基于程序分析的SQL漏洞检测系统的研究与实现

发布时间：2017-04-17 06:13

  本文关键词：基于程序分析的SQL漏洞检测系统的研究与实现，由笔耕文化传播整理发布。

【摘要】：近年来,随着Web技术的迅速发展,网站与人们的生活越来越紧密,小到个人创建博客用来写作,发表心情动态,大到企业、单位和政府部门构建网站用来发布产品、新闻和动态等。生活中,人们可以利用网站高效快捷的完成很多事情。例如网上购物、社交、搜索、移动医疗、移动支付、教育和保险等。诚然,网站的增多和普及给人们的生活带来了极大的便利,但也潜伏着一些Web安全问题。SQL漏洞就是Web安全中最常见的的一种安全漏洞。随着未来大数据的崛起,Web应用会越来越倾向于以数据为中心,而SQL漏洞问题自然是Web安全研究的重点。所以研究SQL漏洞的检测和防御对Web安全具有重要意义。针对上述问题,本文首先介绍了SQL漏洞的攻击原理,引出了SQL漏洞检测的相关技术,详细论述了基于SQL漏洞检测的经典方法和国内外的先进技术,分析对比了各种方法的优缺点。其次,研究和探讨了基于程序分析技术的SQL漏洞检测理论,并设计一种SQL漏洞的检测模型。总体框架主要包括源码分析模块、程序活动分析模块、参数构造模块和SQL漏洞判定模块。SQL注入攻击的根本原因主要是服务器端动态构造的SQL语句包含有恶意用户输入内容,并且服务器端没有充分的验证机制。基于上述原因,本文设计了一种面向PHP程序的,基于程序分析的SQL漏洞检测方法。该方法以动态和静态相结合的分析技术为基础,对一次注入活动从数据流分析和控制流分析方面进行了详细的分析和研究,然后通过模拟测试数据,执行基于词法特征比较的SQL漏洞判定算法来检测SQL漏洞。最后本文结合程序分析技术、词法特征比较和SQL漏洞判定算法设计并实现了一个SQL漏洞检测的原型系统。通过实验数据的分析,基于程序分析技术的SQL漏洞检测方法可以较好地检测SQL漏洞,具有误报率、漏报率低,时间开销少的优势。
【关键词】：SQL漏洞 动静态结合 程序分析 行为模型 词法特征
【学位授予单位】：北京工业大学
【学位级别】：硕士
【学位授予年份】：2015
【分类号】：TP391.1;TP393.08

【参考文献】

中国期刊全文数据库 前1条

1 杨玉梅;;面向对象petri网在系统建模中的应用[J];内江科技;2007年01期

  本文关键词：基于程序分析的SQL漏洞检测系统的研究与实现，，由笔耕文化传播整理发布。

本文编号：312607