首页> 正文

双层防御SQL注入攻击的方法

2020-12-14阅读(719)

双层防御SQL注入攻击的方法

论文摘要

互联网应用程序使用日趋广泛,然而互联网开发人员水平和经验参差不齐,使得互联网应用程序存在大量安全隐患。在Open Web Application Security Project互联网应用安全风险评估排行中,注入攻击被认为是危害最广的攻击,而SQL注入攻击又是最常见的注入。攻击者通过构造恶意的输入字符串,修改原有SQL逻辑结构,从而读取到额外信息甚至执行恶意命令,危害极大,所以如何更有效的防御SQL注入攻击成为紧迫的问题。通过对SQL注入攻击特征的学习,提取出两个主要特征:一是大多数常见的SQL注入攻击存在攻击特征字符串;二是SQL注入攻击的本质特征是修改SQL语句原有逻辑结构。通过对大量SQL注入防御方案的研究,本文结合互联网应用防火墙的应用层过滤器的思路,和应用逻辑层检查SQL结构的思路,提出了一个新的双层防御模型。模型依照这两大特征,将各种各样的SQL注入分两类进行防御:一是防御含有特征攻击字符串的SQL注入攻击;二是防御无明显特征的SQL注入攻击。模型两层结构都采取了静态分析和动态监控结合的方式防御SQL注入攻击。其中,第一层模块采取应用层过滤器检查常见SQL注入攻击特征字符串是否存在;第二层监控实时的SQL请求,检查SQL结构是否被恶意更改。以J2EE平台的互联网应用程序为防御对象,实现了双层防御模型的系统“Double Layer Defense Project”。本系统利用javaFilter实现了对HttpRequest的拦截验证,借助源码等分析工具,实现了动态SQL结构的实时检查。最后实验结果表明双层防御模型一方面可以轻量级的过滤掉常见含攻击特征字符串的SQL注入请求,另一方面可以从修改SQL语句结构来精确判断一个SQL注入攻击,从而实现了对SQL注入攻击更全面有效的防御。

论文目录

  • 摘要
  • Abstract
  • 1 绪论
  • 1.1 研究背景
  • 1.2 国内外研究现状
  • 1.3 主要研究内容
  • 1.4 本文组织结构
  • 2 SQL 注入攻击分析
  • 2.1 SQL 注入攻击
  • 2.2 SQL 注入点分类
  • 2.3 攻击手段分类
  • 2.4 小结
  • 3 双层SQL 注入防御模型
  • 3.1 双层防御模型
  • Filter 防御模块'>3.2 第一层:SQLIAsFilter 防御模块
  • SQLMonitor 防御模块'>3.3 第二层:LogicalSQLMonitor 防御模块
  • 3.4 小结
  • 4 双层防御系统实现
  • Filter 的实现'>4.1 SQLIAsFilter 的实现
  • SQLMonitor 的实现'>4.2 LogicalSQLMonitor 的实现
  • 4.3 小结
  • 5 实验与分析
  • 5.1 实验环境
  • 5.2 实验设计
  • 5.3 测试结果和分析
  • 5.4 小结
  • 6 总结与展望
  • 6.1 全文总结
  • 6.2 改进建议及后续研究方向
  • 致谢
  • 参考文献

    • 相关论文文献

    • [1].嵌入式网络攻击特征的有效识别方法研究[J]. 中国西部科技 2015(07)
    • [2].基于多层剪枝的攻击特征自动提取方法[J]. 中南大学学报(自然科学版) 2014(10)
    • [3].安全攻击特征自动提取技术研究[J]. 电脑编程技巧与维护 2013(20)
    • [4].攻击特征自动提取技术综述[J]. 通信学报 2009(02)
    • [5].攻击特征在线选择方法的研究[J]. 西安邮电学院学报 2009(03)
    • [6].基于序列比对的攻击特征自动提取方法[J]. 湖南大学学报(自然科学版) 2008(06)
    • [7].抗噪的攻击特征自动提取方法[J]. 通信学报 2009(12)
    • [8].高级持续性威胁中攻击特征的分析与检测[J]. 吉林大学学报(理学版) 2019(02)
    • [9].基于流的LDDoS攻击特征研究[J]. 通信技术 2009(07)
    • [10].面向企业网的APT攻击特征分析及防御技术探讨[J]. 电信科学 2013(12)
    • [11].基于网络攻击特征差异的入侵检测模型研究[J]. 电脑知识与技术 2017(27)
    • [12].抗IP分片逃避技术的设计与实现[J]. 计算机工程与科学 2015(02)
    • [13].基于异常诊断的代码注入攻击自动分析和响应系统[J]. 软件学报 2008(06)
    • [14].引入AI技术的云网联动防护方案[J]. 信息记录材料 2020(05)
    • [15].大数据下源代码同源性安全分析探讨[J]. 科技视界 2015(03)
    • [16].浅析网络钓鱼策略及对策[J]. 华商 2008(15)
    • [17].基于智能主体的分布式入侵检测系统研究[J]. 科学技术与工程 2011(02)
    • [18].基于SVM和序列联配的攻击特征提取方法[J]. 中南大学学报(自然科学版) 2012(11)
    • [19].一种基于攻击特征变异预测的网络入侵检测方法[J]. 科技通报 2012(06)
    • [20].APT攻击特征分析与对策研究[J]. 保密科学技术 2013(12)
    • [21].基于攻击特征签名的自动生成[J]. 计算机科学 2012(03)
    • [22].基于可回溯动态污点分析的攻击特征生成方法[J]. 通信学报 2012(05)
    • [23].面向网络攻击的能力评估分类体系研究[J]. 计算机应用研究 2020(08)
    • [24].无线通信网络中攻击信号定位识别仿真研究[J]. 计算机仿真 2016(11)
    • [25].大数据抵御APT攻击的可行性研究[J]. 电子制作 2015(10)
    • [26].基于多序列比对的网络攻击特征数据提取算法分析[J]. 西南师范大学学报(自然科学版) 2015(07)
    • [27].基于相似性计算的高效存储型XSS客户端攻击识别模型[J]. 南京邮电大学学报(自然科学版) 2017(04)
    • [28].云计算环境下软件异常区域检测模型仿真[J]. 计算机仿真 2015(09)
    • [29].大数据分析的漏洞检测方案设计[J]. 山西电子技术 2020(01)
    • [30].计算机网络安全问题及防范浅析[J]. 无线互联科技 2013(03)

    标签:;  ;  ;  

    双层防御SQL注入攻击的方法
    下载Doc文档

    猜你喜欢

    © 2024 毕速过 版权所有 鄂ICP备12018319号-5