Web应用安全确保技术研究与应用-信息与通信工程专业论文.docxVIP

万方数据 万方数据 RESEARCH AND IMPLEMENTATION ON SECUTIRY ASSURANCE APPROACH OF WEB APPLICATIONS A Master Thesis Submitted to University of Electronic Science and Technology of China Major: Information and Communication Engineering Author: Xu SONG Advisor: Zhi-guang Qin School: School of Computer Science and Engineering 万方数据 万方数据 独 创 性 声 明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作 及取得的研究成果。据我所知，除了文中特别加以标注和致谢的地方 外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含为 获得电子科技大学或其它教育机构的学位或证书而使用过的材料。与 我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的 说明并表示谢意。 作者签名： 日期： 年 月 日 论 文 使 用 授 权 本学位论文作者完全了解电子科技大学有关保留、使用学位论文 的规定，有权保留并向国家有关部门或机构送交论文的复印件和磁盘， 允许论文被查阅和借阅。本人授权电子科技大学可以将学位论文的全 部或部分内容编入有关数据库进行检索，可以采用影印、缩印或扫描 等复制手段保存、汇编学位论文。 （保密的学位论文在解密后应遵守此规定） 作者签名： 导师签名： 日期： 年 月 日 摘 摘 要 AB ABSTRACT 万方数据 万方数据 万方数据 万方数据 摘 要 随着互联网技术的不断发展，Web 应用在社会生活的各个方面的到了广泛的 应用，但是由于互联网环境所具有的开放性与复杂性，使得以 Web 应用为代表的 基于互联网的应用的安全性受到了前所未有的威胁，也使得对其安全性研究变得 尤为紧迫和必要。自互联网出现以来，包括防火墙在内的许多安全技术已经日臻 成熟，但是 Web 应用作为一种典型的面向服务的应用架构，本身具有不同于传统 应用的特点，这使得针对于传统应用的安全确保技术不足以为 Web 应用提供足够 的安全防护。 传统的网络安全技术以及网络安全设备大多工作于网络层，但是针对于 Web 应用的诸多攻击在网络层的表现和正常访问差别不大，而对于 OWASP 所发布的十 大 Web 应用安全威胁多属于这一类攻击，可见传统的安全措施无法对 Web 应用提 供足够的安全确保。另一方面对于安全的研究也由最初的“检”和“防”发展到 了“容”，即要求应用对安全威胁具有一定的容忍能力，这一能力被定义为生存性。 针对于 Web 应用的安全威胁，以威胁最严重的 SQL 注入攻击和跨站点脚本攻 击为切入点，并对 Web 应用的生存性进行了研究，提出了基于反向代理的 Web 应 用攻击检测系统和可生存的 Web 应用恢复方案。最终结合传统安全技术提出了一 个针对于 Web 应用的安全确保框架。 首先对传统 Web 应用安全研究以及对 Web 应用安全性进行研究的现实意义进 行了分析；然后对 SQL 注入攻击、跨站点脚本攻击原理进行了研究，并根据生存 性形式化定义模型提出了一个针对与 Web 应用特点的生存性形式化度量方法；基 于上述研究成果，提出了失效的 Web 应用恢复算法以及 SQL 注入攻击检测、跨站 点脚本攻击检测方法；最后设计了用于进行 Web 应用攻击检测与防护的基于反向 代理的 Web 应用攻击检测工具和用于失效 Web 应用恢复的 Web 应用生存性恢复策 略以及辅助软件，并依据这两个系统以及传统的安全技术提出了针对于 Web 应用 的安全确保框架，指明了在网络环境中如何结合进行应用。 关键词：Web 应用，攻击检测，生存性，恢复，安全确保 I ABSTRACT Web Applications, which has widely used in various aspects of social lives, are fast changing with the phase of the evolution of Internet technology. But due to the nature of openness and complexity of Internet environment, the security of applications, especially web applications which is constructed based on Internet, is facin