学号20189220余超 2018-2019-2 《密码与安全新技术专题》第一周作业

学号20189220 2018-2019-2 《密码与安全新技术专题》第一周作业

课程：《密码与安全新技术专题》

班级： 1892
姓名： 余超
学号：20189220
上课教师：谢四江
上课日期：2019年2月26日
必修/选修： 选修

1.本次讲座的学习总结

本次讲座主要学习了网络安全以及网络内容安全相关的知识，首先通过信息化发展凸显了信息安全问题介绍了威胁方与防护方的非对称性，主要是指大量自动化攻击工具的出现使得攻击方所需的成本极低，且较为隐秘；而防护方的成本极高的一种现象，从而引出了三个方面的知识。第一个方面为Web应用安全，主要介绍了常见的Web漏洞，比如SQL注入，XSS跨站脚本攻击，CSRF跨站请求伪造，解析漏洞，弱口令等等。第二个方面，主要介绍了用户的隐私安全，通过介绍两个例子Stava户外运动软件和苹果手机收集用户的mac地址等用户信息，揭示了当今有一部分软件在未经用户的许可下擅自手机用户隐私的现象。第三个方面介绍了机器学习在网络安全方面的应用，机器学习有助于解决钓鱼攻击，水坑式攻击，内网漫游，隐蔽信道检测，注入攻击，网页木马，钓鱼网站URL识别等网络安全问题。

2.学习中遇到的问题及解决

• 问题1：XSS跨站脚本攻击和CSRF跨站请求伪造攻击方式有何不同？
• 问题1解决方案：XSS攻击分成两类，一类是来自内部的攻击，主要指的是利用程序自身的漏洞，构造跨站语句；另一类则是来自外部的攻击，主要指的自己构造XSS跨站漏洞网页或者寻找非目标机以外的有跨站漏洞的网页。CSRF或者XSRF，是一种对网站的恶意利用。尽管听起来像跨站脚本（XSS），但它与XSS非常不同，并且攻击方式几乎相左。XSS利用站点内的信任用户，而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比，CSRF攻击往往不大流行（因此对其进行防范的资源也相当稀少）和难以防范，所以被认为比XSS更具危险性。
• 问题2：什么是机器学习，机器学习主要应用在网络安全的那些方向？
• 问题2解决方案：机器学习(Machine Learning, ML)是一门多领域交叉学科，涉及概率论、统计学、逼近论、凸分析、算法复杂度理论等多门学科。专门研究计算机怎样模拟或实现人类的学习行为，以获取新的知识或技能，重新组织已有的知识结构使之不断改善自身的性能。
  将机器学习应用到网络安全已成为近年来安全领域的研究热点。针对安全领域的5个研究方向(指网络空间安全基础、密码学及其应用、系统安全、网络安全、应用安全)，机器学习在系统安全、网络安全、应用安全三个方向有大量的研究成果，而在网络安全基础和密码学及其应用方面的研究较少涉及。其中，系统安全以芯片、系统硬件物理环境及系统软件为研究方向；网络安全主要以网络基础设施、网络安全监测为研究重点；应用层面则关注应用软件安全、社会网络安全。

3.本次讲座的学习感悟、思考等

通吃本次课程，我了解到了当今信息化发展的趋势以及其所凸显的信息安全问题。我们在处于一个网络攻击和网络防御不对等的时代，网络攻击的成本较低，且较与方便；相比而言，网络防御的成本较高。用户的数据变得越来越有价值，在大数据时代，信息就是金钱，信息就是财富。大量的数据和信息储藏在网络空间中，因此网络空间的安全就变得十分重要。因此，我觉得我应该提高自己上网的安全意识，做一些基本的防护。比如说，给电脑加密，经常杀毒，不去逛一些来路不明的网站等等。

4.SQL注入攻击的最新研究现状

根据老师所讲的内容，我对SQL注入十分感兴趣，并利用学校的图书资源在IEEE上查找了一些最新的论文和资料。

• 第一篇

1. 首先我找了一篇发布在 IEEE Transactions on Vehicular Technology ( Early Access )上的论文“LSTM-based SQL Injection Detection Method for Intelligent Transportation System”。
2. 作者信息如下：齐力获得博士学位，计算机学位来自北京邮电大学电信，2010年。她是信息安全中心，国家重点网络与交换实验室技术学院，计算机科学北京邮电大学的副教授， 她目前的研究重点是信息系统和软件；方王获得了B.S. 2017年获得中国西安邮电大学信息安全学位。她目前正在北京邮电大学攻读信息安全硕士学位 她的研究兴趣是软件安全和数据分析领域；王俊峰获得了硕士学位。 重庆邮电大学计算机应用技术学士学位和电子科技大学的博士学位，他最近的研究兴趣包括网络和信息安全，空间信息网络和数据挖掘。
3. 这篇文章主要介绍了智能交通是一种新兴技术，集成了先进的传感器，网络通信，数据处理和自动控制技术，为我们的日常生活提供了极大的便利。随着智能交通的日益普及，其安全问题也引起了人们的广泛关注。 SQL注入攻击是智能交通系统中最常见的攻击之一。它具有各种类型的特征，快速突变，隐藏攻击等，并且导致很大的危害。大多数当前的SQL检测方法都基于手动定义的功能。检测结果在很大程度上取决于特征提取的准确性，因此无法应对智能交通系统中日益复杂的SQL注入攻击。为了解决这个问题，本文提出了一种基于LSTM的SQL注入攻击检测方法，该方法可以自动学习数据的有效表示，并且具有很强的优势，可以应对复杂的高维海量数据。此外，本文从渗透的角度提出了一种基于数据传输通道的注入样本生成方法。此方法可以正式建模SQL注入攻击并生成有效的正样本。它可以有效地解决阳性样品不足引起的过度拟合问题。实验结果表明，该方法提高了SQL注入攻击检测的准确率，降低了误报率，优于几种相关的经典机器学习算法和常用的深度学习算法。最后，作者在最后进行了总结：设计了一个SQL注入样本生成方法来扩充数据集，并利用LSTM捕获数据序列的优势和远程依赖性来检测SQL注入攻击。同时，给出了具体的模型训练过程。最后，作者编写并实施了它。大量的在数据集上进行实验。比较了使用经典机器学习方法（SVM，KNN，决策树，NB，RF）和常用的深度神经网络（CNN，RNN，MLP）检测SQL注入语句的效率。实验结果表明，使用此正样本生成方法来增加数据集可以缓解过度拟合问题，这有助于后续的SQL注入检测。这样的智能交通系统中SQL注入攻击检测方法取得了良好的效果，提高了准确率，降低了误报率和误报率。

• 第二篇

1. 第二篇论文我找的是发布在2018 2nd International Conference on Inventive Systems and Control (ICISC)上的论文，论文的题目为Detection of SQL injection attacks by removing the parameter values of SQL query
2. 作者信息：Rajashree A. Katole SGBAU，Amravati，马哈拉施特拉邦，印度；Swati S. Sherekar SGBAU，Amravati，马哈拉施特拉邦，印度；Vilas M. Thakare SGBAU，Amravati，马哈拉施特拉邦，印度。
3. 这篇论文首先引出背景随着互联网用户日益增多。 Web服务和移动Web应用程序或桌面Web应用程序的需求也在增加。 系统被黑客入侵的可能性也在增加。从中检索结果可知所有Web应用程序都在后端数据库中维护数据，因为Web应用程序可以从世界各地访问，所以Web应用程序的所有用户都必须可以访问它们。然后说明SQL注入攻击现在是Web应用程序安全性的最大威胁之一，通过使用SQL注入攻击者可以窃取机密信息。其次讨论了通过删除SQL查询的参数值的SQL注入攻击检测方法，并给出了结果。在这篇论文中，查询处理和参数删除的方法被共同用于给出一种方法，该方法通过参数检测原始SQL查询和修改的即注入的SQL查询之间的差异。SQL注入检测机制和保护Web应用程序免受SQL注入攻击。数字时代的技术期望无攻击系统更安全地共享数据。 提出的方法使Web应用程序能够在丢失任何数据之前检测代码注入（SQL注入）攻击，从而使系统更安全。 结合现有的SQL注入检测机制来开发更强大的机制，使Web应用程序更加健壮，这是最好的结果，因为它可以从这个提出的方法中得到预期。 从Web应用程序生成到Web应用程序安全性的方法的演变使Web应用程序更加安全和健壮。在未来的展望中，作者希望未来的工作应该用于检测SQL注入攻击的有效方法和防止它的方法。 必须消耗时间来检测SQL注入，因为这将开发更多新的和稳定的方法。必须理解对业务的影响以降低SQL注入攻击的风险。 需要更多的研究来准确检测SQL注入攻击。

• 第三篇

1. 第三篇论文我找的是发布在: 2018 IEEE International Conference on Electro/Information Technology (EIT)上的论文，论文题目为A Real-World Implementation of SQL Injection Attack Using Open Source Tools for Enhanced Cybersecurity Learning。
2. 作者信息：Shriya Vyamajala 托莱多大学，EECS部门，托莱多，俄亥俄州，43606；Tauheed Khan Mohd 托莱多大学，EECS部门，托莱多，俄亥俄州，43606；艾哈迈德·哈吉德 托莱多大学，EECS部门，托莱多，俄亥俄州，43606
3. 这篇论文最主要研究了SQL注入是一种执行SQL查询并从网站连接的数据库中检索敏感信息的方法。 这个过程对当今世界编码不佳的应用程序构成了威胁。 即使在2018年，SQL也被认为是十大漏洞之一。为了跟踪每个网站面临的漏洞，我们采用了一种名为Acunetix的工具，它可以让我们找到特定网站的漏洞。 该工具还建议了如何确保预防措施的措施。 使用此实现，我们发现实际网站中的漏洞。 这种现实世界的实施对于基础网络安全课程中的教学使用非常有用。这个叫Acunetix的工具，它是一个Web应用安全扫描程序，以识别Web应用程序体系结构中的威胁和弱点。JSQL工具自动在23种数据库上运行用于SQL注入，数据库是Access Cockroach DB，CUBRID，DB2，Derby，Firebird，H2，Hana，HSQLDB，Informix，Ingres，Max DB MySQL {Maria Db}，PostgreSQL，Teradata和Vertica的。 它支持多种注射策略，如正常，错误，盲目和时间。 这个工具使用SQL引擎来学习和优化SQL表达式。 它在主机上读写文件使用注射。 它还促进了字符串的编码和解码。Acunetix工具的工作原理如下。工具中的爬虫用于从URL开始分析目标并映射整个结构。扫描程序将进一步测试通过爬网程序找到的页面是否存在漏洞。可以轻松定制范围，扫描范围和速度。扫描程序将进一步测试通过爬网程序找到的页面是否存在漏洞。可以轻松定制范围，扫描范围和速度。多用户和多角色访问用于访问设置，扫描启动和扫描数据。有些过滤器可以快速找到我们正在寻找的东西。它生成各种管理和合规性报告，如PCI，DSS等。此工具还将结果导出到XML，这些结果可供其他系统使用。还有一个称为优先级设置的功能，它基于业务关键性。它还基于连续扫描，每天在目标上运行快速扫描，以便在引入漏洞后立即捕获漏洞。

• 第四篇

1. 这是一篇发布在2018 Second International Conference on Computing Methodologies and Communication (ICCMC)上的论文，论文的题目为Encountering SQL Injection in Web Applications
2. 作者信息：Padma N Joshi Sreyas Engg Institute of CSE部门。 ＆Technology，印度海德拉巴；N. Ravishankar印度海德拉巴Geethanjali工程技术学院CSE部；M. B. Raju海德拉巴Krishn Murthy工程技术研究所CSE部门；N.CH.拉维CSE部门，SIET，印度海得拉巴；
3. 本文主要介绍了相关的背景，在过去十年中，网络的申请数量呈指数级增长。 当前的Web应用程序提供的服务比简单的内容交付要多得多。 基于Web的计算模型已经受到多种攻击，例如跨站点脚本和SQL注入。 SQL注入攻击是对所有在线请求及其技术的隐私，完整性和可访问性的近期威胁基础设施。这篇文章研究了SQL注入攻击的攻击类型和分类。 以及下一次调查基于以表格形式来进行研究。 之后讨论了模式锁定提出的模型和结论以及未来的范围，为研究人员提出了防止SQL注入攻击的建议方法。首先将攻击进行了分类，分为攻击客户端，使用命令进行攻击，基于身份验证的攻击，披露信息的攻击；然后将SQL攻击进行了分类，并用表格的形式来进行研究。并在最后提出了未来的研究方向和范围，也即是这项研究的范围可以扩展将跨站点脚本预防机制集成到此提出了更多的SQL注入预防技术安全且耗时较少的安全系统为Web应用程序提供安全性。

• 第五篇

1. 这是一篇发布在2018 IEEE International Conference on Systems, Man, and Cybernetics (SMC)的论文，论文题目为A Framework for SQL Injection Investigations: Detection, Investigation, and Forensics-
2. 作者信息如下：Da-Yu Kao 信息管理系，中央警察大学，通讯作者：台湾桃园通讯作者：[email protected]；赖中瑞信息管理系，中央警察大学，台湾桃园[email protected]；苏清薇技术管理，交通大学，台湾新竹[email protected]。
3. 这篇文章主要介绍了Web应用程序为各种私人组织和公共部门提供信息。 基于Web的应用程序和数据库中的缺陷也可用于恶意SQL语句。 攻击者经常在Web应用程序的输入验证期间利用SQL注入（SQLi）漏洞来感染数据库服务器并发起网络攻击。 SQLi攻击源于不受信任的输入的执行，并使程序执行具有管理权限的非预期代码。 网站管理员应该缓解SQLi漏洞，并且LEA应该找到更好的方法来收集相关证据。 本文提出了一个SQLi调查体系结构（SIA）框架，并证明了其对抗SQLi攻击的可行性。 还提出了一种有效和高效的方法来起诉SQLi攻击者并使其远离滥用数据库。提出了一种关于SQL注入攻击的的调查框架，SQLi攻击是指未经授权的访问攻击者可以绕过Web应用程序的身份验证，检索整个数据库的内容，或注入恶意数据控制Web应用程序的SQL语句（或有效负载）数据库服务器本文已经确定了各种类型的SQLi攻击并提出了一个调查和比较目前用于调查SQLi攻击的技术。这篇报告还说明了一个新的SQLi调查框架。可以使用此框架与各种网络数据库。拟议的框架能够在SQLi的定义标准内找到攻击者攻击。而且，拟议框架的准确性可以通过识别和添加一些参数来改进特点。拟议的框架可以帮助LEA采取任何进一步行动起诉被剥削的侵略者Web应用程序的SQLi漏洞。该技术还可用于检测或保护其他攻击。未来的研究将调查对SQL的潜在影响注射研究和评估的实际应用法律诉讼中的SIA框架。

参考资料

• LSTM-based SQL Injection Detection Method for Intelligent Transportation System
• Detection of SQL injection attacks by removing the parameter values of SQL query
• A Real-World Implementation of SQL Injection Attack Using Open Source Tools for Enhanced Cybersecurity Learning
• Encountering SQL Injection in Web Applications
• A Framework for SQL Injection Investigations: Detection, Investigation, and Forensics