[发明专利]一种跨站脚本攻击的检测方法和装置

权利要求书

1.一种跨站脚本攻击的检测方法，包括：

a、对于捕获到的HTTP返回页面，找到其中的活跃标签；将所捕获的HTTP返回页面中包括该活跃标签在内的各层标签的概率P取倒数之后相加，并求出算术平均值作为所述活跃标签的内嵌JavaScript合理指数EJSRF；提取出各活跃标签内的JavaScript脚本；所述活跃标签是与JavaScript脚本之间不存在其它HTML标签的HTML标签，所述标签的概率P为该标签内直接出现JavaScript脚本的概率；

b、对提取出的JavaScript脚本进行编码还原，得到该JavaScript脚本被编码的字节数量EBN；进行语义还原，得到该JavaScript脚本中使用字符串变量的次数SDN；将经过编码和语义还原的JavaScript脚本与预设的跨站脚本攻击特征进行匹配，得出该JavaScript脚本的特征匹配程度SMD；

c、将所述EJSRF、EBN、SDN和SMD加权相加，将相加得到的和与预定的阈值进行比较，如果计算结果超过了给定的阈值，则判定所捕获到的HTTP返回页面包含跨站脚本攻击。

2.如权利要求1所述的方法，其特征在于，所述步骤a具体包括：

a1、存储各HTTP标签的统计信息，包括该HTML标签的出现次数N、该HTML标签作为活跃标签出现的次数M；

a2、捕获到的HTTP返回页面后，按照嵌套的顺序从外向内依次提取所捕获的HTTP返回页面中的一个HTML标签；如果所有标签都已提取完，则执行步骤b；

a3、将该标签的N加1；如果该标签直接嵌套了JavaScript脚本，将该标签的M加1，记录该标签Tag的嵌套层次NL，提取该标签中的JavaScript脚本，然后执行步骤a4；否则返回步骤a2；

a4、将该标签的概率P的倒数，和所捕获的HTTP返回页面中位于该标签外的各层标签的概率P的倒数累加，然后求出累加所得的和的算数平均值作为该标签的EJSRF；所述标签的概率P的倒数为该标签的N除以M；当没有概率P为0的标签时，除数为该标签的NL，否则除数为该标签的NL减去概率P为0的标签的个数。

3.如权利要求1或2所述的方法，其特征在于，所述步骤b具体包括：

b1、首先对提取出的JavaScript脚本进行逐字符的编码还原，把通过16进制或10进制编码转换的JavaScript脚本转换成编码前的脚本，得到被编码的字符数量EBN；

b2、对经过步骤b1编码还原之后的JavaScript脚本进行语义还原，代入字符串常量或字符串变量的语义以还原进行过字符串拼接的语句，得到对字符串拼接的次数SDN；

b3、将经过编码还原和语义转换后的JavaScript脚本与一预定的XSS攻击特征数据库中的XSS攻击特征进行比对，得出该JavaScript脚本的SMD。

4.如权利要求3所述的方法，其特征在于，所述步骤b3中：

将所述JavaScript脚本所匹配的所有XSS攻击特征的权重相加；各XSS攻击特征的权重分别为1到10中的一个值，包括1和10。

5.如权利要求1或2所述的方法，其特征在于：

EJSRF、EBN、SDN和SMD的权重分别为0.4、0.3、0.2和0.1。