面向S-SDLC的Web安全自动化测试技术的研究

摘要

互联网技术的迅猛发展，带来了一系列网络安全问题，引起了人们的高度重视。为了提高软件的安全性，国际OWASP提出将软件安全性研究“灌输”到软件生命周期的各阶段中，形成S-SDLC。
　　本文围绕S-SDLC的概念做了以下研究:
　　1)结合S-SDLC的理念对传统测试模型进行分析与优化，设计一种新的安全软件测试模型，诠释了软件测试的具体工作流程。相对于传统的测试流程，该模型不仅可适用于不断更新迭代的新型互联网产品，而且强调了功能测试与安全测试应并发执行，保证了软件的安全性。
　　2)针对优化后模型中的系统测试阶段，对SQL注入攻击的自动检测技术进行深入探究，提出基于SQL语法解析树的CNN分类算法。与传统的CNN分类算法不同，本文所使用的数据并非自然语言文本，而是SQL计算机语言，因此主要研究以下两方面:一是数据预处理部分，将SQL样本解析为SQL语法树，并生成嵌入向量;二是训练部分，基于树形卷积和树形K-Max动态池化方法进行分类。
　　最后，对算法进行了验证分析。首先验证了SQL嵌入向量的可行性;然后实现了基于SQL嵌入向量的分类训练，并对算法进行整体测试，与基于SVM和基于ANN的两种SQL注入检测算法的性能作对比分析。实验结果表明，本文提出的检测算法在数据集包含并大于传统算法的前提下，其检测准确率更高。

目录

声明

摘要

第1章绪论

1．1研究背景及意义

1．2国内外研究现状

1．2．1面向S-SDLC的安全测试

1．2．2 SQL注入检测技术

1．2．3 分类算法

1．3论文主要研究内容

1．4论文组织结构

第2章面向S-SDLC的安全软件测试模型

2．1 S-SDLC概述

2．2传统的软件测试模型

2．2．1 V模型

2．2．2 W模型

2．2．3 H模型

2．3传统软件测试模型的改进

2．3．1 传统软件测试模型的局限性

2．3．2改进的安全软件测试模型

2．4改进的测试模型的可行性研究

2．5本章小结

第3章基于SQL语法解析树的向量学习方法

3．1 SQL注入攻击

3．1．1 SQL注入攻击原理

3．1．2 SQL注入攻击方式

3．2 SQL注入检测

3．2．1 传统的SQL注入攻击检测技术

3．2．2基于卷积神经网络的SQL注入检测技术

3．3 SQL语句样本处理

3．3．1 SQL语法解析树的表示

3．3．2 SQL嵌入向量的生成

3．4本章小结

第4章基于SQL解析向量的卷积神经网络自动分类算法

4．1基本分类模型

4．1．1传统的分类方法

4．1．2基于SQL解析向量的分类模型

4．2基于树的卷积层

4．2．1传统的卷积处理

4．2．2基于树形结构的卷积运算

4．3 基于树形Feature Map的池化层

4．3．1 最大池化方法

4．3．2 K-Max池化

4．3．3动态K-Max池化

4．4全连接层与输出层

4．5本章小结

第5章基于SQL解析树的卷积神经网络分类算法的实现

5．1算法的架构

5．2实验环境

5．3数据集的收集

5．4 SQL样本处理模块的设计与实现

5．4．1 SQL样本处理的设计

5．4．2 SQL样本处理的实现

5．5模型训练模块的设计与实现

5．5．1 SQL样本处理的设计

5．5．2训练模块的实现

5．6实验结果

5．6．1嵌入向量的可行性验证

5．6．2算法的性能分析

5．7本章小结

结论

参考文献

攻读硕士学位期间发表的论文和取得的科研成果

致谢