Web安全检测平台关键技术研究与应用
Web安全检测平台关键技术研究与应用 摘要 随着网络通信技术的飞速发展,互联网基础设施建设的完善,促 进了网络业务的应用和发展。网络应用的蓬勃发展,使得越来越多的 组织或个人开始利用网络处理和传输敏感数据。而网络上传播、蔓延 的病毒、木马、后门、拒绝服务工具等安全威胁,导致接入互联网的 任何系统都处于将被攻击的风险之中,如何确保网络应用的安全成为 一个紧迫的任务。 目前虽然有一些关于Web安全的扫描和检测工具,但往往是以 单一形态存在,缺乏统一的平台对Web网站的安全进行综合、全面 的检测、分析与评估。本文研究了基于Web的安全检测平台中的相 关技术。主要工作包括 1)提出一种基于多工具端的心跳监听机制。该机制可以有效减 轻服务器端负载,同时利于扫描工具的灵活扩展。 2)深入探讨了报表技术,对现有报表的实现技术进行了深入的 研究,设计实现了适用于Web安全检测平台的报表。 3)对Apriori算法进行了改进,提高了挖掘效率。利用该算法对 安全检测数据进行分析,发现漏洞之间潜在的关系。 4)本文实现了基于以上关键技术的Web安全检测平台,用户可 以方便的对平台进行远程操控,通过实际例子对平台进行了验证。 关键字网络安全,心跳机制,关联规则 RESEARCH AND APPLICATION OF KEY TECHNOLOGIES FOR WEB SECURITY TESTING PLAT ABSTRACT With the development of network communication technology and the improvement of Internet infrastructure which promote the application and the network businesses. Because of the rapid development of the network, many organizations and individuals began to processing or transferring sensitive data on Internet. However, with the existing of the virus, Trojans, backdoors, denial of service attacks and other security threats, which results in a circumstance is full of security risk. How to ensure the security of network applications becomes a pressing task. For now, there are some scanning and detecting tools on the Web security such as Web vulnerability scanning and Web Trojan detection. Most of these tools are single function and lack of a unified security plat to do comprehensive detection, analysis and uation for Web sites. The thesis studies the technologies in the security detection plat which is based on Web. The main work includes 1 Proposed a heartbeat surveillance mechanism based on multi-tools. This can effectively reduce the server load and make the scanning tools easy to be extended. 2 Discussed in depth the reporting technology. Design and implement the report for the Web security testing plat. 3 With the aim to improve the efficient, we introduced a new algorithm based on Apriori algorithm. We analyze the testing data to found the potential relationship between vulnerabilities through the algorithm. 4 Based on the above technologies, a plat for Web security testing is be implemented. And at last, experiments verify the efficiency of the plat. KEY WORDS network security, heartbeat mechanism, association rules 第一章绪论1 1.1论文背景1 1.2研究内容2 1.3论文结构2 第二章WEB安全检测概述4 2.1 Web安全概述4 2.2 Web攻击技术5 2.2.1跨站脚本攻击5 2.2.2 SQL注入攻击6 2.2.3命令注入攻击6 2.2.4引入文件执行式漏洞.7 2.2.5越权访问7 2.2.6跨站请求伪造攻击.8 2.2.7信息泄露式漏洞.9 2.2.8身份认证绕过式漏洞.9 2.2.9不安全信息存储.9 2.3 WEB攻击技术发展趋势10 2.4 Web安全检测技术14 第三章WEB安全检测平台关键技术16 3.1心跳监听设计与实现16 3.1.1心跳监听16 3.1.2心跳模型设计17 3.2报表设计与实现20 3.2.1关系数据库访问.21 3.2.2 7次晶报表22 3.3关联规则算法改进与实现25 3.3.1关联规则挖掘25 3.3.2 IAP 算法30 3.3.3 IAP算法验证32 4.1平台总体需求34 4.2平台总体架构34 4.3平台管理模块36 4.3.1用户管理模块36 4.3.2任务管理模块37 4.4结果查询模块42 4.5平台验证错误未定义书签。 第五章总结与展望46 5.1论文工作总结46 5.2展望46 参考文献错误未定义书签。 致谢错误未定义书签。 攻读学位期间发表的学术论文错误未定义书签。 第一章绪论 1.1论文背景 随着计算机