探讨检测WEB运用系统安全检测关键技术
最后更新时间:2024-03-18
作者:用户投稿本站原创
点赞:16597
浏览:71322
论文导读:值的分类处理策略,这种策略利用接口赋值数据集合对无限集进行了有限化,通过逻辑单元特点的模糊匹配选取赋值数据集合中相似度最高的数据进行逻辑单元赋值,以而提升了自动交互的成功率。第三,论文针对WEB运用系统中注入型漏洞安全缺陷,提出了一科,基于模拟攻击的检测对策。在该对策中,采取了“请求对策选择”机制,解决了结果驱
摘要:WEB技术进展至今不过二十几年的时间,但已然成为当前互联网最热门的运用架构,同时WEB运用系统的安全不足也一直是信息安全、网络安全关注的重点。随着WEB技术的飞速进展,传统的WEB运用系统安全检测技术已经不能完全满足当前的检测需求,这主要体现在:第一,现有的WEB运用系统安全检测普遍采取全系统扫描的策略,其收益率和效率已经不能适应WEB运用系统的规模逐渐增大的走势;第二,传统检测中的自动交互仅对简单的WEB运用系统比较有效,而对目前WEB新技术和新运用中出现的复杂、多类型的接口传统检测技术不能有效实现自动交互,以而导致检测历程对WEB运用系统安全缺陷的漏报;第三,现有的安全检测多采取结果驱动的策略,忽略了检测历程对被检系统的不良影响,导致在对现网WEB运用系统进行安全检测时有着局限性。此外针对目前WEB技术飞速进展和WEB运用系统安全威胁多样化的近况,已有的WEB运用系统安全检测平台和工具在扩展性等方面还有着一些不足。本论文的探讨工作以四个方面出发,解决上面陈述的不足。首先,针对传统检测策略由于采取索引爬虫而造成的收益率和效率低下的不足,本论文提出了一种基于强化学习的WEB信息抓取模型。该模型的基本思想是将海量的WEB信息依据其接口相关特点进行分类,根据WEB运用系统安全检测的特殊需求对WEB信息进行选择性抓取,使信息收集历程有的放矢。在该模型中,根据WEB运用系统中链接和接口间联系的特点,基于Q学习设计了“综合回报评价算法”。该算法将学习器的立即回报与未来回报进行加权,综合评价WEB信息与接口的相关性,分别在学习阶段和利用阶段赋予立即回报与未来回报不同的权值。在检测之前,首先根据Q学习算法对爬虫引擎进行训练学习,生成丰富的Q值表。在检测的历程中,爬虫根据学习的经验结果,对运用程序中的表单进行综合Q值的计算并选择性的进行WEB信息抓取,同时根据抓取的情况对学习规则进行优化。此外,为了方便对WEB信息特点的抽取和浅析,该模型中采取了一种基于聚类浅析的页面结构化策略,该策略以WEB运用系统中页而的标签结构、内容信息、区域结构等多个角度出发,对页面进行结构化浅析并初步生成结构化标签树(TAG_TREE),然后通过聚类浅析的策略,对页面内容信息和结构进行区域划分,利用区块结构对TAG_TREE进行压缩和简化,并最终形成WEB页面的压缩结构化标签树,为页面特点抽取做准备。第二,论文中提出了基于信息反馈的WEB运用系统自动交互策略,以解决通过WEB运用系统中复杂、多类型接口进行交互的不足。该策略首先根据WEB运用系统中公共接口的特点对接口特点进行了建模,采取一种统一的方式对接口进行形式化描述,同时构建了接口赋值数据集合,用来存储不同特点接口的赋值数据。在交互历程中根据WEB运用系统的响应消息调整数据集合中的数据存储结构,以提升数据利用的准确率。为了实现对多类型接口的准确赋值,采取了有限集逻辑单元默认赋值、无限集逻辑单元D-BPM-BM模糊匹配赋值的分类处理策略,这种策略利用接口赋值数据集合对无限集进行了有限化,通过逻辑单元特点的模糊匹配选取赋值数据集合中相似度最高的数据进行逻辑单元赋值,以而提升了自动交互的成功率。第三,论文针对WEB运用系统中注入型漏洞安全缺陷,提出了一科,基于模拟攻击的检测对策。在该对策中,采取了“请求对策选择”机制,解决了结果驱动的检测策略中有着的“检测副作用”的不足。“请求对策选择”机制通过完全对策、常规对策和安全对策对模拟攻击历程进行了区分,以适用不同的检测需求。此外,论文还重点探讨了模拟攻击检测对策在XSS攻击漏洞和SQL注入漏洞两类主要注入型漏洞检测方面的运用。为了保证检测的效果,一方面针对WEB运用系统的新特点采取了过滤机制逃逸技术并构建丰富的测试数据库;另一方面提出了SQL注入漏洞确认模型,通过该模型进行了多历程的错误响应浅析。第四,论文以适应快速进展的WEB运用技术、应对多样化的WEB运用系统威胁为目标,在以上模型和论述探讨的基础上,提出了基于“三层两面”设计思想的WEB运用系统安全检测平台架构。该架构将检测、浅析与管理进行了严格的区分,丰富的公共接口保障了模块间的数据交互,极大的提升了检测平台的可扩展性。论文通过实验验证了以上模型策略的可行性,并通过在实际WEB运用系统检测中的运用验证了它们在提升检测效论文导读:反馈的接口自动化赋值策略62-704.3.1接口赋值数据集合模型62-644.3.2接口赋值构造策略64-664.3.3D-BPM-BM主题特点字串匹配算法66-684.3.4响应信息浅析及反馈68-704.4实验论证浅析70-734.4.1实验场景设计704.4.2验证指标70-714.4.3结果浅析71-734.5本章小结73-74第五章注入型漏洞检测对策探讨74-89
本论文由www.7ctime.com,需要论文可以联系人员哦。摘要4-6
ABSTRACT6-9
目录9-12
第一章 绪论12-22
4.
5.
5.
第六章 WEB运用系统安全检测平台的设计与实现89-98
6.
6.4.1 实验环境95-论文导读:-98第七章总结与展望98-1007.1论文工作总结98-997.2下一步工作99-100参考文献100-113致谢113-114附录1某图书馆网站图书查询接口源代码114-116附录2部分漏洞检测结果116-118附录3攻读博士学位期间录用、发表的论文118-119附录4攻读博士学位期间参加的科研工作119上一页123
96
6.
第七章 总结与展望98-100
致谢113-114
附录1 某图书馆网站图书查询接口源代码114-116
附录2 部分漏洞检测结果116-118
附录3 攻读博士学位期间录用、发表的论文118-119
附录4 攻读博士学位期间参加的科研工作119
摘要:WEB技术进展至今不过二十几年的时间,但已然成为当前互联网最热门的运用架构,同时WEB运用系统的安全不足也一直是信息安全、网络安全关注的重点。随着WEB技术的飞速进展,传统的WEB运用系统安全检测技术已经不能完全满足当前的检测需求,这主要体现在:第一,现有的WEB运用系统安全检测普遍采取全系统扫描的策略,其收益率和效率已经不能适应WEB运用系统的规模逐渐增大的走势;第二,传统检测中的自动交互仅对简单的WEB运用系统比较有效,而对目前WEB新技术和新运用中出现的复杂、多类型的接口传统检测技术不能有效实现自动交互,以而导致检测历程对WEB运用系统安全缺陷的漏报;第三,现有的安全检测多采取结果驱动的策略,忽略了检测历程对被检系统的不良影响,导致在对现网WEB运用系统进行安全检测时有着局限性。此外针对目前WEB技术飞速进展和WEB运用系统安全威胁多样化的近况,已有的WEB运用系统安全检测平台和工具在扩展性等方面还有着一些不足。本论文的探讨工作以四个方面出发,解决上面陈述的不足。首先,针对传统检测策略由于采取索引爬虫而造成的收益率和效率低下的不足,本论文提出了一种基于强化学习的WEB信息抓取模型。该模型的基本思想是将海量的WEB信息依据其接口相关特点进行分类,根据WEB运用系统安全检测的特殊需求对WEB信息进行选择性抓取,使信息收集历程有的放矢。在该模型中,根据WEB运用系统中链接和接口间联系的特点,基于Q学习设计了“综合回报评价算法”。该算法将学习器的立即回报与未来回报进行加权,综合评价WEB信息与接口的相关性,分别在学习阶段和利用阶段赋予立即回报与未来回报不同的权值。在检测之前,首先根据Q学习算法对爬虫引擎进行训练学习,生成丰富的Q值表。在检测的历程中,爬虫根据学习的经验结果,对运用程序中的表单进行综合Q值的计算并选择性的进行WEB信息抓取,同时根据抓取的情况对学习规则进行优化。此外,为了方便对WEB信息特点的抽取和浅析,该模型中采取了一种基于聚类浅析的页面结构化策略,该策略以WEB运用系统中页而的标签结构、内容信息、区域结构等多个角度出发,对页面进行结构化浅析并初步生成结构化标签树(TAG_TREE),然后通过聚类浅析的策略,对页面内容信息和结构进行区域划分,利用区块结构对TAG_TREE进行压缩和简化,并最终形成WEB页面的压缩结构化标签树,为页面特点抽取做准备。第二,论文中提出了基于信息反馈的WEB运用系统自动交互策略,以解决通过WEB运用系统中复杂、多类型接口进行交互的不足。该策略首先根据WEB运用系统中公共接口的特点对接口特点进行了建模,采取一种统一的方式对接口进行形式化描述,同时构建了接口赋值数据集合,用来存储不同特点接口的赋值数据。在交互历程中根据WEB运用系统的响应消息调整数据集合中的数据存储结构,以提升数据利用的准确率。为了实现对多类型接口的准确赋值,采取了有限集逻辑单元默认赋值、无限集逻辑单元D-BPM-BM模糊匹配赋值的分类处理策略,这种策略利用接口赋值数据集合对无限集进行了有限化,通过逻辑单元特点的模糊匹配选取赋值数据集合中相似度最高的数据进行逻辑单元赋值,以而提升了自动交互的成功率。第三,论文针对WEB运用系统中注入型漏洞安全缺陷,提出了一科,基于模拟攻击的检测对策。在该对策中,采取了“请求对策选择”机制,解决了结果驱动的检测策略中有着的“检测副作用”的不足。“请求对策选择”机制通过完全对策、常规对策和安全对策对模拟攻击历程进行了区分,以适用不同的检测需求。此外,论文还重点探讨了模拟攻击检测对策在XSS攻击漏洞和SQL注入漏洞两类主要注入型漏洞检测方面的运用。为了保证检测的效果,一方面针对WEB运用系统的新特点采取了过滤机制逃逸技术并构建丰富的测试数据库;另一方面提出了SQL注入漏洞确认模型,通过该模型进行了多历程的错误响应浅析。第四,论文以适应快速进展的WEB运用技术、应对多样化的WEB运用系统威胁为目标,在以上模型和论述探讨的基础上,提出了基于“三层两面”设计思想的WEB运用系统安全检测平台架构。该架构将检测、浅析与管理进行了严格的区分,丰富的公共接口保障了模块间的数据交互,极大的提升了检测平台的可扩展性。论文通过实验验证了以上模型策略的可行性,并通过在实际WEB运用系统检测中的运用验证了它们在提升检测效论文导读:反馈的接口自动化赋值策略62-704.3.1接口赋值数据集合模型62-644.3.2接口赋值构造策略64-664.3.3D-BPM-BM主题特点字串匹配算法66-684.3.4响应信息浅析及反馈68-704.4实验论证浅析70-734.4.1实验场景设计704.4.2验证指标70-714.4.3结果浅析71-734.5本章小结73-74第五章注入型漏洞检测对策探讨74-89
5.1引言742注
果方面的有效性。关键词:WEB安全检测论文信息抓取论文自动交互论文注入型漏洞检测论文本论文由www.7ctime.com,需要论文可以联系人员哦。摘要4-6
ABSTRACT6-9
目录9-12
第一章 绪论12-22
1.1 本论文探讨的背景12-15
1.1 WEB运用系统安全检测技术的重要量12-13
1.2 现有WEB运用系统安全检测技术13-15
1.2 本论文探讨的作用15-18
1.2.1 WEB运用系统的特点及安全检测面对的挑战15-16
1.2.2 现有检测技术的局限性16-18
1.3 本论文的探讨内容与主要贡献18-20
1.4 论文的组织结构20-22
第二章 WEB运用系统安全检测关键技术综述22-352.1 引言22
2.2 WEB运用系统安全威胁的分类22-25
2.1 基于WEB运用系统层次结构的分类23-24
2.2 基于攻击类型的分类24-25
2.3 WEB运用系统安全检测技术25-30
2.3.1 源代码浅析技术25-26
2.3.2 渗透测试技术26-29
2.3.3 源代码浅析技术与渗透测试技术的性能比较29-30
2.4 有检测模型及相联系统30-34
2.4.1 基于索引爬虫的安全漏洞检测策略30-31
2.4.2 完全抓取机制31
2.4.3 接口函数化模型31
2.4.4 阴性响应提取技术31-32
2.4.5 相关检测系统和工具32
2.4.6 现有技术策略的不足32-34
2.5 本章小结34-35
第三章 基于强化学习的WEB信息抓取模型探讨35-573.1 引言35-36
3.2 基于聚类浅析的页面结构化模型36-42
3.2.1 页面结构化模型框架36-38
3.2.2 基于标签树的页面结构化表示38-39
3.2.3 页面区块划分策略39-42
3.3 基于强化学习的信息抓取模型42-473.1 强化学习42-43
3.2 基于综合回报的接口相关性评价模型43-46
3.3 RLC接口抓取算法46-47
3.4 链接特点建模47-50
3.4.1 链接的结构化47-48
3.4.2 链接的抽象表示48-49
3.4.3 链接特点的提取算法49-50
3.5 实验论证浅析50-56
3.5.1 实验场景设计50-51
3.5.2 RLC参数设置及主要验证指标51-52
3.5.3 仿真结果与浅析52-56
3.6 本章小结56-57
第四章 WEB运用系统自动交互策略探讨57-744.1 引言57-58
4.2 WEB运用系统接口特点的浅析与探讨58-62
4.2.1 接口建模58-59
4.2.2 接口模型的提取59-62
4.3 基于信息反馈的接口自动化赋值策略62-704.
3.1 接口赋值数据集合模型62-64
4.3.2 接口赋值构造策略64-66
4.3.3 D-BPM-BM主题特点字串匹配算法66-68
4.3.4 响应信息浅析及反馈68-70
4.4 实验论证浅析70-734.1 实验场景设计70
4.2 验证指标70-71
4.3 结果浅析71-73
4.5 本章小结73-74
第五章 注入型漏洞检测对策探讨74-895.1 引言74
5.2 注入型漏洞产生的理由74-77
5.2.1 注入刑漏洞的类型与特点75-76
5.2.2 WEB运用系统安全技术与安全漏洞76-77
5.3 基于模拟攻击的注入型漏洞检测对策77-865.
3.1 基于模拟攻击检测的原理77-80
5.3.2 跨站脚本攻击漏洞的检测80-82
5.3.3 SQL注入漏洞的检测82-86
5.4 实验论证浅析86-885.
4.1 实验环境86-87
5.4.2 实验数据与漏洞检测性能浅析87-88
5.5 本章小结88-89第六章 WEB运用系统安全检测平台的设计与实现89-98
6.1 引言89
6.2 RLC-VDP平台的总体介绍89-92
6.2.1 设计案例89-90
6.2.2 平台架构90-92
6.3 RLC-VDP平台的实现92-956.
3.1 WEB信息抓取模块的设计与实现92-94
6.3.2 自动交互模块的设计与实现94
6.3.3 漏洞检测引擎的设计与实现94-95
6.4 实验论证浅析95-976.4.1 实验环境95-论文导读:-98第七章总结与展望98-1007.1论文工作总结98-997.2下一步工作99-100参考文献100-113致谢113-114附录1某图书馆网站图书查询接口源代码114-116附录2部分漏洞检测结果116-118附录3攻读博士学位期间录用、发表的论文118-119附录4攻读博士学位期间参加的科研工作119上一页123
96
6.4.2 实验结果及浅析96-97
5 本章小结97-98
第七章 总结与展望98-1007.1 论文工作总结98-99
7.2 下一步工作99-100
参考文献100-113致谢113-114
附录1 某图书馆网站图书查询接口源代码114-116
附录2 部分漏洞检测结果116-118
附录3 攻读博士学位期间录用、发表的论文118-119
附录4 攻读博士学位期间参加的科研工作119