基于殘差網(wǎng)絡(luò)和GRU的XSS攻擊檢測方法

林雍博，凌 捷

廣東工業(yè)大學 計算機學院，廣州 510006

根據(jù)國家信息安全漏洞庫（CNNVD）機構(gòu)的統(tǒng)計，在2020年10月發(fā)布的漏洞類型分布中，XSS漏洞所占比例最大，約為8.89%[1]。XSS漏洞是由于Web服務(wù)端沒有對用戶輸入的信息進行足夠的檢查和過濾，從而導致了潛在的安全威脅。XSS漏洞從1996年誕生直至演變至今，雖然有許多專家提出了不少防御技術(shù)，例如防病毒軟件[2]、Web防火墻[3]和入侵檢測設(shè)備[4]等，但是XSS漏洞數(shù)量總體仍在上升，這說明隨著時代和技術(shù)的發(fā)展，XSS漏洞并沒有得到較好的控制。面對這種情況，雖然無法在源頭進行控制，但是可以在檢測方面進行加強。近來就有不少利用機器學習來進行XSS攻擊檢測的例子。例如，文獻[5]結(jié)合多層感知機（multilayer perceptron，MLP）較強學習能力和隱馬爾可夫模型（hidden Markov model，HMM）對于時間序列強大處理能力對XSS攻擊進行檢測，相比于傳統(tǒng)機器學習進一步提高了準確率。文獻[6]利用長短期記憶網(wǎng)絡(luò)（long short-term memory，LSTM）網(wǎng)絡(luò)來構(gòu)建XSS檢測模型，實驗結(jié)果表明，該方法能有效地進行XSS檢測中，但對于惡意混淆[7]的XSS檢測則還不夠準確。文獻[8-9]改進了基于支持向量機（support vector machine，SVM）分類器的XSS攻擊檢測技術(shù)，全面提取大量XSS樣本特征，尤其是變形XSS攻擊的特征，能夠改善傳統(tǒng)檢測方法的不足，但還是有不低的誤報率。

針對上述方法的不足，為了進一步改善檢測性能，提升檢測的準確率、效率和泛化能力，降低檢測的誤報率，本文提出了一種基于殘差網(wǎng)絡(luò)[10]和GRU（gate recurrent unit）的XSS攻擊檢測方法。

1 相關(guān)工作

XSS攻擊是一種注入類型的攻擊，通常指的是攻擊者利用網(wǎng)頁開發(fā)沒有對用戶提交數(shù)據(jù)進行轉(zhuǎn)義處理或者過濾的缺陷，將惡意指令代碼注入到網(wǎng)頁，使用戶加載并執(zhí)行的一種攻擊。當攻擊者使用網(wǎng)絡(luò)應(yīng)用程序向不同的終端用戶發(fā)送惡意代碼（通常以瀏覽器端腳本的形式）時，就會發(fā)生XSS攻擊。攻擊者可以使用XSS向毫無戒備的用戶發(fā)送惡意腳本，最終用戶的瀏覽器沒有辦法知道該腳本不應(yīng)該被信任，并會執(zhí)行該腳本。因為它認為腳本來自于可信的源頭，所以惡意腳本可以訪問瀏覽器保留的任何Cookies、會話令牌或其他敏感信息，并與該網(wǎng)站一起使用，從而導致敏感信息的泄露。

傳統(tǒng)的檢測XSS攻擊漏洞一般有兩種方式：（1）基于靜態(tài)分析的研究方法。這種方法是指在不運行程序源碼的情況下，對目標代碼進行分析，利用語義和詞法分析等多種方法，從邏輯結(jié)構(gòu)、數(shù)據(jù)處理過程等各方面對程序源碼進行掃描，得到程序源碼的反匯編代碼。然后對拆解后的代碼進行分析，挖掘程序源碼中存在的安全隱患。例如，Cui等[11]采用基于數(shù)據(jù)庫查詢的方法，利用Datalog描述XSS缺陷。從可能出現(xiàn)XSS安全缺陷的方法入手，對數(shù)據(jù)流進行逆向分析，判斷是否可以通過用戶輸入引入XSS缺陷來檢測。由于可能導致XSS缺陷的方法數(shù)量遠遠少于可能引入污點數(shù)據(jù)的方法，采用反向分析法可以減少需要分析的方法數(shù)量，從而大大提高靜態(tài)分析效率。（2）基于動態(tài)分析的研究方法。這種方法是通過模擬攻擊者對目標進行滲透測試的方法，首先將特定的攻擊腳本注入可疑注入點進行檢測，然后根據(jù)服務(wù)器的響應(yīng)結(jié)果判斷目標程序是否存在跨站腳本漏洞。動態(tài)分析法主要分為五個步驟：收集可疑注入點；生成一組攻擊腳本（即XSS payload）；滲透測試；分析響應(yīng)結(jié)果；生成分析報告。例如，文獻[12]提出一種新的基于動態(tài)分析的跨站腳本漏洞檢測模型，該方法根據(jù)負載單元的位置和功能類型，將攻擊負載分為多個負載單元，并制定組合成完整攻擊負載的規(guī)則。通過負載單元的組合測試和單獨測試，將負載單元與旁路規(guī)則的組合放入檢測點測試，并根據(jù)測試結(jié)果生成具有針對性的完整攻擊負載。實驗結(jié)果表明，該模型可以使用較少的測試請求來完成更多攻擊負載的測試，在有效降低漏報率的情況下，還能保持較高的檢測效率。此外，還可通過對用戶提交的數(shù)據(jù)進行審查過濾來達到防止XSS攻擊的作用。例如通過Web防火墻，設(shè)置白名單、黑名單等方式來進行防御，如對