本文關(guān)鍵詞：基于遺傳算法和Fuzzing技術(shù)的Web應(yīng)用漏洞挖掘研究

  更多相關(guān)文章： Web應(yīng)用 漏洞挖掘 Fuzzing技術(shù) 遺傳算法 模塊

【摘要】：隨著互聯(lián)網(wǎng)的發(fā)展,基于B/S架構(gòu)的Web應(yīng)用系統(tǒng)逐漸取代了傳統(tǒng)的基于C/S架構(gòu)的應(yīng)用系統(tǒng),網(wǎng)絡(luò)用戶的很多個(gè)人隱私信息都通過(guò)Web應(yīng)用進(jìn)行傳輸和處理,這使得Web應(yīng)用成為網(wǎng)絡(luò)攻擊的重災(zāi)區(qū)。因而,建立一套高效、準(zhǔn)確的Web應(yīng)用漏洞挖掘機(jī)制,及時(shí)發(fā)現(xiàn)目標(biāo)系統(tǒng)中的安全問(wèn)題,從而減少目標(biāo)系統(tǒng)被惡意攻擊的可能,就具有十分重要的理論意義和實(shí)用價(jià)值。首先,本文在比較了傳統(tǒng)的白盒、黑盒和灰盒測(cè)試技術(shù)的基礎(chǔ)上,分析研究了Fuzzing技術(shù)的基本原理、基本測(cè)試流程及其涉及的核心技術(shù)。同時(shí),針對(duì)Web應(yīng)用漏洞挖掘的特點(diǎn),分析并介紹了常見(jiàn)的Web應(yīng)用安全漏洞的基本原理。其次,針對(duì)Fuzzing技術(shù)存在的較大盲目性,通過(guò)引入遺傳算法來(lái)優(yōu)化We b應(yīng)用漏洞挖掘的測(cè)試數(shù)據(jù),提高測(cè)試數(shù)據(jù)的質(zhì)量,降低其隨機(jī)性,以此提高漏洞挖掘的效率。主要的研究?jī)?nèi)容包括:設(shè)計(jì)了基于漏洞特征集的適應(yīng)度函數(shù),針對(duì)Web漏洞挖掘測(cè)試用例的特殊性優(yōu)化了傳統(tǒng)的兩點(diǎn)交叉算法和基本位變異算法。最后,設(shè)計(jì)了基于遺傳算法的Web應(yīng)用模糊測(cè)試器(Web Fuzzer Based on G enetic Algorithm,WFBGA),該模糊測(cè)試器主要包括:輸入向量構(gòu)造模塊、模糊測(cè)試數(shù)據(jù)生成模塊、遺傳優(yōu)化模塊、測(cè)試數(shù)據(jù)執(zhí)行模塊和異常檢測(cè)模塊,并基于開(kāi)源Web模糊測(cè)試器WebFuzz實(shí)現(xiàn)了WFBGA的主程序,基于Python語(yǔ)言實(shí)現(xiàn)了WFBGA的遺傳優(yōu)化模塊。其中,輸入向量構(gòu)造模塊用于產(chǎn)生模糊測(cè)試的輸入變量集合;在測(cè)試數(shù)據(jù)生成模塊中,則設(shè)計(jì)了探索式和啟發(fā)式兩種測(cè)試數(shù)據(jù)生成方式;遺傳優(yōu)化模塊則主要完成對(duì)初始測(cè)試數(shù)據(jù)的優(yōu)化;測(cè)試數(shù)據(jù)執(zhí)行模塊主要完成了測(cè)試數(shù)據(jù)的封裝與發(fā)送;異常檢測(cè)模塊則主要完成的是對(duì)服務(wù)器返回結(jié)果的分析與記錄。實(shí)驗(yàn)結(jié)果表明WFBGA在注入型漏洞、XSS和CSRF上的挖掘性能要較優(yōu)于WebFuzz和SPIKE等開(kāi)源模糊測(cè)試器。但WFBGA在安全配置錯(cuò)誤和未加密傳輸?shù)嚷┒搭愋蜕系耐诰蛐阅苓�有待改善。
【關(guān)鍵詞】：Web應(yīng)用 漏洞挖掘 Fuzzing技術(shù) 遺傳算法 模塊
【學(xué)位授予單位】：貴州師范大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2016
【分類號(hào)】：TP393.08
【目錄】：

• 摘要2-3
• Abstract3-7
• 第一章 緒論7-11
• 1.1 課題背景及研究意義7-8
• 1.2 國(guó)內(nèi)外研究現(xiàn)狀8-9
• 1.3 本文的主要研究工作9
• 1.4 論文的基本結(jié)構(gòu)和章節(jié)安排9-11
• 第二章 漏洞挖掘和Web應(yīng)用漏洞11-25
• 2.1 漏洞挖掘11-14
• 2.1.1 白盒測(cè)試12-13
• 2.1.2 黑盒測(cè)試13
• 2.1.3 灰盒測(cè)試13-14
• 2.2 Fuzzing技術(shù)14-18
• 2.2.1 Fuzzing的定義14-15
• 2.2.2 Fuzzing的基本步驟15-17
• 2.2.3 模糊數(shù)據(jù)生成方式17
• 2.2.4 模糊測(cè)試器的分類17-18
• 2.3 常見(jiàn)Web安全漏洞18-24
• 2.3.1 Sql注入18-20
• 2.3.2 跨站腳本漏洞20
• 2.3.3 跨站請(qǐng)求偽造20-21
• 2.3.4 代碼注入21-22
• 2.3.5 LDAP注入22-24
• 2.4 本章小結(jié)24-25
• 第三章 遺傳算法25-33
• 3.1 遺傳算法基本流程25-26
• 3.2 基因編碼26-28
• 3.3 適應(yīng)度函數(shù)28-30
• 3.4 遺傳操作30-32
• 3.4.1 選擇算子30-31
• 3.4.2 交叉算子31-32
• 3.4.3 變異算子32
• 3.5 本章小結(jié)32-33
• 第四章 基于遺傳算法的Web應(yīng)用模糊測(cè)試器設(shè)計(jì)33-44
• 4.1 模糊測(cè)試器基本組成33
• 4.2 輸入向量構(gòu)造模塊33-35
• 4.3 模糊測(cè)試數(shù)據(jù)生成模塊35-36
• 4.4 測(cè)試數(shù)據(jù)遺傳優(yōu)化模塊36-40
• 4.5 測(cè)試數(shù)據(jù)執(zhí)行模塊40-42
• 4.6 異常檢測(cè)模塊42-43
• 4.7 本章小結(jié)43-44
• 第五章 實(shí)驗(yàn)及結(jié)果分析44-54
• 5.1 實(shí)驗(yàn)過(guò)程44-47
• 5.1.1 實(shí)驗(yàn)環(huán)境44
• 5.1.2 實(shí)驗(yàn)參數(shù)44-46
• 5.1.3 實(shí)驗(yàn)流程46-47
• 5.2 實(shí)驗(yàn)數(shù)據(jù)分析47-53
• 5.2.1 初始測(cè)試數(shù)據(jù)集47-48
• 5.2.2 遺傳參數(shù)確定48-50
• 5.2.3 遺傳優(yōu)化結(jié)果50-51
• 5.2.4 漏洞挖掘結(jié)果51-53
• 5.3 本章小結(jié)53-54
• 第六章 總結(jié)與展望54-55
• 參考文獻(xiàn)55-59
• 研究生期間發(fā)表的論文和參與的項(xiàng)目59-60
• 致謝60-61

【相似文獻(xiàn)】

中國(guó)期刊全文數(shù)據(jù)庫(kù) 前10條

1 吳瑞鏞,徐大紋;具有年齡結(jié)構(gòu)的遺傳算法[J];桂林電子工業(yè)學(xué)院學(xué)報(bào);2001年04期

2 楊艷麗,史維祥;一種新的優(yōu)化算法—遺傳算法的設(shè)計(jì)[J];液壓氣動(dòng)與密封;2001年02期

3 楊宜康,李雪,彭勤科,黃永宣;具有年齡結(jié)構(gòu)的遺傳算法[J];計(jì)算機(jī)工程與應(yīng)用;2002年11期

4 谷峰,吳勇,唐俊;遺傳算法的改進(jìn)[J];微機(jī)發(fā)展;2003年06期

5 ;遺傳算法[J];計(jì)算機(jī)教育;2004年10期

6 趙義紅,李正文,何其四;生物信息處理系統(tǒng)遺傳算法探討[J];成都理工大學(xué)學(xué)報(bào)(自然科學(xué)版);2004年05期

7 劉坤,劉偉波,吳忠強(qiáng);基于模糊遺傳算法的電液位置伺服系統(tǒng)控制[J];黑龍江科技學(xué)院學(xué)報(bào);2005年04期

8 張英俐,劉弘 ,馬金剛;遺傳算法作曲系統(tǒng)研究[J];信息技術(shù)與信息化;2005年05期

9 丁發(fā)智;;淺談遺傳算法[J];烏魯木齊成人教育學(xué)院學(xué)報(bào);2005年04期

10 李冰潔;;遺傳算法及其應(yīng)用實(shí)例[J];吉林工程技術(shù)師范學(xué)院學(xué)報(bào);2005年12期

中國(guó)重要會(huì)議論文全文數(shù)據(jù)庫(kù) 前10條

1 陳家照;廖海濤;張中位;羅寅生;;一種改進(jìn)的遺傳算法及其在路徑規(guī)劃中的應(yīng)用[A];2009系統(tǒng)仿真技術(shù)及其應(yīng)用學(xué)術(shù)會(huì)議論文集[C];2009年

2 李國(guó)云;劉穎;薛梅;鄔志敏;;遺傳算法在高溫空冷冷凝器優(yōu)化設(shè)計(jì)中的應(yīng)用[A];第五屆全國(guó)制冷空調(diào)新技術(shù)研討會(huì)論文集[C];2008年

3 王志軍;李守春;張爽;;改進(jìn)的遺傳算法在反演問(wèn)題中的應(yīng)用[A];新世紀(jì) 新機(jī)遇 新挑戰(zhàn)——知識(shí)創(chuàng)新和高新技術(shù)產(chǎn)業(yè)發(fā)展（上冊(cè)）[C];2001年

4 任燕翔;姜立;劉連民;從滋慶;;改進(jìn)遺傳算法在三維日照方案優(yōu)化中的應(yīng)用[A];工程三維模型與虛擬現(xiàn)實(shí)表現(xiàn)——第二屆工程建設(shè)計(jì)算機(jī)應(yīng)用創(chuàng)新論壇論文集[C];2009年

5 韓娟;;遺傳算法概述[A];第三屆河南省汽車工程科技學(xué)術(shù)研討會(huì)論文集[C];2006年

6 龐國(guó)仲;王元西;;基于遺傳算法控制步長(zhǎng)的定性仿真方法[A];'2000系統(tǒng)仿真技術(shù)及其應(yīng)用學(xué)術(shù)交流會(huì)論文集[C];2000年

7 張忠華;楊淑瑩;;基于遺傳算法的聚類設(shè)計(jì)[A];全國(guó)第二屆信號(hào)處理與應(yīng)用學(xué)術(shù)會(huì)議�？痆C];2008年

8 何翠紅;區(qū)益善;;遺傳算法及其在計(jì)算機(jī)編程中的應(yīng)用[A];1995年中國(guó)智能自動(dòng)化學(xué)術(shù)會(huì)議暨智能自動(dòng)化專業(yè)委員會(huì)成立大會(huì)論文集（下冊(cè)）[C];1995年

9 靳開(kāi)巖;張乃堯;;幾種實(shí)用遺傳算法及其比較[A];1996年中國(guó)智能自動(dòng)化學(xué)術(shù)會(huì)議論文集（下冊(cè)）[C];1996年

10 王宏剛;曾建潮;李志宏;;攝動(dòng)遺傳算法[A];1996年中國(guó)智能自動(dòng)化學(xué)術(shù)會(huì)議論文集（下冊(cè)）[C];1996年

中國(guó)重要報(bào)紙全文數(shù)據(jù)庫(kù) 前1條

1 林京;《神經(jīng)網(wǎng)絡(luò)和遺傳算法在水科學(xué)領(lǐng)域的應(yīng)用》將面市[N];中國(guó)水利報(bào);2002年

中國(guó)博士學(xué)位論文全文數(shù)據(jù)庫(kù) 前10條

1 蔡美菊;交互式遺傳算法及其在隱性目標(biāo)決策問(wèn)題中的應(yīng)用研究[D];合肥工業(yè)大學(xué);2015年

2 張士偉;三維聲學(xué)快速多極基本解法在機(jī)械噪聲預(yù)測(cè)中的應(yīng)用研究[D];沈陽(yáng)工業(yè)大學(xué);2016年

3 高軍;無(wú)鉛焊料本構(gòu)模型及其參數(shù)識(shí)別方法研究[D];南京航空航天大學(xué);2015年

4 Amjad Mahmood;半監(jiān)督進(jìn)化集成及其在網(wǎng)絡(luò)視頻分類中的應(yīng)用[D];西南交通大學(xué);2015年

5 周輝仁;遞階遺傳算法理論及其應(yīng)用研究[D];天津大學(xué);2008年

6 郝國(guó)生;交互式遺傳算法中用戶的認(rèn)知規(guī)律及其應(yīng)用[D];中國(guó)礦業(yè)大學(xué);2009年

7 侯格賢;遺傳算法及其在跟蹤系統(tǒng)中的應(yīng)用研究[D];西安電子科技大學(xué);1998年

8 馬國(guó)田;遺傳算法及其在電磁工程中的應(yīng)用[D];西安電子科技大學(xué);1998年

9 唐文艷;結(jié)構(gòu)優(yōu)化中的遺傳算法研究和應(yīng)用[D];大連理工大學(xué);2002年

10 周激流;遺傳算法理論及其在水問(wèn)題中應(yīng)用的研究[D];四川大學(xué);2000年

中國(guó)碩士學(xué)位論文全文數(shù)據(jù)庫(kù) 前10條

1 張英俐;基于遺傳算法的作曲系統(tǒng)研究[D];山東師范大學(xué);2006年

2 鐘海萍;原對(duì)偶遺傳算法與蟻群算法的一種融合算法[D];暨南大學(xué);2013年

3 李志添;模糊遺傳算法與資源優(yōu)化配置的預(yù)測(cè)控制[D];華南理工大學(xué);2015年

4 王琳琳;新型雙層液壓轎運(yùn)車車廂的設(shè)計(jì)研究[D];上海工程技術(shù)大學(xué);2015年

5 李海全;基于遺傳算法的建筑體形系數(shù)及迎風(fēng)面積比優(yōu)化方法研究[D];華南理工大學(xué);2015年

6 彭騫;基于遺傳算法的山區(qū)高等級(jí)公路縱斷面智能優(yōu)化方法研究[D];昆明理工大學(xué);2015年

7 周玉林;基于小波分析和遺傳算法的配電網(wǎng)故障檢測(cè)[D];昆明理工大學(xué);2015年

8 郭頌;基于粗糙集和遺傳算法的數(shù)字管道生產(chǎn)管理系統(tǒng)研究[D];昆明理工大學(xué);2015年

9 吳南;數(shù)值逼近遺傳算法的研究應(yīng)用[D];華南理工大學(xué);2015年

10 于光帥;一類優(yōu)化算法的改進(jìn)研究與應(yīng)用[D];渤海大學(xué);2015年

，

本文編號(hào)：1093103