[发明专利]一种WEB邮件XSS攻击检测方法及相关装置

说明书

技术领域

本发明涉及网络安全领域，具体而言，涉及一种WEB邮件XSS攻击检测方法及相关装置。

背景技术

邮件攻击一直以来是信息安全界研究的重点课题之一，邮件伴随着互联网的产生就一直使用至今，并且使用热度一直经久不衰，邮件依然是大部分企业信息及文件传输的主要方式，邮件传输的个人信息越来越多，越来越重要。随着科技的不断发展，对邮件不再采用原始的方式进行攻击，攻击方式在不断更新，变得更隐蔽，影响后果更严重。

现有的检测WEB邮件XSS攻击的方法都是基于关键字脚本对邮件进行检测的，这种检测方式会造成较高的误报率。因此，人们更需要一个更有效和更准确的检测WEB邮件XSS攻击的方法来为大家营造一个安全的邮件信息交互的环境。

发明内容

有鉴于此，本发明实施例的目的在于提供一种WEB邮件XSS攻击检测方法及相关装置，以改善上述问题。

本发明实施例提供一种WEB邮件XSS攻击检测方法，所述方法包括：获取网络数据包；解析所述网络数据包，并过滤得到WEB邮件网络数据包；从所述WEB邮件网络数据包中提取参数信息，所述参数信息包括URL、COOKIE、Agent以及邮件内容；解码所述参数信息，将解码后的参数信息与XSS特征库内对应种类的参数通过正则表达式进行匹配；若匹配满足预设规则，则判定所述WEB邮件网络数据包具有XSS攻击行为。

优选的，所述解析所述网络数据包，并过滤得到WEB邮件网络数据包的步骤之后还包括：将源IP、目的IP、源端口、目的端口及协议类型相同的WEB邮件网络数据包重新组成流数据并保存。

优选的，若所述WEB邮件网络数据包具有XSS攻击行为，将WEB邮件网络数据包的相关信息进行记录，所述相关信息包括源IP地址、目的IP地址、源MAC地址、目的MAC地址，并依据所述相关信息定位攻击源和受攻击者。

优选的，所述从所述WEB邮件网络数据包中提取参数信息的步骤之后还包括：解码所述参数信息，并提取出引用页和主机地址；将所述引用页与预存储的邮件地址名单比对，若所述引用页与所述邮件地址名单中的邮件服务器地址相匹配，则将所述主机地址与所述邮件服务器地址比对，若所述主机地址与所述邮件服务器地址不同，则判定所述WEB邮件网络数据包具有XSS攻击行为。

本发明实施例还提供一种WEB邮件XSS攻击检测装置，所述装置包括：捕获模块，用于获取网络数据包；过滤模块，用于解析所述网络数据包，并过滤得到WEB邮件网络数据包；第一提取模块，用于从所述WEB邮件网络数据包中提取参数信息，所述参数信息包括URL、COOKIE、Agent以及邮件内容；匹配模块，用于解码所述参数信息，将解码后的参数信息与XSS特征库内对应种类的参数通过正则表达式进行匹配；判定模块，用于若匹配满足预设规则，则判定所述WEB邮件网络数据包具有XSS攻击行为。

优选的，还包括缓存模块，用于将源IP、目的IP、源端口、目的端口及协议类型相同的WEB邮件网络数据包重新组成流数据并保存。

优选的，还包括定位模块，用于若所述WEB邮件网络数据包具有XSS攻击行为，将WEB邮件网络数据包的相关信息进行记录，所述相关信息包括源IP地址、目的IP地址、源MAC地址、目的MAC地址，并依据所述相关信息定位攻击源和受攻击者。

优选的，还包括：第二提取模块，用于解码所述参数信息，并提取出引用页和主机地址；比对模块，用于将所述引用页与预存储的邮件地址名单比对，若所述引用页与所述邮件地址名单中的邮件服务器地址相匹配，则将所述主机地址与所述邮件服务器地址比对；所述判定模块还用于若所述主机地址与所述邮件服务器地址不同，则判定所述WEB邮件网络数据包具有XSS攻击行为。

本发明实施例还提供一种电子设备，包括：一个或多个处理器；存储器，用于存储一个或多个程序，当所述一个或多个程序被所述一个或多个处理器执行时，使得所述一个或多个处理器实现如上任一所述的WEB邮件XSS攻击检测方法。

本发明实施例还提供一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如上任一所述的WEB邮件XSS攻击检测方法。