Web前端組件中的跨站腳本攻擊檢測算法研究

摘" 要： 前端組件涉及多個數(shù)據(jù)流，包括用戶輸入、服務(wù)器返回的數(shù)據(jù)等，惡意腳本會隱藏在這些數(shù)據(jù)流中，且跨站腳本攻擊存在變異性和不確定性，導(dǎo)致對其檢測困難。因此，提出一種Web前端組件中的跨站腳本攻擊檢測算法。使用基于網(wǎng)絡(luò)爬蟲的Web前端組件跨站腳本信息抓取模型，抓取不重復(fù)冗余的Web前端組件跨站腳本信息；再將所抓取的腳本信息作為多分類支持向量機(jī)算法的訓(xùn)練樣本。檢測之前，在權(quán)威Web漏洞提交平臺Exploit?db中，提取大規(guī)模變形跨站腳本信息樣本，使用訓(xùn)練完畢的多分類支持向量機(jī)對抓取的腳本信息進(jìn)行分類和檢測。實(shí)驗(yàn)結(jié)果表明，所提算法對100條反射型跨站腳本攻擊、50條存儲型跨站腳本攻擊、10條DOM型跨站腳本攻擊的數(shù)據(jù)分類結(jié)果準(zhǔn)確，且分類結(jié)果的樣本分布中，攻擊跨站腳本會按照攻擊類型有序分布。

關(guān)鍵詞： Web前端組件； 跨站腳本； 攻擊檢測； 網(wǎng)絡(luò)爬蟲； 信息抓?。?多分類支持向量機(jī)

中圖分類號： TN911?34； TP393.08" " " " " " " " " "文獻(xiàn)標(biāo)識碼： A" " " " " " " " " 文章編號： 1004?373X（2024）14?0030?05

Research on cross site scripting attack detection algorithm in Web front?end components

LI Xinrong， XIE Shaomin

（School of Computer Engineering， Guilin University of Electronic Science and Technology， Beihai 536000， China）

Abstract： The front?end components involve multiple data streams， including user input， server returned data， etc. Malicious scripts can be hidden within these data streams， and cross site scripting attacks have variability and uncertainty， making it difficult to detect them. Therefore， a cross site scripting attack detection algorithm in Web front?end components is proposed. The web crawler based cross site script information crawling model for Web front?end components is used to capture non redundant cross site script information for Web front?end components. The captured script information is used as training samples for the multi classification support vector machine algorithm. Before detection， large?scale deformation cross site script information samples are extracted from the authoritative Web vulnerability submission platform Exploit?db， and a trained multi class support vector machine is used to classify and detect the captured script information. The experimental results show that this algorithm has accurate classification results for 100 reflective cross site script attacks， 50 storages cross site script attacks， and 10 DOM cross site script attacks. Moreover， in the sample distribution of the classification results， the attack cross site scripts can be distributed in an orderly manner according to the type of attack.

Keywords： Web front?end components; cross site scripting; attack detection; web crawler; information capture; multi classification support vector machine

0" 引" 言

跨站腳本（Cross?Site Scripting， XSS）漏洞是當(dāng)下Web前端組件中出現(xiàn)最多的攻擊模式。此類攻擊行為出現(xiàn)后，訪問者能夠通過Web前端組件應(yīng)用程序的漏洞，在網(wǎng)頁輸入?yún)^(qū)域傳輸攻擊腳本代碼，腳本代碼提交完畢，再次進(jìn)入客戶端便會嵌入Web前端組件[1?2]。此時如果用戶訪問Web前端組件的應(yīng)用程序，便會受到此類腳本代碼惡意入侵，攻擊者便會獲取用戶的敏感信息。為此，研究Web前端組件中的跨站腳本攻擊檢測方法是十分必要的[3]。

倪萍等人通過向目標(biāo)應(yīng)用程序輸入大量隨機(jī)或半隨機(jī)的數(shù)據(jù)，觀察其異常反應(yīng)來發(fā)現(xiàn)潛在安全漏洞。檢測過程中，模糊測試能夠自動地生成和輸入大量測試用例，提高漏洞檢測的效率[4]。但傳統(tǒng)的模糊測試方法通常是盲目的，缺乏對目標(biāo)應(yīng)用程序內(nèi)部邏輯的理解，因此可能無法有效地檢測所有可能的攻擊行為。程琪芩等人在跨站腳本檢測問題中，使用基于模糊測試和機(jī)器學(xué)習(xí)的方法，自動學(xué)習(xí)和識別應(yīng)用程序中的潛在漏洞模式，降低了對人工干預(yù)的需求[5]。但該方法僅針對特定類型的應(yīng)用程序進(jìn)行訓(xùn)練，可能會在面對不同類型攻擊行為時表現(xiàn)不佳。

基于此，為優(yōu)化Web前端組件中跨站腳本攻擊檢測的效果，本文提出一種Web前端組件中的跨站腳本攻擊檢測算法。使用基于網(wǎng)絡(luò)爬蟲的Web前端組件跨站腳本信息抓取模型，抓取不重復(fù)冗余的Web前端組件跨站腳本信息；再將所抓取的腳本信息作為多分類支持向量機(jī)算法的訓(xùn)練樣本。檢測之前，在權(quán)威Web漏洞提交平臺Exploit?db中，提取大規(guī)模變形跨站腳本信息樣本，使用訓(xùn)練完畢的多分類支持向量機(jī)對抓取的腳本信息進(jìn)行分類和檢測。實(shí)驗(yàn)結(jié)果表明，所提算法對100條反射型跨站腳本攻擊、50條存儲型跨站腳本攻擊、10條DOM型跨站腳本攻擊的數(shù)據(jù)分類結(jié)果準(zhǔn)確，且分類結(jié)果的樣本分布中，攻擊跨站腳本會按照攻擊類型有序分布。

1" 跨站腳本攻擊檢測算法

1.1" 基于網(wǎng)絡(luò)爬蟲的Web前端組件跨站腳本信息抓取模型

Web前端組件是構(gòu)建Web應(yīng)用程序用戶界面的重要模塊[6]，包括按鈕、輸入框、導(dǎo)航欄、列表等常見UI元素和功能模塊。這些組件可以單獨(dú)使用，也可以組合在一起構(gòu)建更復(fù)雜的用戶界面[7?9]。為了增強(qiáng)Web應(yīng)用程序的安全性，使用網(wǎng)絡(luò)爬蟲技術(shù)抓取Web前端組件信息，用于后續(xù)跨站腳本攻擊檢測。跨站腳本攻擊是Web應(yīng)用程序中常見的安全威脅，會對用戶隱私和數(shù)據(jù)安全產(chǎn)生嚴(yán)重影響。本文通過抓取Web前端組件的跨站腳本信息，提高Web應(yīng)用程序的安全性和可靠性。相比于傳統(tǒng)的手動收集方式，網(wǎng)絡(luò)爬蟲能夠自動化地抓取大量組件數(shù)據(jù)，并提供更全面、準(zhǔn)確的樣本進(jìn)行進(jìn)一步分析和研究。

基于網(wǎng)絡(luò)爬蟲的Web前端組件跨站腳本信息抓取模型的技術(shù)框架圖如圖1所示。

1） Web前端組件跨站腳本信息采集模塊。讀入初始網(wǎng)頁，再進(jìn)入跨站腳本信息檢索環(huán)節(jié)，在遍歷已有的腳本鏈接隊(duì)列模塊信息的基礎(chǔ)之上，檢索并下載存在關(guān)聯(lián)的跨站腳本所在網(wǎng)頁內(nèi)容。

2） Web前端組件跨站腳本信息分析模塊。將采集的跨站腳本所在網(wǎng)頁內(nèi)容進(jìn)行整理，并與URL進(jìn)行匹配處理。

3） 篩選全部URL，去除重復(fù)的URL。

4） 將篩選的URL整理為鏈接隊(duì)列，用于后續(xù)跨站腳本攻擊檢測[10]。

1.2" 基于多分類支持向量機(jī)的攻擊檢測算法

1.2.1" 變形跨站腳本信息訓(xùn)練樣本抽取

因Web前端組件跨站腳本信息受規(guī)則庫與黑名單所約束，在未知類型跨站腳本攻擊的檢測過程中，檢測難度較大。而使用機(jī)器學(xué)習(xí)技術(shù)訓(xùn)練大量已知類型的變形跨站腳本信息，構(gòu)建攻擊檢測模型，便可識別未知類型的跨站腳本攻擊。但在設(shè)計跨站腳本分類器時，Web前端組件跨站腳本信息特征數(shù)據(jù)的使用十分重要。在權(quán)威Web漏洞提交平臺Exploit?db中，提取大規(guī)模變形跨站腳本信息樣本，利用這些樣本進(jìn)行機(jī)器學(xué)習(xí)訓(xùn)練，構(gòu)建一個多分類支持向量機(jī)，用于識別和檢測未知類型的跨站腳本攻擊?？缯灸_本信息特征類型如表1所示。

將跨站腳本信息特征數(shù)據(jù)進(jìn)行向量化處理，若某個跨站腳本攻擊樣本中，攻擊關(guān)鍵詞字符數(shù)量、特殊字符頻率數(shù)量分別是[b]個、[a]個，數(shù)字字符頻率數(shù)量是[e]個；第三方域名數(shù)量、訪問請求的字符數(shù)分別為[c]個、[f]個，此時跨站腳本信息特征樣本向量化處理后變成：

[?=b，a，e，c，f]

本文將其作為多分類支持向量機(jī)訓(xùn)練樣本。

1.2.2" 多類型跨站腳本攻擊檢測算法

Web前端組件跨站腳本信息抓取模型提供了抓取到的真實(shí)數(shù)據(jù)，用于提取特征并作為訓(xùn)練數(shù)據(jù)的一部分。而大規(guī)模變形跨站腳本信息樣本用于樣本訓(xùn)練，使模型能夠?qū)W習(xí)到不同類型的變形跨站腳本攻擊的特征。兩者緊密協(xié)作，可以提高跨站腳本攻擊檢測的準(zhǔn)確性。在這個過程中，支持向量機(jī)被廣泛應(yīng)用于跨站腳本攻擊的分類問題中。作為一種常用的線性分類器，支持向量機(jī)在跨站腳本的正常與攻擊這種線性二分類問題中具有顯著的分類能力，其原始形式如下：

[minβ，o，δj12β22+εj=1nμj] （1）

[s.t.φjβ?γ?j+θ≥1-μj] （2）

[μj≥0] （3）

式中：[?j，φj]、[β]分別代表跨站腳本特征數(shù)據(jù)樣本與樣本類型（正常/攻擊）、正常/攻擊分類超平面的權(quán)重；[θ]代表偏置項(xiàng)，表示跨站腳本特征數(shù)據(jù)樣本分類的閾值；[μj]、[ε]分別代表松弛系數(shù)、懲罰系數(shù)；[γ?j]代表映射函數(shù)。

跨站腳本攻擊檢測時，腳本特征數(shù)據(jù)樣本分類函數(shù)為：

[gβ，θ?=sgnβT?+θ] （4）

設(shè)置跨站腳本信息特征樣本分類間隔是[2β]，間隔最大時，[β2]最小。[β22]最小化的分類面即為腳本攻擊檢測的最優(yōu)分類面。

因跨站腳本攻擊類型較多，為此，需構(gòu)建多分類支持向量機(jī)模型，把[?=b，a，e，c，f]的攻擊類型設(shè)成[p]種，將[p]種腳本攻擊行為看成[p]個二類分類，各個二類分類中存在全部腳本攻擊樣本。

在第[j]個腳本攻擊行為的二類分類過程中，第[j]類與其他類為不同類，則[p]個二類分類的判斷函數(shù)結(jié)合，便可構(gòu)建為[p]類腳本攻擊類型的判決函數(shù)。使用此函數(shù)分類跨站腳本特征數(shù)據(jù)樣本，若僅存在第[j]個分類結(jié)果是屬于第[j]類攻擊模式，剩下的判決函數(shù)均屬于其他攻擊模式，那么此樣本即為第[j]類腳本攻擊模式。綜上所述，跨站腳本攻擊檢測算法流程如圖2所示。

綜上所述，基于支持向量機(jī)，通過特征提取與訓(xùn)練數(shù)據(jù)獲取，并進(jìn)行多分類支持向量機(jī)模型構(gòu)建，實(shí)現(xiàn)了對跨站腳本攻擊的準(zhǔn)確檢測。該算法能夠有效提取特征并使用支持向量機(jī)分類器進(jìn)行準(zhǔn)確分類，對不同類型的跨站腳本攻擊具有較高的識別能力。

2" 實(shí)驗(yàn)分析

為了驗(yàn)證Web前端組件中的跨站腳本攻擊檢測算法的整體有效性，進(jìn)行下述實(shí)驗(yàn)。實(shí)驗(yàn)中，使用Nikto模擬攻擊工具、XSpear模擬攻擊工具、Xsser模擬攻擊工具，分別模擬100條反射型跨站腳本攻擊、50條存儲型跨站腳本攻擊、10條DOM型跨站腳本攻擊數(shù)據(jù)；并在不同漏洞網(wǎng)站中，依次將跨站腳本攻擊信息數(shù)據(jù)與正常數(shù)據(jù)混合，用于測試本文算法的檢測效果。搭建的實(shí)驗(yàn)環(huán)境配置圖如圖3所示。

由圖3可知，實(shí)驗(yàn)環(huán)境中的核心設(shè)備分別是Web服務(wù)器、交換機(jī)、模擬攻擊機(jī)。模擬攻擊機(jī)以惡意用戶身份向Web服務(wù)器發(fā)送攻擊行為，若所提算法檢測到攻擊行為，便會直接對Web服務(wù)器客戶端發(fā)送異常響應(yīng)信息。

2.1" 網(wǎng)絡(luò)爬蟲技術(shù)使用效果測試

測試所提算法使用網(wǎng)絡(luò)爬蟲技術(shù)前后，Web前端組件中的跨站腳本信息的抓取效果，使用網(wǎng)絡(luò)爬蟲技術(shù)前的抓取方法主要為人工篩選技術(shù)，測試結(jié)果如表2所示。使用網(wǎng)絡(luò)爬蟲技術(shù)之前，跨站腳本信息的抓取速度較慢，且有效數(shù)據(jù)比例較低，耗費(fèi)時間較多；而使用網(wǎng)絡(luò)爬蟲技術(shù)后，跨站腳本信息的抓取速度耗時明顯縮短，且有效數(shù)據(jù)量比例提升。實(shí)驗(yàn)證明了所提算法使用網(wǎng)絡(luò)爬蟲技術(shù)，能夠優(yōu)化跨站腳本信息的抓取效果。

2.2" 跨站腳本攻擊檢測效果測試

所提算法對100條反射型跨站腳本攻擊、50條存儲型跨站腳本攻擊、10條DOM型跨站腳本攻擊數(shù)據(jù)的檢測結(jié)果如圖4所示。

由圖4可知，所提算法在對100條反射型跨站腳本攻擊、50條存儲型跨站腳本攻擊和10條DOM型跨站腳本攻擊數(shù)據(jù)進(jìn)行檢測時，表現(xiàn)出較高的準(zhǔn)確性。這表明所提算法具有一定的泛化能力，能夠適應(yīng)不同類型跨站腳本攻擊的特征，并進(jìn)行準(zhǔn)確的分類與識別。該算法通過大規(guī)模變形跨站腳本信息樣本的訓(xùn)練，使模型能夠?qū)W習(xí)到不同類型跨站腳本攻擊的特征，提高了跨站腳本攻擊檢測的準(zhǔn)確性。所提算法利用多分類支持向量機(jī)模型分類多類型攻擊數(shù)據(jù)的樣本分布圖如圖5所示。

由圖5可知，所提算法利用多分類支持向量機(jī)模型分類多類型跨站腳本攻擊行為特征數(shù)據(jù)后，不僅可分類正常、攻擊的跨站腳本樣本，而且在跨站腳本攻擊分類結(jié)果的樣本分布中，攻擊跨站腳本會按照攻擊類型有序分布，由此證實(shí)了所提算法對多類型攻擊數(shù)據(jù)的檢測性能較為顯著。這個結(jié)果表明，所提算法能夠有效地將不同類型的跨站腳本攻擊進(jìn)行分類，并區(qū)分出各種攻擊類型之間的差異。多分類支持向量機(jī)模型的應(yīng)用使得算法能夠?qū)W習(xí)到各種不同類型跨站腳本攻擊的特征，并進(jìn)行準(zhǔn)確的分類。

所提算法使用前后，三組跨站腳本攻擊數(shù)據(jù)的檢測耗時如圖6所示。

由圖6中對比可知，所提算法使用后三組跨站腳本攻擊行為數(shù)據(jù)的檢測耗時，雖然也會隨著混合樣本數(shù)量增多而增多，但增幅并不顯著，且所提算法的攻擊檢測耗時明顯縮短，說明所提算法在跨站腳本攻擊檢測問題中效率較高。這是因?yàn)樵摲椒ㄍㄟ^引入特征提取和支持向量機(jī)分類器等技術(shù)，能夠在較短的時間內(nèi)對跨站腳本攻擊進(jìn)行準(zhǔn)確的分類與識別。

3" 結(jié)" 論

Web前端組件中一個有效的跨站腳本攻擊檢測算法應(yīng)該能夠準(zhǔn)確地識別出攻擊腳本信息數(shù)據(jù)。準(zhǔn)確性是算法的基本要求，否則會導(dǎo)致漏報或誤報，給安全防護(hù)帶來隱患。本文所提出的Web前端組件中的跨站腳本攻擊檢測算法可準(zhǔn)確檢測跨站腳本的攻擊腳本信息數(shù)據(jù)，且檢測耗時短，具有應(yīng)用價值。結(jié)合所提方法，針對防范跨站腳本攻擊，對開發(fā)者提出以下幾點(diǎn)防御建議。

1） 在Web前端組件中，對用戶輸入的信息進(jìn)行適當(dāng)?shù)仳?yàn)證和過濾，以防止陌生用戶的惡意腳本注入。

2） 對輸出進(jìn)行適當(dāng)編碼，以防止惡意腳本被解析和執(zhí)行。

3） 使用內(nèi)容安全策略（CSP）來限制Web前端組件中可以執(zhí)行的腳本和加載的資源。

4） 及時更新和修補(bǔ)Web前端組件中的Web應(yīng)用程序和相關(guān)庫，以防止已知的安全漏洞被利用。

注：本文通訊作者為謝紹敏。

參考文獻(xiàn)

[1] 李子?xùn)|，姚怡飛，王微微，等.基于機(jī)器視覺的Web應(yīng)用頁面元素識別及可視化腳本生成[J].計算機(jī)科學(xué)，2022，49（11）：65?75.

[2] 劉玉婷，劉茗，王保衛(wèi)，等.腳本事件預(yù)測：方法、評測與挑戰(zhàn)[J].計算機(jī)應(yīng)用研究，2023，40（5）：1303?1311.

[3] 孫盼，王琪，萬懷宇.結(jié)合事件鏈與事理圖譜的腳本事件預(yù)測模型[J].計算機(jī)工程，2022，48（4）：119?125.

[4] 倪萍，陳偉.基于模糊測試的反射型跨站腳本漏洞檢測[J].計算機(jī)應(yīng)用，2021，41（9）：2594?2601.

[5] 程琪芩，萬良.改進(jìn)編碼?解碼框架下的跨站腳本檢測[J].計算機(jī)工程與設(shè)計，2021，42（1）：44?50.

[6] 林雍博，凌捷.基于殘差網(wǎng)絡(luò)和GRU的XSS攻擊檢測方法[J].計算機(jī)工程與應(yīng)用，2022，58（10）：101?107.

[7] 孫力立，武成崗，許佳麗，等.腳本語言執(zhí)行引擎的模糊測試技術(shù)綜述[J].高技術(shù)通訊，2022，32（12）：1226?1235.

[8] 張海軍，陳映輝.語義分析及向量化大數(shù)據(jù)XSS入侵識別[J].南開大學(xué)學(xué)報（自然科學(xué)版），2021，54（2）：1?12.

[9] 施瑞恒，朱云聰，趙易如，等.ROP漏洞利用腳本的語義還原和自動化移植方法[J].計算機(jī)科學(xué)，2022，49（11）：49?54.

[10] 夏文英，翟偉芳，卞雪梅.DOM型跨站腳本網(wǎng)絡(luò)攻擊防御有效路徑模擬[J].計算機(jī)仿真，2021，38（5）：260?263.

[11] 胡天樂.基于深度學(xué)習(xí)的跨站腳本檢測研究[D].上海：上海師范大學(xué)，2023.

[12] 朱思猛，杜瑞穎，陳晶，等.基于循環(huán)神經(jīng)網(wǎng)絡(luò)的Web應(yīng)用防火墻加固方案[J].計算機(jī)工程，2022，48（11）：120?126.

[13] 許丹丹，徐洋，張思聰，等.基于DCNN?GRU模型的XSS攻擊檢測方法[J].計算機(jī)應(yīng)用與軟件，2022，39（2）：324?329.

[14] 王陽.基于機(jī)器學(xué)習(xí)的跨站腳本攻擊檢測方法的研究與實(shí)現(xiàn)[D].南京：南京郵電大學(xué)，2022.

[15] 胡乙丹.基于卷積神經(jīng)網(wǎng)絡(luò)的跨站腳本攻擊檢測模型[J].艦船電子工程，2023，43（6）：110?115.