[发明专利]一种基于深度学习模型优化的XSS漏洞检测方法

说明书

本发明涉及一种基于深度学习模型优化的XSS漏洞检测方法，包括以下步骤：步骤(1)：定义XSS攻击向量语法和输出点语境，构建基础XSS攻击向量指令表；步骤(2)：定义XSS攻击向量变异规则，依此构建变异XSS攻击向量指令表；步骤(3)：根据深度学习模型，优化变异XSS攻击向量指令表；步骤(4)：设计网络爬虫模块，爬取Web页面源码，获取所有URL；步骤(5)：根据URL找到攻击向量注入点，注入优化后的变异XSS攻击向量，进行XSS漏洞检测，最后分析页面响应，判断XSS漏洞是否存在。本发明缩短检测XSS漏洞的检测时间，提高XSS漏洞检测精准度。

技术领域

本发明涉及一种基于深度学习模型优化的XSS漏洞检测方法，属于Web漏洞检测技术和机器学习技术领域。

背景技术

随着网络攻击技术的发展，网络安全成为最常见的安全问题之一。一直被OWASP(Open Web Application Security Project)组织评委十大安全漏洞之一的跨脚本攻击XSS (Cross Site Scripting)于二十世纪90年代诞生。经过了二十余年的演化，XSS已经成为最流行的攻击方式，有近百分之七十的网站可能遭受此类攻击。Twitter、Facebook、Myspace、Orkut、新浪微博和百度贴吧等国内外网站都爆发过XSS攻击事件。XSS攻击是在网页中嵌入客户端恶意脚本代码，恶意代码一般是由JavaScript编写。JavaScript可以获取用户的cookie、改变网页内容、URL跳转，存在XSS漏洞的网站，就可以盗取cookie、黑掉页面、跳转到恶意网站等等。XSS漏洞检测技术的研究成为近年来热点研究之一。然而传统的漏洞检测工具对于输入端检测的覆盖率低，很多情况下对于安全渗透测试人员而言，不能完全排除XSS漏洞，这种情况下，就会给黑客可乘之机，对互联网企业及用户造成不可估量的损失。

传统的检测XSS漏洞主要有三种方法: （1）静态分析；（2）动态分析；（3）混合分析。静态分析需要Web应用的源码，检测结果需要大量的人工分析，并且检测结果会发生错报和漏报。动态分析技术通过观察程序运行过程中的运行状态、寄存器状态的异常来发现漏洞。动态分析技术主要包括 Fuzzing 测试、动态污点分析技术、动态符号执行技术等。Fuzzing测试通过生成大量畸形测试数据来测试程序的顽健性和安全性，其核心是测试用例生成技术。Fuzzing 测试是漏洞检测有效、多产的方法，Fuzzing测试根据攻击向量来进行测试，然而高维度的攻击向量指令表会花费大量的时间以及会发生误报的情况。

近年来，人工智能（AI, artificial intelligence）技术有了较大的发展，利用人工智能技术可以对漏洞报告以及程序代码自动化处理并提取有效的信息，以此来实现安全漏洞的自动化研究。将人工智能技术应用于网络安全领域主要是利用机器学习（ML,Machine Learning）、深度学习（DL, Deep Learning）以及自然语言处理（NLP, naturallanguage processing）技术等来进行安全漏洞研究。然而对于如何稳定将该技术应用于漏洞检测，还需要一段时间去探究和摸索。

发明内容

本发明提供一种基于深度学习模型优化的XSS漏洞检测方法，目的是提供一种高效且快速的方法来发现Web页面的XSS漏洞，既保证了检测XSS漏洞的准确性，又大大降低了漏洞检测的时间，其具体技术方案如下：

一种基于深度学习模型优化的XSS漏洞检测方法，其特征在于：包括以下步骤：

步骤(1)：定义XSS攻击向量语法和输出点语境，构建基础XSS攻击向量指令表；

步骤(2)：定义XSS攻击向量变异规则，依此构建变异XSS攻击向量指令表；

步骤(3)：采用TensorFlow智能计算平台，深度学习模型采用自定义神经网络，具体为：