【摘要】：瀏覽器緩存主要用于加快用戶對網(wǎng)絡資源的請求速度,然而攻擊者可以通過中間人攻擊等方式實施緩存污染攻擊。首先提出了一種基于Zipf定律的持久化緩存污染攻擊模式,然后考慮到傳統(tǒng)的緩存污染防御策略無法全面覆蓋各種攻擊方式,為此提出一種可調控的瀏覽器緩存污染防御策略,這種策略部署于用戶與服務器之間,對用戶所請求的緩存資源進行時間戳判斷、請求相應延時判斷、資源代表性判斷、哈希驗證和眾包策略,可以有效防御瀏覽器緩存污染問題。實驗選取200個JavaScript資源文件作為實驗樣本,利用中間人攻擊的方式污染其中100個樣本,在訪問這些資源的同時啟用防御腳本,分析污染樣本的檢測率和正常樣本的誤判率,結果表明,在松弛條件下,污染樣本的檢測率達到87%,正常樣本誤判率為0%。而在嚴格條件下,污染樣本的檢測率達到95%,正常樣本誤判率為4%。同時所有實驗樣本的請求響應時間差分別為5277ms和6013ms,均小于全部重新加載資源的時間差,在防御了絕大部分的受污染資源的同時還縮短了用戶訪問的時間,最后還提出基于支持向量機的資源代表性檢測方法降低了污染樣本的漏判率。該策略簡化了緩存污染攻擊防御的流程并可以通過不同的參數(shù)在用戶體驗性和安全性中取得平衡。
【圖文】：

芯可，

本文編號：2664649