CN114006746A - 一种攻击检测方法、装置、设备及存储介质 - Google Patents
一种攻击检测方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN114006746A CN114006746A CN202111263747.2A CN202111263747A CN114006746A CN 114006746 A CN114006746 A CN 114006746A CN 202111263747 A CN202111263747 A CN 202111263747A CN 114006746 A CN114006746 A CN 114006746A
- Authority
- CN
- China
- Prior art keywords
- attack
- processed
- information
- judging
- chain
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 59
- 238000004590 computer program Methods 0.000 claims description 11
- 230000000694 effects Effects 0.000 abstract description 2
- 238000000034 method Methods 0.000 description 13
- 238000010586 diagram Methods 0.000 description 3
- 230000006399 behavior Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 239000004973 liquid crystal related substance Substances 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 1
- 230000000295 complement effect Effects 0.000 description 1
- 235000014510 cooky Nutrition 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 230000009191 jumping Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000008447 perception Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种攻击检测方法,包括:识别请求流量中的标签;从标签中确定待处理外链;判断待处理外链是否含有攻击信息;若待处理外链含有攻击信息,则判定请求流量为攻击流量;若待处理外链不含有攻击信息,则判定请求流量为正常流量。可见,在本方案中,若请求流量中含有外链,并不会直接拦截,而是需要检测待处理外链中是否含有攻击信息,若含有攻击信息,才会判定其为攻击流量,需要进行拦截,通过该方式,可以提高XSS外链攻击检测的准确度,降低误判率;本发明还公开了一种攻击检测装置、设备及存储介质,同样能实现上述技术效果。
Description
技术领域
本发明涉及计算机技术领域,更具体地说,涉及一种攻击检测方法、装置、设备及存储介质。
背景技术
跨站脚本攻击(Cross Site Script Attack,XSS)是目前最普遍的Web(WorldWide Web,全球广域网)应用安全漏洞之一。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中,当正常用户访问该页面时,则会导致嵌入的恶意脚本代码执行,从而达到恶意攻击用户的目的。通常在实际的XSS攻击中都会引入外链来扩大攻击,例如:对于标签<scriptsrc=www.xss.cn/1.js>,其尝试到外链www.xss.cn这个网站去获取1.js脚本并执行,从而带来了安全隐患。
目前常见的XSS外链攻击检测技术中,可直接识别请求包中是否引入外链,若检测到外链,则直接拦截该请求包。但是,该检测方式虽然可以检测出较多的外链,但是会带来较多的误判,影响客户的使用。
发明内容
本发明的目的在于提供一种攻击检测方法、装置、设备及存储介质,以提高XSS外链攻击的检测准确度,减少误判。
为实现上述目的,本发明提供的一种攻击检测方法,包括:
识别请求流量中的标签;
从所述标签中确定待处理外链;
判断所述待处理外链是否含有攻击信息;
若所述待处理外链含有攻击信息,则判定所述请求流量为攻击流量;若所述待处理外链不含有攻击信息,则判定所述请求流量为正常流量。
其中,所述从所述标签中确定待处理外链,包括:
利用所述标签的属性及Js代码,确定待处理外链。
其中,所述判断所述待处理外链是否含有攻击信息,包括:
从所述待处理外链中提取目标信息;所述目标信息包括域名及IP地址;
将所述目标信息与情报库中的黑白名单进行匹配;
若所述目标信息在黑名单中,则判定所述待处理外链含有攻击信息,若所述目标信息在白名单中,则判定所述待处理外链不含有攻击信息。
其中,若所述目标信息不在所述黑名单及所述白名单中,则所述攻击检测方法还包括:
检测所述待处理外链中是否包含目标子串;所述目标子串为预先设定的具有攻击特性的危险子串;
若所述述目标信息包含目标子串,则判定所述待处理外链含有攻击信息。
其中,若所述述目标信息不包含目标子串,则所述攻击检测方法还包括:
判断所述标签是否含有绕过特征;
若所述标签含有绕过特征,则判定所述待处理外链含有攻击信息。
其中,所述绕过特征包括:字符串拼接特征和/或字符串赋值特征。
其中,若所述标签不含有绕过特征,则所述攻击检测方法还包括:
获取所述待处理外链引入的目标文件;
判断所述目标文件中是否含有攻击特征;
若含有攻击特征,则判定所述待处理外链含有攻击信息;若不含有攻击特征,则判定所述待处理外链不含有攻击信息。
为实现上述目的,本发明进一步提供一种攻击检测装置,包括:
识别模块,用于识别请求流量中的标签;
确定模块,用于从所述标签中确定待处理外链;
判断模块,用于判断所述待处理外链是否含有攻击信息;
第一判定模块,用于在所述待处理外链含有攻击信息时,判定所述请求流量为攻击流量;
第二判定模块,用于在所述待处理外链不含有攻击信息时,判定所述请求流量为正常流量。
为实现上述目的,本发明进一步提供一种电子设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行计算机程序时实现上述攻击检测方法的步骤。
为实现上述目的,本发明进一步提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述攻击检测方法的步骤。
通过以上方案可知,本发明实施例提供的一种攻击检测方法,包括:识别请求流量中的标签;从标签中确定待处理外链;判断待处理外链是否含有攻击信息;若待处理外链含有攻击信息,则判定请求流量为攻击流量;若待处理外链不含有攻击信息,则判定请求流量为正常流量。
可见,在本方案中,若请求流量中含有外链,并不会直接拦截,而是需要检测待处理外链中是否含有攻击信息,若含有攻击信息,才会判定其为攻击流量,需要进行拦截,通过该方式,可以提高XSS外链攻击检测的准确度,降低误判率;本发明还公开了一种攻击检测装置、设备及存储介质,同样能实现上述技术效果。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例公开的一种攻击检测方法流程示意图;
图2为本发明实施例公开的另一种攻击检测方法流程示意图;
图3为本发明实施例公开的一种攻击检测装置结构示意图;
图4为本发明实施例公开的一种电子设备结构示意图。
具体实施方式
目前,常见的XSS外链攻击检测技术包括基于规则的“一刀切”方法,该方法通常是指:对请求包审计危险特征,如通过规则直接识别出标签引入了外链,则会直接拦截引入外链的标签。例如:基于规则检测出标签:<ahref=www.baidu.com>,并且该标签中具有外链:www.baidu.com,此时会直接拦截该标签。但是,该标签是跳转到百度的标签,并非是具有攻击性质的标签,因此该方法无法避免地会产生大量误报。
因此在本实施例中,公开了一种攻击检测方法、装置、设备及存储介质,以提高XSS外链攻击的检测准确度,减少误判。
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
参见图1,为本发明实施例公开的一种攻击检测方法流程示意图,通过图1可以换看出,该方法具体包括如下步骤:
S101、识别请求流量中的标签;
具体来说,本实施例中的请求流量是指从客户端到服务器端的请求消息,包括:请求行,请求头,请求体等。本实施例中的标签具体是指能引入外链的标签,如:a标签、script标签、img标签、ifram标签等等,在此并不具体限定;本方案可从请求流量中识别上述标签,以便通过对标签中的外链进行检测的方式,判定该请求流量是否为攻击流量。
S102、从标签中确定待处理外链;
在本方案中,外链是指在别的网站导入自己网站的链接,本方案识别出标签后,可利用标签的属性及Js(JavaScript,编程语言)代码确定待处理外链。其中,标签的属性是指html(Hyper Text Markup Language,超文本标记语言)代码中的一个事件属性,如:href、src,识别到上述属性后,其属性的内容即为标签中的链接。
如:标签<a href=baidu.com>中的href为属性,href的等号后的具体链接即为外链,也即:baidu.com为外链;同理,标签<img src=attack.com>中的src为属性,src的等号后的具体链接即为外链,也即:attack.com为外链;标签<script src=xss.com>中的src为属性,src的等号后的具体链接即为外链,也即:xss.com为外链;标签<iframe src=xss123.com>中的src为属性,src的等号后的具体链接即为外链,也即:xss123.com为外链。
并且,XSS攻击的外链还可以通过Js代码进行引入,Js中引入外链的形式相较于通过标签引入复杂些,例如:在标签<script>location.href
='attac'+'k.com'</script>中,可以从Js代码中将'attac'+'k.com'提取出来。需要说明的是,在本实施例中,仅以上述两种识别外链的方式为例对本方案进行说明,但并不局限于此,也可以通过其他方式进行外链的识别和提取。
S103、判断待处理外链是否含有攻击信息;若是,则执行S104;若否,则执行S105;
S104、判定请求流量为攻击流量;
S105、判定请求流量为正常流量。
目前在相关方案中,若请求流量中的标签引入了外链,便会直接将该请求流量作为攻击流量进行拦截,这种方式会出现较多的误判。因此在本实施例中,为了更加准确的检测,需要将外链提取出,作为待处理外链进行检测,以便通过再次检测的方式确定是否需要对请求流量进行拦截。在本实施例中,对待处理外链进行检测,主要是检测待处理外链中是否含有攻击信息,如果含有攻击信息,则判定请求流量为攻击流量,若不含有攻击信息,则判定请求流量为正常流量,通过该方式可提高检测准确度。可以理解的是,在本实施例中,并不对待处理外链是否含有攻击信息的判断方式进行具体限定,可以根据实际需求进行设置。如:可通过黑名单检测待处理外链是否含有攻击信,或者通过白名单检测待处理外链是否含有攻击信,或者直接检测待处理外链中是否含有危险子串的方式确定待处理外链是否含有攻击信等等。
综上可以看出,在本方案中,若请求流量中含有外链,并不会直接拦截,而是需要检测待处理外链中是否含有攻击信息,若含有攻击信息,才会判定其为攻击流量攻击流量,需要进行拦截,通过该方式,可以提高XSS外链攻击检测的准确度,降低误判率。
参见图2,为本发明实施例公开的另一种攻击检测方法流程示意图,通过图2可以换看出,该方法具体包括如下步骤:
S201、识别请求流量中的标签;
S202、从标签中确定待处理外链;
S203、从待处理外链中提取目标信息;目标信息包括域名及IP地址;
S204、将目标信息与情报库中的黑白名单进行匹配;
若目标信息在白名单中,则执行S205;若目标信息在黑名单中,则执行S206;若目标信息不在黑名单及白名单中,则执行S207;
在本实施例中,在判断待处理外链是否含有攻击信息时,可首先从待处理外链中提取目标信息,该目标信息可以是域名,也可以是IP(InternetProtocol,网际互连协议)地址;然后将提取的目标信息与情报库中的黑名单和白名单进行匹配,黑名单中包括黑域名和黑IP地址,白名单中包括白域名和白IP地址;如果目标信息在情报库的黑名单中,则说明待处理外链含有攻击信息,则判定请求流量为攻击流量,如果目标信息在情报库的白名单中,则说明待处理外链不含有攻击信息,则判定请求流量为正常流量。其中,若从Js代码中提取的外链为:'attac'+'k.com',其可经过处理后得到attack.com,然后再与与情报库中的黑白名单进行匹配。
需要说明的是,由于传统的黑白名单比较固定,那么新出现的或者不在黑名单里面的攻击会被绕过,硬编码IP地址也会被绕过,因此在本实施例中,主要使用情报库中的黑名单和白名单对目标信息进行匹配,情报库中的黑名单和白名单均会实时更新,从而通过该情报库中黑白名单,可以准确的判定请求流量为正常流量还是攻击流量。例如:若目标信息为baidu.com,该域名存在于情报库的白名单中,那么便将请求流量判定为正常流量;若目标信息为:attack.com或者IP地址,且该域名或者IP地址存在于黑名单中,那么便将请求流量判定为攻击流量。此外,在本实施例中,若识别到目标信息中的域名具有政府单位或者学校后缀时,可直接认定请求流量为正常流量,如:具有xxx.edu.cn、xxx.gov.cn这种形式的域名即为正常流量。
S205、判定待处理外链不含有攻击信息,判定请求流量为正常流量;
S206、判定待处理外链含有攻击信息,判定请求流量为攻击流量;
S207、检测待处理外链中是否包含目标子串;该目标子串为预先设定的具有攻击特性的危险子串;若是,则执行S206;若否,则执行S208;
需要说明的是,攻击者在创建一个新域名时,通常会包含危险字串,因此在本实施例中,若目标信息既不在黑名单中,也不在白名单中,此时为了进一步检测出该目标信息是否具有攻击信息,可判断待处理外链的域名中是否还有目标子串,该目标子串为预先设定的具有攻击特性的危险子串,如:hack、attack等,因此,若待处理外链中包含目标子串,则判定请求流量为攻击流量;例如:若待处理外链中的域名为:xss123.com,则可从中提取出子串xss,若待处理外链中的域名为:xssabc.cn,则可从中提取出子串xss,然后判断上述域名中的子串是否为目标子串的方式,确定待处理外链是否含有攻击信息。通过方式,即可处理不再黑白名单中的域名,和黑白名单识别形成互补,从而使得本方案具备一定的泛化能力。
S208、判断标签是否含有绕过特征;
若是,则执行S206;若否,则执行S209;
在本实施例中,对于未识别出目标子串的待处理外链,还可以通过检测标签中是否含有绕过特征的方式确认是否具有攻击信息。具体来说,正常客户的流量请求中使用绕过特征的频率极低,该绕过特征包括:字符串拼接特征和/或字符串赋值特征,因此在本方案中,若标签中含有绕过特征,则判定该标签存在绕过行为,判定该待处理外链含有攻击信息,从而大大降低了被绕过的可能。例如:对于标签<script>location.href='attac'+'k.com'</script>,本方案能够从中识别到'attac'+'k.com'使用了+号进行拼接的特征,则判定含有攻击信息;如:标签<script>a="att";b="ack";c=".com";location.href=a+b+c</script>,本方案能够识别到其使用了字符串赋值(a="att";b="ack";c=".com")、字符串拼接(a+b+c)的特征,因此本方案识别到绕过特征后,会判定本次的请求流量为为攻击流量,从而使得本方案具备一定的泛化能力。
S209、获取待处理外链引入的目标文件;
S210、判断目标文件中是否含有攻击特征;
若是,则执行S206;若否,则执行S205。
在本实施例中,若待处理外链中未识别到黑域名、危险字串以及绕过特征,也即本方案仅从流量侧已经无法判断请求流量是正常流量还是攻击流量,那么本方案还获取待处理外链引入的目标文件,如JS文件,并分析该JS文件是否具有恶意操作。例如:对于标签<script src=http://xxxx.com/xxx.js>,本方案还需要获取XSS攻击Payload中的JS文件,到http://xxxx.com/这个网站获取xxx.js文件,并分析其中是否存在攻击特征,如:xxx.js文件中具有获取cookie、定位、截屏、获取浏览器敏感信息等行为特征时,判定该xxx.js文件含有攻击特征,并判定请求流量为攻击流量。
需要说明的是,在本实施例中,并不对“将目标信息与情报库中的黑白名单进行匹配”、“检测待处理外链中是否包含目标子串”、“判断标签是否含有绕过特征”、“判断目标文件中是否含有攻击特征”这几个步骤的执行顺序进行限定,可以通过如图2所示的顺序执行,也可以通过其他顺序执行,在此并不具体限定。
综上可以看出,本方案中,并不会直接拦截引入外链的标签,而是识别该标签并定位出外链的位置,例如:对于标签<a href=www.baidu.com>,其是一个跳转到百度的标签,本方案会从该标签中识别出外链www.baidu.com,进行后续判断;若该外链中不包括黑域名、危险子串、恶意的js文件、绕过特征,则判定请求流量中不具有攻击信息,那么本方案就会判定请求流量为正常流量,会对该请求流量放行;可见,本方案使用多维度的检测方法,可以大大提升攻击的检测能力和准确率,本方案可适用于Web攻击检测等场景,应用于防火墙和安全态势感知等产品。
下面对本发明实施例提供的检测装置、设备及介质进行介绍,下文描述的检测装置、设备及介质与上文描述的检测方法可以相互参照。
参见图3,本发明实施例提供的一种攻击检测装置结构示意图,包括:
识别模块11,用于识别请求流量中的标签;
确定模块12,用于从所述标签中确定待处理外链;
判断模块13,用于判断所述待处理外链是否含有攻击信息;
第一判定模块14,用于在所述待处理外链含有攻击信息时,判定所述请求流量为攻击流量;
第二判定模块15,用于在所述待处理外链不含有攻击信息时,判定所述请求流量为正常流量。
其中,该确定模块具体用于利用标签的属性及Js代码确定待处理外链。
其中,所述判断模块包括:
提取单元,用于从所述待处理外链中提取目标信息;所述目标信息包括域名及IP地址;
匹配单元,用于将所述目标信息与情报库中的黑白名单进行匹配;若所述目标信息在黑名单中,则判定所述待处理外链含有攻击信息,若所述目标信息在白名单中,则判定所述待处理外链不含有攻击信息。
其中,所述判断模块还包括:
检测单元,用于在所述目标信息不在所述黑名单及所述白名单中时,检测所述待处理外链中是否包含目标子串;所述目标子串为预先设定的具有攻击特性的危险子串;若所述述目标信息包含目标子串,则判定所述待处理外链含有攻击信息。
其中,所述判断模块还包括:
第一判断单元,用于在所述述目标信息不包含目标子串时,判断所述标签是否含有绕过特征;若所述标签含有绕过特征,则判定所述待处理外链含有攻击信息。其中,所述绕过特征包括:字符串拼接特征和/或字符串赋值特征。
其中,所述判断模块还包括:
获取单元,用于在所述标签不含有绕过特征时,获取所述待处理外链引入的目标文件;
第二判断单元,用于判断所述目标文件中是否含有攻击特征;若含有攻击特征,则判定所述待处理外链含有攻击信息;若不含有攻击特征,则判定所述待处理外链不含有攻击信息。
参见图4,本发明实施例提供的一种电子设备结构示意图,包括:
存储器21,用于存储计算机程序;
处理器22,用于执行所述计算机程序时实现上述方法实施例所述的攻击检测方法的步骤。
在本实施例中,该设备可以防火墙设备及安全态势感知设备等等。
该设备可以包括存储器21、处理器22和总线23。
其中,存储器21至少包括一种类型的可读存储介质,所述可读存储介质包括闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、磁性存储器、磁盘、光盘等。存储器21在一些实施例中可以是设备的内部存储单元,例如该设备的硬盘。存储器21在另一些实施例中也可以是设备的外部存储设备,例如设备上配备的插接式硬盘,智能存储卡(SmartMedia Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。进一步地,存储器21还可以既包括设备的内部存储单元也包括外部存储设备。存储器21不仅可以用于存储安装于设备的应用软件及各类数据,例如执行检测方法的程序代码等,还可以用于暂时地存储已经输出或者将要输出的数据。
处理器22在一些实施例中可以是一中央处理器(Central Processing Unit,CPU)、控制器、微控制器、微处理器或其他数据处理芯片,用于运行存储器21中存储的程序代码或处理数据,例如执行检测方法的程序代码等。
该总线23可以是外设部件互连标准(peripheral component interconnect,简称PCI)总线或扩展工业标准结构(extended industry standard architecture,简称EISA)总线等。该总线可以分为地址总线、数据总线、控制总线等。为便于表示,图4中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
进一步地,设备还可以包括网络接口24,网络接口24可选的可以包括有线接口和/或无线接口(如WI-FI接口、蓝牙接口等),通常用于在该设备与其他电子设备之间建立通信连接。
可选地,该设备还可以包括用户接口25,用户接口25可以包括显示器(Display)、输入单元比如键盘(Keyboard),可选的用户接口25还可以包括标准的有线接口、无线接口。可选地,在一些实施例中,显示器可以是LED显示器、液晶显示器、触控式液晶显示器以及OLED(Organic Light-EmittingDiode,有机发光二极管)触摸器等。其中,显示器也可以适当的称为显示屏或显示单元,用于显示在设备中处理的信息以及用于显示可视化的用户界面。
图4仅示出了具有组件21-25的设备,本领域技术人员可以理解的是,图4示出的结构并不构成对设备的限定,可以包括比图示更少或者更多的部件,或者组合某些部件,或者不同的部件布置。
本发明实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述方法实施例所述的攻击检测方法的步骤。
其中,该存储介质可以包括:U盘、移动硬盘、只读存储器(Read-OnlyMemory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (10)
1.一种攻击检测方法,其特征在于,包括:
识别请求流量中的标签;
从所述标签中确定待处理外链;
判断所述待处理外链是否含有攻击信息;
若所述待处理外链含有攻击信息,则判定所述请求流量为攻击流量;若所述待处理外链不含有攻击信息,则判定所述请求流量为正常流量。
2.根据权利要求1所述的攻击检测方法,其特征在于,所述从所述标签中确定待处理外链,包括:
利用所述标签的属性及Js代码,确定待处理外链。
3.根据权利要求1所述的攻击检测方法,其特征在于,所述判断所述待处理外链是否含有攻击信息,包括:
从所述待处理外链中提取目标信息;所述目标信息包括域名及IP地址;
将所述目标信息与情报库中的黑白名单进行匹配;
若所述目标信息在黑名单中,则判定所述待处理外链含有攻击信息,若所述目标信息在白名单中,则判定所述待处理外链不含有攻击信息。
4.根据权利要求3所述的攻击检测方法,其特征在于,若所述目标信息不在所述黑名单及所述白名单中,则所述攻击检测方法还包括:
检测所述待处理外链中是否包含目标子串;所述目标子串为预先设定的具有攻击特性的危险子串;
若所述述目标信息包含目标子串,则判定所述待处理外链含有攻击信息。
5.根据权利要求4所述的攻击检测方法,其特征在于,若所述述目标信息不包含目标子串,则所述攻击检测方法还包括:
判断所述标签是否含有绕过特征;
若所述标签含有绕过特征,则判定所述待处理外链含有攻击信息。
6.根据权利要求5所述的攻击检测方法,其特征在于,所述绕过特征包括:字符串拼接特征和/或字符串赋值特征。
7.根据权利要求5所述的攻击检测方法,其特征在于,若所述标签不含有绕过特征,则所述攻击检测方法还包括:
获取所述待处理外链引入的目标文件;
判断所述目标文件中是否含有攻击特征;
若含有攻击特征,则判定所述待处理外链含有攻击信息;若不含有攻击特征,则判定所述待处理外链不含有攻击信息。
8.一种攻击检测装置,其特征在于,包括:
识别模块,用于识别请求流量中的标签;
确定模块,用于从所述标签中确定待处理外链;
判断模块,用于判断所述待处理外链是否含有攻击信息;
第一判定模块,用于在所述待处理外链含有攻击信息时,判定所述请求流量为攻击流量;
第二判定模块,用于在所述待处理外链不含有攻击信息时,判定所述请求流量为正常流量。
9.一种电子设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至7任一项所述的攻击检测方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的攻击检测方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111263747.2A CN114006746A (zh) | 2021-10-26 | 2021-10-26 | 一种攻击检测方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111263747.2A CN114006746A (zh) | 2021-10-26 | 2021-10-26 | 一种攻击检测方法、装置、设备及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114006746A true CN114006746A (zh) | 2022-02-01 |
Family
ID=79924604
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111263747.2A Pending CN114006746A (zh) | 2021-10-26 | 2021-10-26 | 一种攻击检测方法、装置、设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114006746A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114640530A (zh) * | 2022-03-24 | 2022-06-17 | 深信服科技股份有限公司 | 一种数据泄露检测方法、装置、电子设备及可读存储介质 |
CN115065534A (zh) * | 2022-06-14 | 2022-09-16 | 北京知道创宇信息技术股份有限公司 | 动态脚本攻击拦截方法、装置、电子设备及可读存储介质 |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20130031627A1 (en) * | 2011-07-29 | 2013-01-31 | International Business Machines Corporation | Method and System for Preventing Phishing Attacks |
CN103577755A (zh) * | 2013-11-01 | 2014-02-12 | 浙江工业大学 | 一种基于支持向量机的恶意脚本静态检测方法 |
CN107196960A (zh) * | 2017-06-27 | 2017-09-22 | 四维创智(北京)科技发展有限公司 | 一种基于沙箱技术的网马检测系统及其检测方法 |
CN108769081A (zh) * | 2018-07-11 | 2018-11-06 | 中国人民解放军国防科技大学 | 一种检测xss攻击的方法、装置及计算机可读存储介质 |
CN109257393A (zh) * | 2018-12-05 | 2019-01-22 | 四川长虹电器股份有限公司 | 基于机器学习的xss攻击防御方法及装置 |
CN110059481A (zh) * | 2019-04-23 | 2019-07-26 | 中国人民解放军战略支援部队信息工程大学 | 一种恶意网页检测方法及系统 |
CN110572359A (zh) * | 2019-08-01 | 2019-12-13 | 杭州安恒信息技术股份有限公司 | 基于机器学习的钓鱼网页检测方法 |
US20200336498A1 (en) * | 2019-04-16 | 2020-10-22 | Wangsu Science & Technology Co., Ltd. | Method and apparatus for detecting hidden link in website |
CN113067792A (zh) * | 2020-01-02 | 2021-07-02 | 深信服科技股份有限公司 | 一种xss攻击识别方法、装置、设备及介质 |
-
2021
- 2021-10-26 CN CN202111263747.2A patent/CN114006746A/zh active Pending
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20130031627A1 (en) * | 2011-07-29 | 2013-01-31 | International Business Machines Corporation | Method and System for Preventing Phishing Attacks |
CN103577755A (zh) * | 2013-11-01 | 2014-02-12 | 浙江工业大学 | 一种基于支持向量机的恶意脚本静态检测方法 |
CN107196960A (zh) * | 2017-06-27 | 2017-09-22 | 四维创智(北京)科技发展有限公司 | 一种基于沙箱技术的网马检测系统及其检测方法 |
CN108769081A (zh) * | 2018-07-11 | 2018-11-06 | 中国人民解放军国防科技大学 | 一种检测xss攻击的方法、装置及计算机可读存储介质 |
CN109257393A (zh) * | 2018-12-05 | 2019-01-22 | 四川长虹电器股份有限公司 | 基于机器学习的xss攻击防御方法及装置 |
US20200336498A1 (en) * | 2019-04-16 | 2020-10-22 | Wangsu Science & Technology Co., Ltd. | Method and apparatus for detecting hidden link in website |
CN110059481A (zh) * | 2019-04-23 | 2019-07-26 | 中国人民解放军战略支援部队信息工程大学 | 一种恶意网页检测方法及系统 |
CN110572359A (zh) * | 2019-08-01 | 2019-12-13 | 杭州安恒信息技术股份有限公司 | 基于机器学习的钓鱼网页检测方法 |
CN113067792A (zh) * | 2020-01-02 | 2021-07-02 | 深信服科技股份有限公司 | 一种xss攻击识别方法、装置、设备及介质 |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114640530A (zh) * | 2022-03-24 | 2022-06-17 | 深信服科技股份有限公司 | 一种数据泄露检测方法、装置、电子设备及可读存储介质 |
CN114640530B (zh) * | 2022-03-24 | 2023-12-29 | 深信服科技股份有限公司 | 一种数据泄露检测方法、装置、电子设备及可读存储介质 |
CN115065534A (zh) * | 2022-06-14 | 2022-09-16 | 北京知道创宇信息技术股份有限公司 | 动态脚本攻击拦截方法、装置、电子设备及可读存储介质 |
CN115065534B (zh) * | 2022-06-14 | 2023-11-28 | 北京知道创宇信息技术股份有限公司 | 动态脚本攻击拦截方法、装置、电子设备及可读存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9602520B2 (en) | Preventing URL confusion attacks | |
US9489515B2 (en) | System and method for blocking the transmission of sensitive data using dynamic data tainting | |
CN109768992B (zh) | 网页恶意扫描处理方法及装置、终端设备、可读存储介质 | |
CN102724187B (zh) | 一种针对网址的安全检测方法及装置 | |
CN103001817B (zh) | 一种实时检测网页跨域请求的方法和装置 | |
CN108804925B (zh) | 用于检测恶意代码的方法和系统 | |
US9747441B2 (en) | Preventing phishing attacks | |
CN102694772A (zh) | 一种访问互联网网页的装置、系统及方法 | |
CN111835777B (zh) | 一种异常流量检测方法、装置、设备及介质 | |
CN113014549B (zh) | 基于http的恶意流量分类方法及相关设备 | |
CN101964025A (zh) | Xss检测方法和设备 | |
CN104954372A (zh) | 一种钓鱼网站的取证与验证方法及系统 | |
CN109347882B (zh) | 网页木马监测方法、装置、设备及存储介质 | |
CN112703496B (zh) | 关于恶意浏览器插件对应用用户的基于内容策略的通知 | |
CN114006746A (zh) | 一种攻击检测方法、装置、设备及存储介质 | |
CN104767747A (zh) | 点击劫持安全检测方法和装置 | |
CN104168293A (zh) | 结合本地内容规则库识别可疑钓鱼网页的方法及系统 | |
CN111556036A (zh) | 一种网络钓鱼攻击的检测方法、装置及设备 | |
CN103986731A (zh) | 通过图片匹配来检测钓鱼网页的方法及装置 | |
CN110210231B (zh) | 一种安全防护方法、系统、设备及计算机可读存储介质 | |
CN113518077A (zh) | 一种恶意网络爬虫检测方法、装置、设备及存储介质 | |
Geng et al. | RRPhish: Anti-phishing via mining brand resources request | |
CN106250761B (zh) | 一种识别web自动化工具的设备、装置及方法 | |
CN107180194B (zh) | 基于视觉分析系统进行漏洞检测的方法及装置 | |
CN104978423A (zh) | 网站类型的检测方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |