發(fā)布時(shí)間：2017-04-24 21:04

  本文關(guān)鍵詞：基于特征注入的XSS漏洞檢測(cè)模型研究，，由筆耕文化傳播整理發(fā)布。

【摘要】：跨站腳本(XSS)攻擊是目前Web應(yīng)用程序最大的安全問題之一。最近研究人員提出的漏洞檢測(cè)模型XSS-SAFE通過Java Script的特征注入和Java Script源碼注入消毒程序完成自動(dòng)化的XSS攻擊檢測(cè),該檢測(cè)模型對(duì)五個(gè)真實(shí)項(xiàng)目進(jìn)行了評(píng)估,結(jié)果表明XSS-SAFE漏洞檢測(cè)模型具有較高的準(zhǔn)確率、較低的運(yùn)行載荷、較低的誤報(bào)率。本文分析了XSS-SAFE漏洞檢測(cè)模型的基本組件和關(guān)鍵技術(shù),發(fā)現(xiàn)其存在兩個(gè)不足之處:一是特征注入的位置冗余造成檢測(cè)效率降低,同時(shí)導(dǎo)致誤報(bào)率提高;二是XSS-SAFE偏差檢測(cè)器正確率有待提高。本文針對(duì)XSS-SAFE模型存在的不足之處進(jìn)行了改進(jìn)和完善。具體的研究工作包括以下兩個(gè)方面:1)基于分類特征和動(dòng)態(tài)測(cè)試相結(jié)合完善了惡意代碼和良好代碼的分類方法。在特征注入之前通過分類特征和動(dòng)態(tài)測(cè)試的方法完成惡意代碼和良好代碼的初步篩選,對(duì)特征注入器進(jìn)行了改進(jìn),大幅度減少了特征插入位置。通過實(shí)驗(yàn)詳細(xì)對(duì)比分析了改進(jìn)后的效果。2)Apriori算法是一種快速獲取頻繁項(xiàng)集的算法,結(jié)合Apriori算法和FP-growth算法,探索了發(fā)現(xiàn)攻擊向量特征頻繁項(xiàng)集的新方法。對(duì)眾多的XSS攻擊語(yǔ)句進(jìn)行分析,按照攻擊向量的特征分類找到其頻繁項(xiàng)集。其次對(duì)用戶請(qǐng)求進(jìn)行分析并通過FP-growth算法來高效過濾用戶請(qǐng)求,最終降低了XSS-SAFE模型中偏差檢測(cè)器模塊特征對(duì)比次數(shù),提高了模型的正確率和效率。
【關(guān)鍵詞】：XSS漏洞 Web安全 漏洞檢測(cè) 網(wǎng)絡(luò)蜘蛛 Java Script特征
【學(xué)位授予單位】：蘭州理工大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2016
【分類號(hào)】：TP393.08
【目錄】：

• 摘要7-8
• Abstract8-13
• 第1章 緒論13-21
• 1.1 引言13-14
• 1.2 研究背景14-17
• 1.2.1 XSS分類14
• 1.2.2 XSS攻擊原理14-17
• 1.3 XSS漏洞挖掘研究現(xiàn)狀17-19
• 1.4 論文的主要工作19
• 1.5 論文的結(jié)構(gòu)安排19-21
• 第2章 基于特征注入的XSS漏洞檢測(cè)模型21-29
• 2.1 XSS-SAFE框架21-26
• 2.1.1 代碼跟蹤器22-23
• 2.1.2 Web蜘蛛23-25
• 2.1.3 Java Script提取器25
• 2.1.4 特征注入器25
• 2.1.5 規(guī)則生成及存儲(chǔ)25-26
• 2.1.6 HTTP Response偏差檢測(cè)器26
• 2.2 頁(yè)面特殊情況處理26-28
• 2.2.1 Jsp表達(dá)式的注入點(diǎn)26-27
• 2.2.2 自動(dòng)消毒注入程序27-28
• 2.3 本章小結(jié)28-29
• 第3章 基于分類特征和動(dòng)態(tài)測(cè)試方法篩選XSS漏洞29-46
• 3.1 分類特征29-31
• 3.1.1 基本統(tǒng)計(jì)信息特征30
• 3.1.2 URL重定向30
• 3.1.3 攻擊過程特征30
• 3.1.4 混淆特征分析30-31
• 3.2 動(dòng)態(tài)測(cè)試31-33
• 3.2.1 合法向量測(cè)試31-32
• 3.2.2 攻擊向量測(cè)試32-33
• 3.3 數(shù)據(jù)挖掘33-36
• 3.3.1 數(shù)據(jù)挖掘的定義33
• 3.3.2 數(shù)據(jù)挖掘的特點(diǎn)33-34
• 3.3.3 數(shù)據(jù)挖掘的分類34
• 3.3.4 數(shù)據(jù)挖掘的基本過程34-35
• 3.3.5 數(shù)據(jù)挖掘的任務(wù)35-36
• 3.4 分類算法36-42
• 3.4.1 支持向量機(jī)算法37-39
• 3.4.2 神經(jīng)網(wǎng)絡(luò)分類算法39-41
• 3.4.3 貝葉斯分類算法41-42
• 3.5 實(shí)驗(yàn)數(shù)據(jù)集42
• 3.6 實(shí)驗(yàn)結(jié)果及分析42-44
• 3.7 本章小結(jié)44-46
• 第4章 基于Apriori和FP-growth算法對(duì)攻擊向量進(jìn)行關(guān)聯(lián)分析46-59
• 4.0 關(guān)聯(lián)規(guī)則46-48
• 4.0.1 基本定義46
• 4.0.2 挖掘步驟46-47
• 4.0.3 關(guān)聯(lián)規(guī)則分類47
• 4.0.4 關(guān)聯(lián)規(guī)則挖掘算法47-48
• 4.1 Apriori原理48-49
• 4.2 Apriori實(shí)現(xiàn)49-51
• 4.2.1 生成候選項(xiàng)集50
• 4.2.2 分析Apriori算法50-51
• 4.3 發(fā)現(xiàn)攻擊向量的頻繁項(xiàng)集51-52
• 4.4 FP-growth簡(jiǎn)介52-54
• 4.5 構(gòu)建FP樹54-55
• 4.6 從FP樹中挖掘頻繁項(xiàng)集55-57
• 4.7 改進(jìn)XSS-SAFE模型57-58
• 4.8 本章小結(jié)58-59
• 第5章 實(shí)驗(yàn)結(jié)果分析59-63
• 5.1 評(píng)價(jià)指標(biāo)59
• 5.2 實(shí)驗(yàn)數(shù)據(jù)分析59-62
• 5.3 本章小結(jié)62-63
• 總結(jié)與展望63-64
• 參考文獻(xiàn)64-69
• 致謝69-70
• 附錄A 攻讀學(xué)位期間所發(fā)表的學(xué)術(shù)論文70

【相似文獻(xiàn)】

中國(guó)期刊全文數(shù)據(jù)庫(kù) 前10條

1 楊清;;電網(wǎng)異常檢測(cè)模型方法設(shè)計(jì)[J];電測(cè)與儀表;2009年S2期

2 紀(jì)祥敏;陳秋妹;景林;;面向下一代互聯(lián)網(wǎng)的異常檢測(cè)模型研究[J];福建電腦;2013年01期

3 崔艷娜;;一種網(wǎng)絡(luò)流量異常檢測(cè)模型[J];計(jì)算機(jī)與現(xiàn)代化;2013年08期

4 涂旭平;金海;何麗莉;楊志玲;陶智飛;;一種新的網(wǎng)絡(luò)異常流量檢測(cè)模型[J];計(jì)算機(jī)科學(xué);2005年08期

5 呂洪柱;張建平;鄧文新;;基于數(shù)據(jù)挖掘技術(shù)的異常檢測(cè)模型設(shè)計(jì)[J];高師理科學(xué)刊;2007年06期

6 馬琳;蘇一丹;莫錦萍;;協(xié)同推薦系統(tǒng)檢測(cè)模型的一種優(yōu)化方法[J];微計(jì)算機(jī)信息;2010年03期

7 楊清;;基于模糊序列電網(wǎng)異常檢測(cè)建模方法與研究[J];山西電子技術(shù);2009年05期

8 李雪琴;;基于模糊C均值的異常流量檢測(cè)模型[J];贛南師范學(xué)院學(xué)報(bào);2009年06期

9 唐彰國(guó);李煥洲;鐘明全;張健;;改進(jìn)的進(jìn)程行為檢測(cè)模型及實(shí)現(xiàn)[J];計(jì)算機(jī)應(yīng)用;2010年01期

10 申利民;李峰;孫鵬飛;牛景春;;開放企業(yè)計(jì)算環(huán)境下基于信任的行為檢測(cè)模型[J];計(jì)算機(jī)集成制造系統(tǒng);2013年01期

中國(guó)重要會(huì)議論文全文數(shù)據(jù)庫(kù) 前7條

1 劉俊榮;王文槿;劉寶旭;;一種基于網(wǎng)絡(luò)行為分析的木馬檢測(cè)模型[A];第十六屆全國(guó)核電子學(xué)與核探測(cè)技術(shù)學(xué)術(shù)年會(huì)論文集（下冊(cè)）[C];2012年

2 馬文忠;郭江艷;陳科成;楊珊;王艷麗;;基于神經(jīng)網(wǎng)絡(luò)的供熱燃燒系統(tǒng)檢測(cè)模型的研究[A];2011中國(guó)電工技術(shù)學(xué)會(huì)學(xué)術(shù)年會(huì)論文集[C];2011年

3 張廣軍;賀俊吉;;基于圓結(jié)構(gòu)光的內(nèi)表面三維視覺檢測(cè)模型[A];中國(guó)儀器儀表學(xué)會(huì)學(xué)術(shù)論文集[C];2004年

4 王建平;張自立;魏華;;戰(zhàn)術(shù)空域沖突檢測(cè)模型研究[A];Proceedings of 14th Chinese Conference on System Simulation Technology & Application(CCSSTA’2012)[C];2012年

5 武照東;劉英凱;劉春;吳秀峰;;Overlay網(wǎng)絡(luò)的鏈路故障檢測(cè)模型[A];2008通信理論與技術(shù)新發(fā)展——第十三屆全國(guó)青年通信學(xué)術(shù)會(huì)議論文集（下）[C];2008年

6 李京鵬;楊林;劉世棟;;防火墻狀態(tài)檢測(cè)模型研究[A];第十八次全國(guó)計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文集[C];2003年

7 周雙娥;熊國(guó)平;;基于Petri網(wǎng)的故障檢測(cè)模型的設(shè)計(jì)與分析[A];第六屆中國(guó)測(cè)試學(xué)術(shù)會(huì)議論文集[C];2010年

中國(guó)博士學(xué)位論文全文數(shù)據(jù)庫(kù) 前6條

1 蔣鵬;圖像內(nèi)容顯著性檢測(cè)的理論和方法研究[D];山東大學(xué);2016年

2 李濤;基于上下文的目標(biāo)檢測(cè)研究[D];電子科技大學(xué);2016年

3 趙靜;網(wǎng)絡(luò)協(xié)議異常檢測(cè)模型的研究與應(yīng)用[D];北京交通大學(xué);2010年

4 趙斌;基于圖模型的微博數(shù)據(jù)分析與管理[D];華東師范大學(xué);2012年

5 牛清寧;基于信息融合的疲勞駕駛檢測(cè)方法研究[D];吉林大學(xué);2014年

6 劉鵬飛;鋁合金點(diǎn)焊質(zhì)量的逆過程檢測(cè)方法研究[D];天津大學(xué);2008年

中國(guó)碩士學(xué)位論文全文數(shù)據(jù)庫(kù) 前10條

1 劉琦;卷積檢測(cè)模型的GPU加速研究[D];上海交通大學(xué);2015年

2 張穎華;特定場(chǎng)景下的可變形部件模型[D];上海交通大學(xué);2015年

3 黃咨;基于卷積神經(jīng)網(wǎng)絡(luò)的目標(biāo)檢測(cè)模型的研究[D];上海交通大學(xué);2015年

4 陳璐艷;基于范例集成的目標(biāo)檢測(cè)模型研究[D];上海交通大學(xué);2015年

5 許劍;基于andriod平臺(tái)手機(jī)的老人跌倒檢測(cè)識(shí)別方法研究[D];東南大學(xué);2015年

6 孫翔;在線社交網(wǎng)絡(luò)上的高效事件檢測(cè)模型[D];江蘇大學(xué);2016年

7 卓可秋;基于Spark的突發(fā)事件檢測(cè)實(shí)現(xiàn)研究[D];南京大學(xué);2016年

8 張文清;惡意RFID閱讀器檢測(cè)技術(shù)研究與應(yīng)用[D];電子科技大學(xué);2016年

9 趙永福;基于行為特征的Windows Bootkit檢測(cè)模型的研究及其系統(tǒng)實(shí)現(xiàn)[D];電子科技大學(xué);2016年

10 江鷗;部分遮擋情況下的行人檢測(cè)[D];電子科技大學(xué);2016年

  本文關(guān)鍵詞：基于特征注入的XSS漏洞檢測(cè)模型研究，由筆耕文化傳播整理發(fā)布。

本文編號(hào)：324945