等级，并输出包含最高攻击等级的提示信息。例如确定ISP攻击标签信息中包括JS文件相关的标签信息，则输出包含高级攻击的提示信息，如果确定ISP攻击标签信息中不包括JS文件相关的标签信息，包括弹出窗口相关的标签信息，则输出包含中级攻击的提示信息。其中，提示信息可以是文字信息等。

下面通过具体的示例对ISP攻击检测过程进行详细说明。本发明实施例用于检测用户的网络环境是否遭受ISP攻击。

首先，ISP攻击是攻击者控制了你的流线，目的是插入不属于访问网站的广告，从而获得牟利。实现插入广告的方法有很多，比如常见的有：插入非法图片：通过插入额外的HTML代码，比如<img>等去实现对于非法图片的加载。也可以通过修改现存的<img>里src内容去实现对非法图片的加载。插入非法弹出窗口：通过修改或添加CSS代码和JS代码可以实现非法广告窗口的弹出，一般多见于屏幕右下角的弹出小窗口。这些的插入方法都会导致一种结果，就是对页面结构的改变，从而影响DOM树的结构。插入或删除操作，可以导致DOM树节点(nodes)的变化。修改文件内容，可以导致DOM树内容的变化。所以，本发明实施例的核心思路是，通过检测DOM信息的变化，用统计的方法，得出当前浏览网页的目标DOM信息与白名单中对应的网页的DOM信息进行差异性判断，最终去判定用户的网络是否发生了ISP攻击。

本发明实施例有两套实施方案，一个是面向企业，一个是面向个人用户。二者都是由电子设备获取安全的DOM信息，获取和存储安全的DOM信息得到白名单。白名单成为参照物，与用户访问的页面的DOM信息进行差异性判断，从而检测是否出现ISP攻击。在本发明实施例中，电子设备可以是部署在云端的服务器，服务器通过云端访问网站并获取和存储安全的DOM信息得到白名单。

在商业用网中，随着科技的进步，商家已经能够将服务器放在云端，这样不但可以减少维护和管理的成本，同时也有很高的灵活性。本发明实施例提供的用于ISP检测的电子设备(包括服务器)也可以附属在同样的云端里，这样本发明实施例提供的服务器与商家的服务器的通信，属于云内部通信，点对点隧道加密，为此可以保证本发明实施例提供的服务器与商家的服务器的通信是不会被劫持的，即使商家的网站是基于HTTP的。如图2所示，用户(商家服务器)可以通过运营商访问网站，也可以通过运营商与安全厂商(本发明实施例提供的服务器)进行通信。

在一些其他单位用网中，一部分网站的服务器也采用放在云中，这样与上述情况一致。还有一部分用网的服务器采用自己的服务器，对于这样的服务器，需要用点对点的方式获取健康的DOM信息。采用哈希(hash)效用的方法确保DOM信息的安全性。单位对自己的DOM信息进行哈希运算，并发给安全厂商，安全厂商根据获得的DOM信息进行哈希运算，并与之作对比，确保一致性。

在本发明实施例中，对ISP攻击的等级进行划分。攻击手段包括修改代码和插入代码两种方式，每一种都包括img(图片)相关标签信息，pop-up windows(弹出窗口)相关标签信息,js(JavaScript文件)相关标签信息,other elements其它标签信息元素。攻击等级划分例如下表所示：

风险等级评估	插入	修改
			JS file	高	高
Pop-up windows	中	中
			img	中	中
Other elements	中低	低

电子设备确定ISP攻击标签信息之后，根据预设的标签信息与攻击等级的对应关系，确定ISP攻击标签信息对应的最高攻击等级，并输出包含最高攻击等级的提示信息。

本发明实施例提供的ISP检测过程包括一致性查询和差异性查询。其中，一致性查询的作用是查询两个DOM信息是否相同，差异性查询的作用是定位哪些标签信息是存在差异的，存在差异的标签信息为ISP攻击标签信息。

在一致性查询中，以图3为例进行说明。一个是对于HTML的查询，一个是对于JS文件的内容查询。HTML查询中，DOM结构信息是个object(对象)，对整个Object(对象)做个Hash(哈希)计算，得出DOM结构信息的Hash值。则有Hash(DOM_obj)。if Hash(DOM_target)＝＝Hash(DOM_reference)，则表示预先保存的白名单中所述第二DOM信息对应的第五哈希值和对第一DOM信息中的第一DOM结构信息进行哈希计算，得到第三哈希值相同。在JS查询中，要对JS文件里的具体内容做审核。但是从document.documentElement中，并没有方法可以读出JS文件的内容。所以，我们对HTTP连接的JavaScript文件的路径做个fetch(JavaScript的一种发送数据包的方法)，把整个返回的response(响应)内容做个Hash校验，得出相应的Hash值。对于每个JS文件都要做次操作。为了判断所有JS文件的一致性，可以分别判断每个JS文件对应的哈希值与白名单中是否对应一致，也可以是把这些JS文件Hash值相加，最终结果用来验证。即

n表示JS文件的数量；JS表示JS文件；JS_k则为第k个JS文件。最终，只有两部分(即HTML与JS)得到的哈希值与白名单中对应的网页的哈希值都一致的时候，我们可以确定用户访问的网页是没有发生ISP攻击的。反之，则可能存在差异性。需要进行下一步差异性查询。需要说明的是，在JS文件的一致性查询中，也可以把JS文件，一个个的拿出来，对每个一次做hash(fetch(JS_k))的操作，并对每次操作的结果都进行一致性对比，一旦发现差异，则直接进入下一步差异性查询。

在差异性查询中，需要提取属性document.documentElement.nodeName，document.documentElement.attributes和document.documentElement.innerHTML。如图4所示，nodeName用来查看标签的名称，比如，在某一节点<div id＝’xx’class＝“…”>中，nodeName的结果就是DIV。attributes是用来看节点里的属性，比如，在某一节点<img id＝’cover’class＝’img’src＝’cover.jpg’href＝’http://xxx.xxx.xxx’>中，attributes的结果为id＝’cover’class＝’img’src＝’cover.jpg’href＝’http://xxx.xxx.xxx’。如图5所示，innerHTML则是标签内容信息，比如，在某一节点<p id＝’hh’>你好</p>中，innerHTML的结果是“你好”。

因为innerHTML的结果会把所有子类的结果都返回。如图6所示，所以为了避免造成过多信息的冗余，我们只对childElementCount为0的标签进行innerHTML查询。不为0的innerHTML结果则设为null。childElementCount为0的标签为不存在子标签信息的标签。

差异性查询中，我们用类似BoW(bag of words)的统计模型，对DOM树进行统计。其中，关键词是由上述三个属性组成。如：

T1＝{“key1”:value,“key2”:value,“key3”:value,…}

其中有：

Key1＝[nodeName₁,attributes₁,innerHTML₁]

Key2＝[nodeName₂,attributes₂,innerHTML₂]

Key3＝[nodeName₃,attributes₃,innerHTML₃]

…

key是三个属性的组合，value则是对应key的数量。

接着，对两个DOM信息(目标DOM信息，白名单对应的DOM信息)进行频率的表示。得出字典T1(用户访问网站返回的DOM信息的标签频率字典)和T2(白名单中对应的DOM信息的标签频率字典)。

差异性的查询，利用并集-交集的算法去实现，有：

(T1∪T2)-(T1∩T2)

最终，从上述算法的结果可以得出ISP攻击标签信息。并根据最高威胁等级返回结果。由于网站可能存在cache，可能存在客户服务端更新不统一。所以我们可以选择性的忽略低风险标签信息。

本发明实施例中，对于个人用户，采用白名单+用户主动检测的方法。首先，关于白名单。ISP攻击可能发生在所有的HTTP流量上，或者是对于某些特定的HTTP网站。所以，安全厂商可以在白名单里收集先对这些特定的网站进行DOM树的收集。这些网站我们称之为A级。剩下的可以对比经常访问的HTTP网站进行DOM树的结构收集。这样的网站我们称之为B级。所有这些网站的TREE都保存在白名单中。关于用户的主动检测。用户发起检测网络请求后，会在白名单中随机选中若干网站中A级和B级中。比如共拿出10个网站。用户会对这10个网页发起HTTP request。返回的10个response后，把DOM树的结构做hash，并发到服务器端。与服务器端白名单中对应的安全的DOM树的hash做验证，并返回结果。

对于企业，安全厂商以保证企业为前提，为企业提供的安全网络服务，采用网络探针+白名单的方法。首先，对于这套实施的白名单，名单中是储存购买安全厂商服务的企业。把这些企业的DOM树信息进行收集和储存。对于云内的企业，安全厂商可以通过云内访问获得DOM树信息。对于云外部的企业，比如一些政府网站，需要他们自己提供健康的DOM树信息。关于网络探针，安全厂商在ISP与个人用户之间部署网络探针(可以理解成，到达个人计算机之前的地方部署)。并且把白名单中的信息分布给所有探针。当个人用户在浏览网页的时候，如果访问的流量存在自己保护的企业客户时，则获取到ISP返回给个人用户的DOM树信息，与白名单中的相应DOM树做验证，并返回结果。

图7为对于个人用户的ISP检测系统结构图，如图7，首先，安全厂商保存有一个白名单，里面预存着重要网站和云内更新不频繁网站的DOM信息。用户(个人计算机)安装安全厂商的产品，发起主动的网络检测。根据安全厂商的情报分析，标记了经常访问的网站Website1～3.并且标记了作为重点保护的网站government website。用户发起的检测，经过ISP，对着这四个网站发出请求request。用户得到这4个网站的DOM信息，并且用专门的点对点方式发给安全厂商。安全厂商得到用户发来的DOM信息，便从自己的白名单中找到对应的DOM信息进行一致性查询。对于有些服务器在云内的，安全厂商可以通过实时访问，得到最新的DOM信息。最终，验证结果返回给用户。

图8为对于企业的ISP检测系统结构图，如图8，首先，企业购买安全厂商提供的网络服务，并对其提供自己的DOM信息。安全厂商储存这些信息到白名单。安全厂商在到达用户之前的网络上部署网络探针(图8中的network probe)。并且把自己的白名单信息共享给探针。识别用户的流量，如果存在自己保护的企业，则对其DOM信息进行提取，与白名单中的进行对比验证。比如，web1、web2和government web购买了安全厂商的网络服务，当用户在访问图中所有的网站时，探针只对这三个网络进行验证和检测，不会对web3的流量进行保护。对存在ISP攻击的网络，把结果返回给用户与企业。

实施例8：

图9为本发明实施例提供的ISP攻击检测装置结构示意图，该装置包括：

获取模块91，用于获取当前浏览的第一网页的第一文档对象模型DOM信息；

判断模块92，用于获取预先保存的白名单中所述第一网页的第二DOM信息，判断所述第一DOM信息和所述第二DOM信息是否相同；

第一确定模块93，用于如果所述判断模块的判断结果为是，确定所述第一网页不存在ISP攻击，如果所述判断模块的判断结果为否，确定所述第一网页存在ISP攻击。

所述获取模块91，具体用于当接收到ISP攻击检测请求，获取所述当前浏览的第一网页的第一DOM信息；或者当判断所述当前浏览的第一网页为预先保存的网页时，获取所述当前浏览的第一网页的第一DOM信息。

所述装置还包括：

计算模块94，用于对所述第一DOM信息进行哈希计算，得到第一哈希值；

所述判断模块92，具体用于判断预先保存的白名单中所述第二DOM信息对应的第二哈希值与所述第一哈希值是否相同；其中，所述第二哈希值是预先对所述第二DOM信息进行哈希计算得到的。

所述计算模块94，具体用于对所述第一DOM信息中的第一DOM结构信息进行哈希计算，得到第三哈希值，对所述第一DOM信息中的每个第一JavaScript文件对应的响应信息进行哈希计算，得到每个第四哈希值；所述第一哈希值包含所述第三哈希值和所述每个第四哈希值；

所述判断模块92，具体用于判断预先保存的白名单中所述第二DOM信息对应的第五哈希值和每个第六哈希值是否分别与所述第三哈希值和所述每个第四哈希值对应相同；其中，所述第五哈希值是预先对所述第二DOM信息中的第二DOM结构信息进行哈希计算得到的；所述每个第六哈希值是预先对所述第二DOM信息中的每个第二JavaScript文件对应的响应信息进行哈希计算得到的。

所述装置还包括：

第二确定模块95，用于获取所述第一DOM信息中的每个第一标签信息，根据所述每个第一标签信息的出现频率生成第一频率字典；获取所述预先保存的白名单中所述第二DOM信息对应的第二频率字典，其中，所述第二频率字典是根据所述第二DOM信息中的每个第二标签信息的出现频率生成的；根据所述第一频率字典和第二频率字典的并集与交集的差，确定ISP攻击标签信息。

所述装置还包括：

滤除模块96，用于针对所述每个第一标签信息，判断该第一标签信息是否存在子标签信息，如果是，滤除该第一标签信息；

所述装置还包括：

输出模块97，用于根据预设的标签信息与攻击等级的对应关系，确定所述ISP攻击标签信息对应的最高攻击等级，并输出包含最高攻击等级的提示信息。

实施例9：

在上述各实施例的基础上，本发明实施例中还提供了一种电子设备，如图10所示，包括：处理器301、通信接口302、存储器303和通信总线304，其中，处理器301，通信接口302，存储器303通过通信总线304完成相互间的通信；

所述存储器303中存储有计算机程序，当所述程序被所述处理器301执行时，使得所述处理器301执行如下步骤：

获取当前浏览的第一网页的第一文档对象模型DOM信息；

基于同一发明构思，本发明实施例中还提供了一种电子设备，由于上述电子设备解决问题的原理与ISP攻击检测方法相似，因此上述电子设备的实施可以参见方法的实施，重复之处不再赘述。

本发明实施例提供的电子设备具体可以为桌面计算机、便携式计算机、智能手机、平板电脑、个人数字助理(Personal Digital Assistant，PDA)、网络侧设备等。

上述电子设备提到的通信总线可以是外设部件互连标准(Peripheral ComponentInterconnect，PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture，EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示，图中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

通信接口302用于上述电子设备与其他设备之间的通信。

存储器可以包括随机存取存储器(Random Access Memory，RAM)，也可以包括非易失性存储器(Non-Volatile Memory，NVM)，例如至少一个磁盘存储器。可选地，存储器还可以是至少一个位于远离前述处理器的存储装置。

上述处理器可以是通用处理器，包括中央处理器、网络处理器(NetworkProcessor，NP)等；还可以是数字信号处理器(Digital Signal Processing，DSP)、专用集成电路、现场可编程门陈列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。

在本发明实施例中处理器执行存储器上所存放的程序时，实现获取当前浏览的第一网页的第一文档对象模型DOM信息；获取预先保存的白名单中所述第一网页的第二DOM信息，判断所述第一DOM信息和所述第二DOM信息是否相同；如果是，确定所述第一网页不存在ISP攻击，如果否，确定所述第一网页存在ISP攻击。本发明实施例中，电子设备获取当前浏览的第一网页的第一DOM信息，并且获取保存的白名单中所述第一网页的第二DOM信息，当第一DOM信息和第二DOM信息相同时，说明当前浏览的第一网页的DOM信息未改变，此时确定第一网页不存在ISP攻击，当第一DOM信息和第二DOM信息不相同时，说明当前浏览的第一网页的DOM信息改变，此时确定第一网页存在ISP攻击。本发明实施例提供的ISP攻击检测方法不需要安全人员分析页面内容，解决了现有技术检测ISP攻击耗时耗力的问题，并且检测效率大大提高。

实施例10：

在上述各实施例的基础上，本发明实施例还提供了一种计算机存储可读存储介质，所述计算机可读存储介质内存储有可由电子设备执行的计算机程序，当所述程序在所述电子设备上运行时，使得所述电子设备执行时实现如下步骤：

获取当前浏览的第一网页的第一文档对象模型DOM信息；

基于同一发明构思，本发明实施例中还提供了一种计算机可读存储介质，由于处理器在执行上述计算机可读存储介质上存储的计算机程序时解决问题的原理与ISP攻击检测方法相似，因此处理器在执行上述计算机可读存储介质存储的计算机程序的实施可以参见方法的实施，重复之处不再赘述。

上述计算机可读存储介质可以是电子设备中的处理器能够存取的任何可用介质或数据存储设备，包括但不限于磁性存储器如软盘、硬盘、磁带、磁光盘(MO)等、光学存储器如CD、DVD、BD、HVD等、以及半导体存储器如ROM、EPROM、EEPROM、非易失性存储器(NANDFLASH)、固态硬盘(SSD)等。

在本发明实施例中提供的计算机可读存储介质内存储计算机程序，计算机程序被处理器执行时实现获取当前浏览的第一网页的第一文档对象模型DOM信息；获取预先保存的白名单中所述第一网页的第二DOM信息，判断所述第一DOM信息和所述第二DOM信息是否相同；如果是，确定所述第一网页不存在ISP攻击，如果否，确定所述第一网页存在ISP攻击。本发明实施例中，电子设备获取当前浏览的第一网页的第一DOM信息，并且获取保存的白名单中所述第一网页的第二DOM信息，当第一DOM信息和第二DOM信息相同时，说明当前浏览的第一网页的DOM信息未改变，此时确定第一网页不存在ISP攻击，当第一DOM信息和第二DOM信息不相同时，说明当前浏览的第一网页的DOM信息改变，此时确定第一网页存在ISP攻击。本发明实施例提供的ISP攻击检测方法不需要安全人员分析页面内容，解决了现有技术检测ISP攻击耗时耗力的问题，并且检测效率大大提高。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本发明的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。

显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。

Claims

1.一种运营商ISP攻击检测方法，其特征在于，所述方法包括：

获取当前浏览的第一网页的第一文档对象模型DOM信息；

如果是，确定所述第一网页不存在ISP攻击，如果否，确定所述第一网页存在ISP攻击；

所述确定所述第一网页存在ISP攻击之后，所述方法还包括：

根据所述第一频率字典和第二频率字典的并集与交集的差，确定ISP攻击标签信息；

其中，所述第一标签信息和第二标签信息表示为[nodeName，attributes，innerHTML]，其中，nodeName是标签的名称，attributes是标签的属性，innerHTML是标签内容信息。

2.如权利要求1所述的方法，其特征在于，所述获取当前浏览的第一网页的第一DOM信息包括：

3.如权利要求1所述的方法，其特征在于，所述获取当前浏览的第一网页的第一DOM信息之后，判断所述第一DOM信息和所述第二DOM信息是否相同之前，所述方法还包括：

对所述第一DOM信息进行哈希计算，得到第一哈希值；

所述判断所述第一DOM信息和所述第二DOM信息是否相同包括：

4.如权利要求3所述的方法，其特征在于，所述对所述第一DOM信息进行哈希计算，得到第一哈希值包括：

5.如权利要求1所述的方法，其特征在于，所述获取所述第一DOM信息中的每个第一标签信息之后，根据所述每个第一标签信息的出现频率生成第一频率字典之前，所述方法还包括：

6.如权利要求1所述的方法，其特征在于，所述方法还包括：

7.一种运营商ISP攻击检测装置，其特征在于，所述装置包括：

第一确定模块，用于如果所述判断模块的判断结果为是，确定所述第一网页不存在ISP攻击，如果所述判断模块的判断结果为否，确定所述第一网页存在ISP攻击；

所述装置还包括：

第二确定模块，用于获取所述第一DOM信息中的每个第一标签信息，根据所述每个第一标签信息的出现频率生成第一频率字典；获取所述预先保存的白名单中所述第二DOM信息对应的第二频率字典，其中，所述第二频率字典是根据所述第二DOM信息中的每个第二标签信息的出现频率生成的；根据所述第一频率字典和第二频率字典的并集与交集的差，确定ISP攻击标签信息；

8.一种电子设备，其特征在于，包括处理器、通信接口、存储器和通信总线，其中，处理器，通信接口，存储器通过通信总线完成相互间的通信；

存储器，用于存放计算机程序；

处理器，用于执行存储器上所存放的程序时，实现权利要求1-6任一项所述的方法步骤。

9.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质内存储有计算机程序，所述计算机程序被处理器执行时实现权利要求1-6任一项所述的方法步骤。