[发明专利]监控跨站脚本攻击的方法、装置及系统

权利要求书

1.一种监控跨站脚本攻击的方法，预先在网站中设置包含可信脚本路径信息的白名单以及加载用于脚本路径信息搜索的监测脚本，该方法包括：

接收网站根据监测脚本搜索得到、且通过白名单过滤后发送的脚本路径信息，对脚本路径信息进行归类统计；

按照预先设置的疑似策略，对归类统计的脚本路径信息进行疑似分析，获取非跨站脚本攻击的脚本路径信息，根据获取的信息更新网站中设置的白名单。

2.根据权利要求1所述的方法，其中，所述加载用于脚本路径信息搜索的监测脚本包括：

网站接收服务器下发的用于脚本路径信息搜索的监测脚本；

获取网站网页中用户输入显示的位置脚本信息，在获取的位置脚本信息前加载监测脚本。

3.根据权利要求2所述的方法，其中，所述接收网站根据监测脚本搜索得到、且通过白名单过滤后发送的脚本路径信息包括：

加载的监测脚本按照预先设置的时间周期，搜索网站页面中加载的脚本路径信息；

查询搜索得到的脚本路径信息是否在白名单中，如果是，不作处理，否则，将搜索得到的脚本路径信息输出至服务器。

4.根据权利要求3所述的方法，其中，所述对脚本路径信息进行归类统计包括：

获取脚本路径信息中包含的域名信息，为每一域名构建域名日志文件并设置计数器；

将包含相同域名信息的脚本路径信息置入同一域名日志文件中，触发计数器计数，分别记录脚本路径信息对应的网站发送时间信息以及网站页面地址信息。

5.根据权利要求4所述的方法，其中，在所述接收到网站发送的脚本路径信息之后，对脚本路径信息进行归类统计之前，所述方法进一步包括：

预先在服务器中设置第二白名单；

接收网站发送的脚本路径信息，查询接收的脚本路径信息是否在第二白名单中，如果是，不作处理，否则，执行对脚本路径信息进行归类统计的步骤。

6.根据权利要求5所述的方法，其中，所述按照预先设置的疑似策略，对归类统计的脚本路径信息进行疑似分析，获取非跨站脚本攻击的脚本路径信息包括：

在预先设置的时间周期内，获取各域名对应的计数值；

选取计数值超过预先设置的计数阈值的域名对应的域名日志文件；

按照网站发送时间，对选取的域名日志文件中的脚本路径信息进行排序；

获取网站发送时间最早的脚本路径信息，提取脚本路径信息中包含的属性信息；

根据提取的属性信息确定脚本路径信息是否为非跨站脚本攻击的脚本路径信息。

7.根据权利要求5所述的方法，其中，所述按照预先设置的疑似策略，对归类统计的脚本路径信息进行疑似分析，获取非跨站脚本攻击的脚本路径信息包括：

对预先设置的时间周期进行子周期划分，获取各子周期内域名对应的计数值；

在预先设置的时间周期内，计算当前子周期的计数值与上一子周期的计数值的比值，选取比值超过预先设置的比值阈值的域名对应的域名日志文件；

按照网站发送时间，对选取的域名日志文件中的脚本路径信息进行排序；

获取网站发送时间最早的脚本路径信息，提取脚本路径信息中包含的属性信息；

根据提取的属性信息确定脚本路径信息是否为非跨站脚本攻击的脚本路径信息。

8.根据权利要求6或7所述的方法，其中，所述属性信息包括：域名信息、脚本源注入点信息、脚本数量爆发点信息、脚本传播路径信息以及脚本传播方式信息。

9.根据权利要求1至7任一项所述的方法，其中，在所述对归类统计的脚本路径信息进行疑似分析后，所述方法进一步包括：

获取跨站脚本攻击的脚本路径信息，更新网站入口处设置的黑名单；

网站入口接收脚本路径信息，查询黑名单，如果接收的脚本路径信息在黑名单中，拒绝接收脚本路径信息，否则，输出并加载至网站页面中。