發(fā)布時(shí)間：2017-10-06 01:38

  本文關(guān)鍵詞：基于代理的跨站腳本攻擊檢測(cè)技術(shù)研究

  更多相關(guān)文章： WEB安全 跨站腳本攻擊 白名單 動(dòng)態(tài)檢測(cè) 代理 DOM

【摘要】：在計(jì)算機(jī)應(yīng)用技術(shù)快速發(fā)展的2015年,基于網(wǎng)站應(yīng)用的Web攻擊已經(jīng)引起攻擊者的密切關(guān)注。Web 2.0出現(xiàn)以后,基于XSS(Cross Site Scripting)的漏洞攻擊技術(shù)層出不窮,危害也越來(lái)越嚴(yán)重,運(yùn)用了Ajax技術(shù)的XSS攻擊能夠?qū)崿F(xiàn)隱私獲取、掛馬、釣魚(yú)等非法目的,相繼不斷發(fā)生的重大網(wǎng)絡(luò)入侵事件使得計(jì)算機(jī)用戶(hù)面臨重大威脅。目前主流的檢測(cè)方法如火狐的NoScript插件都是基于輸入輸出的特征值匹配技術(shù),通過(guò)復(fù)雜的正則表達(dá)式實(shí)現(xiàn)攻擊檢測(cè),但是對(duì)于動(dòng)態(tài)破壞原有文檔結(jié)構(gòu)完整性的跨站腳本攻擊毫無(wú)辦法。本文的研究針對(duì)前人提出的跨站腳本攻擊檢測(cè)工具設(shè)計(jì)的不足,結(jié)合現(xiàn)有的其他檢測(cè)方案和輔助分析方法,提出了一種代理環(huán)境下的檢測(cè)方式來(lái)發(fā)現(xiàn)跨站腳本攻擊,并實(shí)現(xiàn)了原型系統(tǒng)XSSDetection。論文的主要工作和創(chuàng)新如下:首先,提出了提出了基于代理的攻擊檢測(cè)模型,能夠不影響服務(wù)器的配置及策略實(shí)施,同時(shí)也不受不同瀏覽器和服務(wù)器解析容錯(cuò)機(jī)制的影響。其次,改進(jìn)和優(yōu)化了攻擊檢測(cè)算法,使用HTML解析與JavaScript引擎動(dòng)態(tài)更新網(wǎng)頁(yè)節(jié)點(diǎn)和查找注入點(diǎn),優(yōu)化了檢測(cè)算法的匹配參數(shù),使得算法對(duì)對(duì)多種攻擊向量和攻擊目的有效,并能有效的檢測(cè)DOM型XSS攻擊。最后,提出了一種URL精確白名單策略,利用白向量探測(cè)請(qǐng)求區(qū)分出不存在XSS漏洞的URL,減少了攻擊檢測(cè)范圍,提高了系統(tǒng)的運(yùn)行效率。實(shí)驗(yàn)表明,本文提出的XSSDetection系統(tǒng)和已有的檢測(cè)工具相比,實(shí)現(xiàn)了低誤報(bào)、低漏報(bào)的檢測(cè)效果,并且響應(yīng)時(shí)間小于同類(lèi)工具Watcher,在橫向比較中,比瀏覽器插件類(lèi)的檢測(cè)工具檢測(cè)率及正確率更高,證明了本系統(tǒng)在跨站腳本攻擊檢測(cè)系統(tǒng)的設(shè)計(jì)上的有一定的參考意義和推廣價(jià)值。
【關(guān)鍵詞】：WEB安全 跨站腳本攻擊 白名單 動(dòng)態(tài)檢測(cè) 代理 DOM
【學(xué)位授予單位】：電子科技大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2016
【分類(lèi)號(hào)】：TP393.08
【目錄】：

• 摘要5-6
• ABSTRACT6-10
• 第一章 緒論10-14
• 1.1 研究背景10
• 1.2 研究目的和意義10-12
• 1.3 論文研究工作及創(chuàng)新12-13
• 1.4 論文組織結(jié)構(gòu)13-14
• 第二章 跨站腳本攻擊前置知識(shí)14-26
• 2.1 跨站腳本攻擊概述14-20
• 2.1.1 跨站腳本攻擊原理14-16
• 2.1.2 跨站腳本攻擊的危害16-18
• 2.1.3 跨站腳本攻擊的現(xiàn)狀剖析18-20
• 2.2 跨站腳本攻擊類(lèi)別20-23
• 2.2.1 反射性XSS攻擊20-21
• 2.2.2 存儲(chǔ)型XSS攻擊21-22
• 2.2.3 DOM型XSS攻擊22-23
• 2.3 國(guó)內(nèi)外研究現(xiàn)狀23-25
• 2.4 本章小結(jié)25-26
• 第三章 基于代理的跨站腳本攻擊檢測(cè)方法26-45
• 3.1 現(xiàn)有攻擊檢測(cè)方法分析26-31
• 3.1.1 輸入輸出檢測(cè)26-28
• 3.1.2 污點(diǎn)標(biāo)記與傳播分析28-30
• 3.1.3 機(jī)器學(xué)習(xí)分類(lèi)法30-31
• 3.2 基于代理的攻擊檢測(cè)模型XSSDETECTION31-34
• 3.2.1 代理檢測(cè)的優(yōu)勢(shì)31-32
• 3.2.2 XSSDetection總體架構(gòu)設(shè)計(jì)32-34
• 3.2.3 攻擊檢測(cè)流程34
• 3.3 精確URL白名單34-37
• 3.3.1 實(shí)現(xiàn)原理34-36
• 3.3.2 白向量的構(gòu)造36-37
• 3.4 攻擊檢測(cè)匹配算法37-41
• 3.4.1 字符串近似匹配算法37-38
• 3.4.2 動(dòng)態(tài)規(guī)劃法求編輯距離38-39
• 3.4.3 改進(jìn)的動(dòng)態(tài)規(guī)劃算法39-40
• 3.4.4 算法的優(yōu)化40-41
• 3.5 DOM比對(duì)分析41-44
• 3.5.1 注入節(jié)點(diǎn)分析41-42
• 3.5.2 DOM比對(duì)流程42-44
• 3.6 本章小結(jié)44-45
• 第四章 基于代理的檢測(cè)系統(tǒng)關(guān)鍵技術(shù)實(shí)現(xiàn)45-60
• 4.1 總體框架設(shè)計(jì)45-46
• 4.2 代理模塊的實(shí)現(xiàn)46-50
• 4.2.1 Proxy的實(shí)現(xiàn)流程46-48
• 4.2.2 提交請(qǐng)求及響應(yīng)獲取48-50
• 4.3 HTML分析模塊50-53
• 4.3.1 DOM樹(shù)構(gòu)造50-52
• 4.3.2 注入點(diǎn)查找52-53
• 4.4 JAVASCRIPT解析模塊53-56
• 4.4.1 JavaScript引擎53-54
• 4.4.2 JavaScript的調(diào)用54-55
• 4.4.3 DOM操作支持55-56
• 4.5 白名單模塊56-57
• 4.6 檢測(cè)模塊的實(shí)現(xiàn)57-59
• 4.6.1 輸入?yún)?shù)的處理58
• 4.6.2 算法的實(shí)現(xiàn)58-59
• 4.7 本章小結(jié)59-60
• 第五章 系統(tǒng)的測(cè)試及評(píng)估60-65
• 5.1 測(cè)試環(huán)境60
• 5.2 測(cè)試流程60-63
• 5.2.1 正常請(qǐng)求檢測(cè)60-62
• 5.2.2 攻擊請(qǐng)求檢測(cè)62-63
• 5.3 準(zhǔn)確性及性能測(cè)試63-64
• 5.4 本章小結(jié)64-65
• 第六章 工作總結(jié)與后續(xù)研究65-66
• 6.1 論文工作總結(jié)65
• 6.2 后續(xù)研究工作65-66
• 致謝66-67
• 參考文獻(xiàn)67-71
• 攻碩期間取得的成果71-72

【相似文獻(xiàn)】

中國(guó)期刊全文數(shù)據(jù)庫(kù) 前10條

1 王新民;智能稱(chēng)重儀的動(dòng)態(tài)檢測(cè)和零點(diǎn)跟蹤[J];黑龍江大學(xué)自然科學(xué)學(xué)報(bào);1988年02期

2 ;火車(chē)輪對(duì)外形磨損動(dòng)態(tài)檢測(cè)系統(tǒng)方案研究[J];中國(guó)計(jì)量學(xué)院學(xué)報(bào);2001年02期

3 黃玉波;;動(dòng)態(tài)檢測(cè)進(jìn)程與特定程序封殺的研究[J];科技廣場(chǎng);2008年10期

4 唐雷;;鐵路軌道動(dòng)態(tài)檢測(cè)系統(tǒng)應(yīng)用探究[J];科技創(chuàng)業(yè)家;2013年02期

5 陳林,戴興慶,龔祖銘;圓光柵動(dòng)態(tài)檢測(cè)的填脈沖比相法及其數(shù)據(jù)處理[J];上海機(jī)械學(xué)院學(xué)報(bào);1990年04期

6 黃素蓮，張超英，陳勇;機(jī)動(dòng)車(chē)重量動(dòng)態(tài)檢測(cè)軟件設(shè)計(jì)[J];數(shù)據(jù)采集與處理;1994年02期

7 郭君斌,郭曉松,楊必武,張安,王玉森;復(fù)雜背景下直線目標(biāo)的一種動(dòng)態(tài)檢測(cè)方法[J];計(jì)算機(jī)工程;2005年11期

8 李現(xiàn)明;一種溫度場(chǎng)動(dòng)態(tài)檢測(cè)的新方法[J];電氣傳動(dòng)自動(dòng)化;1997年03期

9 徐力生,陳偉,徐蒙,胡芳龍;灌漿過(guò)程參數(shù)動(dòng)態(tài)檢測(cè)與質(zhì)量控制[J];施工技術(shù);2004年09期

10 劉樹(shù)錕;陽(yáng)小華;陳繼鋒;彭浩;;程序斷言動(dòng)態(tài)檢測(cè)工具的設(shè)計(jì)與實(shí)現(xiàn)[J];計(jì)算機(jī)應(yīng)用研究;2009年11期

中國(guó)重要會(huì)議論文全文數(shù)據(jù)庫(kù) 前7條

1 吉文杰;于立業(yè);石志學(xué);;基于圖像的列車(chē)故障動(dòng)態(tài)檢測(cè)方法研究與設(shè)計(jì)[A];中國(guó)計(jì)量協(xié)會(huì)冶金分會(huì)2013年會(huì)論文集[C];2013年

2 杜太行;徐東彬;李玉萍;何莉莉;;車(chē)輛動(dòng)態(tài)檢測(cè)和抓拍技術(shù)的研究[A];2006中國(guó)控制與決策學(xué)術(shù)年會(huì)論文集[C];2006年

3 趙鋼;陳東生;周正;劉鐵;劉維楨;;軌道基礎(chǔ)設(shè)施動(dòng)態(tài)檢測(cè)信息管理系統(tǒng)[A];鐵道科學(xué)技術(shù)新進(jìn)展——鐵道科學(xué)研究院五十五周年論文集[C];2005年

4 張韜;;接觸網(wǎng)動(dòng)態(tài)檢測(cè)中接觸壓力問(wèn)題的分析及對(duì)策[A];中國(guó)鐵道學(xué)會(huì)電氣化委員會(huì)2006年學(xué)術(shù)會(huì)議論文集[C];2006年

5 朱飛雄;;我國(guó)客運(yùn)專(zhuān)線接觸網(wǎng)動(dòng)態(tài)檢測(cè)方法與指標(biāo)[A];中國(guó)鐵道學(xué)會(huì)電氣化委員會(huì)2006年學(xué)術(shù)會(huì)議論文集[C];2006年

6 劉介良;邱宗明;黃秋紅;趙敏;朱凌建;;高精度絲杠動(dòng)態(tài)檢測(cè)系統(tǒng)的研究[A];制造技術(shù)自動(dòng)化學(xué)術(shù)會(huì)議論文集[C];2004年

7 王建東;曾慶凱;;整數(shù)漏洞現(xiàn)狀研究[A];2011年全國(guó)通信安全學(xué)術(shù)會(huì)議論文集[C];2011年

中國(guó)重要報(bào)紙全文數(shù)據(jù)庫(kù) 前3條

1 中國(guó)鐵道科學(xué)研究院提供;為新建客運(yùn)專(zhuān)線量身定制 科學(xué)的竣工驗(yàn)收動(dòng)態(tài)檢測(cè)標(biāo)準(zhǔn)[N];人民鐵道;2010年

2 盧伏龍邋饒偉國(guó);讓優(yōu)秀一線職工脫穎而出[N];人民鐵道;2008年

3 通訊員 蔣方槐 周燕;廣西德靖鐵路通過(guò)動(dòng)態(tài)檢測(cè)[N];人民鐵道;2012年

中國(guó)博士學(xué)位論文全文數(shù)據(jù)庫(kù) 前2條

1 顏紅金;眼睛動(dòng)態(tài)檢測(cè)系統(tǒng)的設(shè)計(jì)與應(yīng)用研究[D];暨南大學(xué);2011年

2 張劍寅;Web服務(wù)沖突動(dòng)態(tài)檢測(cè)和解決方法的研究[D];北京郵電大學(xué);2007年

中國(guó)碩士學(xué)位論文全文數(shù)據(jù)庫(kù) 前10條

1 王星;隧道形變動(dòng)態(tài)檢測(cè)與分析系統(tǒng)研究[D];北京交通大學(xué);2016年

2 徐浩然;基于代理的跨站腳本攻擊檢測(cè)技術(shù)研究[D];電子科技大學(xué);2016年

3 孫愷;機(jī)車(chē)臺(tái)架黏滑試驗(yàn)動(dòng)態(tài)檢測(cè)系統(tǒng)研究[D];西南交通大學(xué);2014年

4 毛真;大米品質(zhì)動(dòng)態(tài)檢測(cè)算法的研究[D];大連理工大學(xué);2008年

5 陳國(guó)利;中加礦業(yè)公司礦石品位動(dòng)態(tài)檢測(cè)及質(zhì)量控制系統(tǒng)試驗(yàn)研究[D];西安建筑科技大學(xué);2009年

6 楊志鵬;井下采油工具動(dòng)態(tài)檢測(cè)系統(tǒng)技術(shù)評(píng)價(jià)[D];天津大學(xué);2004年

7 崔曉麗;計(jì)算機(jī)動(dòng)態(tài)檢測(cè)生絲細(xì)度[D];蘇州大學(xué);2001年

8 南振會(huì);鐵路紅外線檢測(cè)車(chē)的研制及關(guān)鍵技術(shù)的研究[D];西安電子科技大學(xué);2005年

9 于東;前束動(dòng)態(tài)檢測(cè)系統(tǒng)研究與開(kāi)發(fā)[D];長(zhǎng)安大學(xué);2012年

10 佘九華;人臉動(dòng)態(tài)檢測(cè)與實(shí)時(shí)跟蹤系統(tǒng)的設(shè)計(jì)[D];南京航空航天大學(xué);2008年

，

本文編號(hào)：979990