針對HTTPS的HEIST攻擊及檢測技術研究

◆胡 悅 劉嘉勇 黃 誠

（四川大學電子信息學院 四川 610065）

針對HTTPS的HEIST攻擊及檢測技術研究

◆胡 悅 劉嘉勇 黃 誠

（四川大學電子信息學院 四川 610065）

通過分析HEIST攻擊的技術路線和實現方法，建立了HEIST攻擊威脅模型。該攻擊可以繞過HTTPS加密得到明文信息，影響巨大，并且現有WAF無法對其有效防御。本文提出了一種基于支持向量機的HEIST攻擊檢測方法。該方法從文本特征、統計特征和窗口特征三個角度對樣本數據進行特征提取，完成SVM選擇器訓練實現攻擊行為定位。在此基礎上完成了攻擊檢測實驗，實驗結果表明，該方法能及時準確定位HEIST攻擊行為，完成威脅感知。

HTTPS; HEIST; BREACH; 信息安全

0 前言

HTTPS是以安全為目標的HTTP通道，它通過SSL/TLS協議將網絡中傳輸的數據進行有效的加密。戴爾安全報告顯示，2015年第四季度全球HTTPS連接平均占網絡連接的64.6%[1]，這說明HTTPS方式已成為網絡連接的主流。但是HTTPS協議并不是完全安全的，常見的HTTPS攻擊方法有BEAST、Lucky-13、RC4 Biases、CRIME、BREACH等[2]。其中CRIME[3]和BREACH[4]都是利用數據壓縮來破解HTTPS加密數據的攻擊方式，不同的是CRIME的目標是SSL/TLS壓縮，BREACH的目標是HTTPS表頭壓縮。由于BREACH針對的是更廣泛被使用的壓縮方式，BREACH的影響也更為嚴重。此外，CRIME和BREACH都需要攻擊者監聽網絡流量來測量加密響應的大小[5]，使得這兩種攻擊都要借助中間人攻擊。

Mathy Vanhoef和Ven Goethem[7]發現的HEIST攻擊則能夠消除中間人攻擊的限制，因為HEIST可以利用TCP協議的特性來測量HTTPS響應信息的大小，大大降低了CRIME和BREACH攻擊的門檻。攻擊者只需要誘使目標用戶訪問一個惡意網站，結合HEIST和BREACH這兩種攻擊技術，就能從經過加密的響應數據中提取并解密郵箱地址等其他用戶隱私數據，對用戶信息安全帶來極大的威脅。目前，在HEIST攻擊防范上只有禁用第三方cookie，但是這種方式會使網頁在線服務無法正常運行。針對上述情況，文本建立了HEIST攻擊威脅模型，根據威脅模型設計了一種HEIST攻擊檢測系統，通過對服務器日志和流量的分析，從文本特征、統計特征、窗口特征三個角度來檢測HEIST攻擊，有助于提升Web系統安全性。

1 相關知識

1.1 HEIST攻擊

HEIST是HTTPS上的一種旁路攻擊方式，其工作原理是通過破解TCP上的HTTPS響應方法來測量HTTPS響應的長度。HEIST攻擊主要利用Service Workers[8]引入的Fecth API和Resource Timing API來實現。

Fecth API通過fetch（）可以獲取任何資源，包括身份驗證方式下的跨域，能夠打破同源策略的限制，讀出跨域請求的響應。Fetch API與Promise一起工作，對遠程資源發起的請求會返回一個Promise對象。在TCP握手和SSL/TLS協商過后，瀏覽器向服務器發送GET或POST請求，然后等待服務器的響應，當瀏覽器當接收到第一個字節的響應數據后，Promise對象根據fetch（）的結果可以resolve或者fail，并且可以訪問Response對象，這時候Response對象仍然有數據流入，使瀏覽器可以在完全下載之前開始處理響應。然而，在TCP層，若服務器響應報文大于最大傳輸單元（MSS），服務器會將響應拆分為多個TCP分組，這些分組會根據TCP擁塞控制機制[9]來發送，發送的TCP窗口大小等于擁塞窗口的大小。若服務器傳送的數據大于擁塞窗口則需要分多次傳輸，即需要多個RTT時間完成數據的傳輸。圖1和圖2分別表示HTTP響應對應單個TCP窗口的時間抽和HTTP響應需要兩個TCP窗口的時間軸。

圖1 HTTP響應對應單個TCP窗口的時間軸

圖2 HTTP響應對應兩個TCP窗口的時間軸

Promise.resolve（）解析的時間與接收到初始擁塞窗口相符，知道資源何時被下載完成，就可以確定響應是在單個TCP窗口還是需要多個TCP窗口。瀏覽器獲取網頁時會對網頁中每一個對象（腳本文件、圖片等）發起一個HTTP請求，Resource Timing API中performance.getEntries方法會以數組形式返回這些請求的時間統計信息，資源完全接收時間為數組最后一項的responseEnd。圖3示例了JavaScript如何獲取第一次TCP返回時間和資源完全接收時間差，T1是第一次TCP返回的時間，T2是資源完全接收的時間。如果是單個TCP窗口，T2-T1通常在1ms以內，結果非常小。如果是多個TCP窗口，T2-T1隨著附加的往返時間會明顯增加很多。實際情況中，初始擁塞窗口的預定值通常為10MSS[10]，MSS的值為1460，響應小于還是大于初始擁塞窗口可以歸結為確定響應是小于還是大于約14kB。

很多時候請求的結果包含請求的參數，利用這一點，將響應分為兩個部分，一部分是想得到的實際大小，另外一部分是控制的請求參數，這里稱之為反射參數。反復調整反射參數，能夠得到第一次TCP返回的最大可能尺寸（對每個服務器來說一般是一個固定值），再減去HTTP和SSL/TLS的header的尺寸就可以得到響應大小。例如，反射參數是708字節的時候正好可以一次TCP請求返回，反射參數為709字節時，總響應需要兩個TCP窗口，則響應大小為10*1460（MSS）-528（HTTP響應報頭）-26（SSL/TLS頭）-708 = 13337字節。

圖3 第一次TCP返回時間和資源完全接收時間差代碼示例

HEIST利用兩個新的API得出目標主機發送的窗口數量，整個過程中通過一段JavaScript代碼來確定HTTPS響應信息的實際大小。然后，惡意HEIST代碼就可以配合BREACH攻擊來從用戶的請求數據中提取出加密信息。

1.2 BREACH攻擊

BREACH利用gzip壓縮還原HTTPS響應中的秘密信息，進行BREACH攻擊，必須滿足以下兩個條件:

（1）服務器響應能反映注入的額外數據;

（2）攻擊者能監聽網絡流量測量加密響應的大小。

BREACH攻擊思想是若注入的額外數據與秘密重復，gzip壓縮會更有效的壓縮響應信息，gzip的這種特性已被證明可以用來解密[4]（如CSRF tokens）。圖4為HTTPS請求和對應的響應報文的一部分，上面部分的HTTPS請求的URL參數會包含在下面HTTPS響應體中。

攻擊者可以利用惡意JavaScript代碼來控制用戶user參數中“CSRFtoken=”值，如果〈guess〉中第一個字符與CSRFtoken中相同，gzip能通過字符替換來使壓縮響應變小。反復改變和測量響應大小能夠一個一個猜解出CSRFtoken中的字符直到恢復整個秘密。

圖4 HTTPS請求和響應報文

猜測字符需要監聽網絡流量來測量加密響應的大小，之前要借助中間人攻擊，但是利用HEIST僅需在瀏覽器執行一段惡意Javascript代碼即可，BREACH攻擊同樣可以獲取網頁上的用戶的郵箱地址等隱私信息，使得BREACH攻擊能夠很輕松的被攻擊者利用，對HTTPS安全帶來極大的威脅。

2 HEIST威脅模型

威脅建模能對威脅和漏洞進行結構化的評估，將威脅建模方法應用到Web應用程序中，能夠充分理解和識別系統現存的威脅。根據這些威脅信息，就能夠采取適當的對策消除安全隱患，從而降低被攻擊的風險。

DFD是數據流程圖，能夠抽象性和概括性地描述信息流和數據在系統中流動和被處理的過程。根據HEIST攻擊定義的DFD威脅模型能有助于評估系統存在的HEIST攻擊隱患和對網站進行風險評估。本文站在受害者的角度，對HEIST攻擊建立DFD威脅標準模型，分兩層對HEIST攻擊進行分解，0級DFD說明攻擊的整個數據流向，1級DFD具體展現了HEIST和BREACH攻擊數據流。

圖5為0級HEIST攻擊DFD，表示受害者點擊惡意鏈接后，受害者的瀏覽器將提交惡意請求，HEIST攻擊利用惡意JavaScript讓受害者發送大量的HTTPS請求并分析猜解返回的HTTPS響應包直到獲取受害者的完整的秘密信息，如步驟1～7所示。1受害者訪問攻擊者網站，2攻擊者注入惡意JavaScript代碼，3受害者瀏覽器發送大量HTTP請求，4目標網站響應，5攻擊者根據返回時間得到響應大小，6攻擊者利用BREACH攻擊，7攻擊者得到受害者隱私信息。

圖5 HEIST攻擊0級DFD

圖6為HEIST攻擊1級DFD，攻擊者偽造惡意網站引誘用戶訪問就能夠實施HEIST攻擊。HEIST攻擊通過反射參數，根據返回響應包的時間差來判斷出正好符合一個TCP窗口的數據包，進而得到響應信息的大小。圖7為BREACH攻擊1級DFD，BREACH攻擊主要利用gzip壓縮特性來解密HTTPS響應包，并且HTTPS響應包要包含受害者發送的HTTPS請求參數。如果受害者登錄目標網站，并且BREACH攻擊猜解的信息中包含CSRFToken，能夠突破系統CSRF防御導致更嚴重的后果。

圖6 HEIST攻擊1級DFD

圖7 BREACH攻擊1級DFD

如上文所述，HEIST威脅模型精確描述了攻擊行為，攻擊者要進行HEIST攻擊，首先要對用戶釣魚或者發送垃圾郵件，并且用戶啟用JavaScript。這種只用通過惡意JavaScript代碼執行攻擊的方式，使用戶和系統很難采取有效的防御措施。HEIST攻擊使BREACH攻擊不再需要借助于中間人攻擊，大大降低了BREACH攻擊的門檻，而BREACH攻擊利用的是很多網站都會使用的gzip壓縮技術，使得Web應用在未來可能遭到頻繁的BREACH攻擊。

根據HEIST攻擊DFD威脅模型，可以總結歸納出HEIST攻擊的三個重要特征，有助于系統有效的發現和檢測HEIST攻擊。

（1）同一個IP地址集中請求同一個頁面:HEIST攻擊使目標用戶在一段時間內不停地向服務器發送請求，在日志統計中將表現出某個IP地址對某個頁面的請求數很高。

（2）HTTPS請求參數特征:BREACH攻擊會破解響應信息獲取用戶隱私信息，因此請求參數中會包含user、uid、csrftoken、cookie、.com等涉及敏感信息的字符。在日志分析中可以匹配這些特征字符分析。

（3）TCP窗口數量:HEIST攻擊利用TCP協議來竊取HTTPS加密信息，會根據TCP窗口數量來定位響應信息的大小，系統在流量監測方面可以依據擁塞窗口TCP分包來辨別。

3 HEIST攻擊檢測

3.1 方案設計

根據HEIST威脅模型設計了針對HEIST入侵檢測的方法，該方法根據攻擊的特征進行提取建立風險模型，如圖8所示。對日志文件和流量進行特征匹配，完成對HEIST攻擊感知和定位。

攻擊檢測模型分為日志分析模塊和流量分析模塊，對服務器當前狀態進行提取。日志分析模塊首先通過預處理模塊完成日志的格式化處理，以訪問時間為基準依次輸出，每一條訪問記錄保存為一維數組中間文件，數組元素包括請求時間，請求源IP、請求路徑，狀態碼。將格式化的中間文件分別傳入文本特征分析模塊和統計特征分析模塊。

圖8 攻擊檢測方法

3.2 文本特征分析

文本特征分析模塊通過風險模型的文本特征規則使用匹配器進行分析。對HEIST攻擊的行為特征進行提取構造特征圖，行為特征圖由特征點和特征邊組成。點和邊的特征主要由手工定義DFA得到。匹配器根據規則對輸入內容進行檢測，輸出風險值R。

點特征為單條日志訪問記錄中存儲的信息的內容特征，如權值為0.3的點特征規則r’@.*?..*?s’。命中該規則表明該條記錄使用了HEIST攻擊敏感參數。

邊特征為記錄多條數據之間的依賴關系的規則，分為兩類。第一類為用戶行為依賴邊，以日志記錄的IP字段為導向，進行邊匹配時，首先將同IP請求的路徑構造成一個時間軸對象，將源IP賦值給對象名，以時間順序建立鍵值對，鍵名為請求時間，鍵值為請求路徑。該對象記錄了單用戶在一定時間內的行為。依次將相鄰的多個鍵值對的值輸入匹配器，輸出命中的特征邊的序號和次數。如權值為0.7的規則r’（w*?.php?csrf=w*）[s|S]*?1w’，獲取參數內容長度逐步增長的請求行為。第二類邊為資源請求依賴邊，以服務器資源為導向構造對象，對象名為uri字段中頁面名稱，鍵值對建立和匹配方法由第一類特征邊類推。完成基礎規則定義后，使用大量攻擊日志對行為進行提取補充，增加點和邊的規則。具體規則和權值示例可見表1。

表1 文本特征權值參照表

分析器風險值計算公式如下:其中xij為點或邊的對應第j條規則是否命中的布爾值，pij為該規則的權值，N為特征點，C為特征邊為點和邊特征權值和。

3.3 統計特征分析

統計特征分析，主要考慮客戶端對服務器的請求頻率，通常正常的同一個客戶端在一段時間內對服務器的請求數量較低，而攻擊者控制的客戶端會向服務器發送大量的請求。根據HEIST攻擊的訪問頻次對單個IP的行為進行定位，頻率的計算公式如下:

3.4 窗口特征分析

HEIST攻擊會將大量數據字節注入到網絡，服務器會增大擁塞窗口以便把更多的分組響應包發送出去。對系統的擁塞窗口大小進行獲取，窗口分析程序輸出結果為一個布爾值C，表示指定時間范圍內擁塞窗口的變化情況，默認值為0，當擁塞窗口大小前后發生顯著增大后穩定現象時，將C置1。

3.5 判斷器

將分析模塊輸出的風險值f{R,P,C}置入判斷器，由于各分析模塊并非互不相干，因此在簡單空間模中無法快速進行結果判斷。本文選取SVM分類算法對風險值進行判定。

SVM算法將輸入空間映射到一個高維度空間，使樣本在該空間現性可分。算法筠連特征選取為上述三個風險值，本文使用libsvm和liblinear開源庫完成SVM，懲罰系數置為0.2，核函數選取如下:

4 實驗結果及分析

提取蜜罐獲取的HEIST攻擊特征與正常行為數據作為實驗數據，將數據2/3作為訓練數據，進行提取置入判斷器模型進行訓練。使用樣本剩余1/3作為實驗數據，測試服務器對防御系統進行檢測，根據SVM分類計算結果，輸出是否存在HEIST攻擊行為及存在攻擊行為的源IP。檢測結果節選如下:

表2 檢測結果表

實驗結果表明，該方法能有效的捕獲HEIST攻擊行為，現有的WAF產品暫時還沒有檢測HEIST攻擊的能力，因此未做對比試驗。由于訓練數據有限，選擇器的判斷能力存在提升空間。

5 結束語

本文首先闡述了HEIST攻擊原理，然后建立了HEIST攻擊威脅模型并提出了針對HEIST攻擊的檢測方法，對日志記錄的字段數據進行信息提取與分析處理，從文本特征、統計特征和窗口特征三個角度對HEIST攻擊行為進行判斷，通過多次實驗分析，證明了本文設計的HEIST攻擊檢測方法的可行性和有效性。

[1]戴爾安全年度威脅報告詳解,2016.http://server.51cto.co m/News-507030.htm.

[2]Sarkar.P.G,Fitzgerald.S:Attacks on SSL a comprehensive study of beast,crime,time,breach,lucky 13 and RC4 biases,201 3.https://www.isecpartners.com/media/106031/ssl_attack_survey. pdf（2014）.

[3]Tal Be’ery and Amichai Shulman:A perfect crime? onl y time will tell.Black Hat Europe,2013.

[4]Gluck.Y,Harris.N and Prado.A:BREACH:receiving the CRIME attack,2013.

[5]Guha Sarkar P:Modern Attacks on SSL/TLS:Let the BEAST of CRIME and TIME be not so LUCKY[J].Appsec Usa,2013.

[6]Goodin,Dan:HEIST expl — New attack steals SSNs,e mail addresses,and more from HTTPS pages,2016.

[7]M Vanhoef,TV Goethem:HEIST:HTTP Encrypted Info rmation can be Stolen through TCP-windows，2016.

[8]W3C.Service Workers.https://www.w3.org/TR/service -workers/,June 2015.

[9]M.Allman,V.Paxson,and E.Blanton.TCP Congestion Co ntrol.RFC5681,September 2009.

[10]Nandita Dukkipati，Tiziana Refce,Yuchung Cheng, Jerry Chu,Tom Herbert,Amit Agarwal,Arvind Jain,and Natalia Sutin.An argument for increasing TCP’s initial congestion window.Compu ter Communication Review.2010.