面向XSS攻击的恶意软件Web入侵检测技术

张娜

(陕西电子信息职业技术学院,信息工程系,陕西,西安 710500)

0 引言

用户多数通过部署防火墙[1]来维护网络安全,但伴随恶意攻击技术的发展和互联网应用普及,防火墙策略对很多攻击不再具备防御能力,其中就包括跨站脚本(XSS)攻击[2]。XSS攻击拥有扩散能力,且隐蔽性强,会给用户带来极大的网络安全隐患。为营造健康的网络环境,降低黑客攻击成功的概率,通过入侵检测系统监测网络及系统运行状态[3],最大限度挖掘各类攻击行为,确保网络系统资源的保密性、完整性与可用性。

面向攻击入侵检测问题,何发镁等[4]提出了一种按照特征分组进行聚类的方法,调整聚类参数保存特征分组差异信息,运用决策树方法划分降维数据入侵类别,但该方法没有考虑Web实时数据流量的变化情况,导致检测结果精度不高;汪洋等[5]通过深度信念网络训练历史数据,提取并降维历史数据特征,使用加权序列核极限学习机方法实现攻击入侵评估,但该方法在攻击模式匹配过程中的耗时较长,输出结果的实时性较差,极易造成XSS攻击事态的进一步扩大。

综合上述分析,本文提出了面向XSS攻击的恶意软件Web入侵检测技术,包括入侵检测模块、日志数据库服务器模块和日志分析控制台模块,使用蚁群聚类算法优化技术检测精度,提取XSS攻击特征数据,最终以图表形式将入侵检测结果呈现给网络用户。

1 恶意软件Web入侵检测技术方案

众多Web攻击方法中,出现最多的是XSS攻击,危害性很强,会令用户蒙受巨大损失。Web程序受到XSS攻击后,后台管理人员需要手动分析Web日志储存的攻击信息,观察是否产生入侵行为[6],但此方式耗费了大量人力物力,且工作人员要具有相应的Web安全知识,入侵检测效率较低。针对XSS攻击,本文研究了一个恶意软件Web入侵检测技术,该技术包含入侵检测、日志数据库服务器与日志分析控制台3个模块,可自主实现日志安全解析与告警。

1.1 入侵检测模块

入侵检测模块是技术最为关键的部分,其性能优劣直接影响入侵检测精准度[7]。其检测过程如图1所示。首先连接后台数据库,得到日志与攻击向量数据库的信息,提取日志数据和若干个攻击矢量值匹配模式[8],匹配成功代表技术内遭受入侵行为,匹配失败就继续提取日志信息实施字符串匹配,直至日志信息匹配完成为止。

图1 XSS攻击检测过程示意图

在技术方案确定的前提下,设计基于蚁群聚类的Web入侵检测算法,将算法引入技术中进行训练,进一步优化入侵检测技术的检测效率和精准度。

假设样本集合X={Xi|Xi=(xi1,xi2,…,xim)}内具备n个样本,其中样本Xi为m维向量,样本集内包含k个分类模式。聚类就是寻找一个分割标准C,让类内离散度总和为最小,如式(1):

(1)

式(1)中,d(Xi,mj)代表Cj类内样本Xi到达类中心mj的欧氏距离。

蚁群聚类算法内,样本Xi抵达聚类中心mj的欧式距离是d(i,j),将启发函数设置为η(i,j)=1/d(i,j)。样本Xi与聚类中心mj之间的信息素是τ(i,j),τ(i,j)存在于样本与S聚类中心之间,信息素的目标函数是式(1)中的F最小值。蚂蚁搜寻样本所属聚类中心的概率解析式为

(2)

式(2)中,s表示聚类中心。

任意挑选k个样本点作为原始聚类中心,蚂蚁搜寻全部样本空间之后获得聚类结果,聚类中心mj的分量值是类Cj内样本所有属性的平均值,将聚类中心计算公式记作:

(3)

蚂蚁α任意挑选一个样本Xi为初始点,根据式(2)推算此样本挑选每个聚类中心的概率pij,凭借pij获得所属的聚类r,样本Xi被归类至Cr后,蚂蚁重新选择样本反复执行以上操作。

在搜寻全部样本空间后构成一个最终解。将信息素的更新过程描述为

τij(t+n)=ρ×τij(t)+Δτij

(4)

式(4)中,τij(t)表示t时段i、j之间的信息素浓度,ρ表示信息素挥发水平,Δτij表示信息素增量,Q表示信息素强度的增强值。

为了进一步提高蚁群聚类算法的应用优势,避免产生停滞和过早收敛最优解的现象,因此改进式(2)提高蚁群搜索的随机性得到最优解,改进后的公式为

(5)

式(5)中,p表示一个处于区间[0,1]的随机值,p0表示预先设置的参变量,利用动态改变算法进行数值择取。

改进蚁群聚类算法后,入侵检测过程如下。

第一步,设置参变量的原始值,蚂蚁数量为m,最高进化代数是Nc。

第二步,初始化k个聚类中心,任意挑选若干样本为原始聚类中心,推算样本至各个聚类中心的间距d(i,j)和启发函数η(i,j)。

第三步,蚂蚁凭借改进算法明确样本所属的类,推导出目标函数F的数值,使用式(1)得到各样本至聚类中心的距离总和。

第四步,对比m只蚂蚁求解的目标函数值,更新全局信息素。

第五步,聚类结束后,把全部聚类结果根据自身涵盖的实例个数高低实施排序。设定异常临界值是u,对小于u的聚类簇认定是正常行为,反之为异常入侵行为,实现XSS攻击入侵检测任务。

1.2 日志数据库服务器模块

日志数据库服务器模块关键是将采集的日志信息传输至关系数据库。所提出技术的入侵检测模块涵盖形式多样的日志报警模式,把日志信息保存在文本文件内,无需利用关系数据库,但在关系数据库内储存日志是有效保管大量报警信息最直接的方式,使用数据库完成复杂的搜索行为。关系数据库中,将数据从来源端通过抽取、变换、转载到目的端的流程统一被称作数据仓库技术,这是一种完成异构数据源集中存储与管理的策略,把分布于不同地理方位、不同应用技术的数据采集到中间层,最终加载到数据库,变换过程如图2所示。

图2 数据仓库技术体系架构

开启MySQL服务,并进入命令行状态,建立保存入侵检测技术日志的信息库和数据表格。从技术危险防范角度出发,需要建立一个新用户用来连接日志数据库、查找与更新日志信息。

1.3 日志分析控制台模块

日志分析控制台模块内涵盖日志数据库接口、分析控制台、图表化显示窗口。数据库接口可从日志数据库内获取日志信息,按照被分析程序语言的差异,日志分析策略也各有不同。日志分析表示程序输出的每一行运行时,日志探寻源代码内输出的日志点,日志点是日志语句。在入侵检测技术中,通常在一个全局共享的日志类实例内调用各级别的日志来输出技术状态信息。日志点输出数据通过字符串拼接策略组成。

分析控制台按照事先预设的规则抽取日志核心字段,把非结构化日志变换为结构化信息,抽取核心字段的优势是可以对重要字段实施统计分析。分析控制台中具备常见日志的解析规则,用户利用后台或Web页面的解析原则得到关键字段,明确日志内隐含的关键内容,最终利用图表化显示工具把检测结果呈现给用户。

利用以上过程完成技术配置后,将技术安设于网络服务器中,完成对XSS恶意攻击的信息监控与分析。

2 仿真测试

对本文技术进行仿真测试分析,证明所提方法的可靠性与真实性。测试平台为MATLAB,将文献[4]分组聚类法和文献[5]极限学习法与本文方法进行比较。

2.1 测试数据

测试过程中,把DVWA漏洞软件安装在Web服务器中,对后台服务器实施爬虫攻击获得仿真模拟用户数据集,采用渗透工具XSpear进行恶意用户的XSS攻击,从中获取XSS攻击数据,正常样本从Web服务器日志中提取。将模拟获得的测试数据记作表1。

表1 测试数据集内容

2.2 测试指标

入侵检测的实质就是一个分类正常数据与异常数据的过程,实施入侵检测技术性能分析时,把入侵检测方法的性能等同于分类器性能,也就是利用分类器的评价标准完成本文入侵检测技术性能优劣评估。设定检测率与误报率2个评估指标来展现方法的有效性,检测率表示检测到异常数据时,方法能准确检测出来的几率,误报率表示将正常数据当作异常数据的几率。

2个指标计算过程分别为

(6)

(7)

式(6)～式(7)中,TN表示样本为负,被预测成负类,FP表示样本为正,被预测为负,FN表示样本为负,被预测为正类。

除上述2个指标,也要考虑入侵检测技术的负载均衡水平,负载均衡百分比越大,表明入侵检测技术处理网络数据的能力越强,技术整体的灵活性与实用性越好。负载均衡测试使用麻省理工学院林肯实验室研发的入侵检测技术测试离线数据,挑选含有20 000次攻击的网络数据,通过TcprePlay软件提取高速网络背景流量,流量高达15 Gbps。

2.3 仿真结果与分析

融合XSS攻击的测试数据和正常数据作为检测数据集,测试前针对各类攻击的信息均为已知的。在相同测试环境下,3种方法入侵检测率结果如图3所示。

图3 检测率仿真结果比较

从图3可知,测试初期,3种方法的检测率结果基本一致,但随着测试次数增多,检测结果产生巨大差异。与2种文献方法相比,本文方法始终维持较高的信息素增量,证明本文技术方案是成功的,能够有效感知XSS攻击特点并完成入侵检测。这是因为本文方法细致划分了技术功能板块,构建攻击向量数据库,进一步提升了入侵检测全局检测精度。

3种方法入侵检测误报率比较如图4所示。观察图4可知,本文方法信息素浓度处于5%以下,检测误报率极低,而另2个文献方法入侵检测误报率数值起伏较大,最终稳定于6%和11%左右。这是由于所提技术利用蚁群聚类算法有效提取并归类攻击类型相似特征,极大地提高了数据集异常数据诊断的精准度。

负载均衡测试中,使用5台机器分流,每台机器的检测引擎大约接收60～300 M/s的数据包。随机挑选1台检测引擎为测试系统,为系统传输稳定的网络流量,检测3种方法遭受XSS攻击下的负载均衡能力,结果如图5所示。

图5 3种入侵检测方法的负载均衡对比

从图5可知,伴随数据流量的增多,出现XSS攻击时,本文方法负载均衡度比较平稳,而另2个文献方法负载均衡度出现明显下滑,无法在遭受攻击时完成相应入侵检测计算。这是由于本文技术在日志数据库服务器模块中使用了数据仓库技术,在计算攻击活动时能够进行更为细致的优化,大幅提高技术信息处理能力。

3 总结

为了充分研究当前XSS攻击对Web应用的安全风险,为有效抵抗恶意攻击,本文设计了一种面向XSS攻击的恶意软件Web入侵检测技术。通过仿真测试分析,证明所提技术能有效解决抵御内部攻击过程中存在的缺陷,具备操作简便、检测精准等特点,给网络管理人员带来了极大便利,可在最短的时间内对攻击行为做出相应判断与处理,实用性极强。