基于膠囊網(wǎng)絡的XSS攻擊識別方法的研究

劉士博

（景德鎮(zhèn)陶瓷大學，江西 景德鎮(zhèn) 333403）

隨著科技進步和經(jīng)濟發(fā)展，網(wǎng)絡技術在悄悄影響著每一個人的生活，給人們的衣食住行帶來便利的同時，網(wǎng)絡上的安全問題也給人們帶來很多困擾。其中XSS攻擊和SQL注入攻擊由于其數(shù)量龐大危害嚴重，在OWASP列出的WEB漏洞排行中一直位列前茅。

如圖1所示根據(jù)OWASP2017和OWASP2021統(tǒng)計的信息，XSS攻擊和注入問題在近十年一直是穩(wěn)居WEB漏洞問題的前列，是常見的網(wǎng)絡攻擊方式。人工智能早在1956年第一次被提出，得益于計算機硬件水平和計算力的迅速發(fā)展，人工智能技術產(chǎn)生了多種突破性的成就，將人工智能用于漏洞檢測一直是熱門話題。目前研究者使用的檢測方法多是基于傳統(tǒng)的機器學習方式和單一的深度學習模型，傳統(tǒng)的機器學習方式在進行分類之前，需要人為對數(shù)據(jù)進行逐條標注，這一方式需要耗費大量的人力物力。而單一的深度學習模型存在樣本需求量大、訓練時間過長和對短文本分類效果欠佳等問題。為了解決上述問題，筆者采用深度學習方法進行實驗，為了增加對比效果，增加了一組機器學習方法。

BiLSTM模型結(jié)構圖如圖1所示。

圖1 BiLSTM模型結(jié)構圖

1 相關理論知識

1.1 LSTM

LSTM模型是RNN模型的一個改良版，RNN模型的缺點在于記錄信息的時候減少了對信息的篩選，導致記錄了很多無效信息，造成了記憶的負擔，LSTM全稱為長短期記憶，把一些噪音進行了過濾，對記憶負擔達成了減輕的效果。

1.2 BiLSTM

BiLSTM是正反向的LSTM通過合理有效的方式構建的，可以充分利用上下文信息。在文本分類的過程中，上下文信息會顯著地影響文本分類的效果，尤其是短文本信息，如GET http：//localhost：8080/tienda1/publico/anadir.jsp?id=2&nombre=Jam%F3n+Ib%E9rico&precio=85&cantidad=%27%3B+DROP+TABLE+usuarios%3B+SELE CT+*+FROM+datos+WHERE+nombre+LIKE+%27%25&B1=A%F1adir+al+carrito HTTP/1.1，如果只看到WHERE+nombre+LIKE+%27%25&B1=A%F1adir+al+carrito，或許會以為這只是查詢數(shù)據(jù)庫的指令，再聯(lián)系前文后發(fā)現(xiàn)這是一條刪庫指令，又或 者GEThttp：//localhost：8080/tienda1/publico/registro.jsp?modo=registro&l ogin=emmeline4&password=ultramun*dana&nombre=Sof%EDa&apellidos=Huitron+Escalo na&email=win%40yes123.bn&dni=95195528T&direccion=Calle+Generalife+S%2FN+12%3FD&ciudad=Santa+Cruz+de+Mudela&cp=24325&provincia=Cantabria&ntc=1891589695823279&B1=Registrar HTTP/1.1 只看中間的一系列長信息會把該請求當成惡意請求，其實結(jié)合前文這只是常規(guī)的注冊請求。

1.3 CNN和膠囊網(wǎng)絡對比

卷積神經(jīng)網(wǎng)絡（CNN），由一個個神經(jīng)元組成，它是一種預測神經(jīng)網(wǎng)絡，其人工神經(jīng)元可以對一定覆蓋范圍內(nèi)的周圍實體做出響應，在大規(guī)模圖像處理方面具有出色的性能。

卷積神經(jīng)網(wǎng)絡由一個或多個卷積層和一個完全連接的頂層（相當于經(jīng)典神經(jīng)網(wǎng)絡）以及相關的權重和一個聚類層組成。這種結(jié)構允許卷積神經(jīng)網(wǎng)絡利用輸入數(shù)據(jù)的二維結(jié)構。與其他深度學習結(jié)構相比，卷積神經(jīng)網(wǎng)絡在圖像和語音識別方面的表現(xiàn)更好。該模型也可以使用反向傳播算法進行訓練。與其他深度和前饋神經(jīng)網(wǎng)絡相比，卷積神經(jīng)網(wǎng)絡需要考慮的參數(shù)更少，這使其成為一種有吸引力的深度學習架構。

膠囊神經(jīng)網(wǎng)絡（CapsNet） 是一種機器學習系統(tǒng)，它是一種人工神經(jīng)網(wǎng)絡（ANN），可用于更好地建模層次關系。該方法是一種更密切地模仿生物神經(jīng)組織的嘗試。這個想法是在卷積神經(jīng)網(wǎng)絡（CNN） 中添加稱為“膠囊”的結(jié)構，并重用其中幾個膠囊的輸出，為更高的膠囊形成更穩(wěn)定的（相對于各種擾動）表示輸出是一個向量，由觀察概率和該觀察的姿勢組成。該向量類似于在CNN中使用定位進行分類時所做的。除了其他好處之外，CapsNets 解決了圖像識別中的“畢加索問題”：圖像具有所有正確的部分，但空間關系不正確（例如，在“臉”中，嘴巴和一只眼睛的位置被交換）。對于圖像識別，CapsNets 利用了這樣一個事實，即雖然視點變化在像素級別具有非線性效應，但它們在零件/對象級別具有線性效應，這可以與反轉(zhuǎn)多個部分的對象的渲染相比較。

CNN模型和膠囊網(wǎng)絡工作原理對比如圖2和圖3所示。

圖2 CNN模型工作原理

圖3 膠囊網(wǎng)絡模型工作原理

1.4 XSS攻擊

XSS漏洞主要分為三種類型：反射型XSS漏洞、XSS持續(xù)漏洞和基于 DOM的XSS 漏洞。

反射型XSS漏洞的特點是通過動態(tài)頁面響應用戶請求，通常會接受一個包含消息文本的參數(shù)，并在響應中將該文本返回給用戶。

XSS 持續(xù)漏洞是跨站點腳本漏洞的一種更具惡意的變體：它發(fā)生在攻擊者提供的數(shù)據(jù)被服務器記錄，然后持續(xù)顯示在“正常”頁面上，然后發(fā)送回其他用戶時。正常瀏覽過程，沒有正確的 HTML 轉(zhuǎn)義。一個典型的例子是在線留言板，它允許用戶以 HTML 格式發(fā)布消息以供其他用戶閱讀。

基于DOM的XSS漏洞注射的方法可以有很大的不同，在某些情況下，攻擊者甚至可能不需要直接與Web功能本身交互來利用這樣的漏洞。Web應用程序接收到的任何可以被攻擊者控制的數(shù)據(jù)（通過電子郵件、系統(tǒng)日志、IM 等）都可能成為注入向量。 基于DOM的XSS漏洞最初是在服務器端執(zhí)行所有數(shù)據(jù)處理的應用程序中發(fā)現(xiàn)的。用戶輸入（包括 XSS 向量）將被發(fā)送到服務器，然后作為網(wǎng)頁發(fā)送回用戶。對改進用戶體驗的需求導致應用程序的流行，這些應用程序的大部分表示邏輯（可能用 JavaScript 編寫）在客戶端工作，使用 AJAX 從服務器按需提取數(shù)據(jù)。由于 JavaScript 代碼也在處理用戶輸入并將其呈現(xiàn)在網(wǎng)頁內(nèi)容中，因此開始出現(xiàn)一種新的反射 XSS 攻擊子類，稱為基于 DOM 的跨站點腳本。在基于 DOM 的 XSS 攻擊中，惡意數(shù)據(jù)不會觸及 Web 服務器。相反，它由 JavaScript 代碼完全反映在客戶端。基于DOM的XSS漏洞的一個示例是2011年在許多jQuery插件中發(fā)現(xiàn)的錯誤。基于 DOM 的 XSS 攻擊的預防策略包括與傳統(tǒng) XSS 預防策略非常相似的措施，但在JavaScript代碼中實現(xiàn)并包含在網(wǎng)頁中（即輸入驗證和轉(zhuǎn)義）。 一些 JavaScript框架具有針對這種攻擊和其他類型攻擊的內(nèi)置對策——例如 AngularJS。

2 實驗

2.1 數(shù)據(jù)

文章使用HTTP DATASET CSIC2010數(shù)據(jù)集，該數(shù)據(jù)集數(shù)據(jù)內(nèi)容如圖4所示，首先把數(shù)據(jù)進行去噪處理，選出其中XSS攻擊的數(shù)據(jù)。

圖4 HTTP DATASET CSIC2010數(shù)據(jù)集內(nèi)容

2.2 模型建立

使用Word2Vec把數(shù)據(jù)向量化，然后把向量化后的數(shù)據(jù)輸入模型，word2Vec是把文字轉(zhuǎn)化為向量的一種模型，它的關鍵詞包括word_2 index、 word-size、inde_2_word。word_2 index統(tǒng)計所有不重復的詞語，在Python中以字典形式儲存，儲存模式為關鍵詞加序號，如{get：0，http：1}， 整個詞語長度統(tǒng)計為word-sizeinde_2_word，與word_2_index正好相反，顯示 為{0：get， 1：http}，word_2_onehot把對 應關鍵詞按照順序轉(zhuǎn)化為向量形式，如get表示為[100000000...000]，http表示為[0100000...0]，0的數(shù)量為統(tǒng)計的單詞總量減一。word2Vec有兩種模型，分別為CBOW模型和Skim_gram模型，兩種模型本質(zhì)相同，都是用一個詞去預測其他詞，區(qū)別在于CBOW使用當前值預測其他值，Skim用其他值預測當前值。本文使用Skim模型，Skim模型如圖4所示。

2.3 試驗評估方法

Accuracy表示所有被正確識別的數(shù)據(jù)的數(shù)量在所有識別數(shù)據(jù)數(shù)量中的占比，如公示（1）所示。

Capsnet結(jié)果為97.6%、CNN結(jié)果為95.6%、BiLSTM結(jié) 果 為91.2%、LSTM結(jié) 果 為88.7%、SVM結(jié)果為84.2%，由上可得膠囊網(wǎng)絡在ACC和Precision方面均超過了其他4種算法，由此可得膠囊網(wǎng)絡模型更適合用于識別XSS攻擊。

3 結(jié)束語

文章提出把膠囊網(wǎng)絡用于XSS攻擊檢測，在同一數(shù)據(jù)集下，使用CNN、LSTM、BiLSTM、SVM進行對比試驗，并采用ACC和Precision指標進行評價，結(jié)果顯示，膠囊網(wǎng)絡各個方面均有更好的效果，且相比于其他幾個深度學習模型，膠囊網(wǎng)絡模型訓練時間更短，因此，以后可以更多地使用膠囊網(wǎng)絡來檢測網(wǎng)絡入侵。