本申请公开了一种XSS攻击检测方法、装置、设备及介质,该方法包括:获取待检测流量;提取所述待检测流量中的有效载荷以得到待检测有效载荷;利用与目标绕过策略对应的绕过还原策略,对所述待检测有效载荷进行相应处理,以将所述待检测有效载荷中经过绕过变形的有效载荷进行还原,得到相应的处理后有效载荷;基于所述处理后有效载荷的特征信息确定所述待检测流量是否为XSS攻击型流量。本申请在基于有效载荷的特征信息来确定待检测流量是否为XSS攻击型流量之前,先利用绕过还原策略对待检测有效载荷进行相应处理,这样能够实现对待检测有效载荷中经过绕过变形的有效载荷的还原,降低了漏报率,提高了针对XSS攻击的检测能力。
【技术实现步骤摘要】
一种XSS攻击检测方法、装置、设备及介质
本申请涉及信息安全
,特别涉及一种XSS攻击检测方法、装置、设备及介质。
技术介绍
XSS(即CrossSiteScripting,跨站脚本攻击),是当前非常普遍的Web应用安全漏洞。攻击者利用该漏洞在正常页面嵌入恶意脚本代码,使得用户在访问该页面时,执行恶意脚本,达到攻击目的。一切可以提交数据到页面的点都有可能被黑客篡改,变成非预期的输入,从而造成XSS漏洞。同时,JavaScript和HTML语法的灵活性导致各种类型的绕过和混淆层出不穷,因此XSS的防御一直是Web安全建设的重点和难点。当前主流的XSS检测技术主要是基于规则进行过滤。安全人员通过收集目前已知的XSS攻击数据,总结XSS攻击特点,构成规则库,然后使用规则库对待测数据进行检测,从而判断是否存在XSS攻击。但是基于规则的XSS检测方式存在滞后性,只有当XSS攻击曝光后,才能提炼出对应的规则。更为严重的是,随着XSS混淆绕过能力的增强,很难提取出有效规则,容易造成漏报和误报。
技术实现思路
有鉴于此,本申请的目的在于提供一种XSS攻击检测方法、装置、设备及介质,能够提高针对XSS攻击的检测能力,降低漏报率。其具体方案如下:第一方面,本申请公开了一种XSS攻击检测方法,包括:获取待检测流量;提取所述待检测流量中的有效载荷以得到待检测有效载荷;利用与目标绕过策略对应的绕过还原策略,对所述待检测有效载荷进行相应处理,以将所述待检测有效载荷中经过绕过变形的有效载荷进行还原,得到相应的处理后有效载荷;基于所述处理后有效载荷的特征信息确定所述待检测流量是否为XSS攻击型流量。可选的,所述获取待检测流量,包括:收集原始流量数据;采用预设过滤规则,对所述原始流量数据进行过滤以得到待检测流量。可选的,所述利用与目标绕过策略对应的绕过还原策略,对所述待检测有效载荷进行相应处理,以将所述待检测有效载荷中经过绕过变形的有效载荷进行还原,包括:利用与编码绕过策略对应的绕过还原策略,对所述待检测有效载荷进行相应处理,以将所述待检测有效载荷中经过编码绕过变形的有效载荷进行还原。可选的,所述编码绕过策略包括基于HTML编码的绕过策略、基于URL编码的绕过策略和基于Unicode编码的绕过策略中的任意一种或几种绕过策略。可选的,所述利用与目标绕过策略对应的绕过还原策略,对所述待检测有效载荷进行相应处理,以将所述待检测有效载荷中经过绕过变形的有效载荷进行还原,包括:利用与基于关键词破坏的绕过策略对应的绕过还原策略,对所述待检测有效载荷进行相应处理,以将所述待检测有效载荷中经过关键词破坏变形的有效载荷进行还原。可选的,所述基于关键词破坏的绕过策略包括通过插入注释破坏关键词的绕过策略和/或通过插入特定字符破坏关键词的绕过策略。可选的,所述特定字符包括空格字符、换行符、回车符或不可见字符。可选的,所述利用与目标绕过策略对应的绕过还原策略,对所述待检测有效载荷进行相应处理,以将所述待检测有效载荷中经过绕过变形的有效载荷进行还原,包括:利用与编码绕过策略和基于关键词破坏的绕过策略分别对应的绕过还原策略,对所述待检测有效载荷进行相应处理,以将所述待检测有效载荷中经过编码绕过变形和关键词破坏变形的有效载荷进行还原。可选的,所述基于所述处理后有效载荷的特征信息确定所述待检测流量是否为XSS攻击型流量,包括:提取所述处理后有效载荷的特征信息;基于所述特征信息,并结合机器学习算法或模式识别算法,确定所述待检测流量是否为XSS攻击型流量。可选的,所述提取所述处理后有效载荷的特征信息,包括:提取所述处理后有效载荷的语法特征信息、统计特征信息、文本特征信息中的任意一种或几种特征信息。可选的,所述提取所述处理后有效载荷的特征信息的过程中,还包括:获取用于表征所述处理后有效载荷对应的绕过策略的特征信息。第二方面,本申请公开了一种XSS攻击检测装置,包括:待检测流量获取模块,用于获取待检测流量;待检测有效载荷提取模块,用于提取所述待检测流量中的有效载荷以得到待检测有效载荷;绕过还原模块,用于利用与目标绕过策略对应的绕过还原策略,对所述待检测有效载荷进行相应处理,以将所述待检测有效载荷中经过绕过变形的有效载荷进行还原,得到相应的处理后有效载荷;流量类型确定模块,用于基于所述处理后有效载荷的特征信息确定所述待检测流量是否为XSS攻击型流量。第三方面,本申请公开了一种电子设备,包括:存储器,用于保存计算机程序;处理器,用于执行所述计算机程序,以实现前述公开的XSS攻击检测方法。第四方面,本申请公开了一种计算机可读存储介质,用于保存计算机程序,所述计算机程序被处理器执行时实现前述公开的XSS攻击检测方法。本申请中,在获取待检测流量之后,提取所述待检测流量中的有效载荷以得到待检测有效载荷,然后利用与目标绕过策略对应的绕过还原策略,对所述待检测有效载荷进行相应处理,以将所述待检测有效载荷中经过绕过变形的有效载荷进行还原,得到相应的处理后有效载荷;最后基于所述处理后有效载荷的特征信息确定所述待检测流量是否为XSS攻击型流量。可见,本申请在基于有效载荷的特征信息来确定待检测流量是否为XSS攻击型流量之前,先利用绕过还原策略对待检测有效载荷进行相应处理,这样能够实现对待检测有效载荷中经过绕过变形的有效载荷的还原,降低了漏报率,提高了针对XSS攻击的检测能力。附图说明为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。图1为本申请公开的一种XSS攻击检测方法流程图;图2为本申请公开的一种具体的XSS攻击检测方法流程图;图3为一种具体的原始攻击载荷;图4为对图3中的原始攻击载荷进行编码绕过之后得到的变形载荷;图5为本申请公开的一种具体的XSS攻击检测方法流程图;图6为另一种具体的原始攻击载荷;图7为向图6中的原始攻击载荷加入注释后得到的变形载荷;图8为另一种具体的原始攻击载荷;图9为向图8中的原始攻击载荷加入换行符后得到的变形载荷;图10为本申请公开的一种具体的XSS攻击检测方法流程图;图11为本申请公开的一种XSS攻击检测装置结构示意图;图12为本申请公开的一种电子设备结构图。具体实施方式下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动本文档来自技高网...
【技术保护点】
1.一种XSS攻击检测方法,其特征在于,包括:/n获取待检测流量;/n提取所述待检测流量中的有效载荷以得到待检测有效载荷;/n利用与目标绕过策略对应的绕过还原策略,对所述待检测有效载荷进行相应处理,以将所述待检测有效载荷中经过绕过变形的有效载荷进行还原,得到相应的处理后有效载荷;/n基于所述处理后有效载荷的特征信息确定所述待检测流量是否为XSS攻击型流量。/n
【技术特征摘要】
1.一种XSS攻击检测方法,其特征在于,包括:
获取待检测流量;
提取所述待检测流量中的有效载荷以得到待检测有效载荷;
利用与目标绕过策略对应的绕过还原策略,对所述待检测有效载荷进行相应处理,以将所述待检测有效载荷中经过绕过变形的有效载荷进行还原,得到相应的处理后有效载荷;
基于所述处理后有效载荷的特征信息确定所述待检测流量是否为XSS攻击型流量。
2.根据权利要求1所述的XSS攻击检测方法,其特征在于,所述获取待检测流量,包括:
收集原始流量数据;
采用预设过滤规则,对所述原始流量数据进行过滤以得到待检测流量。
3.根据权利要求1所述的XSS攻击检测方法,其特征在于,所述利用与目标绕过策略对应的绕过还原策略,对所述待检测有效载荷进行相应处理,以将所述待检测有效载荷中经过绕过变形的有效载荷进行还原,包括:
利用与编码绕过策略对应的绕过还原策略,对所述待检测有效载荷进行相应处理,以将所述待检测有效载荷中经过编码绕过变形的有效载荷进行还原。
4.根据权利要求3所述的XSS攻击检测方法,其特征在于,所述编码绕过策略包括基于HTML编码的绕过策略、基于URL编码的绕过策略和基于Unicode编码的绕过策略中的任意一种或几种绕过策略。
5.根据权利要求1所述的XSS攻击检测方法,其特征在于,所述利用与目标绕过策略对应的绕过还原策略,对所述待检测有效载荷进行相应处理,以将所述待检测有效载荷中经过绕过变形的有效载荷进行还原,包括:
利用与基于关键词破坏的绕过策略对应的绕过还原策略,对所述待检测有效载荷进行相应处理,以将所述待检测有效载荷中经过关键词破坏变形的有效载荷进行还原。
6.根据权利要求5所述的XSS攻击检测方法,其特征在于,所述基于关键词破坏的绕过策略包括通过插入注释破坏关键词的绕过策略和/或通过插入特定字符破坏关键词的绕过策略。
7.根据权利要求6所述的XSS攻击检测方法,其特征在于,所述特定字符包括空格字符、换行符、回车符或不可见字符。
8.根据权利要求1所述的XSS攻击检测方法,其特征在于,...
【专利技术属性】
技术研发人员:黄忠强,杨荣海,董蜀黔,王大伟,文成龙,
申请(专利权)人:深信服科技股份有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。