劉瑞軍

摘 要： 為提高Web軟件和網(wǎng)站的安全性，保護用戶數(shù)據(jù)不受損傷，提出秘鑰交換環(huán)境下Web安全漏洞智能檢測方法。通過研究秘鑰交換環(huán)境下Web安全漏洞的產(chǎn)生機理，設(shè)計安全性能更高的秘鑰交換安全協(xié)議，在此基礎(chǔ)上，從SVN服務(wù)器中解析出Web軟件或網(wǎng)站的源代碼，選定用于檢測Web安全漏洞的功能插件并進行驅(qū)動，使用規(guī)則表達式規(guī)范功能插件的檢測規(guī)則，從而檢測出秘鑰交換環(huán)境下的Web安全漏洞。實驗結(jié)果表明，該方法在秘鑰交換環(huán)境下的檢測可靠性高、靈活性強。

關(guān)鍵詞： 秘鑰交換環(huán)境； Web安全漏洞檢測； SVN； 規(guī)則表達式

中圖分類號： TN915.08?34； TP393.08 文獻標(biāo)識碼： A 文章編號： 1004?373X（2017）09?0089?04

Abstract： In order to improve the security of Web software and Web site， and protect the user data free from the damage， a Web security vulnerabilities intelligent detection method in the secret key exchange environment is put forward. The production mechanism of the Web security vulnerabilities in the secret key exchange environment is studied to design the secret key exchange security protocol with higher safety performance. On this basis， the source code of Web software or Web site is parsed in SVN server. The function plugin to detect the Web security vulnerabilities is selected and driven. The regulation expression is used to regulate the detection rule of the function plugin to detect the Web security vulnerabilities in the secret key exchange environment. The experimental results show that the method has high detection reliability and strong flexibility in the secret key exchange environment.

Keywords： secret key exchange environment； Web security vulnerabilities detection； SVN； regulation expression

0 引 言

在經(jīng)濟與科技的高速發(fā)展下，Web用戶出現(xiàn)了大幅度增長，Web安全漏洞造成的問題也日漸凸顯出來。近期的暴露報告指出，9成以上的Web軟件和網(wǎng)站的安全防護協(xié)議不健全，跨站腳本攻擊、結(jié)構(gòu)化查詢語言注入以及協(xié)議偽造占據(jù)了Web安全漏洞的50%以上，并且接近80%的漏洞產(chǎn)生于應(yīng)用層，秘鑰交換環(huán)境是Web安全漏洞的重災(zāi)區(qū)[1]，為各行各業(yè)帶來了不小的沖擊。在過去，網(wǎng)絡(luò)防火墻能夠阻隔接近98%的秘鑰交換環(huán)境下的Web安全漏洞，但隨著Web協(xié)議和通信秘鑰不斷被破解，網(wǎng)絡(luò)防火墻甚至于Web安全漏洞智能檢測系統(tǒng)都不能100%地維護Web軟件和網(wǎng)站的信息安全，一些人利用安全漏洞竊取用戶隱私，進一步加大了人身與財產(chǎn)的安全隱患[2]。因而，開展對秘鑰交換環(huán)境下Web安全漏洞智能檢測的研究，為經(jīng)濟與科技的發(fā)展提供安全防護，在當(dāng)代社會具有非常重要的現(xiàn)實意義。

1 問題描述

使用秘鑰交換協(xié)議進行網(wǎng)絡(luò)通信的狀態(tài)統(tǒng)稱為秘鑰交換環(huán)境，秘鑰交換環(huán)境的安全協(xié)議口令精簡、熵值小，為用戶提供便利的同時也方便了黑客對Web軟件和網(wǎng)站的攻擊，尤其是字典攻擊，黑客只需利用計算機編制簡單的解密算法，就能夠猜測出秘鑰交換協(xié)議口令，這種情況不可避免地造成了Web安全漏洞[3]，因此，研究Web安全漏洞智能檢測的初衷就是使秘鑰交換環(huán)境能夠自動抵御字典攻擊。

秘鑰交換環(huán)境的安全協(xié)議類型多種多樣，應(yīng)用較廣的是“用戶?服務(wù)端”類型，但這種類型在大范圍數(shù)據(jù)通信中需要應(yīng)用到多個服務(wù)端，并提供多種不同的口令。雖減少了Web安全漏洞，卻增加了通信難度[4]?？紤]到以上因素，本文提出一種秘鑰交換環(huán)境下的Web安全漏洞智能檢測方法，以單獨服務(wù)端進行數(shù)據(jù)的接收和發(fā)送，同時提供多種口令來維護安全性能，并在秘鑰交換環(huán)境中設(shè)置用戶的絕對信任區(qū)域來削減通信難度，當(dāng)環(huán)境受到攻擊時，需要檢測Web安全漏洞中是否存在攻擊痕跡，并主動將口令共享到絕對信任區(qū)域，重新構(gòu)建數(shù)據(jù)通信通道。

2 秘鑰交換環(huán)境下Web安全漏洞智能檢測研究

2.1 秘鑰交換安全協(xié)議設(shè)計

隨著字典攻擊方式的不斷升級，以及其他小型攻擊方式強度的不斷提高，增強所提秘鑰交換環(huán)境下Web安全漏洞智能檢測方法的可靠性和靈活性，其根本在于設(shè)計出安全性能更高的秘鑰交換安全協(xié)議[5]：一方面為秘鑰交換環(huán)境減少攻擊傷害；另一方面提高方法檢測的效率。秘鑰交換安全協(xié)議工作原理如圖1所示。

從圖1中可以看出，所提方法結(jié)合了第一代秘鑰交換安全協(xié)議Diffie?Hellman強大的計算資源，以及數(shù)據(jù)加密標(biāo)準(zhǔn)強大的抗攻擊性能，在不影響安全性能的同時，減少秘鑰交換安全協(xié)議的運算量，以64位分組加密形式實現(xiàn)用戶數(shù)據(jù)通信，通過協(xié)商與交換的方式進行解密，有效保證用戶數(shù)據(jù)安全、可靠的通信。在所設(shè)計的秘鑰交換安全協(xié)議的基礎(chǔ)上進行Web安全漏洞檢測，所得檢測結(jié)果更加可靠。

2.2 密鑰交換環(huán)境下Web安全漏洞智能檢測方法

Web安全漏洞智能檢測的實質(zhì)是通過全面掃描Web軟件和網(wǎng)站，從中挖掘出存在黑客攻擊痕跡的Web安全漏洞，從原理上看是一個評價Web軟件和網(wǎng)站數(shù)據(jù)可靠性并標(biāo)記不可靠數(shù)據(jù)點的過程。黑客攻擊不可避免，從源頭上杜絕Web安全漏洞是不切實際的[6]，為此，所提秘鑰交換環(huán)境下Web安全漏洞智能檢測方法在Web經(jīng)受字典或其他攻擊的第一時間，對秘鑰交換環(huán)境中的Web安全漏洞進行保護和檢測，并快速提供合理的補救措施，將損失降至最低，防止同類型攻擊的二次入侵。

用戶的檢測請求通過服務(wù)器驅(qū)動各功能插件，插件從服務(wù)器中調(diào)取Web軟件或網(wǎng)站的源代碼，服務(wù)器的類型是SVN。SVN是Subversion的簡寫，代表重寫，可提供開放源代碼控制功能。SVN服務(wù)器獨立存儲數(shù)據(jù)，存儲速度快，存儲格式是二進制，便于秘鑰寫入，不必擔(dān)心數(shù)據(jù)丟失[7]。Web安全漏洞智能檢測流程如圖2所示。

由圖2可知，SVN服務(wù)器取得Web源代碼后，根據(jù)軟件或網(wǎng)站相應(yīng)的Web配置數(shù)據(jù)來選擇驅(qū)動何種功能插件檢測Web安全漏洞。功能插件將檢測結(jié)果輸出，隨后根據(jù)檢測結(jié)果在秘鑰交換環(huán)境中構(gòu)建絕對信任區(qū)域，給出秘鑰交換安全協(xié)議，對Web安全漏洞加以保護[8]。每個功能插件所能檢測出的Web安全漏洞不同，而Web配置數(shù)據(jù)是固定不變的，Web源代碼可直接決定所提方法檢測結(jié)果的可靠性，功能插件選擇流程如圖3所示。

由圖3可知，SVM數(shù)據(jù)庫和SVN源代碼輔助進行Web源代碼提取，SVM數(shù)據(jù)庫中聯(lián)機存儲并管理著歷史版本的Web軟件和網(wǎng)站源代碼，結(jié)合SVM源代碼的定位功能，準(zhǔn)確給出Web源代碼，隨后讀取Web源代碼中的腳本插件。腳本插件中含有用戶的檢測要求以及插件功能，可解析出不同功能插件的檢測規(guī)則[9]。根據(jù)用戶檢測要求對功能插件檢測規(guī)則的依賴度進行排序，選定用于檢測Web安全漏洞的功能插件。

秘鑰交換環(huán)境下，Web安全漏洞智能檢測方法之所以利用功能插件實現(xiàn)檢測，是因為功能插件所能提供的檢測規(guī)則多種多樣，具有超強的靈活性，可提高檢測精度，方便方法功能的添加與維護。而且，各功能插件之間獨立工作、功能互不干擾，假設(shè)某一插件出現(xiàn)了功能損傷，其他插件仍可以正常工作，加強了檢測結(jié)果的可靠性。

2.3 Web安全漏洞匹配技術(shù)研究

在秘鑰交換環(huán)境下進行Web安全漏洞智能檢測時，匹配技術(shù)發(fā)揮了巨大作用。匹配技術(shù)是用于確定Web中是否存在安全漏洞的一項必用技術(shù)，它通過規(guī)則表達式檢測Web源代碼的字符串。規(guī)則表達式被廣泛用于數(shù)據(jù)檢索與模式替換等領(lǐng)域，通過在目標(biāo)數(shù)據(jù)中檢測特定字符串來確定檢測結(jié)果。

以跨站腳本攻擊為例，跨站腳本攻擊在Web安全漏洞中普遍攻擊用戶數(shù)據(jù)導(dǎo)入和導(dǎo)出之處[10]，規(guī)則表達式在檢測跨站腳本攻擊時，將主要針對由用戶數(shù)據(jù)導(dǎo)入與導(dǎo)出產(chǎn)生的超文本標(biāo)記語言字符串進行檢測。

使用規(guī)則表達式規(guī)范功能插件的檢測規(guī)則，可為功能插件的管理和驅(qū)動提供便利。規(guī)則表達式由一些字符組合而成，包括字母、數(shù)據(jù)和符號[11?12]，規(guī)則表達式中一些重要字符的含義見表1。

3 實驗測試

3.1 測試環(huán)境

秘鑰交換環(huán)境下Web安全漏洞智能檢測方法的研究工作結(jié)束后，對所提方法進行驗證，選用相關(guān)的硬件、軟件以及數(shù)據(jù)測試方法的可靠性和靈活性，如圖4所示。測試中使用的主機擁有2 GB內(nèi)存和150 GB硬盤，操作系統(tǒng)是Windows 7旗艦版；測試數(shù)據(jù)庫使用的是多線程、結(jié)構(gòu)化查詢語言庫?MyQql；服務(wù)器支持的軟件是Tomcat；測試過程中實驗人員模擬用戶行為，使用的瀏覽器是性能穩(wěn)定的IE 9.0，瀏覽器插件是Tamper Data。

實驗在密鑰交換環(huán)境下進行，對比組有三個，分別是最小不相關(guān)檢測、ARM嵌入式檢測和貝葉斯檢測，所選對比組內(nèi)的檢測方法都是最新型且性能相對優(yōu)良的方法?？紤]到ARM嵌入式的檢測方式是被動式的，實驗人員將為其手動構(gòu)建Web安全漏洞檢測任務(wù)，其他檢測方法則自動構(gòu)建檢測任務(wù)。

實驗人員初始化MyQql數(shù)據(jù)庫后，在其中寫入三種不同規(guī)格的Web安全漏洞數(shù)據(jù)集，如表2所示，其中，數(shù)據(jù)集1中的Web安全漏洞和攻擊樣本最少，數(shù)據(jù)集2中的攻擊樣本最多，安全漏洞的位置最為分散，而數(shù)據(jù)集3中的安全漏洞位置比較集中。

如表3、表4所示，本文所提方法的檢測率和誤報率好于其他方法，所得檢測結(jié)果的可靠性最佳。最小不相關(guān)檢測的可靠性也很高，但在安全漏洞位置最為分散的是數(shù)據(jù)集3，其誤報率出現(xiàn)了明顯增長；除此之外，本文所提方法和ARM嵌入式檢測的握手時間最為突出，表現(xiàn)出良好的靈活性。

4 結(jié) 論

秘鑰交換環(huán)境的安全協(xié)議口令精簡、熵值小，為用戶提供了便利，也造成了Web安全漏洞，通過了解Web安全漏洞為用戶帶來的損失，提出秘鑰交換環(huán)境下Web安全漏洞智能檢測方法，該方法否定了“用戶?服務(wù)端”類型的秘鑰交換安全協(xié)議，設(shè)計了更加安全的協(xié)議為檢測工作的可靠性和靈活性作擔(dān)保，進一步給出了Web安全漏洞智能檢測流程和以規(guī)則表達式為基礎(chǔ)的匹配技術(shù)，有效保護了用戶數(shù)據(jù)安全。

參考文獻

[1] 楊世德，梁光明，余凱.基于ARM嵌入式系統(tǒng)底層漏洞挖掘技術(shù)研究[J].現(xiàn)代電子技術(shù)，2015，38（18）：57?59.

[2] 陳昕昀，潘懋，況琪，等.基于關(guān)聯(lián)數(shù)據(jù)技術(shù)的地質(zhì)資料實體建模與Web發(fā)布[J].科學(xué)技術(shù)與工程，2016，32（1）：107?113.

[3] 尚龍華，安毅生，張紹陽，等.基于Web服務(wù)的交通數(shù)據(jù)交換過程[J].計算機系統(tǒng)應(yīng)用，2015，24（3）：260?265.

[4] 陳亮，高宏力，周倫.嵌入式服務(wù)器在智能家居系統(tǒng)中的應(yīng)用[J].計算機測量與控制，2015，23（5）：1758?1761.

[5] 李舟軍，張俊賢，廖湘科，等.軟件安全漏洞檢測技術(shù)[J].計算機學(xué)報，2015，38（4）：717?732.

[6] 孫熠，梁棟云，王文杰.Web應(yīng)用程序安全性測試平臺關(guān)鍵技術(shù)研究[J].信息安全與技術(shù)，2014，5（1）：29?32.

[7] 龍震岳，錢揚，鄒洪，等.電網(wǎng)企業(yè)網(wǎng)絡(luò)信息安全的威脅與攻防新技術(shù)研究[J].現(xiàn)代電子技術(shù)，2015，38（21）：100?104.

[8] 齊雪婷，馬訓(xùn)鳴，劉霞，等.基于CAN的分布式頂升控制系統(tǒng)設(shè)計[J].西安工程大學(xué)學(xué)報，2016，30（1）：118?123.

[9] 吳少華，孫丹，胡勇.基于貝葉斯理論的Web服務(wù)器識別[J].計算機工程，2015，41（7）：190?193.

[10] 賈迪，黃河滔.對Web安全性測試技術(shù)的分析[J].信息安全與技術(shù)，2014，5（5）：68?69.

[11] 周曉，鄭定超，方玖琳.基于UM220的北斗接收機及Web終端設(shè)計[J].計算機測量與控制，2016，24（3）：238?240.

[12] 亢華愛.基于隱節(jié)點共振致密配對的Web數(shù)據(jù)文本抽取[J].科技通報，2015，34（2）：82?84.