基于机器学习的越权漏洞检测方法

下载PDF

导出

摘要为解决Web、App应用越权逻辑漏洞造成的信息泄露、财产损失等问题,可以采用基于Isolation Forest、XGBoost(Extreme Gradient Boosting)、余弦相似度相结合方法实现越权逻辑漏洞检测。本文针对漏洞应用响应内容相似度相同的问题,提出了一种新的解决方法。该方法通过获取A、B两个用户对某页面的响应内容并采用Isolation Forest、XGBoost算法相结合的方式判断漏洞的具体场景,最后使用余弦相似度算法判断响应内容相似度,以检测应用存在的越权逻辑漏洞,提高了企业内部Web、App应用的安全性。通过对企业内部相关应用进行实例测试分析,验证了该方法的有效性。

作者李帅华孙庆贺赵明宇

机构地区国网电动汽车服务有限公司

出处《中国安全防范技术与应用》 2021年第2期67-72,共6页 China Security Protection Technology and Application

关键词 Isolation Forest XGBoost 余弦相似度越权逻辑漏洞

分类号 TP3 [自动化与计算机技术—计算机科学与技术]

引文网络
相关文献

参考文献5

1王超,任天宇,李群,王小虎,师恩洁,李新.业务逻辑漏洞的利用机理与检测方法研究[J].电子技术应用,2016,42(S1):56-59. 被引量：1
2陈大力,沈岩涛,谢槟竹,马颖异.基于余弦相似度模型的最佳教练遴选算法[J].东北大学学报（自然科学版）,2014,35(12):1697-1700. 被引量：28
3秦孟梅,邱建林,陆鹏程,陈璐璐,赵伟康.基于AdaBoost的类不平衡学习算法[J].计算机应用研究,2017,34(11):3229-3232. 被引量：11
4林伟,柳荣其,徐熙.一种基于N-Gram的垃圾邮件过滤方法研究[J].计算机应用与软件,2010,27(2):121-123. 被引量：5
5孔秋强,贺前华.基于TFIDF与分类树的工程文本信息分类法[J].计算机应用与软件,2014,31(6):174-176. 被引量：3

二级参考文献28

1于津凯,王映雪,陈怀楚.一种基于N-Gram改进的文本特征提取算法[J].图书情报工作,2004,48(8):48-50. 被引量：17
2周新栋,王挺.基于N元语言模型的文本分类方法[J].计算机应用,2005,25(1):11-13. 被引量：11
3戴劲松,白英彩.基于贝叶斯理论的垃圾邮件过滤技术[J].计算机应用与软件,2006,23(1):110-111. 被引量：16
4Zhou S G, Guan J H. Chinese documents classification based on Ngrams. Proceedings of the 3^rd Annual Conference on Intelligent Text Processing and Computational Linguistics( CICLing-02). 2002.
5Yang Y M. A comparative study on feature selection in text categorization. The ICML97, Nashville, 1997.
6Chen S, Goodman J. An empirical study of smoothing techniques for language modeling, Technical Report TR-10-98, Computer Science Group, Harvard University, 1998.
7Hu R,Yuan R X,Jiang W R. N-gram based spam filtering for chinese language emails. 4^th International Conference on Applied Cryptography and Network Security,2005.
8严蔚敏主编.数据结构[M].清华大学出版社,2007/03
9Richard O Duda, Peter E Hart, David G Stork. Pattern Classification[M].机械工业出版社,2003.
10GB50359-2010建设工程分类标准[S].

共引文献43

1范华,翁利国,周艳,姜川,孙涛.基于Bi-LSTM和TFIDF的工单事件提取[J].电脑知识与技术,2020,0(4):291-293.
2林伟.基于贝叶斯分类的邮件过滤系统研究与实现[J].陕西理工学院学报（自然科学版）,2012,28(4):36-40. 被引量：1
3林伟.一种中文邮件过滤网关的设计与实现[J].宝鸡文理学院学报（自然科学版）,2012,32(3):53-55.
4王昊,李思舒,邓三鸿.基于N-Gram的文本语种识别研究[J].现代图书情报技术,2013(4):54-61. 被引量：6
5阎笑彤,徐翔,郭显久,孙凯乐.基于WEB的水产养殖病害诊断专家系统[J].大连海洋大学学报,2016,31(2):225-230. 被引量：6
6李全.基于多层类别主题图模型的教育文本分类方法[J].计算机与现代化,2016(7):55-59.
7蒋仕宝,陈少权.基于呼叫指纹的重入网识别算法研究[J].移动通信,2016,40(22):27-30. 被引量：3
8严甜,袁越阳.模仿呼吸时肺通气试验装置的研制[J].自动化仪表,2016,37(12):37-39. 被引量：2
9张邓锁.基于TRIZ理论的专利技术与需求关联系统研究与实践[J].内江科技,2016,37(12):13-15. 被引量：1
10丁杰雄,陈沈俭,魏思琪,徐吉瑞,吴丽红.基于信号相似性度量的胸外按压训练质量评价技术的研究[J].生物医学工程研究,2016,35(4):279-283.

1郭晓姝,吴孟珊.基于文本分析的在线评论对产品性能提升作用探析[J].中国管理信息化,2021,24(7):193-196. 被引量：1
2何彪.基于大数据的设备故障诊断分析[J].机械设计与制造工程,2021,50(4):63-67. 被引量：5
3钟磊.基于内容相似度的社区发现算法研究[J].微电子学与计算机,2021,38(4):69-73. 被引量：1
4宁宁,莫秀良,王春东,佟寅铖.基于融合LDA和Doc2vec算法的文本表示模型的研究[J].天津理工大学学报,2021,37(2):55-60. 被引量：3
5李明磊,黄晖,陆余良,朱凯龙.SymFuzz:一种复杂路径条件下的漏洞检测技术[J].计算机科学,2021,48(5):25-31. 被引量：4
6张兆阳,王君领,黄佳妮,沈嘉裕,王伊杨,赵蓉英.重大突发事件期间微博主题与用户行为的关联演化研究[J].信息资源管理学报,2021,11(2):28-38. 被引量：7
7张浩.基于区块链技术的网络安全漏洞检测系统设计[J].市场周刊·理论版,2020(69):182-182.
8张丽霞,王学松.胶体金免疫层析技术在食品安全检测中的应用[J].广东化工,2021(1):180-181. 被引量：3
9杨毓永,杜飞虎.改善汽车发动机曲轴钢材实际晶粒度的方法[J].装备维修技术,2021(10):0314-0314.
10Jian Zhou,Yingui Qiu,Danial Jahed Armaghani,Wengang Zhang,Chuanqi Li,Shuangli Zhu,Reza Tarinejad.Predicting TBM penetration rate in hard rock condition:A comparative study among six XGB-based metaheuristic techniques[J].Geoscience Frontiers,2021,12(3):201-213. 被引量：20

中国安全防范技术与应用

2021年第2期

浏览历史

内容加载中请稍等...

基于机器学习的越权漏洞检测方法

参考文献5

二级参考文献28

共引文献43

相关作者

相关机构

相关主题

浏览历史