專利名稱:應(yīng)用遺傳算法自動生成xss跨站點腳本漏洞檢測參數(shù)的方法
應(yīng)用遺傳算法自動生成XSS跨站點腳本漏洞檢測參數(shù)的方
法
技術(shù)領(lǐng)域:
本發(fā)明屬于漏洞檢測和測試數(shù)據(jù)自動生成技術(shù)領(lǐng)域,具體涉及一種應(yīng)用遺傳算法 自動生成XSS跨站點腳本漏洞檢測參數(shù)的方法�。
背景技術(shù):
隨著Web技術(shù)的發(fā)展,各類型Web應(yīng)用層出不窮�����,而由此帶來的Web應(yīng)用漏洞 也日益增多,其中危害最為嚴(yán)重的漏洞之一就是跨站點腳本攻擊漏洞�。跨站點腳本攻擊 (CrossSite Script, XSS)指的是黑客在Web頁面中植入惡意代碼�,當(dāng)用戶瀏覽該頁面時���, 攻擊者嵌入其中的HTML代碼將會執(zhí)行����,從而達(dá)到惡意盜取用戶信息的目的�。目前針對于Web漏洞的檢測技術(shù)有兩個方向,一種是入侵檢測機(jī)制��,另一種是針 對系統(tǒng)本身的檢測以使系統(tǒng)更加完善����。針對后一種方法目前以針對系統(tǒng)的安全掃描和漏洞 檢測為主。然而該方法主要針對于系統(tǒng)中存在的漏洞進(jìn)行檢測�����,對于Web應(yīng)用中存在的漏 洞則無效����,因此針對于Web應(yīng)用漏洞的檢查不能再停留在以往的被動式檢查上���,而應(yīng)采取 主動式的漏洞檢測方法。主動式的漏洞檢測方法即是從黑客的角度出發(fā)模擬黑客的攻擊來 檢測出網(wǎng)站中可能存在的問題����。在主動攻擊式檢測網(wǎng)站漏洞的模式中存在兩個需要解決的 問題一方面是如何在信息量浩如煙海的Web頁面中尋找到最有可能被攻擊的頁面,即頁 面遍歷方法���;另一方面是在這些頁面中如何模擬黑客攻擊手法來發(fā)現(xiàn)潛在的漏洞點��,即攻 擊數(shù)據(jù)的設(shè)計���。但隨著Web應(yīng)用越來越復(fù)雜龐大,以往人工指定漏洞測試數(shù)據(jù)的方法�,無論 從覆蓋程度還是效率方面,都已經(jīng)無法滿足Web應(yīng)用漏洞檢測的需要����。因此,漏洞檢測參數(shù) 的自動生成已經(jīng)成為一種重要的參數(shù)生成手段���。遺傳算法是一類借鑒生物界的進(jìn)化規(guī)律演化而來的隨機(jī)化搜索方法��,是模擬達(dá)爾 文的遺傳選擇和自然淘汰的生物進(jìn)化過程的計算模型�����,是具有“生存+檢測”的迭代過程的 搜索算法�。它由美國的J.Holland教授1975年首先提出,其主要特點是直接對結(jié)構(gòu)對象 進(jìn)行操作�����,不存在求導(dǎo)和函數(shù)連續(xù)性的限定�����;具有內(nèi)在的隱并行性和更好的全局尋優(yōu)能力����; 采用概率化的尋優(yōu)方法���,能自動獲取和指導(dǎo)優(yōu)化的搜索空間�,自適應(yīng)地調(diào)整搜索方向�,不需 要確定的規(guī)則。遺傳算法的這些性質(zhì)����,已被人們廣泛地應(yīng)用于組合優(yōu)化�、機(jī)器學(xué)習(xí)����、信號處 理、自適應(yīng)控制和人工生命等領(lǐng)域�����。遺傳算法中��,選擇���、交叉和變異構(gòu)成了遺傳算法的遺傳 操作�;參數(shù)編碼��、初始群體的設(shè)定�����、適應(yīng)度函數(shù)的設(shè)計���、遺傳操作設(shè)計����、控制參數(shù)設(shè)定五個要 素組成了遺傳算法的核心內(nèi)容。遺傳算法是現(xiàn)代有關(guān)智能計算中的關(guān)鍵技術(shù)之一�,其特點 使其在軟件測試所需的參數(shù)生成中同樣有良好的使用性。
發(fā)明內(nèi)容本發(fā)明的目的是彌補(bǔ)人工生成跨站點腳本漏洞檢測參數(shù)的不足��,提出一種應(yīng)用遺 傳算法自動生成XSS跨站點腳本漏洞檢測參數(shù)的方法��。該方法覆蓋程度和效率都比較高����, 且實現(xiàn)了算法的系統(tǒng)結(jié)構(gòu)。
4
本發(fā)明提供的應(yīng)用遺傳算法自動生成XSS跨站點腳本漏洞檢測參數(shù)的方法包括 以下步驟步驟1�、根據(jù)XSS跨站點腳本漏洞的產(chǎn)生規(guī)則�����,定義本發(fā)明所述方法的基礎(chǔ)參數(shù) 集��;步驟2�����、定義生成XSS跨站點腳本漏洞檢測參數(shù)的遺傳算法的基因編碼策略���,該基 因編碼策略用于生成基因編碼�;步驟3、定義生成XSS跨站點腳本漏洞檢測參數(shù)的遺傳算法的交叉操作和變異操 作�,對父代基因編碼執(zhí)行交叉、變異操作生成子代基因編碼���;步驟4�、定義生成XSS跨站點腳本漏洞檢測參數(shù)的遺傳算法的模擬攻擊操作����;步驟5、定義生成XSS跨站點腳本漏洞檢測參數(shù)的遺傳算法的選擇操作�;步驟6、對于應(yīng)用遺傳算法自動生成XSS跨站點腳本漏洞檢測參數(shù)的方法�����,定義該 方法的迭代算法�,至迭代算法終止即可獲得XSS跨站點腳本漏洞檢測參數(shù)。本發(fā)明方法的具體操作過程如下1.定義漏洞檢測參數(shù)集本發(fā)明定義了跨站點腳本漏洞的檢測參數(shù)集�,其中包括在Web頁面中的三處 注入點,即Text��,TextArea和Password三個HTML內(nèi)部控件,以及四個漏洞產(chǎn)生位置����, 即Web頁面的HTML注釋中,INPUT元素中���,<script></script>塊結(jié)構(gòu)中及<body></ body)塊結(jié)構(gòu)中���,標(biāo)記點有 “<html>”,“</html>”�、“〈script〉”,“〈/script〉”���、“〈input”�����, “ </form> ”�����、“ <TextAre> ”,“ </TextArea> ”�����。本發(fā)明定義了參數(shù)中插入的惡意代碼主要 是JavaScript代碼,其中主要包括可產(chǎn)生跨站點腳本漏洞特殊字符“’”����、“〈”和“;”���;定 義了跨站點腳本漏洞參數(shù)的通用形式為{C} {A}alert ( iXSS attack ���!,) {B}�����,其中集合 {A} {B}代表跨站點腳本插入點的標(biāo)記對���,主要包括“〈script〉”����,“</SCript>”����、“Style = "background url (javascript ”,“) ””、“</TextAreaXscript>”����,“〈/script〉”和“ ”,“�����,�,;集 合{C}代表可選的特殊符號集合���,在<html></html>塊中的特殊符號集合為Cl = {“-->”�����、 “>���,>,�,、“> “>�,,�����、“> “�����,>”}���,在〈script〉塊中的特殊符號集合為 C2 = { “�����,�����;�,�,、““ ���;”}��。2.定義基因編碼策略本發(fā)明定義了該生成漏洞檢測參數(shù)遺傳算法的實現(xiàn)����,首先需要實現(xiàn)從表現(xiàn)到基因 型的映射,即編碼工作���。而后遺傳算法工作于參數(shù)的編碼而非參數(shù)本身�����。本發(fā)明根據(jù)跨 站點腳本漏洞的檢測參數(shù)集和通用參數(shù)拼接形式進(jìn)行編碼��,其中每個基因包括14位����,前2 位代表可能出現(xiàn)在Web頁面中的位置�,00,01��,10��,11分別代表頁面的HTML注釋�,INPUT元 素,<script></script>塊結(jié)構(gòu)及〈bodyX/body〉塊結(jié)構(gòu)���;中間2位代表腳本注入點�����,其中 腳本注入點僅有三處�,故假設(shè)只使用00�,01,10代表Text���,TextArea和Password三個可 注入控件��,編碼11則代表不使用控件��;后10位代表攻擊所需的特殊符號形式�����,不同組合 分別對應(yīng)可能采取的不同特殊符號組合�����,位數(shù)設(shè)定為10位為了方便的后續(xù)擴(kuò)展����。如編碼 11000000000001代表在<body>塊中的Text控件中使用“一>”符號作為參數(shù)形成跨站點腳 本攻擊�����,即插入 “一><script>alert( ‘XSS Attack !����,)〈/script〉” 代碼。編碼后 10 位組
合所對應(yīng)的符號參數(shù)形式如表1所示�。 表1基因編碼后10位組合對應(yīng)的符號參數(shù)形式3.交叉操作本發(fā)明定義了針對二進(jìn)制基因編碼的交叉操作。將被選中的兩個個體的基因編碼 進(jìn)行交叉操作��,生成兩個新的個體�。根據(jù)對XSS跨站點腳本參數(shù)編碼方式的研究,本發(fā)明采 用的交叉算子為均勻交叉���,即在該編碼方式的三個參數(shù)段上��,對每個參數(shù)位串進(jìn)行單點交 叉�����,可以在增加交叉點的同時保證交叉點可以均勻地落在每個參數(shù)的位串上����,如圖1所示��。4.變異操作本發(fā)明定義了針對二進(jìn)制基因編碼的變異操作,通過使用變異算子將新個體的基 因編碼的各位按概率Pm進(jìn)行變異���,對于二進(jìn)制表示的基因編碼是對基因編碼的變異位的 值取反�����。考慮到在XSS跨站點腳本攻擊所使用的參數(shù)集大小適中��,并且參數(shù)相對確定的特 點�����,本發(fā)明采用的變異概率為Pm = 0. 9%��。5.定義模擬攻擊操作本發(fā)明對于自動生成跨站點腳本漏洞檢測參數(shù)的方法實現(xiàn)��,定義了其模擬攻擊操 作�����。通過對本發(fā)明的步驟1�����、步驟2、步驟3定義的方法得到了 XSS跨站點腳本攻擊所需要 的基因編碼后�����,利用本發(fā)明步驟2定義的編碼策略對該基因編碼符合HTML語法規(guī)則并且可 以在實際操作中使用的基因編碼進(jìn)行解碼����,可以得出XSS攻擊位置及具體攻擊內(nèi)容,并拼 接得到攻擊參數(shù)��,利用該攻擊參數(shù)進(jìn)行模擬攻擊操作���,保存模擬攻擊反饋結(jié)果作以供步驟5 定義的選擇操作使用�。6.選擇操作本發(fā)明定義了針對基因編碼的選擇操作�,方法是將每次模擬攻擊的反饋結(jié)果保 存,并判斷其攻擊是否有效果��,選擇在模擬攻擊操作中有效果的基因編碼中作為新的父代 基因編碼�,淘汰攻擊無效果的基因編碼。7.迭代算法本發(fā)明步驟6所述的迭代算法的實現(xiàn)方法是�,首先需要根據(jù)實際應(yīng)用的需要人工 設(shè)定迭代算法的迭代次數(shù),還需要根據(jù)實際需要和基礎(chǔ)參數(shù)集設(shè)定初代數(shù)據(jù)��,并通過編碼 策略將其轉(zhuǎn)化為二進(jìn)制表示的基因編碼,將該基因編碼作為第一次迭代的父代基因編碼����; 每次迭代的過程為,對父代基因編碼執(zhí)行步驟4定義的交叉操作和變異操作生成的其子代 基因編碼���,并通將這些基因編碼中符合HTML語法規(guī)則并且能夠在實際操作中使用的基因 編碼進(jìn)行解碼并拼接成攻擊參數(shù)����,然后對目標(biāo)站點進(jìn)行由步驟4定義的模擬攻擊操作����,保
6存模擬攻擊的反饋結(jié)果��,根據(jù)反饋結(jié)果判斷模擬攻擊是否有效��,再通過步驟5所定義的選 擇操作將模擬攻擊有效果的基因編碼作為下一次迭代的父代基因編碼����;通過上述迭代過程 循環(huán)生成新的父代和新的子代,當(dāng)算法迭代的次數(shù)達(dá)到程序開始時人工設(shè)定的值時��,算法 終止���;至迭代算法終止時��,在每次迭代過程中獲得的所有的子代基因編碼經(jīng)過解碼和拼接 得到的攻擊參數(shù)��,即為本發(fā)明方法所獲得的XSS跨站點腳本漏洞檢測參數(shù)�。本發(fā)明的優(yōu)點和積極效果本發(fā)明提出一種應(yīng)用遺傳算法自動生成XSS跨站點腳本漏洞檢測參數(shù)的方法,該 方法以遺傳算法為基礎(chǔ)�,對于跨站點腳本漏洞檢測參數(shù)的自動生成,設(shè)計了其參數(shù)集和編 碼解碼策略��、攻擊參數(shù)數(shù)據(jù)庫����,以及交叉造作、變異操作�、模擬攻擊操作和選擇操作。通過 遺傳算法可能生成出更多的可用數(shù)據(jù)���,改變了以往人為指定測試數(shù)據(jù)效率低覆蓋面小的缺 點����,可以使得數(shù)據(jù)生成得更快���,并且覆蓋面更廣���。因此�����,通過使用遺傳算法生成的測試數(shù)據(jù) 可以使得檢測范圍更大效率更高�����。
圖1為均勻交叉操作示意圖�。圖2為系統(tǒng)流程圖�。
具體實施方式圖2給出了本發(fā)明的算法流程,現(xiàn)結(jié)合本發(fā)明進(jìn)一步提供以下實施例根據(jù)本發(fā)明方法���,實現(xiàn)通過遺傳算法自動生成XSS跨站點腳本漏洞檢測參數(shù)的算 法還需要包括模擬攻擊系統(tǒng)���、攻擊參數(shù)數(shù)據(jù)庫以及模擬攻擊的目標(biāo)系統(tǒng)��,并根據(jù)最終需要 人工設(shè)定迭代次數(shù)為30次��,即循環(huán)的代數(shù)為30代����。其迭代算法的一次迭代過程如下所示。一、本發(fā)明方法的實現(xiàn)方法的迭代算法的一次迭代過程的第一部分為通過遺傳算 法生成檢測參數(shù)集��。首先對父代基因進(jìn)行二進(jìn)制編碼��,對表2所示父代基因數(shù)據(jù)進(jìn)行二進(jìn)制編碼����,根 據(jù)步驟1定義的在Web頁面中跨站點腳本漏洞檢測參數(shù)集和步驟2定義的編碼策略進(jìn)行編 碼,得到父代基因編碼�����。 表2對參數(shù)進(jìn)行編碼編碼后����,父代基因數(shù)據(jù)的二進(jìn)制編碼如表3所示。: 表3對參數(shù)進(jìn)行編碼接下來����,選擇父代基因編碼集合中適當(dāng)個體作為父個體以產(chǎn)生下一代,T2和T3數(shù) 據(jù)在實際中無法使用���,不符合編碼規(guī)則�����,所以在選擇操作中將其淘汰����。對父代基因編碼集合進(jìn)行交叉操作。使用Tl和T4作為父代���,將Tl和T4均勻交 叉生成T5和T6�,表4所示為Tl與T4交叉操作后的二進(jìn)制編碼T5和T6�����。 表4均勻交叉生成二代群體
父代基因編碼集合進(jìn)行概率為0. 009的變異操作����。將Tl和T4變異生成T7和T8, 表5所示的為Tl和T4經(jīng)過變 表格5變異生成二代結(jié)果二���、本發(fā)明方法的實現(xiàn)方法的迭代算法的一次迭代過程的第二部分為模擬XSS跨 站點腳本攻擊�����。對生成的后代參數(shù)進(jìn)行解碼操作,判斷出第二代基因編碼生成的測試數(shù)據(jù)的可用 性�。根據(jù)編碼策略�、HTML語法規(guī)則和實際可用性確定生成的測試數(shù)據(jù)T5���、T6���、T7、T8均可使用�。根據(jù)可用測試數(shù)據(jù)Τ5、Τ6��、Τ7����、Τ8,從攻擊參數(shù)數(shù)據(jù)庫中選擇出具體的攻擊數(shù)據(jù)�, 得到XSS跨站點腳步攻擊所需的內(nèi)容,HTML注入點及注入內(nèi)容��,將這些參數(shù)按照{(diào)C} {A} alert ( “XSS”){B}的形式�、編碼策略以及表1的參數(shù)對應(yīng)形式進(jìn)行拼接,拼接后的形式如 表6所示���。 表6攻擊參數(shù)拼接結(jié)果將拼接后的攻擊參數(shù)通過模擬攻擊系統(tǒng)�,對目標(biāo)系統(tǒng)進(jìn)行模擬XSS跨站點腳本攻
擊ο將模擬攻擊的結(jié)果返回�����,如表7所示,作為選擇操作的篩選條件��,從二代群體中選 出優(yōu)良個體作為新的父代�。 表7模擬攻擊反饋結(jié)果對本實施例的反饋結(jié)果進(jìn)行判斷,并進(jìn)行選擇操作����,T5、T7和T8為模擬攻擊有效 個體�,作為新的父代基因編碼。本次迭代過程至此結(jié)束���。將新的父代基因編碼T5��、T7和Τ8作為下一次迭代過程的父代基因編碼���,重復(fù)執(zhí)行 本迭代算法的一次迭代過程的第一部分及第二部分,循環(huán)生成更多測試數(shù)據(jù)����。當(dāng)?shù)拇?數(shù)達(dá)到30次時,應(yīng)用遺傳算法自動生成XSS跨站點腳本漏洞檢測參數(shù)的迭代算法停止。至 迭代算法終止時��,在每次迭代過程中獲得的所有的子代基因編碼經(jīng)過解碼和拼接得到的攻 擊參數(shù)�����,如表6所示�,即為本發(fā)明方法所獲得的XSS跨站點腳本漏洞檢測參數(shù)�����。
權(quán)利要求
一種應(yīng)用遺傳算法自動生成XSS跨站點腳本漏洞檢測參數(shù)的方法�,其特征在于包括以下步驟步驟1、根據(jù)XSS跨站點腳本漏洞的產(chǎn)生規(guī)則��,定義本發(fā)明所述方法的基礎(chǔ)參數(shù)集����;步驟2、定義生成XSS跨站點腳本漏洞檢測參數(shù)的遺傳算法的基因編碼策略���,該基因編碼策略用于生成基因編碼���;步驟3、定義生成XSS跨站點腳本漏洞檢測參數(shù)的遺傳算法的交叉操作和變異操作����,對父代基因編碼執(zhí)行交叉���、變異操作生成子代基因編碼;步驟4�、定義生成XSS跨站點腳本漏洞檢測參數(shù)的遺傳算法的模擬攻擊操作;步驟5���、定義生成XSS跨站點腳本漏洞檢測參數(shù)的遺傳算法的選擇操作���,用于選擇出新的父代基因編碼;步驟6��、對于應(yīng)用遺傳算法自動生成XSS跨站點腳本漏洞檢測參數(shù)的方法����,定義該方法的迭代算法,至迭代算法終止即可獲得XSS跨站點腳本漏洞檢測參數(shù)��。
2.根據(jù)權(quán)利要求1所述的方法�����,其特征在于步驟1所定義的本發(fā)明所述方法的基礎(chǔ)參 數(shù)集,其包括(1)����、三處Web頁面注入點,即Text����,TextArea和Password三個HTML內(nèi)部控件�����;(2)�����、本方法掃描漏洞的四個位置����,即Web頁面的HTML注釋中,INPUT元素中�, <scriptX/script>塊結(jié)構(gòu)中及<body></body>塊結(jié)構(gòu)中,其標(biāo)記點包括“<html>”����,“</ html>”、“〈script〉”,“〈/script〉��,�,、“〈input”�����,“</form>�,,�、“<TextAre>”,“</TextArea>���,����,�����;(3)��、參數(shù)中插入的惡意代碼���,主要是JavaScript代碼����,其中主要包括可產(chǎn)生跨站點腳 本漏洞的特殊字符“ ’”、“〉”和“�;”;(4)����、跨站點腳本漏洞參數(shù)的通用形式�����,為{C}{A} alert ( iXSS attack ��!�,) {B},其中集 合{A} {B}代表跨站點腳本插入點的標(biāo)記對�����,主要包括“<SCript>”���,“</SCript>”�����、“Style = "background url (javascript ”����,“) ””、“</TextAreaXscript>”�,“〈/script〉”和“ ”,“���,���,;集 合{C}代表可選的特殊符號集合�����,在<html></html>塊中的特殊符號集合為Cl = {“-->”�、 “>,>��,����,�����、“> “>���,,���、“> “�,>”}���,在〈script〉塊中的特殊符號集合為 C2 = { “,�����;�����,�,、““ �;����,���,}���。
3.根據(jù)權(quán)利要求1所述的方法,其特征在于步驟2定義的跨站點腳本漏洞檢測參數(shù)遺 傳算法的基因編碼策略�����,其中每個基因編碼分為三個參數(shù)段��,包括14位����;前2位是第一個 參數(shù)段,代表漏洞可能出現(xiàn)在Web頁面中的位置���,00��,01�����,10�,11分別代表頁面的HTML注釋, INPUT元素��,<script></script>塊結(jié)構(gòu)及<body></body>塊結(jié)構(gòu)�����;第3位和第4位是第二 個參數(shù)段���,代表腳本注入點�,使用00��,01����,10代表Text�,TextArea和Password三個可注入控 件,編碼11則代表不使用控件��;后10位是第三個參數(shù)段��,代表攻擊所需的特殊符號形式��,不 同組合分別對應(yīng)可能采取的不同特殊符號組合,位數(shù)設(shè)定為10位為了方便的后續(xù)擴(kuò)展�;使 用步驟2定義的跨站點腳本漏洞檢測參數(shù)遺傳算法基因編碼策略對步驟1定義的跨站點漏 洞檢測參數(shù)集進(jìn)行編碼得到生成XSS跨站點腳本漏洞檢測參數(shù)的遺傳算法的基因編碼。
4.根據(jù)權(quán)利要求1所述的方法��,其特征在于步驟3所述的交叉操作��,該操作采用的交叉 算子為均勻交叉���,即在步驟2所述的該基因編碼的三個參數(shù)段上��,對每個參數(shù)位串進(jìn)行單 點交叉��,可以在增加交叉點的同時保證交叉點可以均勻地落在每個參數(shù)的位串上��;所述的 基因編碼的變異操作通過使用變異算子����,將父代基因編碼的各位按P = 0.9%的概率進(jìn)行 變異�����,變異是指對這種用二進(jìn)制表示的基因編碼需的變異位數(shù)值取反����;對父代基因編碼進(jìn)行交叉操作和變異操作得到子代基因編碼��。
5.根據(jù)權(quán)利要求1所述的方法�����,其特征在于步驟4所定義的模擬攻擊操作���,該操作是將 步驟3所述的經(jīng)過對父代基因進(jìn)行交叉操作和變異操作得到的子代基因編碼中符合HTML 語法規(guī)則并且能夠在實際操作中使用的基因編碼按照步驟2所定義的編碼規(guī)則進(jìn)行解碼, 將解碼得到的數(shù)據(jù)拼接為攻擊參數(shù)�����,使用拼接的攻擊參數(shù)對目標(biāo)網(wǎng)站進(jìn)行實際的跨站點腳 本攻擊�����,并保存反饋結(jié)果�,通過反饋結(jié)果判斷攻擊是否有效果。
6.根據(jù)權(quán)利要求1所述的方法��,其特征在于步驟5所述的選擇操作��,該操作是通過步 驟4所述的模擬攻擊操作的反饋結(jié)果判斷出模擬攻擊是否有效果����,保留在模擬攻擊中有攻 擊效果的基因編碼作為新的父代基因編碼,淘汰無攻擊效果的基因編碼����。
7.根據(jù)權(quán)利要求1所述的方法,其特征在于步驟6定義的本發(fā)明所述方法的迭代算法��, 首先需要根據(jù)實際應(yīng)用的需要人工設(shè)定迭代算法的迭代次數(shù)�����,還需要根據(jù)實際需要和基礎(chǔ) 參數(shù)集設(shè)定初代數(shù)據(jù)��,并通過編碼策略將其轉(zhuǎn)化為二進(jìn)制表示的基因編碼��,將該基因編碼 作為第一次迭代的父代基因編碼����;每次迭代的過程為,對父代基因編碼執(zhí)行步驟4定義的 交叉操作和變異操作生成的其子代基因編碼���,并通將這些基因編碼中符合HTML語法規(guī)則 并且能夠在實際操作中使用的基因編碼進(jìn)行解碼并拼接成攻擊參數(shù)�����,然后對目標(biāo)站點進(jìn)行 由步驟4定義的模擬攻擊操作��,保存模擬攻擊的反饋結(jié)果���,根據(jù)反饋結(jié)果判斷模擬攻擊是 否有效�,再通過步驟5所定義的選擇操作將模擬攻擊有效果的基因編碼作為下一次迭代的 父代基因編碼����;通過上述迭代過程循環(huán)生成新的父代和新的子代,當(dāng)算法迭代的次數(shù)達(dá)到 程序開始時人工設(shè)定的值時�,算法終止;至迭代算法終止時��,在每次迭代過程中獲得的所有 的子代基因編碼經(jīng)過解碼和拼接得到的攻擊參數(shù)����,即為本發(fā)明方法所獲得的XSS跨站點腳 本漏洞檢測參數(shù)。
全文摘要
一種應(yīng)用遺傳算法自動生成XSS跨站點腳本漏洞檢測參數(shù)的方法�����,該方法設(shè)計了一套檢測參數(shù)集����、編碼解碼策略和攻擊參數(shù)數(shù)據(jù)庫����,使用了遺傳算法的交叉�、變異�����、選擇操作�,以及設(shè)計了其模擬攻擊操作,并按照跨站點腳本漏洞的參數(shù)規(guī)則和遺傳算法的原理實現(xiàn)其算法��。再通過模擬攻擊操作的反饋結(jié)果和基因編碼策略不斷生成新的父代與子代��,循環(huán)執(zhí)行算法直到達(dá)到預(yù)期的代數(shù)����。本發(fā)明的這種應(yīng)用遺傳算法自動生成XSS跨站點腳本漏洞檢測參數(shù)的方法是可信和完備的,它覆蓋面廣�����,執(zhí)行速度塊����,可用于自動生成跨站點腳本漏洞檢測參數(shù)領(lǐng)域����。
文檔編號G06N3/12GK101894237SQ20101024279
公開日2010年11月24日 申請日期2010年8月3日 優(yōu)先權(quán)日2010年8月3日
發(fā)明者劉磊, 張瑩, 田偉, 練坤梅, 許靜 申請人:南開大學(xué)