[发明专利]存储式跨站脚本攻击检测方法、装置及系统及攻击检测装置

权利要求书

1.一种存储式跨站脚本攻击的检测方法，其特征在于，包括：

获取用户访问的网页内容脚本标签；

获取所述脚本标签对应的脚本内容可疑特征的危险值以及所述脚本语句位置的违规度；

对所述脚本内容可疑特征的危险值和脚本语句位置的违规度进行综合分析以检测所述用户访问的网页是否存在存储式跨站脚本攻击。

2.根据权利要求1所述的存储式跨站脚本攻击的检测方法，其特征在于，所述获取所述脚本标签对应的脚本语句位置的违规度，包括：

通过将所获取的网页内容脚本标签所在标签层和所述标签中的父标签与该标签对应的内嵌脚本合理性向量进行关联分析获得该脚本语句位置的合理性分值；

根据所述合理性分值，获得所述脚本语句位置的违规度。

3.根据权利要求1或2所述的存储式跨站脚本攻击的检测方法，其特征在于，所述获取所述脚本标签对应的脚本内容可疑特征的危险值，包括：

将所获取的脚本标签对应的脚本内容特征和预先存储的存储式跨站脚本攻击特征数据进行匹配；

当所述脚本内容特征匹配到对应的存储式跨站脚本攻击特征数据时，确定该脚本内容特征为脚本内容可疑特征，按照预先设定的危险值对应策略，确定该脚本内容可疑特征的危险值。

4.根据权利要求1或2所述的存储式跨站脚本攻击的检测方法，其特征在于，所述对所述脚本内容特征的危险值和位置的违规度进行综合分析以检测所述用户访问的网页是否存在存储式跨站脚本攻击，包括：

通过对所述脚本内容可疑特征的危险值和脚本语句位置的违规度进行加权求和获取存储式跨站脚本攻击可能性值，当所述得到的存储式跨站脚本攻击可能性值大于预先设定的门限值时，则判断所述用户访问的网页存在存储式跨站脚本攻击。

5.根据权利要求4中所述的存储式跨站脚本攻击的检测方法，所述加权求和获取存储式跨站脚本攻击可能性值，包括：

采用静态加权法计算获得存储式跨占脚本攻击可能性值，其中，不同脚本标签所对应的脚本内容可疑特征的危险值被分配相同的特征权重值，并且，不同标签所对应的脚本语句位置的违规度也分配相同的标签权重值；

或

采用动态加权法计算获得存储式跨占脚本攻击可能性值，其中，不同脚本标签所对应的脚本内容可疑特征危险值分配不同的特征权重值，并且不同标签所对应的脚本语句位置的违规度分配不同的标签权重值。

6.一种存储式跨站脚本攻击检测装置，其特征在于，包括：

脚本标签获取单元，用于获取用户访问的网页内容脚本标签；

第一处理单元，用于获取所述脚本标签对应的脚本内容可疑特征的危险值；

第二处理单元，用于获取所述脚本语句位置的违规度；

分析检测单元，用于对所述脚本内容可疑特征的危险值和脚本语句位置的违规度进行综合分析以检测所述用户访问的网页是否存在存储式跨站脚本攻击。

7.根据权利要求6所述的存储式跨站脚本攻击检测装置，其特征在于，所述第一处理单元，包括：

匹配子单元，用于将所获取的脚本标签对应的脚本内容特征和预先存储的存储式跨站脚本攻击特征数据进行匹配；

危险值获取子单元，用于当所述脚本内容可疑特征匹配到对应的存储式跨站脚本攻击特征数据时，确定该脚本内容特征为脚本内容可疑特征，按照预先设定的危险值对应策略，确定该脚本内容可疑特征的危险值。

8.根据权利要求6或7所述的存储式跨站脚本攻击检测装置，其特征在于，所述第二处理单元包括：

合理性分析子单元，用于通过将所获取的网页内容脚本标签所在层数和所述标签中的父标签与该标签对应的内嵌脚本合理性向量进行关联分析获得该脚本语句位置的合理性分值；

违规度获取子单元，用于根据所述合理性分值，获得所述脚本语句位置的违规度。

9.根据权利要求6或7所述的存储式跨站脚本攻击检测装置，其特征在于，所述分析检测单元包括：

计算单元，用于将对所述脚本内容可疑特征的危险值和脚本语句位置的违规度进行加权求和获取存储式跨站脚本攻击可能性值；

判断单元，用于当所得到的存储式跨站脚本攻击可能性值大于预先设定的门限值，则判断所述用户访问的网页存在存储式跨站脚本攻击。