检索规则说明:AND代表“并且”;OR代表“或者”;NOT代表“不包含”;(注意必须大写,运算符两边需空一格)
检 索 范 例 :范例一: (K=图书馆学 OR K=情报学) AND A=范并思 范例二:J=计算机应用与软件 AND (U=C++ OR U=Basic) NOT M=Visual
出 处:《计算机科学》2012年第B06期60-64,共5页Computer Science
摘 要:当前Web应用安全问题日益严峻,而SQL注入是针对Web应用最为普遍的攻击手段之一。文中提出了一种新的SQL注入防护方法。该方法通过将静态模式匹配与动态特征过滤配合使用,避免单一方法存在的不足,从而达到良好的效果。该方法通过在安全环境下自动学习所有合法SQL语句,构建知识库;然后在实时工作环境下,利用模式匹配算法将SQL语句与知识库进行匹配,匹配成功则判定为合法SQL语句。对于匹配失败的SQL语句并不立即判定为非法,而是采用基于风险值的动态特征过滤算法进行深度特征检查,识别真正的非法SQL语句。基于本方法,设计并实现了一个原型系统。测试结果表明,该原型系统具有较好的性能优势,并能够很好地解决一般防注入方法带来的准确率与误报率之间的矛盾。Web application security is a serious isssue of information security,and SQL-injection is one of the most common attacks.This paper proposed an approach to counter SQL Injection which combines static mode-matching and dynamic feature-filtering.It learned automatically the structure feature of all legal SQL statements to construct knowledge library in safe environments,and then matched every SQL statement with knowledge library in real environments.If succeeded,this SQL statement was considered to be legitimate.If failed,it was not determined to be illegal immediately.We would take depth-feature check based on Value-at-Risk,and identitify the true illegal SQL statements.Experimental results prove that this proposed approach has good performance and perfect protection for SQL Injection.
分 类 号:TP393.08[自动化与计算机技术—计算机应用技术]
正在载入数据...
正在载入数据...
正在载入数据...
正在载入数据...
正在载入数据...
正在载入数据...
正在载入数据...
正在链接到云南高校图书馆文献保障联盟下载...
云南高校图书馆联盟文献共享服务平台 版权所有©
您的IP:216.73.216.69
