[發(fā)明專利]跨站攻擊的檢測方法、裝置和具有該裝置的防火墻有效
| 申請?zhí)枺?/td> | 201210346751.X | 申請日: | 2012-09-18 |
| 公開(公告)號: | CN102833269A | 公開(公告)日: | 2012-12-19 |
| 發(fā)明(設(shè)計)人: | 張斌;常磊 | 申請(專利權(quán))人: | 蘇州山石網(wǎng)絡(luò)有限公司 |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06 |
| 代理公司: | 北京康信知識產(chǎn)權(quán)代理有限責任公司 11240 | 代理人: | 吳貴明;張永明 |
| 地址: | 215163 江蘇省蘇州市高新區(qū)*** | 國省代碼: | 江蘇;32 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 攻擊 檢測 方法 裝置 具有 防火墻 | ||
技術(shù)領(lǐng)域
本發(fā)明涉及互聯(lián)網(wǎng)領(lǐng)域,具體而言,涉及一種跨站攻擊的檢測方法、裝置和具有該裝置的防火墻。
背景技術(shù)
近幾年,跨站攻擊(Cross?Site?Scripting,XSS)始終盤踞著Web安全威脅的榜首。攻擊者通過XSS,可以達到諸如釣魚、網(wǎng)站掛馬、HTTP會話劫持、信息盜取等非法目的,因此,XSS嚴重影響Web的安全和正常運行。
為了檢測XSS,現(xiàn)有的IPS、IDS或WAF等系統(tǒng)中,均是基于正則表達式匹配的防護技術(shù),也即通過正則表達式描述XSS行為,與正則表達式相匹配的行為確定為XSS行為,例如采用如下的正則表達式:<iframe/s+(src/s*=|height/s*=|width/s*=)。
但是,可以用于XSS的形式非常多,幾乎每一個HTML標簽、CSS標簽都可以被用于攻擊,為了避免漏報,需要通過大量的正則表達式進行匹配,無疑會直接產(chǎn)生網(wǎng)絡(luò)性能的降低。同時,HTML、CSS標簽的混淆形式非常多,例如攻擊者可以通過HTTP編碼、HTML編碼、添加無效字符(控制字符、換行符、標點符號)等手段進行防御躲避,使得基于正則表達式的防護技術(shù)出現(xiàn)漏報。為了避免漏報,需要對正則表達式放寬描述精度,而這種做法又會直接導(dǎo)致誤報的出現(xiàn)。此外,采用基于正則表達式的防護技術(shù),在規(guī)則命中后,沒有額外的處理,從而安全管理員不能知道攻擊的詳細行為,給安全管理員的工作帶來了額外的分析負擔。
綜上,由于正則表達式本身描述能力的局限性,使得基于正則表達式的XSS檢測技術(shù)存在誤報高和漏報高的缺點。
為了克服正則表達式在表述能力上的弱點,現(xiàn)存的很多WAF類產(chǎn)品采用基于機器學習的檢測技術(shù)。通常該類技術(shù)都需要一個學習階段,也即:采用統(tǒng)計分析、數(shù)據(jù)挖掘等方法,學習到正常流量的數(shù)據(jù)特征后,在后續(xù)的檢測階段,對接收到的流量在學習到的正常流量模型的指導(dǎo)下進行分類,采用“非正常即異常”的方式檢測攻擊。
但是,由于機器學習過程中存在過學習和欠學習的問題,過學習通常意味著攻擊流量混入了正常流量中被錯誤地學習,從而導(dǎo)致攻擊的特征被帶入到最終的正常流量模型,此時在檢測時會帶來漏報的問題;欠學習通常意味著學習流量并沒有包含所有的正常流量模式,導(dǎo)致部分正常流量的模型沒有被學習到,在檢測過程中會導(dǎo)致誤報的問題。
綜上,由于現(xiàn)實中很難完整地學習到正常流量的所有特征,使得基于機器學習的檢測技術(shù)中仍然存在誤報和漏報的問題。
針對相關(guān)技術(shù)中跨站攻擊的檢測方法容易誤報和漏報的問題,目前尚未提出有效的解決方案。
發(fā)明內(nèi)容
本發(fā)明的主要目的在于提供一種跨站攻擊的檢測方法、裝置和具有該裝置的防火墻,以解決跨站攻擊的檢測方法容易誤報和漏報的問題。
為了實現(xiàn)上述目的,根據(jù)本發(fā)明的一個方面,提供了一種跨站攻擊的檢測方法。
根據(jù)本發(fā)明的跨站攻擊的檢測方法包括:對用戶提交的數(shù)據(jù)進行參數(shù)分解,得到分解后的參數(shù);對分解后的參數(shù)進行HTTP編碼的解碼,得到解碼后的參數(shù);對解碼后的參數(shù)進行詞法分析,得到詞法分析后的參數(shù);對詞法分析后的參數(shù)進行語法分析,并建立語法樹;以及當語法樹建立成功時,確定用戶提交的數(shù)據(jù)對應(yīng)的行為是跨站攻擊。
進一步地,對用戶提交的數(shù)據(jù)進行參數(shù)分解包括以下任意一種或多種參數(shù)分解:對數(shù)據(jù)請求行中的URI進行參數(shù)分解;對數(shù)據(jù)請求的Cookie首部進行參數(shù)分解;對數(shù)據(jù)請求的Cookie2首部進行參數(shù)分解;對數(shù)據(jù)請求的Referer首部進行參數(shù)分解;以及對POST請求的實體進行參數(shù)分解。
進一步地,在對解碼后的參數(shù)進行詞法分析之前,該方法還包括:判斷解碼后的參數(shù)是否由數(shù)字和/或字母組成,其中,對解碼后的參數(shù)進行詞法分析包括:當解碼后的參數(shù)不是由數(shù)字和/或字母組成時,對解碼后的參數(shù)進行詞法分析。
進一步地,對解碼后的參數(shù)進行詞法分析,以得到詞法分析后的參數(shù)包括:對解碼后的參數(shù)進行HTML的詞法分析,以得到HTML詞法分析后的參數(shù);以及對解碼后的參數(shù)進行CSS的詞法分析,以得到CSS詞法分析后的參數(shù)。
進一步地,對詞法分析后的參數(shù)進行語法分析包括:對HTML詞法分析后的參數(shù)進行HTML語法分析;以及對CSS詞法分析后的參數(shù)進行CSS語法分析。
進一步地,在確定用戶提交的數(shù)據(jù)對應(yīng)的行為是跨站攻擊后,該方法還包括:對成功建立的語法樹進行語義分析;以及根據(jù)語義分析的結(jié)果確定跨站攻擊的目的。
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于蘇州山石網(wǎng)絡(luò)有限公司,未經(jīng)蘇州山石網(wǎng)絡(luò)有限公司許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201210346751.X/2.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
