CN112883372B - 跨站脚本攻击检测方法和装置 - Google Patents

跨站脚本攻击检测方法和装置 Download PDF

Info

Publication number
CN112883372B
CN112883372B CN201911195719.4A CN201911195719A CN112883372B CN 112883372 B CN112883372 B CN 112883372B CN 201911195719 A CN201911195719 A CN 201911195719A CN 112883372 B CN112883372 B CN 112883372B
Authority
CN
China
Prior art keywords
cross
site scripting
grammar
scripting attack
threat
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201911195719.4A
Other languages
English (en)
Other versions
CN112883372A (zh
Inventor
马晨
薄明霞
牛剑锋
李天博
马娜
袁涵
崔江琳
李玲晓
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Telecom Corp Ltd
Original Assignee
China Telecom Corp Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Telecom Corp Ltd filed Critical China Telecom Corp Ltd
Priority to CN201911195719.4A priority Critical patent/CN112883372B/zh
Publication of CN112883372A publication Critical patent/CN112883372A/zh
Application granted granted Critical
Publication of CN112883372B publication Critical patent/CN112883372B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/563Static detection by source code analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本公开公开了一种跨站脚本攻击检测方法和装置,涉及信息安全领域。其中的方法包括:提取数据包中被跨站脚本攻击利用的风险位置的相关载荷;将相关载荷构建为语法树;遍历语法树,判断语法树是否符合语法规范;若语法树符合语法规范,则确定检测到跨站脚本攻击;若语法树不符合语法规范,则基于确定有限状态自动机,计算相关载荷的威胁分值;若相关载荷的威胁分值大于等于威胁阈值,则确定检测到跨站脚本攻击。本公开相比于静态匹配式跨站脚本攻击检测,提高了跨站脚本攻击检测的准确性。

Description

跨站脚本攻击检测方法和装置
技术领域
本公开涉及信息安全领域,尤其涉及一种跨站脚本攻击检测方法和装置。
背景技术
传统跨站脚本攻击的检测,基本使用静态匹配的检测方式,即判断载荷中的关键字是否与正则表达式库相匹配,若匹配,则判断网页被跨站脚本攻击。
但上述检测方式存在误报率高、无法识别新版语法以及规则死板等问题,导致检测结果不准确。
发明内容
本公开要解决的一个技术问题是,提供一种跨站脚本攻击检测方法和装置,能够提高跨站脚本攻击检测的准确性。
根据本公开一方面,提出一种跨站脚本攻击检测方法,包括:提取数据包中被跨站脚本攻击利用的风险位置的相关载荷;将相关载荷构建为语法树;遍历语法树,判断语法树是否符合语法规范;若语法树符合语法规范,则确定检测到跨站脚本攻击,若语法树不符合语法规范,则基于确定有限状态自动机,计算相关载荷的威胁分值;若相关载荷的威胁分值大于等于威胁阈值,则确定检测到跨站脚本攻击。
在一些实施例中,对相关载荷构建语法树之前,还包括:对相关载荷进行递归解码,直到解码字符串不再变化。
在一些实施例中,对相关载荷进行递归解码之后,还包括:对解码处理后的相关载荷进行上下文语义填充。
在一些实施例中,基于确定有限状态自动机,计算相关载荷的威胁分值包括:根据语法树中节点之间的关系,确定该确定有限状态自动机的状态转换矩阵;确定状态转换矩阵、相关载荷中符号和关键字的分值、权重和可重复计分次数;根据状态转换矩阵、相关载荷中负荷和关键字的分值、权重和可重复计分次数,计算相关载荷的威胁分值。
在一些实施例中,根据网站业务对威胁阈值进行反馈调整。
在一些实施例中,若相关载荷的威胁分值小于威胁阈值,则确定没有检测到跨站脚本攻击。
根据本公开的另一方面,还提出一种跨站脚本攻击检测装置,包括:载荷提取单元,被配置为提取数据包中被跨站脚本攻击利用的风险位置的相关载荷;语法树构建单元,被配置为将相关载荷构建为语法树;语法判断单元,被配置为遍历语法树,判断语法树是否符合语法规范;分值计算单元,被配置为若语法树不符合语法规范,则基于确定有限状态自动机,计算相关载荷的威胁分值;攻击判断单元,被配置为若语法树符合语法规范,或相关载荷的威胁分值大于等于威胁阈值,则确定检测到跨站脚本攻击。
在一些实施例中,解码处理单元,被配置为对相关载荷进行递归解码,直到解码字符串不再变化。
在一些实施例中,语义填充单元,被配置为对解码处理后的相关载荷进行上下文语义填充。
根据本公开的另一方面,还提出一种跨站脚本攻击检测装置,包括:存储器;以及耦接至存储器的处理器,处理器被配置为基于存储在存储器的指令执行如上述的跨站脚本攻击检测方法。
根据本公开的另一方面,还提出一种计算机可读存储介质,其上存储有计算机程序指令,该指令被处理器执行时实现上述的跨站脚本攻击检测方法。
与相关技术相比,本公开实施例利用语法树和确定有限状态自动机,计算出数据包中风险位置的相关载荷的威胁分数后,若威胁分数大于威胁阈值,则确定检测到跨站脚本攻击,相比于静态匹配式跨站脚本攻击检测,该实施例使得跨站脚本攻击的检测更加准确。
通过以下参照附图对本公开的示例性实施例的详细描述,本公开的其它特征及其优点将会变得清楚。
附图说明
构成说明书的一部分的附图描述了本公开的实施例,并且连同说明书一起用于解释本公开的原理。
参照附图,根据下面的详细描述,可以更加清楚地理解本公开,其中:
图1为本公开的跨站脚本攻击检测方法的一些实施例的流程示意图。
图2为本公开的跨站脚本攻击检测方法的另一些实施例的流程示意图。
图3为本公开的跨站脚本攻击检测装置的一些实施例的结构示意图。
图4为本公开的跨站脚本攻击检测装置的另一些实施例的结构示意图。
图5为本公开的跨站脚本攻击检测装置的另一些实施例的结构示意图。
图6为本公开的跨站脚本攻击检测装置的另一些实施例的结构示意图。
具体实施方式
现在将参照附图来详细描述本公开的各种示例性实施例。应注意到:除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本公开的范围。
同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本公开及其应用或使用的任何限制。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为授权说明书的一部分。
在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
为使本公开的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本公开进一步详细说明。
图1为本公开的跨站脚本攻击检测方法的一些实施例的流程示意图。
在步骤110,提取数据包中被跨站脚本攻击利用的风险位置的相关载荷。其中,可能被跨站脚本攻击利用的风险位置例如为URL、body、cookie等位置。
在步骤120,将相关载荷构建为语法树。例如,对相关载荷进行逐级标签解析,构造js语法树。
数据包有不同的结构,例如数据包头、数据包体,数据包头中还包括URL、agent等信息,因此,需要对每个结构进行单独的逐级解析,根据算法底层设置的语法规范和训练的结构构造语法树。
在步骤130,遍历语法树,判断语法树是否符合语法规范,若符合,则执行步骤140,否则,执行步骤150。例如,基于语法规范,按照语法树中节点的排列顺序,检测语法树是否符合规范。若跨站脚本攻击可能发生的注入点没有被跨站脚本攻击,则注入点不会出现符合所检测的语法规范内容,若出现,则说明注入点发生跨站脚本攻击。例如,跨站脚本攻击使用ja语法,若注入点符合js语法,则说明出现了跨站脚本攻击。若不符合语法规范,则仍然可能利用残缺语义进行攻击,因此,需要进一步判断。
在步骤140,确定检测到跨站脚本攻击。
在步骤150,基于确定有限状态自动机,计算相关载荷的威胁分值。
在一些实施例中,为每种特殊符号、敏感关键字预定分数和可重复计分次数,再根据状态转换矩阵,和分数计算公式得到相关载荷的威胁分值。例如,grading(payload,KETER,5,1)+grading(payload,EUCLID,2,2)。其中,KETER载荷的预设分数为5,可重复计分次数为1,EUCLID的预设分数为2,可重复计分次数为2。
在步骤160,若相关载荷的威胁分值大于等于威胁阈值,则确定检测到跨站脚本攻击。
在上述实施例中,利用语法树和确定有限状态自动机,计算出数据包中风险位置的相关载荷的威胁分数后,若威胁分数大于威胁阈值,则确定检测到跨站脚本攻击,相比于静态匹配式跨站脚本攻击检测,该实施例使得跨站脚本攻击的检测更加准确。
图2为本公开的跨站脚本攻击检测方法的另一些实施例的流程示意图。
在步骤210,提取数据包中被跨站脚本攻击利用的风险位置的相关载荷。
在步骤220,对相关载荷进行递归解码,直到解码字符串不再变化。
攻击者为了绕过攻击检测,经常将攻击载荷反复编码,因此,该步骤中对载荷进行还原,即递归解码,直到解码字符串不再变换为止。
在步骤230,对解码处理后的相关载荷进行上下文语义填充。
为了提高攻击成功率,攻击者往往使用嵌入式写法,使用精心编造的语义残缺的攻击载荷,使得暴露的可检测特征更少,以绕过攻击检测。
例如,对于SQL注入攻击,假设开发人员在代码中已经写了部分的SQL语句,例如,select、from、union等,如果单独对数据包载荷进行检测,可能会出现误漏报情况。该实施例中,需要填充这部分确实语义内容,以利于算法理解原始语义,使得跨站脚本攻击检测更加准确。
在步骤240,将相关载荷构建为语法树。
在步骤250,遍历语法树,判断语法树是否符合语法规范,若符合,则执行步骤2100,否则,执行步骤260。
在步骤260,根据语法树中节点之间的关系,获取确定有限状态自动机的状态转换矩阵。
在步骤270,确定状态转换矩阵、相关载荷中符号和关键字的分值、权重和可重复计分次数。由于某些符号或关键字会出现很多次,重复计算并不会提高识别准确率,因此,需要确定可重复计分次数。
在步骤280,根据状态转换矩阵、相关载荷中负荷和关键字的分值、权重和可重复计分次数,计算相关载荷的威胁分值。
例如,根据公式符号权重*符号分值+关键字权重*关键字分值+状态转换矩阵权重*状态转换矩阵分值,计算相关载荷的威胁分值。其中,权重和分值可以通过训练获得。
在步骤290,判断相关载荷的威胁分值是否大于等于威胁阈值,若是,则执行步骤2100,否则,执行步骤2110。
在步骤2100,确定检测到跨站脚本攻击。
在步骤2110,确定没有检测到跨站脚本攻击。
在上述实施例中,将提取出来的数据包中的载荷进行原始请求还原,然后为了更加准确的判断,对于相关载荷进行上下文语义填充,并利用语法树和确定有限状态自动机进行原始语义分析和威胁评分,利用威胁阈值进行攻击判定,解决了传统静态匹配式跨站脚本攻击的误报率高、规则死板的问题,利用强语义分析能力,实现了高准确性、低误报率的跨站脚本检测,利用互联网上爬取的数据检测,准确率高达97.8%以上。
在本公开的另一些实施例中,根据网站业务对威胁阈值进行反馈调整。例如,可以根据离线学习检测的结果和安全分析人员手工打标签的方式调整威胁阈值,严格或放宽检测强度。
在一些实施例中,传统匹配攻击检测方式无法根据新生语法或者防护网站语言版本进行调整,由于本公开的核心语义理解模块使用确定有限状态自动机,只需要在状态转换矩阵中加入对于特征语法支持即可快速理解任何未知语法,实现敏捷状态更新,提高检测准确率。
图3为本公开的跨站脚本攻击检测装置的一些实施例的结构示意图。该装置包括载荷提取单元310、语法树构建单元320、语法判断单元330、分值计算单元340和攻击判断单元350。
载荷提取单元310被配置为提取数据包中被跨站脚本攻击利用的风险位置的相关载荷。例如,提取数据包中URL、body、cookie等位置的载荷。
语法树构建单元320被配置为将相关载荷构建为语法树。例如,对相关载荷进行逐级标签解析,构造语法树。
语法判断单元330被配置为遍历语法树,判断语法树是否符合语法规范。例如,基于语法规范,按照语法树中节点的排列顺序,检测语法树是否符合满足攻击特征的规范。
分值计算单元340被配置为若语法树不符合语法规范,则基于确定有限状态自动机,计算相关载荷的威胁分值。
在一些实施例中,根据语法树中节点之间的关系,获取确定有限状态自动机的状态转换矩阵;确定状态转换矩阵、相关载荷中符号和关键字的分值、权重和可重复计分次数;根据状态转换矩阵、相关载荷中负荷和关键字的分值、权重和可重复计分次数,计算相关载荷的威胁分值。
攻击判断单元350被配置为若语法树符合语法规范,或相关载荷的威胁分值大于等于威胁阈值,则确定检测到跨站脚本攻击。若相关载荷的威胁分值小于威胁阈值,则确定没有检测到跨站脚本攻击。
在上述实施例中,利用语法树和确定有限状态自动机,计算出数据包中风险位置的相关载荷的威胁分数后,若威胁分数大于威胁阈值,则确定检测到跨站脚本攻击,相比于静态匹配式跨站脚本攻击检测,该实施例使得跨站脚本攻击的检测更加准确。
在本公开的另一些实施例中,如图4所示,该装置还包括解码处理单元410,被配置为对相关载荷进行递归解码,直到解码字符串不再变化。
攻击者为了绕过攻击检测,经常将攻击载荷反复编码,因此,该步骤中对载荷进行还原,便于后续攻击检测。
在另一些实施例中,该装置还包括语义填充单元420,被配置为对解码处理后的相关载荷进行上下文语义填充。
为了提高攻击成功率,攻击者往往使用嵌入式写法,使用精心编造的语义残缺的攻击载荷,使得暴露的可检测特征更少,以绕过攻击检测。该实施例中,为数据包载荷填充上下文语义关系,利于算法理解原始语义,使得跨站脚本攻击检测更加准确。
图5为本公开的跨站脚本攻击检测装置的另一些实施例的结构示意图。该装置包括存储器510和处理器520,其中:存储器510可以是磁盘、闪存或其它任何非易失性存储介质。存储器用于存储图1-2所对应实施例中的指令。处理器520耦接至存储器510,可以作为一个或多个集成电路来实施,例如微处理器或微控制器。该处理器520用于执行存储器中存储的指令。
在一些实施例中,还可以如图6所示,该装置600包括存储器610和处理器620。处理器620通过BUS总线630耦合至存储器610。该装置600还可以通过存储接口640连接至外部存储装置650以便调用外部数据,还可以通过网络接口660连接至网络或者另外一台计算机系统(未标出),此处不再进行详细介绍。
在该实施例中,通过存储器存储数据指令,再通过处理器处理上述指令,提高了跨站脚本攻击检测的准确性。
在另一些实施例中,一种计算机可读存储介质,其上存储有计算机程序指令,该指令被处理器执行时实现图1-2所对应实施例中的方法的步骤。本领域内的技术人员应明白,本公开的实施例可提供为方法、装置、或计算机程序产品。因此,本公开可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本公开可采用在一个或多个其中包含有计算机可用程序代码的计算机可用非瞬时性存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本公开是参照根据本公开实施例的方法、设备(系统)和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
至此,已经详细描述了本公开。为了避免遮蔽本公开的构思,没有描述本领域所公知的一些细节。本领域技术人员根据上面的描述,完全可以明白如何实施这里公开的技术方案。
虽然已经通过示例对本公开的一些特定实施例进行了详细说明,但是本领域的技术人员应该理解,以上示例仅是为了进行说明,而不是为了限制本公开的范围。本领域的技术人员应该理解,可在不脱离本公开的范围和精神的情况下,对以上实施例进行修改。本公开的范围由所附权利要求来限定。

Claims (10)

1.一种跨站脚本攻击检测方法,包括:
提取数据包中被跨站脚本攻击利用的风险位置的相关载荷;
将所述相关载荷构建为语法树;
遍历所述语法树,判断所述语法树是否符合语法规范;
若所述语法树符合语法规范,则确定检测到跨站脚本攻击;
若所述语法树不符合语法规范,则根据所述语法树中节点之间的关系,确定有限状态自动机的状态转换矩阵;
确定所述状态转换矩阵、相关载荷中符号和关键字的分值、权重和可重复计分次数;
根据所述状态转换矩阵、所述相关载荷中符号和关键字的分值、权重和可重复计分次数,计算所述相关载荷的威胁分值;
若所述相关载荷的威胁分值大于等于威胁阈值,则确定检测到跨站脚本攻击。
2.根据权利要求1所述的跨站脚本攻击检测方法,其中,对所述相关载荷构建语法树之前,还包括:
对所述相关载荷进行递归解码,直到解码字符串不再变化。
3.根据权利要求2所述的跨站脚本攻击检测方法,其中,对所述相关载荷进行递归解码之后,还包括:
对所述解码处理后的相关载荷进行上下文语义填充。
4.根据权利要求1至3任一所述的跨站脚本攻击检测方法,还包括:
根据网站业务对所述威胁阈值进行反馈调整。
5.根据权利要求1至3任一所述的跨站脚本攻击检测方法,其中,
若所述相关载荷的威胁分值小于威胁阈值,则确定没有检测到跨站脚本攻击。
6.一种跨站脚本攻击检测装置,包括:
载荷提取单元,被配置为提取数据包中被跨站脚本攻击利用的风险位置的相关载荷;
语法树构建单元,被配置为将所述相关载荷构建为语法树;
语法判断单元,被配置为遍历所述语法树,判断所述语法树是否符合语法规范;
分值计算单元,被配置为若所述语法树不符合语法规范,则根据所述语法树中节点之间的关系,确定有限状态自动机的状态转换矩阵,确定所述状态转换矩阵、相关载荷中符号和关键字的分值、权重和可重复计分次数,根据所述状态转换矩阵、所述相关载荷中符号和关键字的分值、权重和可重复计分次数,计算所述相关载荷的威胁分值;
攻击判断单元,被配置为若所述语法树符合语法规范,或所述相关载荷的威胁分值大于等于威胁阈值,则确定检测到跨站脚本攻击。
7.根据权利要求6所述的跨站脚本攻击检测装置,还包括:
解码处理单元,被配置为对所述相关载荷进行递归解码,直到解码字符串不再变化。
8.根据权利要求7所述的跨站脚本攻击检测装置,还包括:
语义填充单元,被配置为对所述解码处理后的相关载荷进行上下文语义填充。
9.一种跨站脚本攻击检测装置,包括:
存储器;以及
耦接至所述存储器的处理器,所述处理器被配置为基于存储在所述存储器的指令执行如权利要求1至5任一项所述的跨站脚本攻击检测方法。
10.一种计算机可读存储介质,其上存储有计算机程序指令,该指令被处理器执行时实现权利要求1至5任一项所述的跨站脚本攻击检测方法。
CN201911195719.4A 2019-11-29 2019-11-29 跨站脚本攻击检测方法和装置 Active CN112883372B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911195719.4A CN112883372B (zh) 2019-11-29 2019-11-29 跨站脚本攻击检测方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911195719.4A CN112883372B (zh) 2019-11-29 2019-11-29 跨站脚本攻击检测方法和装置

Publications (2)

Publication Number Publication Date
CN112883372A CN112883372A (zh) 2021-06-01
CN112883372B true CN112883372B (zh) 2024-02-09

Family

ID=76038273

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911195719.4A Active CN112883372B (zh) 2019-11-29 2019-11-29 跨站脚本攻击检测方法和装置

Country Status (1)

Country Link
CN (1) CN112883372B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114189395B (zh) * 2022-02-15 2022-06-28 北京安帝科技有限公司 Plc受攻击停止的风险检测包获取方法及装置

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102833269A (zh) * 2012-09-18 2012-12-19 苏州山石网络有限公司 跨站攻击的检测方法、装置和具有该装置的防火墙
WO2017056121A1 (en) * 2015-09-28 2017-04-06 Minded Security S.R.L. Method for the identification and prevention of client-side web attacks
CN107292170A (zh) * 2016-04-05 2017-10-24 阿里巴巴集团控股有限公司 Sql注入攻击的检测方法及装置、系统
CN107360152A (zh) * 2017-07-07 2017-11-17 四川大学 一种基于语义分析的Web威胁感知系统
CN109033764A (zh) * 2017-06-09 2018-12-18 腾讯科技(深圳)有限公司 反混淆处理方法及终端、计算机设备
CN110502897A (zh) * 2018-05-16 2019-11-26 南京大学 一种基于混合分析的网页恶意JavaScript代码识别和反混淆方法

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180012144A1 (en) * 2016-07-11 2018-01-11 Qualcomm Innovation Center, Inc. Incremental and speculative analysis of javascripts based on a multi-instance model for web security
US11314862B2 (en) * 2017-04-17 2022-04-26 Tala Security, Inc. Method for detecting malicious scripts through modeling of script structure

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102833269A (zh) * 2012-09-18 2012-12-19 苏州山石网络有限公司 跨站攻击的检测方法、装置和具有该装置的防火墙
WO2017056121A1 (en) * 2015-09-28 2017-04-06 Minded Security S.R.L. Method for the identification and prevention of client-side web attacks
CN107292170A (zh) * 2016-04-05 2017-10-24 阿里巴巴集团控股有限公司 Sql注入攻击的检测方法及装置、系统
CN109033764A (zh) * 2017-06-09 2018-12-18 腾讯科技(深圳)有限公司 反混淆处理方法及终端、计算机设备
CN107360152A (zh) * 2017-07-07 2017-11-17 四川大学 一种基于语义分析的Web威胁感知系统
CN110502897A (zh) * 2018-05-16 2019-11-26 南京大学 一种基于混合分析的网页恶意JavaScript代码识别和反混淆方法

Also Published As

Publication number Publication date
CN112883372A (zh) 2021-06-01

Similar Documents

Publication Publication Date Title
CN108763928B (zh) 一种开源软件漏洞分析方法、装置和存储介质
CN110175851B (zh) 一种作弊行为检测方法及装置
CN110191096B (zh) 一种基于语义分析的词向量网页入侵检测方法
CN111611586A (zh) 基于图卷积网络的软件漏洞检测方法及装置
CN110581864B (zh) 一种sql注入攻击的检测方法及装置
CN111835777B (zh) 一种异常流量检测方法、装置、设备及介质
CN112989348B (zh) 攻击检测方法、模型训练方法、装置、服务器及存储介质
CN110602029A (zh) 一种用于识别网络攻击的方法和系统
US11960975B2 (en) Systems and methods for multi-instance learning-based classification for streaming inputs
CN111090860A (zh) 一种基于深度学习的代码漏洞检测方法及装置
CN110602030A (zh) 网络入侵阻断方法、服务器及计算机可读介质
CN112883372B (zh) 跨站脚本攻击检测方法和装置
CN110958244A (zh) 一种基于深度学习的仿冒域名检测方法及装置
CN112817877B (zh) 异常脚本检测方法、装置、计算机设备和存储介质
CN113190847A (zh) 一种脚本文件的混淆检测方法、装置、设备及存储介质
CN104008336B (zh) 一种ShellCode检测方法和装置
CN109684844B (zh) 一种webshell检测方法、装置以及计算设备、计算机可读存储介质
CN108875374B (zh) 基于文档节点类型的恶意pdf检测方法及装置
CN111414621A (zh) 一种恶意网页文件识别方法及装置
CN116821903A (zh) 检测规则确定及恶意二进制文件检测方法、设备及介质
Haojie et al. Vulmg: A static detection solution for source code vulnerabilities based on code property graph and graph attention network
CN104978423A (zh) 网站类型的检测方法及装置
CN114036283A (zh) 一种文本匹配的方法、装置、设备和可读存储介质
TWI696080B (zh) 基於檢核資料庫日誌檔的資訊安全管控系統及其實施方法
CN114372265A (zh) 一种恶意程序检测方法、装置、电子设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant