10.11959/j.issn.1000-436x.2021046
SQLMVED:基于多变体执行的SQL注入运行时防御系统
SQL解析过程中利用随机化进行SQL注入攻击(SQLIA)防御的有效性是建立在攻击者不了解当前系统采用的具体随机化方法的基础上,因此,攻击者一旦掌握了当前系统的随机化形式,便能够实施有效的SQLIA.为了解决该问题,基于多变体执行设计出一种SQL注入运行时防御系统,多变体间采用互不相同的随机化方法,攻击者注入的非法SQL无法同时被所有变体解析成功,即使在攻击者掌握了随机化方法的情况下,非法SQL也最多只能被某一变体解析成功,利用表决机制对多变体的响应结果或解析结果进行表决,及时发现异常,阻断SQLIA的攻击路径.面向Web服务实现了原型系统SQLMVED,实验证明该系统能够有效抵御SQLIA.
SQL注入攻击、运行时防御、多变体执行、随机化
42
TP393(计算技术、计算机技术)
国家自然科学基金资助项目;国家重点研发计划基金资助项目
2021-05-17(万方平台首次上网日期,不代表论文的发表时间)
共12页
127-138
