شماره ركورد كنفرانس :
5412
عنوان مقاله :
پيشگيري ازXSSبه وسيلهي يادگيري ماشين با توجه به ويژگي Esoteric زبان جاوااسكريپت
عنوان به زبان ديگر :
Cross-Site Scripting Prevention Using Machine Learning Regarding the JavaScript Esoteric Paradigm
پديدآورندگان :
صفري علي a.safari@cse.shirazu.ac.ir دانشجوي ارشد مهندسي كامپيوتر، دانشكده برق و كامپيوتر، دانشگاه شيراز، شيراز , معنوي فرنوش f.manavi@cse.shirazu.ac.ir دانشجوي دكتري مهندسي كامپيوتر، دانشكده برق و كامپيوتر، دانشگاه شيراز، شيراز , حمزه علي ali@cse.shirazu.ac.ir استاد، دانشكده برق و كامپيوتر، دانشگاه شيراز، شيراز
كليدواژه :
جاوا اسكريپت , لينكهاي مخرب , مرورگر , يادگيري ماشين , XSS(Cross-Site Scripting)
عنوان كنفرانس :
نهمين كنفرانس بين المللي وب پژوهي
چكيده فارسي :
امروزه، ميلياردها كاربر، در فضاي گسترده و درهمتنيده اينترنت مشغول به رد و بدل اطلاعات با سرعتي بيسابقه و با نرخي افزايشي هستند. از طرف ديگر مهاجمها نيز، در اين فضا، دست به برنامهريزي تهديدهاي گوناگون ميزنند. اين مسائل دست به دست يكديگر دادهاند كه جلوگيري از اين آسيبها و يا كاهش آنها، هر روز داراي اهميت بيشتري شود. يكي از پرتكرارترين حملات شناختهشده در سطح وب، حملهيXSS است كه مهاجم از طريق آن با تزريق اسكريپتهاي مخرب در وبسايت، تلاش به دزديدن اطلاعات مهم كاربر ميكند. ضعف روشهاي قبلي شناسايي حملات XSS مبتني بر يادگيري ماشين، در تلاش آنها براي تشخيص المانهاي مشكوك بدون توجه به تغيير شكل ممكن در كاراكترهاي مؤلفه مخرب يا به بيان ديگر كدگذاري خاص است و اين باعث كاهش دقت اين روشها ميشود. روشي كه در اين مقاله ارائه شده است به وسيلهي يك الگوريتم كه توانايي برگردان نوعي از مبهمسازي، يا در موضوع ما همان كدگذاري كمتر شناختهشده، در مؤلفه مخرب را دارد باعث افزايش دقت تشخيص شده و دقت مدل تشخيص بر روي ديتاست XSSED را به بالاي 98 درصد ميرساند.
چكيده لاتين :
In recent years, billions of users are exchanging information at an increasing rate in the vast and interconnected world of the Internet. On the other hand, attackers keep planning various threats in this environment. As a result of these issues, it has become more and more critical to prevent or reduce vulnerabilities. Cross Site Scripting is a well-known vulnerability on the web through which an intruder tries to steal users’ vital information or induce malicious activities on behalf of the user. The weakness of the previous methods of detecting XSS attacks based on machine learning lies in not taking the possible changes in the characters of the attack vector into account, or in other words, special encodings, and this reduces the accuracy of these methods. The method presented in this article utilizes an algorithm that translates a kind of obfuscation in the attack vector that increases the accuracy of the detection model on the XSSED dataset to over 98%.
