云環(huán)境下基于模糊聚類的XSS攻擊檢測(cè)機(jī)制研究.pdf

1、由于互聯(lián)網(wǎng)上網(wǎng)頁(yè)資源的急速增長(zhǎng)，越來(lái)越多的網(wǎng)站系統(tǒng)使用客戶端腳本語(yǔ)言來(lái)增強(qiáng)用戶體驗(yàn)?？蛻舳四_本語(yǔ)言通常和HTML文件綁定在一起，用來(lái)向服務(wù)器端發(fā)送請(qǐng)求和響應(yīng)請(qǐng)求。通過(guò)使用腳本語(yǔ)言，服務(wù)器和用戶端之間的交互性得到了極大的提高。然而，客戶端腳本語(yǔ)言在增強(qiáng)網(wǎng)站系統(tǒng)交互性的同時(shí)，也產(chǎn)生了許多安全問(wèn)題。在眾多的安全問(wèn)題中，跨站點(diǎn)腳本攻擊（Cross site script, XSS attacks）是危險(xiǎn)性最高的攻擊之一?？缯军c(diǎn)腳本攻擊是一種常見(jiàn)

2、的攻擊手段。通過(guò)該攻擊手段，黑客將包含惡意攻擊代碼的公開數(shù)據(jù)發(fā)送并植入到應(yīng)用系統(tǒng)中，因此對(duì)網(wǎng)站系統(tǒng)帶來(lái)嚴(yán)重的安全隱患。當(dāng)用戶訪問(wèn)這些數(shù)據(jù)后，惡意代碼就會(huì)被下載到用戶的瀏覽器中并得到執(zhí)行，私有，敏感以及個(gè)人數(shù)據(jù)因此就會(huì)被泄露。傳統(tǒng)的檢測(cè)方法雖然能夠有效的阻止跨站點(diǎn)腳本攻擊，但是這些方法本身也存在不足，例如，查看應(yīng)用程序源碼，修改用戶瀏覽器或者應(yīng)用程序源碼。
　　云計(jì)算（Cloud computing）利用便捷、無(wú)處不在的互聯(lián)網(wǎng)資源，

3、將共享的硬件資源和信息可以按照需求分配給其他用戶使用。目前，很多公司致力發(fā)展云計(jì)算技術(shù)，并將應(yīng)用系統(tǒng)部署到云環(huán)境中。然而，跨站點(diǎn)腳本攻擊并沒(méi)有因?yàn)閼?yīng)用系統(tǒng)的運(yùn)行環(huán)境改變而消失，反之，在云環(huán)境下，跨站點(diǎn)腳本攻擊會(huì)產(chǎn)生更為嚴(yán)重的安全問(wèn)題。由于傳統(tǒng)的跨站點(diǎn)腳本攻擊檢測(cè)方法存在一些缺陷，不能直接應(yīng)用在云環(huán)境下，主要原因在于：
　　一、用戶根據(jù)自身喜好選擇所使用的瀏覽器，強(qiáng)迫用戶使用特定的瀏覽器不符合用戶自身的利益。
　　二、云環(huán)境對(duì)

4、應(yīng)用系統(tǒng)進(jìn)行相應(yīng)的安全保證，不能隨意修改應(yīng)用程序或者瀏覽應(yīng)用程序的源碼。所以，修改瀏覽器和應(yīng)用程序源碼的方案在云環(huán)境下是不可行的。
　　因此，我們需要提出一種新形態(tài)的檢測(cè)機(jī)制，不僅適合使用在云環(huán)境下，同時(shí)也能夠避免傳統(tǒng)檢測(cè)方法的不足和缺陷。
　　在本論文中，我們提出了一個(gè)適合使用在云環(huán)境下的跨站點(diǎn)腳本攻擊檢測(cè)機(jī)制(Preventing XSS attacks framework based on fuzzy clusteri