基于代理的跨站脚本攻击检测技术研究
本文关键词:基于代理的跨站脚本攻击检测技术研究
更多相关文章: WEB安全 跨站脚本攻击 白名单 动态检测 代理 DOM
【摘要】:在计算机应用技术快速发展的2015年,基于网站应用的Web攻击已经引起攻击者的密切关注。Web 2.0出现以后,基于XSS(Cross Site Scripting)的漏洞攻击技术层出不穷,危害也越来越严重,运用了Ajax技术的XSS攻击能够实现隐私获取、挂马、钓鱼等非法目的,相继不断发生的重大网络入侵事件使得计算机用户面临重大威胁。目前主流的检测方法如火狐的NoScript插件都是基于输入输出的特征值匹配技术,通过复杂的正则表达式实现攻击检测,但是对于动态破坏原有文档结构完整性的跨站脚本攻击毫无办法。本文的研究针对前人提出的跨站脚本攻击检测工具设计的不足,结合现有的其他检测方案和辅助分析方法,提出了一种代理环境下的检测方式来发现跨站脚本攻击,并实现了原型系统XSSDetection。论文的主要工作和创新如下:首先,提出了提出了基于代理的攻击检测模型,能够不影响服务器的配置及策略实施,同时也不受不同浏览器和服务器解析容错机制的影响。其次,改进和优化了攻击检测算法,使用HTML解析与JavaScript引擎动态更新网页节点和查找注入点,优化了检测算法的匹配参数,使得算法对对多种攻击向量和攻击目的有效,并能有效的检测DOM型XSS攻击。最后,提出了一种URL精确白名单策略,利用白向量探测请求区分出不存在XSS漏洞的URL,减少了攻击检测范围,提高了系统的运行效率。实验表明,本文提出的XSSDetection系统和已有的检测工具相比,实现了低误报、低漏报的检测效果,并且响应时间小于同类工具Watcher,在横向比较中,比浏览器插件类的检测工具检测率及正确率更高,证明了本系统在跨站脚本攻击检测系统的设计上的有一定的参考意义和推广价值。
【关键词】:WEB安全 跨站脚本攻击 白名单 动态检测 代理 DOM
【学位授予单位】:电子科技大学
【学位级别】:硕士
【学位授予年份】:2016
【分类号】:TP393.08
【目录】:
- 摘要5-6
- ABSTRACT6-10
- 第一章 绪论10-14
- 1.1 研究背景10
- 1.2 研究目的和意义10-12
- 1.3 论文研究工作及创新12-13
- 1.4 论文组织结构13-14
- 第二章 跨站脚本攻击前置知识14-26
- 2.1 跨站脚本攻击概述14-20
- 2.1.1 跨站脚本攻击原理14-16
- 2.1.2 跨站脚本攻击的危害16-18
- 2.1.3 跨站脚本攻击的现状剖析18-20
- 2.2 跨站脚本攻击类别20-23
- 2.2.1 反射性XSS攻击20-21
- 2.2.2 存储型XSS攻击21-22
- 2.2.3 DOM型XSS攻击22-23
- 2.3 国内外研究现状23-25
- 2.4 本章小结25-26
- 第三章 基于代理的跨站脚本攻击检测方法26-45
- 3.1 现有攻击检测方法分析26-31
- 3.1.1 输入输出检测26-28
- 3.1.2 污点标记与传播分析28-30
- 3.1.3 机器学习分类法30-31
- 3.2 基于代理的攻击检测模型XSSDETECTION31-34
- 3.2.1 代理检测的优势31-32
- 3.2.2 XSSDetection总体架构设计32-34
- 3.2.3 攻击检测流程34
- 3.3 精确URL白名单34-37
- 3.3.1 实现原理34-36
- 3.3.2 白向量的构造36-37
- 3.4 攻击检测匹配算法37-41
- 3.4.1 字符串近似匹配算法37-38
- 3.4.2 动态规划法求编辑距离38-39
- 3.4.3 改进的动态规划算法39-40
- 3.4.4 算法的优化40-41
- 3.5 DOM比对分析41-44
- 3.5.1 注入节点分析41-42
- 3.5.2 DOM比对流程42-44
- 3.6 本章小结44-45
- 第四章 基于代理的检测系统关键技术实现45-60
- 4.1 总体框架设计45-46
- 4.2 代理模块的实现46-50
- 4.2.1 Proxy的实现流程46-48
- 4.2.2 提交请求及响应获取48-50
- 4.3 HTML分析模块50-53
- 4.3.1 DOM树构造50-52
- 4.3.2 注入点查找52-53
- 4.4 JAVASCRIPT解析模块53-56
- 4.4.1 JavaScript引擎53-54
- 4.4.2 JavaScript的调用54-55
- 4.4.3 DOM操作支持55-56
- 4.5 白名单模块56-57
- 4.6 检测模块的实现57-59
- 4.6.1 输入参数的处理58
- 4.6.2 算法的实现58-59
- 4.7 本章小结59-60
- 第五章 系统的测试及评估60-65
- 5.1 测试环境60
- 5.2 测试流程60-63
- 5.2.1 正常请求检测60-62
- 5.2.2 攻击请求检测62-63
- 5.3 准确性及性能测试63-64
- 5.4 本章小结64-65
- 第六章 工作总结与后续研究65-66
- 6.1 论文工作总结65
- 6.2 后续研究工作65-66
- 致谢66-67
- 参考文献67-71
- 攻硕期间取得的成果71-72
【相似文献】
中国期刊全文数据库 前10条
1 王新民;智能称重仪的动态检测和零点跟踪[J];黑龙江大学自然科学学报;1988年02期
2 ;火车轮对外形磨损动态检测系统方案研究[J];中国计量学院学报;2001年02期
3 黄玉波;;动态检测进程与特定程序封杀的研究[J];科技广场;2008年10期
4 唐雷;;铁路轨道动态检测系统应用探究[J];科技创业家;2013年02期
5 陈林,戴兴庆,龚祖铭;圆光栅动态检测的填脉冲比相法及其数据处理[J];上海机械学院学报;1990年04期
6 黄素莲,张超英,陈勇;机动车重量动态检测软件设计[J];数据采集与处理;1994年02期
7 郭君斌,郭晓松,杨必武,张安,王玉森;复杂背景下直线目标的一种动态检测方法[J];计算机工程;2005年11期
8 李现明;一种温度场动态检测的新方法[J];电气传动自动化;1997年03期
9 徐力生,陈伟,徐蒙,胡芳龙;灌浆过程参数动态检测与质量控制[J];施工技术;2004年09期
10 刘树锟;阳小华;陈继锋;彭浩;;程序断言动态检测工具的设计与实现[J];计算机应用研究;2009年11期
中国重要会议论文全文数据库 前7条
1 吉文杰;于立业;石志学;;基于图像的列车故障动态检测方法研究与设计[A];中国计量协会冶金分会2013年会论文集[C];2013年
2 杜太行;徐东彬;李玉萍;何莉莉;;车辆动态检测和抓拍技术的研究[A];2006中国控制与决策学术年会论文集[C];2006年
3 赵钢;陈东生;周正;刘铁;刘维桢;;轨道基础设施动态检测信息管理系统[A];铁道科学技术新进展——铁道科学研究院五十五周年论文集[C];2005年
4 张韬;;接触网动态检测中接触压力问题的分析及对策[A];中国铁道学会电气化委员会2006年学术会议论文集[C];2006年
5 朱飞雄;;我国客运专线接触网动态检测方法与指标[A];中国铁道学会电气化委员会2006年学术会议论文集[C];2006年
6 刘介良;邱宗明;黄秋红;赵敏;朱凌建;;高精度丝杠动态检测系统的研究[A];制造技术自动化学术会议论文集[C];2004年
7 王建东;曾庆凯;;整数漏洞现状研究[A];2011年全国通信安全学术会议论文集[C];2011年
中国重要报纸全文数据库 前3条
1 中国铁道科学研究院提供;为新建客运专线量身定制 科学的竣工验收动态检测标准[N];人民铁道;2010年
2 卢伏龙邋饶伟国;让优秀一线职工脱颖而出[N];人民铁道;2008年
3 通讯员 蒋方槐 周燕;广西德靖铁路通过动态检测[N];人民铁道;2012年
中国博士学位论文全文数据库 前2条
1 颜红金;眼睛动态检测系统的设计与应用研究[D];暨南大学;2011年
2 张剑寅;Web服务冲突动态检测和解决方法的研究[D];北京邮电大学;2007年
中国硕士学位论文全文数据库 前10条
1 王星;隧道形变动态检测与分析系统研究[D];北京交通大学;2016年
2 徐浩然;基于代理的跨站脚本攻击检测技术研究[D];电子科技大学;2016年
3 孙恺;机车台架黏滑试验动态检测系统研究[D];西南交通大学;2014年
4 毛真;大米品质动态检测算法的研究[D];大连理工大学;2008年
5 陈国利;中加矿业公司矿石品位动态检测及质量控制系统试验研究[D];西安建筑科技大学;2009年
6 杨志鹏;井下采油工具动态检测系统技术评价[D];天津大学;2004年
7 崔晓丽;计算机动态检测生丝细度[D];苏州大学;2001年
8 南振会;铁路红外线检测车的研制及关键技术的研究[D];西安电子科技大学;2005年
9 于东;前束动态检测系统研究与开发[D];长安大学;2012年
10 佘九华;人脸动态检测与实时跟踪系统的设计[D];南京航空航天大学;2008年
,本文编号:979990
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/979990.html
