基于廣義隨機Petri網的XSS攻擊行為分析

中圖分類號：TP391 文獻標識碼：A 文章編號：1673-260X（2025）08-0010-05

XSS攻擊的檢測方法，可以分為客戶端檢測方法、服務器檢測方法以及服務器—客戶端檢測方法。傳統(tǒng)的XSS檢測方法是使用XSS過濾器，監(jiān)控HTTP流量或分析靜態(tài)代碼等。然而攻擊者針對這些檢測方法，會采用多種繞過手段，且傳統(tǒng)的檢測無針對性，這會消耗大量安全資源。本文對攻擊者的行為使用廣義隨機Petri網建模，通過攻擊行為的事件日志生成行為序列，并根據行為序列確定廣義隨機Petri網的權重，然后對變遷進行擴展，同時加入時間變遷。通過Petri網的大量模擬運行，評估了單個惡意行為的成功率與失敗率。最后，通過隨機確定有限自動機，對可能發(fā)生的攻擊路徑進行分析，從而優(yōu)化防御策略。

目前，對于XSS攻擊的檢測，根源上沒有脫離傳統(tǒng)的檢測方法。大部分都是在傳統(tǒng)的檢測方法上，結合機器學習和深度學習進行檢測。通過將web源碼提取為圖特征，同時提取代碼字符串的特征，將圖特征和代碼字符串特征進行融合，使用圖卷積神經網絡檢測web源碼是否存在XSS 漏洞[。XSS的有效載荷以及HTML請求也可以進行特征提取，然后使用混合的深度學習模型進行XSS攻擊檢測。對于事件日志的收集，可以先收集web日志，然后將其轉化為標準事件日志格式。廣義隨機Petri網的權重可以通過行為序列中的行為關系進行評估，將Petri網與事件日志作為輸入，輸出廣義隨機Petri網的權重4。廣義隨機Petri網可以對攻擊樹進行建模并分析攻擊樹中每種惡意行為的成功率以及占用整個攻擊過程的時間比。廣義隨機Petri網也可用于威脅建模，通過模擬隨機的威脅來增強軟件設計的可靠性。同時可以構建與廣義隨機Petri網同構的馬爾科夫鏈，基于穩(wěn)態(tài)概率，對蜜罐的性能進行評估。綜上所述，廣義隨機Petri網在系統(tǒng)性能評估與評估離散惡意行為的隨機性方面具有優(yōu)勢。

1Petri網的基本概念

定義1廣義隨機Petri網是一個七元組 （P，T， F，M₀，W，T_i，T_t） 。 （1）P ：描述系統(tǒng)狀態(tài)的庫所集合， T 描述活動的變遷集合，其中 T=T_i∪T_t°（2）F=（P×T）∪ （T×P） ，表示Petri網的流關系。 （3）M₀ 表示Petri網的初始標識。 （4）W 表示權重函數： TR₀ ，為每個變遷分配權重。 （5）T_i 表示瞬時變遷集合， T_t 表示具有負指數分布等待時間的時間變遷集合。且滿足 T_i∩ T_t= 。

定義2設網系統(tǒng) （N，M₀） 其中 N=（P，T，F(xiàn)） 初始標識為 M_0° 對于任意給定的變遷對 （t₁，t₂）∈（T×T）. 滿足以下關系：（1）嚴格序關系：若 t₁gt;t₂ 且 ?_t2A_t1 ，記作t₁?t_2o （2）排他序關系：若 且 ?_t2≠t1 ，記作 t₁+t_2o （3）交叉序關系：若 t₁gt;t₂ 且 t₂gt;t₁ ，記作 t₁//t_2° （4）嚴格逆序關系：若 且 t₂gt;t₁ ，記作 t₁?^-1t_2° 以上幾種關系構成網 N 的行為輪廓，記作 BP={?，?^-1，+} //1。

2基于廣義隨機Petri網的XSS攻擊行為分析

在復雜的網絡環(huán)境中，攻擊者的惡意行為多種多樣。被動防御會消耗大量安全資源且難以制定防御策略。在主動防御中，對多種惡意行為進行建模，并通過事件日志和隨機過程的權重評估器，以及廣義隨機Petri網的大量模擬運行，同時使用馬爾科夫鏈的穩(wěn)態(tài)概率驗證廣義隨機Petri網模擬惡意行為的可行性，以此確定惡意行為的優(yōu)先級。這種方法能夠提前識別和應對潛在威脅，從而預防或減輕攻擊的影響。

2.1廣義隨機Petri網的權重評估

定義3均值縮放活動對評估器4的評估計算方法如下：

（1）L 表示事件日志， T 表示事件類型集合，即日志中所有可能的事件類型， Φ_t^t 表示特定的事件類型。

（2）q_I（L，t） 表示日志 L 中以事件類型 χ_t 作為開始事件的跡數量。 q_F（L，t） 表示在日志 L 中以事件類型 χ_t 作為結束事件的跡數量。 q_P（L，t，s） 表示事件序列 在日志 L 中出現(xiàn)的次數。

（3）t ·表示與事件類型 χ_t 直接后繼的所有事件類型的集合。

（4）IILI表示事件日志 L 包含事件的數量。I71表示事件類型集合包含事件類型的數量

根據已知的事件日志，提取用戶的行為信息，然后使用均值縮放活動對評估器對廣義隨機Petri網中具有排他序關系的變遷進行權重評估。均值縮放活動對評估器的優(yōu)勢在于評估權重不受事件日志大小的影響。

2.2 驗證廣義隨機Petri網模擬的準確性

定義4馬爾科夫鏈[]是一個四元組 （S，π₀，P {X_t}） ，其中：（1）S是狀態(tài)空間； （2）π₀ 是初始狀態(tài)分布； （3）P 是轉移概率矩陣；（4） {X_t} 是隨機變量序列，表示在不同時間點的狀態(tài)。

對于馬爾科夫鏈的狀態(tài)空間 s ，其節(jié)點代表當前攻擊者處于攻擊路徑中的某種狀態(tài)。節(jié)點之間的弧代表觸發(fā)惡意行為 T ，進入下一攻擊階段。在描述惡意攻擊行為時，初始狀態(tài)總是起始于開始攻擊狀態(tài)，所以初始狀態(tài)分布為： 。該馬爾可夫鏈的轉移矩陣可表示為：

Q=[q_ij]_n×n

其中 n 是狀態(tài)空間 s 的大小， q_ij?0 ，且 i≠j ，為了描述攻擊者的離散攻擊行為，該轉移矩陣對角線元素為-1，即

其表現(xiàn)了攻擊狀態(tài)轉移的必然性。且該轉移矩陣具有行和為0的特性，即 ，這意味著攻擊者離開上一狀態(tài)，進入下一狀態(tài)的速率總是相同的。由轉移矩陣可計算穩(wěn)態(tài)概率： πQ=0 ，其中 π 為穩(wěn)態(tài)概率向量。在廣義隨機 Petri 網大量模擬后，其趨于穩(wěn)定的庫所平均占有token數約等于 π 中元素。

2.3 攻擊路徑的成功率估計

定義5隨機性確定有限自動機（SDFA）[可以表示為一個五元組 （S，Σ，δ，p，s₀）_：（1）S 是狀態(tài)的有限集合； （2）Σ 是活動的字母表，包含了事件日志中所有的活動類型； （3）δ：S×ΣS 是狀態(tài)轉移函數，它定義了在給定狀態(tài)和活動下的下一狀態(tài)； （4）p：S×2 [0，1]是概率函數，表示在某狀態(tài)下執(zhí)行特定活動的概率； （5）s₀∈S 是系統(tǒng)的初始狀態(tài)。

SDFA從開始攻擊狀態(tài) s₀ 開始運行，在任意攻擊階段 s ，執(zhí)行惡意行為 χ_t 的概率由函數 p（s，t） 給出。行為 χ_t 被執(zhí)行后，系統(tǒng)根據轉換函數 δ（s，t） 進入下一個攻擊階段。如果一個行為 χ_t 無法在某狀態(tài)下被執(zhí)行，即 p（s，a）=0 ，則此行為不會發(fā)生。

SDFA可以考慮活動的序列依賴性，即每一步的概率要反映之前的活動對當前行為的影響，即攻擊者的前綴跡的發(fā)生概率直接影響了后續(xù)攻擊行為的成功率。

由事件日志確定 SDFA 的步驟如下]。 （1）對于事件日志中的每條跡，從開始攻擊狀態(tài) s₀ 開始處理事件。對于每個事件，如果SDFA中已經有對應的狀態(tài)轉移，則直接遵循該轉移。如果沒有，則創(chuàng)建新的狀態(tài)和相應的轉移。（2）SDFA根據事件序列的處理過程，構建出樹形的狀態(tài)轉移結構。每個新增的狀態(tài)和行為都表示跡中的事件序列。每個攻擊策略對應樹中的一條路徑。（3）對于每次狀態(tài)轉移，記錄其對應行為在事件日志中出現(xiàn)的次數。同時記錄跡在特定的狀態(tài)下的終止次數。終止狀態(tài)的計數用于表示攻擊成功或失敗，在跡的最后一個事件終止，則攻擊成功。反之，失敗。（4）將計數結果歸一化，生成每次轉移的概率，以此基于事件日志可以預測不同攻擊路徑的可能性。

3 XSS攻擊實例分析

為驗證上述方法的可行性，以常見的XSS攻擊為例，其中考慮三種常見的XSS攻擊方法，即反射型、存儲型、DOM型XSS攻擊，同時考慮防御策略繞過手段，以及攻擊過程中可能發(fā)生的惡意行為，為了攻擊過程的完整性，同時加入了部分用戶行為。記錄行為的事件日志包含以下事件：A（提交表單），B（輸入驗證繞過），C（輸出轉義繞過），D（CSP繞過），E（組合繞過），F(xiàn)（更換Payload），G（偽造DOM型不可信頁面），H（偽造不可信頁面），I（惡意代碼存入數據庫），J（用戶正常訪問），K（執(zhí)行繞過策略后提交表單），L（用戶在不可信網站提交請求），M（下一次攻擊）。事件日志如表1所示。

表1事件日志

從已知的事件日志及行為輪廓關系，可以得到包含上述行為的廣義隨機 Petri 網模型 M₀ ，該模型滿足活性，安全性，且無死鎖。 M₀ 的靜態(tài)結構可以被描述為以下流關系： F={（P_s，T_A），（T_A，P_A），（P_A，T_I），（T_I， P_B），（P_B，T_J），（T_J，P_E），（P_s，T_B），（T_B，P_C），（P_C，T_K），（T_K，P_A），（P_s，T_C）， （T_cP_c），（P_s，T_D），（T_D，P_C），（P_s，T_E），（T_E，P_C），（P_s，T_F），（T_F，P_C），（P_s，T_G） （T_G，P_D），（P_D，T_L），（T_L，P_E），（P_s，T_H），（T_H，P_D），（P_E，T_M），（T_M，P_s）} ，其中， .T_A，T_B，T_C，T_D，T_E 和 T_F 之間的排他關系用于建模存儲型XSS攻擊下，攻擊者的不同路徑選擇。而 T_G 和 T_H 之間的排他關系用于建模反射型XSS攻擊下的不同路徑。在模型 M₀ 的初始狀態(tài)下，僅在庫所 P_s 中存在一個token。

其中， P_A 表示上傳攻擊代碼， P_B 表示存儲型XSS， P_c 表示繞過XSS防護， P_p 表示誘騙用戶觸發(fā)攻擊代碼，PE表示數據泄露或頁面篡改，同時該庫所代表一次攻擊的結束。

變遷 ΔT_A 表示提交表單， T_B 表示輸入驗證繞過，T_c 表示輸出轉義繞過， T_p 表示CSP繞過， T_E 表示組合繞過， T_F 表示選擇payload，TG表示偽造靜態(tài)不可信網站， T_H 表示偽造不可信網站，T表示惡意代碼存入數據庫， T_J 表示用戶正常訪問頁面， T_K 表示執(zhí)行繞過策略后提交表單， T_L 表示用戶在不可信網站提交請求。最后， ΔT_M 表示進行下一次攻擊。

由模型 M₀ 與事件日志可知，攻擊者可選擇的攻擊路徑具有多樣性。在模型中表現(xiàn)為行為A、B、C，D，E，F(xiàn)，G，H 之間的復雜排他序關系。基于事件日志與行為序列中相鄰活動之間的嚴格序關系，結合均值縮放活動對評估器對具有排他序關系的變遷進行權重估計。下面對于變遷A的權重確定進行舉例說明。通過事件日志表可知，以活動A開頭的行為序列 有1041個實例，即 q_I （204號 （L，t）= ¹041，q_F（L，t）=0 ，其中含有序列 的實例數為1041 ，即 q_P（L，t，s）=1041 ，其中ILII=5 980， ∣T∣=13 。通過計算并權重歸一化可得，變遷A的權重約為0.1741。變遷的具體權重如表2所示，非排他關系的變遷權重均為1。

變遷的權重等價于攻擊者的行為偏好。在攻擊者的多次攻擊后，庫所中持有的平均token數趨于穩(wěn)定，使得明確攻擊者的意圖。

表2變遷權重

為了驗證廣義隨機Petri網的模擬運行結果呈現(xiàn)了攻擊者的意圖，通過將廣義隨機Petri網轉為同構的馬爾科夫鏈并計算其穩(wěn)態(tài)概率驗證庫所中token的穩(wěn)態(tài)。基于Petri網的馬爾科夫鏈的轉移矩陣如下所示：

其穩(wěn)態(tài)概率如下所示：

PIPE[2是一個用于性能建模和分析的工具，特別適用于基于Petri網的系統(tǒng)建模。通過該工具，可以對XSS攻擊過程的不同狀態(tài)精確建模，從而對動態(tài)的惡意行為進行深入分析。使用PIPE模擬Petri網運行的結果如表3所示，表3驗證了Petri網的模擬運行結果可以作為大量攻擊的穩(wěn)態(tài)。表中各庫所的平均token數的總數約為1，且仿真模擬結果與理論的穩(wěn)態(tài)概率一致。

表3模擬運行10000次庫所中token的穩(wěn)態(tài)

在模型 M₀ 的基礎上，將攻擊者的每一種行為的后續(xù)擴展為成功與失敗，使用時間變遷分別對行為的成功與失敗進行擴展。如果惡意行為成功則進入攻擊成功階段，如果失敗則重新進入開始攻擊階段。即在時間變遷中消耗的時間占比分別表示成功與失敗。擴展后的Petri網模型 M₁ 如圖1所示，模型中所有弧的權重均為1。

模型 M₁ 模擬運行結果如圖2、3所示。

圖2展示的是，每個庫所流向代表惡意行為成功或者失敗的庫所的平均token數。由圖3可知，通過 M_i 的大量運行，即在穩(wěn)態(tài)下，總體惡意行為成功的概率為 54.89% 。失敗的概率為 45.11% 。圖中其他的柱狀均表示一次攻擊下發(fā)生對應惡意行為的成功與失敗的穩(wěn)態(tài)概率。

圖1擴展的Petri網模型 M₁

圖2庫所的平均token數

圖3通過時間變遷估計的成功率與失敗率情況

假設攻擊者的行為必然成功，各個行為相互獨立。為了進一步評估攻擊者的攻擊路徑，下面使用SDFA對攻擊路徑的發(fā)生概率進行評估。基于已知的事件日志，進行增量構建SDFA，以跡 為例，其SDFA的狀態(tài)轉移如圖4所示。

圖4跡的SDFA狀態(tài)轉移

由此，計算該狀態(tài)轉移的累計轉移概率即為該攻擊路徑的發(fā)生概率，其中，對于狀態(tài)轉移 δ（S₀A）= S₁ ，轉移概率為 P（S₀，A）=0.174 1 ，其他狀態(tài)轉移概率均為1，所以該攻擊路徑的發(fā)生概率為0.1741。所有攻擊路徑的發(fā)生概率如圖5所示。

圖5攻擊路徑的發(fā)生概率

4結語

本文在現(xiàn)有研究的基礎上，給出了基于廣義隨機Petri網的XSS攻擊分析方法。傳統(tǒng)的XSS攻擊檢測主要采用基于規(guī)則庫的被動防御模式，且依賴規(guī)則更新，忽略攻擊者的隨機繞過策略。而本文的方法是結合歷史事件日志與廣義隨機Petri網模型估算惡意行為與攻擊路徑的概率，此概率可用于后續(xù)主動調整防御策略，以適應攻擊者不斷變化的攻擊手段。該方法首先利用已知的事件日志和行為輪廓構建初始的攻擊模型，并為模型中的變遷賦予適當的權重。隨后，通過在該模型中引入時間變遷，對模型進行了擴展。擴展后的模型通過模擬運行，能夠評估每種惡意行為的成功率。最后，通過分析每一條攻擊路徑的SDFA的狀態(tài)轉移，得到每條攻擊路徑的發(fā)生概率。通過對本文實例的具體分析，根據文中提供的事件日志，得到總體的攻擊成功概率為 54.89% 。

本方法的局限性在于隨著攻擊路徑的隨機性更加復雜，所擴展出的廣義隨機Petri網也會更加復雜，從而增加了分析的難度。未來的研究可以在現(xiàn)有方法的基礎上，實現(xiàn)建模與分析過程的自動化，以有效降低分析的復雜性。此外，可以在建模過程中進一步細化事件日志信息，更深層地分析攻擊者的行為，以此做出更精準的防御策略。

參考文獻：

[1]Liu Z， Fang Y，Huang C， et al. MFXSS： An effective XSS vulnerability detection method inComputers amp; Security， 2023， 124： 103015.

[2]Tadhani JR， Vekariya V， Sorathiya V， et al. Securing web applications against XSS and SQLi attacks using a novel deep learning approach []. Scientific Reports， 2024，14（01）： 1803.

[3]Alkofahi H. Business Rules Discovery in Web Application through Process Mining [D]. Auburn University， 2020.

[4]Burke A， Leemans S J J， Wynn M T. Stochastic process discovery by weight estimation [C]//International Conference on Process Mining. Cham： Springer International Publishing，2020： 260-272.

[5]Dalton， Mills， Colombi，et al. Analyzing attack trees using generalized stochastic petri nets [C]// 2006 IEEE Information Assurance Workshop. IEEE，2006：116-123.

[6]SheriefNH，Abdel-Hamid A A，MaharKM. Threat-driven modeling framework for secure software using aspect-oriented Stochastic Petri nets [C]//201O The 7th International Conference on Informatics and Systems（INFOS）． IEEE， 2010：1-8.

[7]Shi L，Li Y，F(xiàn)eng H. Performance analysis of honeypot with petri nets[J]. Information， 2018， 9 （10）： 245.

[8]吳哲輝.Petri網導論[M].北京：機械工業(yè)出版社， 2006.

[9]方賢文.Petri 網行為輪廓理論及其應用[M].上 海：上海交通大學出版社，2017.

[10]Ross S M. Introduction to probability models [M]. Academic press， 2014.

[11]Leemans S J J， Polyvyanyy A. Stochastic-aware precision and recall measures for conformance checking in process miningU]. Information Systems，2023，115：102197.

[12]Bonet P，Lladó C M， Puijaner R，et al. PIPE v2. 5： A Petri net tool for performance modelling [C]//Proc.23rd Latin American Conference on Informatics （CLEI 2007）. 2007.