CN117040804A - 网站的网络攻击检测方法、装置、设备、介质和程序产品 - Google Patents

网站的网络攻击检测方法、装置、设备、介质和程序产品 Download PDF

Info

Publication number
CN117040804A
CN117040804A CN202310877067.2A CN202310877067A CN117040804A CN 117040804 A CN117040804 A CN 117040804A CN 202310877067 A CN202310877067 A CN 202310877067A CN 117040804 A CN117040804 A CN 117040804A
Authority
CN
China
Prior art keywords
target website
website
information
transfer protocol
hypertext transfer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310877067.2A
Other languages
English (en)
Inventor
冀祥
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Bank of China Ltd
Original Assignee
Bank of China Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Bank of China Ltd filed Critical Bank of China Ltd
Priority to CN202310877067.2A priority Critical patent/CN117040804A/zh
Publication of CN117040804A publication Critical patent/CN117040804A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)

Abstract

本申请涉及一种网站的网络攻击检测方法、装置、设备、介质和程序产品,涉及网络安全技术领域,该方法包括:响应于目标网站的访问操作,获取目标网站的访问链接信息,并根据访问链接信息,对目标网站进行身份验证,在目标网站的身份验证通过的情况下,根据访问链接信息获取目标网站的超文本传输协议信息,然后根据超文本传输协议信息对目标网站进行网络攻击脚本判定,获得目标网站的网络攻击检测结果。该方法提高了对目标网站的网络攻击检测的有效性。

Description

网站的网络攻击检测方法、装置、设备、介质和程序产品
技术领域
本申请涉及网络安全技术领域,特别是涉及一种网站的网络攻击检测方法、装置、设备、介质和程序产品。
背景技术
随着互联网技术的快速发展,互联网技术已经广泛应用到各个领域,但网络与信息的安全性令人担忧。为了保证网络与信息的安全性,网络攻击检测应运而生。
以银行场景为例,用户在网站中进行金融交易时,若用户访问的网站受到网络攻击,则可能会出现用户信息泄露的问题。相关技术中,通常通过安装安全软件、修补漏洞等方式检测网络攻击以避免用户受到网络攻击。
然而,相关技术中缺乏一种能够对网络攻击进行有效检测的方法。
发明内容
基于此,有必要针对上述技术问题,提供一种网站的网络攻击检测方法、装置、设备、介质和程序产品,能够有效地检测网络攻击。
第一方面,本申请提供了一种网站的网络攻击检测方法,该方法包括:
响应于目标网站的访问操作,获取目标网站的访问链接信息;
根据访问链接信息,对目标网站进行身份验证;
在目标网站的身份验证通过的情况下,根据访问链接信息获取目标网站的超文本传输协议信息;
根据超文本传输协议信息对目标网站进行网络攻击脚本判定,获得目标网站的网络攻击检测结果。
在其中一个实施例中,访问链接信息包括二维码图像;根据访问链接信息,对目标网站进行身份验证,包括:
对二维码图像进行图像检测,确定目标网站的网站标签;
若预设的参考网站标签内存在与目标网站的网站标签相同的标签,则确定目标网站的身份验证通过;
若参考网站标签内不存在与目标网站的网站标签相同的标签,则确定目标网站的身份验证未通过。
在其中一个实施例中,访问链接信息包括网址信息;根据访问链接信息,对目标网站进行身份验证,包括:
对网址信息进行分析,确定目标网站的数字证书;
若预设的数字证书列表中存在与目标网站的数字证书相同的数字证书,则确定目标网站的身份验证通过;
若数字证书列表不存在与目标网站的数字证书相同的数字证书,则确定目标网站的身份验证未通过。
在其中一个实施例中,该方法还包括:
在目标网站的身份验证未通过的情况下,生成第一提示信息;提示信息用于提示用户目标网站为虚假网站。
在其中一个实施例中,超文本传输协议信息包括超文本传输协议请求信息和超文本传输协议响应信息;根据访问链接信息获取目标网站的超文本传输协议信息,包括:
对访问链接信息进行解析,得到访问目标网站的网站请求信息;
根据网站请求信息,生成超文本传输协议请求信息;
将超文本传输协议请求信息转发至服务器,并接收服务器返回的响应信息,将响应信息确定为超文本传输协议响应信息。
在其中一个实施例中,根据超文本传输协议信息对目标网站进行网络攻击脚本判定,包括:
对超文本传输协议请求信息进行参数编码操作,得到请求参数列表;请求参数列表包括超文本传输协议请求信息中满足预设参数条件的参数;
若请求参数列表不为空,则根据请求参数列表和超文本传输协议响应信息对目标网站进行网络攻击脚本判定;
若请求参数列表为空,则根据超文本传输协议响应信息对目标网站进行网络攻击脚本判定。
在其中一个实施例中,对超文本传输协议请求信息进行参数编码操作,得到请求参数列表,包括:
对超文本传输协议请求信息进行参数提取操作,得到多个参数;
分别对各参数进行编码处理,得到多个编码参数;
将所有编码参数中未满足预设参数条件的编码参数存储到空参数表中,得到请求参数列表。
在其中一个实施例中,根据请求参数列表和超文本传输协议响应信息对目标网站进行网络攻击脚本判定,包括:
对超文本传输协议响应信息进行异常参数提取操作,得到多个异常参数,并将多个异常参数存储到空参数表中,得到响应参数列表;
根据请求参数列表和响应参数列表对目标网站进行网络攻击脚本判定。
在其中一个实施例中,根据请求参数列表和响应参数列表对目标网站进行网络攻击脚本判定,包括:
将请求参数列表中的参数和响应参数列表中的参数进行匹配,得到请求参数列表与响应参数列表之间相同参数类别的数量;
在数量大于预设数量阈值的情况下,确定目标网站中存在网络攻击脚本;
在数量小于或等于预设数量阈值的情况下,根据超文本传输协议响应信息对目标网站进行网络攻击脚本判定。
在其中一个实施例中,根据超文本传输协议响应信息对目标网站进行网络攻击脚本判定,包括:
提取超文本传输协议响应信息中的参数类别;
若超文本传输协议响应信息中存在与预设的攻击参数库中相同的参数类别,则确定目标网站中存在网络攻击脚本;
若超文本传输协议响应信息中不存在与攻击参数库中相同的参数类别,则确定目标网站中不存在网络攻击脚本,并对超文本传输协议响应信息进行编码,通过编码后的超文本传输协议响应信息访问目标网站。
在其中一个实施例中,该方法还包括:
若目标网站中存在网络攻击脚本,则生成第二提示信息;第二提示信息用于提示用户目标网站为脚本攻击网站。
第二方面,本申请还提供了一种网站的网络攻击检测装置,该装置包括:
链接获取模块,用于响应于目标网站的访问操作,获取目标网站的访问链接信息;
验证模块,用于根据访问链接信息,对目标网站进行身份验证;
信息获取模块,用于在目标网站的身份验证通过的情况下,根据访问链接信息获取目标网站的超文本传输协议信息;
判定模块,用于根据超文本传输协议信息对目标网站进行网络攻击脚本判定,获得目标网站的网络攻击检测结果。
第三方面,本申请实施例提供一种计算机设备,包括存储器和处理器,存储器存储有计算机程序,该处理器执行计算机程序时实现上述第一方面中任一实施例提供的方法的步骤。
第四方面,本申请实施例提供一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述第一方面中任一实施例提供的方法的步骤。
第五方面,本申请实施例还提供了一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现上述第一方面中任一实施例提供的方法的步骤。
上述网站的网络攻击检测方法、装置、设备、介质和程序产品,响应于目标网站的访问操作,获取目标网站的访问链接信息,并根据访问链接信息,对目标网站进行身份验证,在目标网站的身份验证通过的情况下,根据访问链接信息获取目标网站的超文本传输协议信息,然后根据超文本传输协议信息对目标网站进行网络攻击脚本判定,获得目标网站的网络攻击检测结果。该方法中,在通过目标网站的访问链接信息访问目标网站之前,可以对目标网站进行网络攻击检测,首先,先对目标网站的身份进行验证,判定目标网站是否为虚假网站,若目标网站的身份验证通过,即目标网站为合法网站,则进一步对目标网站进行网络攻击脚本的判定,以确定目标网站中是否存在网络攻击脚本,该方法针对网站中易发生的伪装型钓鱼攻击和脚本型钓鱼攻击进行了判定,提高了对目标网站的网络攻击检测的可靠性和有效性,有效地防范了用户因警惕性不足而导致的钓鱼攻击。
附图说明
图1为一个实施例中网站的网络攻击检测方法的流程示意图;
图2为另一个实施例中网站的网络攻击检测方法的流程示意图;
图3为另一个实施例中网站的网络攻击检测方法的流程示意图;
图4为另一个实施例中网站的网络攻击检测方法的流程示意图;
图5为另一个实施例中网站的网络攻击检测方法的流程示意图;
图6为另一个实施例中网站的网络攻击检测方法的流程示意图;
图7为另一个实施例中网站的网络攻击检测方法的流程示意图;
图8为另一个实施例中网站的网络攻击检测方法的流程示意图;
图9为另一个实施例中网站的网络攻击检测方法的流程示意图;
图10为另一个实施例中网站的网络攻击检测方法的流程示意图;
图11为一个实施例中网站的网络攻击检测装置的结构框图;
图12为一个实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
在一个实施例中,如图1所示,提供了一种网站的网络攻击检测方法,本实施例以该方法应用于终端进行举例说明,可以理解的是,该方法也可以应用于服务器,还可以应用于包括终端和服务器的系统,并通过终端和服务器的交互实现。本实施例中,该方法包括以下步骤:
S101,响应于目标网站的访问操作,获取目标网站的访问链接信息。
其中,目标网站可以是终端需访问的任一网站,例如,以银行场景为例,用户在进行网络交易时,终端需要访问对应的银行的交易网站,交易网站即为目标网站。然后,目标网站的访问操作可以是终端需访问目标网站的访问请求,响应于目标网站的访问操作后,终端获取目标网站的访问链接信息。其中,访问链接信息可以是目标网站的网址或超链接等。
可选地,目标网站的访问操作可以包括目标网站的标识,终端可以根据目标网站的标识从数据库中获取目标网站的访问链接信息;数据库中包括网站与网站的标识之间的对应关系。
S102,根据访问链接信息,对目标网站进行身份验证。
终端在通过访问链接访问目标网站时,可能会进入被黑客设计的伪装型钓鱼网站,若在钓鱼网站输入用户信息,可能会导致用户的信息被泄露。因此,在根据访问链接访问目标网站之前,需要对目标网站的身份进行验证,以验证目标网站是否为钓鱼网站。
对目标网站进行身份验证的方式可以是,终端的数据库中存储一个授权访问列表,授权访问列表包括多个已授权的安全访问链接信息,这些已授权的访问链接信息在终端中访问是安全的。
因此,可以从授权访问列表中查找有没有与目标网站的访问链接信息相同的访问链接信息,若授权访问列表中存在与目标网站相同的访问链接信息,则确定目标网站身份验证通过;若授权访问列表中不存在与目标网站相同的访问链接信息,则确定目标网站身份验证未通过。
可选地,在目标网站的身份验证未通过的情况下,生成第一提示信息;提示信息用于提示用户目标网站为虚假网站。
其中,第一提示信息可以包括在终端出现弹窗,弹窗上显示“目标网站为虚假网站”。其中,虚假网站即为黑客或攻击者设计的与合法网站相同的网站,以冒充合法网站,从而窃取用户信息。
S103,在目标网站的身份验证通过的情况下,根据访问链接信息获取目标网站的超文本传输协议信息。
在目标网站的身份验证通过的情况下,表示目标网站为合法网站,然而,黑客或攻击者还可能会在合法网站中注入网络攻击脚本,使用户在访问目标网站时网络攻击脚本在终端执行,从而导致用户信息的泄露,这种攻击方式也称跨域脚本攻击(Cross-SiteScripting,XSS)。
因此,在确定目标网站为合法网站后,需要进一步对目标网站中是否存在网络攻击脚本的判定。
可以根据访问链接信息获取目标网站的超文本传输协议信息,其中,获取的方式可以是,根据预设的解析模型获取,具体地,将访问链接信息输入至解析模型中,根据解析模型对访问链接信息的解析,得到目标网站的超文本传输协议信息。其中,超文本传输协议信息可以是超文本传输协议(Hypertext Transfer Protocol,HTTP)请求信息和超文本传输协议响应信息。
S104,根据超文本传输协议信息对目标网站进行网络攻击脚本判定,获得目标网站的网络攻击检测结果。
其中,网络攻击脚本可以为目标网站中被注入的恶意脚本;目标网站的网络攻击检测结果包括目标网站中存在网络攻击脚本和目标网站中不存在网络攻击脚本。
由于超文本传输协议信息可以是终端与服务器交互的信息,因此,可以根据超文本传输协议信息对目标网站进行网络攻击脚本的判定,判定目标网站中是否存在网络攻击脚本。
可选地,可以根据预设的判定模型对目标网站进行网站攻击脚本的判定,以确定目标网站的网络攻击检测结果;具体地,将超文本传输协议信息输入至判定模型中,通过判定模型对超文本传输协议信息的分析,确定目标网站的网络攻击检测结果。
本申请实施例提供的网站的网络攻击检测方法中,响应于目标网站的访问操作,获取目标网站的访问链接信息,并根据访问链接信息,对目标网站进行身份验证,在目标网站的身份验证通过的情况下,根据访问链接信息获取目标网站的超文本传输协议信息,然后根据超文本传输协议信息对目标网站进行网络攻击脚本判定,获得目标网站的网络攻击检测结果。该方法中,在通过目标网站的访问链接信息访问目标网站之前,可以对目标网站进行网络攻击检测,首先,先对目标网站的身份进行验证,判定目标网站是否为虚假网站,若目标网站的身份验证通过,即目标网站为合法网站,则进一步对目标网站进行网络攻击脚本的判定,以确定目标网站中是否存在网络攻击脚本,该方法针对网站中易发生的伪装型钓鱼攻击和脚本型钓鱼攻击进行了判定,提高了对目标网站的网络攻击检测的可靠性和有效性,有效地防范了用户因警惕性不足而导致的钓鱼攻击。
在一个实施例中,如图2所示,访问链接信息包括二维码图像;根据访问链接信息,对目标网站进行身份验证,包括以下步骤:
S201,对二维码图像进行图像检测,确定目标网站的网站标签。
访问链接信息可以是二维码图像,其中,二维码图像包括目标网站的二维码和标志(logo),该标志可以表示目标网站的标识,通过识别该标志以确定网站的身份。
因此,可以通过预设的图像检测算法,对二维码图像进行图像检测,以识别二维码图像中的标志,以确定目标网站的网站标签;网站标签可以确定目标网站的身份。
S202,若预设的参考网站标签内存在与目标网站的网站标签相同的标签,则确定目标网站的身份验证通过。
其中,参考网站标签中存在多个安全的网站标签,参考网站标签可以是一种访问控制机制,用于允许特定的网站标签通过验证,而拒绝其他未被授权的网站标签。参考网站标签可以是一份明确列出允许验证通过的标签清单;参考网站标签可以是白名单。
因此,如果参考网站标签中存在与目标网站的网站标签相同的标签,则表示目标网站被授权,目标网站是合法网站,确定目标网站的身份验证通过。
S203,若参考网站标签内不存在与目标网站的网站标签相同的标签,则确定目标网站的身份验证未通过。
如果参考网站标签中不存在与目标网站的网站标签相同的标签,则确定目标网站未被授权,目标网站可能是虚假网站,确定目标网站的身份验证未通过。
本申请实施例提供的网站的网络攻击检测方法中,对二维码图像进行图像检测,确定目标网站的网站标签,若预设的参考网站标签内存在与目标网站的网站标签相同的标签,则确定目标网站的身份验证通过,若参考网站标签内不存在与目标网站的网站标签相同的标签,则确定目标网站的身份验证未通过。该方法中,通过目标网站的网站标签对目标网站的身份进行验证,由于目标网站的网站标签具有唯一标识性,且参考网站标签是预先存储的合法标签,因此,通过判断参考网站标签中是否存在与目标网站的网站标签相同的标签,以此对目标网站进行身份验证,提高了目标网站的身份验证结果的可靠性和准确性。
在一个实施例中,如图3所示,访问链接信息包括网址信息;根据访问链接信息,对目标网站进行身份验证,包括以下步骤:
S301,对网址信息进行分析,确定目标网站的数字证书。
数字证书是证书授权中心(Certificate Authority,CA)签发的,数字证书可以用来确保网络通信的机密性、完整性和身份验证。通过使用数字证书对目标网站进行身份验证。
可以通过调用预设的函数库对网址信息进行分析,得到目标网站的数字证书。
S302,若预设的数字证书列表中存在与目标网站的数字证书相同的数字证书,则确定目标网站的身份验证通过。
数字证书列表中包括预先签发的多个数字证书,这些数字证书均已授权。
因此,可以判断预设的数字证书列表中是否存在目标网站的数字证书相同的数字证书,若数字证书列表中存在与目标网站的数字证书相同的数字证书,则确定目标网站已被授权,目标网站为合法网站,因此,确定目标网站的身份验证通过。
S303,若数字证书列表不存在与目标网站的数字证书相同的数字证书,则确定目标网站的身份验证未通过。
若数字证书列表中不存在与目标网站的数字证书相同的数字证书,则确定目标网站未被授权,目标网站不合法,因此,确定目标网站的身份验证未通过。
本申请实施例提供的网站的网络攻击检测方法中,对网址信息进行分析,确定目标网站的数字证书,若预设的数字证书列表中存在与目标网站的数字证书相同的数字证书,则确定目标网站的身份验证通过,若数字证书列表不存在与目标网站的数字证书相同的数字证书,则确定目标网站的身份验证未通过。该方法中,由于数字证书列表中的数字证书为预先授权合法的数字证书,因此,以数字证书列表中是否存在与目标网站的数字证书相同的数字证书对目标网站进行身份验证,提高了目标网站的身份验证的可靠性和准确性。
在一个实施例中,如图4所示,超文本传输协议信息包括超文本传输协议请求信息和超文本传输协议响应信息;根据访问链接信息获取目标网站的超文本传输协议信息,包括:
S401,对访问链接信息进行解析,得到访问目标网站的网站请求信息。
根据预设的解析算法对访问链接信息进行解析,确定访问目标网站的网站请求信息,其中,网站请求信息可以是目标网站的统一资源定位符(Uniform Resource Locator,URL),它是用来标识和定位网站的唯一地址。
S402,根据网站请求信息,生成超文本传输协议请求信息。
可以基于预设的HTTP客户端库,根据网站请求信息发起HTTP请求,以得到超文本传输协议请求信息。
其中,超文本传输协议请求信息包括用于传递请求的参数,例如,姓名、性别等。
S403,将超文本传输协议请求信息转发至服务器,并接收服务器返回的响应信息,将响应信息确定为超文本传输协议响应信息。
可以根据网站请求信息确定请求方式(get/post)将超文本传输协议请求信息转发至服务器,服务器对接收到的超文本传输协议请求信息进行响应,并向终端返回响应信息,终端将响应信息确定为超文本传输协议响应信息。其中,响应信息可以是HTTP响应。
本申请实施例提供的网站的网络攻击检测方法中,对访问链接信息进行解析,得到访问目标网站的网站请求信息,并根据网站请求信息,生成超文本传输协议请求信息,然后将超文本传输协议请求信息转发至服务器,并接收服务器返回的响应信息,将响应信息确定为超文本传输协议响应信息。该方法中,通过目标网站的访问链接请求获取目标网站的超文本传输协议请求信息和超文本传输协议响应信息,以请求信息和响应信息对目标网站进行网络攻击脚本的判定,提高了判定的准确性。
在一个实施例中,如图5所示,根据超文本传输协议信息对目标网站进行网络攻击脚本判定,包括以下步骤:
S501,对超文本传输协议请求信息进行参数编码操作,得到请求参数列表。
其中,请求参数列表包括超文本传输协议请求信息中满足预设参数条件的参数;请求参数列表中可以包括一个或多个参数,也可以为空。
在一个实施例中,如图6所示,对超文本传输协议请求信息进行参数编码操作,得到请求参数列表,包括以下步骤:
S601,对超文本传输协议请求信息进行参数提取操作,得到多个参数。
其中,超文本传输协议请求信息中可以包括多种形式的信息,例如,包括请求行、请求头和请求体,请求行包括请求方法、请求协议版本等,请求头包括用户代理、内容类型等,请求体包括用于传递请求的数据,例如,表单数据。
因此,可以对超本文传输协议请求信息中的请求体中的表单数据进行参数提取,得到多个参数,其中,参数包括姓名、性别等参数。
可选地,参数提取操作的方式可以是根据预设的参数提取算法进行提取。
S602,分别对各参数进行编码处理,得到多个编码参数。
根据预设的编码方式分别对各参数进行编码处理,得到多个编码参数,即一个参数对应一个编码参数。
可选地,编码方式可以包括URL编码、Java Script编码、超文本标记语言(HyperText Markup Language,HTML)编码等。
S603,将所有编码参数中未满足预设参数条件的编码参数存储到空参数表中,得到请求参数列表。
分别将每一个编码参数与预设参数条件进行对比,将未在预设参数条件内的编码参数存储到空参数列表中,得到请求参数列表,即请求参数列表中存储未满足预设参数条件的编码参数。
在参数提取过程中,简单短小的参数提取优先级较低,因为一般情况下,网络攻击脚本受合理性和复杂性的影响,其长度通常超过15个字符(预设阈值可设为15),并且,恶意字符串无法通过纯数字或纯字母字符串实现,所以对此类参数(纯数字、纯字母、长度小于或等于15)可以不优先提取。
因此,预设参数条件可以是编码参数的长度小于或等于15,或者,编码参数为纯数字,或者,编码参数为纯字母等。
因此,针对任一个编码参数,若编码参数的长度大于15且该编码参数不为纯数字,也不为纯字母,则确定该编码参数未满足预设参数条件,则将该编码参数存储到预设的空参数表中。
S502,若请求参数列表不为空,则根据请求参数列表和超文本传输协议响应信息对目标网站进行网络攻击脚本判定。
若请求参数列表不为空,则表示超文本传输协议请求信息可能存在异常,请求参数列表中存储超文本传输协议请求信息中可能存在异常的参数,因此,可以根据请求参数列表和超文本抄书协议响应信息对目标网站进行网络攻击脚本判定。
S503,若请求参数列表为空,则根据超文本传输协议响应信息对目标网站进行网络攻击脚本判定。
若请求参数列表为空,则可以表示超文本传输协议请求信息中不存在异常的参数,因此,可直接判断超文本传输协议响应信息中是否存在异常参数,因此,根据超文本传输协议响应信息对目标网站进行网络攻击脚本的判定。
在一个实施例中,如图7所示,根据超文本传输协议响应信息对目标网站进行网络攻击脚本判定,包括以下步骤:
S701,提取超文本传输协议响应信息中的参数类别。
对超文本传输协议响应信息进行参数提取操作,得到超文本传输协议响应信息中的参数类别,其中,参数类别可以包括姓名、性别、银行卡号、银行卡密码等。
其中,本申请实施例中提取超文本传输协议响应信息中的参数类别的方式可以与对超文本传输协议请求信息进行参数提取操作的方式相同,在此不再赘述。
S702,若超文本传输协议响应信息中存在与预设的攻击参数库中相同的参数类别,则确定目标网站中存在网络攻击脚本。
其中,预设的攻击参数库包括多个敏感参数类别,即敏感信息,例如,由于银行卡密码属于用户的个人敏感信息,因此,可以将银行卡密码存储到预设的攻击参数库中,作为敏感参数类别。
若超文本传输协议响应信息中存在与预设的攻击参数库中相同的参数类别,则表示超文本传输协议响应信息中存在敏感参数类别,可以确定目标网站中存在网络攻击脚本。
可选地,若目标网站中存在网络攻击脚本,则生成第二提示信息;第二提示信息用于提示用户目标网站为脚本攻击网站。
其中,第二提示信息可以包括在终端出现弹窗,弹窗上显示“目标网站为脚本攻击网站”。其中,脚本攻击网站即为黑客或攻击者在合法网站中注入网络攻击脚本的网站。
S703,若超文本传输协议响应信息中不存在与攻击参数库中相同的参数类别,则确定目标网站中不存在网络攻击脚本,并对超文本传输协议响应信息进行编码,通过编码后的超文本传输协议响应信息访问目标网站。
如果超文本传输协议响应信息中不存在与攻击参数库中相同的参数类别,则表示超文本传输协议响应信息中不存在敏感参数类别,可以确定目标网站中不存在网络攻击脚本。
可以对超文本传输协议响应信息中的参数类别信息进行编码,通过然后将编码后的超文本传输协议响应信息转发至终端的浏览器中,通过浏览器访问目标网站。
可选地,编码方式可以包括URL编码、Java Script编码、HTML编码等。
本申请实施例提供的网站的网络攻击检测方法中,对超文本传输协议请求信息进行参数编码操作,得到请求参数列表,若请求参数列表不为空,则根据请求参数列表和超文本传输协议响应信息对目标网站进行网络攻击脚本判定,若请求参数列表为空,则根据超文本传输协议响应信息对目标网站进行网络攻击脚本判定;其中,请求参数列表包括超文本传输协议请求信息中满足预设参数条件的参数。该方法中,以超文本传输协议请求对应的请求参数列表是否为空,进一步通过请求参数列表和超文本传输协议响应参数对目标网站进行网络攻击脚本判定,提高了对网络攻击检测的有效性和准确性。
在一个实施例中,如图8所示,根据请求参数列表和超文本传输协议响应信息对目标网站进行网络攻击脚本判定,包括以下步骤:
S801,对超文本传输协议响应信息进行异常参数提取操作,得到多个异常参数,并将多个异常参数存储到空参数表中,得到响应参数列表。
基于预设的异常参数检测模型对超文本传输协议响应信息进行异常常数提取处理,得到多个异常参数;具体地,将超文本传输协议响应信息输入至异常参数检测模型中,通过异常参数检测模型提取超文本传输协议响应信息中的参数,并对超文本传输协议响应信息中的参数进行异常检测,确定超文本传输协议响应信息中的多个异常参数。
其中,异常参数检测模型可以是预先训练的专门对超文本传输协议响应信息进行异常参数提取的模型。
得到超文本传输协议响应信息中的多个异常参数后,可以将多个异常参数存储到空参数表中,得到响应参数列表;响应参数列表中包括超文本传输协议响应信息中的多个异常参数。
S802,根据请求参数列表和响应参数列表对目标网站进行网络攻击脚本判定。
在一个实施例中,如图9所示,根据请求参数列表和响应参数列表对目标网站进行网络攻击脚本判定,包括以下步骤:
S901,将请求参数列表中的参数和响应参数列表中的参数进行匹配,得到请求参数列表与响应参数列表之间相同参数类别的数量。
确定请求参数列表与响应参数列表之间相同参数类别的数量的方式可以是:创建一个计数器,用于记录请求参数列表与响应参数列表之间相同的参数类别的数量;针对请求参数列表中任一个参数,判断响应参数列表中是否存在与该参数相同的参数类别,如果存在相同的参数类别,则将计算器加1。基于该方式,遍历请求参数列表中的每个参数的类别,完成遍历后,计算器的值即为请求参数列表与响应参数列表之间相同参数类别的数量。
S902,在数量大于预设数量阈值的情况下,确定目标网站中存在网络攻击脚本。
在请求参数列表与响应参数列表之间相同参数类别的数量大于预设数量阈值的情况下,说明超文本传输协议请求信息与服务器响应的超文本传输协议响应信息的异常参数的相似度超过相似阈值,则说明服务器遭受到了XSS攻击,目标网站存在网络攻击脚本。
S903,在数量小于或等于预设数量阈值的情况下,根据超文本传输协议响应信息对目标网站进行网络攻击脚本判定。
在请求参数列表与响应参数列表之间相同参数类别的数量小于或等于预设数量阈值的情况下,可以根据超文本传输协议响应信息对目标网站进行网络攻击脚本判定,其中,根据超文本传输协议响应信息对目标网站进行网络攻击脚本判定的步骤与上述实施例中根据超文本传输协议响应信息对目标网站进行网络攻击脚本判定的步骤相同,本申请实施例在此不再赘述。
本申请实施例提供的网站的网络攻击检测方法中,对超文本传输协议响应信息进行异常参数提取操作,得到多个异常参数,并将多个异常参数存储到空参数表中,得到响应参数列表,然后根据请求参数列表和响应参数列表对目标网站进行网络攻击脚本判定。该方法中,通过对超文本传输协议响应信息中的异常参数进行分析,从而判定目标网站是否存在网络攻击脚本,提高了网络攻击的检测准确性。
在一个实施例中,以银行为例,银设计出本行专属二维码图像,即logo+二维码形式,并对用户加大宣传,区别于一般二维码,通过扫描带有本行logo特征的二维码对二维码对应的网站进行身份验证。
其中,二维码图像中的logo作为网站的标识具有其独特性,可用来确定网站的身份。利用logo维护黑白名单,与对应的二维码进行网站对比,从而筛选出伪装网站。
对于嵌入式网络钓鱼攻击仅通过嵌入恶意代码实现用户引诱和信息窃取,并未在网页和URL上进行模仿,所以也不存在异常,此类防护无效,即嵌入式网络钓鱼攻击是直接将网络攻击脚本注入到合法网站的,若不先对目标网站的身份进行验证,而直接对目标网站进行网络攻击检测,这可能是无效的。因为,若目标网站为虚假网站,对虚假网站进行网络攻击脚本判定是无效的。
在嵌入式网络钓鱼攻击的检测中,但一般嵌入式钓鱼攻击必须经过XSS脚本的注入才能生效,所以,可从易被注入的网页元素出发,判断注入点的内容是否在钓鱼攻击的恶意脚本范围内。由于网站的任何一个注入脚本都会同时出现在超文本传输协议的请求(post)和响应(get)中,因此可使用特征值检测法进行防御。特征值检测法只需设立相似度检测表,即可判断XSS型钓鱼攻击。例如,当用户输入的请求参数中存在未在预设参数范围内的参数,同时参数内容与服务器响应的异常参数字符串内容的相似度超过阈值时,说明Web服务器遭到了XSS攻击,随后再进行网络攻击脚本的检测工作,从而判断XSS脚本是否被用于进行网络钓鱼攻击。特征值检测法的适用范围可覆盖几乎所有的反射型XSS钓鱼攻击和大多数的存储型XSS钓鱼攻击。
在HTTP源码中,有三处行为操作需要引进动态脚本,分别是事件句柄、URL链接和脚本环境值。攻击者通常会在以上三处注入代码来实施越权操作,因此,出现在上述三处的输入数据为异常信息的可能性较高,可认定输入的含有用户提交内容的字符串为异常参数,并加入响应参数列表中。为了提升异常参数的提取效率,需要以脚本注入点为基础,减少文本的匹配量,随后将注入点采集到的参数(请求参数列表中的参数)与响应参数列表中的参数进行对比,若预设的数量阈值小于相同参数类别的数量,则确定属于XSS型钓鱼攻击。在部分XSS型钓鱼攻击中,攻击者为了绕过阈值检测,会使用编码技术对脚本进行重编码,如,URL重编码、Java Script重编码、HTML重编码等。
本申请实施例提供的网站的网络攻击检测方法也是一种基于参数/脚本编码的XSS型钓鱼攻击防御方法,在传统网络钓鱼攻击防御方法的基础上,针对在银行网点进行交易时易发生的伪装型钓鱼攻击和XSS型钓鱼攻击研究了一种面向新型网络钓鱼攻击的防御方法,该方法能有效防范在银行或银行周边的客户因警惕性降低从而导致的钓鱼攻击,有效弥补了现有网络钓鱼防御的不足,提升了网络钓鱼攻击防御的有效性及可靠性,使其具有更广泛的适用场景。
以银行场景为例,当银行用户在网点进行扫码或输入链接进行金融交易时,本申请实施例可以有效提示用户支付环境可能存在异常,从而保证金融交易网络环境安全,为网点业务提供安全保障,从而使用户信息更加安全。
在一个实施例中,本申请实施例还提供了一种网站的网络攻击检测方法,如图10所示,该实施例包括以下步骤:
S1001,响应与目标网站的访问操作,获取目标网站的访问链接信息。
S1002,根据访问链接信息对目标网站进行身份验证。
S1003,若目标网站为虚假网站,则生成提示信息,提示用户目标网站为虚假网站。
S1004,若目标网站为合法网站,则根据访问链接信息得到HTTP请求信息,并对HTTP请求信息进行参数提取,得到HTTP请求信息中的参数。
S1005,对各参数进行编码,得到多个编码参数,将所有编码参数中不满足预设参数条件的编码参数存储到第一参数队列中;
其中,预设参数条件包括编码参数的长度小于或等于15,或者,参数为纯数字,或者参数为纯字母;不满足预设参数条件包括编码参数的长度大于15,且参数不为纯数字或纯字母。
S1006,将HTTP请求信息转发至服务器,并截取服务器根据HTTP请求信息返回的响应信息。
S1007,判断第一参数队列是否为空。
S1008,若第一参数队列不为空,则提取响应信息中的异常参数,并将异常参数放入第二参数队列中;若第一参数队列为空,则执行步骤S1012;
其中,异常参数也为异常脚本。
S1009,匹配第一参数队列和第二参数队列,获取第一参数队列和第二参数队列的匹配长度;
其中,匹配长度为第一参数队列和第二参数队列之间为相同参数类别的数量。
S1010,判断匹配长度是否大于长度阈值。
S1011,若匹配长度大于长度阈值,则确定目标网站用于钓鱼攻击,生成用户提示信息;若匹配长度小于或等于长度阈值,则执行步骤S1012;
S1012,提取响应信息中的内容标签,并判断标签是否存在钓鱼脚本;
其中,内容标签可以是参数类别。
S1013,若存在钓鱼脚本,则生成用户提示信息。
S1014,若不存在钓鱼脚本,则对标签内容进行编码,并转发至浏览器。
应该理解的是,虽然如上所述的各实施例所涉及的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,如上所述的各实施例所涉及的流程图中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
基于同样的发明构思,本申请实施例还提供了一种用于实现上述所涉及的网站的网络攻击检测方法的网站的网络攻击检测装置。该装置所提供的解决问题的实现方案与上述方法中所记载的实现方案相似,故下面所提供的一个或多个网站的网络攻击检测装置实施例中的具体限定可以参见上文中对于网站的网络攻击检测方法的限定,在此不再赘述。
在一个实施例中,如图11所示,提供了一种网站的网络攻击检测装置,包括:链接获取模块1101、验证模块1102、信息获取模块1103和判定模块1104,其中:
链接获取模块1101,用于响应于目标网站的访问操作,获取目标网站的访问链接信息;
验证模块1102,用于根据访问链接信息,对目标网站进行身份验证;
信息获取模块1103,用于在目标网站的身份验证通过的情况下,根据访问链接信息获取目标网站的超文本传输协议信息;
判定模块1104,用于根据超文本传输协议信息对目标网站进行网络攻击脚本判定,获得目标网站的网络攻击检测结果。
在一个实施例中,访问链接信息包括二维码图像;验证模块1102包括:
检测单元,用于对二维码图像进行图像检测,确定目标网站的网站标签;
第一验证单元,用于若预设的参考网站标签内存在与目标网站的网站标签相同的标签,则确定目标网站的身份验证通过;
第二验证单元,用于若参考网站标签内不存在与目标网站的网站标签相同的标签,则确定目标网站的身份验证未通过。
在一个实施例中,访问链接信息包括网址信息;验证模块1102包括:
分析单元,用于对网址信息进行分析,确定目标网站的数字证书;
第三验证单元,用于若预设的数字证书列表中存在与目标网站的数字证书相同的数字证书,则确定目标网站的身份验证通过;
第四验证单元,用于若数字证书列表不存在与目标网站的数字证书相同的数字证书,则确定目标网站的身份验证未通过。
在一个实施例中,该装置1100还包括:
第一提示模块,用于在目标网站的身份验证未通过的情况下,生成第一提示信息;提示信息用于提示用户目标网站为虚假网站。
在一个实施例中,超文本传输协议信息包括超文本传输协议请求信息和超文本传输协议响应信息;信息获取模块1103包括:
解析单元,用于对访问链接信息进行解析,得到访问目标网站的网站请求信息;
生成单元,用于根据网站请求信息,生成超文本传输协议请求信息;
转发单元,用于将超文本传输协议请求信息转发至服务器,并接收服务器返回的响应信息,将响应信息确定为超文本传输协议响应信息。
在一个实施例中,判定模块1104包括:
编码单元,用于对超文本传输协议请求信息进行参数编码操作,得到请求参数列表;请求参数列表包括超文本传输协议请求信息中满足预设参数条件的参数;
第一判定单元,用于若请求参数列表不为空,则根据请求参数列表和超文本传输协议响应信息对目标网站进行网络攻击脚本判定;
第二判定单元,用于若请求参数列表为空,则根据超文本传输协议响应信息对目标网站进行网络攻击脚本判定。
在一个实施例中,编码单元包括:
第一提取子单元,用于对超文本传输协议请求信息进行参数提取操作,得到多个参数;
编码子单元,用于分别对各参数进行编码处理,得到多个编码参数;
得到子单元,用于将所有编码参数中未满足预设参数条件的编码参数存储到空参数表中,得到请求参数列表。
在一个实施例中,第一判定单元包括:
第二提取子单元,用于对超文本传输协议响应信息进行异常参数提取操作,得到多个异常参数,并将多个异常参数存储到空参数表中,得到响应参数列表;
第一判定子单元,用于根据请求参数列表和响应参数列表对目标网站进行网络攻击脚本判定。
在一个实施例中,第一判定子单元还用于将请求参数列表中的参数和响应参数列表中的参数进行匹配,得到请求参数列表与响应参数列表之间相同参数类别的数量;在数量大于预设数量阈值的情况下,确定目标网站中存在网络攻击脚本;在数量小于或等于预设数量阈值的情况下,根据超文本传输协议响应信息对目标网站进行网络攻击脚本判定。
在一个实施例中,第二判定单元包括:
第三提取子单元,用于提取超文本传输协议响应信息中的参数类别;
第二判定子单元,用于若超文本传输协议响应信息中存在与预设的攻击参数库中相同的参数类别,则确定目标网站中存在网络攻击脚本;
第三判定子单元,用于若超文本传输协议响应信息中不存在与攻击参数库中相同的参数类别,则确定目标网站中不存在网络攻击脚本,并对超文本传输协议响应信息进行编码,通过编码后的超文本传输协议响应信息访问目标网站。
在一个实施例中,该装置1100还包括:
第二提示模块,用于若目标网站中存在网络攻击脚本,则生成第二提示信息;第二提示信息用于提示用户目标网站为脚本攻击网站。
上述网站的网络攻击检测装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是服务器,其内部结构图可以如图12所示。该计算机设备包括处理器、存储器、输入/输出接口(Input/Output,简称I/O)和通信接口。其中,处理器、存储器和输入/输出接口通过系统总线连接,通信接口通过输入/输出接口连接到系统总线。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质和内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储网站的网络攻击检测数据。该计算机设备的输入/输出接口用于处理器与外部设备之间交换信息。该计算机设备的通信接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种网站的网络攻击检测方法。
本领域技术人员可以理解,图12中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,还提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现上述各方法实施例中的步骤。
本申请实施例中处理器实现的各步骤,其实现原理和技术效果与上述网站的网络攻击检测方法的原理类似,在此不再赘述。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述各方法实施例中的步骤。
本申请实施例中计算机程序被处理器执行时实现的各步骤,其实现原理和技术效果与上述网站的网络攻击检测方法的原理类似,在此不再赘述。
在一个实施例中,提供了一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现上述各方法实施例中的步骤。
本申请实施例中计算机程序被处理器执行时实现的各步骤,其实现原理和技术效果与上述网站的网络攻击检测方法的原理类似,在此不再赘述。
需要说明的是,本申请所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于分析的数据、存储的数据、展示的数据等),均为经用户授权或者经过各方充分授权的信息和数据,且相关数据的收集、使用和处理需要遵守相关国家和地区的相关法律法规和标准。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-OnlyMemory,ROM)、磁带、软盘、闪存、光存储器、高密度嵌入式非易失性存储器、阻变存储器(ReRAM)、磁变存储器(Magnetoresistive Random Access Memory,MRAM)、铁电存储器(Ferroelectric Random Access Memory,FRAM)、相变存储器(Phase Change Memory,PCM)、石墨烯存储器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或外部高速缓冲存储器等。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random Access Memory,SRAM)或动态随机存取存储器(Dynamic RandomAccess Memory,DRAM)等。本申请所提供的各实施例中所涉及的数据库可包括关系型数据库和非关系型数据库中至少一种。非关系型数据库可包括基于区块链的分布式数据库等,不限于此。本申请所提供的各实施例中所涉及的处理器可为通用处理器、中央处理器、图形处理器、数字信号处理器、可编程逻辑器、基于量子计算的数据处理逻辑器等,不限于此。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本申请专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请的保护范围应以所附权利要求为准。

Claims (15)

1.一种网站的网络攻击检测方法,其特征在于,所述方法包括:
响应于目标网站的访问操作,获取所述目标网站的访问链接信息;
根据所述访问链接信息,对所述目标网站进行身份验证;
在所述目标网站的身份验证通过的情况下,根据所述访问链接信息获取所述目标网站的超文本传输协议信息;
根据所述超文本传输协议信息对所述目标网站进行网络攻击脚本判定,获得所述目标网站的网络攻击检测结果。
2.根据权利要求1所述的方法,其特征在于,所述访问链接信息包括二维码图像;所述根据所述访问链接信息,对所述目标网站进行身份验证,包括:
对所述二维码图像进行图像检测,确定所述目标网站的网站标签;
若预设的参考网站标签内存在与所述目标网站的网站标签相同的标签,则确定所述目标网站的身份验证通过;
若所述参考网站标签内不存在与所述目标网站的网站标签相同的标签,则确定所述目标网站的身份验证未通过。
3.根据权利要求1所述的方法,其特征在于,所述访问链接信息包括网址信息;所述根据所述访问链接信息,对所述目标网站进行身份验证,包括:
对所述网址信息进行分析,确定所述目标网站的数字证书;
若预设的数字证书列表中存在与所述目标网站的数字证书相同的数字证书,则确定所述目标网站的身份验证通过;
若所述数字证书列表不存在与所述目标网站的数字证书相同的数字证书,则确定所述目标网站的身份验证未通过。
4.根据权利要求1-3任一项所述的方法,其特征在于,所述方法还包括:
在所述目标网站的身份验证未通过的情况下,生成第一提示信息;所述提示信息用于提示用户所述目标网站为虚假网站。
5.根据权利要求1-3任一项所述的方法,其特征在于,所述超文本传输协议信息包括超文本传输协议请求信息和所述超文本传输协议响应信息;所述根据所述访问链接信息获取所述目标网站的超文本传输协议信息,包括:
对所述访问链接信息进行解析,得到访问所述目标网站的网站请求信息;
根据所述网站请求信息,生成所述超文本传输协议请求信息;
将所述超文本传输协议请求信息转发至服务器,并接收所述服务器返回的响应信息,将所述响应信息确定为所述超文本传输协议响应信息。
6.根据权利要求5所述的方法,其特征在于,所述根据所述超文本传输协议信息对所述目标网站进行网络攻击脚本判定,包括:
对所述超文本传输协议请求信息进行参数编码操作,得到请求参数列表;所述请求参数列表包括所述超文本传输协议请求信息中满足预设参数条件的参数;
若所述请求参数列表不为空,则根据所述请求参数列表和所述超文本传输协议响应信息对所述目标网站进行网络攻击脚本判定;
若所述请求参数列表为空,则根据所述超文本传输协议响应信息对所述目标网站进行网络攻击脚本判定。
7.根据权利要求6所述的方法,其特征在于,所述对所述超文本传输协议请求信息进行参数编码操作,得到请求参数列表,包括:
对所述超文本传输协议请求信息进行参数提取操作,得到多个参数;
分别对各所述参数进行编码处理,得到多个编码参数;
将所有编码参数中未满足所述预设参数条件的编码参数存储到空参数表中,得到所述请求参数列表。
8.根据权利要求7所述的方法,其特征在于,所述根据所述请求参数列表和所述超文本传输协议响应信息对所述目标网站进行网络攻击脚本判定,包括:
对所述超文本传输协议响应信息进行异常参数提取操作,得到多个异常参数,并将所述多个异常参数存储到空参数表中,得到响应参数列表;
根据所述请求参数列表和所述响应参数列表对所述目标网站进行网络攻击脚本判定。
9.根据权利要求8所述的方法,其特征在于,所述根据所述请求参数列表和所述响应参数列表对所述目标网站进行网络攻击脚本判定,包括:
将所述请求参数列表中的参数和所述响应参数列表中的参数进行匹配,得到所述请求参数列表与所述响应参数列表之间相同参数类别的数量;
在数量大于预设数量阈值的情况下,确定所述目标网站中存在网络攻击脚本;
在数量小于或等于所述预设数量阈值的情况下,根据所述超文本传输协议响应信息对所述目标网站进行网络攻击脚本判定。
10.根据权利要求9所述的方法,其特征在于,所述根据所述超文本传输协议响应信息对所述目标网站进行网络攻击脚本判定,包括:
提取所述超文本传输协议响应信息中的参数类别;
若所述超文本传输协议响应信息中存在与预设的攻击参数库中相同的参数类别,则确定所述目标网站中存在网络攻击脚本;
若所述超文本传输协议响应信息中不存在与所述攻击参数库中相同的参数类别,则确定所述目标网站中不存在网络攻击脚本,并对所述超文本传输协议响应信息进行编码,通过所述编码后的超文本传输协议响应信息访问所述目标网站。
11.根据权利要求10所述的方法,其特征在于,所述方法还包括:
若所述目标网站中存在网络攻击脚本,则生成第二提示信息;所述第二提示信息用于提示用户所述目标网站为脚本攻击网站。
12.一种网站的网络攻击检测装置,其特征在于,所述装置包括:
链接获取模块,用于响应于目标网站的访问操作,获取所述目标网站的访问链接信息;
验证模块,用于根据所述访问链接信息,对所述目标网站进行身份验证;
信息获取模块,用于在所述目标网站的身份验证通过的情况下,根据所述访问链接信息获取所述目标网站的超文本传输协议信息;
判定模块,用于根据所述超文本传输协议信息对所述目标网站进行网络攻击脚本判定,获得所述目标网站的网络攻击检测结果。
13.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至11中任一项所述的方法的步骤。
14.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至11中任一项所述的方法的步骤。
15.一种计算机程序产品,包括计算机程序,其特征在于,该计算机程序被处理器执行时实现权利要求1至11中任一项所述的方法的步骤。
CN202310877067.2A 2023-07-17 2023-07-17 网站的网络攻击检测方法、装置、设备、介质和程序产品 Pending CN117040804A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310877067.2A CN117040804A (zh) 2023-07-17 2023-07-17 网站的网络攻击检测方法、装置、设备、介质和程序产品

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310877067.2A CN117040804A (zh) 2023-07-17 2023-07-17 网站的网络攻击检测方法、装置、设备、介质和程序产品

Publications (1)

Publication Number Publication Date
CN117040804A true CN117040804A (zh) 2023-11-10

Family

ID=88601378

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310877067.2A Pending CN117040804A (zh) 2023-07-17 2023-07-17 网站的网络攻击检测方法、装置、设备、介质和程序产品

Country Status (1)

Country Link
CN (1) CN117040804A (zh)

Similar Documents

Publication Publication Date Title
Gupta et al. Hunting for DOM-Based XSS vulnerabilities in mobile cloud-based online social network
US8856937B1 (en) Methods and systems for identifying fraudulent websites
US10721271B2 (en) System and method for detecting phishing web pages
EP2673708B1 (en) DISTINGUISH VALID USERS FROM BOTS, OCRs AND THIRD PARTY SOLVERS WHEN PRESENTING CAPTCHA
Shekokar et al. An ideal approach for detection and prevention of phishing attacks
US20150319189A1 (en) Protecting websites from cross-site scripting
EP1999609A2 (en) Client side attack resistant phishing detection
US10015191B2 (en) Detection of man in the browser style malware using namespace inspection
US20190222587A1 (en) System and method for detection of attacks in a computer network using deception elements
CN102073822A (zh) 防止用户信息泄漏的方法及系统
CN112182614B (zh) 一种动态Web应用防护系统
CN112131564A (zh) 加密数据通信方法、装置、设备以及介质
CN107612926A (zh) 一种基于客户端识别的一句话WebShell拦截方法
Gupta et al. Cross-site scripting attacks: classification, attack, and countermeasures
Kour et al. Tracing out cross site scripting vulnerabilities in modern scripts
Das et al. Detection of cross-site scripting attack under multiple scenarios
Abiodun et al. Linkcalculator—An efficient link-based phishing detection tool
Wang et al. A novel method to prevent phishing by using OCR technology
Shahriar et al. Information source-based classification of automatic phishing website detectors
CN118202350A (zh) 检测并防止跨站点请求伪造缓解特征的不一致使用
CN117040804A (zh) 网站的网络攻击检测方法、装置、设备、介质和程序产品
Jaswal et al. Detection and Prevention of Phishing Attacks on Banking Website
Saračević et al. Some specific examples of attacks on information systems and smart cities applications
CN109218332B (zh) 一种埋点式钓鱼网站监测方法
SRIDEVI et al. Dynamic Malware Attack Detection and Prevention in Real TIME Iot with Hybridsignature Free Method

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination