當(dāng)今,計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)發(fā)展得十分迅速,網(wǎng)絡(luò)犯罪行為日益增加。網(wǎng)絡(luò)犯罪行為主要有兩種形式,一是非法獲取系統(tǒng)數(shù)據(jù),二是讓系統(tǒng)無(wú)法提供服務(wù)。在非法獲取系統(tǒng)數(shù)據(jù)方面,跨站腳本攻擊利用網(wǎng)站漏洞惡意盜取信息,是非常典型的攻擊手段,本文研究基于機(jī)器學(xué)習(xí)的跨站腳本攻擊檢測(cè)技術(shù)�？缯灸_本攻擊檢測(cè)是解決Web應(yīng)用頁(yè)面安全問(wèn)題的第一步,其檢測(cè)正確率不光會(huì)影響用戶安全,也會(huì)危及到Web應(yīng)用整體的安全性,因而也是Web安全檢測(cè)中十分關(guān)鍵的內(nèi)容。目前,信息安全解決方案主要分為兩類(lèi)。第一類(lèi)是由安全專(zhuān)家制定規(guī)則。第二類(lèi)則是使用機(jī)器學(xué)習(xí)的技術(shù)來(lái)探測(cè)攻擊,通過(guò)機(jī)器學(xué)習(xí)算法模型對(duì)攻擊進(jìn)行預(yù)測(cè)。這類(lèi)方案能夠自動(dòng)化的對(duì)模塊進(jìn)行更新以適應(yīng)新的攻擊,而不用花費(fèi)人力進(jìn)行規(guī)則制定,在應(yīng)對(duì)新型攻擊上具有明顯優(yōu)勢(shì)。但基于機(jī)器學(xué)習(xí)的方法存在誤報(bào)率高的問(wèn)題。因此,降低誤報(bào)率、提升入侵時(shí)攻擊的識(shí)別率就成為了這類(lèi)解決方案的研究重點(diǎn)。本文的研究針對(duì)基于機(jī)器學(xué)習(xí)的跨站腳本攻擊檢測(cè),是第二類(lèi)解決方案的子任務(wù)。針對(duì)跨站腳本攻擊語(yǔ)句的構(gòu)成不同于正常請(qǐng)求的特點(diǎn),本文設(shè)計(jì)了基于XGBoost算法和C-GRU深度學(xué)習(xí)模型的跨站腳本攻擊檢測(cè)方法。最后實(shí)驗(yàn)結(jié)果顯示,本... 

【文章來(lái)源】：廈門(mén)大學(xué)福建省 211工程院校 985工程院校 教育部直屬院校

【文章頁(yè)數(shù)】：77 頁(yè)

【學(xué)位級(jí)別】：碩士

【部分圖文】：

反射型XSS頁(yè)面

目前互聯(lián)網(wǎng)Ｗｅｂ應(yīng)用程序存在ＸＳＳ漏洞的，大部分都是這種簡(jiǎn)單易用的漏??洞。這種漏洞的利用需要在請(qǐng)求的ＵＲＬ鏈接上嵌入ＪａｖａＳｃｒｉｐｔ代碼塊，響應(yīng)后??惡意代碼被反射給了發(fā)出請(qǐng)求的用戶，因此被稱(chēng)為反射型ＸＳＳ。??反射型ＸＳＳ的數(shù)據(jù)流向最先是從瀏覽器發(fā)出請(qǐng)求，惡意代碼反饋到后端，最??后反射到瀏覽器上。??一般反射型ＸＳＳ的攻擊步驟為：??（１）攻擊者發(fā)現(xiàn)反射ＸＳＳ漏洞；??（２）根據(jù)輸入點(diǎn)與輸出點(diǎn)的環(huán)境構(gòu)造ＸＳＳ代碼，并適當(dāng)進(jìn)行攻擊向量變??異；??（３）發(fā)送給受害者，受害者打開(kāi)攻擊者發(fā)送的惡意ＵＲＬ；??（４）?Ｗｅｂ應(yīng)用程序執(zhí)行用戶發(fā)出的請(qǐng)求，同時(shí)執(zhí)行惡意代碼；??（５）攻擊者獲取信息，并使用該信息繼續(xù)開(kāi)展下一步攻擊。??

第二章跨站腳本漏洞原理與實(shí)驗(yàn)??下面以一個(gè)簡(jiǎn)單的實(shí)例說(shuō)明存儲(chǔ)型ＸＳＳ。構(gòu)造頁(yè)面如圖２．３所示。當(dāng)在文本??框輸入內(nèi)容并點(diǎn)擊“插入數(shù)據(jù)庫(kù)”的按鈕后，輸入的內(nèi)容直接被插入到了數(shù)據(jù)庫(kù)??里。并且在文本框下方有一個(gè)顯示區(qū)域，數(shù)據(jù)庫(kù)讀取存儲(chǔ)的數(shù)據(jù)，顯示在文本框??下方。圖２．３中為插入字段“ｐａｙｌｏａｄ”后的結(jié)果。??

【參考文獻(xiàn)】：
期刊論文
[1]一種基于支持向量機(jī)的跨站腳本漏洞檢測(cè)技術(shù)[J]. 黃娜娜,萬(wàn)良.  計(jì)算機(jī)應(yīng)用研究. 2019(02)
[2]Burpsuite工具在漏洞檢測(cè)中的應(yīng)用[J]. 俞詩(shī)源,王譽(yù)天,劉鑫.  信息網(wǎng)絡(luò)安全. 2016(09)
[3]通過(guò)HTML編碼防御XSS跨站腳本攻擊的研究[J]. 劉達(dá).  網(wǎng)絡(luò)空間安全. 2016(06)
[4]特征選擇方法綜述[J]. 姚旭,王曉丹,張玉璽,權(quán)文.  控制與決策. 2012(02)
[5]數(shù)據(jù)降維方法分析與研究[J]. 吳曉婷,閆德勤.  計(jì)算機(jī)應(yīng)用研究. 2009(08)



本文編號(hào)：3067296