基于遗传算法和Fuzzing技术的Web应用漏洞挖掘研究
本文关键词:基于遗传算法和Fuzzing技术的Web应用漏洞挖掘研究
更多相关文章: Web应用 漏洞挖掘 Fuzzing技术 遗传算法 模块
【摘要】:随着互联网的发展,基于B/S架构的Web应用系统逐渐取代了传统的基于C/S架构的应用系统,网络用户的很多个人隐私信息都通过Web应用进行传输和处理,这使得Web应用成为网络攻击的重灾区。因而,建立一套高效、准确的Web应用漏洞挖掘机制,及时发现目标系统中的安全问题,从而减少目标系统被恶意攻击的可能,就具有十分重要的理论意义和实用价值。首先,本文在比较了传统的白盒、黑盒和灰盒测试技术的基础上,分析研究了Fuzzing技术的基本原理、基本测试流程及其涉及的核心技术。同时,针对Web应用漏洞挖掘的特点,分析并介绍了常见的Web应用安全漏洞的基本原理。其次,针对Fuzzing技术存在的较大盲目性,通过引入遗传算法来优化We b应用漏洞挖掘的测试数据,提高测试数据的质量,降低其随机性,以此提高漏洞挖掘的效率。主要的研究内容包括:设计了基于漏洞特征集的适应度函数,针对Web漏洞挖掘测试用例的特殊性优化了传统的两点交叉算法和基本位变异算法。最后,设计了基于遗传算法的Web应用模糊测试器(Web Fuzzer Based on G enetic Algorithm,WFBGA),该模糊测试器主要包括:输入向量构造模块、模糊测试数据生成模块、遗传优化模块、测试数据执行模块和异常检测模块,并基于开源Web模糊测试器WebFuzz实现了WFBGA的主程序,基于Python语言实现了WFBGA的遗传优化模块。其中,输入向量构造模块用于产生模糊测试的输入变量集合;在测试数据生成模块中,则设计了探索式和启发式两种测试数据生成方式;遗传优化模块则主要完成对初始测试数据的优化;测试数据执行模块主要完成了测试数据的封装与发送;异常检测模块则主要完成的是对服务器返回结果的分析与记录。实验结果表明WFBGA在注入型漏洞、XSS和CSRF上的挖掘性能要较优于WebFuzz和SPIKE等开源模糊测试器。但WFBGA在安全配置错误和未加密传输等漏洞类型上的挖掘性能还有待改善。
【关键词】:Web应用 漏洞挖掘 Fuzzing技术 遗传算法 模块
【学位授予单位】:贵州师范大学
【学位级别】:硕士
【学位授予年份】:2016
【分类号】:TP393.08
【目录】:
- 摘要2-3
- Abstract3-7
- 第一章 绪论7-11
- 1.1 课题背景及研究意义7-8
- 1.2 国内外研究现状8-9
- 1.3 本文的主要研究工作9
- 1.4 论文的基本结构和章节安排9-11
- 第二章 漏洞挖掘和Web应用漏洞11-25
- 2.1 漏洞挖掘11-14
- 2.1.1 白盒测试12-13
- 2.1.2 黑盒测试13
- 2.1.3 灰盒测试13-14
- 2.2 Fuzzing技术14-18
- 2.2.1 Fuzzing的定义14-15
- 2.2.2 Fuzzing的基本步骤15-17
- 2.2.3 模糊数据生成方式17
- 2.2.4 模糊测试器的分类17-18
- 2.3 常见Web安全漏洞18-24
- 2.3.1 Sql注入18-20
- 2.3.2 跨站脚本漏洞20
- 2.3.3 跨站请求伪造20-21
- 2.3.4 代码注入21-22
- 2.3.5 LDAP注入22-24
- 2.4 本章小结24-25
- 第三章 遗传算法25-33
- 3.1 遗传算法基本流程25-26
- 3.2 基因编码26-28
- 3.3 适应度函数28-30
- 3.4 遗传操作30-32
- 3.4.1 选择算子30-31
- 3.4.2 交叉算子31-32
- 3.4.3 变异算子32
- 3.5 本章小结32-33
- 第四章 基于遗传算法的Web应用模糊测试器设计33-44
- 4.1 模糊测试器基本组成33
- 4.2 输入向量构造模块33-35
- 4.3 模糊测试数据生成模块35-36
- 4.4 测试数据遗传优化模块36-40
- 4.5 测试数据执行模块40-42
- 4.6 异常检测模块42-43
- 4.7 本章小结43-44
- 第五章 实验及结果分析44-54
- 5.1 实验过程44-47
- 5.1.1 实验环境44
- 5.1.2 实验参数44-46
- 5.1.3 实验流程46-47
- 5.2 实验数据分析47-53
- 5.2.1 初始测试数据集47-48
- 5.2.2 遗传参数确定48-50
- 5.2.3 遗传优化结果50-51
- 5.2.4 漏洞挖掘结果51-53
- 5.3 本章小结53-54
- 第六章 总结与展望54-55
- 参考文献55-59
- 研究生期间发表的论文和参与的项目59-60
- 致谢60-61
【相似文献】
中国期刊全文数据库 前10条
1 吴瑞镛,徐大纹;具有年龄结构的遗传算法[J];桂林电子工业学院学报;2001年04期
2 杨艳丽,史维祥;一种新的优化算法—遗传算法的设计[J];液压气动与密封;2001年02期
3 杨宜康,李雪,彭勤科,黄永宣;具有年龄结构的遗传算法[J];计算机工程与应用;2002年11期
4 谷峰,吴勇,唐俊;遗传算法的改进[J];微机发展;2003年06期
5 ;遗传算法[J];计算机教育;2004年10期
6 赵义红,李正文,何其四;生物信息处理系统遗传算法探讨[J];成都理工大学学报(自然科学版);2004年05期
7 刘坤,刘伟波,吴忠强;基于模糊遗传算法的电液位置伺服系统控制[J];黑龙江科技学院学报;2005年04期
8 张英俐,刘弘 ,马金刚;遗传算法作曲系统研究[J];信息技术与信息化;2005年05期
9 丁发智;;浅谈遗传算法[J];乌鲁木齐成人教育学院学报;2005年04期
10 李冰洁;;遗传算法及其应用实例[J];吉林工程技术师范学院学报;2005年12期
中国重要会议论文全文数据库 前10条
1 陈家照;廖海涛;张中位;罗寅生;;一种改进的遗传算法及其在路径规划中的应用[A];2009系统仿真技术及其应用学术会议论文集[C];2009年
2 李国云;刘颖;薛梅;邬志敏;;遗传算法在高温空冷冷凝器优化设计中的应用[A];第五届全国制冷空调新技术研讨会论文集[C];2008年
3 王志军;李守春;张爽;;改进的遗传算法在反演问题中的应用[A];新世纪 新机遇 新挑战——知识创新和高新技术产业发展(上册)[C];2001年
4 任燕翔;姜立;刘连民;从滋庆;;改进遗传算法在三维日照方案优化中的应用[A];工程三维模型与虚拟现实表现——第二届工程建设计算机应用创新论坛论文集[C];2009年
5 韩娟;;遗传算法概述[A];第三届河南省汽车工程科技学术研讨会论文集[C];2006年
6 庞国仲;王元西;;基于遗传算法控制步长的定性仿真方法[A];'2000系统仿真技术及其应用学术交流会论文集[C];2000年
7 张忠华;杨淑莹;;基于遗传算法的聚类设计[A];全国第二届信号处理与应用学术会议专刊[C];2008年
8 何翠红;区益善;;遗传算法及其在计算机编程中的应用[A];1995年中国智能自动化学术会议暨智能自动化专业委员会成立大会论文集(下册)[C];1995年
9 靳开岩;张乃尧;;几种实用遗传算法及其比较[A];1996年中国智能自动化学术会议论文集(下册)[C];1996年
10 王宏刚;曾建潮;李志宏;;摄动遗传算法[A];1996年中国智能自动化学术会议论文集(下册)[C];1996年
中国重要报纸全文数据库 前1条
1 林京;《神经网络和遗传算法在水科学领域的应用》将面市[N];中国水利报;2002年
中国博士学位论文全文数据库 前10条
1 蔡美菊;交互式遗传算法及其在隐性目标决策问题中的应用研究[D];合肥工业大学;2015年
2 张士伟;三维声学快速多极基本解法在机械噪声预测中的应用研究[D];沈阳工业大学;2016年
3 高军;无铅焊料本构模型及其参数识别方法研究[D];南京航空航天大学;2015年
4 Amjad Mahmood;半监督进化集成及其在网络视频分类中的应用[D];西南交通大学;2015年
5 周辉仁;递阶遗传算法理论及其应用研究[D];天津大学;2008年
6 郝国生;交互式遗传算法中用户的认知规律及其应用[D];中国矿业大学;2009年
7 侯格贤;遗传算法及其在跟踪系统中的应用研究[D];西安电子科技大学;1998年
8 马国田;遗传算法及其在电磁工程中的应用[D];西安电子科技大学;1998年
9 唐文艳;结构优化中的遗传算法研究和应用[D];大连理工大学;2002年
10 周激流;遗传算法理论及其在水问题中应用的研究[D];四川大学;2000年
中国硕士学位论文全文数据库 前10条
1 张英俐;基于遗传算法的作曲系统研究[D];山东师范大学;2006年
2 钟海萍;原对偶遗传算法与蚁群算法的一种融合算法[D];暨南大学;2013年
3 李志添;模糊遗传算法与资源优化配置的预测控制[D];华南理工大学;2015年
4 王琳琳;新型双层液压轿运车车厢的设计研究[D];上海工程技术大学;2015年
5 李海全;基于遗传算法的建筑体形系数及迎风面积比优化方法研究[D];华南理工大学;2015年
6 彭骞;基于遗传算法的山区高等级公路纵断面智能优化方法研究[D];昆明理工大学;2015年
7 周玉林;基于小波分析和遗传算法的配电网故障检测[D];昆明理工大学;2015年
8 郭颂;基于粗糙集和遗传算法的数字管道生产管理系统研究[D];昆明理工大学;2015年
9 吴南;数值逼近遗传算法的研究应用[D];华南理工大学;2015年
10 于光帅;一类优化算法的改进研究与应用[D];渤海大学;2015年
,本文编号:1093103
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/1093103.html
