基于殘差網(wǎng)絡(luò)和GRU的XSS攻擊檢測方法

林雍博，凌 捷

廣東工業(yè)大學(xué) 計(jì)算機(jī)學(xué)院，廣州 510006

根據(jù)國家信息安全漏洞庫（CNNVD）機(jī)構(gòu)的統(tǒng)計(jì)，在2020年10月發(fā)布的漏洞類型分布中，XSS漏洞所占比例最大，約為8.89%[1]。XSS漏洞是由于Web服務(wù)端沒有對用戶輸入的信息進(jìn)行足夠的檢查和過濾，從而導(dǎo)致了潛在的安全威脅。XSS漏洞從1996年誕生直至演變至今，雖然有許多專家提出了不少防御技術(shù)，例如防病毒軟件[2]、Web防火墻[3]和入侵檢測設(shè)備[4]等，但是XSS漏洞數(shù)量總體仍在上升，這說明隨著時(shí)代和技術(shù)的發(fā)展，XSS漏洞并沒有得到較好的控制。面對這種情況，雖然無法在源頭進(jìn)行控制，但是可以在檢測方面進(jìn)行加強(qiáng)。近來就有不少利用機(jī)器學(xué)習(xí)來進(jìn)行XSS攻擊檢測的例子。例如，文獻(xiàn)[5]結(jié)合多層感知機(jī)（multilayer perceptron，MLP）較強(qiáng)學(xué)習(xí)能力和隱馬爾可夫模型（hidden Markov model，HMM）對于時(shí)間序列強(qiáng)大處理能力對XSS攻擊進(jìn)行檢測，相比于傳統(tǒng)機(jī)器學(xué)習(xí)進(jìn)一步提高了準(zhǔn)確率。文獻(xiàn)[6]利用長短期記憶網(wǎng)絡(luò)（long short-term memory，LSTM）網(wǎng)絡(luò)來構(gòu)建XSS檢測模型，實(shí)驗(yàn)結(jié)果表明，該方法能有效地進(jìn)行XSS檢測中，但對于惡意混淆[7]的XSS檢測則還不夠準(zhǔn)確。文獻(xiàn)[8-9]改進(jìn)了基于支持向量機(jī)（support vector machine，SVM）分類器的XSS攻擊檢測技術(shù)，全面提取大量XSS樣本特征，尤其是變形XSS攻擊的特征，能夠改善傳統(tǒng)檢測方法的不足，但還是有不低的誤報(bào)率。

針對上述方法的不足，為了進(jìn)一步改善檢測性能，提升檢測的準(zhǔn)確率、效率和泛化能力，降低檢測的誤報(bào)率，本文提出了一種基于殘差網(wǎng)絡(luò)[10]和GRU（gate recurrent unit）的XSS攻擊檢測方法。

1 相關(guān)工作

XSS攻擊是一種注入類型的攻擊，通常指的是攻擊者利用網(wǎng)頁開發(fā)沒有對用戶提交數(shù)據(jù)進(jìn)行轉(zhuǎn)義處理或者過濾的缺陷，將惡意指令代碼注入到網(wǎng)頁，使用戶加載并執(zhí)行的一種攻擊。當(dāng)攻擊者使用網(wǎng)絡(luò)應(yīng)用程序向不同的終端用戶發(fā)送惡意代碼（通常以瀏覽器端腳本的形式）時(shí)，就會(huì)發(fā)生XSS攻擊。攻擊者可以使用XSS向毫無戒備的用戶發(fā)送惡意腳本，最終用戶的瀏覽器沒有辦法知道該腳本不應(yīng)該被信任，并會(huì)執(zhí)行該腳本。因?yàn)樗J(rèn)為腳本來自于可信的源頭，所以惡意腳本可以訪問瀏覽器保留的任何Cookies、會(huì)話令牌或其他敏感信息，并與該網(wǎng)站一起使用，從而導(dǎo)致敏感信息的泄露。

傳統(tǒng)的檢測XSS攻擊漏洞一般有兩種方式：（1）基于靜態(tài)分析的研究方法。這種方法是指在不運(yùn)行程序源碼的情況下，對目標(biāo)代碼進(jìn)行分析，利用語義和詞法分析等多種方法，從邏輯結(jié)構(gòu)、數(shù)據(jù)處理過程等各方面對程序源碼進(jìn)行掃描，得到程序源碼的反匯編代碼。然后對拆解后的代碼進(jìn)行分析，挖掘程序源碼中存在的安全隱患。例如，Cui等[11]采用基于數(shù)據(jù)庫查詢的方法，利用Datalog描述XSS缺陷。從可能出現(xiàn)XSS安全缺陷的方法入手，對數(shù)據(jù)流進(jìn)行逆向分析，判斷是否可以通過用戶輸入引入XSS缺陷來檢測。由于可能導(dǎo)致XSS缺陷的方法數(shù)量遠(yuǎn)遠(yuǎn)少于可能引入污點(diǎn)數(shù)據(jù)的方法，采用反向分析法可以減少需要分析的方法數(shù)量，從而大大提高靜態(tài)分析效率。（2）基于動(dòng)態(tài)分析的研究方法。這種方法是通過模擬攻擊者對目標(biāo)進(jìn)行滲透測試的方法，首先將特定的攻擊腳本注入可疑注入點(diǎn)進(jìn)行檢測，然后根據(jù)服務(wù)器的響應(yīng)結(jié)果判斷目標(biāo)程序是否存在跨站腳本漏洞。動(dòng)態(tài)分析法主要分為五個(gè)步驟：收集可疑注入點(diǎn)；生成一組攻擊腳本（即XSS payload）；滲透測試；分析響應(yīng)結(jié)果；生成分析報(bào)告。例如，文獻(xiàn)[12]提出一種新的基于動(dòng)態(tài)分析的跨站腳本漏洞檢測模型，該方法根據(jù)負(fù)載單元的位置和功能類型，將攻擊負(fù)載分為多個(gè)負(fù)載單元，并制定組合成完整攻擊負(fù)載的規(guī)則。通過負(fù)載單元的組合測試和單獨(dú)測試，將負(fù)載單元與旁路規(guī)則的組合放入檢測點(diǎn)測試，并根據(jù)測試結(jié)果生成具有針對性的完整攻擊負(fù)載。實(shí)驗(yàn)結(jié)果表明，該模型可以使用較少的測試請求來完成更多攻擊負(fù)載的測試，在有效降低漏報(bào)率的情況下，還能保持較高的檢測效率。此外，還可通過對用戶提交的數(shù)據(jù)進(jìn)行審查過濾來達(dá)到防止XSS攻擊的作用。例如通過Web防火墻，設(shè)置白名單、黑名單等方式來進(jìn)行防御，如對