面向XSS攻擊的惡意軟件Web入侵檢測(cè)技術(shù)

張娜

(陜西電子信息職業(yè)技術(shù)學(xué)院,信息工程系,陜西,西安 710500)

0 引言

用戶多數(shù)通過部署防火墻[1]來維護(hù)網(wǎng)絡(luò)安全,但伴隨惡意攻擊技術(shù)的發(fā)展和互聯(lián)網(wǎng)應(yīng)用普及,防火墻策略對(duì)很多攻擊不再具備防御能力,其中就包括跨站腳本(XSS)攻擊[2]。XSS攻擊擁有擴(kuò)散能力,且隱蔽性強(qiáng),會(huì)給用戶帶來極大的網(wǎng)絡(luò)安全隱患。為營(yíng)造健康的網(wǎng)絡(luò)環(huán)境,降低黑客攻擊成功的概率,通過入侵檢測(cè)系統(tǒng)監(jiān)測(cè)網(wǎng)絡(luò)及系統(tǒng)運(yùn)行狀態(tài)[3],最大限度挖掘各類攻擊行為,確保網(wǎng)絡(luò)系統(tǒng)資源的保密性、完整性與可用性。

面向攻擊入侵檢測(cè)問題,何發(fā)鎂等[4]提出了一種按照特征分組進(jìn)行聚類的方法,調(diào)整聚類參數(shù)保存特征分組差異信息,運(yùn)用決策樹方法劃分降維數(shù)據(jù)入侵類別,但該方法沒有考慮Web實(shí)時(shí)數(shù)據(jù)流量的變化情況,導(dǎo)致檢測(cè)結(jié)果精度不高;汪洋等[5]通過深度信念網(wǎng)絡(luò)訓(xùn)練歷史數(shù)據(jù),提取并降維歷史數(shù)據(jù)特征,使用加權(quán)序列核極限學(xué)習(xí)機(jī)方法實(shí)現(xiàn)攻擊入侵評(píng)估,但該方法在攻擊模式匹配過程中的耗時(shí)較長(zhǎng),輸出結(jié)果的實(shí)時(shí)性較差,極易造成XSS攻擊事態(tài)的進(jìn)一步擴(kuò)大。

綜合上述分析,本文提出了面向XSS攻擊的惡意軟件Web入侵檢測(cè)技術(shù),包括入侵檢測(cè)模塊、日志數(shù)據(jù)庫(kù)服務(wù)器模塊和日志分析控制臺(tái)模塊,使用蟻群聚類算法優(yōu)化技術(shù)檢測(cè)精度,提取XSS攻擊特征數(shù)據(jù),最終以圖表形式將入侵檢測(cè)結(jié)果呈現(xiàn)給網(wǎng)絡(luò)用戶。

1 惡意軟件Web入侵檢測(cè)技術(shù)方案

眾多Web攻擊方法中,出現(xiàn)最多的是XSS攻擊,危害性很強(qiáng),會(huì)令用戶蒙受巨大損失。Web程序受到XSS攻擊后,后臺(tái)管理人員需要手動(dòng)分析Web日志儲(chǔ)存的攻擊信息,觀察是否產(chǎn)生入侵行為[6],但此方式耗費(fèi)了大量人力物力,且工作人員要具有相應(yīng)的Web安全知識(shí),入侵檢測(cè)效率較低。針對(duì)XSS攻擊,本文研究了一個(gè)惡意軟件Web入侵檢測(cè)技術(shù),該技術(shù)包含入侵檢測(cè)、日志數(shù)據(jù)庫(kù)服務(wù)器與日志分析控制臺(tái)3個(gè)模塊,可自主實(shí)現(xiàn)日志安全解析與告警。

1.1 入侵檢測(cè)模塊

入侵檢測(cè)模塊是技術(shù)最為關(guān)鍵的部分,其性能優(yōu)劣直接影響入侵檢測(cè)精準(zhǔn)度[7]。其檢測(cè)過程如圖1所示。首先連接后臺(tái)數(shù)據(jù)庫(kù),得到日志與攻擊向量數(shù)據(jù)庫(kù)的信息,提取日志數(shù)據(jù)和若干個(gè)攻擊矢量值匹配模式[8],匹配成功代表技術(shù)內(nèi)遭受入侵行為,匹配失敗就繼續(xù)提取日志信息實(shí)施字符串匹配,直至日志信息匹配完成為止。

圖1 XSS攻擊檢測(cè)過程示意圖

在技術(shù)方案確定的前提下,設(shè)計(jì)基于蟻群聚類的Web入侵檢測(cè)算法,將算法引入技術(shù)中進(jìn)行訓(xùn)練,進(jìn)一步優(yōu)化入侵檢測(cè)技術(shù)的檢測(cè)效率和精準(zhǔn)度。

假設(shè)樣本集合X={Xi|Xi=(xi1,xi2,…,xim)}內(nèi)具備n個(gè)樣本,其中樣本Xi為m維向量,樣本集內(nèi)包含k個(gè)分類模式。聚類就是尋找一個(gè)分割標(biāo)準(zhǔn)C,讓類內(nèi)離散度總和為最小,如式(1):

(1)

式(1)中,d(Xi,mj)代表Cj類內(nèi)樣本Xi到達(dá)類中心mj的歐氏距離。

蟻群聚類算法內(nèi),樣本Xi抵達(dá)聚類中心mj的歐式距離是d(i,j),將啟發(fā)函數(shù)設(shè)置為η(i,j)=1/d(i,j)。樣本Xi與聚類中心mj之間的信息素是τ(i,j),τ(i,j)存在于樣本與S聚類中心之間,信息素的目標(biāo)函數(shù)是式(1)中的F最小值。螞蟻搜尋樣本所屬聚類中心的概率解析式為

(2)

式(2)中,s表示聚類中心。

任意挑選k個(gè)樣本點(diǎn)作為原始聚類中心,螞蟻搜尋全部樣本空間之后獲得聚類結(jié)果,聚類中心mj的分量值是類Cj內(nèi)樣本所有屬性的平均值,將聚類中心計(jì)算公式記作:

(3)

螞蟻α任意挑選一個(gè)樣本Xi為初始點(diǎn),根據(jù)式(2)推算此樣本挑選每個(gè)聚類中心的概率pij,憑借pij獲得所屬的聚類r,樣本Xi被歸類至Cr后,螞蟻重新選擇樣本反復(fù)執(zhí)行以上操作。

在搜尋全部樣本空間后構(gòu)成一個(gè)最終解。將信息素的更新過程描述為

τij(t+n)=ρ×τij(t)+Δτij

(4)

式(4)中,τij(t)表示t時(shí)段i、j之間的信息素濃度,ρ表示信息素?fù)]發(fā)水平,Δτij表示信息素增量,Q表示信息素強(qiáng)度的增強(qiáng)值。

為了進(jìn)一步提高蟻群聚類算法的應(yīng)用優(yōu)勢(shì),避免產(chǎn)生停滯和過早收斂最優(yōu)解的現(xiàn)象,因此改進(jìn)式(2)提高蟻群搜索的隨機(jī)性得到最優(yōu)解,改進(jìn)后的公式為

(5)

式(5)中,p表示一個(gè)處于區(qū)間[0,1]的隨機(jī)值,p0表示預(yù)先設(shè)置的參變量,利用動(dòng)態(tài)改變算法進(jìn)行數(shù)值擇取。

改進(jìn)蟻群聚類算法后,入侵檢測(cè)過程如下。

第一步,設(shè)置參變量的原始值,螞蟻數(shù)量為m,最高進(jìn)化代數(shù)是Nc。

第二步,初始化k個(gè)聚類中心,任意挑選若干樣本為原始聚類中心,推算樣本至各個(gè)聚類中心的間距d(i,j)和啟發(fā)函數(shù)η(i,j)。

第三步,螞蟻憑借改進(jìn)算法明確樣本所屬的類,推導(dǎo)出目標(biāo)函數(shù)F的數(shù)值,使用式(1)得到各樣本至聚類中心的距離總和。

第四步,對(duì)比m只螞蟻求解的目標(biāo)函數(shù)值,更新全局信息素。

第五步,聚類結(jié)束后,把全部聚類結(jié)果根據(jù)自身涵蓋的實(shí)例個(gè)數(shù)高低實(shí)施排序。設(shè)定異常臨界值是u,對(duì)小于u的聚類簇認(rèn)定是正常行為,反之為異常入侵行為,實(shí)現(xiàn)XSS攻擊入侵檢測(cè)任務(wù)。

1.2 日志數(shù)據(jù)庫(kù)服務(wù)器模塊

日志數(shù)據(jù)庫(kù)服務(wù)器模塊關(guān)鍵是將采集的日志信息傳輸至關(guān)系數(shù)據(jù)庫(kù)。所提出技術(shù)的入侵檢測(cè)模塊涵蓋形式多樣的日志報(bào)警模式,把日志信息保存在文本文件內(nèi),無需利用關(guān)系數(shù)據(jù)庫(kù),但在關(guān)系數(shù)據(jù)庫(kù)內(nèi)儲(chǔ)存日志是有效保管大量報(bào)警信息最直接的方式,使用數(shù)據(jù)庫(kù)完成復(fù)雜的搜索行為。關(guān)系數(shù)據(jù)庫(kù)中,將數(shù)據(jù)從來源端通過抽取、變換、轉(zhuǎn)載到目的端的流程統(tǒng)一被稱作數(shù)據(jù)倉(cāng)庫(kù)技術(shù),這是一種完成異構(gòu)數(shù)據(jù)源集中存儲(chǔ)與管理的策略,把分布于不同地理方位、不同應(yīng)用技術(shù)的數(shù)據(jù)采集到中間層,最終加載到數(shù)據(jù)庫(kù),變換過程如圖2所示。

圖2 數(shù)據(jù)倉(cāng)庫(kù)技術(shù)體系架構(gòu)

開啟MySQL服務(wù),并進(jìn)入命令行狀態(tài),建立保存入侵檢測(cè)技術(shù)日志的信息庫(kù)和數(shù)據(jù)表格。從技術(shù)危險(xiǎn)防范角度出發(fā),需要建立一個(gè)新用戶用來連接日志數(shù)據(jù)庫(kù)、查找與更新日志信息。

1.3 日志分析控制臺(tái)模塊

日志分析控制臺(tái)模塊內(nèi)涵蓋日志數(shù)據(jù)庫(kù)接口、分析控制臺(tái)、圖表化顯示窗口。數(shù)據(jù)庫(kù)接口可從日志數(shù)據(jù)庫(kù)內(nèi)獲取日志信息,按照被分析程序語言的差異,日志分析策略也各有不同。日志分析表示程序輸出的每一行運(yùn)行時(shí),日志探尋源代碼內(nèi)輸出的日志點(diǎn),日志點(diǎn)是日志語句。在入侵檢測(cè)技術(shù)中,通常在一個(gè)全局共享的日志類實(shí)例內(nèi)調(diào)用各級(jí)別的日志來輸出技術(shù)狀態(tài)信息。日志點(diǎn)輸出數(shù)據(jù)通過字符串拼接策略組成。

分析控制臺(tái)按照事先預(yù)設(shè)的規(guī)則抽取日志核心字段,把非結(jié)構(gòu)化日志變換為結(jié)構(gòu)化信息,抽取核心字段的優(yōu)勢(shì)是可以對(duì)重要字段實(shí)施統(tǒng)計(jì)分析。分析控制臺(tái)中具備常見日志的解析規(guī)則,用戶利用后臺(tái)或Web頁面的解析原則得到關(guān)鍵字段,明確日志內(nèi)隱含的關(guān)鍵內(nèi)容,最終利用圖表化顯示工具把檢測(cè)結(jié)果呈現(xiàn)給用戶。

利用以上過程完成技術(shù)配置后,將技術(shù)安設(shè)于網(wǎng)絡(luò)服務(wù)器中,完成對(duì)XSS惡意攻擊的信息監(jiān)控與分析。

2 仿真測(cè)試

對(duì)本文技術(shù)進(jìn)行仿真測(cè)試分析,證明所提方法的可靠性與真實(shí)性。測(cè)試平臺(tái)為MATLAB,將文獻(xiàn)[4]分組聚類法和文獻(xiàn)[5]極限學(xué)習(xí)法與本文方法進(jìn)行比較。

2.1 測(cè)試數(shù)據(jù)

測(cè)試過程中,把DVWA漏洞軟件安裝在Web服務(wù)器中,對(duì)后臺(tái)服務(wù)器實(shí)施爬蟲攻擊獲得仿真模擬用戶數(shù)據(jù)集,采用滲透工具XSpear進(jìn)行惡意用戶的XSS攻擊,從中獲取XSS攻擊數(shù)據(jù),正常樣本從Web服務(wù)器日志中提取。將模擬獲得的測(cè)試數(shù)據(jù)記作表1。

表1 測(cè)試數(shù)據(jù)集內(nèi)容

2.2 測(cè)試指標(biāo)

入侵檢測(cè)的實(shí)質(zhì)就是一個(gè)分類正常數(shù)據(jù)與異常數(shù)據(jù)的過程,實(shí)施入侵檢測(cè)技術(shù)性能分析時(shí),把入侵檢測(cè)方法的性能等同于分類器性能,也就是利用分類器的評(píng)價(jià)標(biāo)準(zhǔn)完成本文入侵檢測(cè)技術(shù)性能優(yōu)劣評(píng)估。設(shè)定檢測(cè)率與誤報(bào)率2個(gè)評(píng)估指標(biāo)來展現(xiàn)方法的有效性,檢測(cè)率表示檢測(cè)到異常數(shù)據(jù)時(shí),方法能準(zhǔn)確檢測(cè)出來的幾率,誤報(bào)率表示將正常數(shù)據(jù)當(dāng)作異常數(shù)據(jù)的幾率。

2個(gè)指標(biāo)計(jì)算過程分別為

(6)

(7)

式(6)～式(7)中,TN表示樣本為負(fù),被預(yù)測(cè)成負(fù)類,FP表示樣本為正,被預(yù)測(cè)為負(fù),FN表示樣本為負(fù),被預(yù)測(cè)為正類。

除上述2個(gè)指標(biāo),也要考慮入侵檢測(cè)技術(shù)的負(fù)載均衡水平,負(fù)載均衡百分比越大,表明入侵檢測(cè)技術(shù)處理網(wǎng)絡(luò)數(shù)據(jù)的能力越強(qiáng),技術(shù)整體的靈活性與實(shí)用性越好。負(fù)載均衡測(cè)試使用麻省理工學(xué)院林肯實(shí)驗(yàn)室研發(fā)的入侵檢測(cè)技術(shù)測(cè)試離線數(shù)據(jù),挑選含有20 000次攻擊的網(wǎng)絡(luò)數(shù)據(jù),通過TcprePlay軟件提取高速網(wǎng)絡(luò)背景流量,流量高達(dá)15 Gbps。

2.3 仿真結(jié)果與分析

融合XSS攻擊的測(cè)試數(shù)據(jù)和正常數(shù)據(jù)作為檢測(cè)數(shù)據(jù)集,測(cè)試前針對(duì)各類攻擊的信息均為已知的。在相同測(cè)試環(huán)境下,3種方法入侵檢測(cè)率結(jié)果如圖3所示。

圖3 檢測(cè)率仿真結(jié)果比較

從圖3可知,測(cè)試初期,3種方法的檢測(cè)率結(jié)果基本一致,但隨著測(cè)試次數(shù)增多,檢測(cè)結(jié)果產(chǎn)生巨大差異。與2種文獻(xiàn)方法相比,本文方法始終維持較高的信息素增量,證明本文技術(shù)方案是成功的,能夠有效感知XSS攻擊特點(diǎn)并完成入侵檢測(cè)。這是因?yàn)楸疚姆椒?xì)致劃分了技術(shù)功能板塊,構(gòu)建攻擊向量數(shù)據(jù)庫(kù),進(jìn)一步提升了入侵檢測(cè)全局檢測(cè)精度。

3種方法入侵檢測(cè)誤報(bào)率比較如圖4所示。觀察圖4可知,本文方法信息素濃度處于5%以下,檢測(cè)誤報(bào)率極低,而另2個(gè)文獻(xiàn)方法入侵檢測(cè)誤報(bào)率數(shù)值起伏較大,最終穩(wěn)定于6%和11%左右。這是由于所提技術(shù)利用蟻群聚類算法有效提取并歸類攻擊類型相似特征,極大地提高了數(shù)據(jù)集異常數(shù)據(jù)診斷的精準(zhǔn)度。

負(fù)載均衡測(cè)試中,使用5臺(tái)機(jī)器分流,每臺(tái)機(jī)器的檢測(cè)引擎大約接收60～300 M/s的數(shù)據(jù)包。隨機(jī)挑選1臺(tái)檢測(cè)引擎為測(cè)試系統(tǒng),為系統(tǒng)傳輸穩(wěn)定的網(wǎng)絡(luò)流量,檢測(cè)3種方法遭受XSS攻擊下的負(fù)載均衡能力,結(jié)果如圖5所示。

圖5 3種入侵檢測(cè)方法的負(fù)載均衡對(duì)比

從圖5可知,伴隨數(shù)據(jù)流量的增多,出現(xiàn)XSS攻擊時(shí),本文方法負(fù)載均衡度比較平穩(wěn),而另2個(gè)文獻(xiàn)方法負(fù)載均衡度出現(xiàn)明顯下滑,無法在遭受攻擊時(shí)完成相應(yīng)入侵檢測(cè)計(jì)算。這是由于本文技術(shù)在日志數(shù)據(jù)庫(kù)服務(wù)器模塊中使用了數(shù)據(jù)倉(cāng)庫(kù)技術(shù),在計(jì)算攻擊活動(dòng)時(shí)能夠進(jìn)行更為細(xì)致的優(yōu)化,大幅提高技術(shù)信息處理能力。

3 總結(jié)

為了充分研究當(dāng)前XSS攻擊對(duì)Web應(yīng)用的安全風(fēng)險(xiǎn),為有效抵抗惡意攻擊,本文設(shè)計(jì)了一種面向XSS攻擊的惡意軟件Web入侵檢測(cè)技術(shù)。通過仿真測(cè)試分析,證明所提技術(shù)能有效解決抵御內(nèi)部攻擊過程中存在的缺陷,具備操作簡(jiǎn)便、檢測(cè)精準(zhǔn)等特點(diǎn),給網(wǎng)絡(luò)管理人員帶來了極大便利,可在最短的時(shí)間內(nèi)對(duì)攻擊行為做出相應(yīng)判斷與處理,實(shí)用性極強(qiáng)。