(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111615585.4 (22)申请日 2021.12.27 (71)申请人 奇安信科技 集团股份有限公司 地址 100088 北京市西城区新 街口外大街 28号102号楼3层3 32号 申请人 网神信息技 术 （北京） 股份有限公司 (72)发明人 刘大光　 (74)专利代理 机构 北京路浩知识产权代理有限 公司 11002 专利代理师 王宇杨 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种XSS攻击检测方法及装置 (57)摘要 本发明实施例提供一种XSS攻击检测方法及 装置。 其中， 该方法包括： 检测接收到的用户请 求， 判断是否为XSS攻击； 若是XSS攻击， 则从用户 请求中提取XSS攻击向量； 获取对应用户请求的 应答报文， 将应答报文放入JS沙箱中运行并执行 监听事件， 将监听到的对应应答报文的事件与 XSS攻击向量对比， 若对比结果一致， 则XSS攻击 成功。 针对XSS攻击的的特点， 提取XSS攻击向量 和应答报文在JS沙箱中运行结果， 将提取的攻击 向量和JS沙箱运行结果进行比对， 对攻击 结果进 行研判， 减少了维护成本 。 权利要求书1页 说明书9页 附图4页 CN 114499968 A 2022.05.13 CN 114499968 A 1.一种XS S攻击检测方法， 其特 征在于， 所述方法包括： 检测接收到的用户请求， 判断是否为XS S攻击； 若是XSS攻击， 则从所述用户请求中提取 XSS攻击向量； 获取对应所述用户请求的应答报文， 将所述应答报文放入JS沙箱中运行并执行监听事 件， 将监听到的对应所述应答报文的事件与所述XSS攻击向量对比， 若对比结果一致， 则XSS 攻击成功。 2.根据权利要求1所述的XSS攻击检测方法， 其特征在于， 所述检测接收到的用户请求， 包括： 通过XSS攻击检测规则检测接收到的用户请求； 和/或 通过语义分析 方法检测接收到的用户请求； 和/或 通过沙箱检测方法检测接收到的用户请求。 3.根据权利要求1 ‑2任一项所述的XSS攻击检测方法， 其特征在于， 所述用户请求包括 http请求。 4.根据权利要求1所述的XSS攻击检测方法， 其特征在于， 所述从所述用户请求中提取 XSS攻击向量， 包括： 从所述用户请求中解析出用户参数， 将所述用户参数对应的参数值中的函数作为所述 XSS攻击向量。 5.根据权利要求4所述的XSS攻击检测方法， 其特征在于， 所述将监听到的对应所述应 答报文的事 件与所述XS S攻击向量对比， 包括： 将监听到的对应所述应答报文的事件的函数与所述用户参数对应的参数值中的函数 对比。 6.根据权利要求1所述的XSS攻击检测方法， 其特征在于， 所述获取对应所述用户请求 的应答报文， 将所述应答报文放入JS沙箱中运行并执 行监听事 件， 包括： 获取对应所述用户请求的应答报文， 从所述应答报文中解析出对应所述用户请求的应 答页面， 将所述应答页面 放入JS沙箱中运行并执 行监听事 件。 7.一种XS S攻击检测装置， 其特 征在于， 所述方法包括： 第一处理模块， 用于检测接收到的用户请求， 判断是否为XS S攻击； 第二处理模块， 用于若是 XSS攻击， 则从所述用户请求中提取 XSS攻击向量； 第三处理模块， 用于获取对应所述用户请求的应答报文， 将所述应答报文放入JS沙箱 中运行并执行监听事件， 将监听到的对应所述应答报文的事件与所述XSS攻击向量对比， 若 对比结果 一致， 则XSS攻击成功。 8.一种电子设备， 包括存储器、 处理器及存储在所述存储器上并可在所述处理器上运 行的计算机程序， 其特征在于， 所述处理器执行所述程序时实现如权利要求 1至6所述的XSS 攻击检测方法的步骤。 9.一种非暂态计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 所述计算机 程序被处 理器执行时实现如权利要求1至 6所述的XS S攻击检测方法的步骤。 10.一种计算机程序产品， 其上存储有可执行指令， 其特征在于， 该指令被处理器执行 时使处理器实现如权利要求1至 6所述的XS S攻击检测方法的步骤。权　利　要　求　书 1/1 页 2 CN 114499968 A 2一种XSS攻击检测方 法及装置 技术领域 [0001]本发明涉及信息安全领域， 尤其涉及一种XS S攻击检测方法及装置 。 背景技术 [0002]攻击者为了达到恶意攻击用户的目的， 会在web页面中插入一些恶意的script代 码， 当用户浏览该页面的时候， 可能会执行攻击者恶意插入的script代码， 以此完成XSS攻 击。 [0003]目前， 检测XSS攻击可以使用基于正则的规则检测、 基于机器学习的算法预测判断 检测或基于语义分析的检测等方法。 而这些方法都没有进入到浏览器真实执行JS脚本的环 节， 都是基于文本的解析检测， 因此， 存在一定的误报和漏报。 现有技术中还可以通过应答 页面的规则匹配检测XSS攻击： 通过注入特定的攻击payload(payload， 在病毒代码中实现 一些有害的或者恶性的动作的功能的部分叫做 “有效负载 ”)， 然后通过正则表达式检查对 应的应答页面中攻击payload 的JS脚本是否被网站编码 。 如果没有被编码则认 为攻击成功。 但是这种方式容易出现误报， 因为payload没有被编码不代表浏览器会执行payload， 有可 能payload是被当作文本 显示出来， 因此， 造成误报。 [0004]而且， 由于web攻击在网络中存在大量扫描攻击， 其中大部分是扫描器， 大量攻击 是无效的。 而传统 的入侵检测系统(Intrusion  Detection  Systems， 简称IDS)会将所有攻 击都进行告警， 而防护人员只需要关心攻击成功的攻击， 因此将所有攻击都进行告警会对 维护人员造成巨大成本 。 发明内容 [0005]针对现有技 术中的问题， 本发明实施例提供一种XS S攻击检测方法及装置 。 [0006]具体地， 本发明实施例提供了以下技 术方案： [0007]第一方面， 本发明实施例提供了一种SQL注入检测方法， 包括： 检测接收到的用户 请求， 判断是否为XSS攻击； 若是XSS攻击， 则从所述用户请求中提取XSS攻击向量； 获取对应 所述用户请求的应答报文， 将所述应答报文放入JS沙箱中运行并执行监听事件， 将监听到 的对应所述应答报文的事 件与所述XS S攻击向量对比， 若对比结果 一致， 则XSS攻击成功。 [0008]进一步地， 所述检测接收到的用户请求， 包括： 通过XSS攻击检测规则检测接收到 的用户请求； 和/或通过语义分析方法检测接 收到的用户请求； 和/或通过沙箱检测方法检 测接收到的用户请求。 [0009]进一步地， 所述用户请求包括ht tp请求。 [0010]进一步地， 所述从所述用户请求中提取XSS攻击向量， 包括： 判断所述用户请求中 是否包括用户参数， 若包括所述用户参数， 则从所述用户请求中解析出所述用户参数， 将所 述用户参数对应的参数值作为所述XS S攻击向量。 [0011]进一步地， 所述将监听到的对应所述应答报文的事件与所述XSS攻击向量对比， 包 括： 将监听到的对应所述应答报文的事 件的函数与所述用户参数对应的参数值对比。说　明　书 1/9 页 3 CN 114499968 A 3