劉國(guó)輝

(沈陽(yáng)大學(xué) 教務(wù)處現(xiàn)代教育技術(shù)中心，遼寧 沈陽(yáng) 110044)

0 引言

跨站腳本攻擊(Cross Site Scripting，XSS)是由于Web應(yīng)用的普及，尤其是在客戶(hù)端應(yīng)用Ajax和JavaScript等技術(shù)而產(chǎn)生大量的交互而產(chǎn)生的漏洞.該漏洞通過(guò)盜取用戶(hù)Cookie、會(huì)話(huà)劫持、網(wǎng)絡(luò)釣魚(yú)以及拒絕服務(wù)攻擊等盜取資料和破壞用戶(hù)行為，已經(jīng)嚴(yán)重影響了Web的安全性問(wèn)題[1-3].目前該攻擊已在Web應(yīng)用項(xiàng)目的漏洞總量中排名前三.

傳統(tǒng)的針對(duì)XSS攻擊進(jìn)行處理的方法是采用XSS過(guò)濾器，過(guò)濾器中存儲(chǔ)了黑名單備份，當(dāng)網(wǎng)絡(luò)中截取到含有黑名單的數(shù)據(jù)就進(jìn)行攔截.盡管XSS過(guò)濾器能過(guò)濾黑名單，但對(duì)于進(jìn)行加密的一些數(shù)據(jù)無(wú)法有效被檢測(cè)，從而導(dǎo)致檢測(cè)效率較低.近年來(lái)，在XSS攻擊的檢測(cè)上開(kāi)始運(yùn)用人工智能的相關(guān)方法，如文獻(xiàn)[4]等建立了一種基于SVM支持向量機(jī)的XSS攻擊技術(shù)，該方法能提取最有辨識(shí)力的5維特征作為特征向量，然后采用支持向量機(jī)SVM進(jìn)行訓(xùn)練，利用SVM最終對(duì)攻擊進(jìn)行檢測(cè).文獻(xiàn)[5]提出了一種XSS漏洞檢測(cè)模型來(lái)降低漏報(bào)率并提高檢測(cè)效率，該模型主要包含5個(gè)部分：載荷單元生成、繞過(guò)規(guī)則選擇、試探載荷測(cè)試、試探單元組合測(cè)試以及載荷單元單獨(dú)測(cè)試.該模型能通過(guò)探針判斷檢測(cè)點(diǎn)是否發(fā)生漏洞，并根據(jù)測(cè)試結(jié)果來(lái)生成針對(duì)性的完整攻擊載荷.文獻(xiàn)[6]為了提高檢測(cè)精度，將攻擊檢測(cè)模型轉(zhuǎn)換為二分類(lèi)問(wèn)題，提出最大熵模型的XSS攻擊檢測(cè)模型，并利用預(yù)處理模塊對(duì)原始數(shù)據(jù)進(jìn)線(xiàn)規(guī)范化處理.

為了進(jìn)一步提高攻擊檢測(cè)的精度，本文提出了一種基于深度模型的XSS攻擊入侵檢測(cè)模型，利用Resnet來(lái)作為入侵檢測(cè)模型，將用戶(hù)的輸入作為Resnet的輸入，并將是否攻擊的結(jié)果作為網(wǎng)絡(luò)的輸出，從而實(shí)現(xiàn)端到端的輸出，避免手工設(shè)計(jì)特征而帶來(lái)的診斷精度降低的問(wèn)題。

1 XSS攻擊概述

XSS的攻擊類(lèi)型可以分為反射型XSS、存儲(chǔ)型XSS和DOM-Based XSS，其中，反射型XSS也稱(chēng)為非持久性XSS，攻擊者通過(guò)在URL上添加惡意的JavaScript代碼，當(dāng)用戶(hù)點(diǎn)擊該URL時(shí)，會(huì)導(dǎo)致腳本代碼的發(fā)生；存儲(chǔ)型XSS是一種持久性XSS攻擊，攻擊者將惡意代碼附加在服務(wù)器上，當(dāng)用戶(hù)訪(fǎng)問(wèn)服務(wù)器上的數(shù)據(jù)時(shí)候就會(huì)導(dǎo)致JavaScript代碼的發(fā)生，這類(lèi)攻擊主要出現(xiàn)在BBS的網(wǎng)站評(píng)論上.Dom-Based XSS是一種基于DOM文檔對(duì)象模型的漏洞類(lèi)型，通常該類(lèi)攻擊也是存在于服務(wù)器上.

2 基于Resnet模型的XSS攻擊模型設(shè)計(jì)

2.1 Resnet

Resnet是一種通過(guò)最小化輸入和輸出之間的損失來(lái)學(xué)習(xí)模型的方法，該方法1*1和3*3的卷積核，由于參數(shù)較少，因此網(wǎng)絡(luò)的層數(shù)可以很多.該網(wǎng)絡(luò)獲得了2015年的ImageNet比賽的冠軍，將圖像識(shí)別的錯(cuò)誤率降低到了3.57%，但其僅僅需要100M的存儲(chǔ)空間，整個(gè)網(wǎng)絡(luò)都由殘差模塊堆疊而成，每個(gè)殘余結(jié)構(gòu)如圖1所示.

在圖1所示的殘差模塊中，主要包含了兩個(gè)3*3的卷積模塊，σ表示Relu激活函數(shù)，該殘余模塊的第一層中，其輸出為：

F(X)=W2σ(W1X).

(1)

其中，W1和W2分別表示第一層和第二層的權(quán)值矩陣，X為相應(yīng)的輸入.

網(wǎng)絡(luò)的最終輸出為：

F(X)=F(X,{Wi})+WsX.

(2)

2.2 基于Resnet的XSS攻擊入侵檢測(cè)方法

本文提出用于XSS攻擊的檢測(cè)模型，就是采用圖1所示的殘差模塊堆疊而成，形成Resnet50，2個(gè)全連接層的神經(jīng)元數(shù)量分別為4 096.由于網(wǎng)絡(luò)模型的輸出僅需要判斷XSS類(lèi)攻擊類(lèi)型，因此輸出端神經(jīng)元的數(shù)量為1，即輸出端為0時(shí)表示不發(fā)生任何攻擊，當(dāng)輸出端為1時(shí)表示發(fā)生攻擊，為所有需要檢測(cè)的數(shù)據(jù)進(jìn)行預(yù)處理，即首先對(duì)數(shù)據(jù)進(jìn)行標(biāo)記，從而使得數(shù)據(jù)是有標(biāo)簽的，然后對(duì)數(shù)據(jù)的所有維度進(jìn)行格式化處理，使得所有數(shù)據(jù)均帶有一定的噪聲，從而提高模型的泛化能力.然后對(duì)整個(gè)數(shù)據(jù)集進(jìn)行劃分，分為訓(xùn)練樣本集和測(cè)試樣本集.

圖1 殘余模塊圖2 基于Resnet的結(jié)構(gòu)描述

2.3 改進(jìn)的池化方法

由于Relu函數(shù)輸出的最小值為0，因此，輸出值均值往往大于0，當(dāng)激活值大于0時(shí)，會(huì)傳播一個(gè)偏置給下一層，如果激活值之間不相互抵消的話(huà)，會(huì)導(dǎo)致下一層有較大的偏置變換.因此，當(dāng)層數(shù)越多時(shí)，偏置變換越大.Elu函數(shù)則允許負(fù)數(shù)值，從而使得讓單元激活均值接近1，從而保證在狀態(tài)未激活的情況下，對(duì)噪聲具有較大的魯棒性.Elu函數(shù)的表達(dá)式如下所示：

(3)

Elu的函數(shù)的微分可以表示為：

(4)

從公式(3)可以看出，當(dāng)自變量大于0時(shí)，就輸入自變量x本身，當(dāng)自變量x小于0時(shí)，激活值為負(fù)數(shù)，而且導(dǎo)數(shù)不為0.Elu函數(shù)具有兩個(gè)優(yōu)點(diǎn)：即將輸入的自變量的激活值控制在0，同時(shí)使得激活函數(shù)的負(fù)數(shù)值也可以被使用.

3 仿真實(shí)驗(yàn)

為了驗(yàn)證本文方法的優(yōu)越性，采用不同的XSS漏洞平臺(tái)進(jìn)行測(cè)試，即IBM AltoroMutual、Cenzic CrackMeBank和DVWA.其中，IBM AltoroMutual是一種為了測(cè)試IBM APPSCAN的WEB應(yīng)用程序，采C++語(yǔ)言進(jìn)行編寫(xiě)，用于測(cè)試黑盒掃描器，其訪(fǎng)問(wèn)鏈接為http://demo.testfire.net/.Cenzic CrackMeBank是一個(gè)采用PHP語(yǔ)言的包含漏洞的網(wǎng)絡(luò)銀行應(yīng)用程序，專(zhuān)門(mén)用于對(duì)安全進(jìn)行測(cè)試，其訪(fǎng)問(wèn)鏈接為http://crackme.cenzic.com/.DVWA是一個(gè)采用PHP語(yǔ)言編寫(xiě)的用于對(duì)安全脆弱性進(jìn)行檢測(cè)的項(xiàng)目.

首先手收集樣本，對(duì)各漏洞平臺(tái)各選1 000個(gè)攻擊樣本，正常樣本則從Web服務(wù)器日志中選取.其中攻擊樣本為正樣本，而日志樣本則為負(fù)樣本.在1 000個(gè)攻擊樣本和1 000個(gè)日志樣本中各選出60%作為訓(xùn)練樣本，剩余的40%的樣本為測(cè)試樣本.

模型訓(xùn)練完后得到的損失如圖3所示：

為了評(píng)價(jià)本文提出模型對(duì)攻擊進(jìn)行檢測(cè)的檢測(cè)率，從準(zhǔn)確度、召回率2個(gè)指標(biāo)上對(duì)提出的方法進(jìn)行比較，這三個(gè)指標(biāo)的計(jì)算如下所示：

1)準(zhǔn)確率ACC表示預(yù)測(cè)正確的正樣本和負(fù)樣本占總的樣本數(shù)量.

(5)

2)召回率REC表示預(yù)測(cè)為正確的樣本占總的正樣本的比例：

(6)

其中，TN表示被判斷為負(fù)樣本的負(fù)樣本的數(shù)量，TP表示被判定為正樣本的正樣本的數(shù)量，F(xiàn)N表示被錯(cuò)誤判定為負(fù)樣本的正樣本的數(shù)量；FP表示被錯(cuò)誤判定為正樣本的負(fù)樣本的數(shù)量.

將文中所提出的方法與傳統(tǒng)的XSS-Filter和經(jīng)典的Resnet進(jìn)行比較，從圖4可以看出，文中所提出的方法具有較高的準(zhǔn)確率和召回率，較經(jīng)典的Resnet和XSS-Filter兩種方法在準(zhǔn)確率上分別提高0.86%和3.12%，而在召回率上則分別提高了0.38%和1.02%.相對(duì)于另外兩種方法，本文所提出的方法由于利用了深度模型，能學(xué)習(xí)到一個(gè)更好的參數(shù)，因此，具有更好的表示能力.

圖3 模型訓(xùn)練結(jié)果圖4 準(zhǔn)確率和召回率進(jìn)行比較

4 結(jié)語(yǔ)

為了實(shí)現(xiàn)XSS網(wǎng)絡(luò)攻擊的檢測(cè)，本文提出了一種基于改進(jìn)Resnet模型的XSS攻擊入侵模型，該模型在Resnet的基礎(chǔ)上加入了新的池化方法，使得整個(gè)網(wǎng)絡(luò)具有了更好的特征表示能力，從而在經(jīng)過(guò)全連接層后，能更好地對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè).為了驗(yàn)證所提出的方法的優(yōu)越性，將其應(yīng)用于IBM AltoroMutual、Cenzic CrackMeBank和DVWA漏洞程序進(jìn)行檢測(cè)，并與經(jīng)典的方法XSS-Filter以及Resnet進(jìn)行比較，結(jié)果表明本文所提出的方法具有較高的準(zhǔn)確率和召回率，具有較大的優(yōu)越性.