一种基于浏览器标签属性的入侵检测方法及装置制造方法及图纸

本发明专利技术公开了一种基于浏览器标签属性的入侵检测方法及装置。该入侵检测方法包括：根据第一规则检测第一标签的属性，以判断所述第一标签是否是恶意标签，所述第一标签包括iframe标签、img标签和embed标签中至少一种；根据第二规则检测第二标签的属性，以判断所述第二标签是否是恶意标签，所述第二标签包括SCRIPT标签和CSS标签中至少一种；根据第三规则检测第三标签的属性，以判断所述第三标签是否是恶意标签，所述第三标签包括div标签；根据第四规则检测第四标签的属性，以判断所述第四标签是否是恶意标签，所述第四标签包括form标签；以及根据第五规则检测第五标签的属性，以判断所述第五标签是否是恶意标签。

【技术实现步骤摘要】
—种基于浏览器标签属性的入侵检测方法及装置
本专利技术涉及信息安全领域，具体涉及一种基于浏览器标签属性的入侵检测方法及 >J-U ρ?α装直。
技术介绍
随着Internet技术的广泛应用，越来越多的信息资源通过Web服务共享。例如，企业信息化过程中的各种应用都选择Web平台进行架设，此外，社交网络和微博等互联网产品得到快速应用，使得web浏览成为了互联网上使用率最高的网络服务，同时也成为了恶意代码利用的有效传播途径。 在这些恶意攻击中，XSS (Cross Site Scripting,跨站脚本攻击)和CSRF(Cross-site Request Forgery,跨站请求伪造)的危害很大。其中,XSS是指恶意攻击者往Web页面里插入恶意html代码。当用户浏览该页时，嵌入其中Web里面的html代码会被执行，从而达到恶意攻击用户的特殊目的。CSRF通过伪装来自受信任用户的请求来利用受信任的网站。例如，网站是通过cookie来识别用户的，当用户成功进行身份验证之后浏览器就会得到一个标识其身份的cookie，只要不关闭浏览器或者退出登录，以后访问这个网站会带上这个cookie。如果这期间浏览器被人控制着请求了这个网站的链接，可能就会执行一些用户不想做的功能(比如，修改个人资料)，达到恶意攻击的目的。 然而，由于攻击方式的多样性，现有技术中的反病毒服务商无法有效的探测和遏制以XSS和CSRF为代表的网络攻击。
技术实现思路
本专利技术要解决的技术问题在于提供一种基于浏览器标签属性的入侵检测方法及装置，以在保证有效探测和遏制以XSS和CSRF为代表的网络攻击。 为解决上述技术问题，本专利技术采用如下技术方案:本专利技术提供了一种浏览器的入侵检测方法，其特征在于，所述入侵检测方法包括以下步骤:读取所述浏览器的当前网页； 开启超文本标记语言解析器(HTML parser),以获取所述网页中带有链接的所有标签;解码所述所有标签中的经过编码的标签；根据第一规则检测所述第一标签的属性，以判断所述第一标签是否是恶意标签，所述第一标签包括iframe标签、img标签和embed标签中至少一种；根据第二规则检测所述第二标签的属性，以判断所述第二标签是否是恶意标签，所述第二标签包括SCRIPT标签和CSS标签中至少一种；根据第三规则检测所述第三标签的属性，以判断所述第三标签是否是恶意标签，所述第三标签包括div标签； 根据第四规则检测所述第四标签的属性，以判断所述第四标签是否是恶意标签，所述第四标签包括form标签；以及根据第五规则检测所述第五标签的属性，以判断所述第五标签是否是恶意标签。 在一个实施例中，所述根据第一规则检测所述第一标签的步骤还包括:检测所述第一标签的植入特征和src属性；根据所述植入特征和所述src属性判断所述第一标签能否在所述网页中正常显示；以及如果所述第一标签无法在所述网页中正常显示，则判定所述第一标签是恶意标签。 在一个实施例中，所述根据第一规则检测所述第一标签的步骤还包括: 如果所述第一标签可以在所述网页中正常显示，且所述第一标签为img标签或者embed标签，则检测所述第一标签的src链接目标是否是图片或者视频地址；以及如果所述第一标签的src链接目标不是图片且不是视频地址，则判定所述第一标签是恶意标签。 在一个实施例中，所述根据第一规则检测所述第一标签的步骤还包括:如果所述第一标签可以在所述网页中正常显示，且所述第一标签为iframe标签，则检测所述第一标签的src链接中是否包含SCRIPT语句；以及如果所述第一标签的src链接包含SCRIPT语句，则判定所述第一标签是恶意标签。 在一个实施例中，如果所述第一标签是iframe标签,则读取第一标签的属性的步骤还包括:读取所述iframe标签的高度和宽度；以及如果所述高度值和所述宽度值均为0，则判定所述第一标签为恶意标签。 根据权利要求1或2或3或4或5所述的浏览器的入侵检测方法，其特征在于，所述根据第二规则检测所述第二标签的步骤还包括:检测所述第二标签是否含有SRC属性；如果所述第二标签含有SRC属性，则判断所述第二标签所包含的链接是否和所述网页同源；以及 如果所述第二标签所包含的链接与所述网页不同源，则判定所述第二标签为恶意标签。 在一个实施例中，所述根据第二规则检测所述第二标签的步骤还包括:检测所述第二标签是否含有SRC属性； 如果所述第二标签含有SRC属性，则判断所述第二标签所包含的链接是否指向Javascript文件或者指向CSS文件；以及如果所述第二标签所包含的链接既没有指向Javascript文件又没有指向CSS文件，则判定所述第二标签为恶意标签。 在一个实施例中，所述根据第三规则检测所述第三标签的步骤还包括:检测所述DIV标签的显示属性；以及如果所述显示属性表示所述DIV标签不能正常显示，则判定所述DIV标签为恶意标签。 在一个实施例中，所述根据第四规则检测所述第四标签的步骤还包括:检测所述FORM标签的Act1n属性；以及如果所述Act1n属性中的链接与所述网页的链接不同源，则判定所述FORM标签为恶意标签。 在一个实施例中，所述入侵检测方法还包括:检测所述第五标签的链接中是否含有SCRIPT代码；以及如果所述第五标签的链接中含有SCRIPT代码，则判定所述第五标签为恶意标签。 本专利技术还提供了一种浏览器的入侵检测装置，其特征在于，所述入侵检测装置包括:网页读取模块，用于读取所述浏览器的当前网页；超文本标记语言解析器，用于获取所述网页中带有链接的所有标签；解码器，用于解码所述所有标签中的经过编码的标签；第一标签检测模块，用于根据第一规则检测所述第一标签的属性，以判断所述第一标签是否是恶意标签，所述第一标签包括iframe标签、img标签和embed标签中至少一种；第二标签检测模块，用于读取所述所有标签中的第二标签的属性，所述第二标签包括SCRIPT标签和CSS标签中至少一种；第三标签检测模块，用于根据第三规则检测所述第三标签的属性，以判断所述第三标签是否是恶意标签，所述第三标签包括div标签；第四标签检测模块，用于读取所述所有标签中的第四标签的属性，所述第四标签包括form标签；以及第五标签检测模块，用于根据第五规则检测所述第五标签，以判断所述第五标签是否是恶意标签。 在一个实施例中,所述第一标签检测模块包括:属性检测模块，用于检测所述第一标签的植入特征和src属性；以及判断模块，用于根据所述植入特征和所述src属性判断所述第一标签能否在所述网页中正常显示，其中，当所述第一标签无法在所述网页中正常显示时，所述判断模块判定所述第一标签是恶意标签。 在一个实施例中，所述第一标签检测模块还包括:Img和embed标签检测模块，用于当所述第一标签为img标签或者embed标签时，则检测所述第一标签的src链接目标是否是图片或者视频地址，其中，当所述第一标签的src链接目标不是图片且不是视频地址时，Img和embed标签检测模块判定所述第一标签是恶意标签。 在一个实施例中，所述第一标签检测模块还包括:iframe标签检测模块，当所述第一标签在所述网页中正本文档来自技高网...

【技术保护点】
一种浏览器的入侵检测方法，其特征在于，所述入侵检测方法包括以下步骤：读取所述浏览器的当前网页；开启超文本标记语言解析器（HTML parser），以获取所述网页中带有链接的所有标签；解码所述所有标签中的经过编码的标签；根据第一规则检测所述所有标签中的第一标签的属性，以判断所述第一标签是否是恶意标签，所述第一标签包括iframe标签、img标签和embed标签中至少一种；根据第二规则检测所述所有标签中的第二标签的属性，以判断所述第二标签是否是恶意标签，所述第二标签包括SCRIPT标签和CSS标签中至少一种；根据第三规则检测所述所有标签中的第三标签的属性，以判断所述第三标签是否是恶意标签，所述第三标签包括div标签；根据第四规则检测所述所有标签中的第四标签的属性，以判断所述第四标签是否是恶意标签，所述第四标签包括form标签；以及根据第五规则检测所述所有标签中的第五标签的属性，以判断所述第五标签是否是恶意标签。

【技术特征摘要】
1.一种浏览器的入侵检测方法，其特征在于，所述入侵检测方法包括以下步骤: 读取所述浏览器的当前网页； 开启超文本标记语言解析器(HTML parser),以获取所述网页中带有链接的所有标签; 解码所述所有标签中的经过编码的标签； 根据第一规则检测所述所有标签中的第一标签的属性，以判断所述第一标签是否是恶意标签，所述第一标签包括iframe标签、img标签和embed标签中至少一种； 根据第二规则检测所述所有标签中的第二标签的属性，以判断所述第二标签是否是恶意标签，所述第二标签包括SCRIPT标签和CSS标签中至少一种； 根据第三规则检测所述所有标签中的第三标签的属性，以判断所述第三标签是否是恶意标签，所述第三标签包括div标签； 根据第四规则检测所述所有标签中的第四标签的属性，以判断所述第四标签是否是恶意标签，所述第四标签包括form标签；以及 根据第五规则检测所述所有标签中的第五标签的属性，以判断所述第五标签是否是恶意标签。2.根据权利要求1所述的浏览器的入侵检测方法，其特征在于，所述根据第一规则检测所述第一标签的步骤还包括: 检测所述第一标签的植入特征和src属性； 根据所述植入特征和所述src属性判断所述第一标签能否在所述网页中正常显示；以及 如果所述第一标签无法在所述网页中正常显示，则判定所述第一标签是恶意标签。3.根据权利要求2所述的浏览器的入侵检测方法，其特征在于，所述根据第一规则检测所述第一标签的步骤还包括: 如果所述第一标签可以在所述网页中正常显示，且所述第一标签为img标签或者embed标签，则检测所述第一标签的src链接目标是否是图片或者视频地址；以及 如果所述第一标签的src链接目标不是图片且不是视频地址，则判定所述第一标签是恶意标签。4.根据权利要求2所述的浏览器的入侵检测方法，其特征在于，所述根据第一规则检测所述第一标签的步骤还包括: 如果所述第一标签可以在所述网页中正常显示，且所述第一标签为iframe标签，则检测所述第一标签的src链接中是否包含SCRIPT语句；以及 如果所述第一标签的src链接包含SCRIPT语句，则判定所述第一标签是恶意标签。5.根据权利要求4所述的浏览器的入侵检测方法，其特征在于，如果所述第一标签是iframe标签,则读取第一标签的属性的步骤还包括: 读取所述iframe标签的高度和宽度；以及 如果所述高度值和所述宽度值均为0，则判定所述第一标签为恶意标签。6.根据权利要求1或2或3或4或5所述的浏览器的入侵检测方法，其特征在于，所述根据第二规则检测所述第二标签的步骤还包括: 检测所述第二标签是否含有SRC属性； 如果所述第二标签含有SRC属性，则判断所述第二标签所包含的链接是否和所述网页同源；以及 如果所述第二标签所包含的链接与所述网页不同源，则判定所述第二标签为恶意标签。7.根据权利要求1或2或3或4或5所述的浏览器的入侵检测方法，其特征在于，所述根据第二规则检测所述第二标签的步骤还包括: 检测所述第二标签是否含有SRC属性； 如果所述第二标签含有SRC属性，则判断所述第二标签所包含的链接是否指向Javascript文件或者指向CSS文件；以及 如果所述第二标签所包含的链接既没有指向Javascript文件又没有指向CSS文件，则判定所述第二标签为恶意标签。8.根据权利要求7所述的浏览器的入侵检测方法，其特征在于，所述根据第三规则检测所述第三标签的步骤还包括: 检测所述DIV标签的显示属性；以及 如果所述显示属性表示所述DIV标签不能正常显示，则判定所述DIV标签为恶意标签。9.根据权利要求8所述的浏览器的入侵检测方法，其特征在于，所述根据第四规则检测所述第四标签的步骤还包括: 检测所述FORM标签的Act1n属性；以及 如果所述Act1n属性中的链接与所述网页的链接不同源，则判定所述FORM标签为恶意标签。10.根据权利要求9所述的浏览器的入侵检测方法，其特征在于，所述入侵检测方法还包括: 检测所述第五标签的链接中是否含有SCRIPT代码；以及 如果所述第五标签的链接中含有SCRIPT代码，则判定所述第五标签为恶意标签。11.一种浏览器的入侵检测装置，其特...

【专利技术属性】
技术研发人员：张小松，刘小垒，牛伟纳，陈瑞东，王东，黄金，罗荣森，向琦，唐海洋，
申请(专利权)人：电子科技大学，
类型：发明
国别省市：四川;51