SQL注入智能检测工具的设计与实现

发布时间：2020-04-25 07:46

【摘要】：日新月异的互联网Web技术在为人类发展带来便利的同时,也引发了层出不穷的安全问题。SQL注入是蝉联数十年OWASP[1]漏洞排行榜之首的注入漏洞类型中最常见的攻击之一。其数据泄露等的高危害性和SQL样本的多变性,成为近年来攻防专家致力研究的重要原因。对于SQL注入流量的检测,国内外已涌现出许多成熟的商业性防火墙产品(WAF),但存在防护规则状态有限、可读性差和维护成本高等缺点。面对复杂多变的SQL注入攻击,学术界提出基于人工智能的解决方案,通过将文本向量化进而转交给算法模型分类处理以实现检测恶意攻击的目的。然而缺乏丰富多样的数据集和特征向量提取不全等问题导致了分类模型检测性能的瓶颈。基于以上的分析基础,本文主要从如下三个方面开展相关工作:(1)通过深入分析SQL注入漏洞的原理及相关组件脆弱性,提出了SQL样本随机生成算法,结合开源工具SQLMAP进行二次开发,生成高质量的SQL样本,甚至是可定向绕过防火墙的变种样本,有效提升了模型的检测精度。(2)改进了传统的分词提取特征的方法,融合了多维变种样本的特征,引入了差分特征向量以弥补特征提取过程中的信息损失,通过三轮有针对性的特征提取,实现了对传统SQL注入和变种SQL注入流量通用的特征提取方法,增强了特征提取的完整性,从而强化了对未知变种SQL注入的检测能力。(3)基于深度森林分类算法设计并实现了SQL注入智能检测工具。通过多数据源的迭代更新,实现了对模型迭代优化的效果,一定程度缓解了数据集匮乏的问题,并提升了模型的检测精度,有效抑制了模型过拟合的问题。文章最后主要从生成模型性能和检测模型性能两个方面进行实验论证:通过比较本文生成算法生成的样本对抗商业WAF的效果和基于SQLMAP二次开发的定向绕过防火墙的效果,证明样本生成方案的可行性与有效性;通过对比本文特征工程方案与前人的研究方法在多组浅层机器学习模型下的分类性能指标,验证本文特征工程方案的有效性;通过在不同比例黑白样本的训练情形下,分别对比了深度森林与深度学习模型和浅层学习模型的性能与精度差异,验证了本文检测模型的优势,也从侧面验证了本文样本生成算法一定程度上提升了模型的检测精度,有效抑制了模型的过拟合;最后通过多数据源的迭代更新,线下检测模型检测精度整体呈上升的趋势,验证了系统设计的合理性。
【图文】：

ＳＱＬ注入就是攻击者通过精心构造用户可控的输入内容，影响和逡逑改变服务端传递给后台数据库的ＳＱＬ命令，，从而非法获取信息或者执行恶意命逡逑令，常见的交互流程如图２－１所示：逡逑数据库逡逑＾逦服务器Ｙ逡逑图２－１邋ＳＱＬ注入交互流程图逡逑举个具体的案例阐述一下，服务端（ｈｔｔｐ：／／ｖｉｃｔｉｍ．ｃｏｍ）存在ＳＱＬ注入漏洞的示例代逡逑码ｖｕｌ．ｐｈｐ如下：逡逑＜？ｐｈｐ逡逑ｉｆ（邋ｉｓｓｅｔ（邋￥＿ＲＥＱＵＥＳＴ［邋＇Ｓｕｂｍｉｔ＇邋］））邋｛逦逡逑７逡逑

图２４邋ＨＴＴＰ请求交互流程图逡逑流程简化描述如下：逡逑１、用户按照ＨＴＴＰ协议规范发送访问数据包；逡逑
【学位授予单位】：北京邮电大学
【学位级别】：硕士
【学位授予年份】：2019
【分类号】：TP393.08;TP181

【相似文献】

相关期刊论文 前10条

1 茹蓓;;SQL查询语句的优化[J];新乡教育学院学报;2006年04期

2 郭小雷;王宗彦;吴淑芳;侯聪亚;樊恒;;基于SQL的桥式起重机智能设计网络系统开发[J];机械设计与研究;2017年01期

3 于思江;邱思晨;王小兵;;基于存储过程的SQL自动评判系统[J];电子设计工程;2017年11期

4 赵志明;崔欢喜;唐骜棋;;本科数据库课程中SQL教学建议[J];学周刊;2015年12期

5 祁星;孙琳;周治宇;;浅析我院数据库系统中SQL语句优化[J];数码世界;2017年05期

6 田会;;优化SQL语句提高数据库系统效率[J];硅谷;2014年08期

7 黄锦祝;;ASP.NET与SQL联合在机械零部件销售系统设计当中的应用[J];制造业自动化;2012年10期

8 蒋丹丹;牛晓楠;;基于SQL的宿舍学生成绩管理系统设计与开发[J];企业技术开发;2012年20期

9 吴贵山;;SQL注入攻击防御策略的研究[J];计算机与网络;2012年09期

10 赵慧玲;毛应爽;孟宪颖;;基于SQL游标的研究与应用[J];科技创新导报;2012年28期

相关会议论文 前10条

1 马克委;陈红权;张文先;蒋毅;;用SQL语言进行地籍数据库的逻辑检查[A];江苏省测绘学会2007'学术年会论文集[C];2008年

2 熊婧;曹忠升;朱虹;冯玉才;;基于构造路径的存储过程SQL注入检测[A];第二十五届中国数据库学术会议论文集（二）[C];2008年

3 李占睿;;利用远程SQL复制技术建立气象数据库移动内部网[A];中国气象学会2006年年会“航空气象探测、预报、预警技术进展”分会场论文集[C];2006年

4 李占睿;;利用远程SQL复制技术建立气象数据库移动内部网[A];全国优秀青年气象科技工作者学术研讨会论文集[C];2006年

5 朱虹;舒鹏;;扩展SQL实现DBMS细粒度访问控制[A];第二十三届中国数据库学术会议论文集（技术报告篇）[C];2006年

6 林宏轩;郑振楣;石树刚;;复杂对象数据模型ATS及其查询语言C—SQL[A];第十届全国数据库学术会议论文集[C];1992年

7 余刘琅;汪彩萍;程克勤;;基于Snort的检测SQL注入和跨站脚本攻击的正则表达式的探讨[A];中国仪器仪表学会第九届青年学术会议论文集[C];2007年

8 符俊艺;;用VB和SQL开发交换机话务分析系统[A];海南省通信学会学术年会论文集（2005）[C];2005年

9 谷丰强;王文;李勃;梁野;;基于SQL语义的安全过滤系统研究与实现[A];2009电力行业信息化年会论文集[C];2009年

10 方舟;王霓虹;;网络环境下SQL注入攻击常见方法和防御策略研究[A];黑龙江省计算机学会2007年学术交流年会论文集[C];2007年

相关重要报纸文章 前2条

1 胡香青 朱红丽 浙江省永康市经普办;SQL技术在经普个体户信息比对中的应用[N];中国信息报;2014年

2 四川 杨陈;PowerBuilder动态SQL的实现[N];电脑报;2002年

相关博士学位论文 前2条

1 田伟;模型驱动的web应用SQL注入安全漏洞渗透测试研究[D];南开大学;2012年

2 邓立国;模糊时态数据库建模若干关键技术研究[D];东北大学;2011年

相关硕士学位论文 前10条

1 韩言平;SQL注入智能检测工具的设计与实现[D];北京邮电大学;2019年

2 黄煜;XSS及SQL注入漏洞检测器的设计与实现[D];云南大学;2017年

3 赵茜;面向Web应用的SQL注入防御技术研究[D];哈尔滨工程大学;2018年

4 郑小裕;SQL与NoSQL数据库的统一查询模型的研究与实现[D];湖南大学;2014年

5 吴娇娇;面向关系数据库SQL代码的自动评判算法研究[D];浙江师范大学;2018年

6 孔德广;基于攻击行为特征的SQL注入检测方法研究[D];贵州大学;2018年

7 贾潇雨;基于改进爬虫技术的SQL注入的自动化扫描工具的研究与设计[D];北京邮电大学;2018年

8 李鑫;动静结合的二阶SQL注入漏洞检测技术研究[D];华侨大学;2017年

9 杨小丽;防SQL注入攻击中间件的设计与实现[D];四川师范大学;2010年

10 王洪海;录井数据访问层中SQL注入检测技术的研究[D];大连海事大学;2011年

本文编号：2639986