本文選題：SQL注入 + 詞法分析��； 參考：《南京郵電大學(xué)》2017年碩士論文

【摘要】：隨著近年來計算機技術(shù)的不斷發(fā)展,各式各樣的Web應(yīng)用程序迅速涌現(xiàn),給人們的生活和辦公帶來極大的便利,人們的生活也越來越離不開網(wǎng)絡(luò)。然而,各種資產(chǎn)和信息的網(wǎng)絡(luò)化也引發(fā)了各種各樣的安全問題。其中,SQL注入是一種實現(xiàn)難度低,發(fā)生頻率高,技術(shù)更新快的網(wǎng)絡(luò)攻擊技術(shù),其主要危害包括用戶信息的泄漏,系統(tǒng)權(quán)限的獲取以及篡改網(wǎng)頁信息等。目前,針對SQL注入的主要防御方法包括編碼過程安全化、基于程序分析和基于特征匹配的檢測系統(tǒng)等,這些防御方法均存在信息要求多、開發(fā)過程長、部署難度高等問題。因此,本文提出一種工作在HTTP應(yīng)用層,在對后臺程序一無所知的情況下,僅通過分析用戶輸入就能檢測到潛在威脅的SQL注入檢測技術(shù)。本文提出的SQL注入檢測模型通過對用戶輸入進行預(yù)處理,詞法分析,語法分析,機器學(xué)習(xí)的步驟對用戶輸入進行檢測,并輸出威脅級別。該SQL檢測模型的特點為:僅需要提取用戶輸入,不需要其他后臺信息;對用戶輸入遞歸解碼,盡可能解析出可能的payload;通過詞法分析和語法分析后抽象出樣本的語法樹,并進行機器學(xué)習(xí);設(shè)置了兩種機器學(xué)習(xí)的模型,驗證結(jié)果更可靠;可以區(qū)分威脅的級別,讓用戶更方便的處理不同等級的攻擊。實驗表明,相比于其他的SQL注入檢測模型,該模型在僅采集用戶輸入的情況下具有較高的準確性和檢測效率,能有效的檢測出SQL注入攻擊。
[Abstract]:With the development of computer technology in recent years, a variety of Web applications have emerged rapidly, bringing great convenience to people's life and office, and people's lives are more and more inseparable from the network. However, the network of various assets and information has also caused a variety of security problems. SQL injection is a kind of network attack technology with low difficulty, high frequency of occurrence and quick update of technology. Its main harm includes the leakage of user information, the acquisition of system authority and the tampering of web page information. At present, the main defense methods for SQL injection include the security of coding process, the detection system based on program analysis and feature matching, and so on. These defense methods have many problems, such as much information requirement, long development process, high difficulty in deployment and so on. Therefore, this paper proposes a SQL injection detection technique which works in HTTP application layer and detects the potential threat only by analyzing user input without knowing anything about the daemon. The SQL injection detection model proposed in this paper detects user input and outputs threat level by preprocessing, lexical analysis, syntax analysis and machine learning. The features of the SQL detection model are as follows: only user input needs to be extracted, no other background information is needed, the user input is recursively decoded to parse the possible payload as far as possible, and the syntax tree of the sample is abstracted by lexical analysis and syntax analysis. The two machine learning models are set up to verify the result more reliable and can distinguish the threat level and make it easier for users to deal with different levels of attacks. Experimental results show that compared with other SQL injection detection models, this model has higher accuracy and detection efficiency when only collecting user input, and can detect SQL injection attacks effectively.
【學(xué)位授予單位】：南京郵電大學(xué)
【學(xué)位級別】：碩士
【學(xué)位授予年份】：2017
【分類號】：TP393.08;TP181

【參考文獻】

相關(guān)期刊論文 前10條

1 韓宸望;林暉;黃川;;基于SQL語法樹的SQL注入過濾方法研究[J];網(wǎng)絡(luò)與信息安全學(xué)報;2016年11期

2 趙宇飛;熊剛;賀龍濤;李舟軍;;面向網(wǎng)絡(luò)環(huán)境的SQL注入行為檢測方法[J];通信學(xué)報;2016年02期

3 萬志遠;周波;;基于靜態(tài)信息流跟蹤的輸入驗證漏洞檢測方法[J];浙江大學(xué)學(xué)報(工學(xué)版);2015年04期

4 杜雷;辛陽;;基于規(guī)則庫和網(wǎng)絡(luò)爬蟲的漏洞檢測技術(shù)研究與實現(xiàn)[J];信息網(wǎng)絡(luò)安全;2014年10期

5 倪平;張玉清;聞觀行;劉奇旭;范丹;;基于群體特征的社交僵尸網(wǎng)絡(luò)檢測方法[J];中國科學(xué)院大學(xué)學(xué)報;2014年05期

6 何清;李寧;羅文娟;史忠植;;大數(shù)據(jù)下的機器學(xué)習(xí)算法綜述[J];模式識別與人工智能;2014年04期

7 陳錦;;Oracle數(shù)據(jù)庫SQL注入技術(shù)研究[J];信息網(wǎng)絡(luò)安全;2011年12期

8 練坤梅;許靜;田偉;張瑩;;SQL注入漏洞多等級檢測方法研究[J];計算機科學(xué)與探索;2011年05期

9 趙洪英;蔡樂才;李先杰;;關(guān)聯(lián)規(guī)則挖掘的Apriori算法綜述[J];四川理工學(xué)院學(xué)報(自然科學(xué)版);2011年01期

10 彭賡;范明鈺;;基于改進網(wǎng)絡(luò)爬蟲技術(shù)的SQL注入漏洞檢測[J];計算機應(yīng)用研究;2010年07期

相關(guān)博士學(xué)位論文 前1條

1 王蘇南;高速復(fù)雜網(wǎng)絡(luò)環(huán)境下異常流量檢測技術(shù)研究[D];解放軍信息工程大學(xué);2012年

相關(guān)碩士學(xué)位論文 前6條

1 隋亮;基于滲透測試的SQL注入漏洞檢測與防范[D];東華大學(xué);2014年

2 方爽;基于特征匹配的WEB應(yīng)用防火墻的研究與實現(xiàn)[D];安徽大學(xué);2014年

3 李小花;基于程序分析的SQL注入防御系統(tǒng)的設(shè)計與實現(xiàn)[D];湖南大學(xué);2010年

4 沈壽忠;基于網(wǎng)絡(luò)爬蟲的SQL注入與XSS漏洞挖掘[D];西安電子科技大學(xué);2009年

5 劉喜蘋;基于Fp-growth算法的關(guān)聯(lián)規(guī)則挖掘算法研究和應(yīng)用[D];湖南大學(xué);2006年

6 蔡雷;數(shù)據(jù)庫查詢語言SQL的語法分析及實現(xiàn)[D];天津大學(xué);2006年

，

本文編號：1996309