摘要： 針對現(xiàn)有基于過濾器、動態(tài)分析、靜態(tài)分析等的解決方案在檢測未知 XSS 攻擊方面效果不佳的問題，利用機(jī)器學(xué)習(xí)方法可高效檢測出未知 XSS 攻擊的特點(diǎn)，提出一種基于遺傳算法和支持向量機(jī)的XSS攻擊檢測模型.通過模糊測試生成XSS攻擊預(yù)樣本，利用遺傳算法搜索特征空間，迭代生成最優(yōu)測試用例，從而擴(kuò)充數(shù)據(jù)集、豐富XSS攻擊向量庫.給出了基于遺傳算法和支持向量機(jī)的攻擊檢測模型，確定了XSS測試用例編碼規(guī)則.進(jìn)行了適應(yīng)度函數(shù)設(shè)計(jì)，完成了選擇算子、交叉算子、變異算子的設(shè)計(jì).從準(zhǔn)確率、召回率、誤報(bào)率和F1值來評價(jià)分類器的檢測效果，結(jié)果表明：該模型準(zhǔn)確率達(dá)到了99.5%；對比其他檢測方法，該檢測模型具有更好的檢測效果，并且召回率和誤報(bào)率也有明顯改善.

關(guān)鍵詞： "跨站腳本攻擊； 模糊測試； 遺傳算法； 支持向量機(jī)； 特征向量化

中圖分類號： TP391.9文獻(xiàn)標(biāo)志碼： "A文章編號： ""1671-7775（2024）06-0686-08

引文格式： "馬征，陳學(xué)斌，張國鵬，等. 基于遺傳算法和支持向量機(jī)的XSS攻擊檢測方法[J].江蘇大學(xué)學(xué)報(bào)（自然科學(xué)版），2024，45（6）：686-693.

XSS attack detection method based on genetic algorithm

and support vector machine

MA Zheng1，2，3， CHEN Xuebin 1，2，3， ZHANG Guopeng 1，2，3， ZHAI Ran1，2，3

（1. College of Science， North China University of Science and Technology， Tangshan， Hebei 063210， China； 2. Hebei Key Laboratory of Data Science and Application， North China University of Science and Technology， Tangshan， Hebei 063210， China； 3. Tangshan Key Laboratory of Data Science， North China University of Science and Technology， Tangshan， Hebei 063210， China）

Abstract： To solve the poor performance problem of the existing solutions based on filters， dynamic analysis and static analysis in detecting unknown XSS attacks， the machine learning methods were used to efficiently detect unknown XSS attacks， and the XSS attack detection model was proposed based on genetic algorithm and support vector machine. The fuzzy testing was used to generate XSS attack pre samples， and the genetic algorithm was used to search the feature space. The optimal test cases were iteratively generate， and the dataset was expanded to enrich the XSS attack vector library. The attack detection model was proposed based on genetic algorithm and support vector machine， and the coding rules for XSS test cases were determined. The fitness function was designed， and the designs of selection operator， crossover operator and mutation operator were completed. The detection performance of the classifier was evaluated based on accuracy， recall， 1 positive rate and F1 score. The results show that the accuracy of the model can reach 99.5%. Compared with other detection methods， the proposed detection model has better detection performance with high recall rate and low 1 positive rate.

Key words： "cross site script attack; fuzzy testing; genetic algorithm; support vector machine; feature vectorization

Web應(yīng)用中隱藏的大量漏洞容易造成隱私泄露，存在巨大的安全隱患.文獻(xiàn)[1]中提到由開放式Web應(yīng)用程序安全項(xiàng)目（open Web application security project，OWASP）最新發(fā)布的“十大最關(guān)鍵的Web應(yīng)用安全風(fēng)險(xiǎn)”中，Web應(yīng)用漏洞每年給國民經(jīng)濟(jì)造成巨大損失，從而引起了諸多企業(yè)和組織對Web應(yīng)用安全漏洞的關(guān)注.文獻(xiàn) ［2］根據(jù)巴科斯范式使用模塊化的方式來構(gòu)造跨站腳本（cross site scripting，XSS）攻擊向量，并把輸出的向量映射到不同的攻擊向量類型.文獻(xiàn)［3］將通過xssed平臺爬取的XSS數(shù)據(jù)作為正樣例，無XSS攻擊的HTTP請求作為負(fù)樣例.傳統(tǒng)的模糊方法可以生成大量的XSS測試用例，但是存在很多不合語義的向量，只追求了數(shù)量卻降低了質(zhì)量，從而顯得效率低下.將遺傳算法引入，可以提高測試效率.傳統(tǒng)的遺傳算法存在的收斂緩慢、群體早熟等問題會導(dǎo)致局部最優(yōu)解，并且會產(chǎn)生不合語義的致死基因，因此將遺傳算法進(jìn)行改進(jìn)，目的就是應(yīng)對網(wǎng)站的過濾機(jī)制，生成更多符合XSS檢測的測試用例.

跨站腳本是由于過濾不足而經(jīng)常出現(xiàn)在Web程序中的一類危險(xiǎn)網(wǎng)絡(luò)安全漏洞.一般XSS漏洞分為3種：反射型XSS漏洞、存儲型XSS漏洞、DOM型XSS漏洞.反射型XSS漏洞指由攻擊者發(fā)送一個(gè)含有惡意代碼的URL鏈接給用戶，用戶通過點(diǎn)擊來向服務(wù)器傳遞信息，隨后得到響應(yīng)界面.攻擊者利用漏洞進(jìn)行釣魚攻擊并盜取用戶的Cookie.存儲型XSS漏洞指攻擊者將惡意代碼存取到數(shù)據(jù)庫中，當(dāng)用戶訪問界面時(shí)，數(shù)據(jù)庫讀取惡意代碼并發(fā)送到服務(wù)器.相比反射型漏洞，存儲型漏洞更加持久，能夠不斷地執(zhí)行，一般存在某些博客、某些論壇的評論下.而DOM型XSS漏洞與反射型XSS漏洞很像，攻擊者給用戶發(fā)送一段包含惡意代碼的鏈接，用戶點(diǎn)擊從而瀏覽器讀取DOM文檔中的惡意代碼.

目前，XSS的檢測方法有很多，包括靜態(tài)檢測、動態(tài)檢測、機(jī)器學(xué)習(xí)檢測、深度學(xué)習(xí)檢測等.靜態(tài)檢測是通過自動檢測工具Fortify SCA、XSS Filter對網(wǎng)頁進(jìn)行檢測，對網(wǎng)站的源代碼進(jìn)行分析，判斷是否存在相應(yīng)的漏洞.靜態(tài)檢測存在局限性，需要網(wǎng)頁提供相應(yīng)的源代碼.動態(tài)檢測是模擬攻擊者攻擊，通過注入點(diǎn)提交攻擊腳本（也就是XSS攻擊向量），根據(jù)服務(wù)器端的響應(yīng)來判斷是否存在漏洞.文獻(xiàn)［4］通過循環(huán)神經(jīng)網(wǎng)絡(luò)模擬攻擊的方式，根據(jù)流量的復(fù)雜性是否存在來識別XSS漏洞；但不足之處就是誤報(bào)率雖然降到很低，但檢測不充分.文獻(xiàn)[5]通過長短期記憶網(wǎng)絡(luò)（long shortterm memory， LSTM）深度學(xué)習(xí)算法自動化提取特征，從而進(jìn)行識別.機(jī)器學(xué)習(xí)檢測目前被廣泛使用，歸因于利用模型檢測使得準(zhǔn)確率大幅度提高，誤報(bào)率能夠大幅度降低.文獻(xiàn)[6]通過樸素貝葉斯和支持向量機(jī)來檢測XSS攻擊，結(jié)果表明，與樸素貝葉斯相比，支持向量機(jī)（support vector machine， SVM）選擇了將混淆代碼、域數(shù)、URL長度、重復(fù)的特殊字符等來分類XSS攻擊，取得了最佳性能.文獻(xiàn)[7]改進(jìn)SVM分類器并優(yōu)化了特征提取方式，來檢測未知的和變形的XSS測試用例.文獻(xiàn)[8]引入TFIDF算法對XSS樣本進(jìn)行特征向量化分析，采用單分類支持向量機(jī)計(jì)算一類樣本的數(shù)據(jù).文獻(xiàn)[9-10]選取了支持向量機(jī)中的徑向基核函數(shù)，但特征數(shù)量過少，會使得模型檢測不充分.

遺傳算法能夠獲取局部最優(yōu)解，文獻(xiàn)[11]通過遺傳算法對數(shù)據(jù)集進(jìn)行擴(kuò)充，增加了反過濾規(guī)則來增大樣本數(shù)量，樣本數(shù)量過多，導(dǎo)致人工操作較多.文獻(xiàn)[11-12]采用自動化腳本識別XSS攻擊，不過有些XSS攻擊存儲在界面內(nèi)會識別不到，存在一定的漏報(bào).隨著攻擊方式不斷增加，檢測的局限性越來越高，文中擬結(jié)合模糊測試，實(shí)現(xiàn)對XSS樣本的預(yù)收集，采用遺傳算法不斷地迭代，進(jìn)行選擇、交叉和變異形成攻擊性更加全面的XSS攻擊向量庫，以提高XSS攻擊檢測的檢測效率，避免大量無效向量影響模型的檢測.最后通過支持向量機(jī)構(gòu)建模型對XSS攻擊進(jìn)行檢測，以證明新模型在檢測準(zhǔn)確率方面的良好效果.

1數(shù)據(jù)預(yù)處理

1.1XSS樣本預(yù)生成

通過XSS filter evasion cheat sheet收集到XSS測試用例作為初始樣本.XSS filter evasion cheat sheet是由OWASP[1]組織發(fā)布的XSS過濾備忘單，它記錄了包括基于屬性、事件、HTML標(biāo)簽、CSS、XML等各種類型的XSS測試用例，同時(shí)也考慮了XSS用例加前綴、字母變換大小寫、轉(zhuǎn)編碼等各種方式來繞過服務(wù)器端.XSS filter evasion cheat sheet涵蓋的測試用例見表1.

XSS測試用例作為攻擊向量可以分為基于屬性、基于事件、基于HTML標(biāo)簽、基于CSS、基于XML等5類，表1只簡單列出幾例作為說明.由于構(gòu)成XSS測試用例的數(shù)量眾多，顯得針對性不足，為了減少漏報(bào)率，提高檢測效率，將對XSS測試用例進(jìn)行優(yōu)化，目的是提高XSS攻擊的針對性.XSS測試用例是一個(gè)不斷擴(kuò)充的過程，通過遺傳算法優(yōu)化生成XSS測試用例，目的是生成更具有攻擊性的XSS測試用例.

隨著網(wǎng)站過濾的機(jī)能逐漸強(qiáng)大，部分XSS測試用例在低版本的瀏覽器能夠成功攻擊，在高版本的瀏覽器中會被過濾掉，文中將通過模糊測試的方法對無效的測試用例進(jìn)行過濾，基于模糊測試和XSS測試集的XSS攻擊樣本生成流程見圖1.

模糊測試的步驟如下： ① 輸入初始XSS測試集（XSS filter evasion cheat sheet）作為模糊測試的測試用例； ② 模擬攻擊方式，將測試用例輸入至網(wǎng)站中并執(zhí)行操作； ③ 監(jiān)測攻擊結(jié)果，以是否有彈窗顯示來判斷是否進(jìn)行了XSS攻擊，若判斷攻擊成功則保存XSS測試用例，作為XSS攻擊樣本，若攻擊失敗則遺棄； ④ 不斷重復(fù)步驟②③，直至XSS測試集中的測試用例全都檢測完畢，算法結(jié)束.

目標(biāo)程序DVWA用來檢測Web應(yīng)用是否安全，初始界面是一個(gè)具有留言簿的界面，如圖2a所示.通過輸入XSS測試用例，輸入到“message”下，提交后得到新界面，不斷輸入XSS測試用例，判斷瀏覽器是否彈出彈窗，彈窗如圖2b所示.若未出現(xiàn)彈窗則證明此XSS測試用例無效，若出現(xiàn)彈窗則證明此XSS測試用例攻擊有效，直至模糊測試結(jié)束，最終得到預(yù)生成的XSS攻擊樣本X.

1.2XSS攻擊樣本生成流程

訓(xùn)練模型的目的就是更好地識別出XSS攻擊行為，由于XSS漏洞攻擊模式的多樣性，有必要從攻擊者的角度考慮如何生成有效的測試向量，因此需要考慮攻擊載荷的構(gòu)造，通過遺傳算法來生成更加有效的攻擊向量，進(jìn)而通過定義的變異規(guī)則，能夠豐富XSS攻擊向量庫.通過優(yōu)化的XSS攻擊向量庫能夠更加有效地識別XSS攻擊行為.

遺傳算法是一種最優(yōu)化的搜索算法，目的就是尋找最優(yōu)解.算法流程如下： ① 初始化種群； ② 計(jì)算每一個(gè)種群中個(gè)體適應(yīng)度的值； ③ 根據(jù)適應(yīng)度的值選擇合適的算法進(jìn)行選擇、交叉、變異； ④ 不斷進(jìn)行迭代，直到達(dá)到所設(shè)定的閾值.

傳統(tǒng)的遺傳算法通過一系列的選擇、交叉和變異操作形成新的個(gè)體，通過迭代不斷朝向適應(yīng)度大的方向搜索，能夠控制指引方向，不斷趨于最優(yōu)化從而找到全局最優(yōu)解.由于算法本身的缺陷，有時(shí)會陷入局部最優(yōu)，不能得到全局最優(yōu)解，因此選擇改進(jìn)遺傳算法，文中新增了精英策略[7]，適應(yīng)度最大值的個(gè)體不再進(jìn)行選擇、交叉和變異操作，直接放入下一代中，再進(jìn)行一系列的操作.對遺傳算法的變異操作中產(chǎn)生的致死基因（不符合HTML語義構(gòu)造）進(jìn)行新的變異操作.文中提出的基于遺傳算法的XSS優(yōu)化測試用例流程圖見圖3.

改進(jìn)后的遺傳算法即存儲型XSS攻擊樣本生成算法，其輸入的各個(gè)參數(shù)包括種群大小、染色體的長度、交叉概率、變異概率和迭代次數(shù).其步驟如下：

1） 編碼，根據(jù)XSS測試用例確定合適的編碼規(guī)則，根據(jù)Onehot編碼把表現(xiàn)型轉(zhuǎn)換成計(jì)算機(jī)能夠識別的基因型.

2） 根據(jù)編碼規(guī)則，分為4個(gè)初始種群，4個(gè)種群之間互不交叉.

3） 根據(jù)適應(yīng)度函數(shù)，計(jì)算種群中個(gè)體適應(yīng)度值.

4） 精英策略，適應(yīng)度最大的值不進(jìn)行選擇、交叉和變異，直接保留到下一代.

5） 根據(jù)不同種群，選取單點(diǎn)交叉或多點(diǎn)交叉的方式，生成一個(gè)隨機(jī)數(shù)對2個(gè)父代進(jìn)行交叉.

6） 基本位變異，由變異概率來判斷種群中個(gè)體是否變異.

7） 修復(fù)，判斷編譯后的個(gè)體是否滿足HTML語義，對不滿足的采用改進(jìn)變異方法，生成新的個(gè)體.

8） 判斷是否滿足停止條件，若不滿足重復(fù)步驟3）到步驟7），滿足則輸出結(jié)果.

9） 解碼，把基因型個(gè)體轉(zhuǎn)換成表現(xiàn)型，最終形成XSS攻擊樣本.

最終生成XSS攻擊樣本為X={X1，X2，…，Xn}.

1.3安全向量生成器

生成的安全向量保持在128個(gè)字符之內(nèi)，其中的類型包括： ① 僅包含大寫或小寫的字符串； ② 包含所有字母和數(shù)字的字符串； ③ 包含所有字母、數(shù)字和特殊字符的字符串.

生成的安全向量取決于XSS攻擊向量的個(gè)數(shù)，用來保持XSS和數(shù)據(jù)集安全樣本之間的平衡，平衡的數(shù)據(jù)集用于訓(xùn)練和測試模型.安全向量生成器見圖4.

2基于遺傳算法和支持向量機(jī)的攻擊檢測模型

2.1XSS測試用例編碼規(guī)則

求解問題需要用到表現(xiàn)型，編碼將表現(xiàn)型轉(zhuǎn)換成基因型，基因序列能夠被遺傳算法識別，最終解碼再把基因型轉(zhuǎn)換為表現(xiàn)型，得到問題所求解.

文中采用Onehot編碼，采取二進(jìn)制串特征對XSS測試用例進(jìn)行編碼，根據(jù)不同的攻擊特征信息，為了盡可能地?cái)U(kuò)充XSS攻擊樣本，將模糊測試得到的XSS測試用例分為4個(gè)種群.4個(gè)種群的個(gè)體互不影響，構(gòu)造特征如下： ① 種群1（直接攻擊），攻擊向量包括“特殊字符（3位）+頭標(biāo)簽（4位）+X攻擊代碼（6位）+攻擊代碼（3位）+尾標(biāo)簽（3位）”，編碼共19位； ② 種群2（基于屬性），攻擊向量包括“頭標(biāo)簽（4位）+屬性（3位）+屬性值（6位）+尾標(biāo)簽（3位）”，編碼共16位； ③ 種群3（基于事件），攻擊向量包括“頭標(biāo)簽（4位）+事件（6位）+攻擊代碼（3位）+尾標(biāo)簽（6位）”，編碼共19位； ④ 種群4（基于屬性和事件），攻擊向量包括“特殊字符（4位）+頭標(biāo)簽（4位）+屬性（6位）+攻擊事件（5位）+攻擊代碼（5位）+尾標(biāo)簽（4位）”，編碼共28位.

特殊字符如下：lt;，，/，’，”，#，@，*，=，：，；，？.

頭標(biāo)簽如下：lt;scriptgt;、lt;SCRIPTgt;、lt;scriptx2Fgt;、lt;scriptx00gt;、lt;videogt;、lt;tablegt;、lt;imggt;、lt;imagegt;、lt;scriptgt;、lt;script/、lt;scriptx20、lt;scriptx3E、lt;scriptx0D、lt;scriptx2Fgt;、lt;IFRAMEgt;、input、video、IMG、BODY、body、HTML、iframe、marquee、style、svg、applet、xml、image、img、video、audio、body、object、script、IFRAME、IMG.

屬性如下：poster、background、src、herf、id、SRC、type.

屬性值如下：data：alert（1）、fuzzelement1、javascript：javascript：alert（1）、javascript：alert（1）、javascriptx3Ajavascript：alert（1）、javasx0Ccript：javascript：alert（1）、data：xD4x8F、javascript：alert（′XSS′）、 javascript：alert（1）.

事件如下：onfocus、onblur、onerror、onmouseover、onError、onPageHide、onkeydown、onStart、onunload、onPropertyChange、onMouseDown、onResize、onload.

X攻擊代碼如下：x2A，x2E，x0B，x0D，x21，x9F，xE2，x00，x81，x8E，x20，x80，x88，xE3，x84，xAF.

攻擊代碼如下：alert（1），alert（xss），alert（document.cookie），javascript：alert（1）、javascript：alert（1）、alert（′XSS′）、javascript：javascript：alert（1）.

尾標(biāo)簽如下：lt;/scriptgt;，lt;/SCRIPTgt;，lt;/scriptx0Dgt;、video、audio、img、body、image、object、script、IFRAME、autofocus、source、title、xml、iframe、frameset、marquee、style、svg、gt;testlt;/agt;、gt;lt;/scriptgt;、lt;/scriptgt;、gt;lt;/IFRAMEgt;.

XSS攻擊特征編碼如表2所示.

2.2適應(yīng)度函數(shù)設(shè)計(jì)

針對XSS攻擊樣本數(shù)據(jù)集，有越多的攻擊特征組合說明攻擊效果越好.從XSS攻擊樣本中選取攻擊特征，進(jìn)行特征劃分，并量綱一化處理，得到攻擊特征庫M，集合M中包含n個(gè)攻擊特征m1，m2，…，mn.計(jì)算每個(gè)特征庫中個(gè)體在XSS攻擊樣本中出現(xiàn)的概率φmi，并把每個(gè)XSS測試用例中各個(gè)攻擊特征出現(xiàn)概率之和的平均值D作為當(dāng)前攻擊樣本的相似度，取n次迭代的平均值為最后的攻擊樣本相似度p，計(jì)算公式為

D=1n∑ni=1φmi，（1）

p=1n∑ni=1φmilogtT.（2）

2.3遺傳算子的設(shè)計(jì)

2.3.1選擇算子

選擇的前提條件是計(jì)算測試用例的攻擊樣本相似度，根據(jù)樣本相似度值計(jì)算適應(yīng)度.按照適應(yīng)度值大小對攻擊樣本進(jìn)行排序，適應(yīng)度值大可以作為父代個(gè)體，可以遺傳到下一代，進(jìn)行交叉、變異操作.通過選擇操作，保留優(yōu)秀基因不斷朝著適應(yīng)度大的方向搜索.

文中采用了精英策略，通過保留當(dāng)前種群中適應(yīng)度最大的個(gè)體，不對它進(jìn)行交叉和變異操作而是直接復(fù)制到下一代中，在加速算法進(jìn)行的同時(shí)還能夠減小誤差.在迭代的過程中，不斷積累優(yōu)秀的XSS攻擊特征，不斷趨于最優(yōu)值.采用輪盤賭原則，根據(jù)概率大小實(shí)現(xiàn)隨機(jī)選擇，但適應(yīng)度值越大的攻擊個(gè)體越容易被選擇.

2.3.2交叉算子

遺傳算法模仿生物進(jìn)化過程，將選擇的2個(gè)父代染色體通過基因重組和交配產(chǎn)生新染色體，新個(gè)體具有更多攻擊特征，形成的新個(gè)體增加了遺傳算法的搜索空間，加強(qiáng)了全局搜索能力.文中將根據(jù)各個(gè)種群的特點(diǎn)，采用單點(diǎn)交叉的方式，按照交叉概率決定2個(gè)個(gè)體是否進(jìn)行交叉操作.隨機(jī)選擇一個(gè)交叉點(diǎn)，將交叉點(diǎn)前面的內(nèi)容進(jìn)行交換.例如：parent1為101|0000101000000000；parent2為100|0001101000001001.經(jīng)單點(diǎn)交叉得：child1為1000000101000000000；child2為1010001101000001001.

2.3.3變異算子

在Web應(yīng)用安全中，未能對用戶輸入的內(nèi)容進(jìn)行充足過濾導(dǎo)致漏洞的生成.應(yīng)站在攻擊者的角度，需要對輸入內(nèi)容進(jìn)行一系列的變形，才能繞過服務(wù)器端的過濾.通過引入遺傳算法中變異操作，實(shí)現(xiàn)優(yōu)秀基因的生成.傳統(tǒng)遺傳算法的變異操作，只是把基因位由0變到1，由1變到0，應(yīng)用在XSS攻擊樣本生成上，變異后形成的新個(gè)體會存在致死基因，新個(gè)體不符合HTML語義.因此，對那些不滿足HTML語義的變異個(gè)體進(jìn)行修補(bǔ)操作，變異的形式見表3.在變異時(shí)按照變異概率進(jìn)行按位取反，例如：child1為1000000|1|01000000000；child1*為1000000001000000000.

2.4SVM分類器的設(shè)計(jì)

根據(jù)機(jī)器學(xué)習(xí)的思想，對遺傳算法生成的XSS攻擊樣本和安全向量生成器生成的白樣本采用數(shù)學(xué)統(tǒng)計(jì)和人工挑選的方式進(jìn)行特征選取.XSS有效載荷比正常有效載荷長度更長，其中包含了惡意代碼，因此敏感詞、敏感字符和有效載荷的長度是識別XSS的重要因素.XSS有效載荷可能會利用重定向鏈接，將惡意代碼隱藏在重定向界面里，通過識別重定向鏈接來跳轉(zhuǎn)并執(zhí)行惡意代碼，一些協(xié)議可能會出現(xiàn)在一個(gè)負(fù)載中.XSS有效載荷包含7個(gè)維度：URL的長度（用戶請求輸入的字符數(shù)）、HTTP（包含http和https）的個(gè)數(shù)、特殊關(guān)鍵詞（包含http和https）、閉合敏感符號（lt;gt;/*：amp;#等字符）數(shù)量、空格字符（空格）數(shù)量、大寫字母（包含[A-Z]的字符）數(shù)量、數(shù)字字符（阿拉伯?dāng)?shù)字0-9，攻擊樣本作為黑樣本，打標(biāo)記為1，安全樣本作為白樣本，打標(biāo)記為0）數(shù)量.

SVM根據(jù)線性函數(shù)是否被完全分開來定義樣本值是非線性可分還是線性可分，線性可分可通過直線或平面進(jìn)行分割，如圖5所示.這樣的直線或平面有無數(shù)條，最優(yōu)分類能使得2類樣本正確分開，且間隔足夠大.

ωx+b=0（ω∈Rn，b∈R）（3）

表示.擴(kuò)展到n維空間，SVM通過搜索最佳超平面把非線性可分轉(zhuǎn)換為線性可分，最終由尋找最優(yōu)超平面中邊界最大值轉(zhuǎn)化成求解被約束的最優(yōu)化問題.表達(dá)式為

minω，b12‖ω‖2+C∑Ni=1εi，

s.t.yi（ω·（xi）+b）≥1-εi，εi≥0，i=1，2，…，N，（4）

式中：C為懲罰因子，表示離群點(diǎn)的重視因子；εi為松弛變量，能夠?qū)颖居成涞礁呔S空間從而解決非線性可分問題.

常用的4種核函數(shù)包括： ① 線性核函數(shù)K（x，y）=xy； ② 多項(xiàng)式核函數(shù)K（x，y）=[（x，y）+1]d； ③ 徑向基函數(shù)K（x，y）=exp-|x-y|2d2； ④ 二層神經(jīng)網(wǎng)絡(luò)核函數(shù)K（x，y）=tanh（a（x，y）+b）.

文中選取的特征維度為7維，采用高維度下性能良好的徑向基函數(shù)將樣本集升至高維空間，表達(dá)式為

K（x，y）=exp-|x-y|2d2.（5）

SVM把單個(gè)問題分解為多個(gè)二分類問題，最終得到一組判決次數(shù)最多的，將作為樣本分類的最后結(jié)果.

3試驗(yàn)與結(jié)果分析

3.1試驗(yàn)環(huán)境

為了驗(yàn)證基于遺傳算法和支持向量機(jī)的攻擊檢測模型有效，設(shè)計(jì)了試驗(yàn)進(jìn)行驗(yàn)證，試驗(yàn)環(huán)境如下：操作系統(tǒng)為Windows10/64位；處理器為Intel（R） Core（TM） i710750H；內(nèi)存為16 GB；編程語言為Python3.9.

3.2試驗(yàn)參數(shù)與結(jié)果分析

本遺傳算法實(shí)現(xiàn)采用的參數(shù)如下：種群規(guī)模為2 000個(gè)；交叉概率為0.8；變異概率為0.04；最大迭代次數(shù)為200次.

圖6給出了XSS攻擊樣本和安全樣本的特征分布情況，為了平衡數(shù)據(jù)集，安全樣本的數(shù)量保持和攻擊樣本的數(shù)量一樣.

XSS攻擊樣本和正常樣本合并，將60%作為訓(xùn)練樣本，剩余40%作為測試樣本.本試驗(yàn)引入準(zhǔn)確率P、召回率R、誤報(bào)率FAL和F1值4個(gè)評價(jià)指標(biāo)評價(jià)SVM分類器的效果.

準(zhǔn)確率表示分類的準(zhǔn)確度，表達(dá)式為

P=TP+TNTP+TN+FN+FP；（6）

召回率為預(yù)測為正的正樣本占總正樣本的比例，表達(dá)式為

R=TPTP+FN ；（7）

誤報(bào)率為預(yù)測為正的負(fù)樣本占總負(fù)樣本的比例，表達(dá)式為

FAL=FPTN+FP；（8）

F1值是召回率與精確率的一個(gè)均和調(diào)值，是對召回率與精確率的一個(gè)綜合評價(jià)，表達(dá)式為

F1=2P·RP+R ，（9）

式中：TP是預(yù)測為正樣本的正樣本數(shù)量；TN是預(yù)測為負(fù)樣本的負(fù)樣本數(shù)量；FN是預(yù)測為負(fù)樣本的正樣本數(shù)量；FP是預(yù)測為正樣本的負(fù)樣本數(shù)量.

文中利用傳統(tǒng)的檢測方法XSS Filter、隨機(jī)森林、SVM分類器進(jìn)行對比，采用柱狀圖的形式直觀比較3者在準(zhǔn)確率、召回率和誤報(bào)率上的表現(xiàn)，圖7-8給出了對比結(jié)果.

從圖7可見在準(zhǔn)確率和召回率上SVM分類器和隨機(jī)森林明顯高于XSS Filter，可以明顯看出隨機(jī)森林的誤報(bào)率達(dá)到最高，這是由于負(fù)樣本被正確分類的比例不夠高造成的.可見，SVM分類器在優(yōu)化XSS攻擊向量庫的檢測上效果能達(dá)到最好.

文中采用遺傳算法優(yōu)化的XSS攻擊向量庫作為SVM分類器的數(shù)據(jù)集，通過文獻(xiàn)[10]僅在各個(gè)網(wǎng)站收集得到的XSS測試用例和文獻(xiàn)[11]對普通XSS樣本進(jìn)行變形得到的XSS測試用例進(jìn)行對比，結(jié)合準(zhǔn)確率、召回率和誤報(bào)率3個(gè)指標(biāo)來評測文中提出經(jīng)遺傳算法優(yōu)化的XSS攻擊向量庫.

所提出的基于遺傳算法優(yōu)化得到的XSS攻擊向量庫提高了XSS測試用例攻擊的有效性，避免對其他無效向量進(jìn)行多余檢測，因?yàn)闄z測效率的提高，XSS對測試用例檢測的準(zhǔn)確率得到了提升；另外文中提出的安全向量生成器在數(shù)量上與XSS攻擊樣本保持一致，一個(gè)好的檢測模型不僅能夠檢測出XSS攻擊向量，還能識別出用戶輸入的合法向量，在準(zhǔn)確率上高于文獻(xiàn)[9]和文獻(xiàn)[10].由圖8可見，文獻(xiàn)[9]誤報(bào)率最低，改進(jìn)SVM分類器能夠降低誤報(bào)率，優(yōu)化特征向量使得負(fù)樣本被正確分類的比例上升.圖9給出了文中基于遺傳算法和支持向量機(jī)的XSS攻擊檢測模型和基于深度學(xué)習(xí)的DCNNGRU模型[4]的評價(jià)指標(biāo)對比.

由圖9可見，2個(gè)模型的準(zhǔn)確率都穩(wěn)定在99.5%左右，但是文中模型召回率高了0.12，F(xiàn)1值高了0.08.

4結(jié)論

1） 文中提出基于遺傳算法與支持向量機(jī)的XSS檢測模型，通過模糊測試收集漏洞庫用例，利用遺傳算法優(yōu)化生成均衡的XSS攻擊向量庫，以解決傳統(tǒng)XSS檢測器的冗余與數(shù)據(jù)集不平衡問題.

2） 文中提出的基于遺傳算法和支持向量機(jī)的XSS攻擊檢測模型在數(shù)據(jù)集上使XSS測試用例更具有針對性，去除了很多冗余的數(shù)據(jù)，明顯縮短了訓(xùn)練時(shí)間，提高了檢測效率；與支持向量機(jī)與隨機(jī)森林相比，XSSFilter準(zhǔn)確率、召回率是最高的；文中模型與基于深度學(xué)習(xí)的DCNNGRU模型對比，準(zhǔn)確率都達(dá)到了較高的99.5%，但文中模型召回率和F1值略高.

3） 試驗(yàn)驗(yàn)證了SVM分類器在準(zhǔn)確率上的提升很大，但是誤報(bào)率還存在不足.未來將開發(fā)有監(jiān)督的集成機(jī)器學(xué)習(xí)，目前的分類方法都是單個(gè)分類器的，集成方法的性能優(yōu)于單個(gè)分類器，從而進(jìn)一步提升準(zhǔn)確率、降低誤報(bào)率.

參考文獻(xiàn)（References）

［1］KORAC＇ D， DAMJANOVIC＇ B， SIMIC＇ D， et al. A hybrid XSS attack （HYXSSA） based on fusion approach： challenges， threats and implications in cybersecurity[J]. Journal of King Saud UniversityComputer and Information Sciences，2022，34：9284-9300.

［2］馮亦彤.基于攻擊向量自動生成的XSS漏洞檢測系統(tǒng)的研究與設(shè)計(jì)[D].北京：北京郵電大學(xué)，2019.

［3］許丹丹，徐洋，張思聰，等.基于DCNNGRU模型的XSS攻擊檢測方法[J].計(jì)算機(jī)應(yīng)用與軟件，2022，39（2）：324-329.

XU D D， XU Y， ZHANG S C， et al. XSS attack detection method based on DCNNGRU model[J]. Computer Applications and Software， 2022，39（2）：324-329.（in Chinese）

［4］朱思猛，杜瑞穎，陳晶，等.基于循環(huán)神經(jīng)網(wǎng)絡(luò)的Web應(yīng)用防火墻加固方案[J].計(jì)算機(jī)工程，2022，48（11）：120-126.

ZHU S M， DU R Y， CHEN J， et al. Web application firewall reinforcement scheme based on recurrent neural network[J]. Computer Engineering， 2022，48（11）：120-126.（in Chinese）

［5］丁雪川，張偉峰，方菽蘭，等.基于深度學(xué)習(xí)的跨站腳本攻擊檢測[J].技術(shù)與市場，2022，29（3）：112-113.

DING X C， ZHANG W F， FANG S L， et al. Crosssite scripting attack detection based on deep learning[J]. Technology and Market， 2022，29（3）：112-113.（in Chinese）

［6］THAJEEL I K， SAMSUDIN K， HASHIM S J， et al. Machine and deep learningbased XSS detection approaches： a systematic literature review[J]. Journal of King Saud UniversityComputer and Information Sciences， DOI： 10.1016/j.jksuci.2023.101628.

［7］MARASHDIH A W， ZAABA Z F， SUWAIS K， et al. Web application security： an investigation on static analysis with other algorithms to detect cross site scripting[J]. Procedia Computer Science， 2019，161：1173-1181.

［8］顧兆軍，李志平，張禮哲. 基于單分類支持向量機(jī)的XSS攻擊檢測研究[J]. 計(jì)算機(jī)應(yīng)用與軟件， 2021，38（6）：299-305.

GU Z J， LI Z P， ZHANG L Z. XSS attack detection based on OCSVM[J]. Computer Applications and Software， 2021，38（6）：299-305.（in Chinese）

［9］趙澄，陳君新，姚明海. 基于SVM分類器的XSS攻擊檢測技術(shù)[J]. 計(jì)算機(jī)科學(xué)， 2018，45（11A）：356-360.

ZHAO C， CHEN J X， YAO M H. XSS attack detection technology based on SVM classifier[J]. Computer Science， 2018， 45（11A）：356-360.（in Chinese）

［10］KAUR G， PANDE B， BHARDWAJ A， et al.Efficient yet robust elimination of XSS attack vectors from HTML5 web applications hosted on OSNbased cloud platforms[J]. Procedia Computer Science， 2018，125：669-675.

［11］ABU ALHAIJA Q. Costeffective detection system of crosssite scripting attacks using hybrid learning approach[J]. Results in Engineering， DOI： 10.1016/j.rineng.2023.101266.

［12］MARASHDIH A W， ZAABA Z F， SUWAIS K. Predicting input validation vulnerabilities based on minimal SSA features and machine learning[J]. Journal of King Saud UniversityComputer and Information Sciences， 2022，34（10PB）：9311-9331.

（責(zé)任編輯梁家峰）

收稿日期： ""2022-10-27

基金項(xiàng)目： "國家自然科學(xué)基金資助項(xiàng)目（U20A20179）

作者簡介： "馬征（1997—），男，河北唐山人，碩士研究生（745559283@qq.com），主要從事網(wǎng)絡(luò)安全、隱私保護(hù)等研究.

陳學(xué)斌（1970—），男，河北唐山人，教授（chxb@qq.com），主要從事大數(shù)據(jù)安全、物聯(lián)網(wǎng)安全、網(wǎng)絡(luò)安全等研究.