跨站攻擊的檢測方法、裝置和具有該裝置的防火牆的製作方法
2023-05-05 00:27:46
專利名稱:跨站攻擊的檢測方法、裝置和具有該裝置的防火牆的製作方法
技術領域:
本發明涉及網際網路領域,具體而言,涉及一種跨站攻擊的檢測方法、裝置和具有該裝置的防火牆。
背景技術:
近幾年,跨站攻擊(Cross Site Scripting, XSS)始終盤跟著Web安全威脅的榜首。攻擊者通過XSS,可以達到諸如釣魚、網站掛馬、HTTP會話劫持、信息盜取等非法目的,因此,XSS嚴重影響Web的安全和正常運行。
為了檢測XSS,現有的IPS、IDS或WAF等系統中,均是基於正則表達式匹配的防護技術,也即通過正則表達式描述XSS行為,與正則表達式相匹配的行為確定為XSS行為,例如採用如下的正則表達式〈iframe\s+(src\s* = | height's* = | width's* =)。但是,可以用於XSS的形式非常多,幾乎每一個HTML標籤、CSS標籤都可以被用於攻擊,為了避免漏報,需要通過大量的正則表達式進行匹配,無疑會直接產生網絡性能的降低。同時,HTML、CSS標籤的混淆形式非常多,例如攻擊者可以通過HTTP編碼、HTML編碼、添加無效字符(控制字符、換行符、標點符號)等手段進行防禦躲避,使得基於正則表達式的防護技術出現漏報。為了避免漏報,需要對正則表達式放寬描述精度,而這種做法又會直接導致誤報的出現。此外,採用基於正則表達式的防護技術,在規則命中後,沒有額外的處理,從而安全管理員不能知道攻擊的詳細行為,給安全管理員的工作帶來了額外的分析負擔。綜上,由於正則表達式本身描述能力的局限性,使得基於正則表達式的XSS檢測技術存在誤報高和漏報高的缺點。為了克服正則表達式在表述能力上的弱點,現存的很多WAF類產品採用基於機器學習的檢測技術。通常該類技術都需要一個學習階段,也即採用統計分析、數據挖掘等方法,學習到正常流量的數據特徵後,在後續的檢測階段,對接收到的流量在學習到的正常流量模型的指導下進行分類,採用「非正常即異常」的方式檢測攻擊。但是,由於機器學習過程中存在過學習和欠學習的問題,過學習通常意味著攻擊流量混入了正常流量中被錯誤地學習,從而導致攻擊的特徵被帶入到最終的正常流量模型,此時在檢測時會帶來漏報的問題;欠學習通常意味著學習流量並沒有包含所有的正常流量模式,導致部分正常流量的模型沒有被學習到,在檢測過程中會導致誤報的問題。綜上,由於現實中很難完整地學習到正常流量的所有特徵,使得基於機器學習的檢測技術中仍然存在誤報和漏報的問題。針對相關技術中跨站攻擊的檢測方法容易誤報和漏報的問題,目前尚未提出有效的解決方案。
發明內容
本發明的主要目的在於提供一種跨站攻擊的檢測方法、裝置和具有該裝置的防火牆,以解決跨站攻擊的檢測方法容易誤報和漏報的問題。
為了實現上述目的,根據本發明的一個方面,提供了一種跨站攻擊的檢測方法。根據本發明的跨站攻擊的檢測方法包括對用戶提交的數據進行參數分解,得到分解後的參數;對分解後的參數進行HTTP編碼的解碼,得到解碼後的參數;對解碼後的參數進行詞法分析,得到詞法分析後的參數;對詞法分析後的參數進行語法分析,並建立語法樹;以及當語法樹建立成功時,確定用戶提交的數據對應的行為是跨站攻擊。進一步地,對用戶提交的數據進行參數分解包括以下任意一種或多種參數分解對數據請求行中的URI進行參數分解;對數據請求的Cookie首部進行參數分解;對數據請求的Cookie2首部進行參數分解;對 數據請求的Referer首部進行參數分解;以及對POST請求的實體進行參數分解。進一步地,在對解碼後的參數進行詞法分析之前,該方法還包括判斷解碼後的參數是否由數字和/或字母組成,其中,對解碼後的參數進行詞法分析包括當解碼後的參數不是由數字和/或字母組成時,對解碼後的參數進行詞法分析。進一步地,對解碼後的參數進行詞法分析,以得到詞法分析後的參數包括對解碼後的參數進行HTML的詞法分析,以得到HTML詞法分析後的參數;以及對解碼後的參數進行CSS的詞法分析,以得到CSS詞法分析後的參數。進一步地,對詞法分析後的參數進行語法分析包括對HTML詞法分析後的參數進行HTML語法分析;以及對CSS詞法分析後的參數進行CSS語法分析。進一步地,在確定用戶提交的數據對應的行為是跨站攻擊後,該方法還包括對成功建立的語法樹進行語義分析;以及根據語義分析的結果確定跨站攻擊的目的。進一步地,在確定用戶提交的數據對應的行為是跨站攻擊後,該方法還包括將用戶提交的數據在虛擬機中執行;以及根據執行結果確定跨站攻擊的目的。為了實現上述目的,根據本發明的另一方面,提供了一種跨站攻擊的檢測裝置。根據本發明的跨站攻擊的檢測裝置用於執行本發明提供的任意一種檢測方法。為了實現上述目的,根據本發明的另一方面,提供了一種跨站攻擊的檢測裝置。根據本發明的跨站攻擊的檢測裝置包括協議分析器,用於對用戶提交的數據進行參數分解,並對分解後的參數進行HTTP編碼的解碼,得到解碼後的參數;詞法分析器,用於對解碼後的參數進行詞法分析,得到詞法分析後的參數;以及語法分析器,用於對詞法分析後的參數進行語法分析,並建立語法樹,以及當語法樹建立成功時,確定用戶提交的數據對應的行為是跨站攻擊。進一步地,該裝置還包括判斷單元,用於在對解碼後的參數進行詞法分析之前,判斷解碼後的參數是否由數字和/或字母組成,其中,詞法分析器還用於當解碼後的參數不是由數字和/或字母組成時,對解碼後的參數進行詞法分析。進一步地,該裝置還包括語義解析器,用於在確定用戶提交的數據對應的行為是跨站攻擊後,對成功建立的語法樹進行語義分析,以及根據語義分析的結果確定跨站攻擊的目的。進一步地,該裝置還包括虛擬機,用於在確定用戶提交的數據對應的行為是跨站攻擊後,執行用戶提交的數據,以及根據執行結果確定跨站攻擊的目的。為了實現上述目的,根據本發明的另一方面,提供了一種防火牆。根據本發明的防火牆包括本發明提供的任意一種跨站攻擊的檢測裝置。
通過本發明,採用包括以下步驟的跨站攻擊的檢測方法首先對用戶提交的數據進行參數分解,然後對分解後的參數進行HTTP編碼的解碼,最後對解碼後的參數進行詞法分析和語法分析,並嘗試建立語法樹,當語法樹能夠成功建立時,確定用戶提交的數據對應的行為是跨站攻擊,實現了一種基於語法分析的智能檢測手段,不是通過描述攻擊表現形式,而是通過描述跨站攻擊本質特徵以達到檢測跨站攻擊的目的,解決了跨站攻擊的檢測方法容易誤報和漏報的問題,進而達到了同時降低誤報和漏報的效果。
構成本申請的一部分的附圖用來提供對本發明的進一步理解,本發明的示意性實施例及其說明用於解釋本發明,並不構成對本發明的不當限定。在附圖中圖I是根據本發明實施例的防火牆的工作示意圖;圖2是根據本發明第一實施例的跨站攻擊的檢測裝置的框圖;
圖3是根據本發明第二實施例的跨站攻擊的檢測裝置的框圖;圖4是根據本發明實施例的語法樹的示意圖;以及圖5是根據本發明實施例的跨站攻擊的檢測方法的流程圖。
具體實施例方式需要說明的是,在不衝突的情況下,本申請中的實施例及實施例中的特徵可以相互組合。下面將參考附圖並結合實施例來詳細說明本發明。圖I是根據本發明實施例的防火牆的工作示意圖,如圖I所示,從網際網路至WEB伺服器,依次經過路由器或交換器、防火牆以及負載平衡,防火牆具有跨站攻擊檢測功能,設置於網際網路與伺服器之間,對跨站攻擊的用戶數據進行過濾,防止攻擊者對伺服器的惡意訪問。其中,該實施例中的防火牆在進行跨站攻擊檢測時,對用戶提交的數據進行詞法和語法的分析,通過描述攻擊本質特徵來檢測跨站攻擊,能夠更好的檢測並組織跨站攻擊,降低誤檢測和漏檢測的概率。本發明實施例還提供了跨站攻擊的檢測裝置,以下對本發明實施例所提供的跨站攻擊的檢測裝置進行介紹。需要說明的是,在本發明實施例的跨站攻擊的檢測裝置均可應用於本發明的防火牆。圖2是根據本發明第一實施例的跨站攻擊的檢測裝置的框圖,如圖2所示,該檢測裝置包括協議分析器10、詞法分析器30和語法分析器50。協議分析器10首先對經過檢測裝置的HTTP流量進行HTTP協議分析,也即對用戶提交的數據先進行參數分解,然後對分解後的參數進行HTTP編碼的解碼,最終輸出解碼後的參數。優選地,協議分析器10分析的對象主要針對的是跨站攻擊通常發生的對象,並且按照數據提交的數據,依次分析請求行、請求首部和請求實體。其中,具體的分析對象包括請求行中的URI、請求的Cookie首部、請求的Cookie2首部、請求的Referer首部和POST請求的實體。通過協議分析器10後得到解碼後的參數後,詞法分析器30對各個解碼後的參數進行詞法分析,並去掉注釋、無意義的字符,例如對於下列標籤〈script src% $#i = ^xxxO瀏覽器會忽略「 src 」後邊到「=」前邊的字符,這些字符就是無意義字符。嚴格來說,這樣寫是一種錯誤,但是瀏覽器為了容錯和方便的需要(因為很多開發者由於筆誤,錯寫了無效字符),主動選擇了忽視無效字符。這雖然讓瀏覽器獲得了更好的容錯性能,但是也給攻擊者提供了便利,可以利用無效的字符進行攻擊特徵混淆,得到詞法分析後的參數。語法分析器50維護一個完善的、嚴格的通過上下文無關語言描述的語法分析表,把經過詞法分析器30分析後的參數進行語法分析,嘗試按照語言規範建立語法樹。跨站攻擊XSS的原理是注入可以在瀏覽器端執行的腳本,所以,要實施跨站攻擊,攻擊者所提交的惡意數據無論怎麼變化,最終都必須滿足語法規範,否則受害者瀏覽器將不能執行嵌入的惡意代碼。因此,經過語法分析器50按照完備的規範進行語法解析後,如果用戶提交的數據能夠通過語法分析並成功建立語法樹,這就意味著用戶提交的數據包含 符合語法規範的代碼,即確定用戶提交的數據對應的行為是可疑的跨站攻擊。採用該實施例提供的跨站攻擊的檢測裝置,實現了一種基於語法分析的智能檢測手段,實時對用戶提交的數據進行分析檢測,不是通過描述攻擊表現形式,而是通過描述跨站攻擊本質特徵以達到檢測跨站攻擊的目的,同時降低跨站攻擊檢測的誤報率和漏報率,能夠更好地防止跨站攻擊,維護網絡安全。圖3是根據本發明第二實施例的跨站攻擊的檢測裝置的框圖,如圖3所示,協議分析器首先對經過檢測裝置的HTTP流量進行HTTP協議分析,也即對用戶提交的數據先進行參數分解,分析的對象主要針對的是跨站攻擊通常發生的對象,具體包括請求行中的URI、請求的Cookie首部、請求的Cookie2首部、請求的Referer首部和POST請求的實體,然後對各個對象的各個參數進行HTTP編碼的解碼。例如,協議分析器對用戶提交的如下URI進行參數分解和解碼/seach. asp id = IMfind = % 3C% 26% 23% 78% 34% 39% 3B% 4D% 47%20% 53% 54% 59% 4C% 45% 3D% 22% 78% 73% 73% 3A% 65% 78% 70% 72% 2F%2A% 58% 53% 53% 2A% 2F% 65% 73% 73% 69% 6F% 6E% 28% 61% 6C% 65% 72%74% 28% 27% 58% 53% 53% 27% 29% 29% 22% 3E% OA經過協議分析器後,將被分解、解碼還原成兩個參數Id (name =」id」, value = I);Find (name =」find,,,value = <I ;MG STYLE = " xss: expr/*XSS*/ession(alert {' XSS'))" >)。為了提高檢測裝置的處理速度,在進行詞法和語法分析前,先進行初步判斷,以排除明顯的正常流量,該檢測裝置還包括判斷單元,在經過協議分析器進行參數分解和解碼之後,在對解碼後的參數進行詞法分析之前,判斷單元判斷解碼後的參數是否由數字和/或字母組成。例如,針對上述的兩個參數Id和Find,由於第一個參數Id的值是一個有數字組成的字符串,所以該參數肯定不會發生跨站攻擊,而第二個參數Find,其值中包含標點符號,需要進行進一步的詞法分析。如果URI的兩個參數Id和Find均由數字和字母的組合、數字或字母組成,則該URI為正常明顯流量,不需要進行跨站攻擊的檢測。在上述的判斷中,如果解碼後的參數不是由數字和/或字母組成時,則需對解碼後的參數進行詞法分析。其中,HTML詞法分析器負責還原HTML編碼,並去掉注釋、無意義的字符;CSS詞法分析器負責還原CSS中的編碼,並去掉注釋、無意義的字符。對於上述的Find參數,經過HTML詞法分析器後,將還原成〈IMG STYLE = " xss: expression (alert {' XSS'))" >)。在進行詞法分析後,語法分析器把經過詞法分析器分析後的參數進行語法分析,其中,HTML語法分析器用於維護一個完善的、嚴格的通過上下文無關語言描述的HTML語法分析表;CSS語法分析器用於維護一個完善的、嚴格的通過上下文無關語言描述的CSS語法分析表。語法分析器的作用是把經過詞法分析器解碼後的字符串,嘗試按照語言規範建立語法樹。對於上述的Find參數,經過語法分析器後,能夠建立如圖4所示的語法樹,從而能夠確定用戶提交的數據對應的行為是可疑的跨站攻擊。在成功建立語法樹的基礎上,通過最終的HTML語義解析器和CSS語義解析器對語法樹進行分析,如果發現用戶提交的代碼在語義上是Script操作,或者添加有潛在威脅的標籤,例如 IFRAME、OBJECT、LINK、SCRIPT、STYLE、APPLET、META、EMBED 等等,則可進一步確 認攻擊者的攻擊目的,最終將分析得到的攻擊目的存儲在日誌收集器中,並進行報警。在該實施例中,實現了一種基於語法分析和語義執行的智能檢測手段,通過描述攻擊本質特徵檢測跨站攻擊而不是通過描述攻擊表現形式,並且進一步對確定的跨站攻擊進行語義分析,向安全管理員提供跨站攻擊的分析結果。採用該實施例提供的跨站攻擊的檢測裝置,能夠克服正則表達式描述能力弱的缺點,比基於正則表達式特徵的檢測手段具有更高的檢測能力,對抵禦零日攻擊具有更好的適應力,有更高的檢出率和更低的漏報率;相比於基於機器學習的檢測手段,該裝置克服了機器學習問題中過學習和欠學習的問題,使得漏報率和誤報率更低;並且能夠提供能詳細的行為目的說明,有效幫助安全管理員進行事後分析。為了更加準確的得到跨站攻擊的目的,可以採用虛擬機來替代圖3所示實施例中的語義解析器,在確定用戶提交的數據對應的行為是跨站攻擊後,通過虛擬機來執行用戶提交的數據,從而根據執行結果準確的確定跨站攻擊的目的。本發明實施例還提供了跨站攻擊的檢測方法,以下對本發明實施例所提供的跨站攻擊的檢測方法進行介紹。需要說明的是,在本發明實施例的跨站攻擊的檢測方法可以通過本發明實施例所提供的跨站攻擊的檢測裝置來執行,本發明實施例的跨站攻擊的檢測裝置也可以用於執行本發明實施例所提供的跨站攻擊的檢測方法。圖5是根據本發明實施例的跨站攻擊的檢測方法的流程圖,如圖5所示,該方法包括如下的步驟S102至步驟SllO 步驟S102 :對用戶提交的數據進行參數分解,得到分解後的參數。步驟S104 :對分解後的參數進行HTTP編碼的解碼,得到解碼後的參數。上述的步驟S102和步驟S104可通過圖2所示實施例中的協議分析器10執行,通過上述的兩個步驟,對經過跨站攻擊防護設備的HTTP流量進行HTTP協議分析,也即對用戶提交的數據先進行參數分解,然後對分解後的參數進行HTTP編碼的解碼,最終輸出解碼後的參數。優選地,上述兩個步驟中分析的對象主要針對的是跨站攻擊通常發生的對象,並且按照數據提交的數據,依次分析請求行、請求首部和請求實體。其中,具體的分析對象包括請求行中的URI、請求的Cookie首部、請求的Cookie2首部、請求的Referer首部和POST請求的實體。步驟S106 :對解碼後的參數進行詞法分析,得到詞法分析後的參數。該步驟可通過圖2所示實施例中的詞法分析器30執行,在詞法分析過程中,可直接將注釋和無意義的字符去掉,優選地,對解碼後的參數進行詞法分析包括HTML詞法分析和CSS詞法分析。步驟S108 :對詞法分析後的參數進行語法分析,並建立語法樹。步驟SllO :當語法樹建立成功時,確定用戶提交的數據對應的行為是跨站攻擊。 上述的步驟S108和步驟SllO可通過圖2所示實施例中的語分析器50執行,跨站攻擊XSS的原理是注入可以在瀏覽器端執行的腳本,所以,要實施跨站攻擊,攻擊者所提交的惡意數據無論怎麼變化,最終都必須滿足語法規範,否則受害者瀏覽器將不能執行嵌入的惡意代碼。因此,步驟S108和步驟SllO按照完備的規範進行語法解析後,如果用戶提交的數據能夠通過語法分析並成功建立語法樹,這就意味著用戶提交的數據包含符合語法規範的代碼,即確定用戶提交的數據對應的行為是可疑的跨站攻擊,優選地,對HTML詞法分析後的參數進行HTML語法分析,對CSS詞法分析後的參數進行CSS語法分析。採用該實施例提供的跨站攻擊的檢測方法,能夠克服正則表達式描述能力弱的缺點,比基於正則表達式特徵的檢測手段具有更高的檢測能力,對抵禦零日攻擊具有更好的適應力,有更高的檢出率和更低的漏報率;相比於基於機器學習的檢測手段,該裝置克服了機器學習問題中過學習和欠學習的問題,使得漏報率和誤報率更低。為了提高檢測方法速度,在進行詞法和語法分析前,先進行初步判斷,以排除明顯的正常流量,優選地,在該步驟S106之前,該方法還包括判斷解碼後的參數是否由數字和/或字母組成,其中,如果解碼後的參數是由數字和/或字母組成,則該用戶提交的數據屬於正常流量,無需進行後續的步驟S108和步驟SllO的處理,如果解碼後的參數不是由數字和/或字母組成,依次執行步驟S108和步驟SllO的處理,對解碼後的參數進行詞法分析和語法分析。為了能夠向安全管理員提供詳細的跨站攻擊的行為目的,有效幫助安全管理員進行事後分析,優選地,在步驟SllO之後,確定用戶提交的數據對應的行為是跨站攻擊後,該方法還包括對成功建立的語法樹進行語義分析,並根據語義分析的結果確定跨站攻擊的目的。為了向安全管理員提供更加準確的得到跨站攻擊的目的,更加有效地幫助安全管理員進行事後分析,進一步優選地,在步驟SllO之後,將用戶提交的數據在虛擬機中執行,並根據執行結果確定跨站攻擊的目的。從以上的描述中,可以看出,本發明實現了如下技術效果實現了一種基於語法分析的智能檢測手段,實時對用戶提交的數據進行分析檢測,不是通過描述攻擊表現形式,而是通過描述跨站攻擊本質特徵以達到檢測跨站攻擊的目的,同時降低跨站攻擊檢測的誤報率和漏報率,能夠更好地防止跨站攻擊,維護網絡安全。需要說明的是,在附圖的流程圖示出的步驟可以在諸如一組計算機可執行指令的計算機系統中執行,並且,雖然在流程圖中示出了邏輯順序,但是在某些情況下,可以以不同於此處的順序執行所示出或描述的步驟。
顯然,本領域的技術人員應該明白,上述的本發明的各模塊或各步驟可以用通用的計算裝置來實現,它們可以集中在單個的計算裝置上,或者分布在多個計算裝置所組成的網絡上,可選地,它們可以用計算裝置可執行的程序代碼來實現,從而,可以將它們存儲在存儲裝置中由計算裝置來執行,或者將它們分別製作成各個集成電路模塊,或者將它們中的多個模塊或步驟製作成單個集成電路模塊來實現。這樣,本發明不限制於任何特定的硬體和軟體結合。以上所述僅為本發明的優選實施例而已,並不用於限制本發明,對於本領域的技 術人員來說,本發明可以有各種更改和變化。凡在本發明的精神和原則之內,所作的任何修改、等同替換、改進等,均應包含在本發明的保護範圍之內。
權利要求
1.一種跨站攻擊的檢測方法,其特徵在於,包括 對用戶提交的數據進行參數分解,得到分解後的參數; 對所述分解後的參數進行HTTP編碼的解碼,得到解碼後的參數; 對所述解碼後的參數進行詞法分析,得到詞法分析後的參數; 對所述詞法分析後的參數進行語法分析,並建立語法樹;以及 當所述語法樹建立成功時,確定所述用戶提交的數據對應的行為是跨站攻擊。
2.根據權利要求I所述的跨站攻擊的檢測方法,其特徵在於,對用戶提交的數據進行參數分解包括以下任意一種或多種參數分解 對數據請求行中的URI進行參數分解; 對數據請求的Cookie首部進行參數分解; 對數據請求的Cookie2首部進行參數分解; 對數據請求的Referer首部進行參數分解;以及 對POST請求的實體進行參數分解。
3.根據權利要求I所述的跨站攻擊的檢測方法,其特徵在於,在對所述解碼後的參數進行詞法分析之前,所述方法還包括 判斷所述解碼後的參數是否由數字和/或字母組成, 其中,對所述解碼後的參數進行詞法分析包括當所述解碼後的參數不是由數字和/或字母組成時,對所述解碼後的參數進行詞法分析。
4.根據權利要求I所述的跨站攻擊的檢測方法,其特徵在於,對所述解碼後的參數進行詞法分析,以得到詞法分析後的參數包括 對所述解碼後的參數進行HTML的詞法分析,以得到HTML詞法分析後的參數;以及 對所述解碼後的參數進行CSS的詞法分析,以得到CSS詞法分析後的參數。
5.根據權利要求4所述的跨站攻擊的檢測方法,其特徵在於,對所述詞法分析後的參數進行語法分析包括 對所述HTML詞法分析後的參數進行HTML語法分析;以及 對所述CSS詞法分析後的參數進行CSS語法分析。
6.根據權利要求I至5中任一項所述的跨站攻擊的檢測方法,其特徵在於,在確定所述用戶提交的數據對應的行為是跨站攻擊後,所述方法還包括 對成功建立的語法樹進行語義分析;以及 根據語義分析的結果確定所述跨站攻擊的目的。
7.根據權利要求I至5中任一項所述的跨站攻擊的檢測方法,其特徵在於,在確定所述用戶提交的數據對應的行為是跨站攻擊後,所述方法還包括 將所述用戶提交的數據在虛擬機中執行;以及 根據執行結果確定所述跨站攻擊的目的。
8.一種跨站攻擊的檢測裝置,其特徵在於,包括 協議分析器,用於對用戶提交的數據進行參數分解,並對分解後的參數進行HTTP編碼的解碼,得到解碼後的參數; 詞法分析器,用於對所述解碼後的參數進行詞法分析,得到詞法分析後的參數;以及 語法分析器,用於對所述詞法分析後的參數進行語法分析,並建立語法樹,以及當所述語法樹建立成功時,確定所述用戶提交的數據對應的行為是跨站攻擊。
9.根據權利要求8所述的跨站攻擊的檢測裝置,其特徵在於,還包括 判斷單元,用於在對所述解碼後的參數進行詞法分析之前,判斷所述解碼後的參數是否由數字和/或字母組成, 其中,所述詞法分析器還用於當所述解碼後的參數不是由數字和/或字母組成時,對所述解碼後的參數進行詞法分析。
10.根據權利要求8或9所述的跨站攻擊的檢測方法,其特徵在於,還包括 語義解析器,用於在確定所述用戶提交的數據對應的行為是跨站攻擊後,對成功建立的語法樹進行語義分析,以及根據語義分析的結果確定所述跨站攻擊的目的。
11.根據權利要求8或9所述的跨站攻擊的檢測裝置,其特徵在於,還包括 虛擬機,用於在確定所述用戶提交的數據對應的行為是跨站攻擊後,執行所述用戶提交的數據,以及根據執行結果確定所述跨站攻擊的目的。
12.一種防火牆,其特徵在於,包括權利要求8至11中任一項所述的跨站攻擊的檢測>j-U ρ α裝直。
全文摘要
本發明提供了一種跨站攻擊的檢測方法、檢測裝置和具有該裝置的防火牆。該檢測方法首先對用戶提交的數據進行參數分解,然後對分解後的參數進行HTTP編碼的解碼,最後對解碼後的參數進行詞法分析和語法分析,並嘗試建立語法樹,當語法樹能夠成功建立時,確定用戶提交的數據對應的行為是跨站攻擊。通過本發明,實現了一種基於語法分析的智能檢測手段,不是通過描述攻擊表現形式,而是通過描述跨站攻擊本質特徵以達到檢測跨站攻擊的目的,降低了誤報率和漏報率。
文檔編號H04L29/06GK102833269SQ20121034675
公開日2012年12月19日 申請日期2012年9月18日 優先權日2012年9月18日
發明者張斌, 常磊 申請人:蘇州山石網絡有限公司