SQL注入漏洞检测研究

【摘要】随着网络技术的飞速发展以及网络平台的易开发、易使用和平台开放等特性,越来越多的公司企业、行政机关以及个人都在互联网上建立了自己的站点,但也使得网络平台的安全形势日益严峻。Web应用程序存在的许多编码漏洞,将导致Web服务器易于受到网络恶意攻击,其中SQL注入攻击是流传较为广泛而且危害性较大的攻击方法。为保证Web应用程序的安全,通过Web漏洞扫描及时发现、挖掘出SQL注入漏洞是非常重要的。一般情况下,在对Web漏洞扫描时,需要抓取网站所有网页并对覆盖较多的SQL注入漏洞,这将导致过高的扫描时间开销。因此,在SQL注入漏洞扫描过程中,适当缩减扫描规模又尽可能充分覆盖系统中可能存在的SQL注入漏洞成为了当前亟需解决的问题。本文首先介绍国内外在SQL注入漏洞检测上的一些进展,通过详细研究了当前漏洞检测常用方法,在前面研究的基础上设计和实现了一个检测效率高同时漏洞检出率也较高的Web漏洞安全检测模型。这个模型的设计主要分为两部分：基于模板匹配的网络爬虫和基于知识库自动扩展的SQL注入漏洞挖掘模块构成。本文设计的模型实现了网站漏洞扫描时爬虫抓取对象的适当精简,从而大大提高了漏洞扫描的效率。同时,为了提高SQL注入漏洞的检出率,本文设计并实现了用于检测的模拟攻击集自动扩展。扩展后的模拟攻击集涵盖多个方面的黑客攻击途径,在系统遭受攻击之前为安全工作者和系统开发者提供系统编码和安全机制的漏洞信息。本文提出了基于模板匹配的网络爬虫解决方案用于实现扫描对象的精简从而对目标服务器实施高效准确的漏洞检测。它首先对同一模板下的网页进行抽样抓,再对抓取的网页进行结构相似度计算,根据相似网页的在抽样中所在的比例决定是否完全抓取该模板下的网页。本文通过模板匹配方法过滤掉那些同一模板结构重复的网页实现了漏洞扫描对象的精简,并付诸于具体实验。实验证明,基于模板匹配的网络爬虫设计方案针对不同类型的网站时保持了一定规模之内的抓取数量(实验中分别爬行三种类型网站的抓取数量为88-129),同时由于设计了前缀匹配爬行策略,本文设计的爬虫对网页深度设置不敏感实现了检测结果的高鲁棒性。另一方面,由于SQL注入漏洞的黑盒检测依赖一个预先定义好的模拟攻击集,这个模拟攻击集中包含了所有可能存在的黑客攻击手段,如何完善这个模拟攻击集从而实现对可能存在的黑客攻击的有效覆盖成了本文另一个研究重点。本文提出的基于知识库自动扩展的SQL注入漏洞挖掘,通过研究当前的SQL注入攻击的各种变种形式,总结出了SQL注入攻击语句的各种不同的变化模式,将这些变化的模式应用到现有的模拟攻击集上从而实现了检测手段的扩展。新的模拟攻击集扩展方案不仅可以扫描服务器的编码漏洞还可以检测出当前部署的安全机制上的不足,从而有效预防了SQL注入攻击对目标站点的侵害。实验证明,扩展后漏洞检出率都在80%以上,虽然扩展后的时间开销确实要高于扩展之前,但两者差距并不明显实验中的三组实验结果的差距基本控制在5s之内。本文的研究依托浙江省重大项目“基于云计算感知的Web漏洞防护系统”课题,研究成果可为Web漏洞,尤其是SQL注入漏洞的检测供技术支撑。本文也为网络爬虫技术、漏洞扫描覆盖以及漏洞知识库自动扩展提供了一些全新角度的方法和思路,对进一步研究Web漏洞检测和防护以及自动识别网络黑客的SQL注入手段提供了一定的参考价值和借鉴作用。
【作者】刘笑杭；
【导师】陈勤；
【作者基本信息】杭州电子科技大学，计算机软件与理论，2014，硕士
【关键词】漏洞扫描；相似度匹配；网络爬虫；SQL注入；模拟攻击；漏洞挖掘；

【参考文献】
[1]胡智超.腾讯Q~+应用商店前端框架设计与实现及性能优化[D].哈尔滨工业大学,软件工程,2013,硕士.
[2]李金龙.高效率数字电源谐振和同步整流控制策略研究[D].重庆大学,电气工程,2014,硕士.
[3]陈建强.掌握银行风险管理的关键[J].金融电子化,2003,07:65-66.
[4]胡蓉.基于标签—主题模型的标签推荐研究[D].华中师范大学,计算机应用技术,2013,硕士.
[5]毛祎.三维模型检索及其应用[D].浙江大学,计算机应用,2004,硕士.
[6]董芸芳.双吲哚，β-氨基酮及硫醚类化合物的合成和生物活性研究[D].河北大学,药物化学,2014,硕士.
[7]刘润波.外贸企业网络营销的研究[D].哈尔滨工程大学,2004.
[8]孟猛,王晓瑞,梁家恩,徐波.一种基于互补声学模型的多系统融合语音关键词检测方法[J].自动化学报,2009,01:39-45.
[9]汪灿.Sr、Mg掺杂的LaGaO_3功能陶瓷成分、结构和电导率的研究[D].合肥工业大学,材料学,2004,硕士.
[10]孙斯扬.中国外交部新闻发言人例行记者会中合作原则的偏离现象研究[D].东北师范大学,外国语言学及应用语言学,2012,硕士.
[11]孔旭.基于业务规则的外呼信息管理系统设计与实现[D].天津大学,软件工程,2013,硕士.
[12]吕宝雨.牵引供电系统外部电源可靠性评估[D].西南交通大学,检测技术与自动化装置,2013,硕士.
[13]A.E.考斯基,唐建,于润沧.矿山设计软件在帝国铁矿的应用[J].国外金属矿山.2001(03)
[14]席达.新型纳米金粒子制备及CT造影效果的研究[D].第二军医大学,影像医学与核医学（专业学位）,2013,硕士.
[15]高洁.非预应力锚杆格构模拟试验研究[D].长安大学,地质工程（专业学位）,2013,硕士.
[16]郭鹏.广州市职业健康监管的问题与对策研究[D].华南理工大学,公共管理（专业学位）,2014,硕士.
[17]李大勇,时延鹏.数据库技术的历史及未来的发展趋势综述[J].辽宁省交通高等专科学校学报,2005,02:64-65+73.
[18]李淑玲.益气活血方治疗老年“H型”高血压（气虚血瘀证）临床疗效观察[D].甘肃中医学院,中西医结合临床,2014,硕士.
[19]陈少风.信息技术与小学英语口语教学的整合模式及策略研究[D].东北师范大学,现代教育技术,2012,硕士.
[20]贾凤菊.黄光铱配合物的合成及电致发光性质研究[D].大连理工大学,应用化学,2013,硕士.
[21]杨春媛.人类肝脏疾病本体的构建及其应用[D].北京协和医学院,遗传学,2012,博士.
[22]苏玉萍.银杏总内酯的纯化工艺研究[D].黑龙江中医药大学,中药学,2013,硕士.
[23]徐嘉.南亚热带两种人工林土壤碳过程对减少降雨的响应[D].中国林业科学研究院,生态学,2014,博士.
[24]杨盼盼.B7-H2基因3’-UTR内的单核苷酸多态性与胃癌发生相关性的研究[D].苏州大学,肿瘤学,2014,硕士.
[25]蔡铁铮.基于J2EE的印刷厂客户关系管理系统的设计与实现[D].吉林大学,软件工程,2012,硕士.
[26]吴相蕾.我国信托公司经营效率的实证研究[D].西北大学,金融学,2014,硕士.
[27]任蓉.基于ARM的LED屏显示控制系统的设计[D].武汉工业学院,机械电子工程,2012,硕士.
[28]时宏伟,黄成芳,关振柔.直接序列非相参扩频系统抗干扰性能的研究[J].电讯技术.1990(04)
[29]倪亚贤.在高中物理学习中引入数值计算的探索[D].苏州大学,课程与教学论,2003,硕士.
[30]郑畅.博通再谈摩尔定律:5nm是半导体极限看好石墨烯[J].半导体信息,2013,06:32-33.
[31]朱宁.Arnold加密算法改进[D].山东大学,软件工程（专业学位）,2012,硕士.
[32]陈雪.氧化—共聚法制备聚合铁—聚季铵盐复合絮凝剂及应用性能[D].南京航空航天大学,有机化学,2014,硕士.
[33]沈韵琪.Mg-Zn-Zr-Y合金中的光亮晶粒[J].轻合金加工技术.1990(01)
[34]王杉杉.Gdf6和Egr2在多潜能干细胞向前脂肪细胞定向过程中的作用及机制研究[D].复旦大学,分子医学,2013,博士.
[35]穆春玉.木质素/聚乳酸复合材料的制备与性能研究[D].西南交通大学,材料科学与工程,2014,硕士.
[36]郭淑娟.小学班主任教师工作压力的个案研究[D].东北师范大学,教育,2012,硕士.
[37]杨艳霞.内蒙古生态补偿的可持续性研究[D].内蒙古大学,环境工程,2014,硕士.
[38]陈芳.艺术类大学生党员思想状况实证研究[D].湖南师范大学,科学社会主义与国际共产主义运动,2014,硕士.
[39]杨欢.陆相微生物脂类GDGTs的古气候重建：现代过程及其在黄土—古土壤和石笋中的应用[D].中国地质大学,古生物学与地层学,2014,博士.
[40]刘潘.概率XML文档中Twig查询处理算法的研究与实现[D].东北大学,计算机系统结构,2010,硕士.
[41]WEIYINGHUI.《老友记》中话语标记语well的顺应性语用分析[D].西安外国语大学,英语语言文学,2013,硕士.
[42]李立明.基于图像处理的轨距检测算法研究[D].上海工程技术大学,车辆工程,2010,硕士.
[43]王郑.鄂尔多斯地区核心网的网络接通率分析[D].内蒙古大学,电子与通信工程,2013,硕士.
[44]杜玉晓.生物学科育人论[D].山东师范大学,课程与教学论,2013,硕士.
[45]郭绚霞.新时期高校学生干部培养研究[D].湖南大学,思想政治教育,2013,硕士.
[46]谭璟.武汉城市地铁导向标识系统设计研究[D].湖北工业大学,艺术设计学,2013,硕士.
[47]李文奇.区域创新平台三维协同模式研究[D].哈尔滨理工大学,管理科学与工程,2012,硕士.
[48]夏丽娟.红树林活性真菌的筛选及两株内生真菌次级代谢产物的研究[D].广东工业大学,应用化学,2013,硕士.
[49]王泳龙.提高光栅投影法测量精度关键方法的研究[D].南昌航空大学,测试计量技术及仪器,2013,硕士.
[50]潘菠.孝感市综合高级中学信息技术与历史教学整合现状调查与思考[D].华中师范大学,学科教学,2014,硕士.