[发明专利]跨站脚本攻击检测方法和装置

权利要求书

1.一种跨站脚本攻击检测方法，包括：

提取数据包中被跨站脚本攻击利用的风险位置的相关载荷；

将所述相关载荷构建为语法树；

遍历所述语法树，判断所述语法树是否符合语法规范；

若所述语法树符合语法规范，则确定检测到跨站脚本攻击；

若所述语法树不符合语法规范，则基于确定有限状态自动机，计算所述相关载荷的威胁分值；

若所述相关载荷的威胁分值大于等于威胁阈值，则确定检测到跨站脚本攻击。

2.根据权利要求1所述的跨站脚本攻击检测方法，其中，对所述相关载荷构建语法树之前，还包括：

对所述相关载荷进行递归解码，直到解码字符串不再变化。

3.根据权利要求2所述的跨站脚本攻击检测方法，其中，对所述相关载荷进行递归解码之后，还包括：

对所述解码处理后的相关载荷进行上下文语义填充。

4.根据权利要求1至3任一所述的跨站脚本攻击检测方法，其中，基于确定有限状态自动机，计算所述相关载荷的威胁分值包括：

根据所述语法树中节点之间的关系，确定所述确定有限状态自动机的状态转换矩阵；

确定所述状态转换矩阵、所述相关载荷中符号和关键字的分值、权重和可重复计分次数；

根据所述状态转换矩阵、所述相关载荷中负荷和关键字的分值、权重和可重复计分次数，计算所述相关载荷的威胁分值。

5.根据权利要求1至3任一所述的跨站脚本攻击检测方法，还包括：

根据网站业务对所述威胁阈值进行反馈调整。

6.根据权利要求1至3任一所述的跨站脚本攻击检测方法，其中，

若所述相关载荷的威胁分值小于威胁阈值，则确定没有检测到跨站脚本攻击。

7.一种跨站脚本攻击检测装置，包括：

载荷提取单元，被配置为提取数据包中被跨站脚本攻击利用的风险位置的相关载荷；

语法树构建单元，被配置为将所述相关载荷构建为语法树；

语法判断单元，被配置为遍历所述语法树，判断所述语法树是否符合语法规范；

分值计算单元，被配置为若所述语法树不符合语法规范，则基于确定有限状态自动机，计算所述相关载荷的威胁分值；

攻击判断单元，被配置为若所述语法树符合语法规范，或所述相关载荷的威胁分值大于等于威胁阈值，则确定检测到跨站脚本攻击。

8.根据权利要求7所述的跨站脚本攻击检测装置，还包括：

解码处理单元，被配置为对所述相关载荷进行递归解码，直到解码字符串不再变化。

9.根据权利要求8所述的跨站脚本攻击检测装置，还包括：

语义填充单元，被配置为对所述解码处理后的相关载荷进行上下文语义填充。

10.一种跨站脚本攻击检测装置，包括：

存储器；以及

耦接至所述存储器的处理器，所述处理器被配置为基于存储在所述存储器的指令执行如权利要求1至6任一项所述的跨站脚本攻击检测方法。

11.一种计算机可读存储介质，其上存储有计算机程序指令，该指令被处理器执行时实现权利要求1至6任一项所述的跨站脚本攻击检测方法。