本文關鍵詞：基于代理的跨站腳本攻擊檢測技術研究

  更多相關文章： WEB安全 跨站腳本攻擊 白名單 動態(tài)檢測 代理 DOM

【摘要】：在計算機應用技術快速發(fā)展的2015年,基于網站應用的Web攻擊已經引起攻擊者的密切關注。Web 2.0出現以后,基于XSS(Cross Site Scripting)的漏洞攻擊技術層出不窮,危害也越來越嚴重,運用了Ajax技術的XSS攻擊能夠實現隱私獲取、掛馬、釣魚等非法目的,相繼不斷發(fā)生的重大網絡入侵事件使得計算機用戶面臨重大威脅。目前主流的檢測方法如火狐的NoScript插件都是基于輸入輸出的特征值匹配技術,通過復雜的正則表達式實現攻擊檢測,但是對于動態(tài)破壞原有文檔結構完整性的跨站腳本攻擊毫無辦法。本文的研究針對前人提出的跨站腳本攻擊檢測工具設計的不足,結合現有的其他檢測方案和輔助分析方法,提出了一種代理環(huán)境下的檢測方式來發(fā)現跨站腳本攻擊,并實現了原型系統XSSDetection。論文的主要工作和創(chuàng)新如下:首先,提出了提出了基于代理的攻擊檢測模型,能夠不影響服務器的配置及策略實施,同時也不受不同瀏覽器和服務器解析容錯機制的影響。其次,改進和優(yōu)化了攻擊檢測算法,使用HTML解析與JavaScript引擎動態(tài)更新網頁節(jié)點和查找注入點,優(yōu)化了檢測算法的匹配參數,使得算法對對多種攻擊向量和攻擊目的有效,并能有效的檢測DOM型XSS攻擊。最后,提出了一種URL精確白名單策略,利用白向量探測請求區(qū)分出不存在XSS漏洞的URL,減少了攻擊檢測范圍,提高了系統的運行效率。實驗表明,本文提出的XSSDetection系統和已有的檢測工具相比,實現了低誤報、低漏報的檢測效果,并且響應時間小于同類工具Watcher,在橫向比較中,比瀏覽器插件類的檢測工具檢測率及正確率更高,證明了本系統在跨站腳本攻擊檢測系統的設計上的有一定的參考意義和推廣價值。
【關鍵詞】：WEB安全 跨站腳本攻擊 白名單 動態(tài)檢測 代理 DOM
【學位授予單位】：電子科技大學
【學位級別】：碩士
【學位授予年份】：2016
【分類號】：TP393.08
【目錄】：

• 摘要5-6
• ABSTRACT6-10
• 第一章 緒論10-14
• 1.1 研究背景10
• 1.2 研究目的和意義10-12
• 1.3 論文研究工作及創(chuàng)新12-13
• 1.4 論文組織結構13-14
• 第二章 跨站腳本攻擊前置知識14-26
• 2.1 跨站腳本攻擊概述14-20
• 2.1.1 跨站腳本攻擊原理14-16
• 2.1.2 跨站腳本攻擊的危害16-18
• 2.1.3 跨站腳本攻擊的現狀剖析18-20
• 2.2 跨站腳本攻擊類別20-23
• 2.2.1 反射性XSS攻擊20-21
• 2.2.2 存儲型XSS攻擊21-22
• 2.2.3 DOM型XSS攻擊22-23
• 2.3 國內外研究現狀23-25
• 2.4 本章小結25-26
• 第三章 基于代理的跨站腳本攻擊檢測方法26-45
• 3.1 現有攻擊檢測方法分析26-31
• 3.1.1 輸入輸出檢測26-28
• 3.1.2 污點標記與傳播分析28-30
• 3.1.3 機器學習分類法30-31
• 3.2 基于代理的攻擊檢測模型XSSDETECTION31-34
• 3.2.1 代理檢測的優(yōu)勢31-32
• 3.2.2 XSSDetection總體架構設計32-34
• 3.2.3 攻擊檢測流程34
• 3.3 精確URL白名單34-37
• 3.3.1 實現原理34-36
• 3.3.2 白向量的構造36-37
• 3.4 攻擊檢測匹配算法37-41
• 3.4.1 字符串近似匹配算法37-38
• 3.4.2 動態(tài)規(guī)劃法求編輯距離38-39
• 3.4.3 改進的動態(tài)規(guī)劃算法39-40
• 3.4.4 算法的優(yōu)化40-41
• 3.5 DOM比對分析41-44
• 3.5.1 注入節(jié)點分析41-42
• 3.5.2 DOM比對流程42-44
• 3.6 本章小結44-45
• 第四章 基于代理的檢測系統關鍵技術實現45-60
• 4.1 總體框架設計45-46
• 4.2 代理模塊的實現46-50
• 4.2.1 Proxy的實現流程46-48
• 4.2.2 提交請求及響應獲取48-50
• 4.3 HTML分析模塊50-53
• 4.3.1 DOM樹構造50-52
• 4.3.2 注入點查找52-53
• 4.4 JAVASCRIPT解析模塊53-56
• 4.4.1 JavaScript引擎53-54
• 4.4.2 JavaScript的調用54-55
• 4.4.3 DOM操作支持55-56
• 4.5 白名單模塊56-57
• 4.6 檢測模塊的實現57-59
• 4.6.1 輸入參數的處理58
• 4.6.2 算法的實現58-59
• 4.7 本章小結59-60
• 第五章 系統的測試及評估60-65
• 5.1 測試環(huán)境60
• 5.2 測試流程60-63
• 5.2.1 正常請求檢測60-62
• 5.2.2 攻擊請求檢測62-63
• 5.3 準確性及性能測試63-64
• 5.4 本章小結64-65
• 第六章 工作總結與后續(xù)研究65-66
• 6.1 論文工作總結65
• 6.2 后續(xù)研究工作65-66
• 致謝66-67
• 參考文獻67-71
• 攻碩期間取得的成果71-72

【相似文獻】

中國期刊全文數據庫 前10條

1 王新民;智能稱重儀的動態(tài)檢測和零點跟蹤[J];黑龍江大學自然科學學報;1988年02期

2 ;火車輪對外形磨損動態(tài)檢測系統方案研究[J];中國計量學院學報;2001年02期

3 黃玉波;;動態(tài)檢測進程與特定程序封殺的研究[J];科技廣場;2008年10期

4 唐雷;;鐵路軌道動態(tài)檢測系統應用探究[J];科技創(chuàng)業(yè)家;2013年02期

5 陳林,戴興慶,龔祖銘;圓光柵動態(tài)檢測的填脈沖比相法及其數據處理[J];上海機械學院學報;1990年04期

6 黃素蓮，張超英，陳勇;機動車重量動態(tài)檢測軟件設計[J];數據采集與處理;1994年02期

7 郭君斌,郭曉松,楊必武,張安,王玉森;復雜背景下直線目標的一種動態(tài)檢測方法[J];計算機工程;2005年11期

8 李現明;一種溫度場動態(tài)檢測的新方法[J];電氣傳動自動化;1997年03期

9 徐力生,陳偉,徐蒙,胡芳龍;灌漿過程參數動態(tài)檢測與質量控制[J];施工技術;2004年09期

10 劉樹錕;陽小華;陳繼鋒;彭浩;;程序斷言動態(tài)檢測工具的設計與實現[J];計算機應用研究;2009年11期

中國重要會議論文全文數據庫 前7條

1 吉文杰;于立業(yè);石志學;;基于圖像的列車故障動態(tài)檢測方法研究與設計[A];中國計量協會冶金分會2013年會論文集[C];2013年

2 杜太行;徐東彬;李玉萍;何莉莉;;車輛動態(tài)檢測和抓拍技術的研究[A];2006中國控制與決策學術年會論文集[C];2006年

3 趙鋼;陳東生;周正;劉鐵;劉維楨;;軌道基礎設施動態(tài)檢測信息管理系統[A];鐵道科學技術新進展——鐵道科學研究院五十五周年論文集[C];2005年

4 張韜;;接觸網動態(tài)檢測中接觸壓力問題的分析及對策[A];中國鐵道學會電氣化委員會2006年學術會議論文集[C];2006年

5 朱飛雄;;我國客運專線接觸網動態(tài)檢測方法與指標[A];中國鐵道學會電氣化委員會2006年學術會議論文集[C];2006年

6 劉介良;邱宗明;黃秋紅;趙敏;朱凌建;;高精度絲杠動態(tài)檢測系統的研究[A];制造技術自動化學術會議論文集[C];2004年

7 王建東;曾慶凱;;整數漏洞現狀研究[A];2011年全國通信安全學術會議論文集[C];2011年

中國重要報紙全文數據庫 前3條

1 中國鐵道科學研究院提供;為新建客運專線量身定制 科學的竣工驗收動態(tài)檢測標準[N];人民鐵道;2010年

2 盧伏龍邋饒偉國;讓優(yōu)秀一線職工脫穎而出[N];人民鐵道;2008年

3 通訊員 蔣方槐 周燕;廣西德靖鐵路通過動態(tài)檢測[N];人民鐵道;2012年

中國博士學位論文全文數據庫 前2條

1 顏紅金;眼睛動態(tài)檢測系統的設計與應用研究[D];暨南大學;2011年

2 張劍寅;Web服務沖突動態(tài)檢測和解決方法的研究[D];北京郵電大學;2007年

中國碩士學位論文全文數據庫 前10條

1 王星;隧道形變動態(tài)檢測與分析系統研究[D];北京交通大學;2016年

2 徐浩然;基于代理的跨站腳本攻擊檢測技術研究[D];電子科技大學;2016年

3 孫愷;機車臺架黏滑試驗動態(tài)檢測系統研究[D];西南交通大學;2014年

4 毛真;大米品質動態(tài)檢測算法的研究[D];大連理工大學;2008年

5 陳國利;中加礦業(yè)公司礦石品位動態(tài)檢測及質量控制系統試驗研究[D];西安建筑科技大學;2009年

6 楊志鵬;井下采油工具動態(tài)檢測系統技術評價[D];天津大學;2004年

7 崔曉麗;計算機動態(tài)檢測生絲細度[D];蘇州大學;2001年

8 南振會;鐵路紅外線檢測車的研制及關鍵技術的研究[D];西安電子科技大學;2005年

9 于東;前束動態(tài)檢測系統研究與開發(fā)[D];長安大學;2012年

10 佘九華;人臉動態(tài)檢測與實時跟蹤系統的設計[D];南京航空航天大學;2008年

，

本文編號：979990