本文選題：SQL注入 + 詞法分析��； 參考：《南京郵電大學(xué)》2017年碩士論文

【摘要】：隨著近年來(lái)計(jì)算機(jī)技術(shù)的不斷發(fā)展,各式各樣的Web應(yīng)用程序迅速涌現(xiàn),給人們的生活和辦公帶來(lái)極大的便利,人們的生活也越來(lái)越離不開(kāi)網(wǎng)絡(luò)。然而,各種資產(chǎn)和信息的網(wǎng)絡(luò)化也引發(fā)了各種各樣的安全問(wèn)題。其中,SQL注入是一種實(shí)現(xiàn)難度低,發(fā)生頻率高,技術(shù)更新快的網(wǎng)絡(luò)攻擊技術(shù),其主要危害包括用戶信息的泄漏,系統(tǒng)權(quán)限的獲取以及篡改網(wǎng)頁(yè)信息等。目前,針對(duì)SQL注入的主要防御方法包括編碼過(guò)程安全化、基于程序分析和基于特征匹配的檢測(cè)系統(tǒng)等,這些防御方法均存在信息要求多、開(kāi)發(fā)過(guò)程長(zhǎng)、部署難度高等問(wèn)題。因此,本文提出一種工作在HTTP應(yīng)用層,在對(duì)后臺(tái)程序一無(wú)所知的情況下,僅通過(guò)分析用戶輸入就能檢測(cè)到潛在威脅的SQL注入檢測(cè)技術(shù)。本文提出的SQL注入檢測(cè)模型通過(guò)對(duì)用戶輸入進(jìn)行預(yù)處理,詞法分析,語(yǔ)法分析,機(jī)器學(xué)習(xí)的步驟對(duì)用戶輸入進(jìn)行檢測(cè),并輸出威脅級(jí)別。該SQL檢測(cè)模型的特點(diǎn)為:僅需要提取用戶輸入,不需要其他后臺(tái)信息;對(duì)用戶輸入遞歸解碼,盡可能解析出可能的payload;通過(guò)詞法分析和語(yǔ)法分析后抽象出樣本的語(yǔ)法樹(shù),并進(jìn)行機(jī)器學(xué)習(xí);設(shè)置了兩種機(jī)器學(xué)習(xí)的模型,驗(yàn)證結(jié)果更可靠;可以區(qū)分威脅的級(jí)別,讓用戶更方便的處理不同等級(jí)的攻擊。實(shí)驗(yàn)表明,相比于其他的SQL注入檢測(cè)模型,該模型在僅采集用戶輸入的情況下具有較高的準(zhǔn)確性和檢測(cè)效率,能有效的檢測(cè)出SQL注入攻擊。
[Abstract]:With the development of computer technology in recent years, a variety of Web applications have emerged rapidly, bringing great convenience to people's life and office, and people's lives are more and more inseparable from the network. However, the network of various assets and information has also caused a variety of security problems. SQL injection is a kind of network attack technology with low difficulty, high frequency of occurrence and quick update of technology. Its main harm includes the leakage of user information, the acquisition of system authority and the tampering of web page information. At present, the main defense methods for SQL injection include the security of coding process, the detection system based on program analysis and feature matching, and so on. These defense methods have many problems, such as much information requirement, long development process, high difficulty in deployment and so on. Therefore, this paper proposes a SQL injection detection technique which works in HTTP application layer and detects the potential threat only by analyzing user input without knowing anything about the daemon. The SQL injection detection model proposed in this paper detects user input and outputs threat level by preprocessing, lexical analysis, syntax analysis and machine learning. The features of the SQL detection model are as follows: only user input needs to be extracted, no other background information is needed, the user input is recursively decoded to parse the possible payload as far as possible, and the syntax tree of the sample is abstracted by lexical analysis and syntax analysis. The two machine learning models are set up to verify the result more reliable and can distinguish the threat level and make it easier for users to deal with different levels of attacks. Experimental results show that compared with other SQL injection detection models, this model has higher accuracy and detection efficiency when only collecting user input, and can detect SQL injection attacks effectively.
【學(xué)位授予單位】：南京郵電大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2017
【分類號(hào)】：TP393.08;TP181

【參考文獻(xiàn)】

相關(guān)期刊論文 前10條

1 韓宸望;林暉;黃川;;基于SQL語(yǔ)法樹(shù)的SQL注入過(guò)濾方法研究[J];網(wǎng)絡(luò)與信息安全學(xué)報(bào);2016年11期

2 趙宇飛;熊剛;賀龍濤;李舟軍;;面向網(wǎng)絡(luò)環(huán)境的SQL注入行為檢測(cè)方法[J];通信學(xué)報(bào);2016年02期

3 萬(wàn)志遠(yuǎn);周波;;基于靜態(tài)信息流跟蹤的輸入驗(yàn)證漏洞檢測(cè)方法[J];浙江大學(xué)學(xué)報(bào)(工學(xué)版);2015年04期

4 杜雷;辛陽(yáng);;基于規(guī)則庫(kù)和網(wǎng)絡(luò)爬蟲的漏洞檢測(cè)技術(shù)研究與實(shí)現(xiàn)[J];信息網(wǎng)絡(luò)安全;2014年10期

5 倪平;張玉清;聞?dòng)^行;劉奇旭;范丹;;基于群體特征的社交僵尸網(wǎng)絡(luò)檢測(cè)方法[J];中國(guó)科學(xué)院大學(xué)學(xué)報(bào);2014年05期

6 何清;李寧;羅文娟;史忠植;;大數(shù)據(jù)下的機(jī)器學(xué)習(xí)算法綜述[J];模式識(shí)別與人工智能;2014年04期

7 陳錦;;Oracle數(shù)據(jù)庫(kù)SQL注入技術(shù)研究[J];信息網(wǎng)絡(luò)安全;2011年12期

8 練坤梅;許靜;田偉;張瑩;;SQL注入漏洞多等級(jí)檢測(cè)方法研究[J];計(jì)算機(jī)科學(xué)與探索;2011年05期

9 趙洪英;蔡樂(lè)才;李先杰;;關(guān)聯(lián)規(guī)則挖掘的Apriori算法綜述[J];四川理工學(xué)院學(xué)報(bào)(自然科學(xué)版);2011年01期

10 彭賡;范明鈺;;基于改進(jìn)網(wǎng)絡(luò)爬蟲技術(shù)的SQL注入漏洞檢測(cè)[J];計(jì)算機(jī)應(yīng)用研究;2010年07期

相關(guān)博士學(xué)位論文 前1條

1 王蘇南;高速?gòu)?fù)雜網(wǎng)絡(luò)環(huán)境下異常流量檢測(cè)技術(shù)研究[D];解放軍信息工程大學(xué);2012年

相關(guān)碩士學(xué)位論文 前6條

1 隋亮;基于滲透測(cè)試的SQL注入漏洞檢測(cè)與防范[D];東華大學(xué);2014年

2 方爽;基于特征匹配的WEB應(yīng)用防火墻的研究與實(shí)現(xiàn)[D];安徽大學(xué);2014年

3 李小花;基于程序分析的SQL注入防御系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D];湖南大學(xué);2010年

4 沈壽忠;基于網(wǎng)絡(luò)爬蟲的SQL注入與XSS漏洞挖掘[D];西安電子科技大學(xué);2009年

5 劉喜蘋;基于Fp-growth算法的關(guān)聯(lián)規(guī)則挖掘算法研究和應(yīng)用[D];湖南大學(xué);2006年

6 蔡雷;數(shù)據(jù)庫(kù)查詢語(yǔ)言SQL的語(yǔ)法分析及實(shí)現(xiàn)[D];天津大學(xué);2006年

，

本文編號(hào)：1996309