技術領域

本發明涉及網絡安全技術區域，具體涉及一種跨站腳本攻擊的檢測方法和裝置。

背景技術

網絡中的各種終端瀏覽器如IE、FireFox、MyIE等，它們負責在用戶輸入URL或者點擊某個鏈接之后向Web服務器發送HTTP的請求(常見的如GET、POST)，Web服務器在接收到HTTP請求之后，會執行相應的操作，典型的是返回所請求的頁面，在這些返回的頁面中，常常會夾雜著惡意的跨站腳本，這些腳本一旦返回給終端的瀏覽器，就會對用戶的終端實施不同程度的攻擊，如盜取用戶賬號、盜取用戶硬盤上的敏感信息等，這種攻擊非常常見，被稱作跨站腳本攻擊(Cross?Site?Scripting，簡稱為XSS)?？缯灸_本攻擊的實施步驟比較繁瑣，與其它類型的攻擊相比，跨站腳本攻擊屬于間接攻擊(或稱為被動攻擊)，如圖1所示，攻擊者往往是通過首先誘使受害者訪問由攻擊者事先精心構造好的一個不易辨認的有害鏈接，受害者在點擊了該鏈接之后會訪問攻擊者安排好的惡意網站，或者受害者在點擊了該鏈接之后，事先安排好的還有惡意腳本的網頁會返回到客戶的瀏覽器，此時網頁中的惡意腳本會自動執行，從而完成對受害者的攻擊。近年來隨著Web應用的大量普及，更多的應用和商業活動依賴于Web系統展開，Web安全問題也越來越突出，在這些紛繁復雜的安全問題中，跨站腳本攻擊一直是位居前列且急需解決的Web安全問題，目前大多數的解決辦法只能在攻擊者將跨站腳本注入到頁面中的行為進行檢測，而對大量存在的、已經被成功注入了跨站腳本的頁面，在用戶訪問這些有害頁面的過程中，卻無法實施有效的檢測，因為頁面本身就自帶大量的腳本，這些腳本與攻擊者注入的跨站腳本混在一起，難于區分，因此也就很難檢測。

現有的一種應用于Web?Server設備上的用于防止跨站攻擊的方案，是通過在Web?Server端對HTTP請求進行分析和過濾，主要是對請求的頁面進行網頁入口點的判斷和授權的驗證。這種方式雖然能對由客戶端發起的反射式跨站腳本攻擊起到一定的檢測作用，但是如果該網頁沒有授權認證，或者當用戶訪問一個網頁的時候，該網頁已經包含了惡意腳本，即存儲式跨站腳本攻擊時，該方案就不再適用，但是這種情況在跨站腳本攻擊當中又占了絕大多數的比例。

發明內容

本發明要解決的技術問題是提供一種跨站腳本攻擊的檢測方法和裝置，能夠在網絡安全監測設備或者網絡終端上識別與提取頁面中夾帶的跨站攻擊腳本，同時又避免了頁面中自身攜帶的合法的腳本被誤殺。

為了解決上述技術問題，本發明提出一種跨站腳本攻擊的檢測方法，包括：

a、對于捕獲到的HTTP返回頁面，找到其中的活躍標簽；將所捕獲的HTTP返回頁面中包括該活躍標簽在內的各層標簽的概率P取倒數之后相加，并求出算術平均值作為所述活躍標簽的內嵌JavaScript合理指數EJSRF；提取出各活躍標簽內的JavaScript腳本；所述活躍標簽是與JavaScript腳本之間不存在其它HTML標簽的HTML標簽，所述標簽的概率P為該標簽內直接出現JavaScript腳本的概率；

b、對提取出的JavaScript腳本進行編碼還原，得到該JavaScript腳本被編碼的字節數量EBN；進行語義還原，得到該JavaScript腳本中使用字符串變量的次數SDN；將經過編碼和語義還原的JavaScript腳本與預設的跨站腳本攻擊特征進行匹配，得出該JavaScript腳本的特征匹配程度SMD；

c、將所述EJSRF、EBN、SDN和SMD加權相加，將相加得到的和與預定的閾值進行比較，如果計算結果超過了給定的閾值，則判定所捕獲到的HTTP返回頁面包含跨站腳本攻擊。

進一步地，上述方法還可具有以下特點：

所述步驟a具體包括：

a1、存儲各HTTP標簽的統計信息，包括該HTML標簽的出現次數N、該HTML標簽作為活躍標簽出現的次數M；

a2、捕獲到的HTTP返回頁面后，按照嵌套的順序從外向內依次提取所捕獲的HTTP返回頁面中的一個HTML標簽；如果所有標簽都已提取完，則執行步驟b；

a3、將該標簽的N加1；如果該標簽直接嵌套了JavaScript腳本，將該標簽的M加1，記錄該標簽Tag的嵌套層次NL，提取該標簽中的JavaScript腳本，然后執行步驟a4；否則返回步驟a2；