基于Web的软件安全分析与监测

doi:10.3969/j.issn.1671-1122.2016.09.041

信息网络安全 ›› 2016, Vol. 16 ›› Issue (9): 208-212.doi: 10.3969/j.issn.1671-1122.2016.09.041

基于Web的软件安全分析与监测

季玉香(), 朱延, 唐晓强

国网冀北电力有限公司技能培训中心,河北保定071000

收稿日期:2016-07-25 出版日期:2016-09-20 发布日期:2020-05-13
作者简介:
作者简介：季玉香（1981—）,女,河北,助教,本科,主要研究方向为计算机应用技术;朱延（1980—）,男,河北,经济师,本科,主要研究方向为计算机应用技术;唐晓强（1980—）,男,内蒙古,讲师,硕士,主要研究方向为计算机软件技术。

Security Analysis of Web Based Software

Yuxiang JI(), Yan ZHU, Xiaoqiang TANG

State Grid Jibei Electric Power Company Limited Skills Training Center, Baoding Hebei 071000, China

Received:2016-07-25 Online:2016-09-20 Published:2020-05-13

摘要/Abstract

摘要：

基于Web的软件在应用中,由于Web结构的问题安全问题越来越严峻。文章对基于Web的系统结构,从安全角度分析了常见的系统问题,主要针对Web平台的认证、授权、加密及管理等方面的设置环节和常见Web攻击的场景及攻击方式对建立Web安全防御机制的需要,通过特征匹配和分块检索技术对系统进行实时监测,提供信息过滤的技术保护。文章提出了采用分片检索技术设计Web防火墙的方式和运用Simhash算法获取报文特征来提升网络防御能力。经过对Web防火墙的设计与分析,以有效的安全手段阻止了危险的侵害,并且最终通过实验证明了文章设计的安全结构的合理性和可操作性。

关键词: Web安全, 本体特征匹配, 监测防护

Abstract:

Security problem of Web software is more and more serious because of Web structure in its application. This paper analyzed common problems of Web system from the point of view of security. It established security defense mechanism towards Web platform authentication, authorization, encryption and management,carried out real-time monitoring through feature matching and block retrieval technology, providing technique protection for information filtering. Concretely,the method of designing the Web firewall by using the slice retrieval technique and the use of the Simhash algorithm to obtain the message feature to improve the network defense capability were adopted. Through the design and analysis of the Web firewall, danger of infringement can be prevented effectively and finally proved rationality and operability of security structure designed in this paper.

Key words: Web security, feature matching, monitoring and defense

中图分类号:

TP309

季玉香, 朱延, 唐晓强. 基于Web的软件安全分析与监测[J]. 信息网络安全, 2016, 16(9): 208-212.

Yuxiang JI, Yan ZHU, Xiaoqiang TANG. Security Analysis of Web Based Software[J]. Netinfo Security, 2016, 16(9): 208-212.

图/表 7

图1

图2

图3

图4

图5

图6

表1

参考文献 10

[1]	TESTA, ALBERTO Gustavo Solino. System and Method for Providing Application Penetration Testing: U S 8484738 [EB/OL]. , 2013-7-9.
[2]	COTRONEO, Domenico.Innovative Technologies for De-pendable OTS -based critical systems[M] . Berlin:Springer, 2013.
[3]	何鹏程,方勇. 一种基于Web日志和网站参数的入侵检测和风险评估模型的研究[J]. 信息网络安全,2015(1):61-65.
[4]	SAJJADI, S M S, POUR B T. Study of SQL Injection at-tacks and Countermeasures[J]. International Journal of Computer and Communication Engineering, 2013, 2(5):539-542.
[5]	李必云,石俊萍.Web 攻击及安全防护技术研究[J].电脑知识与技术:学术交流,2009,5(11):8647-8649.
[6]	叶嘉羲,张权,王剑. 基于权限控制和脚本检测的Webview漏洞防护方案研究[J]. 信息网络安全,2015(3):38-43.
[7]	都娟. 基于模糊测试方法的 Web 应用安全性测试技术的研究及其工具实现[D].上海:华东师范大学,2011.
[8]	齐富民,谢晓尧,徐洋.基于模糊理论的 Web 安全评估模型[J].计算机应用研究,2014,31(6):1883-1888.
[9]	KRSUL I V.Software vulnerability analysis[D]. West Lafayette: Purdue University,1998.
[10]	张明,许博义,许飞. 一种基于混合模式的Web入侵检测系统架构研究[J]. 信息网络安全,2015(9):6-9.

基于Web的软件安全分析与监测

Security Analysis of Web Based Software

RichHTML

PDF (PC)

可视化

摘要/Abstract

引用本文

使用本文

图/表 7

参考文献 10

相关文章 10

编辑推荐

Metrics

本文评价

[1]	黄娜娜, 万良, 邓烜堃, 易辉凡. 一种基于序列最小优化算法的跨站脚本漏洞检测技术[J]. 信息网络安全, 2017, 17(10): 55-62.
[2]	李鑫, 张维纬, 隋子畅, 郑力新. 新型SQL注入及其防御技术研究与分析[J]. 信息网络安全, 2016, 16(2): 66-73.
[3]	姜国锋, 高能, 江伟玉. 基于Shadow DOM和改进PBE的安全口令管理器[J]. 信息网络安全, 2015, 15(9): 270-273.
[4]	张兴杰;池阳;朱潜;徐剑. 基于内核监控及过滤规则的网站防护系统[J]. , 2013, 13(9): 0-0.
[5]	许子先;卜哲;裴立军. 基于纵深防御的Web系统安全架构研究[J]. , 2013, 13(6): 0-0.
[6]	孙歆;韩嘉佳;唐秋杭. 自动化Web安全测试的局限及手工测试方法[J]. , 2013, 13(1): 0-0.
[7]	李馥娟. 从频发的信息泄露事件分析Web服务安全[J]. , 2012, 12(7): 0-0.
[8]	王剑;张玉清. 点击劫持漏洞攻防技术研究[J]. , 2011, 11(7): 0-0.
[9]	张伟;刘文庆;陈星亦. Google Web安全检测工具研究[J]. , 2011, 11(10): 0-0.
[10]	刘明华;任志考;董洪灿. 基于Web安全的电子商务安全模型研究[J]. , 2009, 9(4): 0-0.