CN104766013A

CN104766013A - 一种基于跳表的跨站脚本攻击防御方法

Info

Publication number: CN104766013A
Application number: CN201510170488.7A
Authority: CN
Inventors: 胡昌振; 薛静锋; 王灏; 张妍; 王勇
Original assignee: Beijing Institute of Technology BIT
Current assignee: Beijing Institute of Technology BIT
Priority date: 2015-04-10
Filing date: 2015-04-10
Publication date: 2015-07-08

Abstract

本发明公开了一种基于跳表的跨站脚本攻击防御方法，用于进行跨站脚本攻击漏洞检测，该方法包括如下步骤：针对跨站脚本攻击XSS样本，读取攻击代码code字段值、进行规范化处理以及MD5编码及整数转换，获得样本长整型数据并创建为跳表节点，跳表节点构建成跳表，组成攻击向量特征库；结合HTTP流量包分析，拦截通过POST/GET方式提交的数据信息，根据请求标头键值提取脚本向量参数集合并进行规范化处理，然后通过DFA描述方式生成所有可能指定阈值为L长度的子序列集合A；对A中各子序列进行16位MD5编码和整数转换，获得长整型；将A的长整型与特征库中跳表节点进行匹配，若存在相同的匹配，则对脚本参数S_m进行污点标记，从而获得漏洞检测结果。

Description

一种基于跳表的跨站脚本攻击防御方法

技术领域

本发明属于Web攻击检测与防御技术领域。

背景技术

针对跨站脚本攻击，目前大部分Web站点一般采取的防范策略包括客户端过滤、服务端过滤及Web攻击检测防火墙部署等，大致分为：客户端防御、服务端防御、客户端与服务端协作防御。

客户端防御：(1)过滤策略：Web应用程序的一般输入数据验证过滤功能通常由客户端脚本(Javascript)处理，如邮件格式、文本特殊字符及长度限制、密码强健程度等，基本能够完成客户端的13种验证，包括取值为空、必须为整数/双精度数/中文字符/普通英文字符、最小/最大长度、Email格式、日期格式、正则表达式、整数范围、与某域值相同等，所有这些简单的验证都可以在客户端完成。(2)安全策略：网络应用程序为了降低XSS攻击带来的风险，服务端通常采用各种附加检测策略如：Cookie加密防盗、HTTP头Refer引用审核、流程校验码、CAPTCHA(验证码)系统、IMG图片真伪审核等。(3)编码策略：程序员开发网络应用时，一般在服务端程序中对不可信任数据输入输出相应编码解码处理，如HTML实体编码，因为HTML中存在扮演特殊意义重要字符(如：&、<、>、"、'、/)，被浏览器引擎作为特殊指令解析而不是纯文本显示，所以使用HTML实体解码可以避免切换到任何执行内容，如脚本、样式或者事件处理程序。

基于纯客户端的防御方式无法根本避免XSS攻击，研究表明修改浏览器脚本引擎或禁止危险特性方法可以有效防范恶意脚本。

服务端防御：(1)过滤策略：针对各种插件能轻松绕过客户端脚本验证过滤第一道防墙，程序员一般在服务端实行数据校验作为第二道防墙，对用户数据进行白名单或黑名单检测，确保不包含恶意脚本内容，白名单策略包含各种特殊字符的过滤，如水平制表符、回车键、特殊标签属性、事件关键字等，其中涉及特殊字符的各种编码方案，因此能防御大部分恶意脚本衍生版本的攻击。(2)分离策略：基于数据库驱动动态Web应用程序作为允许数据与代码输入的系统，必须内置良好定义机制区分可信代码和不可信数据，针对非可信数据内容隔离方法，一般都是利用HTML定义标签src属性来独立分离出来，其中<Iframe>标签是HTML特性中扮演重要角色，通常用来嵌入第三方内容，该元素的src属性目的是定位和获得包含在当前页面中的外部文档页面，因为嵌入的内容不太可能伪造Iframe结束标签来规避有严格限制的Iframe环境，所以该方法能很好保持内外部文档的结构一致性。

浏览器策略：目前大部分浏览器具有Internet区域安全级别设置功能，由于用户缺乏对网络应用程序的了解，不能针对不同网络应用需求调整安全配置级别，所有不能有效防御恶意脚本攻击，用户可以配置禁止JavaScript脚本运行，根本上杜绝XSS攻击的发生，但是由于大部分站点应用程序的丰富多彩页面离不开客户端脚本，因此禁止脚本运行一定程度上降低了网络应用程序的特性和用户交互性。

客户端与服务端协作防御：具备较高安全性能的Web应用往往采取客户端与服务端协作防御方法，一方面采取客户端脚本初步隔离不符合网络应用定义规则的数据，另一方面，提高服务脚本对输入输出编码，同时采取入侵检测设备作为服务端防火墙拦截各种攻击。

综上，现有技术主要是通过过滤特殊字符、编码解码以及一些安全和分离策略来实现针对跨站脚本攻击的防御。但是各种方法都有其弊端：过滤特殊字符的检测率低，误报率很高，导致我们很难精确防御跨站脚本狗估计。而安全和分离策略虽然在误报率和检测率上都要优于过滤特殊字符，但是对系统的要求却很高，需要消耗很大的系统资源作为代价，降低用户的体验舒适度。而像当前的客户端与服务器端协作防御，则具有很大的复杂性，实现起来过于复杂，而且也兼有动态检测技术的缺点，因此目前来讲实用性比较低。

发明内容

有鉴于此，本发明提供了一种基于跳表的跨站脚本攻击防御方法，具有较高的检测率和很低的误报率，同时系统资源的消耗少，大大提高了程序漏洞的检测效率。

为了达到上述目的，本发明的技术方案包括如下步骤：

步骤1、针对跨站脚本攻击XSS样本，建立基于跳表的攻击向量特征库，分为如下步骤：

Step101：读取XSS中的攻击代码code字段值。

Step102：对XSS中的攻击代码进行规范化处理：首先进行唯一资源定位器URL解码，并过滤浏览器解释空白字符以及换行制表回车符，然后进行超文本标记语言HTML实体解码以及浏览器特殊IE spedal解码。

Step103：将规范化处理后的攻击代码进行16位消息摘要算法第五版MD5编码及整数转换，获得样本长整型数据。

Step104：将Step103中的每个样本长整型数据均创建为跳表节点，采用所有的跳表节点构建跳表：

其中跳表节点的数据类型为自定义数据类型，包含关键词key字段、数据值value字段以及前向指针数组forward字段；其中key字段存储节点编号，value字段存储当前样本长整型数据，forward字段存储节点指向。

跳表的数据类型为自定义数据类型，包含层数level字段以及节点指针字段；其中节点指针字段存储指向节点的指针，level字段存储节点在跳表中的层数。

节点在跳表中层数满足参数为p＝1/2的集合分布。

所建立的跳表以及跳表节点即组成基于跳表的攻击向量特征库。

步骤2、结合超文本传输协议HTTP流量包分析，拦截客户端通过发送/获取POST/GET方式提交的数据信息，并根据数据信息中请求标头键值对提取其中的脚本向量参数集合S＝{S₁,S₂,…,S_m}，m为脚本个数，对于i＝1,2,…,m，脚本参数S_i中存储有脚本关键字以及其内容数据。

步骤3、对每一脚本参数S_i，采用Step102中的方式进行规范化处理，然后通过确定性有限状态机DFA描述方式生成所有可能指定阈值为L长度的子序列集合A＝{A₁,A₂,…,A_n}。

步骤4、针对S_i对应的每个子序列A_j进行16位MD5编码和整数转换，获得A_j的长整型B_j，从而生成集合B＝{B₁,B₂,…,B_n}；j＝1,2,…,n。

步骤5、遍历集合B，将B_j与基于跳表的攻击向量特征库中跳表节点的value字段进行匹配，若存在跳表节点的value字段与B_j相同，则匹配成功，S_m中存在攻击特征，继而对脚本参数S_m进行污点标记，标记为S`_m，若不存在跳表节点的value字段与B_j的长整型相同，则匹配失败，S_m中无攻击特征。

进一步地，跳表节点中的数据类型中还包含匹配次数计数count字段，在步骤5中将B_j与基于跳表的攻击向量特征库中跳表节点的value字段进行匹配时，每个节点均在count字段中记载自身匹配成功的次数，依据每个节点的count字段定时对跳表进行如下更新：将节点按照Count字段由大到小进行排序，在跳表中，顶层～底层中节点的个数分别为l₁～l_p，p为总层数，将排序在前l₁的节点，修改其在跳表中的level字段为顶层，同时依据跳表结构修改forward字段。依此类推，直至将排序在前l_p的节点，修改其在跳表中的level字段为底层，同时依据跳表结构修改forward字段。

有益效果：

本发明的目的是将静态检测技术融入到动态检测技术中，使二者有效的结合起来，这样一来，系统便同时具有了静态检测和动态检测技术的优点，并且也消除了二者的缺点，拥有较高的检测率和很低的误报率，同时对系统资源的消耗又减少到了一个很低的层次，大大提高了程序漏洞的检测效率。

附图说明

图1为本发明流程图；

图2为XSS特征样本实例；

图3为脚本解码流程；

图4为节点数据类型。

具体实施方式

下面结合附图并举实施例，对本发明进行详细描述。

实施例1、

跨站脚本攻击(XSS)：跨站脚本攻击是指恶意攻击者以正常访问者的身份，利用Web服务器中的应用程序或代码的漏洞，将一段恶意的脚本代码(通常是一段含有JavaScript代码的一些数据)上传到Web服务器上，或者把一个同样含有恶意脚本代码的Web站点的URL链接发送给目标用户；当信任此Web服务器的个人用户访问此Web站点中含有恶意脚本代码的页面，或者打开收到的URL链接时，该用户的浏览器就会自动加载并执行恶意攻击者希望被执行的脚本代码，从而达到攻击的目的。从这个攻击过程中，我们可以看出，跨站脚本攻击实际上是一种间接攻击技术，绝大多数情况下，恶意攻击者利Web服务器来间接击另一个个人用户，但极少数情况下也可以利用跨站脚本直接攻击Web服务器。

跳表：跳表是一种随机化的数据结构，目前开源软件Redis和LevelDB都有用到它，它的效率和红黑树以及AVL树不相上下，但跳表的原理相当简单，只要你能熟练操作链表，就能轻松实现一个SkipList。其具有以下特点：由很多层结构组成；每一层都是一个有序的链表；最底层(Level 1)的链表包含所有元素；如果一个元素出现在Level 1的链表中，则它在Level 1之下的链表也都会出现；每个节点包含两个指针，一个指向同一链表中的下一个元素，一个指向下面一层的元素。

XSS特征库：目前针对XSS攻击的恶意脚本JavaScript为主流，采用HA.CKKERS提供的特征样本作为XSS特征值，现特征库中有约136个XSS攻击脚本。

针对XSS防范工作主要取决于程序员编程能力和安全意识，XSS攻击通常是由Web程序编写不严密导致的，包括输入输出不可信数据时没有采取相应解码编码机制，这些不可信数据主要来源用户HTTP请求数据如URL参数、表单字段、Cookie等，其实也包括没有完全通过验证的来自数据库、网络服务器或其他来源的数据等，因此网络应用程序在响应用户数据之前确保这些不可信数据没有恶意攻击行为。

本发明设计一种基于跳表模型，前提是创建跳表特征库，并针对实验数据对跳表的结构进行优化，其模式匹配检测次数不超过logN，具备检测快速特性，检测过程如下描述：

该方法具体步骤如下：

Step101：读取XSS中的攻击代码code字段值；如图2所示为XXS<code>标签中是XSS攻击样本的主体部分，也就是XSS攻击代码，将攻击代码提取，供后续使用。

Step102：目前XSS恶意脚本为了规避服务端过滤验证，采用各种混淆手段对恶意脚本编码，其中表1为相关字符集编码实例:

表1

编码名称	例子
		URL编码	<→％3c
Unicode编码	<→％u003c
		HTML实体编码	<→&lt

对XSS中的攻击代码进行规范化处理，处理流程如图3所示：首先进行唯一资源定位器URL解码，并过滤浏览器解释空白字符以及换行制表回车符，然后进行超文本标记语言HTML实体解码以及浏览器特殊IE spedal解码。

Step103：将规范化处理后的攻击代码进行16位消息摘要算法第五版MD5编码及整数转换，获得样本长整型数据；Message Digest Algorithm MD5即消息摘要算法第五版为计算机安全领域广泛使用的一种散列函数，用以提供消息的完整性保护。特征样本经脚本规范化处理后，通过16位MD5编码生成64位二进制表示整数，即长整型，保存到跳表节点中。

其中跳表节点的数据类型为自定义数据类型，如图4所示，包含关键词key字段、数据值value字段以及前向指针数组forward字段；其中key字段存储节点编号，value字段存储当前样本长整型数据，forward字段存储节点指向。

节点在跳表中层数满足参数为p＝1/2的集合分布；

所建立的跳表以及跳表节点即组成基于跳表的攻击向量特征库；

本实施例中定义跳表中节点的数据类型如下：

定义跳表数据类型：

跳表数据类型中包含了维护跳表的必要信息，level表明跳表的层数。

先确定该元素要占据的层数Level，然后在1...Level各个层的链表都插入元素。

确定Level的值，相当与做一次丢硬币的实验，如果遇到正面，继续丢，遇到反面，则停止，这完全是随机的，用实验中丢硬币的次数Level作为元素占有的层数。显然随机变量Level满足参数为p＝1/2的几何分布。丢硬币实验C语言实现如下：

在插入时，需要首先查找到合适的位置，然后就是修改指针(和链表中操作类似)，然后更新跳表的level变量。

步骤3、结合超文本传输协议HTTP流量包分析，拦截客户端通过发送/获取POST/GET方式提交的数据信息，并根据数据信息中请求标头键值对提取其中的脚本向量参数集合S＝{S₁,S₂,…,S_m}，m为脚本个数，对于i＝1,2,…,m，脚本参数S_i中存储有脚本关键字以及其中数据值。

步骤4、对每一脚本参数S_i，采用Step102中的方式进行规范化处理，然后通过确定性有限状态机DFA描述方式生成所有可能指定阀值为L长度的子序列集合A＝{A₁,A₂,…,A_n}。

步骤5、针对S_i对应的每个子序列A_j进行16位MD5编码和整数转换，获得A_j的长整型B_j，从而生成集合B＝{B₁,B₂,…,B_n}；j＝1,2,…,n。

步骤6、遍历集合B，将B_j与基于跳表的攻击向量特征库中跳表节点的value字段进行匹配，若存在跳表节点的value字段与B_j相同，则匹配成功，S_m中存在攻击特征，继而对脚本参数S_m进行污点标记，标记为S`_m，若不存在跳表节点的value字段与B_j的长整型相同，则匹配失败，S_m中无攻击特征。

为了优化跳表结构，增加Count字段

跳表节点中的数据类型中还包含匹配次数计数count字段，在步骤6中将B_j与基于跳表的攻击向量特征库中跳表节点的value字段进行匹配时，每个节点均在count字段中记载自身匹配成功的次数，依据每个节点的count字段定时对跳表进行如下更新：将节点按照Count字段由大到小进行排序，在跳表中，顶层～底层中节点的个数分别为l₁～l_p，p为总层数，将排序在前l₁的节点，修改其在跳表中的level字段为顶层，同时依据跳表结构修改forward字段；

依此类推，直至将排序在前l_p的节点，修改其在跳表中的level字段为底层，同时依据跳表结构修改forward字段。

综上，以上仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

1.一种基于跳表的跨站脚本攻击防御方法，其特征在于，包括如下步骤：

Step101：读取XSS中的攻击代码code字段值；

Step102：对XSS中的攻击代码进行规范化处理：首先进行唯一资源定位器URL解码，并过滤浏览器解释空白字符以及换行制表回车符，然后进行超文本标记语言HTML实体解码以及浏览器特殊IE spedal解码；

Step103：将规范化处理后的攻击代码进行16位消息摘要算法第五版MD5编码及整数转换，获得样本长整型数据；

其中跳表节点的数据类型为自定义数据类型，包含关键词key字段、数据值value字段以及前向指针数组forward字段；其中所述key字段存储节点编号，value字段存储当前样本长整型数据，forward字段存储节点指向；

跳表的数据类型为自定义数据类型，包含层数level字段以及节点指针字段；其中所述节点指针字段存储指向节点的指针，level字段存储节点在跳表中的层数；

节点在跳表中层数满足参数为p＝1/2的集合分布；

步骤2、结合超文本传输协议HTTP流量包分析，拦截客户端通过发送/获取POST/GET方式提交的数据信息，并根据数据信息中请求标头键值对提取其中的脚本向量参数集合S＝{S₁,S₂,…,S_m}，m为脚本个数，对于i＝1,2,…,m，脚本参数S_i中存储有脚本关键字以及其内容数据；

步骤3、对每一脚本参数S_i，采用Step102中的方式进行规范化处理，然后通过确定性有限状态机DFA描述方式生成所有可能指定阈值为L长度的子序列集合A＝{A₁,A₂,…,A_n}；

步骤4、针对S_i对应的每个子序列A_j进行16位MD5编码和整数转换，获得A_j的长整型B_j，从而生成集合B＝{B₁,B₂,…,B_n}；j＝1,2,…,n；

2.如权利要求1所述的一种基于跳表的跨站脚本攻击防御方法，其特征在于，跳表节点中的数据类型中还包含匹配次数计数count字段，在步骤5中将B_j与基于跳表的攻击向量特征库中跳表节点的value字段进行匹配时，每个节点均在count字段中记载自身匹配成功的次数，依据每个节点的count字段定时对跳表进行如下更新：将节点按照Count字段由大到小进行排序，在跳表中，顶层～底层中节点的个数分别为l₁～l_p，p为总层数，将排序在前l₁的节点，修改其在跳表中的level字段为顶层，同时依据跳表结构修改forward字段；