Web前端組件中的跨站腳本攻擊檢測算法研究

摘" 要： 前端組件涉及多個數據流，包括用戶輸入、服務器返回的數據等，惡意腳本會隱藏在這些數據流中，且跨站腳本攻擊存在變異性和不確定性，導致對其檢測困難。因此，提出一種Web前端組件中的跨站腳本攻擊檢測算法。使用基于網絡爬蟲的Web前端組件跨站腳本信息抓取模型，抓取不重復冗余的Web前端組件跨站腳本信息；再將所抓取的腳本信息作為多分類支持向量機算法的訓練樣本。檢測之前，在權威Web漏洞提交平臺Exploit?db中，提取大規模變形跨站腳本信息樣本，使用訓練完畢的多分類支持向量機對抓取的腳本信息進行分類和檢測。實驗結果表明，所提算法對100條反射型跨站腳本攻擊、50條存儲型跨站腳本攻擊、10條DOM型跨站腳本攻擊的數據分類結果準確，且分類結果的樣本分布中，攻擊跨站腳本會按照攻擊類型有序分布。

關鍵詞： Web前端組件； 跨站腳本； 攻擊檢測； 網絡爬蟲； 信息抓取； 多分類支持向量機

中圖分類號： TN911?34； TP393.08" " " " " " " " " "文獻標識碼： A" " " " " " " " " 文章編號： 1004?373X（2024）14?0030?05

Research on cross site scripting attack detection algorithm in Web front?end components

LI Xinrong， XIE Shaomin

（School of Computer Engineering， Guilin University of Electronic Science and Technology， Beihai 536000， China）

Abstract： The front?end components involve multiple data streams， including user input， server returned data， etc. Malicious scripts can be hidden within these data streams， and cross site scripting attacks have variability and uncertainty， making it difficult to detect them. Therefore， a cross site scripting attack detection algorithm in Web front?end components is proposed. The web crawler based cross site script information crawling model for Web front?end components is used to capture non redundant cross site script information for Web front?end components. The captured script information is used as training samples for the multi classification support vector machine algorithm. Before detection， large?scale deformation cross site script information samples are extracted from the authoritative Web vulnerability submission platform Exploit?db， and a trained multi class support vector machine is used to classify and detect the captured script information. The experimental results show that this algorithm has accurate classification results for 100 reflective cross site script attacks， 50 storages cross site script attacks， and 10 DOM cross site script attacks. Moreover， in the sample distribution of the classification results， the attack cross site scripts can be distributed in an orderly manner according to the type of attack.

Keywords： Web front?end components; cross site scripting; attack detection; web crawler; information capture; multi classification support vector machine

0" 引" 言

跨站腳本（Cross?Site Scripting， XSS）漏洞是當下Web前端組件中出現最多的攻擊模式。此類攻擊行為出現后，訪問者能夠通過Web前端組件應用程序的漏洞，在網頁輸入區域傳輸攻擊腳本代碼，腳本代碼提交完畢，再次進入客戶端便會嵌入Web前端組件[1?2]。此時如果用戶訪問Web前端組件的應用程序，便會受到此類腳本代碼惡意入侵，攻擊者便會獲取用戶的敏感信息。為此，研究Web前端組件中的跨站腳本攻擊檢測方法是十分必要的[3]。

倪萍等人通過向目標應用程序輸入大量隨機或半隨機的數據，觀察其異常反應來發現潛在安全漏洞。檢測過程中，模糊測試能夠自動地生成和輸入大量測試用例，提高漏洞檢測的效率[4]。但傳統的模糊測試方法通常是盲目的，缺乏對目標應用程序內部邏輯的理解，因此可能無法有效地檢測所有可能的攻擊行為。程琪芩等人在跨站腳本檢測問題中，使用基于模糊測試和機器學習的方法，自動學習和識別應用程序中的潛在漏洞模式，降低了對人工干預的需求[5]。但該方法僅針對特定類型的應用程序進行訓練，可能會在面對不同類型攻擊行為時表現不佳。

基于此，為優化Web前端組件中跨站腳本攻擊檢測的效果，本文提出一種Web前端組件中的跨站腳本攻擊檢測算法。使用基于網絡爬蟲的Web前端組件跨站腳本信息抓取模型，抓取不重復冗余的Web前端組件跨站腳本信息；再將所抓取的腳本信息作為多分類支持向量機算法的訓練樣本。檢測之前，在權威Web漏洞提交平臺Exploit?db中，提取大規模變形跨站腳本信息樣本，使用訓練完畢的多分類支持向量機對抓取的腳本信息進行分類和檢測。實驗結果表明，所提算法對100條反射型跨站腳本攻擊、50條存儲型跨站腳本攻擊、10條DOM型跨站腳本攻擊的數據分類結果準確，且分類結果的樣本分布中，攻擊跨站腳本會按照攻擊類型有序分布。

1" 跨站腳本攻擊檢測算法

1.1" 基于網絡爬蟲的Web前端組件跨站腳本信息抓取模型

Web前端組件是構建Web應用程序用戶界面的重要模塊[6]，包括按鈕、輸入框、導航欄、列表等常見UI元素和功能模塊。這些組件可以單獨使用，也可以組合在一起構建更復雜的用戶界面[7?9]。為了增強Web應用程序的安全性，使用網絡爬蟲技術抓取Web前端組件信息，用于后續跨站腳本攻擊檢測。跨站腳本攻擊是Web應用程序中常見的安全威脅，會對用戶隱私和數據安全產生嚴重影響。本文通過抓取Web前端組件的跨站腳本信息，提高Web應用程序的安全性和可靠性。相比于傳統的手動收集方式，網絡爬蟲能夠自動化地抓取大量組件數據，并提供更全面、準確的樣本進行進一步分析和研究。

基于網絡爬蟲的Web前端組件跨站腳本信息抓取模型的技術框架圖如圖1所示。

1） Web前端組件跨站腳本信息采集模塊。讀入初始網頁，再進入跨站腳本信息檢索環節，在遍歷已有的腳本鏈接隊列模塊信息的基礎之上，檢索并下載存在關聯的跨站腳本所在網頁內容。

2） Web前端組件跨站腳本信息分析模塊。將采集的跨站腳本所在網頁內容進行整理，并與URL進行匹配處理。

3） 篩選全部URL，去除重復的URL。

4） 將篩選的URL整理為鏈接隊列，用于后續跨站腳本攻擊檢測[10]。

1.2" 基于多分類支持向量機的攻擊檢測算法

1.2.1" 變形跨站腳本信息訓練樣本抽取

因Web前端組件跨站腳本信息受規則庫與黑名單所約束，在未知類型跨站腳本攻擊的檢測過程中，檢測難度較大。而使用機器學習技術訓練大量已知類型的變形跨站腳本信息，構建攻擊檢測模型，便可識別未知類型的跨站腳本攻擊。但在設計跨站腳本分類器時，Web前端組件跨站腳本信息特征數據的使用十分重要。在權威Web漏洞提交平臺Exploit?db中，提取大規模變形跨站腳本信息樣本，利用這些樣本進行機器學習訓練，構建一個多分類支持向量機，用于識別和檢測未知類型的跨站腳本攻擊。跨站腳本信息特征類型如表1所示。

將跨站腳本信息特征數據進行向量化處理，若某個跨站腳本攻擊樣本中，攻擊關鍵詞字符數量、特殊字符頻率數量分別是[b]個、[a]個，數字字符頻率數量是[e]個；第三方域名數量、訪問請求的字符數分別為[c]個、[f]個，此時跨站腳本信息特征樣本向量化處理后變成：

[?=b，a，e，c，f]

本文將其作為多分類支持向量機訓練樣本。

1.2.2" 多類型跨站腳本攻擊檢測算法

Web前端組件跨站腳本信息抓取模型提供了抓取到的真實數據，用于提取特征并作為訓練數據的一部分。而大規模變形跨站腳本信息樣本用于樣本訓練，使模型能夠學習到不同類型的變形跨站腳本攻擊的特征。兩者緊密協作，可以提高跨站腳本攻擊檢測的準確性。在這個過程中，支持向量機被廣泛應用于跨站腳本攻擊的分類問題中。作為一種常用的線性分類器，支持向量機在跨站腳本的正常與攻擊這種線性二分類問題中具有顯著的分類能力，其原始形式如下：

[minβ，o，δj12β22+εj=1nμj] （1）

[s.t.φjβ?γ?j+θ≥1-μj] （2）

[μj≥0] （3）

式中：[?j，φj]、[β]分別代表跨站腳本特征數據樣本與樣本類型（正常/攻擊）、正常/攻擊分類超平面的權重；[θ]代表偏置項，表示跨站腳本特征數據樣本分類的閾值；[μj]、[ε]分別代表松弛系數、懲罰系數；[γ?j]代表映射函數。

跨站腳本攻擊檢測時，腳本特征數據樣本分類函數為：

[gβ，θ?=sgnβT?+θ] （4）

設置跨站腳本信息特征樣本分類間隔是[2β]，間隔最大時，[β2]最小。[β22]最小化的分類面即為腳本攻擊檢測的最優分類面。

因跨站腳本攻擊類型較多，為此，需構建多分類支持向量機模型，把[?=b，a，e，c，f]的攻擊類型設成[p]種，將[p]種腳本攻擊行為看成[p]個二類分類，各個二類分類中存在全部腳本攻擊樣本。

在第[j]個腳本攻擊行為的二類分類過程中，第[j]類與其他類為不同類，則[p]個二類分類的判斷函數結合，便可構建為[p]類腳本攻擊類型的判決函數。使用此函數分類跨站腳本特征數據樣本，若僅存在第[j]個分類結果是屬于第[j]類攻擊模式，剩下的判決函數均屬于其他攻擊模式，那么此樣本即為第[j]類腳本攻擊模式。綜上所述，跨站腳本攻擊檢測算法流程如圖2所示。

綜上所述，基于支持向量機，通過特征提取與訓練數據獲取，并進行多分類支持向量機模型構建，實現了對跨站腳本攻擊的準確檢測。該算法能夠有效提取特征并使用支持向量機分類器進行準確分類，對不同類型的跨站腳本攻擊具有較高的識別能力。

2" 實驗分析

為了驗證Web前端組件中的跨站腳本攻擊檢測算法的整體有效性，進行下述實驗。實驗中，使用Nikto模擬攻擊工具、XSpear模擬攻擊工具、Xsser模擬攻擊工具，分別模擬100條反射型跨站腳本攻擊、50條存儲型跨站腳本攻擊、10條DOM型跨站腳本攻擊數據；并在不同漏洞網站中，依次將跨站腳本攻擊信息數據與正常數據混合，用于測試本文算法的檢測效果。搭建的實驗環境配置圖如圖3所示。

由圖3可知，實驗環境中的核心設備分別是Web服務器、交換機、模擬攻擊機。模擬攻擊機以惡意用戶身份向Web服務器發送攻擊行為，若所提算法檢測到攻擊行為，便會直接對Web服務器客戶端發送異常響應信息。

2.1" 網絡爬蟲技術使用效果測試

測試所提算法使用網絡爬蟲技術前后，Web前端組件中的跨站腳本信息的抓取效果，使用網絡爬蟲技術前的抓取方法主要為人工篩選技術，測試結果如表2所示。使用網絡爬蟲技術之前，跨站腳本信息的抓取速度較慢，且有效數據比例較低，耗費時間較多；而使用網絡爬蟲技術后，跨站腳本信息的抓取速度耗時明顯縮短，且有效數據量比例提升。實驗證明了所提算法使用網絡爬蟲技術，能夠優化跨站腳本信息的抓取效果。

2.2" 跨站腳本攻擊檢測效果測試

所提算法對100條反射型跨站腳本攻擊、50條存儲型跨站腳本攻擊、10條DOM型跨站腳本攻擊數據的檢測結果如圖4所示。

由圖4可知，所提算法在對100條反射型跨站腳本攻擊、50條存儲型跨站腳本攻擊和10條DOM型跨站腳本攻擊數據進行檢測時，表現出較高的準確性。這表明所提算法具有一定的泛化能力，能夠適應不同類型跨站腳本攻擊的特征，并進行準確的分類與識別。該算法通過大規模變形跨站腳本信息樣本的訓練，使模型能夠學習到不同類型跨站腳本攻擊的特征，提高了跨站腳本攻擊檢測的準確性。所提算法利用多分類支持向量機模型分類多類型攻擊數據的樣本分布圖如圖5所示。

由圖5可知，所提算法利用多分類支持向量機模型分類多類型跨站腳本攻擊行為特征數據后，不僅可分類正常、攻擊的跨站腳本樣本，而且在跨站腳本攻擊分類結果的樣本分布中，攻擊跨站腳本會按照攻擊類型有序分布，由此證實了所提算法對多類型攻擊數據的檢測性能較為顯著。這個結果表明，所提算法能夠有效地將不同類型的跨站腳本攻擊進行分類，并區分出各種攻擊類型之間的差異。多分類支持向量機模型的應用使得算法能夠學習到各種不同類型跨站腳本攻擊的特征，并進行準確的分類。

所提算法使用前后，三組跨站腳本攻擊數據的檢測耗時如圖6所示。

由圖6中對比可知，所提算法使用后三組跨站腳本攻擊行為數據的檢測耗時，雖然也會隨著混合樣本數量增多而增多，但增幅并不顯著，且所提算法的攻擊檢測耗時明顯縮短，說明所提算法在跨站腳本攻擊檢測問題中效率較高。這是因為該方法通過引入特征提取和支持向量機分類器等技術，能夠在較短的時間內對跨站腳本攻擊進行準確的分類與識別。

3" 結" 論

Web前端組件中一個有效的跨站腳本攻擊檢測算法應該能夠準確地識別出攻擊腳本信息數據。準確性是算法的基本要求，否則會導致漏報或誤報，給安全防護帶來隱患。本文所提出的Web前端組件中的跨站腳本攻擊檢測算法可準確檢測跨站腳本的攻擊腳本信息數據，且檢測耗時短，具有應用價值。結合所提方法，針對防范跨站腳本攻擊，對開發者提出以下幾點防御建議。

1） 在Web前端組件中，對用戶輸入的信息進行適當地驗證和過濾，以防止陌生用戶的惡意腳本注入。

2） 對輸出進行適當編碼，以防止惡意腳本被解析和執行。

3） 使用內容安全策略（CSP）來限制Web前端組件中可以執行的腳本和加載的資源。

4） 及時更新和修補Web前端組件中的Web應用程序和相關庫，以防止已知的安全漏洞被利用。

注：本文通訊作者為謝紹敏。

參考文獻

[1] 李子東，姚怡飛，王微微，等.基于機器視覺的Web應用頁面元素識別及可視化腳本生成[J].計算機科學，2022，49（11）：65?75.

[2] 劉玉婷，劉茗，王保衛，等.腳本事件預測：方法、評測與挑戰[J].計算機應用研究，2023，40（5）：1303?1311.

[3] 孫盼，王琪，萬懷宇.結合事件鏈與事理圖譜的腳本事件預測模型[J].計算機工程，2022，48（4）：119?125.

[4] 倪萍，陳偉.基于模糊測試的反射型跨站腳本漏洞檢測[J].計算機應用，2021，41（9）：2594?2601.

[5] 程琪芩，萬良.改進編碼?解碼框架下的跨站腳本檢測[J].計算機工程與設計，2021，42（1）：44?50.

[6] 林雍博，凌捷.基于殘差網絡和GRU的XSS攻擊檢測方法[J].計算機工程與應用，2022，58（10）：101?107.

[7] 孫力立，武成崗，許佳麗，等.腳本語言執行引擎的模糊測試技術綜述[J].高技術通訊，2022，32（12）：1226?1235.

[8] 張海軍，陳映輝.語義分析及向量化大數據XSS入侵識別[J].南開大學學報（自然科學版），2021，54（2）：1?12.

[9] 施瑞恒，朱云聰，趙易如，等.ROP漏洞利用腳本的語義還原和自動化移植方法[J].計算機科學，2022，49（11）：49?54.

[10] 夏文英，翟偉芳，卞雪梅.DOM型跨站腳本網絡攻擊防御有效路徑模擬[J].計算機仿真，2021，38（5）：260?263.

[11] 胡天樂.基于深度學習的跨站腳本檢測研究[D].上海：上海師范大學，2023.

[12] 朱思猛，杜瑞穎，陳晶，等.基于循環神經網絡的Web應用防火墻加固方案[J].計算機工程，2022，48（11）：120?126.

[13] 許丹丹，徐洋，張思聰，等.基于DCNN?GRU模型的XSS攻擊檢測方法[J].計算機應用與軟件，2022，39（2）：324?329.

[14] 王陽.基于機器學習的跨站腳本攻擊檢測方法的研究與實現[D].南京：南京郵電大學，2022.

[15] 胡乙丹.基于卷積神經網絡的跨站腳本攻擊檢測模型[J].艦船電子工程，2023，43（6）：110?115.