秘鑰交換環境下Web安全漏洞智能檢測研究

劉瑞軍

摘 要： 為提高Web軟件和網站的安全性，保護用戶數據不受損傷，提出秘鑰交換環境下Web安全漏洞智能檢測方法。通過研究秘鑰交換環境下Web安全漏洞的產生機理，設計安全性能更高的秘鑰交換安全協議，在此基礎上，從SVN服務器中解析出Web軟件或網站的源代碼，選定用于檢測Web安全漏洞的功能插件并進行驅動，使用規則表達式規范功能插件的檢測規則，從而檢測出秘鑰交換環境下的Web安全漏洞。實驗結果表明，該方法在秘鑰交換環境下的檢測可靠性高、靈活性強。

關鍵詞： 秘鑰交換環境； Web安全漏洞檢測； SVN； 規則表達式

中圖分類號： TN915.08?34； TP393.08 文獻標識碼： A 文章編號： 1004?373X（2017）09?0089?04

Abstract： In order to improve the security of Web software and Web site， and protect the user data free from the damage， a Web security vulnerabilities intelligent detection method in the secret key exchange environment is put forward. The production mechanism of the Web security vulnerabilities in the secret key exchange environment is studied to design the secret key exchange security protocol with higher safety performance. On this basis， the source code of Web software or Web site is parsed in SVN server. The function plugin to detect the Web security vulnerabilities is selected and driven. The regulation expression is used to regulate the detection rule of the function plugin to detect the Web security vulnerabilities in the secret key exchange environment. The experimental results show that the method has high detection reliability and strong flexibility in the secret key exchange environment.

Keywords： secret key exchange environment； Web security vulnerabilities detection； SVN； regulation expression

0 引 言

在經濟與科技的高速發展下，Web用戶出現了大幅度增長，Web安全漏洞造成的問題也日漸凸顯出來。近期的暴露報告指出，9成以上的Web軟件和網站的安全防護協議不健全，跨站腳本攻擊、結構化查詢語言注入以及協議偽造占據了Web安全漏洞的50%以上，并且接近80%的漏洞產生于應用層，秘鑰交換環境是Web安全漏洞的重災區[1]，為各行各業帶來了不小的沖擊。在過去，網絡防火墻能夠阻隔接近98%的秘鑰交換環境下的Web安全漏洞，但隨著Web協議和通信秘鑰不斷被破解，網絡防火墻甚至于Web安全漏洞智能檢測系統都不能100%地維護Web軟件和網站的信息安全，一些人利用安全漏洞竊取用戶隱私，進一步加大了人身與財產的安全隱患[2]。因而，開展對秘鑰交換環境下Web安全漏洞智能檢測的研究，為經濟與科技的發展提供安全防護，在當代社會具有非常重要的現實意義。

1 問題描述

使用秘鑰交換協議進行網絡通信的狀態統稱為秘鑰交換環境，秘鑰交換環境的安全協議口令精簡、熵值小，為用戶提供便利的同時也方便了黑客對Web軟件和網站的攻擊，尤其是字典攻擊，黑客只需利用計算機編制簡單的解密算法，就能夠猜測出秘鑰交換協議口令，這種情況不可避免地造成了Web安全漏洞[3]，因此，研究Web安全漏洞智能檢測的初衷就是使秘鑰交換環境能夠自動抵御字典攻擊。

秘鑰交換環境的安全協議類型多種多樣，應用較廣的是“用戶?服務端”類型，但這種類型在大范圍數據通信中需要應用到多個服務端，并提供多種不同的口令。雖減少了Web安全漏洞，卻增加了通信難度[4]。考慮到以上因素，本文提出一種秘鑰交換環境下的Web安全漏洞智能檢測方法，以單獨服務端進行數據的接收和發送，同時提供多種口令來維護安全性能，并在秘鑰交換環境中設置用戶的絕對信任區域來削減通信難度，當環境受到攻擊時，需要檢測Web安全漏洞中是否存在攻擊痕跡，并主動將口令共享到絕對信任區域，重新構建數據通信通道。

2 秘鑰交換環境下Web安全漏洞智能檢測研究

2.1 秘鑰交換安全協議設計

隨著字典攻擊方式的不斷升級，以及其他小型攻擊方式強度的不斷提高，增強所提秘鑰交換環境下Web安全漏洞智能檢測方法的可靠性和靈活性，其根本在于設計出安全性能更高的秘鑰交換安全協議[5]：一方面為秘鑰交換環境減少攻擊傷害；另一方面提高方法檢測的效率。秘鑰交換安全協議工作原理如圖1所示。

從圖1中可以看出，所提方法結合了第一代秘鑰交換安全協議Diffie?Hellman強大的計算資源，以及數據加密標準強大的抗攻擊性能，在不影響安全性能的同時，減少秘鑰交換安全協議的運算量，以64位分組加密形式實現用戶數據通信，通過協商與交換的方式進行解密，有效保證用戶數據安全、可靠的通信。在所設計的秘鑰交換安全協議的基礎上進行Web安全漏洞檢測，所得檢測結果更加可靠。

2.2 密鑰交換環境下Web安全漏洞智能檢測方法

Web安全漏洞智能檢測的實質是通過全面掃描Web軟件和網站，從中挖掘出存在黑客攻擊痕跡的Web安全漏洞，從原理上看是一個評價Web軟件和網站數據可靠性并標記不可靠數據點的過程。黑客攻擊不可避免，從源頭上杜絕Web安全漏洞是不切實際的[6]，為此，所提秘鑰交換環境下Web安全漏洞智能檢測方法在Web經受字典或其他攻擊的第一時間，對秘鑰交換環境中的Web安全漏洞進行保護和檢測，并快速提供合理的補救措施，將損失降至最低，防止同類型攻擊的二次入侵。

用戶的檢測請求通過服務器驅動各功能插件，插件從服務器中調取Web軟件或網站的源代碼，服務器的類型是SVN。SVN是Subversion的簡寫，代表重寫，可提供開放源代碼控制功能。SVN服務器獨立存儲數據，存儲速度快，存儲格式是二進制，便于秘鑰寫入，不必擔心數據丟失[7]。Web安全漏洞智能檢測流程如圖2所示。

由圖2可知，SVN服務器取得Web源代碼后，根據軟件或網站相應的Web配置數據來選擇驅動何種功能插件檢測Web安全漏洞。功能插件將檢測結果輸出，隨后根據檢測結果在秘鑰交換環境中構建絕對信任區域，給出秘鑰交換安全協議，對Web安全漏洞加以保護[8]。每個功能插件所能檢測出的Web安全漏洞不同，而Web配置數據是固定不變的，Web源代碼可直接決定所提方法檢測結果的可靠性，功能插件選擇流程如圖3所示。

由圖3可知，SVM數據庫和SVN源代碼輔助進行Web源代碼提取，SVM數據庫中聯機存儲并管理著歷史版本的Web軟件和網站源代碼，結合SVM源代碼的定位功能，準確給出Web源代碼，隨后讀取Web源代碼中的腳本插件。腳本插件中含有用戶的檢測要求以及插件功能，可解析出不同功能插件的檢測規則[9]。根據用戶檢測要求對功能插件檢測規則的依賴度進行排序，選定用于檢測Web安全漏洞的功能插件。

秘鑰交換環境下，Web安全漏洞智能檢測方法之所以利用功能插件實現檢測，是因為功能插件所能提供的檢測規則多種多樣，具有超強的靈活性，可提高檢測精度，方便方法功能的添加與維護。而且，各功能插件之間獨立工作、功能互不干擾，假設某一插件出現了功能損傷，其他插件仍可以正常工作，加強了檢測結果的可靠性。

2.3 Web安全漏洞匹配技術研究

在秘鑰交換環境下進行Web安全漏洞智能檢測時，匹配技術發揮了巨大作用。匹配技術是用于確定Web中是否存在安全漏洞的一項必用技術，它通過規則表達式檢測Web源代碼的字符串。規則表達式被廣泛用于數據檢索與模式替換等領域，通過在目標數據中檢測特定字符串來確定檢測結果。

以跨站腳本攻擊為例，跨站腳本攻擊在Web安全漏洞中普遍攻擊用戶數據導入和導出之處[10]，規則表達式在檢測跨站腳本攻擊時，將主要針對由用戶數據導入與導出產生的超文本標記語言字符串進行檢測。

使用規則表達式規范功能插件的檢測規則，可為功能插件的管理和驅動提供便利。規則表達式由一些字符組合而成，包括字母、數據和符號[11?12]，規則表達式中一些重要字符的含義見表1。

3 實驗測試

3.1 測試環境

秘鑰交換環境下Web安全漏洞智能檢測方法的研究工作結束后，對所提方法進行驗證，選用相關的硬件、軟件以及數據測試方法的可靠性和靈活性，如圖4所示。測試中使用的主機擁有2 GB內存和150 GB硬盤，操作系統是Windows 7旗艦版；測試數據庫使用的是多線程、結構化查詢語言庫?MyQql；服務器支持的軟件是Tomcat；測試過程中實驗人員模擬用戶行為，使用的瀏覽器是性能穩定的IE 9.0，瀏覽器插件是Tamper Data。

實驗在密鑰交換環境下進行，對比組有三個，分別是最小不相關檢測、ARM嵌入式檢測和貝葉斯檢測，所選對比組內的檢測方法都是最新型且性能相對優良的方法。考慮到ARM嵌入式的檢測方式是被動式的，實驗人員將為其手動構建Web安全漏洞檢測任務，其他檢測方法則自動構建檢測任務。

實驗人員初始化MyQql數據庫后，在其中寫入三種不同規格的Web安全漏洞數據集，如表2所示，其中，數據集1中的Web安全漏洞和攻擊樣本最少，數據集2中的攻擊樣本最多，安全漏洞的位置最為分散，而數據集3中的安全漏洞位置比較集中。

如表3、表4所示，本文所提方法的檢測率和誤報率好于其他方法，所得檢測結果的可靠性最佳。最小不相關檢測的可靠性也很高，但在安全漏洞位置最為分散的是數據集3，其誤報率出現了明顯增長；除此之外，本文所提方法和ARM嵌入式檢測的握手時間最為突出，表現出良好的靈活性。

4 結 論

秘鑰交換環境的安全協議口令精簡、熵值小，為用戶提供了便利，也造成了Web安全漏洞，通過了解Web安全漏洞為用戶帶來的損失，提出秘鑰交換環境下Web安全漏洞智能檢測方法，該方法否定了“用戶?服務端”類型的秘鑰交換安全協議，設計了更加安全的協議為檢測工作的可靠性和靈活性作擔保，進一步給出了Web安全漏洞智能檢測流程和以規則表達式為基礎的匹配技術，有效保護了用戶數據安全。

參考文獻

[1] 楊世德，梁光明，余凱.基于ARM嵌入式系統底層漏洞挖掘技術研究[J].現代電子技術，2015，38（18）：57?59.

[2] 陳昕昀，潘懋，況琪，等.基于關聯數據技術的地質資料實體建模與Web發布[J].科學技術與工程，2016，32（1）：107?113.

[3] 尚龍華，安毅生，張紹陽，等.基于Web服務的交通數據交換過程[J].計算機系統應用，2015，24（3）：260?265.

[4] 陳亮，高宏力，周倫.嵌入式服務器在智能家居系統中的應用[J].計算機測量與控制，2015，23（5）：1758?1761.

[5] 李舟軍，張俊賢，廖湘科，等.軟件安全漏洞檢測技術[J].計算機學報，2015，38（4）：717?732.

[6] 孫熠，梁棟云，王文杰.Web應用程序安全性測試平臺關鍵技術研究[J].信息安全與技術，2014，5（1）：29?32.

[7] 龍震岳，錢揚，鄒洪，等.電網企業網絡信息安全的威脅與攻防新技術研究[J].現代電子技術，2015，38（21）：100?104.

[8] 齊雪婷，馬訓鳴，劉霞，等.基于CAN的分布式頂升控制系統設計[J].西安工程大學學報，2016，30（1）：118?123.

[9] 吳少華，孫丹，胡勇.基于貝葉斯理論的Web服務器識別[J].計算機工程，2015，41（7）：190?193.

[10] 賈迪，黃河滔.對Web安全性測試技術的分析[J].信息安全與技術，2014，5（5）：68?69.

[11] 周曉，鄭定超，方玖琳.基于UM220的北斗接收機及Web終端設計[J].計算機測量與控制，2016，24（3）：238?240.

[12] 亢華愛.基于隱節點共振致密配對的Web數據文本抽取[J].科技通報，2015，34（2）：82?84.