基于深度學習的Web注入行為實時檢測技術(shù)研究

◆邢光升 羅翰文

基于深度學習的Web注入行為實時檢測技術(shù)研究

◆邢光升 羅翰文

（中國人民解放軍國防科技大學 湖南 410000）

隨著基于Web環(huán)境的互聯(lián)網(wǎng)應(yīng)用越來越廣泛，Web攻擊的手段也越來越多樣，其中注入攻擊是Web安全領(lǐng)域中最常見的一種攻擊方式，本文提出一種基于深度學習的Web注入行為實時檢測模型，基于原始數(shù)據(jù)利用CNN網(wǎng)絡(luò)改造成的Web攻擊檢測網(wǎng)絡(luò)（WACNN）進行模型訓練并對模型進行在線實時加載檢測，取得良好效果。

Web注入；實時檢測；深度學習；WACNN

0 引言

隨著基于Web環(huán)境的互聯(lián)網(wǎng)應(yīng)用越來越廣泛，Web攻擊的手段也越來越多樣，注入攻擊是常見的一種攻擊方式，通過攻擊可以檢測相關(guān)環(huán)境參數(shù)和防護狀況，為下一步的攻擊和控制打下基礎(chǔ)。常見注入式攻擊有SQL注入攻擊和跨站腳本攻擊-XSS。SQL注入是指把攻擊代碼注入數(shù)據(jù)庫操作語句中，以探測或控制后端數(shù)據(jù)庫甚至操作系統(tǒng)。XSS 攻擊利用網(wǎng)站漏洞，把惡意代碼和腳本注入網(wǎng)頁中，瀏覽器會執(zhí)行惡意代碼腳本使用戶蒙受損失[1]。針對這兩類攻擊行為檢測，國內(nèi)外均有大量研究，但普遍需要花費大量時間分析提取攻擊行為和數(shù)據(jù)載荷特征。很多研究采用機器學習或者深度學習方法，主要分為兩類，一類是基于數(shù)據(jù)流相關(guān)特征進行提取分析，但需有一段時間積累才能進行分析，在復(fù)雜網(wǎng)絡(luò)環(huán)境下數(shù)據(jù)來源較多，對模型的計算能力要求較高。另一類是基于數(shù)據(jù)提取相關(guān)特征詞并轉(zhuǎn)換詞向量的方式進行分析檢測，可達到很高的準確率，但在分詞和詞向量轉(zhuǎn)換時會產(chǎn)生數(shù)據(jù)膨脹，不適用于流量較大且對檢測實時性要求較高的網(wǎng)絡(luò)環(huán)境。

本文提出一種基于深度學習的Web注入行為實時檢測模型。主要包括實時在線檢測模塊和模型訓練模塊。其中實時在線檢測模塊可以接入任何實時網(wǎng)絡(luò)環(huán)境中，基于數(shù)據(jù)包進行檢測分析[2]；模型訓練模塊主要是利用CNN網(wǎng)絡(luò)改造成的Web攻擊檢測網(wǎng)絡(luò)（WACNN）進行模型訓練。其運行架構(gòu)如圖1。

圖1 Web注入行為實時檢測模型

1 數(shù)據(jù)預(yù)處理

本文訓練數(shù)據(jù)主要來自Github基于關(guān)鍵詞搜索得到開源項目的數(shù)據(jù)樣本以及對常用注入攻擊工具實時抓包分析提取得到的數(shù)據(jù)樣本[3]。我們對兩類數(shù)據(jù)樣本以及對照樣本進行特征研究，并將樣本轉(zhuǎn)換生成20×20灰度圖，可以看到樣本之間在細微特征上存在一定差異，且兩類攻擊樣本均有高頻特征詞，高頻特征詞統(tǒng)計如表1：

表1 樣本高頻詞統(tǒng)計表

訓練樣本需要對長度統(tǒng)一化，同時在所有長度進行統(tǒng)一化時每條樣本中應(yīng)包含一個以上高頻詞。由于XSS異常操作種類很多，XSS樣本需以“alert”為基準對前序數(shù)據(jù)做長度統(tǒng)一化。然后將SQL注入樣本、XSS樣本分別與對照樣本按比例進行混合標簽，將樣本按照比例分成訓練集和測試集，并轉(zhuǎn)換成tensorflow能夠高效讀取的tfrecord格式。

2 WACNN模型與檢測框架設(shè)計

WACNN是一種一維CNN模型，由兩個卷積層，兩個池化層，一個全連接層，一個softmax層組成[4]。輸入是一維數(shù)組，基于數(shù)據(jù)編碼作為訓練向量，即每個字節(jié)數(shù)據(jù)轉(zhuǎn)換為ASCII編碼值，并做歸一化操作使值在0-1之間。分別對SQL注入樣本和XSS樣本進行訓練，得到兩個檢測模型。本文中模型實現(xiàn)使用tensorflow-1.4，python3.5實現(xiàn)。在訓練中，模型采用Relu激活函數(shù)，利用Adam算法對參數(shù)進行反向傳播優(yōu)化，為提高準確度，采用Dropout策略，參數(shù)為0.5，使每輪訓練中一半神經(jīng)網(wǎng)絡(luò)單元失效，防止產(chǎn)生過擬合[5]。

實時檢測模塊可串接在網(wǎng)絡(luò)節(jié)點之前，對網(wǎng)絡(luò)數(shù)據(jù)進行實時檢測，其數(shù)據(jù)采集模塊可采用winpcap、libpcap等數(shù)據(jù)采集庫。本文采取數(shù)據(jù)拷貝的方法對實時數(shù)據(jù)流進行檢測，數(shù)據(jù)流首先經(jīng)過高頻字匹配過濾與分流模塊，將可疑的數(shù)據(jù)包分別拷貝至相應(yīng)的緩沖區(qū)，然后發(fā)送至SQL注入檢測模塊和XSS檢測模塊中，輸出最終檢測結(jié)果及相關(guān)數(shù)據(jù)包信息。檢測模塊定時加載最新參數(shù)用于數(shù)據(jù)檢測，同時可將可疑數(shù)據(jù)包輸出到人工判別標注模塊，通過人工判斷打標簽來豐富樣本庫。

3 實驗結(jié)果

本文基于測試集進行測試，并且通過常用注入工具采集數(shù)據(jù)進行實時在線模擬。實驗結(jié)果可看出，模型檢測準確率較高，在模擬千兆網(wǎng)流量環(huán)境下，整個檢測模塊運行正常，如表2。

表2 實驗結(jié)果

[1]陳煒.基于手工SQL注入的Web滲透測試技術(shù)研究[D].中北大學.2015.

[2]蔡洪民,王慶香.基于深度學習的入侵檢測技術(shù)研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用.2017(11):62-64.

[3]武飛,曾凡平,張輝,董齊興.數(shù)據(jù)流應(yīng)用層載荷特征正則表達式的自動提取[J].小型微型計算機系統(tǒng).2014(8):6.

[4]陳耀丹,王連明.基于卷積神經(jīng)網(wǎng)絡(luò)的人臉識別方法[J].東北師大學報（自然科學版）.2016(2):70-76.

[5]傅建明，黎琳，王應(yīng)軍.基于 CNN 的Webshell 文件檢測[J].鄭州大學學報(理學版).2018.