(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210990113.5 (22)申请日 2022.08.17 (71)申请人 杭州电子科技大 学 地址 310018 浙江省杭州市钱塘新区白杨 街道2号大街1 158号 (72)发明人 王秋华　李逸佳　李成煜　吴国华　 王烨茹　张祯　袁理锋　任一支　 王冬　 (51)Int.Cl. H04L 9/40(2022.01) G06K 9/62(2022.01) (54)发明名称 一种基于抽象语 法树的XSS对抗攻击检测方 法及模型 (57)摘要 本发明涉及一种基于抽象语 法树的XSS对抗 攻击检测方法及模型， 包括请求预处理模块、 抽 象语法树处理模块、 分词处理和词向量化模块以 及XSS分类器模块， 能够检测出攻击者使用绕过 方法构造的XSS对抗样本， 弥补了现有模型无法 精准检测XSS 对抗样本的缺陷， 提高了Web应用系 统的安全性， 通过预处理， 删除样本中无意义的 字符串， 然后通过抽象语 法树找出样本中HTML部 分和JavaScript部分， 再使用训练过的XSS分类 器对样本进行分类， 从而精准识别出攻击者使用 绕过方法构造的XSS 对抗样本， 提高WEB应用系统 的安全性。 本发 明还进一步在两种对抗样本数据 集上进行验证， 结果表明， 本发明所提方法对XSS 对抗样本的检测率高达98.2％和99.8％， 使得 XSS对抗样本的绕过率低至1.8％和0.2％。 权利要求书2页 说明书7页 附图6页 CN 115378687 A 2022.11.22 CN 115378687 A 1.一种基于抽象语法树的XSS对抗攻击检测模型， 其特征在于： 包括请求预处理模块： 用于处理用户请求， 得到请求参数， 用户访问WEB页面时， 模型获取到用户访问请求， 对访问 请求进行预处理， 根据请求传输方式选择解析大文件传输请求、 解析分块传输请求或解析 HTTPpipeline请求， 得到请求 参数； 抽象语法树处理模块： 用于处理请求预处理模块得到的请求参数， 将请求参数中的 HTML部分解析为HTML抽象语 法树， 将请求参数中的JavaScript部分解析为JavaScript抽象 语法树， 后将抽象语 法树中的无效数据 移除后， 重新构建为HTML和J avaScript， 得到抽象语 法树处理后的简化 参数； 分词处理和词向量化模块： 用于对抽象语法树处理后的简化参数进行分词处理， 得到 分词序列， 利用W ord2vec把该分词序列映射 为词向量矩阵； 以及XSS分类器模块： 用于判断请求是否为正常请求， 将分词处理和词向量化模块得到 的词向量矩阵作为分类 器的输入， 然后输出分类结果， 即是否为 正常请求。 2.一种根据权利要求1所述的基于抽象语法树的XSS对抗攻击检测模型的检测方法， 其 特征在于： 包括以下步骤： 步骤一、 请求预处 理： 对用户访问请求进行 预处理， 得到具体执 行的请求 参数； 步骤二、 抽象语法树处理： 将步骤一中所提取的参数中HTML部分解析为HTML抽象语法 树， 将参数中的JavaScript部分解析为Jav aScript抽象语法树， 并将语法树中的无效数据 移除， 重新构建为HTML和JavaScript， 最后得到简化后的参数； 步骤三、 分词处理和词向量化： 对上述抽象语法树处理后的简化参数进行分词处理， 得 到分词序列， 利用W ord2vec把该分词序列映射 为词向量矩阵； 步骤四、 XSS 攻击分类器分类： 对步骤三得到的词向量矩阵Pm×k进行分类， 判断其是否为 正常请求。 3.根据权利要求2所述的一种基于抽象语法树的XSS对抗攻击的检测方法， 其特征在 于： 所述步骤二具体包括： 步骤2.1： 将步骤一中所提取的参数中的HTML部分进行URL 解码， 得到实际请求 参数； 步骤2.2： 使用解析器， 对实际请求 参数进行解析， 得到 HTML抽象语法树； 步骤2.3： 对HTML抽象语法树进行遍历， 找到其具体执行的JavaScript部分， 使用解析 器进行解析， 得到JavaScript抽象语法树； 步骤2.4： 对JavaScript抽象语法树进行遍历， 排 除语法树中影响检测的无效数据， 得 到简化后的参数。 4.根据权利要求3所述的一种基于抽象语法树的XSS对抗攻击的检测方法， 其特征在 于： 所述抽象语法树， 是使用树状图表示源代码抽象语法结构， 语法树上的每个节点均 代表 源代码中的一种结构； 所述无效数据是指注释数据以及攻击者通过绕过方法加入的特殊字 符。 5.根据权利要求2所述的一种基于抽象语法树的XSS对抗攻击的检测方法， 其特征在 于： 所述步骤三具体包括： 步骤3.1： 分词处理， 具体为将上述抽象语法树处理后的简化参数分为标签、 敏感函数、 执行的JavaScript、 URL、 括 号； 步骤3.2.利用Word2 vec对分词序列s＝{w1,w2,…,wi,…,wm}进行处理， 将序列中的每个权　利　要　求　书 1/2 页 2 CN 115378687 A 2词映射为词向量矩阵， 得到k维词向量矩阵 其中{vi1,…,vik}为分词序列中分词wi对应的词向量。 6.根据权利要求2所述的一种基于抽象语法树的XSS对抗攻击的检测方法， 其特征在 于： 所述步骤四具体包括： 将步骤三中得到的词向量矩阵Pm×k作为分类器的输入， 经过LSTM神经 网络处理， 得到分 类结果， 即是否为 正常请求。 7.根据权利要求6所述的一种基于抽象语法树的XSS对抗攻击的检测方法， 其特征在 于： 所述XSS攻击分类器基于LSTM神经网络构建， 包括构建XSS分类器框架和使用DeepXSS数 据集训练分类 器两个部分； 基于LSTM神经网络构建XSS分类器框架， 利用输入层、 LSTM隐藏层、 Drop out层、 soft max 层和输出层来构建XS S分类器； 使用DeepXSS数据集训练分类器， 将数据集中的XSS样本和正常样本随机分开， 20％的 样本作为测试集， 80％的样 本作为训练集， 将训练集中的样 本作为LSTM神经网络的输入， 经 过多次训练得到XS S分类器。权　利　要　求　书 2/2 页 3 CN 115378687 A 3