面向用户意图的SQL注入检测方法

作     者：毛辰宇 郭帆 叶继华 无

作者机构：江西师范大学计算机信息工程学院 

基　　金：国家自然科学基金(61562040) 江西师范大学科研计划(7177)资助项目 

出 版 物：《江西师范大学学报（自然科学版）》 (Journal of Jiangxi Normal University(Natural Science Edition))

年 卷 期：2016年第40卷第4期

页      码：386-391页

摘      要：Web程序安全的首要威胁是SQL注入攻击,动态分析技术可有效防御此类攻击.提出面向用户意图的检测方法,在程序发布前预先定义Web程序期望的所有数据库操作,在运行时拦截提交至数据库的操作,阻止不符合意图的操作.设计并实现描述数据库操作意图的语言SQLIDL,将开发者提供的允许操作集合解释为以确定有限自动机(DFA)表示的字符串集合,并支持表名、列名、列值及存储过程名的正则表示.在Securi Bench测试集的实验表明,该方法可有效检测现有SQL攻击模式且运行开销较小.

主 题 词：SQL注入 动态分析 有限自动机 攻击模式 

学科分类：08[工学] 0835[0835] 081202[081202] 0812[工学-测绘类] 

D　O　I：10.16357/j.enki.issnl000-5862.2016.04.11

馆 藏 号：203187175...