2023年全國碩士研究生考試考研英語一試題真題(含答案詳解+作文范文)_第1頁
已閱讀1頁,還剩70頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展以及網(wǎng)絡(luò)平臺(tái)的易開發(fā)、易使用和平臺(tái)開放等特性,越來越多的公司企業(yè)、行政機(jī)關(guān)以及個(gè)人都在互聯(lián)網(wǎng)上建立了自己的站點(diǎn),但也使得網(wǎng)絡(luò)平臺(tái)的安全形勢日益嚴(yán)峻。Web應(yīng)用程序存在的許多編碼漏洞,將導(dǎo)致Web服務(wù)器易于受到網(wǎng)絡(luò)惡意攻擊,其中SQL注入攻擊是流傳較為廣泛而且危害性較大的攻擊方法。為保證Web應(yīng)用程序的安全,通過Web漏洞掃描及時(shí)發(fā)現(xiàn)、挖掘出SQL注入漏洞是非常重要的。一般情況下,在對(duì)Web漏洞掃描時(shí),需要抓取網(wǎng)站所

2、有網(wǎng)頁并對(duì)覆蓋較多的SQL注入漏洞,這將導(dǎo)致過高的掃描時(shí)間開銷。因此,在SQL注入漏洞掃描過程中,適當(dāng)縮減掃描規(guī)模又盡可能充分覆蓋系統(tǒng)中可能存在的SQL注入漏洞成為了當(dāng)前亟需解決的問題。
  本文首先介紹國內(nèi)外在SQL注入漏洞檢測上的一些進(jìn)展,通過詳細(xì)研究了當(dāng)前漏洞檢測常用方法,在前面研究的基礎(chǔ)上設(shè)計(jì)和實(shí)現(xiàn)了一個(gè)檢測效率高同時(shí)漏洞檢出率也較高的Web漏洞安全檢測模型。這個(gè)模型的設(shè)計(jì)主要分為兩部分:基于模板匹配的網(wǎng)絡(luò)爬蟲和基于知識(shí)庫

3、自動(dòng)擴(kuò)展的SQL注入漏洞挖掘模塊構(gòu)成。本文設(shè)計(jì)的模型實(shí)現(xiàn)了網(wǎng)站漏洞掃描時(shí)爬蟲抓取對(duì)象的適當(dāng)精簡,從而大大提高了漏洞掃描的效率。同時(shí),為了提高SQL注入漏洞的檢出率,本文設(shè)計(jì)并實(shí)現(xiàn)了用于檢測的模擬攻擊集自動(dòng)擴(kuò)展。擴(kuò)展后的模擬攻擊集涵蓋多個(gè)方面的黑客攻擊途徑,在系統(tǒng)遭受攻擊之前為安全工作者和系統(tǒng)開發(fā)者提供系統(tǒng)編碼和安全機(jī)制的漏洞信息。
  本文提出了基于模板匹配的網(wǎng)絡(luò)爬蟲解決方案用于實(shí)現(xiàn)掃描對(duì)象的精簡從而對(duì)目標(biāo)服務(wù)器實(shí)施高效準(zhǔn)確的漏洞

4、檢測。它首先對(duì)同一模板下的網(wǎng)頁進(jìn)行抽樣抓,再對(duì)抓取的網(wǎng)頁進(jìn)行結(jié)構(gòu)相似度計(jì)算,根據(jù)相似網(wǎng)頁的在抽樣中所在的比例決定是否完全抓取該模板下的網(wǎng)頁。本文通過模板匹配方法過濾掉那些同一模板結(jié)構(gòu)重復(fù)的網(wǎng)頁實(shí)現(xiàn)了漏洞掃描對(duì)象的精簡,并付諸于具體實(shí)驗(yàn)。實(shí)驗(yàn)證明,基于模板匹配的網(wǎng)絡(luò)爬蟲設(shè)計(jì)方案針對(duì)不同類型的網(wǎng)站時(shí)保持了一定規(guī)模之內(nèi)的抓取數(shù)量(實(shí)驗(yàn)中分別爬行三種類型網(wǎng)站的抓取數(shù)量為88-129),同時(shí)由于設(shè)計(jì)了前綴匹配爬行策略,本文設(shè)計(jì)的爬蟲對(duì)網(wǎng)頁深度設(shè)置

5、不敏感實(shí)現(xiàn)了檢測結(jié)果的高魯棒性。
  另一方面,由于SQL注入漏洞的黑盒檢測依賴一個(gè)預(yù)先定義好的模擬攻擊集,這個(gè)模擬攻擊集中包含了所有可能存在的黑客攻擊手段,如何完善這個(gè)模擬攻擊集從而實(shí)現(xiàn)對(duì)可能存在的黑客攻擊的有效覆蓋成了本文另一個(gè)研究重點(diǎn)。本文提出的基于知識(shí)庫自動(dòng)擴(kuò)展的SQL注入漏洞挖掘,通過研究當(dāng)前的SQL注入攻擊的各種變種形式,總結(jié)出了SQL注入攻擊語句的各種不同的變化模式,將這些變化的模式應(yīng)用到現(xiàn)有的模擬攻擊集上從而實(shí)現(xiàn)了

6、檢測手段的擴(kuò)展。新的模擬攻擊集擴(kuò)展方案不僅可以掃描服務(wù)器的編碼漏洞還可以檢測出當(dāng)前部署的安全機(jī)制上的不足,從而有效預(yù)防了SQL注入攻擊對(duì)目標(biāo)站點(diǎn)的侵害。實(shí)驗(yàn)證明,擴(kuò)展后漏洞檢出率都在80%以上,雖然擴(kuò)展后的時(shí)間開銷確實(shí)要高于擴(kuò)展之前,但兩者差距并不明顯實(shí)驗(yàn)中的三組實(shí)驗(yàn)結(jié)果的差距基本控制在5s之內(nèi)。
  本文的研究依托浙江省重大項(xiàng)目“基于云計(jì)算感知的Web漏洞防護(hù)系統(tǒng)”課題,研究成果可為Web漏洞,尤其是SQL注入漏洞的檢測供技術(shù)支

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 眾賞文庫僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論