一种跨站脚本攻击的检测方法和装置

摘要

本发明提出一种跨站脚本攻击的检测装置，包括指数计算单元、提取单元、编码还原单元、语义还原单元、匹配程度计算单元和判断单元，各单元彼此协作，采用综合HTML标签分析分析的方法(包括标签的EJSRF分析、JavaScript编码变形分析、JavaScript语义变性分析、XSS攻击特征模式匹配这4种方法)对Web页面中夹带的恶意跨站脚本进行识别、提取。这种以HTML标签分析为核心的跨站脚本识别与提取技术能够高效准确地区分Web页面中正常的JavaScript与恶意的跨站脚本，使得网络安全检测设备和网络终端能够精确识别、过滤含有恶意跨站脚本的Web页面，同时又能够保证合法的(没有夹杂恶意跨站脚本)的Web页面正常通过。

主权项

一种跨站脚本攻击的检测方法，包括：a、对于捕获到的HTTP返回页面，找到其中的活跃标签；将所捕获的HTTP返回页面中包括该活跃标签在内的各层标签的概率P取倒数之后相加，并求出算术平均值作为所述活跃标签的内嵌JavaScript合理指数EJSRF；提取出各活跃标签内的JavaScript脚本；所述活跃标签是与JavaScript脚本之间不存在其它HTML标签的HTML标签，所述标签的概率P为该标签内直接出现JavaScript脚本的概率；b、对提取出的JavaScript脚本进行编码还原，得到该JavaScript脚本被编码的字节数量EBN；进行语义还原，得到该JavaScript脚本中使用字符串变量的次数SDN；将经过编码和语义还原的JavaScript脚本与预设的跨站脚本攻击特征进行匹配，得出该JavaScript脚本的特征匹配程度SMD；c、将所述EJSRF、EBN、SDN和SMD加权相加，将相加得到的和与预定的阈值进行比较，如果计算结果超过了给定的阈值，则判定所捕获到的HTTP返回页面包含跨站脚本攻击。