一種基于XSS攻擊防御的安全CDN研究

◆錢銘銘 康錦濤 陳舟寧

（三江學(xué)院計算機科學(xué)與工程學(xué)院 江蘇 210012）

一種基于XSS攻擊防御的安全CDN研究

◆錢銘銘 康錦濤 陳舟寧

（三江學(xué)院計算機科學(xué)與工程學(xué)院 江蘇 210012）

本文提出了一種安全CDN解決方案，主要針對XSS攻擊進行防御，通過對現(xiàn)有的CDN系統(tǒng)進行改進，對流經(jīng)CDN服務(wù)器的數(shù)據(jù)流量進行安全監(jiān)測，將安全的評估方在 CDN服務(wù)器上，實時分析流量中存在的安全威脅，并通過云計算技術(shù)與態(tài)勢感知技術(shù)將安全威脅與安全防御可視化，并對安全事件做出決策。

XSS攻擊；XSS防御；CDN；安全CDN

0 引言

互聯(lián)網(wǎng)飛速發(fā)展在為人類帶來種種便利的同時，也帶來了諸多安全問題，近年來，網(wǎng)絡(luò)安全形勢不斷嚴峻，國內(nèi)外重大安全事件頻頻出現(xiàn)，為了保障網(wǎng)絡(luò)安全、維護國家利益、推動信息化的發(fā)展，2014年2月27日，中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組成立，習(xí)近平主席擔(dān)任組長。隨著國家網(wǎng)絡(luò)安全戰(zhàn)略的實施，人們對網(wǎng)絡(luò)安全越來越重視，部分安全機構(gòu)推出了各類安全解決方案，已經(jīng)應(yīng)用在網(wǎng)絡(luò)安全的各個領(lǐng)域。

跨站腳本 (Cross-Site Scripting，XSS) 攻擊是一種經(jīng)常出現(xiàn)在應(yīng)用程序中的計算機安全漏洞，是由于應(yīng)用程序?qū)τ脩舻妮斎脒^濾不足而產(chǎn)生的。攻擊者利用網(wǎng)站漏洞把惡意的腳本代碼（通常包括客戶端JavaScript腳本代碼）注入到網(wǎng)頁中，當其他用戶瀏覽器訪問這些網(wǎng)頁時，就會執(zhí)行其中的惡意代碼，對受害者可能采取資料竊取、會話劫持、釣魚欺騙等各種攻擊。隨著Html5技術(shù)的成熟，越來越多的網(wǎng)站和移動應(yīng)用開始使用更加高級的前端技術(shù)，XSS攻擊也在逐年升級。從2007年至今，在OWASP統(tǒng)計的所有網(wǎng)絡(luò)安全威脅中，跨站腳本攻擊無論是嚴重性還是普遍性都穩(wěn)居前三的位置。

1 安全CDN技術(shù)

目前已有的解決方案有如下幾類：

（1）服務(wù)器端防御

服務(wù)器通常是Web服務(wù)器，在服務(wù)器端對用戶的連接請求進行分析過濾，對危險的標簽與符號進行轉(zhuǎn)義，從源頭封堵XSS攻擊，但大多數(shù)程序員沒有安全知識，軟件測試人員也僅僅根據(jù)標準化測試方法進行測試，在軟件開發(fā)過程中并無安全人員參與，所以無法對Web程序進行整體評估，造成漏洞的產(chǎn)生。近年來，百度貼吧，騰訊郵箱，新浪微博等著名的互聯(lián)網(wǎng)平臺都爆出XSS漏洞，可見僅靠Web程序安全的做法無法達到顯著的效果。

（2）客戶端防御

2006年，E.Kirda等人首次提出了Noxes客戶端防御解決方案0，它分析瀏覽過的頁面中的超鏈接，阻止不可信的訪問，防止敏感信息泄露的可能。目前大多數(shù)客戶端防御通過瀏覽器對XSS請求進行過濾器，使惡意代碼無法在瀏覽器中執(zhí)行，其中Chrome、IE11等針對XSS過濾較為強大，但仍無法徹底防御人為XSS攻擊，惡意腳本和普通腳本也沒有明顯的界限計算機系統(tǒng)難以分辨。

（3）專用安全設(shè)備防御

專用安全設(shè)備通常是網(wǎng)絡(luò)應(yīng)用防火墻 (Web Application Firewall，WAF)，其中分為硬件防火墻與軟件防火墻兩個類別。硬件防火墻主要以綠盟、啟明星辰等安全公司為產(chǎn)品代表，在網(wǎng)關(guān)處進行部署，對流量進行全面審查可以達到比較理想的效果，但此類產(chǎn)品價格一般較高，主要應(yīng)用在大型網(wǎng)絡(luò)企業(yè)，一般的中小型企業(yè)難以承受。軟件防火墻，典型代表是安全狗(safedog)，但是安全狗作為軟件系統(tǒng)需要占用大量服務(wù)器本身硬件資源，用戶流量越大系統(tǒng)資源占有率就越高，這對于中小企業(yè)的服務(wù)器壓力較大，而且用戶普遍反映安全狗誤報率也較高，沒有智能分析的能力，僅依靠規(guī)則進行匹配，雖然能解決部分攻擊問題，但安全狗自身軟件的安全風(fēng)險也存在，所以也不是一個優(yōu)秀的防御方案。

（4）安全CDN服務(wù)防御

安全CDN服務(wù)的發(fā)展取決于云計算技術(shù)的成熟，目前眾多安全廠商推出了CDN服務(wù)，如：安全寶、加速樂、360網(wǎng)站衛(wèi)士等，通過分布在各地的CDN服務(wù)器對流經(jīng)網(wǎng)站的流量進行檢測，對異常流量進行清洗，通過負載均衡技術(shù)，將請求會均衡地分配到附近的CDN服務(wù)器上使得單個服務(wù)器網(wǎng)絡(luò)流量壓力不大，可以實現(xiàn)網(wǎng)絡(luò)訪問的加速功能，但是傳統(tǒng)CDN服務(wù)只負責(zé)存儲、緩存和轉(zhuǎn)發(fā)，其本身的運算資源難以發(fā)揮。

本文主要研究一種安全CDN解決方案，通過對現(xiàn)有的CDN系統(tǒng)進行改進，對流經(jīng)CDN服務(wù)器的數(shù)據(jù)流量進行安全監(jiān)測，將安全的評估放在CDN服務(wù)器上，實時分析流量中存在的安全威脅，并通過云計算技術(shù)與態(tài)勢感知技術(shù)將安全威脅與安全防御可視化，并對安全事件做出決策。

2 安全CDN系統(tǒng)總體方案設(shè)計

2.1 系統(tǒng)總體結(jié)構(gòu)

系統(tǒng)總體結(jié)構(gòu)主要由 CDN服務(wù)器和云服務(wù)器構(gòu)成，如圖1所示：

圖1 安全CDN解決方案圖

根據(jù)系統(tǒng)整體解決方案設(shè)計了幾個模塊分別為：CDN服務(wù)器，可疑請求判斷模塊、反向代理模塊；云服務(wù)器；態(tài)勢感知模塊；請求分析模塊；請求過濾模塊；日志模塊。

CDN服務(wù)器，可疑請求判斷模塊、反向代理模塊：主要對用戶訪問的請求進行判斷，如果請求可疑則提交云服務(wù)器進行分析。擬使用NginxServer和Python語言實現(xiàn)，使用Lua與C語言模塊為Nginx編寫擴展，在反向代理中判斷是否為可疑請求，將可疑請求發(fā)送至云服務(wù)器，根據(jù)云服務(wù)器反饋結(jié)果完成對應(yīng)操作。

態(tài)勢感知模塊：運用網(wǎng)絡(luò)態(tài)勢感知技術(shù)將網(wǎng)絡(luò)設(shè)備運行狀況、網(wǎng)絡(luò)行為以及用戶行為進行整體分析，對能夠引起網(wǎng)絡(luò)態(tài)勢發(fā)生變化的所有安全要素進行獲取、理解、顯示，將新型威脅行為進行提取，對安全威脅等級進行評估，構(gòu)建新態(tài)勢感知庫。此操作主要對日志數(shù)據(jù)進行分析，對數(shù)據(jù)進行整體處理結(jié)合用戶的行為進行判斷，并將數(shù)據(jù)生成狀態(tài)視圖。

請求分析模塊：主要負責(zé)安全威脅檢測和安全威脅等級評定。此模塊涉及到系統(tǒng)底層操作，擬采用C/C++語言開發(fā)，將請求報文中的GET/POST內(nèi)容進行拆解、分析，檢測出潛在的安全威脅，并評定威脅等級，將結(jié)果反饋給服務(wù)器，等待下一步處理。

請求過濾模塊：根據(jù)請求分析模塊進行結(jié)果分析，對危險的字段、操作行為進行過濾、轉(zhuǎn)義等操作，將安全的結(jié)果輸出，返回給服務(wù)器。

日志模塊：將所有的威脅與分析結(jié)果進行存儲。

2.2 系統(tǒng)工作流程

主要業(yè)務(wù)流程如圖2：

圖2 主要業(yè)務(wù)流程圖

首先客戶向CDN服務(wù)器發(fā)送HTTP請求，CDN服務(wù)器接受到請求后，將請求初步判斷，篩選是否為可疑威脅（一些特殊字符組合、JavaScript函數(shù)等）提交云服務(wù)器進行分析，若不存在可疑威脅，則直接將請求使用反向代理方式轉(zhuǎn)發(fā)給WEB服務(wù)器。

云服務(wù)器經(jīng)過二次分析后，判斷為無威脅則通告WEB服務(wù)器此內(nèi)容放行，有威脅則要調(diào)用態(tài)勢感知庫進行深度分析，判定威脅等級，根據(jù)對不同的威脅做出不同的決策。如果經(jīng)過分析后認為是入侵行為，立即通告CDN服務(wù)器終止此次訪問連接；若判定為用戶誤操作行為，則將危險代碼轉(zhuǎn)義、替換后返回給CDN服務(wù)器，再由CDN服務(wù)器提交WEB服務(wù)器。

所有的操作均記錄到日志系統(tǒng)，云服務(wù)器上的態(tài)勢感知模塊定期對日志系統(tǒng)進行評估，提取相關(guān)特征信息，將分析結(jié)果會存入態(tài)勢感知數(shù)據(jù)庫中，并對新型威脅設(shè)置相應(yīng)等級以供下次請求決策，詳細結(jié)果通過圖表、分析報告等形式呈現(xiàn)。

（1）將云計算與傳統(tǒng)的CDN服務(wù)融合，使之在網(wǎng)絡(luò)攻擊防御方面產(chǎn)生良好的效果。

開發(fā)人員為了防止XSS攻擊，一般直接使用編程語言的替換函數(shù)將危險字符轉(zhuǎn)義或過濾，但 Web服務(wù)器只是機械性的針對預(yù)定義的關(guān)鍵字進行替換，無法將攻擊行為反饋給用戶。而傳統(tǒng)的WAF、安全CDN檢測到潛在風(fēng)險后則會直接丟棄該請求，可能影響正常用戶的體驗。本項目結(jié)合直接過濾與檢測并丟棄兩種技術(shù)的優(yōu)點，先檢測，后針對性進行過濾或轉(zhuǎn)義，不影響正常用戶行為，而攻擊指令則被無效化。

（2）將用戶的真實主機地址進行隱藏，用戶、攻擊者與云安全 CDN服務(wù)器構(gòu)成一個環(huán)路，避免用戶和攻擊者直接碰面，更好的保護用戶服務(wù)隱私。

用戶訪問一個域名時，DNS(Domain Name System)把域名解析成了CDN服務(wù)器的地址，CDN服務(wù)器去獲取用戶請求的網(wǎng)站的內(nèi)容，并且檢查該網(wǎng)站內(nèi)容有沒有存在威脅的因素。經(jīng)過檢查后，判斷沒有存在威脅再去向原服務(wù)器請求內(nèi)容返還給用戶。在這個過程中，有效地將用戶的真實主機地址隱藏了起來，避免了用戶與攻擊者的直接接觸，更好地保護用戶服務(wù)隱私。

（3）提供可視化攻擊日志

目前，已有CDN雖然也可以提供一定的可視化圖表，但缺乏對威脅的分析與預(yù)警功能。云服務(wù)器作為CDN節(jié)點的中樞，同時負責(zé)維護可疑請求日志，利用態(tài)勢感知技術(shù)，從海量日志數(shù)據(jù)中進行分析，對危險的請求進行過濾，感知新型威脅行為，利用云強大的數(shù)據(jù)處理能力將安全威脅用可視化的方式呈現(xiàn)給用戶。

3 系統(tǒng)實現(xiàn)

3.1 總體實現(xiàn)

圖3 基于云的安全CDN架構(gòu)圖

本系統(tǒng)于傳統(tǒng)CDN架構(gòu)中加入云計算技術(shù)，為WEB安全提供了一種新的解決方案。用戶向 CDN服務(wù)器發(fā)送請求后，CDN服務(wù)器初步判斷請求是否含有可疑內(nèi)容，提交給云服務(wù)器進行處理。在此架構(gòu)中，CDN服務(wù)器只負責(zé)初步的判斷，詳細的分析策略則部署在云端，系統(tǒng)管理員可以在云服務(wù)器上定義安全策略，若使用傳統(tǒng)的安全CDN體系架構(gòu)，則需要向每臺服務(wù)器分別下發(fā)安全策略。

OpenResty是基于Lua語言與Nginx的Web服務(wù)器。他支持Nginx的所有功能，并且支持使用Lua編寫擴展模塊。為實現(xiàn)本系統(tǒng)，采用OpenResty作為反向代理服務(wù)器，并通過Lua擴展調(diào)用可疑請求判斷模塊。為保證可疑請求判斷模塊、請求分析模塊在大流量、高并發(fā)環(huán)境下的處理效率，代碼完全使用C語言進行開發(fā)。日志記錄模塊采用Mysql數(shù)據(jù)庫完成日志記錄，日志記錄主要包括用戶請求鏈接、源IP、目的網(wǎng)站、請求時間、威脅等級、攻擊向量、用戶瀏覽器特征等內(nèi)容。態(tài)勢感知系統(tǒng)采用B/S架構(gòu)設(shè)計使用了一系列的統(tǒng)計算法，攻擊行為與攻擊特征聯(lián)系起來，并將結(jié)果輸出為JSON，傳輸?shù)綖g覽器端。瀏覽器解析JSON后生成對應(yīng)圖表，使用HTML5與CSS3實現(xiàn)數(shù)據(jù)可視化，使得用戶可以無需安裝任何客戶端程序，直接在瀏覽器中獲得直觀的數(shù)據(jù)體驗。

3.2 主要功能模塊實現(xiàn)

（1）反向代理模塊實現(xiàn)過程

反向代理需要對接收到的請求進行判斷與分流，在請求進入服務(wù)器處理流程時，Nginx將訪問控制權(quán)交給請求判斷模塊。配置文件如下：

http {

server {

listen 80;//配置反向代理監(jiān)聽端口

location / {

default_type text/html;//配置返回類型

access_by_lua_filerequest_judge.lua;//將頁面訪問控制權(quán)交給判斷模塊

proxy_passhttp://target-site.com/;//將請求傳遞給目標網(wǎng)站

}

}

當請求被傳遞到請求判斷模塊（request_judge.lua）后，請求判斷模塊會讀取出請求中的url、源IP、請求體、請求參數(shù)等信息，并調(diào)用C語言編寫的可疑請求判斷模塊對用戶傳入?yún)?shù)的威脅程度進行初步打分。分值范圍為0-5，若大于0分，則將請求信息以JSON的方式傳遞給后端服務(wù)器進行判斷，后端云服務(wù)器判斷完成后會返回結(jié)果，并根據(jù)結(jié)果執(zhí)行阻斷或放行的操作。

（2）可疑請求判斷模塊實現(xiàn)過程

可疑請求判斷模塊每秒將處理大量數(shù)據(jù)，作為一個CPU-bound(計算密集型)的程序，如何提高效率是實現(xiàn)該模塊的關(guān)鍵點。

針對檢索效率問題，基于DFA（Deterministic Finite Automaton）理論的Trie樹可以說是一種快速而又高效的解決方案。

在此給出trie樹相關(guān)定義及原理：

Trie樹是一種數(shù)字查找樹，也是一種基于DFA理論的高效索引方式。在整個樹結(jié)構(gòu)中，每個節(jié)點對應(yīng)一種DFA狀態(tài)，每條從父節(jié)點指向子節(jié)點的邊對應(yīng)DFA的一個變化過程。

遍歷過程從根節(jié)點開始，依據(jù)目標字符串中的字符，依次確定下一個狀態(tài)的位置。如果在目標字符串中的字符用盡之前匹配到葉節(jié)點，則搜索成功并結(jié)束搜索；否則表示搜索失敗。并且Trie樹的搜索靈活性也很高，通過跳過目標字符串中的特定字符可以做到不受輕微的拼寫錯誤影響，但考慮到安全問題，這個特性意義并不大。

關(guān)于Trie樹使用的主要方法有創(chuàng)建字典樹、插入節(jié)點元素、返回Trie中某一節(jié)點被添加的次數(shù)、對數(shù)字字典樹按實際數(shù)值大小排序即廣度優(yōu)先搜索……

但是由于樸素Trie樹結(jié)構(gòu)稀疏，會造成服務(wù)器運算、存儲資源的極大浪費。

本項目使用DAT（Double Array Trie）算法進行流量審查，在此對DAT的原理及其狀態(tài)轉(zhuǎn)移過程進行舉例說明：

假設(shè)有一段用戶輸入：I'm a aa hack hacker

生成的DFA圖如圖4：

圖4 生成的DFA圖

上圖經(jīng)過簡化，圖中每個節(jié)點代表一個“狀態(tài)”，每條邊代表一個“變量”，從一個節(jié)點到下一個節(jié)點的轉(zhuǎn)變稱為“狀態(tài)轉(zhuǎn)移”。狀態(tài)轉(zhuǎn)移機制將傳統(tǒng)的文本正則檢索轉(zhuǎn)變?yōu)閷顟B(tài)的操作，通過對狀態(tài)的記錄與處理，極大地提升了匹配效率與精準度，節(jié)省了服務(wù)器運算資源、存儲空間，對類regex-DDOS攻擊也有較好的緩解作用。

以下說明DAT的狀態(tài)轉(zhuǎn)變過程：

圖5 DFA的狀態(tài)轉(zhuǎn)變過程圖

如圖5所示，在輸入字符c從狀態(tài)s到t的轉(zhuǎn)變過程中，轉(zhuǎn)變前的狀態(tài)（s）被保存在check數(shù)組中，即check[t] = s，這就是DAT的狀態(tài)轉(zhuǎn)變過程。與Tripple-Array Trie相比，將base與next合并為base節(jié)省了空間，同時增強了算法局部性，提高了效率。

根據(jù)上述過程，可以得到如下偽代碼：

t := base[s] + c;

if check[t] = s then

next state := t

else

fail

endif

check數(shù)組中保存的是某個狀態(tài)（s）的前一個狀態(tài)（t），base數(shù)組的index是DFA中的狀態(tài)號，base[s]保存的是狀態(tài)s尋找下一個狀態(tài)時的offset，offset用于尋找后續(xù)的可用內(nèi)存空間。在s狀態(tài)下輸入一個字符，根據(jù)base[s]處保存的offset和輸入字符編碼將狀態(tài)轉(zhuǎn)移到t。

當算法檢測到危險關(guān)鍵字（如雙引號，成對出現(xiàn)的尖括號，script關(guān)鍵字等）則對響應(yīng)危險關(guān)鍵字進行風(fēng)險評估打分，并返回結(jié)果給反向代理模塊處理。

（3）請求分析模塊實現(xiàn)過程

云服務(wù)器上運行著請求分析模塊，負責(zé)判斷請求是否為XSS。請求分析模塊擯棄了基于規(guī)則的XSS防御方式，而是基于HTML語義對內(nèi)容進行分析與判斷，大大降低了誤報率與漏報率。請求分析模塊在發(fā)現(xiàn)HTML標簽后，首先會對HTML語義進行分析，解析出HTML標簽的標簽名、屬性名、屬性值等。解析完成后，會對各個屬性進行關(guān)聯(lián)分析。例如在標簽中出現(xiàn)了onload屬性，該屬性的值不為空，則為XSS。因為該屬性會在頁面載入完成后執(zhí)行屬性值中的代碼。在完成判斷分析后，將結(jié)果返回給CDN服務(wù)器。

4 實驗分析

系統(tǒng)完成后對該系統(tǒng)進行了實驗，以某網(wǎng)站作為 CDN的源站。在參數(shù)中輸入對攻擊向量進行測試，檢測該系統(tǒng)的誤報率與漏報率。測試使用真實生產(chǎn)環(huán)境環(huán)境下記錄的攻擊向量，隨機抽取1000條使用該系統(tǒng)進行測試，記錄誤報率與漏報率。并針對誤報結(jié)果和漏報結(jié)果進行優(yōu)化，結(jié)果如表1:

表1 漏報誤報趨勢表

在測試過程中，我們發(fā)現(xiàn)在生產(chǎn)環(huán)境數(shù)據(jù)中經(jīng)常會遇到XML(擴展標記語言)形式的數(shù)據(jù)，而XML與HTML語法相近，導(dǎo)致了大量誤報的產(chǎn)生。針對這個問題，對檢測算法進行了優(yōu)化，單獨解析XML文檔內(nèi)容，并在解析后判斷是否存在XSS，大大降低了誤報率。

經(jīng)過對規(guī)則與算法的數(shù)次優(yōu)化，誤報率與漏報率均降低到了10%以下。

5 結(jié)束語

本文以普通網(wǎng)站所有者對安全防御的需求為切入點，對這個問題的解決方案進行了探究。WEB應(yīng)用防火墻與CDN技術(shù)都是較為成熟的技術(shù)，然而在探究的過程中，我們發(fā)現(xiàn)二者的結(jié)合并不是那么簡單。安全+CDN解決了用戶的核心痛點。我們采用CDN服務(wù)器和云服務(wù)器相結(jié)合。其中，CDN服務(wù)器主要針對用戶訪問的請求進行判斷，將請求可疑提交至云服務(wù)器進行分析；云服務(wù)器則運用網(wǎng)絡(luò)態(tài)勢感知技術(shù)將網(wǎng)絡(luò)設(shè)備運行狀況、網(wǎng)絡(luò)行為以及用戶行為進行總體分析并采取相應(yīng)的措施去處理問題。我們的安全CDN通過分布在各地的CDN服務(wù)器對流經(jīng)CDN服務(wù)器的數(shù)據(jù)流量進行安全監(jiān)測，將安全的評估放在 CDN服務(wù)器上，實時分析流量中存在的安全威脅，并通過云計算技術(shù)與態(tài)勢感知技術(shù)將安全威脅與安全防御可視化，并對安全事件做出決策。同時用戶不用擔(dān)心網(wǎng)絡(luò)訪問的速度問題，因為我們安全 CDN通過負載均衡技術(shù)，將請求會均衡地分配到附近的 CDN服務(wù)器上，使得單個服務(wù)器網(wǎng)絡(luò)流量壓力不大，可以實現(xiàn)網(wǎng)絡(luò)訪問的加速功能。當然，這套系統(tǒng)的潛力不應(yīng)止步于此:在未來本系統(tǒng)的研究方向可以融入機器學(xué)習(xí)，把本系統(tǒng)與機器學(xué)習(xí)相結(jié)合，對用戶的請求行為進行建模，從而更好地實現(xiàn)安全防御。

[1]XSS跨站腳本攻擊剖析與防御[J].邱永華.中國科技信息，2013.

[2]章明，施勇，薛質(zhì).基于約束分析的跨站腳本防御方法研究[J].計算機工程與設(shè)計，2013.

[3]李冬萌.Web前端安全問題的分析與防范研究[D].北京郵電大學(xué)，2014.

[4]何銳，李艷，劉紅.基于CDN內(nèi)容分發(fā)的研究與應(yīng)用[J].通信技術(shù)，2011.

[5]王瑋.CDN內(nèi)容分發(fā)網(wǎng)絡(luò)優(yōu)化方法的研究[D].華中科技大學(xué)，2009.

[6]王曉尉.CDN網(wǎng)絡(luò)中多鏈路負載均衡流量管理技術(shù)分析與研究[J].電腦知識與技術(shù)，2012.

[7]The top 10 most critical web application security risks.Wichers D.Journal of Women s Health，2010.

[8]Kirda E,Kruegel C,Vigna G,et al.Noxes:a client-side solution for mitigating cross-site scripting attacks[C]//Proceedings of the 2006 ACM symposium on Applied computing.ACM，2006.