秘鑰交換環(huán)境下Web安全漏洞智能檢測(cè)研究

劉瑞軍

摘 要： 為提高Web軟件和網(wǎng)站的安全性，保護(hù)用戶數(shù)據(jù)不受損傷，提出秘鑰交換環(huán)境下Web安全漏洞智能檢測(cè)方法。通過(guò)研究秘鑰交換環(huán)境下Web安全漏洞的產(chǎn)生機(jī)理，設(shè)計(jì)安全性能更高的秘鑰交換安全協(xié)議，在此基礎(chǔ)上，從SVN服務(wù)器中解析出Web軟件或網(wǎng)站的源代碼，選定用于檢測(cè)Web安全漏洞的功能插件并進(jìn)行驅(qū)動(dòng)，使用規(guī)則表達(dá)式規(guī)范功能插件的檢測(cè)規(guī)則，從而檢測(cè)出秘鑰交換環(huán)境下的Web安全漏洞。實(shí)驗(yàn)結(jié)果表明，該方法在秘鑰交換環(huán)境下的檢測(cè)可靠性高、靈活性強(qiáng)。

關(guān)鍵詞： 秘鑰交換環(huán)境； Web安全漏洞檢測(cè)； SVN； 規(guī)則表達(dá)式

中圖分類(lèi)號(hào)： TN915.08?34； TP393.08 文獻(xiàn)標(biāo)識(shí)碼： A 文章編號(hào)： 1004?373X（2017）09?0089?04

Abstract： In order to improve the security of Web software and Web site， and protect the user data free from the damage， a Web security vulnerabilities intelligent detection method in the secret key exchange environment is put forward. The production mechanism of the Web security vulnerabilities in the secret key exchange environment is studied to design the secret key exchange security protocol with higher safety performance. On this basis， the source code of Web software or Web site is parsed in SVN server. The function plugin to detect the Web security vulnerabilities is selected and driven. The regulation expression is used to regulate the detection rule of the function plugin to detect the Web security vulnerabilities in the secret key exchange environment. The experimental results show that the method has high detection reliability and strong flexibility in the secret key exchange environment.

Keywords： secret key exchange environment； Web security vulnerabilities detection； SVN； regulation expression

0 引 言

在經(jīng)濟(jì)與科技的高速發(fā)展下，Web用戶出現(xiàn)了大幅度增長(zhǎng)，Web安全漏洞造成的問(wèn)題也日漸凸顯出來(lái)。近期的暴露報(bào)告指出，9成以上的Web軟件和網(wǎng)站的安全防護(hù)協(xié)議不健全，跨站腳本攻擊、結(jié)構(gòu)化查詢(xún)語(yǔ)言注入以及協(xié)議偽造占據(jù)了Web安全漏洞的50%以上，并且接近80%的漏洞產(chǎn)生于應(yīng)用層，秘鑰交換環(huán)境是Web安全漏洞的重災(zāi)區(qū)[1]，為各行各業(yè)帶來(lái)了不小的沖擊。在過(guò)去，網(wǎng)絡(luò)防火墻能夠阻隔接近98%的秘鑰交換環(huán)境下的Web安全漏洞，但隨著Web協(xié)議和通信秘鑰不斷被破解，網(wǎng)絡(luò)防火墻甚至于Web安全漏洞智能檢測(cè)系統(tǒng)都不能100%地維護(hù)Web軟件和網(wǎng)站的信息安全，一些人利用安全漏洞竊取用戶隱私，進(jìn)一步加大了人身與財(cái)產(chǎn)的安全隱患[2]。因而，開(kāi)展對(duì)秘鑰交換環(huán)境下Web安全漏洞智能檢測(cè)的研究，為經(jīng)濟(jì)與科技的發(fā)展提供安全防護(hù)，在當(dāng)代社會(huì)具有非常重要的現(xiàn)實(shí)意義。

1 問(wèn)題描述

使用秘鑰交換協(xié)議進(jìn)行網(wǎng)絡(luò)通信的狀態(tài)統(tǒng)稱(chēng)為秘鑰交換環(huán)境，秘鑰交換環(huán)境的安全協(xié)議口令精簡(jiǎn)、熵值小，為用戶提供便利的同時(shí)也方便了黑客對(duì)Web軟件和網(wǎng)站的攻擊，尤其是字典攻擊，黑客只需利用計(jì)算機(jī)編制簡(jiǎn)單的解密算法，就能夠猜測(cè)出秘鑰交換協(xié)議口令，這種情況不可避免地造成了Web安全漏洞[3]，因此，研究Web安全漏洞智能檢測(cè)的初衷就是使秘鑰交換環(huán)境能夠自動(dòng)抵御字典攻擊。

秘鑰交換環(huán)境的安全協(xié)議類(lèi)型多種多樣，應(yīng)用較廣的是“用戶?服務(wù)端”類(lèi)型，但這種類(lèi)型在大范圍數(shù)據(jù)通信中需要應(yīng)用到多個(gè)服務(wù)端，并提供多種不同的口令。雖減少了Web安全漏洞，卻增加了通信難度[4]?？紤]到以上因素，本文提出一種秘鑰交換環(huán)境下的Web安全漏洞智能檢測(cè)方法，以單獨(dú)服務(wù)端進(jìn)行數(shù)據(jù)的接收和發(fā)送，同時(shí)提供多種口令來(lái)維護(hù)安全性能，并在秘鑰交換環(huán)境中設(shè)置用戶的絕對(duì)信任區(qū)域來(lái)削減通信難度，當(dāng)環(huán)境受到攻擊時(shí)，需要檢測(cè)Web安全漏洞中是否存在攻擊痕跡，并主動(dòng)將口令共享到絕對(duì)信任區(qū)域，重新構(gòu)建數(shù)據(jù)通信通道。

2 秘鑰交換環(huán)境下Web安全漏洞智能檢測(cè)研究

2.1 秘鑰交換安全協(xié)議設(shè)計(jì)

隨著字典攻擊方式的不斷升級(jí)，以及其他小型攻擊方式強(qiáng)度的不斷提高，增強(qiáng)所提秘鑰交換環(huán)境下Web安全漏洞智能檢測(cè)方法的可靠性和靈活性，其根本在于設(shè)計(jì)出安全性能更高的秘鑰交換安全協(xié)議[5]：一方面為秘鑰交換環(huán)境減少攻擊傷害；另一方面提高方法檢測(cè)的效率。秘鑰交換安全協(xié)議工作原理如圖1所示。

從圖1中可以看出，所提方法結(jié)合了第一代秘鑰交換安全協(xié)議Diffie?Hellman強(qiáng)大的計(jì)算資源，以及數(shù)據(jù)加密標(biāo)準(zhǔn)強(qiáng)大的抗攻擊性能，在不影響安全性能的同時(shí)，減少秘鑰交換安全協(xié)議的運(yùn)算量，以64位分組加密形式實(shí)現(xiàn)用戶數(shù)據(jù)通信，通過(guò)協(xié)商與交換的方式進(jìn)行解密，有效保證用戶數(shù)據(jù)安全、可靠的通信。在所設(shè)計(jì)的秘鑰交換安全協(xié)議的基礎(chǔ)上進(jìn)行Web安全漏洞檢測(cè)，所得檢測(cè)結(jié)果更加可靠。

2.2 密鑰交換環(huán)境下Web安全漏洞智能檢測(cè)方法

Web安全漏洞智能檢測(cè)的實(shí)質(zhì)是通過(guò)全面掃描Web軟件和網(wǎng)站，從中挖掘出存在黑客攻擊痕跡的Web安全漏洞，從原理上看是一個(gè)評(píng)價(jià)Web軟件和網(wǎng)站數(shù)據(jù)可靠性并標(biāo)記不可靠數(shù)據(jù)點(diǎn)的過(guò)程。黑客攻擊不可避免，從源頭上杜絕Web安全漏洞是不切實(shí)際的[6]，為此，所提秘鑰交換環(huán)境下Web安全漏洞智能檢測(cè)方法在Web經(jīng)受字典或其他攻擊的第一時(shí)間，對(duì)秘鑰交換環(huán)境中的Web安全漏洞進(jìn)行保護(hù)和檢測(cè)，并快速提供合理的補(bǔ)救措施，將損失降至最低，防止同類(lèi)型攻擊的二次入侵。

用戶的檢測(cè)請(qǐng)求通過(guò)服務(wù)器驅(qū)動(dòng)各功能插件，插件從服務(wù)器中調(diào)取Web軟件或網(wǎng)站的源代碼，服務(wù)器的類(lèi)型是SVN。SVN是Subversion的簡(jiǎn)寫(xiě)，代表重寫(xiě)，可提供開(kāi)放源代碼控制功能。SVN服務(wù)器獨(dú)立存儲(chǔ)數(shù)據(jù)，存儲(chǔ)速度快，存儲(chǔ)格式是二進(jìn)制，便于秘鑰寫(xiě)入，不必?fù)?dān)心數(shù)據(jù)丟失[7]。Web安全漏洞智能檢測(cè)流程如圖2所示。

由圖2可知，SVN服務(wù)器取得Web源代碼后，根據(jù)軟件或網(wǎng)站相應(yīng)的Web配置數(shù)據(jù)來(lái)選擇驅(qū)動(dòng)何種功能插件檢測(cè)Web安全漏洞。功能插件將檢測(cè)結(jié)果輸出，隨后根據(jù)檢測(cè)結(jié)果在秘鑰交換環(huán)境中構(gòu)建絕對(duì)信任區(qū)域，給出秘鑰交換安全協(xié)議，對(duì)Web安全漏洞加以保護(hù)[8]。每個(gè)功能插件所能檢測(cè)出的Web安全漏洞不同，而Web配置數(shù)據(jù)是固定不變的，Web源代碼可直接決定所提方法檢測(cè)結(jié)果的可靠性，功能插件選擇流程如圖3所示。

由圖3可知，SVM數(shù)據(jù)庫(kù)和SVN源代碼輔助進(jìn)行Web源代碼提取，SVM數(shù)據(jù)庫(kù)中聯(lián)機(jī)存儲(chǔ)并管理著歷史版本的Web軟件和網(wǎng)站源代碼，結(jié)合SVM源代碼的定位功能，準(zhǔn)確給出Web源代碼，隨后讀取Web源代碼中的腳本插件。腳本插件中含有用戶的檢測(cè)要求以及插件功能，可解析出不同功能插件的檢測(cè)規(guī)則[9]。根據(jù)用戶檢測(cè)要求對(duì)功能插件檢測(cè)規(guī)則的依賴(lài)度進(jìn)行排序，選定用于檢測(cè)Web安全漏洞的功能插件。

秘鑰交換環(huán)境下，Web安全漏洞智能檢測(cè)方法之所以利用功能插件實(shí)現(xiàn)檢測(cè)，是因?yàn)楣δ懿寮芴峁┑臋z測(cè)規(guī)則多種多樣，具有超強(qiáng)的靈活性，可提高檢測(cè)精度，方便方法功能的添加與維護(hù)。而且，各功能插件之間獨(dú)立工作、功能互不干擾，假設(shè)某一插件出現(xiàn)了功能損傷，其他插件仍可以正常工作，加強(qiáng)了檢測(cè)結(jié)果的可靠性。

2.3 Web安全漏洞匹配技術(shù)研究

在秘鑰交換環(huán)境下進(jìn)行Web安全漏洞智能檢測(cè)時(shí)，匹配技術(shù)發(fā)揮了巨大作用。匹配技術(shù)是用于確定Web中是否存在安全漏洞的一項(xiàng)必用技術(shù)，它通過(guò)規(guī)則表達(dá)式檢測(cè)Web源代碼的字符串。規(guī)則表達(dá)式被廣泛用于數(shù)據(jù)檢索與模式替換等領(lǐng)域，通過(guò)在目標(biāo)數(shù)據(jù)中檢測(cè)特定字符串來(lái)確定檢測(cè)結(jié)果。

以跨站腳本攻擊為例，跨站腳本攻擊在Web安全漏洞中普遍攻擊用戶數(shù)據(jù)導(dǎo)入和導(dǎo)出之處[10]，規(guī)則表達(dá)式在檢測(cè)跨站腳本攻擊時(shí)，將主要針對(duì)由用戶數(shù)據(jù)導(dǎo)入與導(dǎo)出產(chǎn)生的超文本標(biāo)記語(yǔ)言字符串進(jìn)行檢測(cè)。

使用規(guī)則表達(dá)式規(guī)范功能插件的檢測(cè)規(guī)則，可為功能插件的管理和驅(qū)動(dòng)提供便利。規(guī)則表達(dá)式由一些字符組合而成，包括字母、數(shù)據(jù)和符號(hào)[11?12]，規(guī)則表達(dá)式中一些重要字符的含義見(jiàn)表1。

3 實(shí)驗(yàn)測(cè)試

3.1 測(cè)試環(huán)境

秘鑰交換環(huán)境下Web安全漏洞智能檢測(cè)方法的研究工作結(jié)束后，對(duì)所提方法進(jìn)行驗(yàn)證，選用相關(guān)的硬件、軟件以及數(shù)據(jù)測(cè)試方法的可靠性和靈活性，如圖4所示。測(cè)試中使用的主機(jī)擁有2 GB內(nèi)存和150 GB硬盤(pán)，操作系統(tǒng)是Windows 7旗艦版；測(cè)試數(shù)據(jù)庫(kù)使用的是多線程、結(jié)構(gòu)化查詢(xún)語(yǔ)言庫(kù)?MyQql；服務(wù)器支持的軟件是Tomcat；測(cè)試過(guò)程中實(shí)驗(yàn)人員模擬用戶行為，使用的瀏覽器是性能穩(wěn)定的IE 9.0，瀏覽器插件是Tamper Data。

實(shí)驗(yàn)在密鑰交換環(huán)境下進(jìn)行，對(duì)比組有三個(gè)，分別是最小不相關(guān)檢測(cè)、ARM嵌入式檢測(cè)和貝葉斯檢測(cè)，所選對(duì)比組內(nèi)的檢測(cè)方法都是最新型且性能相對(duì)優(yōu)良的方法。考慮到ARM嵌入式的檢測(cè)方式是被動(dòng)式的，實(shí)驗(yàn)人員將為其手動(dòng)構(gòu)建Web安全漏洞檢測(cè)任務(wù)，其他檢測(cè)方法則自動(dòng)構(gòu)建檢測(cè)任務(wù)。

實(shí)驗(yàn)人員初始化MyQql數(shù)據(jù)庫(kù)后，在其中寫(xiě)入三種不同規(guī)格的Web安全漏洞數(shù)據(jù)集，如表2所示，其中，數(shù)據(jù)集1中的Web安全漏洞和攻擊樣本最少，數(shù)據(jù)集2中的攻擊樣本最多，安全漏洞的位置最為分散，而數(shù)據(jù)集3中的安全漏洞位置比較集中。

如表3、表4所示，本文所提方法的檢測(cè)率和誤報(bào)率好于其他方法，所得檢測(cè)結(jié)果的可靠性最佳。最小不相關(guān)檢測(cè)的可靠性也很高，但在安全漏洞位置最為分散的是數(shù)據(jù)集3，其誤報(bào)率出現(xiàn)了明顯增長(zhǎng)；除此之外，本文所提方法和ARM嵌入式檢測(cè)的握手時(shí)間最為突出，表現(xiàn)出良好的靈活性。

4 結(jié) 論

秘鑰交換環(huán)境的安全協(xié)議口令精簡(jiǎn)、熵值小，為用戶提供了便利，也造成了Web安全漏洞，通過(guò)了解Web安全漏洞為用戶帶來(lái)的損失，提出秘鑰交換環(huán)境下Web安全漏洞智能檢測(cè)方法，該方法否定了“用戶?服務(wù)端”類(lèi)型的秘鑰交換安全協(xié)議，設(shè)計(jì)了更加安全的協(xié)議為檢測(cè)工作的可靠性和靈活性作擔(dān)保，進(jìn)一步給出了Web安全漏洞智能檢測(cè)流程和以規(guī)則表達(dá)式為基礎(chǔ)的匹配技術(shù)，有效保護(hù)了用戶數(shù)據(jù)安全。

參考文獻(xiàn)

[1] 楊世德，梁光明，余凱.基于ARM嵌入式系統(tǒng)底層漏洞挖掘技術(shù)研究[J].現(xiàn)代電子技術(shù)，2015，38（18）：57?59.

[2] 陳昕昀，潘懋，況琪，等.基于關(guān)聯(lián)數(shù)據(jù)技術(shù)的地質(zhì)資料實(shí)體建模與Web發(fā)布[J].科學(xué)技術(shù)與工程，2016，32（1）：107?113.

[3] 尚龍華，安毅生，張紹陽(yáng)，等.基于Web服務(wù)的交通數(shù)據(jù)交換過(guò)程[J].計(jì)算機(jī)系統(tǒng)應(yīng)用，2015，24（3）：260?265.

[4] 陳亮，高宏力，周倫.嵌入式服務(wù)器在智能家居系統(tǒng)中的應(yīng)用[J].計(jì)算機(jī)測(cè)量與控制，2015，23（5）：1758?1761.

[5] 李舟軍，張俊賢，廖湘科，等.軟件安全漏洞檢測(cè)技術(shù)[J].計(jì)算機(jī)學(xué)報(bào)，2015，38（4）：717?732.

[6] 孫熠，梁棟云，王文杰.Web應(yīng)用程序安全性測(cè)試平臺(tái)關(guān)鍵技術(shù)研究[J].信息安全與技術(shù)，2014，5（1）：29?32.

[7] 龍震岳，錢(qián)揚(yáng)，鄒洪，等.電網(wǎng)企業(yè)網(wǎng)絡(luò)信息安全的威脅與攻防新技術(shù)研究[J].現(xiàn)代電子技術(shù)，2015，38（21）：100?104.

[8] 齊雪婷，馬訓(xùn)鳴，劉霞，等.基于CAN的分布式頂升控制系統(tǒng)設(shè)計(jì)[J].西安工程大學(xué)學(xué)報(bào)，2016，30（1）：118?123.

[9] 吳少華，孫丹，胡勇.基于貝葉斯理論的Web服務(wù)器識(shí)別[J].計(jì)算機(jī)工程，2015，41（7）：190?193.

[10] 賈迪，黃河滔.對(duì)Web安全性測(cè)試技術(shù)的分析[J].信息安全與技術(shù)，2014，5（5）：68?69.

[11] 周曉，鄭定超，方玖琳.基于UM220的北斗接收機(jī)及Web終端設(shè)計(jì)[J].計(jì)算機(jī)測(cè)量與控制，2016，24（3）：238?240.

[12] 亢華愛(ài).基于隱節(jié)點(diǎn)共振致密配對(duì)的Web數(shù)據(jù)文本抽取[J].科技通報(bào)，2015，34（2）：82?84.