一种基于浏览器标签属性的入侵检测方法及装置.pdf

摘要
申请专利号：	CN201410515151.0	申请日：	2014.10.31
公开号：	CN104301314A	公开日：	2015.01.21
当前法律状态：	实审	有效性：	审中
法律详情：	实质审查的生效IPC(主分类):H04L 29/06申请日:20141031\|\|\|公开
IPC分类号：	H04L29/06	主分类号：	H04L29/06
申请人：	电子科技大学
发明人：	张小松; 刘小垒; 牛伟纳; 陈瑞东; 王东; 黄金; 罗荣森; 向琦; 唐海洋
地址：	611731 四川省成都市高新区（西区）西源大道2006号
优先权：
专利代理机构：	成都华典专利事务所(普通合伙) 51223	代理人：	徐丰
PDF下载：	PDF下载

内容摘要

本发明公开了一种基于浏览器标签属性的入侵检测方法及装置。该入侵检测方法包括：根据第一规则检测第一标签的属性，以判断所述第一标签是否是恶意标签，所述第一标签包括iframe标签、img标签和embed标签中至少一种；根据第二规则检测第二标签的属性，以判断所述第二标签是否是恶意标签，所述第二标签包括SCRIPT标签和CSS标签中至少一种；根据第三规则检测第三标签的属性，以判断所述第三标签是否是恶意标签，所述第三标签包括div标签；根据第四规则检测第四标签的属性，以判断所述第四标签是否是恶意标签，所述第四标签包括form标签；以及根据第五规则检测第五标签的属性，以判断所述第五标签是否是恶意标签。

权利要求书

1.  一种浏览器的入侵检测方法，其特征在于，所述入侵检测方法包括以下步骤：
读取所述浏览器的当前网页；
开启超文本标记语言解析器（HTML parser），以获取所述网页中带有链接的所有标签；
解码所述所有标签中的经过编码的标签；
根据第一规则检测所述所有标签中的第一标签的属性，以判断所述第一标签是否是恶意标签，所述第一标签包括iframe标签、img标签和embed标签中至少一种；
根据第二规则检测所述所有标签中的第二标签的属性，以判断所述第二标签是否是恶意标签，所述第二标签包括SCRIPT标签和CSS标签中至少一种；
根据第三规则检测所述所有标签中的第三标签的属性，以判断所述第三标签是否是恶意标签，所述第三标签包括div标签；
根据第四规则检测所述所有标签中的第四标签的属性，以判断所述第四标签是否是恶意标签，所述第四标签包括form标签；以及
根据第五规则检测所述所有标签中的第五标签的属性，以判断所述第五标签是否是恶意标签。

2.  根据权利要求1所述的浏览器的入侵检测方法，其特征在于，所述根据第一规则检测所述第一标签的步骤还包括：
检测所述第一标签的植入特征和src属性；
根据所述植入特征和所述src属性判断所述第一标签能否在所述网页中正常显示；以及
如果所述第一标签无法在所述网页中正常显示，则判定所述第一标签是恶意标签。

3.  根据权利要求2所述的浏览器的入侵检测方法，其特征在于，所述根据第一规则检测所述第一标签的步骤还包括：
如果所述第一标签可以在所述网页中正常显示，且所述第一标签为img标签或者embed标签，则检测所述第一标签的src链接目标是否是图片或者视频地址；以及
如果所述第一标签的src链接目标不是图片且不是视频地址，则判定所述第一标签是恶意标签。

4.  根据权利要求2所述的浏览器的入侵检测方法，其特征在于，所述根据第一规则检测所述第一标签的步骤还包括：
如果所述第一标签可以在所述网页中正常显示，且所述第一标签为iframe标签，则检测所述第一标签的src链接中是否包含SCRIPT语句；以及
如果所述第一标签的src链接包含SCRIPT语句，则判定所述第一标签是恶意标签。

5.  根据权利要求4所述的浏览器的入侵检测方法，其特征在于，如果所述第一标签是iframe标签，则读取第一标签的属性的步骤还包括：
读取所述iframe标签的高度和宽度；以及
如果所述高度值和所述宽度值均为0，则判定所述第一标签为恶意标签。

6.  根据权利要求1或2或3或4或5所述的浏览器的入侵检测方法，其特征在于，所述根据第二规则检测所述第二标签的步骤还包括：
检测所述第二标签是否含有SRC属性；
如果所述第二标签含有SRC属性，则判断所述第二标签所包含的链接是否和所述网页同源；以及
如果所述第二标签所包含的链接与所述网页不同源，则判定所述第二标签为恶意标签。

7.  根据权利要求1或2或3或4或5所述的浏览器的入侵检测方法，其特征在于，所述根据第二规则检测所述第二标签的步骤还包括：
检测所述第二标签是否含有SRC属性；
如果所述第二标签含有SRC属性，则判断所述第二标签所包含的链接是否指向Javascript文件或者指向CSS文件；以及
如果所述第二标签所包含的链接既没有指向Javascript文件又没有指向CSS文件，则判定所述第二标签为恶意标签。

8.  根据权利要求7所述的浏览器的入侵检测方法，其特征在于，所述根据第三规则检测所述第三标签的步骤还包括：
检测所述DIV标签的显示属性；以及
如果所述显示属性表示所述DIV标签不能正常显示，则判定所述DIV标签为恶意标签。

9.  根据权利要求8所述的浏览器的入侵检测方法，其特征在于，所述根据第四规则检测所述第四标签的步骤还包括：
检测所述FORM标签的Action属性；以及
如果所述Action属性中的链接与所述网页的链接不同源，则判定所述FORM标签为恶意标签。

10.  根据权利要求9所述的浏览器的入侵检测方法，其特征在于，所述入侵检测方法还包括：
检测所述第五标签的链接中是否含有SCRIPT代码；以及
如果所述第五标签的链接中含有SCRIPT代码，则判定所述第五标签为恶意标签。

11.  一种浏览器的入侵检测装置，其特征在于，所述入侵检测装置包括：
网页读取模块，用于读取所述浏览器的当前网页；
超文本标记语言解析器，用于获取所述网页中带有链接的所有标签；
解码器，用于解码所述所有标签中的经过编码的标签；
第一标签检测模块，用于根据第一规则检测所述所有标签中的第一标签的属性，以判断所述第一标签是否是恶意标签，所述第一标签包括iframe标签、img标签和embed标签中至少一种；
第二标签检测模块，用于读取所述所有标签中的第二标签的属性，所述第二标签包括SCRIPT标签和CSS标签中至少一种；
第三标签检测模块，用于根据第三规则检测所述第三标签的属性，以判断所述第三标签是否是恶意标签，所述第三标签包括div标签；
第四标签检测模块，用于读取所述所有标签中的第四标签的属性，所述第四标签包括form标签；以及
第五标签检测模块，用于根据第五规则检测所述第五标签，以判断所述第五标签是否是恶意标签。

12.  根据权利要求11所述的浏览器的入侵检测装置，其特征在于，所述第一标签检测模块包括：
属性检测模块，用于检测所述第一标签的植入特征和src属性；以及
判断模块，用于根据所述植入特征和所述src属性判断所述第一标签能否在所述网页中正常显示，其中，当所述第一标签无法在所述网页中正常显示时，所述判断模块判定所述第一标签是恶意标签。

13.  根据权利要求12所述的浏览器的入侵检测装置，其特征在于，所述第一标签检测模块还包括：
Img和embed标签检测模块，用于当所述第一标签为img标签或者embed标签时，则检测所述第一标签的src链接目标是否是图片或者视频地址，其中，当所述第一标签的src链接目标不是图片且不是视频地址时，Img和embed标签检测模块判定所述第一标签是恶意标签。

14.  根据权利要求12所述的浏览器的入侵检测装置，其特征在于，所述第一标签检测模块还包括：
iframe标签检测模块，当所述第一标签在所述网页中正常显示时，且当所述第一标签为iframe标签时，所述iframe标签检测模块检测所述第一标签的src链接中是否包含SCRIPT语句，其中，当所述第一标签的src链接包含SCRIPT语句时，所述iframe标签检测模块判定所述第一标签是恶意标签。

15.  根据权利要求14所述的浏览器的入侵检测装置，其特征在于，所述iframe标签检测模块读取所述iframe标签的高度和宽度，其中，当所述高度值和所述宽度值均为0时，所述iframe标签检测模块判定所述第一标签为恶意标签。

16.  根据权利要求11或12或13或14或15所述的浏览器的入侵检测装置，其特征在于，所述第二标签检测模块还包括：
同源检测模块，用于检测所述第二标签是否含有SRC属性；当所述第二标签含有SRC属性时，所述同源检测模块判断所述第二标签所包含的链接是否和所述网页同源，其中，当所述第二标签所包含的链接与所述网页不同源时，所述同源检测模块判定所述第二标签为恶意标签；以及
链接指向模块，用于检测所述第二标签是否含有SRC属性；当所述第二标签含有SRC属性时，则判断所述第二标签所包含的链接是否指向Javascript文件或者指向CSS文件，其中，如果所述第二标签所包含的链接既没有指向Javascript文件又没有指向CSS文件，所述链接指向模块判定所述第二标签为恶意标签。

17.  根据权利要求16所述的浏览器的入侵检测装置，其特征在于，所述第三标签检测模块还包括：
DIV显示检测模块，用于检测所述DIV标签的显示属性；其中，当所述显示属性表示所述DIV标签不能正常显示时，DIV显示检测模块判定所述DIV标签为恶意标签。

18.  根据权利要求17所述的浏览器的入侵检测装置，其特征在于，所述第四标签检测模块还包括：
FORM属性检测模块，用于检测所述FORM标签的Action属性，其中，当所述Action属性中的链接与所述网页的链接不同源时，则判定所述FORM标签为恶意标签。

19.  根据权利要求18所述的浏览器的入侵检测装置，其特征在于，所述第五标签检测模块还包括：
代码检测模块，用于检测所述第五标签的链接中是否含有SCRIPT代码；其中，当所述第五标签的链接中含有SCRIPT代码时，则判定所述第五标签为恶意标签。

说明书

一种基于浏览器标签属性的入侵检测方法及装置
技术领域
本发明涉及信息安全领域，具体涉及一种基于浏览器标签属性的入侵检测方法及装置。
背景技术
随着Internet技术的广泛应用，越来越多的信息资源通过Web服务共享。例如，企业信息化过程中的各种应用都选择Web平台进行架设，此外，社交网络和微博等互联网产品得到快速应用，使得web浏览成为了互联网上使用率最高的网络服务，同时也成为了恶意代码利用的有效传播途径。
在这些恶意攻击中，XSS(Cross Site Scripting，跨站脚本攻击）和CSRF（Cross-site Request Forgery，跨站请求伪造）的危害很大。其中，XSS是指恶意攻击者往Web页面里插入恶意html代码。当用户浏览该页时，嵌入其中Web里面的html代码会被执行，从而达到恶意攻击用户的特殊目的。CSRF通过伪装来自受信任用户的请求来利用受信任的网站。例如，网站是通过cookie来识别用户的，当用户成功进行身份验证之后浏览器就会得到一个标识其身份的cookie，只要不关闭浏览器或者退出登录，以后访问这个网站会带上这个cookie。如果这期间浏览器被人控制着请求了这个网站的链接，可能就会执行一些用户不想做的功能（比如，修改个人资料），达到恶意攻击的目的。
然而，由于攻击方式的多样性，现有技术中的反病毒服务商无法有效的探测和遏制以XSS和CSRF为代表的网络攻击。
发明内容
本发明要解决的技术问题在于提供一种基于浏览器标签属性的入侵检测方法及装置，以在保证有效探测和遏制以XSS和CSRF为代表的网络攻击。
为解决上述技术问题，本发明采用如下技术方案：
本发明提供了一种浏览器的入侵检测方法，其特征在于，所述入侵检测方法包括以下步骤：
读取所述浏览器的当前网页；
开启超文本标记语言解析器（HTML parser），以获取所述网页中带有链接的所有标签；
解码所述所有标签中的经过编码的标签；
根据第一规则检测所述第一标签的属性，以判断所述第一标签是否是恶意标签，所述第一标签包括iframe标签、img标签和embed标签中至少一种；
根据第二规则检测所述第二标签的属性，以判断所述第二标签是否是恶意标签，所述第二标签包括SCRIPT标签和CSS标签中至少一种；
根据第三规则检测所述第三标签的属性，以判断所述第三标签是否是恶意标签，所述第三标签包括div标签；
根据第四规则检测所述第四标签的属性，以判断所述第四标签是否是恶意标签，所述第四标签包括form标签；以及
根据第五规则检测所述第五标签的属性，以判断所述第五标签是否是恶意标签。
在一个实施例中，所述根据第一规则检测所述第一标签的步骤还包括：
检测所述第一标签的植入特征和src属性；
根据所述植入特征和所述src属性判断所述第一标签能否在所述网页中正常显示；以及
如果所述第一标签无法在所述网页中正常显示，则判定所述第一标签是恶意标签。
在一个实施例中，所述根据第一规则检测所述第一标签的步骤还包括：
如果所述第一标签可以在所述网页中正常显示，且所述第一标签为img标签或者embed标签，则检测所述第一标签的src链接目标是否是图片或者视频地址；以及
如果所述第一标签的src链接目标不是图片且不是视频地址，则判定所述第一标签是恶意标签。
在一个实施例中，所述根据第一规则检测所述第一标签的步骤还包括：
如果所述第一标签可以在所述网页中正常显示，且所述第一标签为iframe标签，则检测所述第一标签的src链接中是否包含SCRIPT语句；以及
如果所述第一标签的src链接包含SCRIPT语句，则判定所述第一标签是恶意标签。
在一个实施例中，如果所述第一标签是iframe标签，则读取第一标签的属性的步骤还包括：
读取所述iframe标签的高度和宽度；以及
如果所述高度值和所述宽度值均为0，则判定所述第一标签为恶意标签。
根据权利要求1或2或3或4或5所述的浏览器的入侵检测方法，其特征在于，所述根据第二规则检测所述第二标签的步骤还包括：
检测所述第二标签是否含有SRC属性；
如果所述第二标签含有SRC属性，则判断所述第二标签所包含的链接是否和所述网页同源；以及
如果所述第二标签所包含的链接与所述网页不同源，则判定所述第二标签为恶意标签。
在一个实施例中，所述根据第二规则检测所述第二标签的步骤还包括：
检测所述第二标签是否含有SRC属性；
如果所述第二标签含有SRC属性，则判断所述第二标签所包含的链接是否指向Javascript文件或者指向CSS文件；以及
如果所述第二标签所包含的链接既没有指向Javascript文件又没有指向CSS文件，则判定所述第二标签为恶意标签。
在一个实施例中，所述根据第三规则检测所述第三标签的步骤还包括：
检测所述DIV标签的显示属性；以及
如果所述显示属性表示所述DIV标签不能正常显示，则判定所述DIV标签为恶意标签。
在一个实施例中，所述根据第四规则检测所述第四标签的步骤还包括：
检测所述FORM标签的Action属性；以及
如果所述Action属性中的链接与所述网页的链接不同源，则判定所述FORM标签为恶意标签。
在一个实施例中，所述入侵检测方法还包括：
检测所述第五标签的链接中是否含有SCRIPT代码；以及
如果所述第五标签的链接中含有SCRIPT代码，则判定所述第五标签为恶意标签。
本发明还提供了一种浏览器的入侵检测装置，其特征在于，所述入侵检测装置包括：
网页读取模块，用于读取所述浏览器的当前网页；
超文本标记语言解析器，用于获取所述网页中带有链接的所有标签；
解码器，用于解码所述所有标签中的经过编码的标签；
第一标签检测模块，用于根据第一规则检测所述第一标签的属性，以判断所述第一标签是否是恶意标签，所述第一标签包括iframe标签、img标签和embed标签中至少一种；
第二标签检测模块，用于读取所述所有标签中的第二标签的属性，所述第二标签包括SCRIPT标签和CSS标签中至少一种；
第三标签检测模块，用于根据第三规则检测所述第三标签的属性，以判断所述第三标签是否是恶意标签，所述第三标签包括div标签；
第四标签检测模块，用于读取所述所有标签中的第四标签的属性，所述第四标签包括form标签；以及
第五标签检测模块，用于根据第五规则检测所述第五标签，以判断所述第五标签是否是恶意标签。
在一个实施例中，所述第一标签检测模块包括：
属性检测模块，用于检测所述第一标签的植入特征和src属性；以及
判断模块，用于根据所述植入特征和所述src属性判断所述第一标签能否在所述网页中正常显示，其中，当所述第一标签无法在所述网页中正常显示时，所述判断模块判定所述第一标签是恶意标签。
在一个实施例中，所述第一标签检测模块还包括：
Img和embed标签检测模块，用于当所述第一标签为img标签或者embed标签时，则检测所述第一标签的src链接目标是否是图片或者视频地址，其中，当所述第一标签的src链接目标不是图片且不是视频地址时，Img和embed标签检测模块判定所述第一标签是恶意标签。
在一个实施例中，所述第一标签检测模块还包括：
iframe标签检测模块，当所述第一标签在所述网页中正常显示时，且当所述第一标签为iframe标签时，所述iframe标签检测模块检测所述第一标签的src链接中是否包含SCRIPT语句，其中，当所述第一标签的src链接包含SCRIPT语句时，所述iframe标签检测模块判定所述第一标签是恶意标签。
在一个实施例中，所述iframe标签检测模块读取所述iframe标签的高度和宽度，其中，当所述高度值和所述宽度值均为0时，所述iframe标签检测模块判定所述第一标签为恶意标签。
在一个实施例中，所述第二标签检测模块还包括：
同源检测模块，用于检测所述第二标签是否含有SRC属性；当所述第二标签含有SRC属性时，所述同源检测模块判断所述第二标签所包含的链接是否和所述网页同源，其中，当所述第二标签所包含的链接与所述网页不同源时，所述同源检测模块判定所述第二标签为恶意标签；以及
链接指向模块，用于检测所述第二标签是否含有SRC属性；当所述第二标签含有SRC属性时，则判断所述第二标签所包含的链接是否指向Javascript文件或者指向CSS文件，其中，如果所述第二标签所包含的链接既没有指向Javascript文件又没有指向CSS文件，所述链接指向模块判定所述第二标签为恶意标签。
在一个实施例中，所述第三标签检测模块还包括：
DIV显示检测模块，用于检测所述DIV标签的显示属性；其中，当所述显示属性表示所述DIV标签不能正常显示时，DIV显示检测模块判定所述DIV标签为恶意标签。
在一个实施例中，所述第四标签检测模块还包括：
FORM属性检测模块，用于检测所述FORM标签的Action属性，其中，当所述Action属性中的链接与所述网页的链接不同源时，则判定所述FORM标签为恶意标签。
在一个实施例中，所述第五标签检测模块还包括：
代码检测模块，用于检测所述第五标签的链接中是否含有SCRIPT代码；其中，当所述第五标签的链接中含有SCRIPT代码时，则判定所述第五标签为恶意标签。
与现有技术相比，本发明的入侵检测方法比现有技术更全面的检测了浏览器的各种标签属性，并根据不同标签可能蕴含的恶意攻击特征，提供了相应的检测方法。因此，该入侵检测方法可以更有效的发现XSS和CSRF恶意攻击的细小线索，有效探测和遏制了以XSS和CSRF为代表的网络攻击，提高了网络安全性。
附图说明
图1所示为根据本发明的实施例的基于浏览器标签属性的入侵检测方法。
图2所示为根据本发明的实施例的第一标签的检测方法。
图3所示为根据本发明的实施例的iframe标签的检测方法。
图4所示为根据本发明的实施例的第二标签的检测方法。
图5所示为根据本发明的实施例的第三标签的检测方法。
图6所示为根据本发明的实施例的第四标签的检测方法。
图7所示为根据本发明的实施例的第五标签的检测方法。
图8所示为根据本发明的实施例的入侵检测装置。
图9所示为根据本发明的实施例的第一标签检测模块的结构图。
图10所示为根据本发明的实施例的第二标签检测模块的结构图。
图11所示为根据本发明的实施例的第三标签检测模块的结构图。
图12所示为根据本发明的实施例的第四标签检测模块的结构图。
图13所示为根据本发明的实施例的第五标签检测模块的结构图。
具体实施方式
以下将对本发明的实施例给出详细的说明。尽管本发明将结合一些具体实施方式进行阐述和说明，但需要注意的是本发明并不仅仅只局限于这些实施方式。相反，对本发明进行的修改或者等同替换，均应涵盖在本发明的权利要求范围当中。
另外，为了更好的说明本发明，在下文的具体实施方式中给出了众多的具体细节。本领域技术人员将理解，没有这些具体细节，本发明同样可以实施。在另外一些实例中，对于大家熟知的方法、流程、元件和电路未作详细描述，以便于凸显本发明的主旨。
图1所示为根据本发明的实施例的基于浏览器标签属性的入侵检测方法100。XSS(Cross Site Scripting，跨站脚本）攻击和CSRF（Cross-site Request Forgery，跨站请求伪造）攻击的特点在于利用了浏览器中的网页的标签中的各种链接。在图1的实施例中，本发明的入侵检测方法根据XSS和CSRF的特点将浏览器的网页的标签分成了五种标签。这五种标签包括第一标签、第二标签、第三标签、第四标签和第五标签。其中，第一标签包括iframe标签、img标签和embed标签中至少一种；第二标签包括SCRIPT标签和CSS标签中至少一种；第三标签包括div标签；第四标签包括form标签；第五标签包括除第一至第四标签以外的标签种类。本发明的入侵检测方法根据不同标签的特点提供了不同方法去检测标签属性，以判断各种标签是否是恶意标签。
在步骤102中，读取浏览器的当前网页。在步骤104中，开启超文本标记语言解析器，以获取该网页中带有链接的所有标签。在步骤106中，解码该所有标签中经过编码的标签。
在步骤108中，读取所述所有标签的第一标签（例如：iframe标签、img标签和/或embed标签）的属性。根据第一规则检测第一标签，以判断第一标签是否是恶意标签。步骤108及其第一规则将在图2和图3做进一步描述。
在步骤110中，读取该所有标签中的第二标签（例如：SCRIPT标签和CSS标签）的属性。根据第二规则检测第二标签，以判断第二标签是否是恶意标签。步骤110及其第二规则将在图4做进一步描述。
在步骤112中，读取该所有标签中的第三标签（例如：DIV标签）的属性。根据第三规则检测第三标签，以判断第三标签是否是恶意标签。步骤112及其第三规则将在图5做进一步描述。
在步骤114中，读取该所有标签中的第四标签（例如：form标签）的属性。根据第四规则检测第四标签，以判断第四标签是否是恶意标签。步骤114及其第三规则将在图6做进一步描述。
在步骤116中，读取该所有标签中的第五标签的属性。根据第五规则检测第五标签，以判断第五标签是否是恶意标签。步骤116及其第五规则将在图7做进一步描述。
优点在于，本发明对当前网页中所有可能包含XSS攻击和CSRF攻击的标签属性作了遍历检测，并根据各标签的特点制定了探测方法。与现有技术相比，本发明的入侵检测方法能更有效的检测出XSS攻击和CSRF攻击，即在本文中讲的“恶意标签”。
图2所示为根据本发明的实施例的第一标签的检测方法110。图2为步骤110的详细描述。在步骤202中，检测第一标签的植入特征和SRC属性。在步骤204中，根据所述植入特征和所述SRC属性判断第一标签能否在当前网页中正常显示。更具体地讲，Iframe标签是用来在网页中内嵌其他html框架。Img标签用于显示图片。Embed标签用于加载各种媒体文件（包括但不局限于图片、视频、动图或flash）。因此，本发明所说的“正常显示”是指各个标签都是完成它们的本职任务。也就是说，如果iframe标签用于内嵌其他html框架，且没有隐藏该iframe；img标签确实用来加载图片了，embed标签是用来加载媒体文件了，即称为为“正常显示”。
如果第一标签在当前网页中正常显示，则流程图110进入步骤206，否则，流程图进入步骤214。在步骤214中，判定第一标签为恶意标签。
在步骤206中，判断第一标签是否是iframe标签。如果第一标签为iframe标签，流程图进入步骤218。步骤218将在图3作进一步描述。如果第一标签不是iframe标签，流程图进入步骤208。
在步骤208中，判断第一标签是否是img标签。如果第一标签是img标签，流程图进入步骤212。否则，流程图进入步骤210。在步骤210中，判断第一标签是否是embed标签。如果第一标签是embed标签，流程图进入步骤212。
在步骤212中（即：第一标签为img标签或者embed标签时），检测第一标签的SRC链接目标是否是图片或者视频。如果第一标签的src链接目标是图片或视频地址，则流程图进入步骤216，以判定第一标签是正常标签。如果第一标签的src链接目标既不是图片地址又不是视频地址，则流程图进入步骤214，以判定第一标签是恶意标签。
图3所示为根据本发明的实施例的iframe标签的检测方法218。图3为步骤218的详细描述。在步骤302中，判断第一标签的src链接中是否包含SCRIPT语句。如果第一标签的src链接包括SCRIPT语句，则流程图218进入步骤308，以判定第一标签（iframe）是恶意标签。如果第一标签的src链接不包括SCRIPT语句，则流程图218进入步骤304。
在步骤304中，判断iframe标签的高度值和宽度值是否均为0。如果iframe标签的高度值和宽度值均为0，则流程图218进入步骤308，以判定第一标签（iframe）是恶意标签。否则，流程图218进入步骤306，以判定第一标签（iframe）是正常标签。综合图2和图3所述，本发明的入侵检测方法100提供了三种针对第一标签属性判断恶意标签的标准。
图4所示为根据本发明的实施例的第二标签的检测方法114。图4为步骤114的详细描述。在步骤402中，检测第二标签是否含有SRC属性。如果第二标签不含有SRC属性，则进入步骤404，以判定第二标签为正常标签。如果第二标签含有SRC属性，则进入步骤406。
在步骤406中，检测第二标签所包含的链接是否和当前网页同源。在本发明的描述中，“同源”是指不同链接来自同一个站点。例如，blog.baidu.com和zhidao.baidu.com都是来源于www.baidu.com，因此，他们称为同源链接。
如果第二标签所包含的链接与当前网页不同源，则流程图114进入步骤412，以判定第二标签是恶意标签。如果第二标签所包含的链接与当前网页同源，则流程图114进入步骤408。
在步骤408中，检测所述第二标签所包含的链接是否指向Javascript文件或者指向CSS文件。如果第二标签所包含的链接既没有指向Javascript文件又没有指向CSS文件，则进入步骤412，判定第二标签为恶意标签。如果第二标签所包含的链接指向Javascript文件或者指向CSS文件，则进入步骤410，判定第二标签为正常标签。
图5所示为根据本发明的实施例的第三标签的检测方法122。图4为步骤122的详细描述。在步骤502中，检测DIV标签的显示属性。在步骤504中，根据该显示属性判断DIV标签是否正常显示。如果该DIV标签正常显示，则进入步骤508，以判定DIV标签为恶意标签。如果该DIV标签不能正常显示，则进入步骤506，以判定DIV标签为正常标签。
图6所示为根据本发明的实施例的第四标签的检测方法124。图6为步骤124的详细描述。在步骤602中，检测FORM标签的Action属性。在步骤604中，检测Action属性的链接和当前网页的链接是否同源。如果Action属性中的链接与当前网页的链接同源，则进入步骤606，以判定该FORM标签为正常标签。如果Action属性中的链接与当前网页的链接不同源，则进入步骤608，以判定该FORM标签为恶意标签。
图7所示为根据本发明的实施例的第五标签的检测方法126。图7为步骤126的详细描述。在步骤702中，检测第五标签的链接中是否含有SCRIPT代码。如果第五标签的链接中含有SCRIPT代码，则进入步骤706，以判定第五标签为恶意标签。如果第五标签的链接中不含有SCRIPT代码，则进入步骤704，以判定第五标签为正常标签。
优点在于，本发明的入侵检测方法比现有技术更全面的检测了浏览器的各种标签属性，并根据不同标签可能蕴含的恶意攻击特征，提供了相应的检测方法。因此，该入侵检测方法可以更有效的发现XSS和CSRF恶意攻击的细小线索，有效探测和遏制了以XSS和CSRF为代表的网络攻击，提高了网络安全性。
图8所示为根据本发明的实施例的入侵检测装置800。入侵检测装置800包括网页读取模块802、超文本标记语言解析器804、解码器806、第一标签检测模块808、第二标签检测模块810、第三标签检测模块812、第四标签检测模块814和第五标签检测模块816。
网页读取模块802读取浏览器的当前网页。超文本标记语言解析器804获取该网页中带有链接的所有标签。解码器806解码该所有标签中的经过编码的标签。第一标签检测模块808根据第一规则检测第一标签的属性，以判断第一标签是否是恶意标签，所述第一标签包括iframe标签、img标签和embed标签中至少一种。第二标签检测模块810读取该所有标签中的第二标签的属性，第二标签包括SCRIPT标签和CSS标签中至少一种。第三标签检测模块812根据第三规则检测第三标签的属性，以判断第三标签是否是恶意标签，第三标签包括div标签。第四标签检测模块814读取该所有标签中的第四标签的属性，第四标签包括form标签。第五标签检测模块816根据第五规则检测所述第五标签，以判断所述第五标签是否是恶意标签。
图9所示为根据本发明的实施例的第一标签检测模块808的结构图。在一个实施例中，第一标签检测模块810包括属性检测模块902、判断模块904、Img和embed标签检测模块906和iframe标签检测模块。属性检测模块902检测第一标签的植入特征和src属性。判断模块904根据植入特征和src属性判断第一标签能否在当前网页中正常显示。如果第一标签无法在当前网页中正常显示，则判断模块904判定第一标签是恶意标签。
并且，当第一标签为img标签或者embed标签时，Img和embed标签检测模块906则检测第一标签的src链接目标是否是图片或者视频地址，其中，如果所述第一标签的src链接目标不是图片且不是视频地址，则判定所述第一标签是恶意标签。
此外，当所述第一标签在所述网页中正常显示且当所述第一标签为iframe标签时，iframe标签检测模块908检测第一标签的src链接中是否包含SCRIPT语句。如果第一标签的src链接包含SCRIPT语句，iframe标签检测模块908则判定第一标签是恶意标签。
在一个实施例中，iframe标签检测模块908读取iframe标签的高度和宽度。当所述高度值和所述宽度值均为0时，iframe标签检测模块908判定第一标签为恶意标签。
图10所示为根据本发明的实施例的第二标签检测模块810的结构图。第二标签检测模块814还包括同源检测模块1002和链接指向模块1004。同源检测模块1002检测第二标签是否含有SRC属性；当所述第二标签含有SRC属性时，同源检测模块1002判断第二标签所包含的链接是否和当前网页同源。当第二标签所包含的链接与当前网页不同源时，同源检测模块1002判定第二标签为恶意标签。链接指向模块1004检测第二标签是否含有SRC属性。当第二标签含有SRC属性时，链接指向模块1004则判断第二标签所包含的链接是否指向Javascript文件或者指向CSS文件。其中，如果第二标签所包含的链接既没有指向Javascript文件又没有指向CSS文件，链接指向模块1004判定第二标签为恶意标签。
图11所示为根据本发明的实施例的第三标签检测模块812的结构图。在一个实施例中，第三标签检测模块818包括DIV显示检测模块1102。DIV显示检测模块1102检测DIV标签的显示属性。当显示属性表示DIV标签不能正常显示时，DIV显示检测模块1102判定DIV标签为恶意标签。
图12所示为根据本发明的实施例的第四标签检测模块814的结构图。第四标签检测模块814还包括FORM属性检测模块814。FORM属性检测模块814检测FORM标签的Action属性。其中，当Action属性中的链接与当前网页的链接不同源时，FORM属性检测模块814判定FORM标签为恶意标签。
图13所示为根据本发明的实施例的第五标签检测模块816的结构图。第五标签检测模块还包括代码检测模块1302。代码检测模块1302检测第五标签的链接中是否含有SCRIPT代码。其中，当第五标签的链接中含有SCRIPT代码时，代码检测模块1302判定所述第五标签为恶意标签。
优点在于，本发明的入侵检测装置比现有技术更全面的检测了浏览器的各种标签属性，并根据不同标签可能蕴含的恶意攻击特征，提供了相应的检测方法。因此，该入侵检测方法可以更有效的发现XSS和CSRF恶意攻击的细小线索，有效探测和遏制了以XSS和CSRF为代表的网络攻击，提高了网络安全性。
上文具体实施方式和附图仅为本发明之常用实施例。显然，在不脱离权利要求书所界定的本发明精神和发明范围的前提下可以有各种增补、修改和替换。本领域技术人员应该理解，本发明在实际应用中可根据具体的环境和工作要求在不背离发明准则的前提下在形式、结构、布局、比例、材料、元素、组件及其它方面有所变化。因此，在此披露之实施例仅用于说明而非限制，本发明之范围由后附权利要求及其合法等同物界定，而不限于此前之描述。

资源描述

《一种基于浏览器标签属性的入侵检测方法及装置.pdf》由会员分享，可在线阅读，更多相关《一种基于浏览器标签属性的入侵检测方法及装置.pdf（22页珍藏版）》请在专利查询网上搜索。

1、10申请公布号CN104301314A43申请公布日20150121CN104301314A21申请号201410515151022申请日20141031H04L29/0620060171申请人电子科技大学地址611731四川省成都市高新区（西区）西源大道2006号72发明人张小松刘小垒牛伟纳陈瑞东王东黄金罗荣森向琦唐海洋74专利代理机构成都华典专利事务所普通合伙51223代理人徐丰54发明名称一种基于浏览器标签属性的入侵检测方法及装置57摘要本发明公开了一种基于浏览器标签属性的入侵检测方法及装置。该入侵检测方法包括根据第一规则检测第一标签的属性，以判断所述第一标签是否是恶意标签，所述第一标签。

2、包括IFRAME标签、IMG标签和EMBED标签中至少一种；根据第二规则检测第二标签的属性，以判断所述第二标签是否是恶意标签，所述第二标签包括SCRIPT标签和CSS标签中至少一种；根据第三规则检测第三标签的属性，以判断所述第三标签是否是恶意标签，所述第三标签包括DIV标签；根据第四规则检测第四标签的属性，以判断所述第四标签是否是恶意标签，所述第四标签包括FORM标签；以及根据第五规则检测第五标签的属性，以判断所述第五标签是否是恶意标签。51INTCL权利要求书4页说明书8页附图9页19中华人民共和国国家知识产权局12发明专利申请权利要求书4页说明书8页附图9页10申请公布号CN1043013。

3、14ACN104301314A1/4页21一种浏览器的入侵检测方法，其特征在于，所述入侵检测方法包括以下步骤读取所述浏览器的当前网页；开启超文本标记语言解析器（HTMLPARSER），以获取所述网页中带有链接的所有标签；解码所述所有标签中的经过编码的标签；根据第一规则检测所述所有标签中的第一标签的属性，以判断所述第一标签是否是恶意标签，所述第一标签包括IFRAME标签、IMG标签和EMBED标签中至少一种；根据第二规则检测所述所有标签中的第二标签的属性，以判断所述第二标签是否是恶意标签，所述第二标签包括SCRIPT标签和CSS标签中至少一种；根据第三规则检测所述所有标签中的第三标签的属性，以判。

4、断所述第三标签是否是恶意标签，所述第三标签包括DIV标签；根据第四规则检测所述所有标签中的第四标签的属性，以判断所述第四标签是否是恶意标签，所述第四标签包括FORM标签；以及根据第五规则检测所述所有标签中的第五标签的属性，以判断所述第五标签是否是恶意标签。2根据权利要求1所述的浏览器的入侵检测方法，其特征在于，所述根据第一规则检测所述第一标签的步骤还包括检测所述第一标签的植入特征和SRC属性；根据所述植入特征和所述SRC属性判断所述第一标签能否在所述网页中正常显示；以及如果所述第一标签无法在所述网页中正常显示，则判定所述第一标签是恶意标签。3根据权利要求2所述的浏览器的入侵检测方法，其特征在于。

5、，所述根据第一规则检测所述第一标签的步骤还包括如果所述第一标签可以在所述网页中正常显示，且所述第一标签为IMG标签或者EMBED标签，则检测所述第一标签的SRC链接目标是否是图片或者视频地址；以及如果所述第一标签的SRC链接目标不是图片且不是视频地址，则判定所述第一标签是恶意标签。4根据权利要求2所述的浏览器的入侵检测方法，其特征在于，所述根据第一规则检测所述第一标签的步骤还包括如果所述第一标签可以在所述网页中正常显示，且所述第一标签为IFRAME标签，则检测所述第一标签的SRC链接中是否包含SCRIPT语句；以及如果所述第一标签的SRC链接包含SCRIPT语句，则判定所述第一标签是恶意标签。。

6、5根据权利要求4所述的浏览器的入侵检测方法，其特征在于，如果所述第一标签是IFRAME标签，则读取第一标签的属性的步骤还包括读取所述IFRAME标签的高度和宽度；以及如果所述高度值和所述宽度值均为0，则判定所述第一标签为恶意标签。6根据权利要求1或2或3或4或5所述的浏览器的入侵检测方法，其特征在于，所述根据第二规则检测所述第二标签的步骤还包括检测所述第二标签是否含有SRC属性；权利要求书CN104301314A2/4页3如果所述第二标签含有SRC属性，则判断所述第二标签所包含的链接是否和所述网页同源；以及如果所述第二标签所包含的链接与所述网页不同源，则判定所述第二标签为恶意标签。7根据权利要。

7、求1或2或3或4或5所述的浏览器的入侵检测方法，其特征在于，所述根据第二规则检测所述第二标签的步骤还包括检测所述第二标签是否含有SRC属性；如果所述第二标签含有SRC属性，则判断所述第二标签所包含的链接是否指向JAVASCRIPT文件或者指向CSS文件；以及如果所述第二标签所包含的链接既没有指向JAVASCRIPT文件又没有指向CSS文件，则判定所述第二标签为恶意标签。8根据权利要求7所述的浏览器的入侵检测方法，其特征在于，所述根据第三规则检测所述第三标签的步骤还包括检测所述DIV标签的显示属性；以及如果所述显示属性表示所述DIV标签不能正常显示，则判定所述DIV标签为恶意标签。9根据权利要求。

8、8所述的浏览器的入侵检测方法，其特征在于，所述根据第四规则检测所述第四标签的步骤还包括检测所述FORM标签的ACTION属性；以及如果所述ACTION属性中的链接与所述网页的链接不同源，则判定所述FORM标签为恶意标签。10根据权利要求9所述的浏览器的入侵检测方法，其特征在于，所述入侵检测方法还包括检测所述第五标签的链接中是否含有SCRIPT代码；以及如果所述第五标签的链接中含有SCRIPT代码，则判定所述第五标签为恶意标签。11一种浏览器的入侵检测装置，其特征在于，所述入侵检测装置包括网页读取模块，用于读取所述浏览器的当前网页；超文本标记语言解析器，用于获取所述网页中带有链接的所有标签；解码。

9、器，用于解码所述所有标签中的经过编码的标签；第一标签检测模块，用于根据第一规则检测所述所有标签中的第一标签的属性，以判断所述第一标签是否是恶意标签，所述第一标签包括IFRAME标签、IMG标签和EMBED标签中至少一种；第二标签检测模块，用于读取所述所有标签中的第二标签的属性，所述第二标签包括SCRIPT标签和CSS标签中至少一种；第三标签检测模块，用于根据第三规则检测所述第三标签的属性，以判断所述第三标签是否是恶意标签，所述第三标签包括DIV标签；第四标签检测模块，用于读取所述所有标签中的第四标签的属性，所述第四标签包括FORM标签；以及第五标签检测模块，用于根据第五规则检测所述第五标签，以。

10、判断所述第五标签是否是恶意标签。权利要求书CN104301314A3/4页412根据权利要求11所述的浏览器的入侵检测装置，其特征在于，所述第一标签检测模块包括属性检测模块，用于检测所述第一标签的植入特征和SRC属性；以及判断模块，用于根据所述植入特征和所述SRC属性判断所述第一标签能否在所述网页中正常显示，其中，当所述第一标签无法在所述网页中正常显示时，所述判断模块判定所述第一标签是恶意标签。13根据权利要求12所述的浏览器的入侵检测装置，其特征在于，所述第一标签检测模块还包括IMG和EMBED标签检测模块，用于当所述第一标签为IMG标签或者EMBED标签时，则检测所述第一标签的SRC链接目。

11、标是否是图片或者视频地址，其中，当所述第一标签的SRC链接目标不是图片且不是视频地址时，IMG和EMBED标签检测模块判定所述第一标签是恶意标签。14根据权利要求12所述的浏览器的入侵检测装置，其特征在于，所述第一标签检测模块还包括IFRAME标签检测模块，当所述第一标签在所述网页中正常显示时，且当所述第一标签为IFRAME标签时，所述IFRAME标签检测模块检测所述第一标签的SRC链接中是否包含SCRIPT语句，其中，当所述第一标签的SRC链接包含SCRIPT语句时，所述IFRAME标签检测模块判定所述第一标签是恶意标签。15根据权利要求14所述的浏览器的入侵检测装置，其特征在于，所述IFR。

12、AME标签检测模块读取所述IFRAME标签的高度和宽度，其中，当所述高度值和所述宽度值均为0时，所述IFRAME标签检测模块判定所述第一标签为恶意标签。16根据权利要求11或12或13或14或15所述的浏览器的入侵检测装置，其特征在于，所述第二标签检测模块还包括同源检测模块，用于检测所述第二标签是否含有SRC属性；当所述第二标签含有SRC属性时，所述同源检测模块判断所述第二标签所包含的链接是否和所述网页同源，其中，当所述第二标签所包含的链接与所述网页不同源时，所述同源检测模块判定所述第二标签为恶意标签；以及链接指向模块，用于检测所述第二标签是否含有SRC属性；当所述第二标签含有SRC属性时，则。

13、判断所述第二标签所包含的链接是否指向JAVASCRIPT文件或者指向CSS文件，其中，如果所述第二标签所包含的链接既没有指向JAVASCRIPT文件又没有指向CSS文件，所述链接指向模块判定所述第二标签为恶意标签。17根据权利要求16所述的浏览器的入侵检测装置，其特征在于，所述第三标签检测模块还包括DIV显示检测模块，用于检测所述DIV标签的显示属性；其中，当所述显示属性表示所述DIV标签不能正常显示时，DIV显示检测模块判定所述DIV标签为恶意标签。18根据权利要求17所述的浏览器的入侵检测装置，其特征在于，所述第四标签检测模块还包括FORM属性检测模块，用于检测所述FORM标签的ACTIO。

14、N属性，其中，当所述ACTION属性中的链接与所述网页的链接不同源时，则判定所述FORM标签为恶意标签。权利要求书CN104301314A4/4页519根据权利要求18所述的浏览器的入侵检测装置，其特征在于，所述第五标签检测模块还包括代码检测模块，用于检测所述第五标签的链接中是否含有SCRIPT代码；其中，当所述第五标签的链接中含有SCRIPT代码时，则判定所述第五标签为恶意标签。权利要求书CN104301314A1/8页6一种基于浏览器标签属性的入侵检测方法及装置技术领域0001本发明涉及信息安全领域，具体涉及一种基于浏览器标签属性的入侵检测方法及装置。背景技术0002随着INTERNET技。

15、术的广泛应用，越来越多的信息资源通过WEB服务共享。例如，企业信息化过程中的各种应用都选择WEB平台进行架设，此外，社交网络和微博等互联网产品得到快速应用，使得WEB浏览成为了互联网上使用率最高的网络服务，同时也成为了恶意代码利用的有效传播途径。0003在这些恶意攻击中，XSSCROSSSITESCRIPTING，跨站脚本攻击）和CSRF（CROSSSITEREQUESTFORGERY，跨站请求伪造）的危害很大。其中，XSS是指恶意攻击者往WEB页面里插入恶意HTML代码。当用户浏览该页时，嵌入其中WEB里面的HTML代码会被执行，从而达到恶意攻击用户的特殊目的。CSRF通过伪装来自受信任用户。

16、的请求来利用受信任的网站。例如，网站是通过COOKIE来识别用户的，当用户成功进行身份验证之后浏览器就会得到一个标识其身份的COOKIE，只要不关闭浏览器或者退出登录，以后访问这个网站会带上这个COOKIE。如果这期间浏览器被人控制着请求了这个网站的链接，可能就会执行一些用户不想做的功能（比如，修改个人资料），达到恶意攻击的目的。0004然而，由于攻击方式的多样性，现有技术中的反病毒服务商无法有效的探测和遏制以XSS和CSRF为代表的网络攻击。发明内容0005本发明要解决的技术问题在于提供一种基于浏览器标签属性的入侵检测方法及装置，以在保证有效探测和遏制以XSS和CSRF为代表的网络攻击。00。

17、06为解决上述技术问题，本发明采用如下技术方案本发明提供了一种浏览器的入侵检测方法，其特征在于，所述入侵检测方法包括以下步骤读取所述浏览器的当前网页；开启超文本标记语言解析器（HTMLPARSER），以获取所述网页中带有链接的所有标签；解码所述所有标签中的经过编码的标签；根据第一规则检测所述第一标签的属性，以判断所述第一标签是否是恶意标签，所述第一标签包括IFRAME标签、IMG标签和EMBED标签中至少一种；根据第二规则检测所述第二标签的属性，以判断所述第二标签是否是恶意标签，所述第二标签包括SCRIPT标签和CSS标签中至少一种；根据第三规则检测所述第三标签的属性，以判断所述第三标签是否是。

18、恶意标签，所述第三标签包括DIV标签；说明书CN104301314A2/8页7根据第四规则检测所述第四标签的属性，以判断所述第四标签是否是恶意标签，所述第四标签包括FORM标签；以及根据第五规则检测所述第五标签的属性，以判断所述第五标签是否是恶意标签。0007在一个实施例中，所述根据第一规则检测所述第一标签的步骤还包括检测所述第一标签的植入特征和SRC属性；根据所述植入特征和所述SRC属性判断所述第一标签能否在所述网页中正常显示；以及如果所述第一标签无法在所述网页中正常显示，则判定所述第一标签是恶意标签。0008在一个实施例中，所述根据第一规则检测所述第一标签的步骤还包括如果所述第一标签可以在。

19、所述网页中正常显示，且所述第一标签为IMG标签或者EMBED标签，则检测所述第一标签的SRC链接目标是否是图片或者视频地址；以及如果所述第一标签的SRC链接目标不是图片且不是视频地址，则判定所述第一标签是恶意标签。0009在一个实施例中，所述根据第一规则检测所述第一标签的步骤还包括如果所述第一标签可以在所述网页中正常显示，且所述第一标签为IFRAME标签，则检测所述第一标签的SRC链接中是否包含SCRIPT语句；以及如果所述第一标签的SRC链接包含SCRIPT语句，则判定所述第一标签是恶意标签。0010在一个实施例中，如果所述第一标签是IFRAME标签，则读取第一标签的属性的步骤还包括读取所述。

20、IFRAME标签的高度和宽度；以及如果所述高度值和所述宽度值均为0，则判定所述第一标签为恶意标签。0011根据权利要求1或2或3或4或5所述的浏览器的入侵检测方法，其特征在于，所述根据第二规则检测所述第二标签的步骤还包括检测所述第二标签是否含有SRC属性；如果所述第二标签含有SRC属性，则判断所述第二标签所包含的链接是否和所述网页同源；以及如果所述第二标签所包含的链接与所述网页不同源，则判定所述第二标签为恶意标签。0012在一个实施例中，所述根据第二规则检测所述第二标签的步骤还包括检测所述第二标签是否含有SRC属性；如果所述第二标签含有SRC属性，则判断所述第二标签所包含的链接是否指向JAVA。

21、SCRIPT文件或者指向CSS文件；以及如果所述第二标签所包含的链接既没有指向JAVASCRIPT文件又没有指向CSS文件，则判定所述第二标签为恶意标签。0013在一个实施例中，所述根据第三规则检测所述第三标签的步骤还包括检测所述DIV标签的显示属性；以及如果所述显示属性表示所述DIV标签不能正常显示，则判定所述DIV标签为恶意标签。0014在一个实施例中，所述根据第四规则检测所述第四标签的步骤还包括检测所述FORM标签的ACTION属性；以及说明书CN104301314A3/8页8如果所述ACTION属性中的链接与所述网页的链接不同源，则判定所述FORM标签为恶意标签。0015在一个实施例中。

22、，所述入侵检测方法还包括检测所述第五标签的链接中是否含有SCRIPT代码；以及如果所述第五标签的链接中含有SCRIPT代码，则判定所述第五标签为恶意标签。0016本发明还提供了一种浏览器的入侵检测装置，其特征在于，所述入侵检测装置包括网页读取模块，用于读取所述浏览器的当前网页；超文本标记语言解析器，用于获取所述网页中带有链接的所有标签；解码器，用于解码所述所有标签中的经过编码的标签；第一标签检测模块，用于根据第一规则检测所述第一标签的属性，以判断所述第一标签是否是恶意标签，所述第一标签包括IFRAME标签、IMG标签和EMBED标签中至少一种；第二标签检测模块，用于读取所述所有标签中的第二标签。

23、的属性，所述第二标签包括SCRIPT标签和CSS标签中至少一种；第三标签检测模块，用于根据第三规则检测所述第三标签的属性，以判断所述第三标签是否是恶意标签，所述第三标签包括DIV标签；第四标签检测模块，用于读取所述所有标签中的第四标签的属性，所述第四标签包括FORM标签；以及第五标签检测模块，用于根据第五规则检测所述第五标签，以判断所述第五标签是否是恶意标签。0017在一个实施例中，所述第一标签检测模块包括属性检测模块，用于检测所述第一标签的植入特征和SRC属性；以及判断模块，用于根据所述植入特征和所述SRC属性判断所述第一标签能否在所述网页中正常显示，其中，当所述第一标签无法在所述网页中正常。

24、显示时，所述判断模块判定所述第一标签是恶意标签。0018在一个实施例中，所述第一标签检测模块还包括IMG和EMBED标签检测模块，用于当所述第一标签为IMG标签或者EMBED标签时，则检测所述第一标签的SRC链接目标是否是图片或者视频地址，其中，当所述第一标签的SRC链接目标不是图片且不是视频地址时，IMG和EMBED标签检测模块判定所述第一标签是恶意标签。0019在一个实施例中，所述第一标签检测模块还包括IFRAME标签检测模块，当所述第一标签在所述网页中正常显示时，且当所述第一标签为IFRAME标签时，所述IFRAME标签检测模块检测所述第一标签的SRC链接中是否包含SCRIPT语句，其中。

25、，当所述第一标签的SRC链接包含SCRIPT语句时，所述IFRAME标签检测模块判定所述第一标签是恶意标签。0020在一个实施例中，所述IFRAME标签检测模块读取所述IFRAME标签的高度和宽度，其中，当所述高度值和所述宽度值均为0时，所述IFRAME标签检测模块判定所述第一标签为恶意标签。0021在一个实施例中，所述第二标签检测模块还包括说明书CN104301314A4/8页9同源检测模块，用于检测所述第二标签是否含有SRC属性；当所述第二标签含有SRC属性时，所述同源检测模块判断所述第二标签所包含的链接是否和所述网页同源，其中，当所述第二标签所包含的链接与所述网页不同源时，所述同源检测模。

26、块判定所述第二标签为恶意标签；以及链接指向模块，用于检测所述第二标签是否含有SRC属性；当所述第二标签含有SRC属性时，则判断所述第二标签所包含的链接是否指向JAVASCRIPT文件或者指向CSS文件，其中，如果所述第二标签所包含的链接既没有指向JAVASCRIPT文件又没有指向CSS文件，所述链接指向模块判定所述第二标签为恶意标签。0022在一个实施例中，所述第三标签检测模块还包括DIV显示检测模块，用于检测所述DIV标签的显示属性；其中，当所述显示属性表示所述DIV标签不能正常显示时，DIV显示检测模块判定所述DIV标签为恶意标签。0023在一个实施例中，所述第四标签检测模块还包括FORM。

27、属性检测模块，用于检测所述FORM标签的ACTION属性，其中，当所述ACTION属性中的链接与所述网页的链接不同源时，则判定所述FORM标签为恶意标签。0024在一个实施例中，所述第五标签检测模块还包括代码检测模块，用于检测所述第五标签的链接中是否含有SCRIPT代码；其中，当所述第五标签的链接中含有SCRIPT代码时，则判定所述第五标签为恶意标签。0025与现有技术相比，本发明的入侵检测方法比现有技术更全面的检测了浏览器的各种标签属性，并根据不同标签可能蕴含的恶意攻击特征，提供了相应的检测方法。因此，该入侵检测方法可以更有效的发现XSS和CSRF恶意攻击的细小线索，有效探测和遏制了以XSS。

28、和CSRF为代表的网络攻击，提高了网络安全性。附图说明0026图1所示为根据本发明的实施例的基于浏览器标签属性的入侵检测方法。0027图2所示为根据本发明的实施例的第一标签的检测方法。0028图3所示为根据本发明的实施例的IFRAME标签的检测方法。0029图4所示为根据本发明的实施例的第二标签的检测方法。0030图5所示为根据本发明的实施例的第三标签的检测方法。0031图6所示为根据本发明的实施例的第四标签的检测方法。0032图7所示为根据本发明的实施例的第五标签的检测方法。0033图8所示为根据本发明的实施例的入侵检测装置。0034图9所示为根据本发明的实施例的第一标签检测模块的结构图。0。

29、035图10所示为根据本发明的实施例的第二标签检测模块的结构图。0036图11所示为根据本发明的实施例的第三标签检测模块的结构图。0037图12所示为根据本发明的实施例的第四标签检测模块的结构图。0038图13所示为根据本发明的实施例的第五标签检测模块的结构图。具体实施方式0039以下将对本发明的实施例给出详细的说明。尽管本发明将结合一些具体实施方式说明书CN104301314A5/8页10进行阐述和说明，但需要注意的是本发明并不仅仅只局限于这些实施方式。相反，对本发明进行的修改或者等同替换，均应涵盖在本发明的权利要求范围当中。0040另外，为了更好的说明本发明，在下文的具体实施方式中给出了众。

30、多的具体细节。本领域技术人员将理解，没有这些具体细节，本发明同样可以实施。在另外一些实例中，对于大家熟知的方法、流程、元件和电路未作详细描述，以便于凸显本发明的主旨。0041图1所示为根据本发明的实施例的基于浏览器标签属性的入侵检测方法100。XSSCROSSSITESCRIPTING，跨站脚本）攻击和CSRF（CROSSSITEREQUESTFORGERY，跨站请求伪造）攻击的特点在于利用了浏览器中的网页的标签中的各种链接。在图1的实施例中，本发明的入侵检测方法根据XSS和CSRF的特点将浏览器的网页的标签分成了五种标签。这五种标签包括第一标签、第二标签、第三标签、第四标签和第五标签。其中，。

31、第一标签包括IFRAME标签、IMG标签和EMBED标签中至少一种；第二标签包括SCRIPT标签和CSS标签中至少一种；第三标签包括DIV标签；第四标签包括FORM标签；第五标签包括除第一至第四标签以外的标签种类。本发明的入侵检测方法根据不同标签的特点提供了不同方法去检测标签属性，以判断各种标签是否是恶意标签。0042在步骤102中，读取浏览器的当前网页。在步骤104中，开启超文本标记语言解析器，以获取该网页中带有链接的所有标签。在步骤106中，解码该所有标签中经过编码的标签。0043在步骤108中，读取所述所有标签的第一标签（例如IFRAME标签、IMG标签和/或EMBED标签）的属性。根据。

32、第一规则检测第一标签，以判断第一标签是否是恶意标签。步骤108及其第一规则将在图2和图3做进一步描述。0044在步骤110中，读取该所有标签中的第二标签（例如SCRIPT标签和CSS标签）的属性。根据第二规则检测第二标签，以判断第二标签是否是恶意标签。步骤110及其第二规则将在图4做进一步描述。0045在步骤112中，读取该所有标签中的第三标签（例如DIV标签）的属性。根据第三规则检测第三标签，以判断第三标签是否是恶意标签。步骤112及其第三规则将在图5做进一步描述。0046在步骤114中，读取该所有标签中的第四标签（例如FORM标签）的属性。根据第四规则检测第四标签，以判断第四标签是否是恶意。

33、标签。步骤114及其第三规则将在图6做进一步描述。0047在步骤116中，读取该所有标签中的第五标签的属性。根据第五规则检测第五标签，以判断第五标签是否是恶意标签。步骤116及其第五规则将在图7做进一步描述。0048优点在于，本发明对当前网页中所有可能包含XSS攻击和CSRF攻击的标签属性作了遍历检测，并根据各标签的特点制定了探测方法。与现有技术相比，本发明的入侵检测方法能更有效的检测出XSS攻击和CSRF攻击，即在本文中讲的“恶意标签”。0049图2所示为根据本发明的实施例的第一标签的检测方法110。图2为步骤110的详细描述。在步骤202中，检测第一标签的植入特征和SRC属性。在步骤204。

34、中，根据所述植入特征和所述SRC属性判断第一标签能否在当前网页中正常显示。更具体地讲，IFRAME标签是用来在网页中内嵌其他HTML框架。IMG标签用于显示图片。EMBED标签用于加载各种媒体文件（包括但不局限于图片、视频、动图或FLASH）。因此，本发明所说的“正常显示”说明书CN104301314A106/8页11是指各个标签都是完成它们的本职任务。也就是说，如果IFRAME标签用于内嵌其他HTML框架，且没有隐藏该IFRAME；IMG标签确实用来加载图片了，EMBED标签是用来加载媒体文件了，即称为为“正常显示”。0050如果第一标签在当前网页中正常显示，则流程图110进入步骤206，否。

35、则，流程图进入步骤214。在步骤214中，判定第一标签为恶意标签。0051在步骤206中，判断第一标签是否是IFRAME标签。如果第一标签为IFRAME标签，流程图进入步骤218。步骤218将在图3作进一步描述。如果第一标签不是IFRAME标签，流程图进入步骤208。0052在步骤208中，判断第一标签是否是IMG标签。如果第一标签是IMG标签，流程图进入步骤212。否则，流程图进入步骤210。在步骤210中，判断第一标签是否是EMBED标签。如果第一标签是EMBED标签，流程图进入步骤212。0053在步骤212中（即第一标签为IMG标签或者EMBED标签时），检测第一标签的SRC链接目标是。

36、否是图片或者视频。如果第一标签的SRC链接目标是图片或视频地址，则流程图进入步骤216，以判定第一标签是正常标签。如果第一标签的SRC链接目标既不是图片地址又不是视频地址，则流程图进入步骤214，以判定第一标签是恶意标签。0054图3所示为根据本发明的实施例的IFRAME标签的检测方法218。图3为步骤218的详细描述。在步骤302中，判断第一标签的SRC链接中是否包含SCRIPT语句。如果第一标签的SRC链接包括SCRIPT语句，则流程图218进入步骤308，以判定第一标签（IFRAME）是恶意标签。如果第一标签的SRC链接不包括SCRIPT语句，则流程图218进入步骤304。0055在步骤。

37、304中，判断IFRAME标签的高度值和宽度值是否均为0。如果IFRAME标签的高度值和宽度值均为0，则流程图218进入步骤308，以判定第一标签（IFRAME）是恶意标签。否则，流程图218进入步骤306，以判定第一标签（IFRAME）是正常标签。综合图2和图3所述，本发明的入侵检测方法100提供了三种针对第一标签属性判断恶意标签的标准。0056图4所示为根据本发明的实施例的第二标签的检测方法114。图4为步骤114的详细描述。在步骤402中，检测第二标签是否含有SRC属性。如果第二标签不含有SRC属性，则进入步骤404，以判定第二标签为正常标签。如果第二标签含有SRC属性，则进入步骤406。

38、。0057在步骤406中，检测第二标签所包含的链接是否和当前网页同源。在本发明的描述中，“同源”是指不同链接来自同一个站点。例如，BLOGBAIDUCOM和ZHIDAOBAIDUCOM都是来源于WWWBAIDUCOM，因此，他们称为同源链接。0058如果第二标签所包含的链接与当前网页不同源，则流程图114进入步骤412，以判定第二标签是恶意标签。如果第二标签所包含的链接与当前网页同源，则流程图114进入步骤408。0059在步骤408中，检测所述第二标签所包含的链接是否指向JAVASCRIPT文件或者指向CSS文件。如果第二标签所包含的链接既没有指向JAVASCRIPT文件又没有指向CSS文件。

39、，则进入步骤412，判定第二标签为恶意标签。如果第二标签所包含的链接指向JAVASCRIPT文件或者指向CSS文件，则进入步骤410，判定第二标签为正常标签。0060图5所示为根据本发明的实施例的第三标签的检测方法122。图4为步骤122的详细描述。在步骤502中，检测DIV标签的显示属性。在步骤504中，根据该显示属性判断说明书CN104301314A117/8页12DIV标签是否正常显示。如果该DIV标签正常显示，则进入步骤508，以判定DIV标签为恶意标签。如果该DIV标签不能正常显示，则进入步骤506，以判定DIV标签为正常标签。0061图6所示为根据本发明的实施例的第四标签的检测方法。

40、124。图6为步骤124的详细描述。在步骤602中，检测FORM标签的ACTION属性。在步骤604中，检测ACTION属性的链接和当前网页的链接是否同源。如果ACTION属性中的链接与当前网页的链接同源，则进入步骤606，以判定该FORM标签为正常标签。如果ACTION属性中的链接与当前网页的链接不同源，则进入步骤608，以判定该FORM标签为恶意标签。0062图7所示为根据本发明的实施例的第五标签的检测方法126。图7为步骤126的详细描述。在步骤702中，检测第五标签的链接中是否含有SCRIPT代码。如果第五标签的链接中含有SCRIPT代码，则进入步骤706，以判定第五标签为恶意标签。如。

41、果第五标签的链接中不含有SCRIPT代码，则进入步骤704，以判定第五标签为正常标签。0063优点在于，本发明的入侵检测方法比现有技术更全面的检测了浏览器的各种标签属性，并根据不同标签可能蕴含的恶意攻击特征，提供了相应的检测方法。因此，该入侵检测方法可以更有效的发现XSS和CSRF恶意攻击的细小线索，有效探测和遏制了以XSS和CSRF为代表的网络攻击，提高了网络安全性。0064图8所示为根据本发明的实施例的入侵检测装置800。入侵检测装置800包括网页读取模块802、超文本标记语言解析器804、解码器806、第一标签检测模块808、第二标签检测模块810、第三标签检测模块812、第四标签检测模。

42、块814和第五标签检测模块816。0065网页读取模块802读取浏览器的当前网页。超文本标记语言解析器804获取该网页中带有链接的所有标签。解码器806解码该所有标签中的经过编码的标签。第一标签检测模块808根据第一规则检测第一标签的属性，以判断第一标签是否是恶意标签，所述第一标签包括IFRAME标签、IMG标签和EMBED标签中至少一种。第二标签检测模块810读取该所有标签中的第二标签的属性，第二标签包括SCRIPT标签和CSS标签中至少一种。第三标签检测模块812根据第三规则检测第三标签的属性，以判断第三标签是否是恶意标签，第三标签包括DIV标签。第四标签检测模块814读取该所有标签中的第。

43、四标签的属性，第四标签包括FORM标签。第五标签检测模块816根据第五规则检测所述第五标签，以判断所述第五标签是否是恶意标签。0066图9所示为根据本发明的实施例的第一标签检测模块808的结构图。在一个实施例中，第一标签检测模块810包括属性检测模块902、判断模块904、IMG和EMBED标签检测模块906和IFRAME标签检测模块。属性检测模块902检测第一标签的植入特征和SRC属性。判断模块904根据植入特征和SRC属性判断第一标签能否在当前网页中正常显示。如果第一标签无法在当前网页中正常显示，则判断模块904判定第一标签是恶意标签。0067并且，当第一标签为IMG标签或者EMBED标签。

44、时，IMG和EMBED标签检测模块906则检测第一标签的SRC链接目标是否是图片或者视频地址，其中，如果所述第一标签的SRC链接目标不是图片且不是视频地址，则判定所述第一标签是恶意标签。0068此外，当所述第一标签在所述网页中正常显示且当所述第一标签为IFRAME标签时，IFRAME标签检测模块908检测第一标签的SRC链接中是否包含SCRIPT语句。如果第一标签的SRC链接包含SCRIPT语句，IFRAME标签检测模块908则判定第一标签是恶意标签。0069在一个实施例中，IFRAME标签检测模块908读取IFRAME标签的高度和宽度。当说明书CN104301314A128/8页13所述高度。

45、值和所述宽度值均为0时，IFRAME标签检测模块908判定第一标签为恶意标签。0070图10所示为根据本发明的实施例的第二标签检测模块810的结构图。第二标签检测模块814还包括同源检测模块1002和链接指向模块1004。同源检测模块1002检测第二标签是否含有SRC属性；当所述第二标签含有SRC属性时，同源检测模块1002判断第二标签所包含的链接是否和当前网页同源。当第二标签所包含的链接与当前网页不同源时，同源检测模块1002判定第二标签为恶意标签。链接指向模块1004检测第二标签是否含有SRC属性。当第二标签含有SRC属性时，链接指向模块1004则判断第二标签所包含的链接是否指向JAVAS。

46、CRIPT文件或者指向CSS文件。其中，如果第二标签所包含的链接既没有指向JAVASCRIPT文件又没有指向CSS文件，链接指向模块1004判定第二标签为恶意标签。0071图11所示为根据本发明的实施例的第三标签检测模块812的结构图。在一个实施例中，第三标签检测模块818包括DIV显示检测模块1102。DIV显示检测模块1102检测DIV标签的显示属性。当显示属性表示DIV标签不能正常显示时，DIV显示检测模块1102判定DIV标签为恶意标签。0072图12所示为根据本发明的实施例的第四标签检测模块814的结构图。第四标签检测模块814还包括FORM属性检测模块814。FORM属性检测模块8。

47、14检测FORM标签的ACTION属性。其中，当ACTION属性中的链接与当前网页的链接不同源时，FORM属性检测模块814判定FORM标签为恶意标签。0073图13所示为根据本发明的实施例的第五标签检测模块816的结构图。第五标签检测模块还包括代码检测模块1302。代码检测模块1302检测第五标签的链接中是否含有SCRIPT代码。其中，当第五标签的链接中含有SCRIPT代码时，代码检测模块1302判定所述第五标签为恶意标签。0074优点在于，本发明的入侵检测装置比现有技术更全面的检测了浏览器的各种标签属性，并根据不同标签可能蕴含的恶意攻击特征，提供了相应的检测方法。因此，该入侵检测方法可以更。

48、有效的发现XSS和CSRF恶意攻击的细小线索，有效探测和遏制了以XSS和CSRF为代表的网络攻击，提高了网络安全性。0075上文具体实施方式和附图仅为本发明之常用实施例。显然，在不脱离权利要求书所界定的本发明精神和发明范围的前提下可以有各种增补、修改和替换。本领域技术人员应该理解，本发明在实际应用中可根据具体的环境和工作要求在不背离发明准则的前提下在形式、结构、布局、比例、材料、元素、组件及其它方面有所变化。因此，在此披露之实施例仅用于说明而非限制，本发明之范围由后附权利要求及其合法等同物界定，而不限于此前之描述。说明书CN104301314A131/9页14图1说明书附图CN104301314A142/9页15图2说明书附图CN104301314A153/9页16图3说明书附图CN104301314A164/9页17图4说明书附图CN104301314A175/9页18图5图6说明书附图CN104301314A186/9页19图7说明书附图CN104301314A197/9页20图8说明书附图CN104301314A208/9页21图9图10图11说明书附图CN104301314A219/9页22图12图13说明书附图CN104301314A22。

展开阅读全文