[发明专利]一种XSS攻击自动检测方法

权利要求书

1.一种XSS攻击自动检测方法，其特征在于，其步骤包括：

步骤1：Apriori算法提取XSS特征：

步骤1.1：使用Apriori算法扫描数据库中的样本数据，计算每个参数对应的支持度和置信度；给定最小支持度和最小置信度；

步骤1.2：根据最小支持度找出所有频繁项集参数；

步骤1.3：根据最小置信度找出关联规则，满足关联规则的频繁项集参数形成XSS特征；

步骤2：采用SVM分类器对数据库中的样本数据进行特征提取形成特征值数据，将XSS特征加入到SVM分类器的特征值数据中；

步骤3：通过SVM分类器的特征值数据进行SVM分类模型训练，生成训练后的分类模型，对XSS攻击进行检测。

2.根据权利要求1所述的XSS攻击自动检测方法，其特征在于：所述步骤1中，数据库中的样本数据在被扫描前，进行数据清洗的数据采集预处理步骤。

3.根据权利要求1所述的XSS攻击自动检测方法，其特征在于：所述步骤1.2具体为：

步骤1.21：扫描数据库，计算长度K＝1的频繁项集的支持度，找出所有支持度大于等于最小支持度的项集形成当K＝1时的频繁项集，两两连接，产生新的数据集；

步骤1.22：以形成新的数据集为基础，增加K的长度，再次以(K+1)长度扫描数据库，产生新的频繁项集，两两连接，获得新的数据集；

步骤1.23：重复步骤1.22，直到无法找到新的数据集，算法终止。

4.根据权利要求3所述的XSS攻击自动检测方法，其特征在于：所述步骤1.3具体为：利用挖掘公式计算置信度，根据最小置信度，找出关联规则，满足关联规则的置信度大于等于最小置信度，挖掘公式为：

其中，x表示样本数据中的所有参数，Support(x₁,x₂,…,x_n)表示数据集的关联规则支持度，P(x₁x₂…x_n)表示数据集的置信度；表示x₁x₂…x_n这n个事件相对于x₁x₂…x_n整个数据集同时发生的频繁程度。

5.根据权利要求1所述的XSS攻击自动检测方法，其特征在于：所述步骤2中，将XSS特征加入到SVM分类器的特征值数据中的实现方法为：从url请求中寻找含有XSS特征关键词的字段，并统计含有这些关键词的字段的数量，加入到SVM分类器的特征值数据中，增加SVM模型的特征值数据的数量。

6.根据权利要求1所述的XSS攻击自动检测方法，其特征在于：所述步骤3中进行模型SVM分类模型训练前对特征值数据进行拆分形成训练集和测试集，具体步骤为：

步骤3a)：对SVM分类器的特征值数据样本集合S随机划分，分成k份不相交的子集，假设S中的样本个数为m，那么每一份子集有m/k个样本，相应的子集称作{S₁,S₂,…S_k}；

步骤3b)：每次拿出一份子集作为测试集，剩余k-1份作为训练集用于模型训练；

步骤3c)：重复步骤3b)k次，使每个子集都有可以作为测试集，其余子集作为训练集；每个训练集训练后得到一个模型，并将这个模型放到相应测试集上得到分类率；计算k次求得分类率的平均值作为SVM分类器的真实分类率。

7.根据权利要求6所述的XSS攻击自动检测方法，其特征在于：所述步骤3进行模型训练具体步骤为：

所述步骤3中，使用SVM算法进行模型训练，对样本数据进行标记，正常数据标记为正，XSS攻击数据标记为负，根据样本特征维度为二维的特征，采用SVM线性核函数linear完成模型训练；

将超平面定义为w·X+b＝0，w是一个权重向量，W＝w₁,w₂,…w_n，其中n是特征值的个数，X是给入的训练样本i，假设二维特征向量：X＝(x₁,x₂)，b为额外的w₀，此时超平面方程变为：w₀+w₁x₁+w₂x₂＝0，调整权重向量，使超平面定义边际的两边y_i(w₀+w₁x₁+w₂x₂)≥1，y_i为支持向量点X_i的类别标记；对于任意训练样本i，都满足y_i(w₀+w₁x₁+w₂x₂)≥1，经推导，MMH表示“决定边界”其中X_i为支持向量点，及MMH边际的平面上的点；y_i为支持向量点X_i的类别标记，X^T为要测试的实例，对于任何测试的实例将其作为X^T代入以上公式，得出的符号是正还是负决定它是在MMH的哪一边，从而完成XSS攻击数据和正常数据的检测识别模型训练。