基于分类的SQL注入攻击双层防御模型研究

doi:10.3969/j.issn.1671-1122.2015.06.001

信息网络安全 ›› 2015, Vol. 15 ›› Issue (6): 1-6.doi: 10.3969/j.issn.1671-1122.2015.06.001

• 等级保护 • 下一篇

基于分类的SQL注入攻击双层防御模型研究

田玉杰(), 赵泽茂, 王丽君, 连科

杭州电子科技大学通信工程学院,浙江杭州 310018

收稿日期:2015-05-13 出版日期:2015-06-20 发布日期:2018-07-16
作者简介:
作者简介：田玉杰（1987-）,男,山东,硕士研究生,主要研究方向：信息安全;赵泽茂（1965-）,男,四川,教授,博士,主要研究方向：信息安全与密码学;王丽君（1989-）,女,河南,硕士研究生,主要研究方向：信息安全与密码学;连科（1986-）,男,河北,硕士研究生, 主要研究方向：通信网络与信息安全。
基金资助:
浙江省自然科学基金[R109000138];浙江省钱江人才计划[2013R10071]

Research on Double Layer Defense Model for SQL Injection Attack Based on Classification

Yu-jie TIAN(), Ze-mao ZHAO, Li-jun WANG, Ke LIAN

Department of Communication Engineering, Hangzhou Dianzi University, Hangzhou Zhejiang 310018, China

Received:2015-05-13 Online:2015-06-20 Published:2018-07-16

摘要/Abstract

摘要：

近几年来,对于SQL注入攻击防御的研究已经取得一些进展,但现有的SQL注入攻击防御措施仍存在局限性。文章针对SQL注入攻击防御中存在的一些问题进行了研究。首先,针对用户输入过滤措施存在对正常数据的误报问题,提出一种基于Http请求分类的用户输入过滤措施;而针对用户输入过滤措施存在对恶意数据的漏报问题,只要增加语法结构比较措施即可。其次,针对语法结构比较措施存在检测效率低的问题,提出一种基于参数化分类的动态查询匹配措施。最后,基于以上两种措施,提出一种基于分类的SQL注入攻击双层防御模型。实验结果表明,该模型对SQL注入攻击有较好的防御能力,可以有效降低用户输入过滤的误报率和漏报率,且提高了语法结构比较措施的检测效率。

关键词: SQL注入攻击, 用户输入过滤, 语法结构比较, 防御模型

Abstract:

In recent years, some progresses have been made on the research on SQL injection attack defense. However, the present measures of SQL injection attack defense still have limitations. This paper studies the problems existing in the SQL injection attack defense. At first, for the misinformation problem of normal data existing in the user inputs, a measure to filter user inputs is proposed which is based on Http request classification, and the measure of grammatical structure comparison is proposed to solve the underreporting problem of malicious data. Secondly, for the low detection efficiency problem existing in the measure of grammatical structure comparison, a dynamic query matching measure based on the parameterized classification is proposed. Finally, based on the above two measures, a double layer defense model based on classification for SQL injection attack is proposed. The experimental results show that the defense model has good defense capability against SQL injection attacks, which can effectively reduce the misinformation rate and the underreporting rate existing in user input filtering, and improve the detection efficiency of the measure of the grammatical structure comparison.

Key words: SQL injection attack, user input filtering, grammatical structure comparison, defense model

中图分类号:

TP309

田玉杰, 赵泽茂, 王丽君, 连科. 基于分类的SQL注入攻击双层防御模型研究[J]. 信息网络安全, 2015, 15(6): 1-6.

Yu-jie TIAN, Ze-mao ZHAO, Li-jun WANG, Ke LIAN. Research on Double Layer Defense Model for SQL Injection Attack Based on Classification[J]. Netinfo Security, 2015, 15(6): 1-6.

图/表 11

图1

图2

图3

图4

图5

图6

图7

表1

表2

表3

表4

参考文献 17

[1]	郑成兴. 网络入侵防范的理论与实践[M].第1版.北京:机械工业出版社, 2006.
[2]	高鹏, 严望佳.构建安全的Web站点[M].北京:清华大学出版社, 1999.
[3]	ANLEY,Chris.Advanced SQL injection in SQL server applications[R].An NGSSoftware Insight Security Research (NISR) Publication, 2002.
[4]	Becher M.Web Application Firewalls[D]. Akademikerverlag:Universiti Teknologi MARA, 2012.
[5]	Roesch M.Snort: Lightweight intrusion detection for networks[C]// Proceedings of the 13th Conference on Systems Administration(LISA-99),USENIX Association ,Nov 1999:229-238.
[6]	Debasish Das, Utpal Sharma, Bhattacharyya D K.An approach to detection of SQL injection attack based on dynamic query matching[J].2010 International Journal of Computer Applications. 2010,1(25):28-34.
[7]	BOYD, Stephen W KEROMYTIS, Angelos D. SQLrand: Preventing SQL injection attacks[C]//Applied Cryptography and Network Security. Springer Berlin Heidelberg, 2004: 292-302.
[8]	李原, 蒋华伟. 基于指令集随机化的SQL注入防御技术研究[J]. 计算机与数字工程, 2009,37(1):96-99.
[9]	褚龙现. ASP.NET应用中SQL注入攻击的分析与防范[J]. 计算机与现代化, 2014,(3):151-153,160.
[10]	成晓利. Web应用程序SQL注入攻击漏洞测试系统的研究与实现[D]. 成都:西南交通大学,2013.
[11]	王小鉴. SQL参数化查询详解[J]. 电脑编程技巧与维护, 2011,(1):42-50.
[12]	黄龙军. 存储过程技术在网络考试系统SQL注入攻击防御上的应用[J]. 计算机系统应用, 2013,1(22):103-106.
[13]	史硕江. 存储过程在ASP_NET中的应用[J]. 计算技术与信息发展, 2009, (12):56-57.
[14]	黄伟力. 基于存储过程的网络数据库应用系统安全体系[J]. 科技广场, 2009,(3):90-91.
[15]	钱林红,文洪建. 部分加密防御SQL注入攻击[J]. 信息科技,2008,11(24):82-82.
[16]	王巍. 数据库中敏感数据加密方法的研究[J]. 科技广场,2007,(9):111-114.
[17]	William G J Halfond, Alessandro Orso. AMNESIA: analysis and Monitoring for NEutralizing SQL-Injection Attacks[C]// Proceedings of the International Conference on Automated Software Engineering, November 2005:174-183.

基于分类的SQL注入攻击双层防御模型研究

Research on Double Layer Defense Model for SQL Injection Attack Based on Classification

RichHTML

PDF (PC)

可视化

摘要/Abstract

引用本文

使用本文

图/表 11

参考文献 17

相关文章 7

编辑推荐

Metrics

本文评价

[1]	刘文生, 乐德广, 刘伟. SQL注入攻击与防御技术研究[J]. 信息网络安全, 2015, 15(9): 129-134.
[2]	. 二阶 SQL 注入攻击防御模型[J]. , 2014, 14(11): 70-.
[3]	田玉杰, 赵泽茂, 张海川, 李学双. 二阶SQL注入攻击防御模型[J]. 信息网络安全, 2014, 15(11): 70-73.
[4]	杨玉龙;彭长根;周洲. 基于同态加密的防止SQL注入攻击解决方案[J]. , 2014, 14(1): 0-0.
[5]	张令通;罗森林. SQL盲注入快速攻击方法研究[J]. , 2013, 13(5): 0-0.
[6]	魏为民;袁仲雄. 网络攻击与防御技术的研究与实践[J]. , 2012, 12(12): 0-0.
[7]	颜浩;蒋巍;蒋天发. SQLI和XSS漏洞检测与防御技术研究[J]. , 2011, 11(12): 0-0.