基于BERT-GAN的SQL注入攻击检测方法研究

1

作者 罗艺铭 谭玉波 李建平 《微电子学与计算机》 2024年第11期39-47,共9页

针对主流检测方法识别SQL注入攻击面临的检测准确率不高和用于训练的大量真实数据集通常难以获取的问题,提出了一种用于检测SQL注入攻击的BERT-GAN网络模型。通过半监督学习方案来综合对抗样本,采用微调的BERT模型处理未标记数据,利用... 针对主流检测方法识别SQL注入攻击面临的检测准确率不高和用于训练的大量真实数据集通常难以获取的问题,提出了一种用于检测SQL注入攻击的BERT-GAN网络模型。通过半监督学习方案来综合对抗样本,采用微调的BERT模型处理未标记数据,利用生成对抗网络区分对抗性和真实示例以及检测恶意和良性样本。实验结果表明,模型在公开管理和标准化数据集sqli,sqliv2和自建的sqli-extend数据集上与基于CNN、LSTM、BERTBase、GAN-Base模型的SQL注入攻击检测方法对比,准确率、精确率、召回率和F1值均有一定程度提高。模型的目标损失函数收敛速度更快说明所提模型具有高效性。 展开更多

关键词 sql注入 攻击检测 生成对抗网络 BERT 半监督学习

下载PDF 职称材料

基于污点分析的SQL注入漏洞检测 被引量：1

2

作者 王国峰 唐云善 徐立飞 《信息技术》 2024年第2期185-190,共6页

SQL注入漏洞给Web程序的数据库系统带来巨大的风险,一旦此漏洞遭受攻击,其带来的损失不可估量。对此,提出一种基于污点分析的SQL注入漏洞的检测方法。该方法以三地址码为中间表示,根据SQL注入漏洞特征,设计了用于前向分析的污点数据流... SQL注入漏洞给Web程序的数据库系统带来巨大的风险,一旦此漏洞遭受攻击,其带来的损失不可估量。对此,提出一种基于污点分析的SQL注入漏洞的检测方法。该方法以三地址码为中间表示,根据SQL注入漏洞特征,设计了用于前向分析的污点数据流值和污点传播规则;在程序控制流图上进行数据流算法的迭代分析;在计算过程中同步进行安全性检查,进而得到所有包含污点数据的Sink点;通过遍历包含污点数据的Sink点集合,报出SQL注入漏洞位置。最后通过对比实验验证了该方法的有效性。 展开更多

关键词 sql注入 静态漏洞检测 数据流分析 污点分析

下载PDF 职称材料

SQL注入攻击及其防范检测技术研究 被引量：73

3

作者 陈小兵 张汉煜 +1 位作者 骆力明 黄河 《计算机工程与应用》 CSCD 北大核心 2007年第11期150-152,203,共4页

简要介绍了SQL注入攻击的原理,SQL注入攻击实现过程,配合网页木马实施网络入侵的方法,给出了SQL注入攻击的检测方法,并在此基础上给出了一种SQL注入攻击的自动防范模型。

关键词 sql注入攻击 防范检测技术 网页木马

下载PDF 职称材料

SQL注入漏洞多等级检测方法研究 被引量：18

4

作者 练坤梅 许静 +1 位作者 田伟 张莹 《计算机科学与探索》 CSCD 2011年第5期474-480,共7页

在深入分析SQL(structured query language)注入攻击特点、攻击方式及SQL注入漏洞相关防御机制的基础上,依据防御度的高低对SQL注入漏洞进行分级。将漏洞分级作为SQL注入模糊测试用例等价类划分的依据,对SQL注入参数进行优化选择后,模... 在深入分析SQL(structured query language)注入攻击特点、攻击方式及SQL注入漏洞相关防御机制的基础上,依据防御度的高低对SQL注入漏洞进行分级。将漏洞分级作为SQL注入模糊测试用例等价类划分的依据,对SQL注入参数进行优化选择后,模拟黑客攻击的方式主动地、有针对性地进行检测。SQL注入参数的等价类划分保证了模糊测试过程的完备性和无冗余性。 展开更多

关键词 漏洞检测 结构化查询语言(sql) sql注入 分级 模糊测试 等价类划分

下载PDF 职称材料

Web环境下SQL注入攻击的检测与防御 被引量：55

5

作者 张勇 李力 薛倩 《现代电子技术》 2004年第15期103-105,108,共4页

简要介绍了 SQL注入式攻击的原理。在前人提出的“对用户输入信息实施过滤”的技术基础上 ,建立了一个针对 SQL 注入攻击的检测 /防御 /备案通用模型。该模型在客户端和服务器端设置两级检查。对于一般性用户误操作和低等级恶意攻击 ,... 简要介绍了 SQL注入式攻击的原理。在前人提出的“对用户输入信息实施过滤”的技术基础上 ,建立了一个针对 SQL 注入攻击的检测 /防御 /备案通用模型。该模型在客户端和服务器端设置两级检查。对于一般性用户误操作和低等级恶意攻击 ,客户端的检查将自动做出反应 ;考虑到客户端检查有可能被有经验的攻击者绕开 ,特在服务器端设定二级检查。在文中还提出了对高等级恶意攻击的自动备案技术 。 展开更多

关键词 系统安全 sql SERVER sql注入攻击 IDS检测 DDL模型

下载PDF 职称材料

面向安卓热更新的dex注入漏洞的自动化检测系统

6

作者 彭涛 吕星航 +5 位作者 汤俊伟 张自力 刘军平 胡新荣 何儒汉 吴忠华 《计算机应用与软件》 北大核心 2025年第3期363-370,391,共9页

安卓应用热更新推送补丁包过程中,由于没有添加数字签名,攻击者可以劫持篡改dex文件,导致dex注入,造成严重后果。针对上述问题,提出一种基于mitmproxy的自动化检测系统Homide,该系统首先利用mitmproxy获取客户端与服务端之间交互的所有... 安卓应用热更新推送补丁包过程中,由于没有添加数字签名,攻击者可以劫持篡改dex文件,导致dex注入,造成严重后果。针对上述问题,提出一种基于mitmproxy的自动化检测系统Homide,该系统首先利用mitmproxy获取客户端与服务端之间交互的所有数据包,同时定位dex文件,然后向dex注入代码并采用中间人攻击的方式推送给客户端执行,最后通过应用输出的日志信息来验证是否存在dex注入漏洞。针对应用市场中的513个应用,Homide成功检测出新的17个存在dex注入的应用,实验结果表明,Homide能有效检测出真实世界中因热更新导致dex注入的应用。 展开更多

关键词 漏洞检测 中间人攻击 自动化检测 mitmproxy dex注入

下载PDF 职称材料

基于序列比对的SQL注入攻击检测方法 被引量：10

7

作者 孙义 胡雨霁 黄皓 《计算机应用研究》 CSCD 北大核心 2010年第9期3525-3528,共4页

SQL注入攻击已经严重影响了网络应用的安全,因为它可以使攻击者不受限制地访问数据库中的敏感信息。为此,提出了一种新的基于序列比对的方法进行SQL注入攻击检测,并给出了序列比对算法的实施过程和基于该算法的检测方法;最后对该方法的... SQL注入攻击已经严重影响了网络应用的安全,因为它可以使攻击者不受限制地访问数据库中的敏感信息。为此,提出了一种新的基于序列比对的方法进行SQL注入攻击检测,并给出了序列比对算法的实施过程和基于该算法的检测方法;最后对该方法的正确性和性能进行了分析和测试。实验结果表明,本方法是简单有效的。 展开更多

关键词 sql注入 序列比对 攻击检测

下载PDF 职称材料

SQL注入攻击检测与防御研究 被引量：9

8

作者 齐林 王静云 +1 位作者 蔡凌云 陈宁波 《河北科技大学学报》 CAS 2012年第6期530-533,共4页

简要介绍了SQL注入攻击的原理,对SQL注入攻击方式进行了分析,总结了SQL注入攻击的流程。根据SQL注入攻击的基本原理以及入侵前和入侵后的检测方法不同,提出了SQL注入攻击检测的方法,并在此基础上给出了一种基于客户端和服务器端的SQL注... 简要介绍了SQL注入攻击的原理,对SQL注入攻击方式进行了分析,总结了SQL注入攻击的流程。根据SQL注入攻击的基本原理以及入侵前和入侵后的检测方法不同,提出了SQL注入攻击检测的方法,并在此基础上给出了一种基于客户端和服务器端的SQL注入攻击的防御模型,经过测试表明该模型的计算时间复杂度低,具有安全性和通用性,解决了网络中存在的SQL注入攻击问题。 展开更多

关键词 sql注入 攻击检测 参数传递 防御模型

下载PDF 职称材料

基于AOP与SQL结构分析的SQLIAs动态检测及防御 被引量：3

9

作者 何成万 青旺 +1 位作者 徐雅琴 严柯 《计算机工程》 CAS CSCD 北大核心 2018年第4期154-160,共7页

SQL注入攻击(SQLIAs)是一种危险且有效的基于Web的攻击方式。任何形式的SQLIAs最终都会改变原有SQL语句的逻辑结构,针对该攻击特征,提出一种基于AOP与SQL语句结构分析的SQLIAs动态检测及防御方法,在SQLIAs产生根源对其进行防御。借助代... SQL注入攻击(SQLIAs)是一种危险且有效的基于Web的攻击方式。任何形式的SQLIAs最终都会改变原有SQL语句的逻辑结构,针对该攻击特征,提出一种基于AOP与SQL语句结构分析的SQLIAs动态检测及防御方法,在SQLIAs产生根源对其进行防御。借助代码静态分析工具自动获取SQL注入点位置、Signature信息以及静态SQL语句模型,使用AOP技术在程序执行过程中动态捕获需要被执行的SQL语句,将静态分析得到的信息与动态获取的信息进行比较,判断是否存在SQLIAs。通过简单的用户登录功能验证该方法的有效性,实验结果表明,该方法能有效检测和防御SQLIAs。 展开更多

关键词 sql注入攻击 面向方面编程 攻击特征 动态检测 逻辑结构

下载PDF 职称材料

基于AOP和动态污点分析的SQL注入行为检测方法 被引量：9

10

作者 何成万 叶志鹏 《电子学报》 EI CAS CSCD 北大核心 2019年第11期2413-2419,共7页

Web应用程序时刻面临着来自网络空间中诸如SQL注入等代码注入式攻击的安全威胁.大多数针对SQL注入攻击的检测方法执行效率较低,检测精度也不够高,特别是实现方法不易被重用.根据注入型脆弱性特征提出了一种基于AOP(Aspect-Oriented Prog... Web应用程序时刻面临着来自网络空间中诸如SQL注入等代码注入式攻击的安全威胁.大多数针对SQL注入攻击的检测方法执行效率较低,检测精度也不够高,特别是实现方法不易被重用.根据注入型脆弱性特征提出了一种基于AOP(Aspect-Oriented Programming)和动态污点分析的SQL注入行为检测方法,并通过方面(aspect)模块化单元对污点分析过程进行了封装,使得安全这类典型的程序横切关注点从基层子系统中分离,提高了检测代码的可重用性.在污点汇聚点结合通知(advice)机制动态加载各类检测组件实现在运行时执行检测代码,从而应对SQL注入这类典型的针对Web应用程序的代码注入攻击方式.实验表明,该方法能够在不修改应用程序执行引擎及源码的前提下实现自保护过程,有效防御重言式(tautologies)、逻辑错误查询(logically incorrect queries)、联合查询(union query)、堆叠查询(piggy-backed queries)、存储过程(stored procedures)、推理查询(inference query)、编码转换(alternate encodings)等7种典型的SQL注入攻击类型. 展开更多

关键词 WEB安全 sql注入 污点分析 面向方面编程 漏洞检测

下载PDF 职称材料

基于Windows环境的SQL注入攻击检测系统设计与实现 被引量：2

11

作者 张令通 罗森林 冯帆 《信息网络安全》 2014年第7期16-19,共4页

随着基于Internet的Web应用程序和服务在信息系统和商业领域中的应用越来越普及,针对Web应用程序漏洞发起的攻击在各类攻击中所占的比例正在逐步上升,SQL注入攻击已经成为威胁Web安全的首要隐患。为了防范SQL注入攻击对网络信息的危害,... 随着基于Internet的Web应用程序和服务在信息系统和商业领域中的应用越来越普及,针对Web应用程序漏洞发起的攻击在各类攻击中所占的比例正在逐步上升,SQL注入攻击已经成为威胁Web安全的首要隐患。为了防范SQL注入攻击对网络信息的危害,根据SQL语法结构,利用树形结构,对可注入的SQL语法进行拆分和分类,并对每一种子类进行特征提取,从而获得了一套SQL注入攻击检测的关键字库,基于关键字匹配技术,采用C/C++语言,设计并实现了基于Windows环境的注入攻击检测系统。系统包括在线模式和离线模式,以关键字库和危险IP库为基础。系统的在线模式可以对动态获取的网络数据包进行检测,离线模式可以对多种嗅探器软件的数据包文件进行解析和检测。实验结果表明,系统针对危险数据包的检测准确率达到92%,误报率为0.6%,并且可以支持Wireshark和TCPDUMP生成的数据包文件格式,对防范SQL注入攻击具有较好的实际意义。 展开更多

关键词 sql 注入攻击 检测 匹配 危险IP库 敏感字符库

下载PDF 职称材料

SQL自动注入攻击框架研究与设计 被引量：1

12

作者 李洪敏 黄晓芳 张建平 《兵工自动化》 2015年第8期45-48,共4页

针对目前SQL注入攻击检测手段单一化,不能做网站全面自动分析的问题,构建一种SQL注入的自动化检测框架。在分析SQL注入的基本原理及常见攻击方式基础上,设计了自动注入攻击工具总体框架,以及2条识别和抓取目标Web系统的链接。测试结果表... 针对目前SQL注入攻击检测手段单一化,不能做网站全面自动分析的问题,构建一种SQL注入的自动化检测框架。在分析SQL注入的基本原理及常见攻击方式基础上,设计了自动注入攻击工具总体框架,以及2条识别和抓取目标Web系统的链接。测试结果表明:该工具能够自动扫描识别2种以上类型的SQL注入攻击,并可对数据库进行攻击检测。该工具还可以进行进一步拓展,以满足灵活的SQL注入变形攻击的需求。 展开更多

关键词 sql注入 安全性 攻击 自动检测

下载PDF 职称材料

SQL注入攻击的分析与防范 被引量：9

13

作者 翟宝峰 《辽宁工业大学学报（自然科学版）》 2021年第3期141-143,147,共4页

分析了WEB应用程序结构及数据处理流程给SQL语言使用带来的安全隐患,说明了什么是SQL注入,并从SQL语言特点阐述了注入产生的原因,详细研究了常用的SQL注入的实现方法,针对不同的注入方法给出了防范SQL注入具体措施。

关键词 WEB安全 sql注入攻击 sql注入防范 动态拼接语句 漏洞检测

下载PDF 职称材料

SQL注入漏洞检测与防御技术研究 被引量：13

14

作者 马小婷 胡国平 李舟军 《计算机安全》 2010年第11期18-24,共7页

SQL注入漏洞已成为当前Web应用程序的主要安全漏洞之一,其危害巨大,受到学术界和工业界的高度重视和广泛关注。首先对SQL注入漏洞的起因、漏洞注入方式及其危害进行了系统的概述,然后重点分析和比较了几种SQL注入漏洞检测技术的优缺点,... SQL注入漏洞已成为当前Web应用程序的主要安全漏洞之一,其危害巨大,受到学术界和工业界的高度重视和广泛关注。首先对SQL注入漏洞的起因、漏洞注入方式及其危害进行了系统的概述,然后重点分析和比较了几种SQL注入漏洞检测技术的优缺点,之后归纳了三种在不同层次上抵抗SQL注入攻击的防御技术,最后在总结现有技术的基础上,指出了未来的研究重点和方向。 展开更多

关键词 网络安全 sql注入攻击 sql注入漏洞 检测与防御

下载PDF 职称材料

基于SQL注入的安全防范检测技术研究 被引量：9

15

作者 阴国富 《河南科学》 2009年第3期316-319,共4页

为了提高数据库系统的安全性,及时发现、防范网站中可能存在的SQL注入漏洞,详细分析了基于SQL注入的攻击原理,从应用服务器、数据服务器、功能代码本身等3个方面探讨了如何避免SQL注入攻击.在此基础上从功能程序本身方面对已有的"... 为了提高数据库系统的安全性,及时发现、防范网站中可能存在的SQL注入漏洞,详细分析了基于SQL注入的攻击原理,从应用服务器、数据服务器、功能代码本身等3个方面探讨了如何避免SQL注入攻击.在此基础上从功能程序本身方面对已有的"检测、防御、备案"通用模型进行了优化,改良后的SQL注入攻击通用检验模型只在服务器端设置检查,对攻击者进行备案,对于攻击次数过多的用户所提出的请求服务器将不予理会,而且被抽象出来以单独函数形式存在,使用时直接调用即可,适用于所有页面.实验表明,该模型系统能较好发现系统存在的SQL注入脆弱点,从而有效提升系统的安全性. 展开更多

关键词 防范检测技术 sql注入攻击 安全漏洞

下载PDF 职称材料

基于Chopping的Web应用SQL注入漏洞检测方法 被引量：3

16

作者 尤枫 马金慧 张雅峰 《计算机系统应用》 2018年第1期86-91,共6页

随着Web应用的不断普及,其安全问题越来越显突出,特别是SQL注入漏洞攻击,给用户的安全体验造成了巨大的威胁.针对二阶SQL注入漏洞,本文提出了一种基于chopping技术的二阶SQL注入漏洞检测方法.首先通过对待测应用程序进行chopping,获取... 随着Web应用的不断普及,其安全问题越来越显突出,特别是SQL注入漏洞攻击,给用户的安全体验造成了巨大的威胁.针对二阶SQL注入漏洞,本文提出了一种基于chopping技术的二阶SQL注入漏洞检测方法.首先通过对待测应用程序进行chopping,获取到一阶SQL注入疑似路径;然后对一阶SQL注入疑似路径中的SQL语句进行分析,确定二阶SQL注入操作对,进而得到二阶SQL注入疑似路径;最后通过构造攻击向量并运行,确认二阶SQL注入疑似路径中漏洞是否实际存在.实验结果表明,本方法能够有效地检测出二阶SQL注入漏洞. 展开更多

关键词 二阶sql注入 污点分析 WEB应用 漏洞检测 CHOPPING 程序切片

下载PDF 职称材料

SQL注入漏洞检测防御关键技术综述 被引量：6

17

作者 叶良艳 《安徽电子信息职业技术学院学报》 2018年第3期19-22,共4页

针对各种恶意SQL注入攻击,分析其攻击原理,综述近年来研究人员提出SQL注入式漏洞检测的研究进展,阐述了SQL注入防御方法,最后给出了研究展望。

关键词 sql注入 漏洞检测 sql注入防御

下载PDF 职称材料

SQL注入攻击原理及其防范技术研究 被引量：3

18

作者 钱丽 《哈尔滨师范大学自然科学学报》 CAS 2014年第6期65-68,共4页

对SQL注入攻击的特点、实现原理、检测方法以及防范方法进行了阐述和总结,并且建立了SQL注入攻击自动防范模型.经过测试证明,该模型具有计算时间复杂度低、安全性和通用性等特点,能够很好地进行主动防范,具备较高的实用价值.

关键词 sql注入 攻击检测 防御模型 参数化查询

下载PDF 职称材料

基于Web APP的SQL注入攻击路径探析及防范研究 被引量：1

19

作者 尹向兵 周婷 《巢湖学院学报》 2014年第6期39-42,共4页

随着计算机应用开发的快速发展,基于B/S模式开发的应用软件非常普遍。在编写代码过程中,若未对系统界面中的输入进行逻辑上合法性判断,则应用程序存在安全隐患,如留言本、BBS之类的程序,大部分管理后台都是要登录以后才能留言管理的。... 随着计算机应用开发的快速发展,基于B/S模式开发的应用软件非常普遍。在编写代码过程中,若未对系统界面中的输入进行逻辑上合法性判断,则应用程序存在安全隐患,如留言本、BBS之类的程序,大部分管理后台都是要登录以后才能留言管理的。一般情况下,用户输入密码,单击"登录"后,登录页面将密码提交给WEB页面服务器,系统到数据库中查看密码是否匹配,若匹配则登录成功,否则就会提示输入错误。 展开更多

关键词 注入攻击 攻击检测

下载PDF 职称材料

开发者视角下网站SQL注入漏洞及防范 被引量：1

20

作者 仇善梁 《河北软件职业技术学院学报》 2016年第4期52-55,共4页

通过对网站SQL注入漏洞的成因和常见类型进行分析,在代码编写层面提出六点防范措施,帮助开发者尽量从源头上杜绝此类安全漏洞,避免重复劳动,提高网站运行的安全性。

关键词 sql注入 漏洞 攻击

下载PDF 职称材料