SQL注入攻击及防御研究-信号与信息处理专业论文.docxVIP

万方数据 万方数据 Dissertation Submitted to Hangzhou Dianzi University for the Degree of Master Research on SQL Injection Attack and Defense Candidate: Tian Yujie Supervisor: Prof. Zhao Zemao May，2015 杭州电子科技大学 学位论文原创性声明和使用授权说明 原创性声明 本人郑重声明： 所呈交的学位论文，是本人在导师的指导下，独立进行研究工作所取得 的成果。除文中已经注明引用的内容外，本论文不含任何其他个人或集体已经发表或撰写过 的作品或成果。对本文的研究做出重要贡献的个人和集体，均已在文中以明确方式标明。 申请学位论文与资料若有不实之处，本人承担一切相关责任。 论文作者签名： 日期： 年 月 日 学位论文使用授权说明 本人完全了解杭州电子科技大学关于保留和使用学位论文的规定，即：研究生在校攻读 学位期间论文工作的知识产权单位属杭州电子科技大学。本人保证毕业离校后，发表论文或 使用论文工作成果时署名单位仍然为杭州电子科技大学。学校有权保留送交论文的复印件， 允许查阅和借阅论文；学校可以公布论文的全部或部分内容，可以允许采用影印、缩印或其 它复制手段保存论文。（保密论文在解密后遵守此规定） 论文作者签名： 日期： 年 月 日 指导教师签名： 日期： 年 月 日 杭州 杭州电子科技大学硕士学位论文 摘 要 随着互联网技术的快速发展，基于数据库的 Web 应用程序己经广泛应用于企业的各种业 务系统中。然而由于人为和技术等因素限制，使得 Web 应用程序存在大量安全隐患。在影响 Web 应用程序安全的诸多因素中，SQL(Structured Query Language，SQL)注入攻击是最常见且 危害最广的攻击，因此，如何有效的防御 SQL 注入攻击成为保证 Web 应用程序安全性的关 键。 近几年来，对于 SQL 注入攻击防御的研究已经取得一些进展，但现有的 SQL 注入攻击防 御措施仍存在局限性。首先，用户输入过滤措施存在对正常数据的误报问题和对恶意数据的 漏报问题。用户输入过滤措施对所有的数据采用相同的方法进行过滤，而且不允许数据中包 含 SQL 关键字，但是以 Post 方式提交到服务端的数据允许包含关键字，这就造成了对正常数 据的误报问题。用户输入过滤措施采用的过滤方法，只能过滤常见的 SQL 注入攻击，无法过 滤未知攻击或着多变的攻击，这就造成了对恶意数据的漏报问题。其次，语法结构比较措施 存在检测效率低的问题。语法结构比较措施通过在 Web 应用程序的后台数据库中维持一个 SQL 语句主文件（SQLMF）来和 Web 应用程序运行时动态产生的 SQL 语句进行比较，检测 是否发生 SQL 注入攻击，当 SQLMF 中 SQL 语句的数量比较大时，会使得匹配的效率降低， 匹配检测需要两个过程，因此匹配检测过程也是比较繁琐的。本文对 SQL 注入攻击防御中存 在的上述问题进行了研究，主要工作如下: （1）针对用户输入过滤措施存在对正常数据的误报问题，提出一种基于 Http 请求分类 的用户输入过滤措施，该措施对通过 Post 方式提交的数据采取基于规则的方法进行过滤，对 通过 Get 方式提交的数据先采取基于关键字的方法进行过滤，然后采用基于规则的方法过滤， 从而避免了误报问题。而针对用户输入过滤措施存在对恶意数据的漏报问题，只要增加语法 结构比较措施即可，因为语法结构比较措施可以从语法结构的角度预防未知攻击或着多变的 攻击。 （2）针对语法结构比较措施存在检测效率低的问题，提出一种基于参数化分类的动态查 询匹配措施，首先把主文件 SQL 语句中的用户输入采用参数占位符替换，然后根据 SQL 语 句操作类型不同，可以把原主文件划分为多个新的主文件，这样主文件的大小得到了降低， 而且匹配检测阶段也进行了简化，只进行精确匹配检测，不需要模糊匹配检测，从而提高了 检测效率。 （3）基于以上两种措施，提出一种基于分类的 SQL 注入攻击双层防御模型。该模型包括 输入过滤模块和语法比较模块，并以 J2EE 平台的 Web 应用程序为防御的对象。本模型利用 Filter 程序实现了对用户输入数据的拦截过滤，借助 Antlr 工具实现了对动态 SQL 语法结构 的实时检查。最后实验结果表明，该防御模型对 SQL 注入攻击有较好的防御能力，可以有效 的降低用户输入过滤的误报率和漏报率，而且提高了语法结构比较措施的检测效率。 关键词：SQL 注入攻击，用户输入过滤，语法结构比较，防御模型 I ABSTRACT With the rapid development o