CN113141331A - 一种xss攻击检测方法、装置、设备及介质 - Google Patents
一种xss攻击检测方法、装置、设备及介质 Download PDFInfo
- Publication number
- CN113141331A CN113141331A CN202010054079.1A CN202010054079A CN113141331A CN 113141331 A CN113141331 A CN 113141331A CN 202010054079 A CN202010054079 A CN 202010054079A CN 113141331 A CN113141331 A CN 113141331A
- Authority
- CN
- China
- Prior art keywords
- detected
- payload
- bypass
- xss attack
- flow
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 65
- 230000009467 reduction Effects 0.000 claims abstract description 18
- 230000006378 damage Effects 0.000 claims description 23
- 238000004422 calculation algorithm Methods 0.000 claims description 16
- 230000015654 memory Effects 0.000 claims description 16
- 238000001914 filtration Methods 0.000 claims description 14
- 238000004590 computer program Methods 0.000 claims description 8
- 238000010801 machine learning Methods 0.000 claims description 8
- 238000003909 pattern recognition Methods 0.000 claims description 6
- 238000000034 method Methods 0.000 abstract description 20
- 230000008569 process Effects 0.000 description 9
- 238000004891 communication Methods 0.000 description 7
- 238000000605 extraction Methods 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 4
- 230000005236 sound signal Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 238000013527 convolutional neural network Methods 0.000 description 2
- 230000014509 gene expression Effects 0.000 description 2
- 238000007637 random forest analysis Methods 0.000 description 2
- 238000012706 support-vector machine Methods 0.000 description 2
- 230000009466 transformation Effects 0.000 description 2
- 238000003491 array Methods 0.000 description 1
- 238000013528 artificial neural network Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000013480 data collection Methods 0.000 description 1
- 238000003066 decision tree Methods 0.000 description 1
- 238000013135 deep learning Methods 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 230000000306 recurrent effect Effects 0.000 description 1
- 230000006403 short-term memory Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Abstract
本申请公开了一种XSS攻击检测方法、装置、设备及介质,该方法包括:获取待检测流量;提取所述待检测流量中的有效载荷以得到待检测有效载荷;利用与目标绕过策略对应的绕过还原策略,对所述待检测有效载荷进行相应处理,以将所述待检测有效载荷中经过绕过变形的有效载荷进行还原,得到相应的处理后有效载荷;基于所述处理后有效载荷的特征信息确定所述待检测流量是否为XSS攻击型流量。本申请在基于有效载荷的特征信息来确定待检测流量是否为XSS攻击型流量之前,先利用绕过还原策略对待检测有效载荷进行相应处理,这样能够实现对待检测有效载荷中经过绕过变形的有效载荷的还原,降低了漏报率,提高了针对XSS攻击的检测能力。
Description
技术领域
本申请涉及信息安全技术领域,特别涉及一种XSS攻击检测方法、装置、设备及介质。
背景技术
XSS(即Cross Site Scripting,跨站脚本攻击),是当前非常普遍的Web应用安全漏洞。攻击者利用该漏洞在正常页面嵌入恶意脚本代码,使得用户在访问该页面时,执行恶意脚本,达到攻击目的。一切可以提交数据到页面的点都有可能被黑客篡改,变成非预期的输入,从而造成XSS漏洞。同时,JavaScript和HTML语法的灵活性导致各种类型的绕过和混淆层出不穷,因此XSS的防御一直是Web安全建设的重点和难点。
当前主流的XSS检测技术主要是基于规则进行过滤。安全人员通过收集目前已知的XSS攻击数据,总结XSS攻击特点,构成规则库,然后使用规则库对待测数据进行检测,从而判断是否存在XSS攻击。但是基于规则的XSS检测方式存在滞后性,只有当XSS攻击曝光后,才能提炼出对应的规则。更为严重的是,随着XSS混淆绕过能力的增强,很难提取出有效规则,容易造成漏报和误报。
发明内容
有鉴于此,本申请的目的在于提供一种XSS攻击检测方法、装置、设备及介质,能够提高针对XSS攻击的检测能力,降低漏报率。其具体方案如下:
第一方面,本申请公开了一种XSS攻击检测方法,包括:
获取待检测流量;
提取所述待检测流量中的有效载荷以得到待检测有效载荷;
利用与目标绕过策略对应的绕过还原策略,对所述待检测有效载荷进行相应处理,以将所述待检测有效载荷中经过绕过变形的有效载荷进行还原,得到相应的处理后有效载荷;
基于所述处理后有效载荷的特征信息确定所述待检测流量是否为XSS攻击型流量。
可选的,所述获取待检测流量,包括:
收集原始流量数据;
采用预设过滤规则,对所述原始流量数据进行过滤以得到待检测流量。
可选的,所述利用与目标绕过策略对应的绕过还原策略,对所述待检测有效载荷进行相应处理,以将所述待检测有效载荷中经过绕过变形的有效载荷进行还原,包括:
利用与编码绕过策略对应的绕过还原策略,对所述待检测有效载荷进行相应处理,以将所述待检测有效载荷中经过编码绕过变形的有效载荷进行还原。
可选的,所述编码绕过策略包括基于HTML编码的绕过策略、基于URL编码的绕过策略和基于Unicode编码的绕过策略中的任意一种或几种绕过策略。
可选的,所述利用与目标绕过策略对应的绕过还原策略,对所述待检测有效载荷进行相应处理,以将所述待检测有效载荷中经过绕过变形的有效载荷进行还原,包括:
利用与基于关键词破坏的绕过策略对应的绕过还原策略,对所述待检测有效载荷进行相应处理,以将所述待检测有效载荷中经过关键词破坏变形的有效载荷进行还原。
可选的,所述基于关键词破坏的绕过策略包括通过插入注释破坏关键词的绕过策略和/或通过插入特定字符破坏关键词的绕过策略。
可选的,所述特定字符包括空格字符、换行符、回车符或不可见字符。
可选的,所述利用与目标绕过策略对应的绕过还原策略,对所述待检测有效载荷进行相应处理,以将所述待检测有效载荷中经过绕过变形的有效载荷进行还原,包括:
利用与编码绕过策略和基于关键词破坏的绕过策略分别对应的绕过还原策略,对所述待检测有效载荷进行相应处理,以将所述待检测有效载荷中经过编码绕过变形和关键词破坏变形的有效载荷进行还原。
可选的,所述基于所述处理后有效载荷的特征信息确定所述待检测流量是否为XSS攻击型流量,包括:
提取所述处理后有效载荷的特征信息;
基于所述特征信息,并结合机器学习算法或模式识别算法,确定所述待检测流量是否为XSS攻击型流量。
可选的,所述提取所述处理后有效载荷的特征信息,包括:
提取所述处理后有效载荷的语法特征信息、统计特征信息、文本特征信息中的任意一种或几种特征信息。
可选的,所述提取所述处理后有效载荷的特征信息的过程中,还包括:
获取用于表征所述处理后有效载荷对应的绕过策略的特征信息。
第二方面,本申请公开了一种XSS攻击检测装置,包括:
待检测流量获取模块,用于获取待检测流量;
待检测有效载荷提取模块,用于提取所述待检测流量中的有效载荷以得到待检测有效载荷;
绕过还原模块,用于利用与目标绕过策略对应的绕过还原策略,对所述待检测有效载荷进行相应处理,以将所述待检测有效载荷中经过绕过变形的有效载荷进行还原,得到相应的处理后有效载荷;
流量类型确定模块,用于基于所述处理后有效载荷的特征信息确定所述待检测流量是否为XSS攻击型流量。
第三方面,本申请公开了一种电子设备,包括:
存储器,用于保存计算机程序;
处理器,用于执行所述计算机程序,以实现前述公开的XSS攻击检测方法。
第四方面,本申请公开了一种计算机可读存储介质,用于保存计算机程序,所述计算机程序被处理器执行时实现前述公开的XSS攻击检测方法。
本申请中,在获取待检测流量之后,提取所述待检测流量中的有效载荷以得到待检测有效载荷,然后利用与目标绕过策略对应的绕过还原策略,对所述待检测有效载荷进行相应处理,以将所述待检测有效载荷中经过绕过变形的有效载荷进行还原,得到相应的处理后有效载荷;最后基于所述处理后有效载荷的特征信息确定所述待检测流量是否为XSS攻击型流量。可见,本申请在基于有效载荷的特征信息来确定待检测流量是否为XSS攻击型流量之前,先利用绕过还原策略对待检测有效载荷进行相应处理,这样能够实现对待检测有效载荷中经过绕过变形的有效载荷的还原,降低了漏报率,提高了针对XSS攻击的检测能力。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请公开的一种XSS攻击检测方法流程图;
图2为本申请公开的一种具体的XSS攻击检测方法流程图;
图3为一种具体的原始攻击载荷;
图4为对图3中的原始攻击载荷进行编码绕过之后得到的变形载荷;
图5为本申请公开的一种具体的XSS攻击检测方法流程图;
图6为另一种具体的原始攻击载荷;
图7为向图6中的原始攻击载荷加入注释后得到的变形载荷;
图8为另一种具体的原始攻击载荷;
图9为向图8中的原始攻击载荷加入换行符后得到的变形载荷;
图10为本申请公开的一种具体的XSS攻击检测方法流程图;
图11为本申请公开的一种XSS攻击检测装置结构示意图;
图12为本申请公开的一种电子设备结构图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
当前主流的XSS检测技术主要是基于规则进行过滤。安全人员通过收集目前已知的XSS攻击数据,总结XSS攻击特点,构成规则库,然后使用规则库对待测数据进行检测,从而判断是否存在XSS攻击。但是基于规则的XSS检测方式存在滞后性,只有当XSS攻击曝光后,才能提炼出对应的规则。更为严重的是,随着XSS混淆绕过能力的增强,很难提取出有效规则,容易造成漏报和误报。为此,本申请提供了一种XSS攻击检测方案,能够提高针对XSS攻击的检测能力,降低漏报率。
参见图1所示,本申请实施例公开了一种XSS攻击检测方法,包括:
步骤S11:获取待检测流量。
需要指出的是,在实际应用过程中,XSS攻击型流量数据通常是隐藏在大量的正常流量数据中的,因此,如果将采集到的所有流量数据均作为待检测流量将会造成大量的资源浪费,为此,本实施例可以在采集到原始流量数据之后进行过滤操作,以得到少数的可疑流量数据作为待检测流量。具体的,本实施例中的所述获取待检测流量,可以包括收集原始流量数据,然后采用预设过滤规则,对所述原始流量数据进行过滤以得到待检测流量,以此来实现对流量数据的快速过滤。其中,所述预设过滤规则具体可以包括但不限于基于关键词匹配、规则识别或异常检测的过滤规则。
步骤S12:提取所述待检测流量中的有效载荷以得到待检测有效载荷。
本实施例中,为了减少数据处理量,在确定出待检测流量之后,从待检测流量中提取出相应的有效载荷(即payload)作为后续的待检测信息,以去除掉待检测流量中的冗余信息。
步骤S13:利用与目标绕过策略对应的绕过还原策略,对所述待检测有效载荷进行相应处理,以将所述待检测有效载荷中经过绕过变形的有效载荷进行还原,得到相应的处理后有效载荷。
当前,随着网页管理人员安全意识的提升,普通的XSS攻击很容易被拦截,因此攻击者往往会对XSS攻击载荷进行一些绕过处理,以实现对XSS攻击型流量中的有效载荷的变形处理。为此,本申请采取与攻击者在绕过变形过程中所采用的绕过策略对应的绕过还原策略,对上述待检测有效载荷进行相应的处理,目的是为了将待检测有效载荷中经过绕过变形的有效载荷进行还原,以使得经过绕过变形的有效载荷恢复至绕过变形之前的原始状态,由此能够大幅降低漏报率,提高了XSS攻击的检测能力。
步骤S14:基于所述处理后有效载荷的特征信息确定所述待检测流量是否为XSS攻击型流量。
本实施例中,所述基于所述处理后有效载荷的特征信息确定所述待检测流量是否为XSS攻击型流量,具体可以包括:
提取所述处理后有效载荷的特征信息;基于所述特征信息,并结合机器学习算法或模式识别算法,确定所述待检测流量是否为XSS攻击型流量。
也即,本实施例可以采用机器学习算法或模式识别算法来确定待检测流量是否为XSS攻击型流量。其中,本实施例中的机器学习算法既可以包括普通机器学习算法,如SVM(即Support Vector Machine,支持向量机)、GBDT(即Gradient Boosting Decision Tree,梯度提升决策树)和RF(即Random Forest,随机森林)等,也可以包括深度学习算法,如CNN(即Convolutional Neural Networks,卷积神经网络)、RNN(即Recurrent NeuralNetwork,循环神经网络)和LSTM(即Long Short-Term Memory,长短期记忆网络)等。
进一步的,本实施例中的所述提取所述处理后有效载荷的特征信息,具体可以包括:
提取所述处理后有效载荷的语法特征信息、统计特征信息、文本特征信息中的任意一种或几种特征信息。
为了识别XSS攻击,需要提取可疑数据的特征信息来展开后续判断。传统的特征提取方式往往基于正则规则。但是,XSS攻击是脚本代码,需要从代码层面提取攻击特征,而正则表达式能力有限,只能提取一些浅层的关键词信息。因此,本申请实施例可以使用语法解析技术,通过对HTML页面、DOM树节点以及JavaScript语法进行词法、语法以及语义层面的解析,提取所述处理后有效载荷的语法特征,如危险函数调用、危险操作行为等语法特征信息。相较于正则规则,使用语法解析提取的特征具备更强的表达和区分能力。当然,本实施例也可以提取所述处理后有效载荷的信息熵、报文长度、关键字符出现次数等统计特征信息。另外,本实施例也可以通过对所述处理后有效载荷进行分词以得到字符向量等文本特征信息。
进一步的,所述提取所述处理后有效载荷的特征信息的过程中,还可以包括:获取用于表征所述处理后有效载荷对应的绕过策略的特征信息,如用于表征绕过策略类型的特征信息等。
当然,本实施例除了可以基于机器学习算法或模式识别算法来确定待检测流量是否为XSS攻击型流量,也可以通过预设特定的攻击模式来进行检测或通过对各种特征信息进行加权计算的方式来进行检测。
本申请实施例中,在获取待检测流量之后,提取所述待检测流量中的有效载荷以得到待检测有效载荷,然后利用与目标绕过策略对应的绕过还原策略,对所述待检测有效载荷进行相应处理,以将所述待检测有效载荷中经过绕过变形的有效载荷进行还原,得到相应的处理后有效载荷;最后基于所述处理后有效载荷的特征信息确定所述待检测流量是否为XSS攻击型流量。可见,本申请实施例在基于有效载荷的特征信息来确定待检测流量是否为XSS攻击型流量之前,先利用绕过还原策略对待检测有效载荷进行相应处理,这样能够实现对待检测有效载荷中经过绕过变形的有效载荷的还原,降低了漏报率,提高了针对XSS攻击的检测能力。
参见图2所示,本申请实施例公开了一种具体的XSS攻击检测方法,包括:
步骤S21:获取待检测流量。
步骤S22:提取所述待检测流量中的有效载荷以得到待检测有效载荷。
步骤S23:利用与编码绕过策略对应的绕过还原策略,对所述待检测有效载荷进行相应处理,以将所述待检测有效载荷中经过编码绕过变形的有效载荷进行还原,得到相应的处理后有效载荷。
本实施例中,所述编码绕过策略具体可以包括但不限于基于HTML编码的绕过策略、基于URL编码的绕过策略和基于Unicode编码的绕过策略中的任意一种或几种绕过策略。
编码绕过是指攻击者对恶意代码进行编码操作,比如将图3所示XSS攻击载荷编码为图4所示代码,使得检测设备无法获取到具体的攻击内容,从而绕过检测设备,到达服务器端。服务器端会对编码后的攻击载荷进行解码,最终实现攻击。本申请实施例提出对编码后的数据进行解码还原,其中,可以根据具体应用场景的不同进行相应的解码操作,如HTML解码、URL解码、Unicode解码等,以还原得到原始攻击载荷,从而提高检测精度和检出率。
步骤S24:基于所述处理后有效载荷的特征信息确定所述待检测流量是否为XSS攻击型流量。
其中,关于步骤S21、步骤S22和S24的具体过程可以参考前述实施例中公开的相应内容,在此不再进行赘述。
参见图5所示,本申请实施例公开了一种具体的XSS攻击检测方法,包括:
步骤S31:获取待检测流量。
步骤S32:提取所述待检测流量中的有效载荷以得到待检测有效载荷。
步骤S33:利用与基于关键词破坏的绕过策略对应的绕过还原策略,对所述待检测有效载荷进行相应处理,以将所述待检测有效载荷中经过关键词破坏变形的有效载荷进行还原,得到相应的处理后有效载荷。
本实施例中,所述基于关键词破坏的绕过策略包括但不限于通过插入注释破坏关键词的绕过策略和/或通过插入特定字符破坏关键词的绕过策略。其中,所述特定字符具体可以包括但不限于空格字符、换行符、回车符或不可见字符。
关键词破坏是指攻击者通过在恶意代码之间插入注释、特殊符号或者空格换行等字符,从而破坏关键词,绕过检测引擎,如攻击者可以将图6所示的代码通过加入注释转换为图7所示代码,攻击者也可以在关键词之间插入换行符,从而破坏该关键词,如图8与图9所示。这些被破坏的关键词无法被检测引擎识别,从而绕过检测引擎,但是这类攻击数据在到达服务器端后,服务器会对其进行特殊处理,比如去除注释,去除换行符、空格字符等,从而使得攻击代码恢复为可执行语句,造成攻击。本实施例提出对被破坏后的数据进行还原操作,从而得到还原后的攻击载荷,提升对XSS攻击的检测精度和检出率。
步骤S34:基于所述处理后有效载荷的特征信息确定所述待检测流量是否为XSS攻击型流量。
其中,关于步骤S31、步骤S32和S34的具体过程可以参考前述实施例中公开的相应内容,在此不再进行赘述。
参见图10所示,本申请实施例公开了一种具体的XSS攻击检测方法,包括:
步骤S41:获取待检测流量。
步骤S42:提取所述待检测流量中的有效载荷以得到待检测有效载荷。
步骤S43:利用与编码绕过策略和基于关键词破坏的绕过策略分别对应的绕过还原策略,对所述待检测有效载荷进行相应处理,以将所述待检测有效载荷中经过编码绕过变形和关键词破坏变形的有效载荷进行还原,得到相应的处理后有效载荷。
步骤S44:基于所述处理后有效载荷的特征信息确定所述待检测流量是否为XSS攻击型流量。
也即,本实施例中,对于那些经过编码绕过变形和关键词破坏变形的有效载荷,可以采用与编码绕过策略和基于关键词破坏的绕过策略分别对应的绕过还原策略来进行相应的还原处理。例如,本实施例可以对可疑流量进行多级解码操作(如HTML解码、URL解码、Unicode解码),获取解码后的数据,然后对解码后的数据进行注释还原、关键词破坏还原等工作,获取到未被破坏的攻击载荷,并且可以记录绕过攻击检测情况(包括是否存在绕过、属于什么绕过类型等),并输出还原后的数据。
参见图11所示,本申请实施例还相应公开了一种XSS攻击检测装置,包括:
待检测流量获取模块11,用于获取待检测流量;
待检测有效载荷提取模块12,用于提取所述待检测流量中的有效载荷以得到待检测有效载荷;
绕过还原模块13,用于利用与目标绕过策略对应的绕过还原策略,对所述待检测有效载荷进行相应处理,以将所述待检测有效载荷中经过绕过变形的有效载荷进行还原,得到相应的处理后有效载荷;
流量类型确定模块14,用于基于所述处理后有效载荷的特征信息确定所述待检测流量是否为XSS攻击型流量。
本申请实施例中,在获取待检测流量之后,提取所述待检测流量中的有效载荷以得到待检测有效载荷,然后利用与目标绕过策略对应的绕过还原策略,对所述待检测有效载荷进行相应处理,以将所述待检测有效载荷中经过绕过变形的有效载荷进行还原,得到相应的处理后有效载荷;最后基于所述处理后有效载荷的特征信息确定所述待检测流量是否为XSS攻击型流量。可见,本申请实施例在基于有效载荷的特征信息来确定待检测流量是否为XSS攻击型流量之前,先利用绕过还原策略对待检测有效载荷进行相应处理,这样能够实现对待检测有效载荷中经过绕过变形的有效载荷的还原,降低了漏报率,提高了针对XSS攻击的检测能力。
在一些具体实施例中,所述待检测流量获取模块11,具体包括:
流量数据收集单元,用于收集原始流量数据;
流量数据过滤单元,用于采用预设过滤规则,对所述原始流量数据进行过滤以得到待检测流量。
在一些具体实施例中,所述绕过还原模块13,具体用于利用与编码绕过策略对应的绕过还原策略,对所述待检测有效载荷进行相应处理,以将所述待检测有效载荷中经过编码绕过变形的有效载荷进行还原。
在一些具体实施例中,所述编码绕过策略包括但不限于基于HTML编码的绕过策略、基于URL编码的绕过策略和基于Unicode编码的绕过策略中的任意一种或几种绕过策略。
在一些具体实施例中,所述绕过还原模块13,具体用于利用与基于关键词破坏的绕过策略对应的绕过还原策略,对所述待检测有效载荷进行相应处理,以将所述待检测有效载荷中经过关键词破坏变形的有效载荷进行还原。
在一些具体实施例中,所述基于关键词破坏的绕过策略包括但不限于通过插入注释破坏关键词的绕过策略和/或通过插入特定字符破坏关键词的绕过策略。
在一些具体实施例中,所述特定字符包括但不限于空格字符、换行符、回车符或不可见字符。
在一些具体实施例中,所述绕过还原模块13,具体用于利用与编码绕过策略和基于关键词破坏的绕过策略分别对应的绕过还原策略,对所述待检测有效载荷进行相应处理,以将所述待检测有效载荷中经过编码绕过变形和关键词破坏变形的有效载荷进行还原。
在一些具体实施例中,所述流量类型确定模块14,具体包括:
特征提取单元,用于提取所述处理后有效载荷的特征信息;
流量类型确定单元,用于基于所述特征信息,并结合机器学习算法或模式识别算法,确定所述待检测流量是否为XSS攻击型流量。
在一些具体实施例中,所述特征提取单元,具体用于提取所述处理后有效载荷的语法特征信息、统计特征信息、文本特征信息中的任意一种或几种特征信息。
在一些具体实施例中,所述特征提取单元,还用于获取用于表征所述处理后有效载荷对应的绕过策略的特征信息。
图12是根据一示例性实施例示出的一种电子设备20的框图。如图12所示,该电子设备20可以包括:处理器21,存储器22。该电子设备20还可以包括多媒体组件23,输入/输出(I/O)接口24,以及通信组件25中的一者或多者。
其中,处理器21用于通过执行保存在存储器22中的计算机程序,以完成上述XSS攻击检测方法中的全部或部分步骤。存储器22用于存储各种类型的数据以支持在该电子设备20的操作,这些数据例如可以包括用于在该电子设备20上操作的任何应用程序或方法的指令,以及应用程序相关的数据,例如联系人数据、收发的消息、图片、音频、视频等等。该存储器22可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,例如静态随机存取存储器(Static Random Access Memory,简称SRAM),电可擦除可编程只读存储器(Electrically Erasable Programmable Read-Only Memory,简称EEPROM),可擦除可编程只读存储器(Erasable Programmable Read-Only Memory,简称EPROM),可编程只读存储器(Programmable Read-Only Memory,简称PROM),只读存储器(Read-Only Memory,简称ROM),磁存储器,快闪存储器,磁盘或光盘。多媒体组件23可以包括屏幕和音频组件。其中屏幕例如可以是触摸屏,音频组件用于输出和/或输入音频信号。例如,音频组件可以包括一个麦克风,麦克风用于接收外部音频信号。所接收的音频信号可以被进一步存储在存储器22或通过通信组件25发送。音频组件还包括至少一个扬声器,用于输出音频信号。I/O接口704为处理器21和其他接口模块之间提供接口,上述其他接口模块可以是键盘,鼠标,按钮等。这些按钮可以是虚拟按钮或者实体按钮。通信组件25用于该电子设备20与其他设备之间进行有线或无线通信。无线通信,例如Wi-Fi,蓝牙,近场通信(Near FieldCommunication,简称NFC),2G、3G或4G,或它们中的一种或几种的组合,因此相应的该通信组件25可以包括:Wi-Fi模块,蓝牙模块,NFC模块。
在一示例性实施例中,电子设备20可以被一个或多个应用专用集成电路(Application Specific Integrated Circuit,简称ASIC)、数字信号处理器(DigitalSignal Processor,简称DSP)、数字信号处理设备(Digital Signal Processing Device,简称DSPD)、可编程逻辑器件(Programmable Logic Device,简称PLD)、现场可编程门阵列(Field Programmable Gate Array,简称FPGA)、控制器、微控制器、微处理器或其他电子元件实现,用于执行上述XSS攻击检测方法。
在另一示例性实施例中,还提供了一种存储有计算机程序的计算机可读存储介质,该程序被处理器执行时实现上述XSS攻击检测方法步骤。例如,该计算机可读存储介质可以为上述包括程序的存储器22,上述程序可由电子设备20的处理器21执行以完成上述XSS攻击检测方法。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
以上对本申请所提供的一种XSS攻击检测方法、装置、设备及介质进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。
Claims (14)
1.一种XSS攻击检测方法,其特征在于,包括:
获取待检测流量;
提取所述待检测流量中的有效载荷以得到待检测有效载荷;
利用与目标绕过策略对应的绕过还原策略,对所述待检测有效载荷进行相应处理,以将所述待检测有效载荷中经过绕过变形的有效载荷进行还原,得到相应的处理后有效载荷;
基于所述处理后有效载荷的特征信息确定所述待检测流量是否为XSS攻击型流量。
2.根据权利要求1所述的XSS攻击检测方法,其特征在于,所述获取待检测流量,包括:
收集原始流量数据;
采用预设过滤规则,对所述原始流量数据进行过滤以得到待检测流量。
3.根据权利要求1所述的XSS攻击检测方法,其特征在于,所述利用与目标绕过策略对应的绕过还原策略,对所述待检测有效载荷进行相应处理,以将所述待检测有效载荷中经过绕过变形的有效载荷进行还原,包括:
利用与编码绕过策略对应的绕过还原策略,对所述待检测有效载荷进行相应处理,以将所述待检测有效载荷中经过编码绕过变形的有效载荷进行还原。
4.根据权利要求3所述的XSS攻击检测方法,其特征在于,所述编码绕过策略包括基于HTML编码的绕过策略、基于URL编码的绕过策略和基于Unicode编码的绕过策略中的任意一种或几种绕过策略。
5.根据权利要求1所述的XSS攻击检测方法,其特征在于,所述利用与目标绕过策略对应的绕过还原策略,对所述待检测有效载荷进行相应处理,以将所述待检测有效载荷中经过绕过变形的有效载荷进行还原,包括:
利用与基于关键词破坏的绕过策略对应的绕过还原策略,对所述待检测有效载荷进行相应处理,以将所述待检测有效载荷中经过关键词破坏变形的有效载荷进行还原。
6.根据权利要求5所述的XSS攻击检测方法,其特征在于,所述基于关键词破坏的绕过策略包括通过插入注释破坏关键词的绕过策略和/或通过插入特定字符破坏关键词的绕过策略。
7.根据权利要求6所述的XSS攻击检测方法,其特征在于,所述特定字符包括空格字符、换行符、回车符或不可见字符。
8.根据权利要求1所述的XSS攻击检测方法,其特征在于,所述利用与目标绕过策略对应的绕过还原策略,对所述待检测有效载荷进行相应处理,以将所述待检测有效载荷中经过绕过变形的有效载荷进行还原,包括:
利用与编码绕过策略和基于关键词破坏的绕过策略分别对应的绕过还原策略,对所述待检测有效载荷进行相应处理,以将所述待检测有效载荷中经过编码绕过变形和关键词破坏变形的有效载荷进行还原。
9.根据权利要求1至8任一项所述的XSS攻击检测方法,其特征在于,所述基于所述处理后有效载荷的特征信息确定所述待检测流量是否为XSS攻击型流量,包括:
提取所述处理后有效载荷的特征信息;
基于所述特征信息,并结合机器学习算法或模式识别算法,确定所述待检测流量是否为XSS攻击型流量。
10.根据权利要求9所述的XSS攻击检测方法,其特征在于,所述提取所述处理后有效载荷的特征信息,包括:
提取所述处理后有效载荷的语法特征信息、统计特征信息、文本特征信息中的任意一种或几种特征信息。
11.根据权利要求10所述的XSS攻击检测方法,其特征在于,所述提取所述处理后有效载荷的特征信息的过程中,还包括:
获取用于表征所述处理后有效载荷对应的绕过策略的特征信息。
12.一种XSS攻击检测装置,其特征在于,包括:
待检测流量获取模块,用于获取待检测流量;
待检测有效载荷提取模块,用于提取所述待检测流量中的有效载荷以得到待检测有效载荷;
绕过还原模块,用于利用与目标绕过策略对应的绕过还原策略,对所述待检测有效载荷进行相应处理,以将所述待检测有效载荷中经过绕过变形的有效载荷进行还原,得到相应的处理后有效载荷;
流量类型确定模块,用于基于所述处理后有效载荷的特征信息确定所述待检测流量是否为XSS攻击型流量。
13.一种电子设备,其特征在于,包括:
存储器,用于保存计算机程序;
处理器,用于执行所述计算机程序,以实现如权利要求1至11任一项所述的XSS攻击检测方法。
14.一种计算机可读存储介质,其特征在于,用于保存计算机程序,所述计算机程序被处理器执行时实现如权利要求1至11任一项所述的XSS攻击检测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010054079.1A CN113141331A (zh) | 2020-01-17 | 2020-01-17 | 一种xss攻击检测方法、装置、设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010054079.1A CN113141331A (zh) | 2020-01-17 | 2020-01-17 | 一种xss攻击检测方法、装置、设备及介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113141331A true CN113141331A (zh) | 2021-07-20 |
Family
ID=76808304
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010054079.1A Pending CN113141331A (zh) | 2020-01-17 | 2020-01-17 | 一种xss攻击检测方法、装置、设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113141331A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113904834A (zh) * | 2021-09-30 | 2022-01-07 | 北京华清信安科技有限公司 | 基于机器学习的xss攻击检测方法 |
| CN114584362A (zh) * | 2022-02-28 | 2022-06-03 | 北京启明星辰信息安全技术有限公司 | 一种防止unicode编码绕过的检测方法和装置 |
| CN114745206A (zh) * | 2022-06-10 | 2022-07-12 | 北京长亭未来科技有限公司 | 一种嵌套编码攻击载荷检测方法、系统、设备及存储介质 |
| CN115086044A (zh) * | 2022-06-17 | 2022-09-20 | 湖北天融信网络安全技术有限公司 | 一种攻击特征的处理方法及装置、电子设备、存储介质 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105245506A (zh) * | 2015-09-23 | 2016-01-13 | 上海云盾信息技术有限公司 | 一种防御网络攻击的方法与设备 |
| CN105592017A (zh) * | 2014-10-30 | 2016-05-18 | 阿里巴巴集团控股有限公司 | 跨站脚本攻击的防御方法及系统 |
| CN107644175A (zh) * | 2017-09-13 | 2018-01-30 | 南京南瑞集团公司 | 一种防止sql注入的方法 |
| CN107872463A (zh) * | 2017-11-29 | 2018-04-03 | 四川无声信息技术有限公司 | 一种web邮件xss攻击检测方法及相关装置 |
| CN109005157A (zh) * | 2018-07-09 | 2018-12-14 | 华中科技大学 | 一种软件定义网络中DDoS攻击检测与防御方法与系统 |
| CN109167754A (zh) * | 2018-07-26 | 2019-01-08 | 北京计算机技术及应用研究所 | 一种网络应用层安全防护系统 |
| CN109257393A (zh) * | 2018-12-05 | 2019-01-22 | 四川长虹电器股份有限公司 | 基于机器学习的xss攻击防御方法及装置 |
| CN109600370A (zh) * | 2018-12-08 | 2019-04-09 | 公安部第三研究所 | 一种终端web防护系统及方法 |
| CN109766693A (zh) * | 2018-12-11 | 2019-05-17 | 四川大学 | 一种基于深度学习的跨站脚本攻击检测方法 |
| CN110427754A (zh) * | 2019-08-12 | 2019-11-08 | 腾讯科技(深圳)有限公司 | 网络应用攻击检测方法、装置、设备及存储介质 |
| CN110602030A (zh) * | 2019-05-16 | 2019-12-20 | 上海云盾信息技术有限公司 | 网络入侵阻断方法、服务器及计算机可读介质 |
-
2020
- 2020-01-17 CN CN202010054079.1A patent/CN113141331A/zh active Pending
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105592017A (zh) * | 2014-10-30 | 2016-05-18 | 阿里巴巴集团控股有限公司 | 跨站脚本攻击的防御方法及系统 |
| CN105245506A (zh) * | 2015-09-23 | 2016-01-13 | 上海云盾信息技术有限公司 | 一种防御网络攻击的方法与设备 |
| CN107644175A (zh) * | 2017-09-13 | 2018-01-30 | 南京南瑞集团公司 | 一种防止sql注入的方法 |
| CN107872463A (zh) * | 2017-11-29 | 2018-04-03 | 四川无声信息技术有限公司 | 一种web邮件xss攻击检测方法及相关装置 |
| CN109005157A (zh) * | 2018-07-09 | 2018-12-14 | 华中科技大学 | 一种软件定义网络中DDoS攻击检测与防御方法与系统 |
| CN109167754A (zh) * | 2018-07-26 | 2019-01-08 | 北京计算机技术及应用研究所 | 一种网络应用层安全防护系统 |
| CN109257393A (zh) * | 2018-12-05 | 2019-01-22 | 四川长虹电器股份有限公司 | 基于机器学习的xss攻击防御方法及装置 |
| CN109600370A (zh) * | 2018-12-08 | 2019-04-09 | 公安部第三研究所 | 一种终端web防护系统及方法 |
| CN109766693A (zh) * | 2018-12-11 | 2019-05-17 | 四川大学 | 一种基于深度学习的跨站脚本攻击检测方法 |
| CN110602030A (zh) * | 2019-05-16 | 2019-12-20 | 上海云盾信息技术有限公司 | 网络入侵阻断方法、服务器及计算机可读介质 |
| CN110427754A (zh) * | 2019-08-12 | 2019-11-08 | 腾讯科技(深圳)有限公司 | 网络应用攻击检测方法、装置、设备及存储介质 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113904834A (zh) * | 2021-09-30 | 2022-01-07 | 北京华清信安科技有限公司 | 基于机器学习的xss攻击检测方法 |
| CN114584362A (zh) * | 2022-02-28 | 2022-06-03 | 北京启明星辰信息安全技术有限公司 | 一种防止unicode编码绕过的检测方法和装置 |
| CN114745206A (zh) * | 2022-06-10 | 2022-07-12 | 北京长亭未来科技有限公司 | 一种嵌套编码攻击载荷检测方法、系统、设备及存储介质 |
| CN114745206B (zh) * | 2022-06-10 | 2022-09-23 | 北京长亭未来科技有限公司 | 一种嵌套编码攻击载荷检测方法、系统、设备及存储介质 |
| CN115086044A (zh) * | 2022-06-17 | 2022-09-20 | 湖北天融信网络安全技术有限公司 | 一种攻击特征的处理方法及装置、电子设备、存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113141331A (zh) | 一种xss攻击检测方法、装置、设备及介质 | |
| RU2610254C2 (ru) | Система и способ определения измененных веб-страниц | |
| CN109246064B (zh) | 安全访问控制、网络访问规则的生成方法、装置及设备 | |
| US20120222117A1 (en) | Method and system for preventing transmission of malicious contents | |
| KR101874373B1 (ko) | 난독화 스크립트에 대한 악성 스크립트 탐지 방법 및 그 장치 | |
| CN107463844B (zh) | Web木马检测方法及系统 | |
| CN113194058B (zh) | Web攻击检测方法、设备、网站应用层防火墙及介质 | |
| CN111835777A (zh) | 一种异常流量检测方法、装置、设备及介质 | |
| CN104766013A (zh) | 一种基于跳表的跨站脚本攻击防御方法 | |
| CN113067792A (zh) | 一种xss攻击识别方法、装置、设备及介质 | |
| CN109284465B (zh) | 一种基于url的网页分类器构建方法及其分类方法 | |
| US11651080B2 (en) | Sentiment analysis for securing computer code | |
| CN108897721B (zh) | 一种对多种编码的数据进行解码的方法和装置 | |
| CN113141332A (zh) | 一种命令注入识别方法、系统、设备及计算机存储介质 | |
| Stephen et al. | Prevention of cross site scripting with E-Guard algorithm | |
| KR101526500B1 (ko) | 정보 엔트로피를 이용한 악성 의심 웹사이트 탐지 방법 및 시스템 | |
| CN113328982B (zh) | 一种入侵检测方法、装置、设备、介质 | |
| CN111881047B (zh) | 混淆脚本的处理方法及装置 | |
| CN114024651A (zh) | 一种编码类型识别方法、装置、设备及可读存储介质 | |
| CN111984970B (zh) | 一种sql注入检测方法、系统及电子设备和存储介质 | |
| CN109309677B (zh) | 一种基于语义协同的Web应用动态防御方法 | |
| CN104079572B (zh) | 一种基于从客户端到服务器端字符转换的网站防护方法 | |
| CN113849813A (zh) | 数据检测方法、装置、电子设备及存储介质 | |
| CN114741692A (zh) | 一种后门流量识别的方法、系统、设备及可读存储介质 | |
| CN114168950B (zh) | 一种跨站脚本攻击漏洞的修复方法、装置、设备及产品 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210720 |