一種xss注入攻擊檢測方法、裝置、設備及存儲介質制造方法及圖紙

本申請公開了一種xss注入攻擊檢測方法、裝置、設備及存儲介質，涉及計算機技術領域，包括：對捕獲到的待檢測流量數據包進行解析，并按照預設處理規則對解析后數據進行處理；將處理后元組中的目標三元組與模型字典存儲的三元組字符串進行匹配以查詢模型字典中是否存在目標三元組；模型字典為利用預先構建的詞頻文件構成的字典；若存在，則根據目標三元組確定出待檢測流量數據包中的所有可疑片段，并計算可疑片段的屬性分值；將分值最高的屬性分值對應的可疑片段確定為目標可疑片段，并基于目標可疑片段對應的目標屬性分值確定目標可疑片段的攻擊類別是否為xss注入攻擊，能夠提高xss注入攻擊的檢測精度，對新出現的xss注入攻擊有一定的檢測能力。擊有一定的檢測能力。擊有一定的檢測能力。

【技術實現步驟摘要】
一種xss注入攻擊檢測方法、裝置、設備及存儲介質


[0001]本專利技術涉及計算機
，特別涉及一種xss注入攻擊檢測方法、裝置、設備及存儲介質。

技術介紹

[0002]當前，xss注入攻擊是web攻擊中常見的網絡攻擊，其危害大，由于xss注入是由js語句構成，在檢測該xss注入攻擊時有可能將業務js錯誤識別成xss注入攻擊，或者將xss注入誤判成業務js，無論是出現哪種誤判情況，都會對系統造成一定的風險。
[0003]基于規則匹配的檢測方案能較好檢測所屬的惡意軟件行為，但會造成一些業務js語句被命中，導致識別成xss注入攻擊；或者是一些新型的xss注入攻擊，匹配規則沒有，導致不能識別檢測出來。同時規則命中效率以及精度較大依靠規則編寫人員的經驗能力，規則是否能精確識別有一定的人為因素影響，受安全分析人員的經驗影響?；谔摂M環境執行的檢查方式，通過將相關的xss語句在虛擬的環境下執行，監視并查看是否會對虛擬環境下產生危害，該方法檢測方式能有效檢測xss攻擊，但該方法存在檢測效率低，不能有效應對大流量環境檢測，同時存在虛擬環境不覆蓋全部的場景導致漏報xss情況，導致漏報的情況，進而導致攻擊者攻擊成功。

技術實現思路

[0004]有鑒于此，本專利技術的目的在于提供一種xss注入攻擊檢測方法、裝置、設備及存儲介質，能夠提高xss注入攻擊的檢測精度。其具體方案如下：
[0005]第一方面，本申請公開了一種xss注入攻擊檢測方法，包括：
[0006]對捕獲到的待檢測流量數據包進行解析得到解析后數據，并按照預設處理規則對所述解析后數據進行處理得到處理后元組；
[0007]將所述處理后元組中的目標三元組與模型字典存儲的三元組字符串進行匹配以查詢所述模型字典中是否存在所述目標三元組；所述模型字典為利用預先構建的詞頻文件構成的字典；
[0008]若存在，則根據所述目標三元組確定出所述待檢測流量數據包中的所有可疑片段，并計算所述可疑片段的屬性分值；
[0009]將分值最高的所述屬性分值對應的所述可疑片段確定為目標可疑片段，并基于所述目標可疑片段對應的目標屬性分值確定所述目標可疑片段的攻擊類別是否為xss注入攻擊。
[0010]可選的，所述對捕獲到的待檢測流量數據包進行解析得到解析后數據，包括：
[0011]提取從目標網關上捕獲到的待檢測流量數據包中的請求頭信息和請求體信息；
[0012]對所述請求頭信息和所述請求體信息進行URL編碼解析得到解析后數據。
[0013]可選的，所述計算所述可疑片段的屬性分值，包括：
[0014]對所述可疑片段進行片段切分處理得到各子片段；
[0015]基于所述子片段對應的三元組中的詞頻信息計算各所述子片段對應的攻擊子屬性分值和正常子屬性分值；
[0016]基于各所述子片段對應的攻擊子屬性分值和所述正常子屬性分值確定所述可疑片段的攻擊屬性分值和正常屬性分值；
[0017]相應的，所述將分值最高的所述屬性分值對應的所述可疑片段確定為目標可疑片段，包括：
[0018]確定出分值最高的所述攻擊屬性分值得到目標攻擊屬性分值，并將所述目標攻擊屬性分值對應的所述可疑片段確定為目標可疑片段。
[0019]可選的，所述基于所述目標可疑片段對應的目標屬性分值確定所述目標可疑片段的攻擊類別是否為xss注入攻擊，包括：
[0020]判斷所述目標可疑片段對應的目標攻擊屬性分值是否低于預設xss閾值得到第一判斷結果，并判斷所述目標攻擊屬性分值是否小于所述目標可疑片段對應的目標正常屬性分值得到第二判斷結果；
[0021]基于所述第一判斷結果和所述第二判斷結果確定所述目標可疑片段的攻擊類別是否為xss注入攻擊。
[0022]可選的，所述基于所述第一判斷結果和所述第二判斷結果確定所述目標可疑片段的攻擊類別是否為xss注入攻擊，包括：
[0023]如果所述第一判斷結果表明所述目標可疑片段對應的所述目標攻擊屬性分值低于所述預設xss閾值且所述第二判斷結果表明所述目標攻擊屬性分值小于所述目標可疑片段對應的所述目標正常屬性分值，則判定所述目標可疑片段的攻擊類型為非xss注入攻擊；
[0024]如果所述第一判斷結果表明所述目標可疑片段對應的所述目標攻擊屬性分值不低于所述預設xss閾值且所述第二判斷結果表明所述目標攻擊屬性分值小于所述目標可疑片段對應的所述目標正常屬性分值，則判定所述目標可疑片段的攻擊類型為非xss注入攻擊；
[0025]如果所述第一判斷結果表明所述目標可疑片段對應的所述目標攻擊屬性分值不低于所述預設xss閾值且所述第二判斷結果表明所述目標攻擊屬性分值不小于所述目標可疑片段對應的所述目標正常屬性分值，則判定所述目標可疑片段的攻擊類型為xss注入攻擊。
[0026]可選的，所述對所述可疑片段進行片段切分處理得到各子片段之后，還包括：
[0027]判斷所述子片段是否為所述模型字典中存儲的白名單中的字符串；
[0028]若是，則將所述子片段進行過濾得到過濾后子片段；
[0029]相應的，所述基于所述子片段對應的三元組中的詞頻信息計算各所述子片段對應的攻擊子屬性分值和正常子屬性分值，包括：
[0030]基于所述子片段對應的三元組中的詞頻信息計算各所述過濾后子片段對應的攻擊子屬性分值和正常子屬性分值。
[0031]可選的，所述按照預設處理規則對所述解析后數據進行處理得到處理后元組，包括：
[0032]按照由字符替換規則、字符大小寫轉換規則和泛化處理規則中的任意一種或幾種組合而成的目標處理規則對所述解析后數據進行處理得到處理后元組。
[0033]第二方面，本申請公開了一種xss注入攻擊檢測裝置，包括：
[0034]數據包解析模塊，用于對捕獲到的待檢測流量數據包進行解析得到解析后數據；
[0035]數據處理模塊，用于按照預設處理規則對所述解析后數據進行處理得到處理后元組；
[0036]三元組匹配模塊，用于將所述處理后元組中的目標三元組與模型字典存儲的三元組字符串進行匹配以查詢所述模型字典中是否存在所述目標三元組；所述模型字典為利用預先構建的詞頻文件構成的字典；
[0037]可疑片段確定模塊，用于當所述模型字典中存在所述目標三元組，則根據所述目標三元組確定出所述待檢測流量數據包中的所有可疑片段；
[0038]屬性分值計算模塊，用于計算所述可疑片段的屬性分值；
[0039]xss注入攻擊確定模塊，用于將分值最高的所述屬性分值對應的所述可疑片段確定為目標可疑片段，并基于所述目標可疑片段對應的目標屬性分值確定所述目標可疑片段的攻擊類別是否為xss注入攻擊。
[0040]第三方面，本申請公開了一種電子設備，包括：
[0041]存儲器，用于保存計算機程序；
[0042]處理器，用于執行所述計算機程序，以實現前述公開的xss注入攻擊檢測方法的步驟。
[0043]第四方面，本文檔來自技高網...

【技術保護點】

【技術特征摘要】
1.一種xss注入攻擊檢測方法，其特征在于，包括：對捕獲到的待檢測流量數據包進行解析得到解析后數據，并按照預設處理規則對所述解析后數據進行處理得到處理后元組；將所述處理后元組中的目標三元組與模型字典存儲的三元組字符串進行匹配以查詢所述模型字典中是否存在所述目標三元組；所述模型字典為利用預先構建的詞頻文件構成的字典；若存在，則根據所述目標三元組確定出所述待檢測流量數據包中的所有可疑片段，并計算所述可疑片段的屬性分值；將分值最高的所述屬性分值對應的所述可疑片段確定為目標可疑片段，并基于所述目標可疑片段對應的目標屬性分值確定所述目標可疑片段的攻擊類別是否為xss注入攻擊。2.根據權利要求1所述的xss注入攻擊檢測方法，其特征在于，所述對捕獲到的待檢測流量數據包進行解析得到解析后數據，包括：提取從目標網關上捕獲到的待檢測流量數據包中的請求頭信息和請求體信息；對所述請求頭信息和所述請求體信息進行URL編碼解析得到解析后數據。3.根據權利要求1所述的xss注入攻擊檢測方法，其特征在于，所述計算所述可疑片段的屬性分值，包括：對所述可疑片段進行片段切分處理得到各子片段；基于所述子片段對應的三元組中的詞頻信息計算各所述子片段對應的攻擊子屬性分值和正常子屬性分值；基于各所述子片段對應的攻擊子屬性分值和所述正常子屬性分值確定所述可疑片段的攻擊屬性分值和正常屬性分值；相應的，所述將分值最高的所述屬性分值對應的所述可疑片段確定為目標可疑片段，包括：確定出分值最高的所述攻擊屬性分值得到目標攻擊屬性分值，并將所述目標攻擊屬性分值對應的所述可疑片段確定為目標可疑片段。4.根據權利要求3所述的xss注入攻擊檢測方法，其特征在于，所述基于所述目標可疑片段對應的目標屬性分值確定所述目標可疑片段的攻擊類別是否為xss注入攻擊，包括：判斷所述目標可疑片段對應的目標攻擊屬性分值是否低于預設xss閾值得到第一判斷結果，并判斷所述目標攻擊屬性分值是否小于所述目標可疑片段對應的目標正常屬性分值得到第二判斷結果；基于所述第一判斷結果和所述第二判斷結果確定所述目標可疑片段的攻擊類別是否為xss注入攻擊。5.根據權利要求4所述的xss注入攻擊檢測方法，其特征在于，所述基于所述第一判斷結果和所述第二判斷結果確定所述目標可疑片段的攻擊類別是否為xss注入攻擊，包括：如果所述第一判斷結果表明所述目標可疑片段對應的所述目標攻擊屬性分值低于所述預設xss閾值且所述第二判斷結果表明所述目標攻擊屬性分值小于所述目標可疑片段對應的所述目標正常屬性分值，則判定所述目標可疑片段的攻擊類型為非xss注入攻擊；如果所述第一判斷結果表明所述目標...

【專利技術屬性】
技術研發人員：龍文潔，吳小珍，
申請(專利權)人：杭州安恒信息安全技術有限公司，
類型：發明
國別省市：