技术讨论 | 自动化Web渗透Payload提取技术

一个Web访问记录的成分是比较固定的，每个部分(方法、路径、参数、HTTP头、Cookie等)都有比较好的结构化特点。因此可以把Web攻击识别任务抽象为文本分类任务，而且这种思路应用在了安全领域，如有监督的攻击识别[1]、 XSS识别[2] 等。文本分类任务中常用的向量化手段有词袋模型(Bag of Word，BOW)、TF-IDF模型、词向量化(word2vec)等，兜哥的文章[3]已经做了详细的讲解。

经过对Web日志特点的分析，本文认为使用TF-IDF来对样本进行向量化效果更好。一是经过标准化后请求参数的值仍会有非常多的可能性，这种情况下词袋模型生成的特征向量长度会非常大，而且没法收缩;二是每个请求中参数个数有大有小，绝大多数不超过10个，这个时候词向量能表达的信息非常有限，并不能反映出参数value的异常性;三是TF-IDF可以表达出不同请求同一参数的值是否更有特异性，尤其是IDF项。

举个例子， http://ip.taobao.com/ipSearch.html?ipAddr=8.8.8.8 是一个查询IP详细信息的页面(真实存在)，在某一段时间内收到了10000个请求，其中9990个请求中ipAddr参数值是符合xx.xx.xx.xx这个IP的格式的，通过0×2中提到的标准化之后，也就是9990个请求的ipAddr参数为n+.n+.n+.n+ (当然这里做了简化，数字不一定为多位)。此外有10个请求的ipAddr是形如alert('XSS')、'or '1' = '1之类的不同的攻击Payload。

经过TF-IDF向量化后，那9900个请求ipAddr=n+.n+.n+.n+这一项的TF-IDF值：

TF-IDF normal = TF * IDF = 1 * log(10000/(9990+1)) = 0.001 

而出现ipAddr=alert('XSS')的请求的TF-IDF值：

TF-IDF abnormal = TF * IDF = 1 * log(10000/(1+1)) = 8.517 

可以看出异常请求参数value的TF-IDF是远大于正常请求的，因此TF-IDF可以很好地反映出参数value的异常程度。

（编辑：惠州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!