方菽蘭，鄭黎黎，許德鵬，張偉峰

(1.四川鼎誠司法鑒定中心，四川 成都 610011；2.成都賽博思安科技有限公司，四川 成都 610000)

0 引言

Web應(yīng)用作為互聯(lián)網(wǎng)設(shè)備中的一個分支，從1989年發(fā)展至今，已成為全球用戶量最多的互聯(lián)網(wǎng)信息交換媒介與數(shù)據(jù)共享平臺。中國許多網(wǎng)站均保存了我國公民的重要身份及財產(chǎn)信息，一旦網(wǎng)站被入侵將導(dǎo)致嚴(yán)重的數(shù)據(jù)泄露事件，危害公民信息財產(chǎn)安全[1]。

近年來批量服務(wù)器攻擊事件、數(shù)據(jù)泄露事件頻發(fā)，Web安全越來越受到重視。在已發(fā)現(xiàn)的Web攻擊類型中，注入式攻擊發(fā)生頻率最高，其攻擊手段根據(jù)Web應(yīng)用漏洞位置千變?nèi)f化，且注入式攻擊能夠直接威脅到數(shù)據(jù)庫或系統(tǒng)安全，造成數(shù)據(jù)泄露、權(quán)限竊取等危害。因此，研究一種高準(zhǔn)確率且高效的檢測模型來應(yīng)對頻繁的注入式攻擊，具有重要的理論意義和實(shí)際價值。

1 基于動態(tài)污點(diǎn)分析的注入式攻擊檢測模型的設(shè)計(jì)

本文的設(shè)計(jì)目標(biāo)為實(shí)現(xiàn)一個基于動態(tài)污點(diǎn)分析的注入式攻擊檢測模型。首先，該系統(tǒng)作為檢測程序持續(xù)運(yùn)行在Web服務(wù)器上，在服務(wù)器上的Web應(yīng)用中，模型能夠識別并記錄包含不可信源請求數(shù)據(jù)的所有SQL訪問請求和代碼執(zhí)行請求；然后，檢測程序?qū)崟r地提取日志中地請求數(shù)據(jù)進(jìn)行攻擊行為檢測，檢測的注入式攻擊類型包括SQL注入攻擊和惡意代碼注入攻擊；對于檢測結(jié)果為攻擊行為的請求，通過日志記錄的請求數(shù)據(jù)獲取攻擊者信息，并還原產(chǎn)生攻擊的Web頁面和外部參數(shù)；最后，將上述信息反饋給網(wǎng)站管理員，幫助管理員了解漏洞產(chǎn)生的位置，并對攻擊者進(jìn)行限制訪問?；谏鲜瞿繕?biāo)，本文設(shè)計(jì)了基于動態(tài)污點(diǎn)分析的注入式攻擊檢測模型。

1.1 模型的類型

該模型主要分為4個模塊，頂層為動態(tài)污點(diǎn)分析模塊，直接加載在Web服務(wù)器中；系統(tǒng)的主要模塊為SQL注入檢測模塊和惡意代碼注入檢測模塊；最后日志監(jiān)控與預(yù)警模塊作為整個系統(tǒng)的調(diào)度模塊，將各模塊連接在一起。首先在Web服務(wù)器運(yùn)行時，動態(tài)污點(diǎn)分析模塊依附在Web服務(wù)器中開始運(yùn)行，以日志的方式記錄符合檢測目標(biāo)的請求信息；在日志監(jiān)控與預(yù)警模塊，實(shí)時監(jiān)控日志產(chǎn)生的新數(shù)據(jù)，將待檢測請求信息分發(fā)給SQL注入檢測模塊和惡意代碼注入檢測模塊；SQL注入檢測和惡意代碼檢測模塊相互獨(dú)立運(yùn)行，完整賦予檢測功能后，將檢測結(jié)果回傳給日志監(jiān)控與預(yù)警模塊，由預(yù)警部分將檢測結(jié)果進(jìn)行匯總，完成整個系統(tǒng)的一次請求是否合法的檢測。

1.2 基于卷積神經(jīng)網(wǎng)絡(luò)的SQL注入檢測模型

SQL注入攻擊檢測模塊包括CNN分類模型訓(xùn)練和模型檢測2個部分。在模型訓(xùn)練階段，輸入為SQL注入樣本和正常樣本2種經(jīng)過人工標(biāo)記的樣本數(shù)據(jù)，當(dāng)分類模型訓(xùn)練完成后，將其作為檢測模型。在語法分析階段，已經(jīng)對節(jié)點(diǎn)的類型進(jìn)行了定義，經(jīng)過灰度污點(diǎn)圖的構(gòu)建，保留了原節(jié)點(diǎn)的2個屬性，即節(jié)點(diǎn)類型和污點(diǎn)值?；叶任埸c(diǎn)圖由原節(jié)點(diǎn)的污點(diǎn)值組成矩陣，對于保留的節(jié)點(diǎn)類型，則構(gòu)成了輸入矩陣的色彩通道。將污點(diǎn)圖包含的灰度圖和色彩通道模擬為一個圖像的像素矩陣，傳入卷積神經(jīng)網(wǎng)絡(luò)分類器，然后分別按操作進(jìn)行訓(xùn)練或檢測。

2 實(shí)驗(yàn)與分析

本文通過混淆矩陣的方式進(jìn)行檢測結(jié)果的評估，將攻擊行為定義為正類，將正常請求定義為負(fù)類，因此，用TP表示攻擊行為正確識別為攻擊識別的數(shù)量，TN表示攻擊行為被錯誤識別為正常請求的數(shù)量；FP表示正常請求被正確識別為正常請求的數(shù)量，F(xiàn)N表示請求被錯誤識別為攻擊行為的數(shù)量。評價指標(biāo)包括精確率(Precision，P)，準(zhǔn)確率(Accuracy，ACC)，召回率(Recall，R)和和調(diào)和均值(F1-Measure，F(xiàn)1)。在數(shù)據(jù)收集階段，通過服務(wù)器搭建的Web服務(wù)器和依附于服務(wù)器的動態(tài)污點(diǎn)分析模塊收集實(shí)驗(yàn)數(shù)據(jù)。將上述收集到的樣本進(jìn)行數(shù)據(jù)預(yù)處理生成待檢測數(shù)據(jù)。在SQL注入攻擊模型訓(xùn)練過程中，一共記錄了22 273次SQL，標(biāo)記其中7 800條數(shù)據(jù)為SQL注入攻擊，7 111條數(shù)據(jù)為正常SQL請求；剩余的記錄作為檢測數(shù)據(jù)，其中3 733條為未標(biāo)記的SQL注入攻擊，3 629條為未標(biāo)記的正常SQL請求。在惡意代碼注入檢測模型訓(xùn)練過程中，一共記錄了16 436次代碼注入請求，標(biāo)記其中7 240條數(shù)據(jù)為惡意代碼注入攻擊，7 171條數(shù)據(jù)為正常代碼注入請求；剩余的記錄作為檢測數(shù)據(jù)，其中939條為未標(biāo)記的惡意代碼注入攻擊，1 086條為未標(biāo)記的正常代碼注入請求。

2.1 基于CNN的SQL注入式攻擊檢測模型

對于該模型的實(shí)驗(yàn)過程，本文對網(wǎng)站安全狗、360網(wǎng)站衛(wèi)士、隨機(jī)森林算法3種檢測方法進(jìn)行了對比。網(wǎng)站安全狗和360網(wǎng)站衛(wèi)士檢測方法是在Web服務(wù)器上安裝相應(yīng)安全防護(hù)軟件，向網(wǎng)頁發(fā)送包含測試樣本的HTTP請求，不經(jīng)過動態(tài)污點(diǎn)分析模塊，根據(jù)軟件生成的安全日志計(jì)算評估指標(biāo)。基于隨機(jī)森林的檢測算法，則是經(jīng)過動態(tài)污點(diǎn)分析后，從生成的污點(diǎn)語法樹中提取特征，使用隨機(jī)森林算法進(jìn)行訓(xùn)練和分類。對比實(shí)驗(yàn)結(jié)果如表1所示。

表1 SQL注入檢測模型對比實(shí)驗(yàn)結(jié)果 單位：%

從表1中可以看出，基于卷積神經(jīng)網(wǎng)絡(luò)的SQL注入檢測模型的準(zhǔn)確率高于隨機(jī)森林算法，但是精確率分別比網(wǎng)站安全狗和360網(wǎng)站衛(wèi)士略低1.7和0.2個百分點(diǎn)，這是由于上述防護(hù)軟件對于正常樣本的誤報率極低，但在識別SQL注入攻擊的惡意樣本時，識別能力不足，具有較高的漏報率，因此與上述防護(hù)軟件相比，該模型的準(zhǔn)確率分別高出3.6和2.1個百分點(diǎn)。這體現(xiàn)出了使用深度學(xué)習(xí)的檢測方法比傳統(tǒng)的特征提取檢測方法更為有效，實(shí)用性更強(qiáng)。

2.2 實(shí)驗(yàn)結(jié)果

本文用混淆矩陣分別對基于卷積神經(jīng)網(wǎng)絡(luò)的SQL注入檢測模型和基于FastText的惡意代碼注入檢測模型進(jìn)行了評估，并和多個檢測方法進(jìn)行對比實(shí)驗(yàn)，實(shí)驗(yàn)結(jié)果證明了本文模型的有效性和可行性。

3 結(jié)語

隨著Web技術(shù)的不斷發(fā)展，Web應(yīng)用的安全檢測需要應(yīng)對千變?nèi)f化的攻擊手段。本文提出了基于動態(tài)污點(diǎn)分析的注入式攻擊檢測模型，可以有效檢測出SQL注入和惡意代碼注入2種高危的攻擊行為。但是，在面對日益增長的Web安全需求下仍存在一些不足之處，須在今后的工作中進(jìn)一步研究和改進(jìn)。

1)對模型基于動態(tài)污點(diǎn)分析生成的日志進(jìn)行檢測并處理時具有一定的滯后性，未能實(shí)現(xiàn)實(shí)時攔截，在下一步的研究中，將設(shè)計(jì)更加有效的實(shí)時攔截功能。

2)模型的動態(tài)污點(diǎn)分析模塊針對PHP編程語言而實(shí)現(xiàn)，在下一步的研究中，將對其他的Web編程語言的動態(tài)污點(diǎn)分析方法進(jìn)行研究。