林雍博，凌 捷

廣東工業(yè)大學(xué) 計(jì)算機(jī)學(xué)院，廣州 510006

根據(jù)國(guó)家信息安全漏洞庫(kù)（CNNVD）機(jī)構(gòu)的統(tǒng)計(jì)，在2020年10月發(fā)布的漏洞類型分布中，XSS漏洞所占比例最大，約為8.89%[1]。XSS漏洞是由于Web服務(wù)端沒(méi)有對(duì)用戶輸入的信息進(jìn)行足夠的檢查和過(guò)濾，從而導(dǎo)致了潛在的安全威脅。XSS漏洞從1996年誕生直至演變至今，雖然有許多專家提出了不少防御技術(shù)，例如防病毒軟件[2]、Web防火墻[3]和入侵檢測(cè)設(shè)備[4]等，但是XSS漏洞數(shù)量總體仍在上升，這說(shuō)明隨著時(shí)代和技術(shù)的發(fā)展，XSS漏洞并沒(méi)有得到較好的控制。面對(duì)這種情況，雖然無(wú)法在源頭進(jìn)行控制，但是可以在檢測(cè)方面進(jìn)行加強(qiáng)。近來(lái)就有不少利用機(jī)器學(xué)習(xí)來(lái)進(jìn)行XSS攻擊檢測(cè)的例子。例如，文獻(xiàn)[5]結(jié)合多層感知機(jī)（multilayer perceptron，MLP）較強(qiáng)學(xué)習(xí)能力和隱馬爾可夫模型（hidden Markov model，HMM）對(duì)于時(shí)間序列強(qiáng)大處理能力對(duì)XSS攻擊進(jìn)行檢測(cè)，相比于傳統(tǒng)機(jī)器學(xué)習(xí)進(jìn)一步提高了準(zhǔn)確率。文獻(xiàn)[6]利用長(zhǎng)短期記憶網(wǎng)絡(luò)（long short-term memory，LSTM）網(wǎng)絡(luò)來(lái)構(gòu)建XSS檢測(cè)模型，實(shí)驗(yàn)結(jié)果表明，該方法能有效地進(jìn)行XSS檢測(cè)中，但對(duì)于惡意混淆[7]的XSS檢測(cè)則還不夠準(zhǔn)確。文獻(xiàn)[8-9]改進(jìn)了基于支持向量機(jī)（support vector machine，SVM）分類器的XSS攻擊檢測(cè)技術(shù)，全面提取大量XSS樣本特征，尤其是變形XSS攻擊的特征，能夠改善傳統(tǒng)檢測(cè)方法的不足，但還是有不低的誤報(bào)率。

針對(duì)上述方法的不足，為了進(jìn)一步改善檢測(cè)性能，提升檢測(cè)的準(zhǔn)確率、效率和泛化能力，降低檢測(cè)的誤報(bào)率，本文提出了一種基于殘差網(wǎng)絡(luò)[10]和GRU（gate recurrent unit）的XSS攻擊檢測(cè)方法。

1 相關(guān)工作

XSS攻擊是一種注入類型的攻擊，通常指的是攻擊者利用網(wǎng)頁(yè)開(kāi)發(fā)沒(méi)有對(duì)用戶提交數(shù)據(jù)進(jìn)行轉(zhuǎn)義處理或者過(guò)濾的缺陷，將惡意指令代碼注入到網(wǎng)頁(yè)，使用戶加載并執(zhí)行的一種攻擊。當(dāng)攻擊者使用網(wǎng)絡(luò)應(yīng)用程序向不同的終端用戶發(fā)送惡意代碼（通常以瀏覽器端腳本的形式）時(shí)，就會(huì)發(fā)生XSS攻擊。攻擊者可以使用XSS向毫無(wú)戒備的用戶發(fā)送惡意腳本，最終用戶的瀏覽器沒(méi)有辦法知道該腳本不應(yīng)該被信任，并會(huì)執(zhí)行該腳本。因?yàn)樗J(rèn)為腳本來(lái)自于可信的源頭，所以惡意腳本可以訪問(wèn)瀏覽器保留的任何Cookies、會(huì)話令牌或其他敏感信息，并與該網(wǎng)站一起使用，從而導(dǎo)致敏感信息的泄露。

傳統(tǒng)的檢測(cè)XSS攻擊漏洞一般有兩種方式：（1）基于靜態(tài)分析的研究方法。這種方法是指在不運(yùn)行程序源碼的情況下，對(duì)目標(biāo)代碼進(jìn)行分析，利用語(yǔ)義和詞法分析等多種方法，從邏輯結(jié)構(gòu)、數(shù)據(jù)處理過(guò)程等各方面對(duì)程序源碼進(jìn)行掃描，得到程序源碼的反匯編代碼。然后對(duì)拆解后的代碼進(jìn)行分析，挖掘程序源碼中存在的安全隱患。例如，Cui等[11]采用基于數(shù)據(jù)庫(kù)查詢的方法，利用Datalog描述XSS缺陷。從可能出現(xiàn)XSS安全缺陷的方法入手，對(duì)數(shù)據(jù)流進(jìn)行逆向分析，判斷是否可以通過(guò)用戶輸入引入XSS缺陷來(lái)檢測(cè)。由于可能導(dǎo)致XSS缺陷的方法數(shù)量遠(yuǎn)遠(yuǎn)少于可能引入污點(diǎn)數(shù)據(jù)的方法，采用反向分析法可以減少需要分析的方法數(shù)量，從而大大提高靜態(tài)分析效率。（2）基于動(dòng)態(tài)分析的研究方法。這種方法是通過(guò)模擬攻擊者對(duì)目標(biāo)進(jìn)行滲透測(cè)試的方法，首先將特定的攻擊腳本注入可疑注入點(diǎn)進(jìn)行檢測(cè)，然后根據(jù)服務(wù)器的響應(yīng)結(jié)果判斷目標(biāo)程序是否存在跨站腳本漏洞。動(dòng)態(tài)分析法主要分為五個(gè)步驟：收集可疑注入點(diǎn)；生成一組攻擊腳本（即XSS payload）；滲透測(cè)試；分析響應(yīng)結(jié)果；生成分析報(bào)告。例如，文獻(xiàn)[12]提出一種新的基于動(dòng)態(tài)分析的跨站腳本漏洞檢測(cè)模型，該方法根據(jù)負(fù)載單元的位置和功能類型，將攻擊負(fù)載分為多個(gè)負(fù)載單元，并制定組合成完整攻擊負(fù)載的規(guī)則。通過(guò)負(fù)載單元的組合測(cè)試和單獨(dú)測(cè)試，將負(fù)載單元與旁路規(guī)則的組合放入檢測(cè)點(diǎn)測(cè)試，并根據(jù)測(cè)試結(jié)果生成具有針對(duì)性的完整攻擊負(fù)載。實(shí)驗(yàn)結(jié)果表明，該模型可以使用較少的測(cè)試請(qǐng)求來(lái)完成更多攻擊負(fù)載的測(cè)試，在有效降低漏報(bào)率的情況下，還能保持較高的檢測(cè)效率。此外，還可通過(guò)對(duì)用戶提交的數(shù)據(jù)進(jìn)行審查過(guò)濾來(lái)達(dá)到防止XSS攻擊的作用。例如通過(guò)Web防火墻，設(shè)置白名單、黑名單等方式來(lái)進(jìn)行防御，如對(duì)