基于TF-IDF和BiGRU神经网络的SQL注入攻击检测研究
发布时间:2020-12-10 12:15
互联网技术的高速发展,让Web应用程序逐渐成为互联网用户日常生活中非常重要的一部分。Web应用程序常常受到攻击,因此,用户在享受Web应用程序服务的同时,也面临着个人隐私信息泄露、财产遭受损失的风险。其中SQL注入攻击(Structured Query Language Injection Attack)是Web安全中最常见,同时也是对用户危害程度最大的攻击手段之一。因此,如何对SQL注入攻击进行准确有效地检测,是Web应用发展的重要前提,也是Web安全领域研究中重要的课题。目前,对于SQL注入攻击的主要检测方案包括用户输入过滤、解析树分析、指令集随机化以及参数查询等,但是这些方案存在对Web应用程序源代码的改动较大、开发周期长、部署难度高等问题。针对上述问题,本文对SQL注入攻击进行深入研究,提出一种工作在HTTP应用层,在不修改后台应用程序情况下的SQL注入检测方法。该方法通过对输入的SQL语句进行检测,将其分为正常SQL语句和SQL注入攻击语句两类。以此判断用户输入是否存在SQL注入攻击。本文的主要研究工作和成果如下:(1)针对词频-逆文本频率(Term Frequency-In...
【文章来源】:广西大学广西壮族自治区 211工程院校
【文章页数】:64 页
【学位级别】:硕士
【部分图文】:
name?where??login=’dong’andpassword=666”,并将其提交给数据库运行,最后将运行结果返回给用??户。如图2-1所示。??y?V.?select?column?name?from??广、\?www.dong.com/login:???table?name?where??l?&password=666?login=,dong,?and??I?fjj?pass>vord=666??^——返回顺??——查询结果???客户端?Web服务器?数据库服务器??图2-1用户访问应用程序过程??Fig.2-1?User?access?to?the?application?process??如果攻击者构建了非法字符串“?https://www.dong.com/loginz?‘?dong?’??&password=666;drop?table?post—?”?这时候?SQL?语句就被攻击者更改为:“?select??column_name?from?table?name?where?login=,dong,?and?password=666;drop?table?post—??如果服务器没有检测出异常,并将其构建成SQL语句提交给数据库就会让数据库面临??被删库的危险。这就是一次典型的SQL注入攻击。??10??
要想获得管理系统的完全控制权,仅仅只有USER权限是不够的,还必须得到管??理系统的管理员权限。??SQL注入攻击流程如图2-2所示。??c开始)??太秘?」含有传递参数??宜伐一 ̄1的动态网页??——否?<SQL^M^>??用户权限?非sa权限?,??SA权限?法1——方法1或法2-???X????i??|利用核心信息表??±???利用xp_cmdshell?sysobjects得到?|扫描表名、字段名??获取系鈇管理权限?I表名、字段名??|利用数5库报错?「估 ̄??|方式段值?丨細!1字龍???5?????提权进一步攻击?<??
【参考文献】:
期刊论文
[1]Android应用中SQL注入漏洞静态检测方法[J]. 潘秋红,崔展齐,王林章. 计算机科学与探索. 2018(08)
[2]基于SQL语法树的SQL注入过滤方法研究[J]. 韩宸望,林晖,黄川. 网络与信息安全学报. 2016(11)
[3]基于敏感字符的SQL注入攻击防御方法[J]. 张慧琳,丁羽,张利华,段镭,张超,韦韬,李冠成,韩心慧. 计算机研究与发展. 2016(10)
[4]基于Kali-Linux渗透测试方法的研究与设计[J]. 姚莉,林科辰,邓丹君. 软件工程. 2016(09)
[5]基于SVM的Web攻击检测技术[J]. 吴少华,程书宝,胡勇. 计算机科学. 2015(S1)
[6]二阶SQL注入攻击防御模型[J]. 田玉杰,赵泽茂,张海川,李学双. 信息网络安全. 2014(11)
[7]ASP.NET应用中SQL注入攻击的分析与防范[J]. 褚龙现. 计算机与现代化. 2014(03)
[8]ASP.NET应用中的“SQL注入”及解决方案[J]. 吴定刚. 电脑知识与技术. 2005(18)
[9]谈Sql注入式攻击的典型手法和检测防范措施[J]. 陈运栋. 微型电脑应用. 2004(09)
硕士论文
[1]基于解析树的SQL注入检测方法研究[D]. 韩涛.哈尔滨工业大学 2013
[2]基于静态分析的防SQL注入过滤模块的设计与实现[D]. 秦广赞.江西师范大学 2012
[3]基于SQL语义的安全过滤系统研究与实现[D]. 谷丰强.中国电力科学研究院 2009
本文编号:2908677
【文章来源】:广西大学广西壮族自治区 211工程院校
【文章页数】:64 页
【学位级别】:硕士
【部分图文】:
name?where??login=’dong’andpassword=666”,并将其提交给数据库运行,最后将运行结果返回给用??户。如图2-1所示。??y?V.?select?column?name?from??广、\?www.dong.com/login:???table?name?where??l?&password=666?login=,dong,?and??I?fjj?pass>vord=666??^——返回顺??——查询结果???客户端?Web服务器?数据库服务器??图2-1用户访问应用程序过程??Fig.2-1?User?access?to?the?application?process??如果攻击者构建了非法字符串“?https://www.dong.com/loginz?‘?dong?’??&password=666;drop?table?post—?”?这时候?SQL?语句就被攻击者更改为:“?select??column_name?from?table?name?where?login=,dong,?and?password=666;drop?table?post—??如果服务器没有检测出异常,并将其构建成SQL语句提交给数据库就会让数据库面临??被删库的危险。这就是一次典型的SQL注入攻击。??10??
要想获得管理系统的完全控制权,仅仅只有USER权限是不够的,还必须得到管??理系统的管理员权限。??SQL注入攻击流程如图2-2所示。??c开始)??太秘?」含有传递参数??宜伐一 ̄1的动态网页??——否?<SQL^M^>??用户权限?非sa权限?,??SA权限?法1——方法1或法2-???X????i??|利用核心信息表??±???利用xp_cmdshell?sysobjects得到?|扫描表名、字段名??获取系鈇管理权限?I表名、字段名??|利用数5库报错?「估 ̄??|方式段值?丨細!1字龍???5?????提权进一步攻击?<??
【参考文献】:
期刊论文
[1]Android应用中SQL注入漏洞静态检测方法[J]. 潘秋红,崔展齐,王林章. 计算机科学与探索. 2018(08)
[2]基于SQL语法树的SQL注入过滤方法研究[J]. 韩宸望,林晖,黄川. 网络与信息安全学报. 2016(11)
[3]基于敏感字符的SQL注入攻击防御方法[J]. 张慧琳,丁羽,张利华,段镭,张超,韦韬,李冠成,韩心慧. 计算机研究与发展. 2016(10)
[4]基于Kali-Linux渗透测试方法的研究与设计[J]. 姚莉,林科辰,邓丹君. 软件工程. 2016(09)
[5]基于SVM的Web攻击检测技术[J]. 吴少华,程书宝,胡勇. 计算机科学. 2015(S1)
[6]二阶SQL注入攻击防御模型[J]. 田玉杰,赵泽茂,张海川,李学双. 信息网络安全. 2014(11)
[7]ASP.NET应用中SQL注入攻击的分析与防范[J]. 褚龙现. 计算机与现代化. 2014(03)
[8]ASP.NET应用中的“SQL注入”及解决方案[J]. 吴定刚. 电脑知识与技术. 2005(18)
[9]谈Sql注入式攻击的典型手法和检测防范措施[J]. 陈运栋. 微型电脑应用. 2004(09)
硕士论文
[1]基于解析树的SQL注入检测方法研究[D]. 韩涛.哈尔滨工业大学 2013
[2]基于静态分析的防SQL注入过滤模块的设计与实现[D]. 秦广赞.江西师范大学 2012
[3]基于SQL语义的安全过滤系统研究与实现[D]. 谷丰强.中国电力科学研究院 2009
本文编号:2908677
本文链接:https://www.wllwen.com/kejilunwen/zidonghuakongzhilunwen/2908677.html
