基于AOP与SQL结构分析的SQLIAs动态检测及防御被引量：3

Dynamic Detection and Defense of SQLIAs Based on AOP and SQL Structure Analysis

下载PDF

导出

摘要 SQL注入攻击(SQLIAs)是一种危险且有效的基于Web的攻击方式。任何形式的SQLIAs最终都会改变原有SQL语句的逻辑结构,针对该攻击特征,提出一种基于AOP与SQL语句结构分析的SQLIAs动态检测及防御方法,在SQLIAs产生根源对其进行防御。借助代码静态分析工具自动获取SQL注入点位置、Signature信息以及静态SQL语句模型,使用AOP技术在程序执行过程中动态捕获需要被执行的SQL语句,将静态分析得到的信息与动态获取的信息进行比较,判断是否存在SQLIAs。通过简单的用户登录功能验证该方法的有效性,实验结果表明,该方法能有效检测和防御SQLIAs。 The SQL Injection Attacks(SQLIAs)is a dangerous and effective Web-based attacks way.According to the characteristics of SQLIAs,that is,any form of attacks will eventually change the logical structure of SQL statement,a method of dynamic detection and defense for the SQLIAs based on Aspect-Oriented Programming(AOP)and the analysis of SQL statement structure is proposed,which can defend against SQLIAs from the root of the attack.Firstly,obtain the location of SQLIAs,signature,and the static SQL statement model automatically by using code Analyzer.Then,capture the executed SQL statement dynamically by using AOP during the process of program execution.Finally Judge whether there is a SQLIAs by making the information obtained by static analysis compare with the dynamic information.The effectiveness of the method is verified by a simple user login function,and the experimental results show that the proposed method can detect and defend the SQLIAs effectively.

作者何成万青旺徐雅琴严柯 HE Chengwan;QING Wang;XU Yaqin;YAN Ke(School of Computer Science and Engineering,Wuhan Institute of Technology,Wuhan 430205,China)

机构地区武汉工程大学计算机科学与工程学院

出处《计算机工程》 CAS CSCD 北大核心 2018年第4期154-160,共7页 Computer Engineering

基金国家自然科学基金(61272115 60873024)

关键词 SQL注入攻击面向方面编程攻击特征动态检测逻辑结构 SQL Injection Attacks(SQLIAs) Aspect-Oriented Programming(AOP) attack characteristic dynamic detection logical structure

分类号 TP311 [自动化与计算机技术—计算机软件与理论]

引文网络
相关文献

参考文献1

1Jiwhan Lim,Sangjin Kim,Heekuck Oh,Donghyun Kim.A Designated Query Protocol for Serverless Mobile RFID Systems with Reader and Tag Privacy[J].Tsinghua Science and Technology,2012,17(5):521-536. 被引量：4

二级参考文献20

1Juels A. RFID security and privacy: A research survey. Journal of Selected Areas in Communication (J-SAC), 2006, 24(2): 381-395.
2Chien H-Y. SASI: A new ultralightweight RFID authentication protocol providing strong authentication and strong integrity. IEEE Transactions on Dependable and Secure Computing, 2007, 4(4): 337-340.
3Bogdanov A, Leander G, Paar C, Poschmann A, Robshaw M, Seurin Y. Hash functions and RFID tags: Mind the gap. Lecture Notes in Computer Science, 2008, 5154: 283-299.
4Juels A, Weis S A. Authenticating pervasive devices with human protocols. Lecture Notes in Computer Science, 2005, 3126: 293-308.
5Feldhofer M, Dominikus S, Wolkerstorfer J. Strong authentication for RFID systems using the AES algorithm. Lecture Notes in Computer Science, 2004, 3156: 85-140.
6Feldhofer M, Wolkerstorfer J. Strong crypto for RFID tags-A comparison of low-power hardware implementations. In: Proceedings of IEEE International Symposium on Circuits and Systems, 2007: 1839-1842.
7Weis S, Sarma S, Rivest R, Engels D. Security and privacy aspects of low-cost radio frequency identification systems. Lecture Notes in Computer Science, 2004, 2802: 201-212.
8Juels A, Weis S. Defining strong privacy for RFID. ACM Transactions on Information and System Security, 2009, 13(1): No. 7.
9Lim J, Kim S, Oh H. A new hash-based RFID mutual authentication protocol providing enhanced user privacy protection. Lecture Notes in Computer Science, 2008, 4991: 278-289.
10Kim S, Lim J, Han J, Oh H. Efficient RFID search protocols using counters. IEICE Transactions on Communications, 2008, E91-B(ll): 3552-3559.

共引文献3

1王鑫,贾庆轩,高欣,赵兵,崔宝江.可证明安全的轻量级无服务型RFID安全搜索协议[J].湖南大学学报（自然科学版）,2014,41(8):117-124. 被引量：2
2ZHU Xiaoling HU Donghui HOU Zhengfeng DING Liang.A Location Privacy Preserving Solution to Resist Passive and Active Attacks in VANET[J].China Communications,2014,11(9):60-67. 被引量：2
3王国伟,贾宗璞,彭维平.改进的无后台数据库RFID认证协议[J].河南理工大学学报（自然科学版）,2016,35(3):408-413. 被引量：2

同被引文献26

1王雨薇,朱记伟,杨党锋,袁荣丽.基于BIM5D的建筑工程施工动态管理及资源优化[J].施工技术,2019,48(S01):249-253. 被引量：15
2王蕾,李丰,李炼,冯晓兵.污点分析技术的原理和实践应用[J].软件学报,2017,28(4):860-882. 被引量：48
3李红灵,邹建鑫.基于SVM和文本特征向量提取的SQL注入检测研究[J].信息网络安全,2017(12):40-46. 被引量：12
4麻荣宽,魏强,武泽慧.PHP程序污点型漏洞静态检测方法[J].计算机工程与应用,2018,54(1):64-69. 被引量：9
5吉华斌,尚颖,李征.Web应用程序异步请求时序问题检测[J].计算机科学与探索,2018,12(1):101-111. 被引量：4
6陶虹平.多层可信软件代码中程序标注准确性验证仿真[J].计算机仿真,2018,35(4):250-253. 被引量：2
7李瑞金,林瀚文,刘军,马鹏奎,杜军,李元元.大坝施工信息PDA实时采集系统在长河坝施工中的应用[J].水电能源科学,2018,36(9):95-97. 被引量：1
8张慧琳,丁羽,张利华,段镭,张超,韦韬,李冠成,韩心慧.基于敏感字符的SQL注入攻击防御方法[J].计算机研究与发展,2016,53(10):2262-2276. 被引量：20
9汪润,王丽娜,唐奔宵,赵磊.SPRD:基于应用UI和程序依赖图的Android重打包应用快速检测方法[J].通信学报,2018,39(3):159-171. 被引量：5
10王文,郑建生.基于FPGA的TCP/IP网络通信系统的设计与实现[J].现代电子技术,2018,41(8):5-9. 被引量：17

引证文献3

1于萧榕,黄健荣.数据并行传输程序中代码坏味检测算法研究[J].计算机仿真,2021,38(5):403-407.
2刘吉会,何成万.基于ECA规则和动态污点分析的SQL注入攻击在线检测[J].计算机应用,2023,43(5):1534-1542. 被引量：1
3刘明,王良志.基于改进深度学习的建筑工程施工信息动态集成系统[J].自动化技术与应用,2024,43(8):180-183.

二级引证文献1

1陈曦,侯思睿,张大伟.从SQL注入攻击解析代码安全执行机制[J].保密科学技术,2023(2):21-26. 被引量：1

1李鸿鹄,王喆,翟继强.SQL盲注攻击与防范[J].计算机与网络,2018,44(5):68-71. 被引量：3
2关于党内不正之风产生根源的思考[J].学习月刊（福建）,1986(10):47-49.
3曲璨,张立臣.基于形式化方法的面向方面需求分析[J].广东工业大学学报,2017,34(6):54-60. 被引量：1
4李珊,孟芳芳,宋健康.高校教学质量信息管理平台的设计[J].科技视界,2018(8):67-68.
5胡国强.勒索病毒的防御方法[J].网络安全技术与应用,2018(4):11-11. 被引量：2
6且大有.简评诡辩和反驳方法[J].内蒙古师院学报（哲学社会科学版）,1979,8(2):26-37.
7卫星君,焦娇.基于TCP／IP的企业局域网络安全策略[J].陕西能源职业技术学院学报,2017,12(3):8-12.
8徐国天.基于DGA的恶意程序域名生成算法破解[J].信息网络安全,2017(9):26-29. 被引量：6
9丁辉,姚庆文.面向方面建模的研究[J].现代职业教育研究,2007,0(4):14-19. 被引量：1
10吴小丹.常见拒绝服务攻击简析及防范[J].信息与电脑,2017,29(9):180-181.

计算机工程

2018年第4期

浏览历史

内容加载中请稍等...

基于AOP与SQL结构分析的SQLIAs动态检测及防御被引量：3

参考文献1

二级参考文献20

共引文献3

同被引文献26

引证文献3

二级引证文献1

相关作者

相关机构

相关主题

浏览历史

基于AOP与SQL结构分析的SQLIAs动态检测及防御 被引量：3

参考文献1

二级参考文献20

共引文献3

同被引文献26

引证文献3

二级引证文献1

相关作者

相关机构

相关主题

浏览历史

基于AOP与SQL结构分析的SQLIAs动态检测及防御被引量：3