劉士博

（景德鎮(zhèn)陶瓷大學(xué)，江西 景德鎮(zhèn) 333403）

隨著科技進(jìn)步和經(jīng)濟(jì)發(fā)展，網(wǎng)絡(luò)技術(shù)在悄悄影響著每一個(gè)人的生活，給人們的衣食住行帶來便利的同時(shí)，網(wǎng)絡(luò)上的安全問題也給人們帶來很多困擾。其中XSS攻擊和SQL注入攻擊由于其數(shù)量龐大危害嚴(yán)重，在OWASP列出的WEB漏洞排行中一直位列前茅。

如圖1所示根據(jù)OWASP2017和OWASP2021統(tǒng)計(jì)的信息，XSS攻擊和注入問題在近十年一直是穩(wěn)居WEB漏洞問題的前列，是常見的網(wǎng)絡(luò)攻擊方式。人工智能早在1956年第一次被提出，得益于計(jì)算機(jī)硬件水平和計(jì)算力的迅速發(fā)展，人工智能技術(shù)產(chǎn)生了多種突破性的成就，將人工智能用于漏洞檢測(cè)一直是熱門話題。目前研究者使用的檢測(cè)方法多是基于傳統(tǒng)的機(jī)器學(xué)習(xí)方式和單一的深度學(xué)習(xí)模型，傳統(tǒng)的機(jī)器學(xué)習(xí)方式在進(jìn)行分類之前，需要人為對(duì)數(shù)據(jù)進(jìn)行逐條標(biāo)注，這一方式需要耗費(fèi)大量的人力物力。而單一的深度學(xué)習(xí)模型存在樣本需求量大、訓(xùn)練時(shí)間過長(zhǎng)和對(duì)短文本分類效果欠佳等問題。為了解決上述問題，筆者采用深度學(xué)習(xí)方法進(jìn)行實(shí)驗(yàn)，為了增加對(duì)比效果，增加了一組機(jī)器學(xué)習(xí)方法。

BiLSTM模型結(jié)構(gòu)圖如圖1所示。

圖1 BiLSTM模型結(jié)構(gòu)圖

1 相關(guān)理論知識(shí)

1.1 LSTM

LSTM模型是RNN模型的一個(gè)改良版，RNN模型的缺點(diǎn)在于記錄信息的時(shí)候減少了對(duì)信息的篩選，導(dǎo)致記錄了很多無效信息，造成了記憶的負(fù)擔(dān)，LSTM全稱為長(zhǎng)短期記憶，把一些噪音進(jìn)行了過濾，對(duì)記憶負(fù)擔(dān)達(dá)成了減輕的效果。

1.2 BiLSTM

BiLSTM是正反向的LSTM通過合理有效的方式構(gòu)建的，可以充分利用上下文信息。在文本分類的過程中，上下文信息會(huì)顯著地影響文本分類的效果，尤其是短文本信息，如GET http：//localhost：8080/tienda1/publico/anadir.jsp?id=2&nombre=Jam%F3n+Ib%E9rico&precio=85&cantidad=%27%3B+DROP+TABLE+usuarios%3B+SELE CT+*+FROM+datos+WHERE+nombre+LIKE+%27%25&B1=A%F1adir+al+carrito HTTP/1.1，如果只看到WHERE+nombre+LIKE+%27%25&B1=A%F1adir+al+carrito，或許會(huì)以為這只是查詢數(shù)據(jù)庫的指令，再聯(lián)系前文后發(fā)現(xiàn)這是一條刪庫指令，又或 者GEThttp：//localhost：8080/tienda1/publico/registro.jsp?modo=registro&l ogin=emmeline4&password=ultramun*dana&nombre=Sof%EDa&apellidos=Huitron+Escalo na&email=win%40yes123.bn&dni=95195528T&direccion=Calle+Generalife+S%2FN+12%3FD&ciudad=Santa+Cruz+de+Mudela&cp=24325&provincia=Cantabria&ntc=1891589695823279&B1=Registrar HTTP/1.1 只看中間的一系列長(zhǎng)信息會(huì)把該請(qǐng)求當(dāng)成惡意請(qǐng)求，其實(shí)結(jié)合前文這只是常規(guī)的注冊(cè)請(qǐng)求。

1.3 CNN和膠囊網(wǎng)絡(luò)對(duì)比

卷積神經(jīng)網(wǎng)絡(luò)（CNN），由一個(gè)個(gè)神經(jīng)元組成，它是一種預(yù)測(cè)神經(jīng)網(wǎng)絡(luò)，其人工神經(jīng)元可以對(duì)一定覆蓋范圍內(nèi)的周圍實(shí)體做出響應(yīng)，在大規(guī)模圖像處理方面具有出色的性能。

卷積神經(jīng)網(wǎng)絡(luò)由一個(gè)或多個(gè)卷積層和一個(gè)完全連接的頂層（相當(dāng)于經(jīng)典神經(jīng)網(wǎng)絡(luò)）以及相關(guān)的權(quán)重和一個(gè)聚類層組成。這種結(jié)構(gòu)允許卷積神經(jīng)網(wǎng)絡(luò)利用輸入數(shù)據(jù)的二維結(jié)構(gòu)。與其他深度學(xué)習(xí)結(jié)構(gòu)相比，卷積神經(jīng)網(wǎng)絡(luò)在圖像和語音識(shí)別方面的表現(xiàn)更好。該模型也可以使用反向傳播算法進(jìn)行訓(xùn)練。與其他深度和前饋神經(jīng)網(wǎng)絡(luò)相比，卷積神經(jīng)網(wǎng)絡(luò)需要考慮的參數(shù)更少，這使其成為一種有吸引力的深度學(xué)習(xí)架構(gòu)。

膠囊神經(jīng)網(wǎng)絡(luò)（CapsNet） 是一種機(jī)器學(xué)習(xí)系統(tǒng)，它是一種人工神經(jīng)網(wǎng)絡(luò)（ANN），可用于更好地建模層次關(guān)系。該方法是一種更密切地模仿生物神經(jīng)組織的嘗試。這個(gè)想法是在卷積神經(jīng)網(wǎng)絡(luò)（CNN） 中添加稱為“膠囊”的結(jié)構(gòu)，并重用其中幾個(gè)膠囊的輸出，為更高的膠囊形成更穩(wěn)定的（相對(duì)于各種擾動(dòng)）表示輸出是一個(gè)向量，由觀察概率和該觀察的姿勢(shì)組成。該向量類似于在CNN中使用定位進(jìn)行分類時(shí)所做的。除了其他好處之外，CapsNets 解決了圖像識(shí)別中的“畢加索問題”：圖像具有所有正確的部分，但空間關(guān)系不正確（例如，在“臉”中，嘴巴和一只眼睛的位置被交換）。對(duì)于圖像識(shí)別，CapsNets 利用了這樣一個(gè)事實(shí)，即雖然視點(diǎn)變化在像素級(jí)別具有非線性效應(yīng)，但它們?cè)诹慵?對(duì)象級(jí)別具有線性效應(yīng)，這可以與反轉(zhuǎn)多個(gè)部分的對(duì)象的渲染相比較。

CNN模型和膠囊網(wǎng)絡(luò)工作原理對(duì)比如圖2和圖3所示。

圖2 CNN模型工作原理

圖3 膠囊網(wǎng)絡(luò)模型工作原理

1.4 XSS攻擊

XSS漏洞主要分為三種類型：反射型XSS漏洞、XSS持續(xù)漏洞和基于 DOM的XSS 漏洞。

反射型XSS漏洞的特點(diǎn)是通過動(dòng)態(tài)頁面響應(yīng)用戶請(qǐng)求，通常會(huì)接受一個(gè)包含消息文本的參數(shù)，并在響應(yīng)中將該文本返回給用戶。

XSS 持續(xù)漏洞是跨站點(diǎn)腳本漏洞的一種更具惡意的變體：它發(fā)生在攻擊者提供的數(shù)據(jù)被服務(wù)器記錄，然后持續(xù)顯示在“正常”頁面上，然后發(fā)送回其他用戶時(shí)。正常瀏覽過程，沒有正確的 HTML 轉(zhuǎn)義。一個(gè)典型的例子是在線留言板，它允許用戶以 HTML 格式發(fā)布消息以供其他用戶閱讀。

基于DOM的XSS漏洞注射的方法可以有很大的不同，在某些情況下，攻擊者甚至可能不需要直接與Web功能本身交互來利用這樣的漏洞。Web應(yīng)用程序接收到的任何可以被攻擊者控制的數(shù)據(jù)（通過電子郵件、系統(tǒng)日志、IM 等）都可能成為注入向量。 基于DOM的XSS漏洞最初是在服務(wù)器端執(zhí)行所有數(shù)據(jù)處理的應(yīng)用程序中發(fā)現(xiàn)的。用戶輸入（包括 XSS 向量）將被發(fā)送到服務(wù)器，然后作為網(wǎng)頁發(fā)送回用戶。對(duì)改進(jìn)用戶體驗(yàn)的需求導(dǎo)致應(yīng)用程序的流行，這些應(yīng)用程序的大部分表示邏輯（可能用 JavaScript 編寫）在客戶端工作，使用 AJAX 從服務(wù)器按需提取數(shù)據(jù)。由于 JavaScript 代碼也在處理用戶輸入并將其呈現(xiàn)在網(wǎng)頁內(nèi)容中，因此開始出現(xiàn)一種新的反射 XSS 攻擊子類，稱為基于 DOM 的跨站點(diǎn)腳本。在基于 DOM 的 XSS 攻擊中，惡意數(shù)據(jù)不會(huì)觸及 Web 服務(wù)器。相反，它由 JavaScript 代碼完全反映在客戶端?；贒OM的XSS漏洞的一個(gè)示例是2011年在許多jQuery插件中發(fā)現(xiàn)的錯(cuò)誤?；?DOM 的 XSS 攻擊的預(yù)防策略包括與傳統(tǒng) XSS 預(yù)防策略非常相似的措施，但在JavaScript代碼中實(shí)現(xiàn)并包含在網(wǎng)頁中（即輸入驗(yàn)證和轉(zhuǎn)義）。 一些 JavaScript框架具有針對(duì)這種攻擊和其他類型攻擊的內(nèi)置對(duì)策——例如 AngularJS。

2 實(shí)驗(yàn)

2.1 數(shù)據(jù)

文章使用HTTP DATASET CSIC2010數(shù)據(jù)集，該數(shù)據(jù)集數(shù)據(jù)內(nèi)容如圖4所示，首先把數(shù)據(jù)進(jìn)行去噪處理，選出其中XSS攻擊的數(shù)據(jù)。

圖4 HTTP DATASET CSIC2010數(shù)據(jù)集內(nèi)容

2.2 模型建立

使用Word2Vec把數(shù)據(jù)向量化，然后把向量化后的數(shù)據(jù)輸入模型，word2Vec是把文字轉(zhuǎn)化為向量的一種模型，它的關(guān)鍵詞包括word_2 index、 word-size、inde_2_word。word_2 index統(tǒng)計(jì)所有不重復(fù)的詞語，在Python中以字典形式儲(chǔ)存，儲(chǔ)存模式為關(guān)鍵詞加序號(hào)，如{get：0，http：1}， 整個(gè)詞語長(zhǎng)度統(tǒng)計(jì)為word-sizeinde_2_word，與word_2_index正好相反，顯示 為{0：get， 1：http}，word_2_onehot把對(duì) 應(yīng)關(guān)鍵詞按照順序轉(zhuǎn)化為向量形式，如get表示為[100000000...000]，http表示為[0100000...0]，0的數(shù)量為統(tǒng)計(jì)的單詞總量減一。word2Vec有兩種模型，分別為CBOW模型和Skim_gram模型，兩種模型本質(zhì)相同，都是用一個(gè)詞去預(yù)測(cè)其他詞，區(qū)別在于CBOW使用當(dāng)前值預(yù)測(cè)其他值，Skim用其他值預(yù)測(cè)當(dāng)前值。本文使用Skim模型，Skim模型如圖4所示。

2.3 試驗(yàn)評(píng)估方法

Accuracy表示所有被正確識(shí)別的數(shù)據(jù)的數(shù)量在所有識(shí)別數(shù)據(jù)數(shù)量中的占比，如公示（1）所示。

Capsnet結(jié)果為97.6%、CNN結(jié)果為95.6%、BiLSTM結(jié) 果 為91.2%、LSTM結(jié) 果 為88.7%、SVM結(jié)果為84.2%，由上可得膠囊網(wǎng)絡(luò)在ACC和Precision方面均超過了其他4種算法，由此可得膠囊網(wǎng)絡(luò)模型更適合用于識(shí)別XSS攻擊。

3 結(jié)束語

文章提出把膠囊網(wǎng)絡(luò)用于XSS攻擊檢測(cè)，在同一數(shù)據(jù)集下，使用CNN、LSTM、BiLSTM、SVM進(jìn)行對(duì)比試驗(yàn)，并采用ACC和Precision指標(biāo)進(jìn)行評(píng)價(jià)，結(jié)果顯示，膠囊網(wǎng)絡(luò)各個(gè)方面均有更好的效果，且相比于其他幾個(gè)深度學(xué)習(xí)模型，膠囊網(wǎng)絡(luò)模型訓(xùn)練時(shí)間更短，因此，以后可以更多地使用膠囊網(wǎng)絡(luò)來檢測(cè)網(wǎng)絡(luò)入侵。