用于SQL注入检测语句块摘要树模型.docVIP

下载本文档

4
0
约8.07千字
约 15页
2018-06-08 发布于福建
举报
版权申诉

用于SQL注入检测语句块摘要树模型.doc

1、有哪些信誉好的足球投注网站（book118）网站文档一经付费（服务费），不意味着购买了该文档的版权，仅供个人/单位学习、研究之用，不得用于商业用途，未经授权，严禁复制、发行、汇编、翻译或者网络传播等，侵权必究。。
2、本站所有内容均由合作方或网友上传，本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺！文档内容仅供研究参考，付费前请自行鉴别。如您付费，意味着您自己接受本站规则且自行承担风险，本站不退款、不进行额外附加服务；查看《如何避免下载的几个坑》。如果您已付费下载过本站文档，您可以点击这里二次下载。
3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等，请点击“版权申诉”（推荐），也可以打举报电话：400-050-0827(电话支持时间：9:00-18:30)。
4、该文档为VIP文档，如果想要下载，成为VIP会员后，下载免费。
5、成为VIP后，下载本文档将扣除1次下载权益。下载后，不支持退款、换文档。如有疑问请联系我们。
6、成为VIP后，您将拥有八大权益，权益包括：VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
7、VIP文档为合作方或网友上传，每下载1次，网站将根据用户上传文档的质量评分、类型等，对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档

用于SQL注入检测语句块摘要树模型

用于SQL注入检测语句块摘要树模型　　【摘要】 SQL注入具有危害性大而实施简单的特点，目前已经成为危害网络信息安全的主要攻击方法之一。本文提出一个用于SQL注入检测的语句块摘要树模型，定义抽象SQL语句、语句块和反映应用系统功能的语句块摘要树，给出该树的生成算法和基于该树的SQL注入检测算法，将检测纳入到应用系统执行的SQL语句序列上下文中，提高了检测的准确性，降低了误报率。实验表明，基于语句块摘要树模型实现SQL注入检测的中间件对系统性能影响很小，说明了模型的有效性和可行性。　　【关键词】 SQL注入；抽象SQL语句；语句块摘要树　　　　Statement Block Digest Tree Model for SQL Injection Detection 　　　　Huang Bao-hua Ma Yan Xie Tong-yi 　　( College of Computer Electronics Information, Guangxi University GuangxiNanning 530004 ) 　　　　【 Abstract 】 For its big harm and easiness of carrying out, SQL Injection is now a main attacking method hurting the network and information security. This paper proposes a statement block digest tree model for SQL injection detection. This model defines abstract SQL statement, SQL statement block and its digest tree in accordance with the function of application， and presents algorithms generating the tree and detecting SQL injection based on the tree. By putting detection on the context of executing SQL statement sequence of application, this model increases the veracity and decreases the mistake rate of detection. Experiments show that the SQL injection detection middleware implemented the model only makes little affect on the performance of system, and imply that the model is efficient and feasible. 　　【 Keywords 】 SQL Injection; Abstract SQL Statement; Statement Block Digest Tree 　　　　0 引言　　动态Web具有交互性好和能够动态更新等优点，目前已经成为Web站点的主要实现方式。为实现良好的交互性和动态性，Web站点一般用数据库存储相关动态内容，并允许用户交互输入访问和检索条件。Web应用程序中如果对用户输入的内容不做精心处理就提交给DBMS（Database Management System），就可能使DBMS执行攻击者精心构造的恶意代码，遭受SQL注入攻击。　　SQL注入攻击轻则导致数据库中敏感信息泄漏，重则可能导致DBMS服务器所在主机被控制，危害性很大。因此，SQL注入检测在信息安全中具有非常重要的意义，受到了业界的高度重视。　　1 SQL注入及其检测概述　　1.1 SQL注入原理　　使用DBMS的动态Web应用系统架构如图1所示。用户通过浏览器（Browser）输入的内容经过Web服务器处理后成为SQL语句，然后提交给DBMS执行。　　比如系统有一登录功能页面，主要代码如图2所示。设系统中有一用户，用户名：bob，口令：6XmrT1eq。正常情况下，bob可以在username和password框中输入自己的用户名和口令登入系统，即Web服务器生成SQL语句select * from login where username =‘bob’ and password = ‘6XmrT1eq’提交给DBMS执行并可以返回结果。　　攻击