本文選題：SQL注入檢測(cè)　切入點(diǎn)：態(tài)勢(shì)評(píng)估　出處：《哈爾濱理工大學(xué)》2017年碩士論文

【摘要】：隨著企業(yè)互聯(lián)網(wǎng)業(yè)務(wù)的不斷發(fā)展,網(wǎng)絡(luò)安全問(wèn)題逐漸引起公眾的關(guān)注。而且隨著互聯(lián)網(wǎng)的普及、網(wǎng)絡(luò)設(shè)備的升級(jí)、帶寬的加大,網(wǎng)絡(luò)攻擊方式多樣化、頻率也有了很大的提升。SQL注入漏洞是當(dāng)前網(wǎng)絡(luò)應(yīng)用所面臨的最嚴(yán)峻的安全問(wèn)題,如果攻擊成功很可能引發(fā)系統(tǒng)淪陷問(wèn)題,由此可見(jiàn)對(duì)SQL注入漏洞檢測(cè)的研究有很重要的實(shí)際意義。目前市面雖然存在著大量SQL注入漏洞檢測(cè)工具,但是普遍存在檢測(cè)速度慢,誤報(bào)率高等問(wèn)題,而且當(dāng)產(chǎn)生的記錄攻擊日志成幾何級(jí)數(shù)般增長(zhǎng)時(shí),導(dǎo)致網(wǎng)絡(luò)管理員難以及時(shí)掌握網(wǎng)絡(luò)安全狀況,也就不能及時(shí)給出對(duì)應(yīng)方案。如果能實(shí)現(xiàn)對(duì)當(dāng)前網(wǎng)絡(luò)安全態(tài)勢(shì)的實(shí)時(shí)追蹤評(píng)估,網(wǎng)絡(luò)管理員就能依據(jù)評(píng)估結(jié)果盡快找到解決問(wèn)題的辦法。針對(duì)這些需求,本文設(shè)計(jì)了一種SQL注入漏洞的檢測(cè)工具,并將其與經(jīng)過(guò)改進(jìn)的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估系統(tǒng)相結(jié)合,以達(dá)到實(shí)時(shí)檢測(cè)、及時(shí)防御的目的。本文主要工作如下:首先分析了國(guó)內(nèi)外SQL注入檢測(cè)的研究現(xiàn)狀,結(jié)合項(xiàng)目實(shí)際需求,設(shè)計(jì)了一款檢測(cè)SQL注入攻擊的工具,該工具集成優(yōu)化的爬蟲技術(shù)、AES加密算法與漏洞驗(yàn)證機(jī)制等技術(shù)提高了掃描器的檢測(cè)精度和速度;其次分析了國(guó)內(nèi)外網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法的研究現(xiàn)狀,對(duì)傳統(tǒng)的隱Markov模型進(jìn)行改進(jìn),定義了狀態(tài)轉(zhuǎn)移矩陣初步生成的算法,通過(guò)對(duì)系統(tǒng)檢測(cè)數(shù)據(jù)的融合,從中提取觀測(cè)向量,生成網(wǎng)絡(luò)狀態(tài)轉(zhuǎn)移矩陣,并推導(dǎo)出隱含狀態(tài)概率分布序列求解過(guò)程;最后根據(jù)國(guó)際定義,運(yùn)用風(fēng)險(xiǎn)損失向量計(jì)算方法計(jì)算當(dāng)前網(wǎng)絡(luò)風(fēng)險(xiǎn)值,評(píng)估出整體安全態(tài)勢(shì)。最后運(yùn)用真實(shí)數(shù)據(jù)對(duì)該系統(tǒng)進(jìn)行驗(yàn)證,實(shí)驗(yàn)表明,該系統(tǒng)符合實(shí)際應(yīng)用,評(píng)估結(jié)果準(zhǔn)確有效。
[Abstract]:With the continuous development of the Internet business enterprise, the problem of network security has attracted public attention. But with the popularity of the Internet, network equipment upgrade, increase bandwidth, network attack frequency diversity, also greatly enhance the.SQL injection vulnerability is the most serious security issues currently facing the network application, if the attack is successful it may cause the system to fall, it has very important practical significance of the research on SQL injection vulnerability detection. At present the market although there are a large number of SQL injection vulnerability detection tools, but generally kept in slow detection speed and high false alarm rate, and when the attack logs record geometrically growth, leading to the network administrator it is difficult to grasp the situation of network security, it can not be given corresponding solutions. If you can achieve real-time tracking of the current network security situation The network administrator can evaluate, according to the evaluation results as soon as possible to find a solution to the problem. According to these requirements, this paper designs a SQL injection vulnerability detection tools, and combined with the network security situation assessment through the improvement of the system, in order to achieve the purpose of real-time detection and defense. The main work is as follows: firstly, analysis the research status at home and abroad to detect SQL injection, combined with the actual needs of the project, the design of a SQL injection attack detection tools, the tool crawler technology integration and optimization, AES encryption algorithm and vulnerability verification mechanism improves the accuracy and speed of detection scanner; secondly analyzes the research status quo of domestic and international network security situation assessment method the hidden Markov model to improve the traditional definition, the initial state transition matrix generation algorithm, through the integration of test data of the system, from the view of extraction Test vector generation network state transition matrix, and deduced the hidden state probability distribution sequence solving process; finally according to the definition, the use of risk loss vector method to calculate the current network risk value, evaluate the overall security situation. Finally the verification of the system of real data experiments show that the system meets the requirements of practical application, accurate and effective the results of the assessment.

【學(xué)位授予單位】：哈爾濱理工大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2017
【分類號(hào)】：TP393.08;TP311.52

【相似文獻(xiàn)】

相關(guān)期刊論文 前10條

1 李慶東,張文娟;網(wǎng)絡(luò)安全問(wèn)題研究[J];情報(bào)科學(xué);2000年08期

2 ;計(jì)算機(jī)網(wǎng)絡(luò)安全導(dǎo)論[J];工業(yè)控制計(jì)算機(jī);2000年04期

3 牛丹梅,洪毅,王軍;淺議網(wǎng)絡(luò)安全技術(shù)及管理[J];黑龍江水利科技;2000年02期

4 ;網(wǎng)絡(luò)安全技術(shù)[J];農(nóng)業(yè)信息探索;2000年02期

5 辛欣;認(rèn)識(shí)網(wǎng)絡(luò)安全──與3Com電子商務(wù)發(fā)展經(jīng)理的對(duì)話[J];市場(chǎng)與電腦;2000年08期

6 ;網(wǎng)絡(luò)安全,路在腳下[J];市場(chǎng)與電腦;2000年08期

7 陳永;上海加強(qiáng)網(wǎng)絡(luò)安全──“互聯(lián)網(wǎng)絡(luò)安全問(wèn)題與對(duì)策”研討會(huì)舉行[J];上海微型計(jì)算機(jī);2000年12期

8 徐晨;網(wǎng)絡(luò)安全 商機(jī)無(wú)限[J];上海微型計(jì)算機(jī);2000年34期

9 屠政;正有網(wǎng)絡(luò)公司開啟網(wǎng)絡(luò)安全之門[J];中國(guó)信息導(dǎo)報(bào);2000年09期

10 馮婷婷;網(wǎng)絡(luò)安全警句[J];軟件工程師;2000年08期

相關(guān)會(huì)議論文 前10條

1 李正男;吳亞非;丁志新;;計(jì)算機(jī)網(wǎng)絡(luò)安全概述[A];第六次全國(guó)計(jì)算機(jī)安全技術(shù)交流會(huì)論文集[C];1991年

2 劉小躍;馬建峰;;高等師范院校網(wǎng)絡(luò)安全課程教改新思路[A];Proceedings of 2011 National Teaching Seminar on Cryptography and Information Security(NTS-CIS 2011) Vol.1[C];2011年

3 劉勝利;劉楠;肖達(dá);劉龍;;網(wǎng)絡(luò)安全專業(yè)本科生創(chuàng)新能力培養(yǎng)研究與探索[A];Proceedings of 2011 National Teaching Seminar on Cryptography and Information Security(NTS-CIS 2011) Vol.1[C];2011年

4 陳紅松;;網(wǎng)絡(luò)安全課程中學(xué)生興趣的激發(fā)與培養(yǎng)[A];著力提高高等教育質(zhì)量，，努力增強(qiáng)高校創(chuàng)新與服務(wù)能力——北京市高等教育學(xué)會(huì)2007年學(xué)術(shù)年會(huì)論文集（上冊(cè)）[C];2008年

5 張軍;;網(wǎng)絡(luò)安全的形勢(shì)與對(duì)策[A];四川省通信學(xué)會(huì)2006年學(xué)術(shù)年會(huì)論文集（二）[C];2006年

6 ;積極推進(jìn)全球網(wǎng)絡(luò)安全[A];四川省通信學(xué)會(huì)2006年學(xué)術(shù)年會(huì)論文集（二）[C];2006年

7 洪婷;陳永定;;淺談圖書館網(wǎng)絡(luò)安全與對(duì)策[A];福建省圖書館學(xué)會(huì)2006年學(xué)術(shù)年會(huì)論文集[C];2006年

8 陳雯;;淺談圖書館網(wǎng)絡(luò)安全[A];福建省圖書館學(xué)會(huì)2007年學(xué)術(shù)年會(huì)論文集[C];2007年

9 李穎;;淺談網(wǎng)絡(luò)安全應(yīng)對(duì)策略[A];天津市電視技術(shù)研究會(huì)2012年年會(huì)論文集[C];2012年

10 陳其豐;;客戶網(wǎng)絡(luò)安全探討[A];海南省通信學(xué)會(huì)學(xué)術(shù)年會(huì)論文集（2008）[C];2008年

相關(guān)重要報(bào)紙文章 前10條

1 肖健;六大趨勢(shì)“惹火”2005網(wǎng)絡(luò)安全[N];中國(guó)計(jì)算機(jī)報(bào);2005年

2 鮑捷;中外聯(lián)手維護(hù)網(wǎng)絡(luò)安全[N];人民日?qǐng)?bào);2004年

3 記者 史芳;“先發(fā)制人”成為網(wǎng)絡(luò)安全新主張[N];中國(guó)經(jīng)濟(jì)導(dǎo)報(bào);2006年

4 國(guó)際電聯(lián)電信標(biāo)準(zhǔn)化局局長(zhǎng) 本報(bào)高級(jí)顧問(wèn) 趙厚麟;推進(jìn)全球網(wǎng)絡(luò)安全：多方協(xié)作的重大工程[N];人民郵電;2006年

5 賽迪顧問(wèn)通信產(chǎn)業(yè)研究中心咨詢師 李煜;網(wǎng)絡(luò)安全市場(chǎng)面臨洗牌[N];通信產(chǎn)業(yè)報(bào);2007年

6 ;二季度網(wǎng)絡(luò)安全市場(chǎng)銷售額達(dá)11億美元[N];網(wǎng)絡(luò)世界;2006年

7 Tony;強(qiáng)勁需求拉動(dòng)網(wǎng)絡(luò)安全市場(chǎng)快速增長(zhǎng)[N];中國(guó)計(jì)算機(jī)報(bào);2007年

8 黃粵寶 本報(bào)記者 叢曉明;公安機(jī)關(guān)檢查網(wǎng)絡(luò)安全工作[N];丹東日?qǐng)?bào);2008年

9 記者 方祥生;歐安組織網(wǎng)絡(luò)安全會(huì)議開幕[N];光明日?qǐng)?bào);2009年

10 傅曉輝;網(wǎng)絡(luò)安全商機(jī)開盤[N];通信產(chǎn)業(yè)報(bào);2004年

相關(guān)博士學(xué)位論文 前10條

1 薄澄宇;網(wǎng)絡(luò)安全與中美關(guān)系[D];中共中央黨校;2015年

2 張武軍;機(jī)器類型通信中的網(wǎng)絡(luò)安全問(wèn)題研究[D];西安電子科技大學(xué);2014年

3 羅建;復(fù)雜攻擊系統(tǒng)建模及其在網(wǎng)絡(luò)安全中的應(yīng)用[D];清華大學(xué);2015年

4 胡冠宇;基于置信規(guī)則庫(kù)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)研究[D];哈爾濱理工大學(xué);2016年

5 阿漢（Ahmad Jakalan）;網(wǎng)間IP流量行為分析與關(guān)系發(fā)現(xiàn)[D];東南大學(xué);2016年

6 高妮;網(wǎng)絡(luò)安全多維動(dòng)態(tài)風(fēng)險(xiǎn)評(píng)估關(guān)鍵技術(shù)研究[D];西北大學(xué);2016年

7 李偉明;網(wǎng)絡(luò)安全語(yǔ)言關(guān)鍵技術(shù)的研究[D];華中科技大學(xué);2006年

8 張建鋒;網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估若干關(guān)鍵技術(shù)研究[D];國(guó)防科學(xué)技術(shù)大學(xué);2013年

9 司加全;網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)研究[D];哈爾濱工程大學(xué);2009年

10 田大新;網(wǎng)絡(luò)安全中若干問(wèn)題的研究[D];吉林大學(xué);2007年

相關(guān)碩士學(xué)位論文 前10條

1 張衛(wèi)清;網(wǎng)絡(luò)安全與網(wǎng)絡(luò)安全文化[D];南華大學(xué);2006年

2 吳磊;網(wǎng)絡(luò)安全企業(yè)服務(wù)營(yíng)銷問(wèn)題研究[D];華北電力大學(xué)（北京）;2006年

3 陳雷;網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估與預(yù)測(cè)關(guān)鍵技術(shù)研究[D];解放軍信息工程大學(xué);2015年

4 劉夢(mèng);從斯諾登事件看21世紀(jì)歐美安全關(guān)系的調(diào)整[D];外交學(xué)院;2016年

5 閆一銘;網(wǎng)絡(luò)安全關(guān)鍵策略及教學(xué)模擬攻防系統(tǒng)設(shè)計(jì)[D];中國(guó)海洋大學(xué);2014年

6 鄭東東;網(wǎng)絡(luò)安全與國(guó)家主權(quán)：互聯(lián)網(wǎng)自由的國(guó)際法規(guī)制[D];西南政法大學(xué);2014年

7 姚望;外空活動(dòng)中網(wǎng)絡(luò)安全的管理機(jī)制研究[D];北京理工大學(xué);2016年

8 黃亮亮;網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估與預(yù)測(cè)方法的研究[D];蘭州大學(xué);2016年

9 張楠;某部門網(wǎng)絡(luò)安全管理方案的設(shè)計(jì)與實(shí)施[D];長(zhǎng)春工業(yè)大學(xué);2016年

10 楊建萍;基于維基百科的《網(wǎng)絡(luò)安全》課程本體構(gòu)建及應(yīng)用研究[D];新疆師范大學(xué);2016年

本文編號(hào)：1713097