互聯(lián)網(wǎng)在人們生活中占據(jù)的地位越來越重要,Web應用愈加復雜和多樣,這導致Web系統(tǒng)漏洞層出不窮,Web安全問題日益突出。在對Web應用程序攻擊類型進行統(tǒng)計分類之后發(fā)現(xiàn),SQL注入是目前黑客最常用的Web攻擊之一。隨著機器學習技術的不斷成熟,利用機器學習來檢測和防范SQL注入已成為IDS新的解決方案,其中SQL注入樣本集的選取是機器學習的關鍵。本文研究了SQL注入樣本集的生成問題,提出了生成樣本集的相關算法,旨在解決SQL注入樣本集收集困難的問題,論文的主要工作如下:（1）提出并設計了一種基于算法生成SQL注入樣本集的解決方案。首先,根據(jù)SQL注入的不同類型,構造了四種相應的SQL注入語句,進而生成了SQL注入樣本集（負樣本集）。然后,設計算法生成沒有攻擊性的正常樣本集（正樣本集）。最后,將正、負兩種樣本集打亂順序混合,形成SQL注入樣本集。（2）搭建了一個實驗平臺,設計實驗驗證了SQL注入樣本的有效性。首先,從正、負樣本集中分別選取若干核心樣本作為驗證樣本。然后,把驗證樣本注入實驗平臺,驗證負樣本能有效注入平臺,而正樣本不能注入。最后,根據(jù)驗證樣本的注入效果,改進了樣本生成算法,提升了... 

【文章來源】：西南交通大學四川省 211工程院校 教育部直屬院校

【文章頁數(shù)】：58 頁

【學位級別】：碩士

【部分圖文】：

樣本組成圖

圖 4-3 SQLProductor 類圖量，整型變量 orderbyNum 用來存儲名，字符串變量 tablename 用來存儲表的注入點，字符串數(shù)組變量 sqlFunc 用 database()函數(shù)用來查詢當前數(shù)據(jù)庫，group_concat(schema_name) from 據(jù)庫的名字等。使用字符串數(shù)組變量用字符串變量 requestStr 來存取頁面交變量、成員函數(shù)以及三大模塊之間的本并存入字符串數(shù)組變量 SQLS 中本寫入 txt 文本中，用來存儲。頁面交樣本，獲得頁面反饋信息并加以解析關信息。解析后的信息有助于樣本生

圖 4-4 類中成員關系圖parseString() 在 頁 面 交 互 模 塊 中 是 用 來 解 析 interHTML() 返 回 的 字stStr 的。針對 orderbyNum 解析過程，其主要思路是使用 order by n，只列數(shù)時，頁面才會顯示錯誤，所以只需要構造 order by 1，order by 2…o到頁面顯示錯誤，這樣就找到了列數(shù)為 n-1。orderbyNum 解析的核心代or (int j = 1; j < orderByNum; j++){//樣本字符串 strstring str = errPoints.at(i) + " order by " + to_string(j) + "--+";int len = str.size();char * pc = new char[len+1];strcpy_s(pc, len+1,str.c_str());//樣本注入頁面得到頁面反饋字符串requestStr = interHTML (_T(pc));

【參考文獻】：
期刊論文
[1]機器學習及其算法和發(fā)展分析[J]. 姜娜,楊海燕,顧慶傳,黃吉亞.  信息與電腦(理論版). 2019(01)
[2]機器學習算法在網(wǎng)絡入侵檢測中的應用綜述[J]. 劉闞蓉,李丹,裴夢迪,張家熹.  赤峰學院學報(自然科學版). 2018(12)
[3]基于Web滲透測試的SQL注入研究[J]. 曾佩璇,湯艷君,錢麗納.  網(wǎng)絡安全技術與應用. 2018(12)
[4]基于TF-IDF文本向量化的SQL注入攻擊檢測[J]. 徐冬冬,謝統(tǒng)義,萬卓昊,黃保華.  廣西大學學報(自然科學版). 2018(05)
[5]基于關鍵詞的文本向量化與分類算法研究[J]. 蘇玉龍,張著洪.  貴州大學學報(自然科學版). 2018(03)
[6]Web應用中SQL注入攻擊與對策[J]. 謝統(tǒng)義,徐冬冬.  廣西教育學院學報. 2018(03)
[7]二階SQL注入防御技術研究[J]. 王杰,汪洋.  電子設計工程. 2018(10)
[8]BP神經(jīng)網(wǎng)絡算法改進綜述[J]. 尤曉東,蘇崇宇,汪毓鐸.  民營科技. 2018(04)
[9]基于Word2vector的文本特征化表示方法[J]. 周順先,蔣勵,林霜巧,龔德良,王魯達.  重慶郵電大學學報(自然科學版). 2018(02)
[10]Web服務的SQL注入攻擊及防御研究[J]. 符天,汪志,王貞.  軟件. 2018(04)

碩士論文
[1]SQL注入攻擊檢測方法研究[D]. 肖澤力.東北師范大學 2018
[2]基于樸素貝葉斯和LSTM循環(huán)神經(jīng)網(wǎng)絡的SQL注入檢測技術研究[D]. 李蒼.湖南大學 2018
[3]基于機器學習的SQL注入檢測技術研究[D]. 蔣磊.南京郵電大學 2017
[4]基于機器學習識別SQL注入攻擊設計與實現(xiàn)[D]. 王譽東.華南理工大學 2017
[5]基于機器學習的SQL注入檢測[D]. 張登峰.重慶郵電大學 2017



本文編號：3267074