基于DCNN-GRU模型的XSS攻擊檢測(cè)方法

許丹丹 徐 洋 張思聰 付子爔

(貴州師范大學(xué)貴州省信息與計(jì)算科學(xué)重點(diǎn)實(shí)驗(yàn)室 貴州 貴陽(yáng) 550001)

0 引 言

近年來，Web安全形勢(shì)日益嚴(yán)峻，政府和企業(yè)網(wǎng)站頻繁發(fā)生的安全事件，對(duì)其聲譽(yù)和利益造成了巨大的損失。在互聯(lián)網(wǎng)+時(shí)代，實(shí)體經(jīng)濟(jì)與互聯(lián)網(wǎng)融為一體，在線視頻、電子商務(wù)均采用了Web應(yīng)用，大量的個(gè)人隱私數(shù)據(jù)通過Web應(yīng)用程序被傳送和處理。Web應(yīng)用程序作為人們?nèi)粘Ｉ钪胁荒苋鄙俚囊徊糠郑诮o人們帶來方便的同時(shí)，其自身存在的漏洞也讓用戶暴露于危險(xiǎn)之中[1]。跨站腳本(Cross Site Scripting, XSS)是眾多Web安全漏洞中具有極大影響力和危害力的一種漏洞攻擊，近年來一直排列于Web應(yīng)用安全漏洞的前三名。攻擊者利用網(wǎng)站中存在的XSS漏洞，將含有惡意的代碼腳本注入到網(wǎng)頁(yè)中，當(dāng)使用者瀏覽該頁(yè)面或進(jìn)行單擊操作時(shí)，它將觸發(fā)惡意代碼、實(shí)現(xiàn)cookie盜取、網(wǎng)絡(luò)釣魚欺騙、會(huì)話劫持等攻擊行為。因此，對(duì)跨站腳本的攻擊檢測(cè)極其重要。

李潔等[2]針對(duì)文檔對(duì)象模型(Document object model,DOM)漏洞進(jìn)行了研究，提出了一種基于動(dòng)態(tài)污點(diǎn)傳播模型的DOM型XSS漏洞檢測(cè)算法。谷家騰等[3]提出了基于動(dòng)態(tài)分析的XSS漏洞檢測(cè)模型。Wang等[4]提出了一個(gè)檢測(cè)新的技術(shù)攻擊模式，基于HTML5和CROS屬性規(guī)則在瀏覽器設(shè)計(jì)一個(gè)過濾器來檢測(cè)XSS攻擊，并提供了一個(gè)系統(tǒng)模型判斷被攔截的請(qǐng)求是否為惡意。Nunan等[5]應(yīng)用網(wǎng)頁(yè)的自動(dòng)分類方法對(duì)XSS攻擊進(jìn)行檢測(cè)，其基于URL和網(wǎng)頁(yè)文檔的特征分類。Wang等[6]提出了使用一種改進(jìn)的N-gram模型來檢測(cè)社交網(wǎng)絡(luò)中的XSS攻擊。Vishnu等[7]提出了使用機(jī)器學(xué)習(xí)算法來預(yù)測(cè)XSS攻擊。張思聰?shù)萚8]提出了利用最大熵模型進(jìn)行XSS攻擊檢測(cè)的方法。趙澄等[9]提出了基于支持向量機(jī)(Support Vector Machine,SVM)分類器的機(jī)器學(xué)習(xí)方法，對(duì)XSS攻擊進(jìn)行檢測(cè)。

以上學(xué)者主要是利用了靜態(tài)分析、動(dòng)態(tài)分析與機(jī)器學(xué)習(xí)方法對(duì)XSS攻擊進(jìn)行檢測(cè)。但靜態(tài)分析方法很容易出現(xiàn)誤報(bào)和漏報(bào)的情況，且靜態(tài)分析具有耗時(shí)長(zhǎng)、技術(shù)能力要求高的缺點(diǎn)。而動(dòng)態(tài)分析方法具有特征碼的自動(dòng)提取能力較弱且效率低的缺點(diǎn)。機(jī)器學(xué)習(xí)方法主要是依據(jù)統(tǒng)計(jì)特征實(shí)現(xiàn)對(duì)跨站腳本的分類，效果要比靜態(tài)分析與動(dòng)態(tài)分析好，但是統(tǒng)計(jì)特征的提取需要豐富的實(shí)踐經(jīng)驗(yàn)，且攻擊腳本的數(shù)量增大時(shí)，淺層的機(jī)器學(xué)習(xí)方法已經(jīng)不能很好地從大量的數(shù)據(jù)中對(duì)攻擊腳本和正常腳本進(jìn)行分類。近年來，可以處理大量數(shù)據(jù)的深度學(xué)習(xí)方法在網(wǎng)絡(luò)安全領(lǐng)域逐漸應(yīng)用于實(shí)踐，張思聰?shù)萚10]提出了基于dCNN的入侵檢測(cè)方法，在入侵檢測(cè)中應(yīng)用了深度學(xué)習(xí)方法。foxscheduler[11]采用循環(huán)神經(jīng)網(wǎng)絡(luò)中的長(zhǎng)短期記憶網(wǎng)絡(luò)(LSTM)模型做XSS攻擊檢測(cè),證明了利用深度學(xué)習(xí)方法做XSS攻擊檢測(cè)的可行性。門控循環(huán)單元(Gated Recurrent Unit，GRU)比LSTM的結(jié)構(gòu)更簡(jiǎn)單，訓(xùn)練時(shí)參數(shù)的數(shù)量也將減少，更容易收斂，不容易出現(xiàn)過擬合，計(jì)算代價(jià)低、運(yùn)算速度快[12]。

本文提出了基于DCNN-GRU模型的深度學(xué)習(xí)方法進(jìn)行跨站腳本攻擊檢測(cè)，使用 foxscheduler數(shù)據(jù)集[11]進(jìn)行對(duì)比實(shí)驗(yàn)。

1 預(yù)備知識(shí)

1.1 深度卷積神經(jīng)網(wǎng)絡(luò)

深度卷積神經(jīng)網(wǎng)絡(luò)(DCNN)是最近幾年被高度使用的具有高效識(shí)別能力的卷積神經(jīng)網(wǎng)絡(luò)，其自適應(yīng)能力與學(xué)習(xí)能力也很高，并且DCNN還可以共享局部權(quán)值[13]，可以降低網(wǎng)絡(luò)的復(fù)雜度，被廣泛應(yīng)用于人臉特征識(shí)別、圖像分類、語(yǔ)音處理、行為認(rèn)知等領(lǐng)域。一維DCNN工作原理為：每個(gè)輸出時(shí)間步都是利用輸入序列在時(shí)間維度上的一小段得到的。其網(wǎng)絡(luò)架構(gòu)包含一維卷積層、最大池化層、全局池化層或Flatten層，最后輸出層可用于分類。因?yàn)橐痪S卷積能夠識(shí)別序列中部分模式，也就是說對(duì)每個(gè)序列段執(zhí)行相同的輸入變換，在句子中任意一個(gè)地方學(xué)到的模式隨后便能夠在其他地方被識(shí)別出來，這種特性就讓一維DCNN對(duì)時(shí)間平移來講有平移不變性。在解決某些序列問題時(shí)，實(shí)現(xiàn)的效果要比循環(huán)神經(jīng)網(wǎng)絡(luò)更好，計(jì)算代價(jià)通常更小。針對(duì)時(shí)序預(yù)測(cè)、文本分類等簡(jiǎn)易問題，簡(jiǎn)單的一維DCNN可以代替循環(huán)神經(jīng)網(wǎng)絡(luò)，處理速度更快。

1.2 循環(huán)神經(jīng)網(wǎng)絡(luò)

循環(huán)神經(jīng)網(wǎng)絡(luò)(Recurrent neural network, RNN)主要用來處理時(shí)序問題，即上文與下文具有相互依賴關(guān)系的問題，但是隨著距離逐步增大，RNN學(xué)習(xí)到連接較遠(yuǎn)信息的能力就會(huì)降低，這個(gè)主要是針對(duì)具有長(zhǎng)期依賴關(guān)系的問題，且隨著時(shí)間間隔的變大，梯度消失、梯度爆炸問題[14]就越容易出現(xiàn)。為了解決這兩個(gè)問題，提出門控機(jī)制，在學(xué)習(xí)時(shí)通過信息的積累速度進(jìn)行管理，可以有選擇地將新學(xué)到的信息加入進(jìn)去和將之前積累的無(wú)用信息遺忘，被稱為基于門控的循環(huán)神經(jīng)網(wǎng)絡(luò)(Gated RNN)[15]。LSTM與GRU 是最常用的基于門控的循環(huán)神經(jīng)網(wǎng)絡(luò)。LSTM的工作原理就是允許過去的信息稍后重新進(jìn)入，從而解決梯度消失問題，其網(wǎng)絡(luò)是通過遺忘門、輸入門和輸出門這三個(gè)門控機(jī)制來控制信息傳遞的路徑[16]，GRU的工作原理與LSTM相同，只是比LSTM少一個(gè)門控機(jī)制，其網(wǎng)絡(luò)中只有更新門與復(fù)位門，將LSTM中的輸入門與遺忘門簡(jiǎn)化為一個(gè)門，稱為更新門。

2 DCNN-GRU模型

XSS的關(guān)鍵詞具有很強(qiáng)的關(guān)聯(lián)性，體現(xiàn)了XSS攻擊腳本的依賴性。XSS攻擊檢測(cè)通常被當(dāng)作二分類問題，一維DCNN在處理時(shí)序問題時(shí)具有很快的速度，但是針對(duì)數(shù)據(jù)順序比較重要的序列數(shù)據(jù)，效果不如RNN。RNN常用來解決時(shí)序方面的問題，可以很好地表達(dá)出下文與上文的代碼調(diào)用關(guān)系，且GRU作為RNN的改進(jìn)模型具有更為簡(jiǎn)單的內(nèi)部結(jié)構(gòu)，參數(shù)更少，這樣可以使得內(nèi)部的計(jì)算更為簡(jiǎn)單[17]，簡(jiǎn)化攻擊檢測(cè)的步驟，提高檢測(cè)效率。本文依據(jù)一維DCNN快速處理時(shí)序問題的能力與GRU模型可以處理上下文具有長(zhǎng)期依賴關(guān)系問題的能力，將DCNN和GRU兩種深度學(xué)習(xí)模型相結(jié)合，提出了DCNN-GRU模型進(jìn)行XSS攻擊檢測(cè)。

DCNN-GRU神經(jīng)網(wǎng)絡(luò)模型如圖1所示，首先通過卷積進(jìn)行文本特征的提取，利用池化層把卷積特征整合，進(jìn)行Dropout操作，避免發(fā)生過擬合，然后將特征放入GRU神經(jīng)網(wǎng)絡(luò)中進(jìn)行訓(xùn)練，再把訓(xùn)練特征輸入全連接層中，利用Softmax完成分類處理。

圖1 DCNN-GRU模型圖

一維卷積層取卷積核的數(shù)量為64，長(zhǎng)度為3，對(duì)1×530的詞向量進(jìn)行步長(zhǎng)為1的卷積操作，獲得64個(gè)相對(duì)應(yīng)的特征向量，即通過64個(gè)卷積核來獲取64個(gè)相應(yīng)的特征，所以這個(gè)卷積層的輸出為530×64。

一維池化層主要是對(duì)卷積層進(jìn)行降維處理，壓縮數(shù)據(jù)，減少參量，避免過擬合，同時(shí)其泛化能力可以得到提高。本文選擇了最大池化，最大池化可以降低卷積層參數(shù)誤差造成估計(jì)均值的偏移，池化層的窗口長(zhǎng)度為2，所以在經(jīng)過池化層操作后，輸出數(shù)據(jù)為265×64矩陣。

Dropout層主要是在訓(xùn)練過程中每次更新訓(xùn)練參數(shù)時(shí)，依據(jù)一定的概率隨機(jī)斷開輸入神經(jīng)元，避免出現(xiàn)過擬合，本層的概率定為0.5。

GRU層是用來解決上下文長(zhǎng)期依賴的問題，避免在卷積和池化操作后丟失上下文調(diào)用與傳遞的關(guān)系，在模型中的職責(zé)是保存時(shí)序信息，起到門控作用。GRU層的輸出維度為128，所以在經(jīng)過GRU層之后，就會(huì)輸出265×128矩陣。

Flatten層主要是完成從GRU層到全連接層的過度，輸入為265×128的矩陣經(jīng)過Flatten層就轉(zhuǎn)化成33 920維的特征向量。

輸出層利用Softmax實(shí)現(xiàn)分類任務(wù)，把Flatten層輸出的33 920維的特征向量映射到兩個(gè)神經(jīng)元上進(jìn)行分類。

當(dāng)前流行的優(yōu)化器主要有SGD、RMSProp、AdaDelta和ADAM。本文模型選用的優(yōu)化器為ADAM，它由Kingma等[18]提出，將AdaGrad與RMSProp的優(yōu)點(diǎn)相結(jié)合，其實(shí)現(xiàn)簡(jiǎn)單、計(jì)算效率高、對(duì)內(nèi)存的需求小，梯度的伸縮變換不會(huì)影響參數(shù)的更新、可以自動(dòng)調(diào)整學(xué)習(xí)率、適用于大規(guī)模數(shù)據(jù)場(chǎng)景等。

ADAM的算法表示：

(1)

實(shí)驗(yàn)用到的損失函數(shù)為交叉熵?fù)p失函數(shù)，它可以提供無(wú)偏估計(jì)，是使用最為廣泛的一個(gè)代理?yè)p失。在解決分類的問題時(shí)，為求解最小化問題而構(gòu)造出的代理?yè)p失函數(shù)表達(dá)式為：

(2)

式中：y∈(0,1)。本文用到的分類器是Softmax分類,其表達(dá)式為：

(3)

把含有任一實(shí)數(shù)的K維的x向量，壓縮到K維的實(shí)向量中，讓所有元素值都在(0,1)這個(gè)區(qū)間，且元素之和為1。

跨站腳本檢測(cè)過程包含獲取數(shù)據(jù)集、數(shù)據(jù)集分詞并向量化、量化后的數(shù)據(jù)預(yù)處理、模型訓(xùn)練、分類器分類等部分。跨站腳本攻擊檢測(cè)算法如算法1所示。

算法1跨站腳本攻擊檢測(cè)算法

1. word is “script”“alter” and other html word

2. datas is normal html request and cross-site attack script

3. i is a single sample of the test-data

4. for word in datas do

5. train word using the word2vec model

6. obtain data-set

7. process data-set obtain train-data and test-data

8. end for

9. train the DCNN-GRU model with train-data

10.for i in test-data do

11. detect i using the trained DCNN-GRU model

12. end for

3 實(shí) 驗(yàn)

本次實(shí)驗(yàn)環(huán)境是在Windows 10操作系統(tǒng)中，處理器為Intel?CoreTMi5-8250U，8 GB內(nèi)存，顯卡為顯存2 GB的NVIDIA GeForce MX150環(huán)境下實(shí)現(xiàn)。實(shí)驗(yàn)采用的語(yǔ)言為Python，框架為Keras，后端為TensorFlow。數(shù)據(jù)集采用文獻(xiàn)[11]中的數(shù)據(jù)集，約24萬(wàn)條，包含4萬(wàn)條從xssed爬取的用作正樣例的黑樣本和另外約20萬(wàn)條無(wú)XSS攻擊的http請(qǐng)求用作負(fù)樣例。選取70%作為訓(xùn)練集，用于訓(xùn)練網(wǎng)絡(luò)模型，30%作為測(cè)試集用來驗(yàn)證模型對(duì)XSS攻擊的檢測(cè)能力。

3.1 數(shù)據(jù)特征處理

數(shù)據(jù)的處理由Word2vec提供，可以通過一個(gè)詞預(yù)測(cè)其周圍詞的Skip-gram模型，Skip-gram模型由輸入層、映射層和輸出層組成[19]。Skip-gram模型就是依據(jù)當(dāng)前的某個(gè)詞來預(yù)測(cè)其周圍詞的向量，通過Word2vec轉(zhuǎn)換后的詞向量不僅把詞表示成分布式的詞向量，而且還可以捕獲詞之間存在的相似關(guān)系，經(jīng)過代數(shù)運(yùn)算就可以把類似單詞計(jì)算出。

圖3顯示了對(duì)一條跨站腳本攻擊數(shù)據(jù)進(jìn)行特征提取的一個(gè)實(shí)例。用“0”替換數(shù)字，把超鏈接用“http//u”替換，進(jìn)行范化處理。然后進(jìn)行分詞操作，分詞原則為：引號(hào)內(nèi)包含的內(nèi)容，鏈接、標(biāo)簽<>、開頭、參數(shù)名、函數(shù)體等。文本經(jīng)過分詞后就可以轉(zhuǎn)化為深度學(xué)習(xí)要用到的向量，在這里應(yīng)用One-Hot編碼，一個(gè)詞表可以通過One-Hot編碼表示成稀疏向量，這個(gè)向量中除了詞的維度是1，其他的維度都是0。最后再量化處理，使用Word2vec模型進(jìn)行訓(xùn)練，把稀疏向量轉(zhuǎn)化為嵌入式詞向量。從圖2中可以發(fā)現(xiàn)這條攻擊數(shù)據(jù)最終變成了一個(gè)詞向量，這個(gè)詞向量可以作為攻擊檢測(cè)模型的一個(gè)輸入。

圖2 Word2vec模型數(shù)據(jù)處理圖

3.2 模型評(píng)估指標(biāo)

準(zhǔn)確率表示被正確預(yù)測(cè)出來的真正例和真負(fù)例樣本占總樣本的比例，其計(jì)算公式為：

(4)

精確率表示真正例在實(shí)際檢測(cè)出來的正例中所占的比例，其計(jì)算公式為：

(5)

召回率表示正例樣本中被正確預(yù)測(cè)的概率，其計(jì)算公式為：

(6)

F1值是召回率與精確率的一個(gè)調(diào)和均值，是對(duì)召回率與精確率的一個(gè)綜合評(píng)價(jià)，其計(jì)算公式為：

(7)

式中：TP指將實(shí)際上是正例的樣本預(yù)測(cè)為正樣本；TN指將實(shí)際上是負(fù)例的樣本預(yù)測(cè)為負(fù)樣本；FP指將實(shí)際上是負(fù)例的樣本預(yù)測(cè)為正樣本(誤報(bào))；FN指將實(shí)際上是正例的樣本預(yù)測(cè)為負(fù)樣本(漏報(bào))。

3.3 DCNN-GRU模型的訓(xùn)練與測(cè)試

訓(xùn)練時(shí)將批尺寸的大小設(shè)定為512，每訓(xùn)練一個(gè)批次的數(shù)據(jù)，就輸出當(dāng)前訓(xùn)練的損失值(Loss)與準(zhǔn)確率(ACC)，訓(xùn)練完成后保存當(dāng)前的訓(xùn)練模型，在訓(xùn)練模型過程中存儲(chǔ)當(dāng)前訓(xùn)練網(wǎng)絡(luò)時(shí)設(shè)定的多項(xiàng)權(quán)重值，在測(cè)試環(huán)節(jié)可以通過加載模型直接使用。在訓(xùn)練階段，Loss與ACC的變動(dòng)趨勢(shì)如圖3所示。

圖3 準(zhǔn)確率/損失值

可以看出，隨著訓(xùn)練批次接近80次，準(zhǔn)確率呈快速增長(zhǎng)趨勢(shì)，損失值也以快速下降趨勢(shì)變化；當(dāng)訓(xùn)練批次大于120次時(shí)，準(zhǔn)確率和損失值的曲線變化逐步趨于平緩，準(zhǔn)確率保持在0.99之上，而損失值則低于0.03。

測(cè)試階段，通過加載在訓(xùn)練階段保存的包含有已設(shè)置好的多項(xiàng)權(quán)重值的模型文件，就可以用該模型進(jìn)行測(cè)試。為了證明模型的檢測(cè)能力，隨機(jī)選取了五次測(cè)試結(jié)果作為樣本，測(cè)試準(zhǔn)確率、精確率、召回率和F1值如表1所示。

表1 DCNN-GRU模型測(cè)試結(jié)果(%)

為了驗(yàn)證DCNN-GRU組合模型在檢測(cè)XSS攻擊時(shí)的檢測(cè)能力，將DCNN-GRU模型與單一的DCNN、LSTM、GRU模型進(jìn)行比較。使用同樣的數(shù)據(jù)集完成對(duì)三個(gè)單一模型的訓(xùn)練與測(cè)試，并完成對(duì)這四個(gè)模型的訓(xùn)練結(jié)果與測(cè)試結(jié)果的對(duì)比，其結(jié)果如圖4所示。可以看出，DCNN-GRU模型的準(zhǔn)確率明顯在各個(gè)訓(xùn)練批次上都高于其他三個(gè)模型，準(zhǔn)確率最終穩(wěn)定在0.99以上，其次是GRU模型，準(zhǔn)確率低于0.987，LSTM模型的準(zhǔn)確率低于0.985，最低的是DCNN模型，其準(zhǔn)確率在0.982。

圖4 準(zhǔn)確率對(duì)比圖

圖5是訓(xùn)練階段DCNN、GRU、LSTM和DCNN-GRU四個(gè)模型的損失值對(duì)比折線圖，可以看出，DCNN-GRU模型的損失值在各個(gè)訓(xùn)練批次上明顯低于其他三個(gè)模型，損失值最終穩(wěn)定于0.025，GRU模型與LSTM模型的損失值曲線圖在80批次后幾乎重合，損失值高于0.03，DCNN的損失值高于0.045。

圖5 損失值對(duì)比

表2的測(cè)試結(jié)果是隨機(jī)選出來的一組結(jié)果，同時(shí)增加了一組SVM的測(cè)試結(jié)果，可以看到DCNN-GRU模型的測(cè)試數(shù)據(jù)最高，表明DCNN-GRU模型的實(shí)驗(yàn)結(jié)果最好。

表2 測(cè)試結(jié)果對(duì)比(%)

表3是訓(xùn)練時(shí)間的對(duì)比結(jié)果，可以看出，DCNN-GRU模型的訓(xùn)練時(shí)間更短，如果實(shí)驗(yàn)環(huán)境的配置更高，將會(huì)進(jìn)一步縮短訓(xùn)練時(shí)間，也能進(jìn)一步提高檢測(cè)效率。

表3 訓(xùn)練時(shí)間對(duì)比

綜上所述， DCNN-GRU模型與DCNN、GRU、LSTM及SVM模型相比，不僅大大縮短了訓(xùn)練時(shí)間，其測(cè)試結(jié)果的準(zhǔn)確率、召回率、精確率也是最高的。

4 結(jié) 語(yǔ)

本文針對(duì)XSS的攻擊檢測(cè)提出了DCNN-GRU模型，采用Kears框架完成模型的搭建。利用一維DCNN模型在處理時(shí)序問題時(shí)的快速優(yōu)勢(shì)和GRU模型結(jié)構(gòu)簡(jiǎn)單、易收斂、不容易出現(xiàn)過擬合且計(jì)算代價(jià)低的特點(diǎn)，將兩個(gè)模型相結(jié)合，提出的DCNN-GRU模型既可以提升檢測(cè)XSS攻擊的速度，又可以保證在檢測(cè)時(shí)充分考慮上下文相互依賴的問題，提高檢測(cè)的準(zhǔn)確率。通過使用 foxscheduler數(shù)據(jù)集進(jìn)行的對(duì)比實(shí)驗(yàn)表明，DCNN-GRU模型檢測(cè)效果明顯優(yōu)于傳統(tǒng)SVM模型和DCNN、GRU和LSTM三種深度學(xué)習(xí)模型。

本文只是使用DCNN-GRU模型針對(duì)XSS一種漏洞攻擊進(jìn)行檢測(cè)，未來將研究DCNN-GRU模型對(duì)SQL注入、緩沖區(qū)溢出、跨站請(qǐng)求偽造等多種Web漏洞檢測(cè)的適用性。