學号20189220餘超 2018-2019-2 《密碼與安全新技術專題》第一周作業

學号20189220 2018-2019-2 《密碼與安全新技術專題》第一周作業

課程：《密碼與安全新技術專題》

班級： 1892

姓名： 餘超

學号：20189220

上課教師：謝四江

上課日期：2019年2月26日

必修/選修： 選修

1.本次講座的學習總結

本次講座主要學習了網絡安全以及網絡内容安全相關的知識，首先通過資訊化發展凸顯了資訊安全問題介紹了威脅方與防護方的非對稱性，主要是指大量自動化攻擊工具的出現使得攻擊方所需的成本極低，且較為隐秘；而防護方的成本極高的一種現象，進而引出了三個方面的知識。第一個方面為Web應用安全，主要介紹了常見的Web漏洞，比如SQL注入，XSS跨站腳本攻擊，CSRF跨站請求僞造，解析漏洞，弱密碼等等。第二個方面，主要介紹了使用者的隐私安全，通過介紹兩個例子Stava戶外運動軟體和蘋果手機收集使用者的mac位址等使用者資訊，揭示了當今有一部分軟體在未經使用者的許可下擅自手機使用者隐私的現象。第三個方面介紹了機器學習在網絡安全方面的應用，機器學習有助于解決釣魚攻擊，水坑式攻擊，内網漫遊，隐蔽信道檢測，注入攻擊，網頁木馬，釣魚網站URL識别等網絡安全問題。

1.1常見的Web漏洞

1.2SQL注入

1.3XSS跨站腳本攻擊

1.4機器學習

下圖是一些常見的網絡攻擊：

可以将機器學習與釣魚網站的識别結合起來：

2.學習中遇到的問題及解決

• 問題1：XSS跨站腳本攻擊和CSRF跨站請求僞造攻擊方式有何不同？
• 問題1解決方案：XSS攻擊分成兩類，一類是來自内部的攻擊，主要指的是利用程式自身的漏洞，構造跨站語句；另一類則是來自外部的攻擊，主要指的自己構造XSS跨站漏洞網頁或者尋找非目标機以外的有跨站漏洞的網頁。CSRF或者XSRF，是一種對網站的惡意利用。盡管聽起來像跨站腳本（XSS），但它與XSS非常不同，并且攻擊方式幾乎相左。XSS利用站點内的信任使用者，而CSRF則通過僞裝來自受信任使用者的請求來利用受信任的網站。與XSS攻擊相比，CSRF攻擊往往不大流行（是以對其進行防範的資源也相當稀少）和難以防範，是以被認為比XSS更具危險性。
• 問題2：什麼是機器學習，機器學習主要應用在網絡安全的那些方向？

• 問題2解決方案：機器學習(Machine Learning, ML)是一門多領域交叉學科，涉及機率論、統計學、逼近論、凸分析、算法複雜度理論等多門學科。專門研究計算機怎樣模拟或實作人類的學習行為，以擷取新的知識或技能，重新組織已有的知識結構使之不斷改善自身的性能。

  将機器學習應用到網絡安全已成為近年來安全領域的研究熱點。針對安全領域的5個研究方向(指網絡空間安全基礎、密碼學及其應用、系統安全、網絡安全、應用安全)，機器學習在系統安全、網絡安全、應用安全三個方向有大量的研究成果，而在網絡安全基礎和密碼學及其應用方面的研究較少涉及。其中，系統安全以晶片、系統硬體實體環境及系統軟體為研究方向；網絡安全主要以網絡基礎設施、網絡安全監測為研究重點；應用層面則關注應用軟體安全、社會網絡安全。

3.本次講座的學習感悟、思考等

通吃本次課程，我了解到了當今資訊化發展的趨勢以及其所凸顯的資訊安全問題。我們在處于一個網絡攻擊和網絡防禦不對等的時代，網絡攻擊的成本較低，且較與友善；相比而言，網絡防禦的成本較高。使用者的資料變得越來越有價值，在大資料時代，資訊就是金錢，資訊就是财富。大量的資料和資訊儲藏在網絡空間中，是以網絡空間的安全就變得十分重要。是以，我覺得我應該提高自己上網的安全意識，做一些基本的防護。比如說，給電腦加密，經常殺毒，不去逛一些來路不明的網站等等。

4.SQL注入攻擊的最新研究現狀

根據老師所講的内容，我對SQL注入十分感興趣，并利用學校的圖書資源在IEEE上查找了一些最新的論文和資料。

• 第一篇

1. 首先我找了一篇釋出在 IEEE Transactions on Vehicular Technology ( Early Access )上的論文“LSTM-based SQL Injection Detection Method for Intelligent Transportation System”。
2. 作者資訊如下：齊力獲得博士學位，計算機學位來自北京郵電大學電信，2010年。她是資訊安全中心，國家重點網絡與交換實驗室技術學院，計算機科學北京郵電大學的副教授， 她目前的研究重點是資訊系統和軟體；方王獲得了B.S. 2017年獲得中國西安郵電大學資訊安全學位。她目前正在北京郵電大學攻讀資訊安全碩士學位 她的研究興趣是軟體安全和資料分析領域；王俊峰獲得了碩士學位。 重慶郵電大學計算機應用技術學士學位和電子科技大學的博士學位，他最近的研究興趣包括網絡和資訊安全，空間資訊網絡和資料挖掘。
3. 這篇文章主要介紹了智能交通是一種新興技術，內建了先進的傳感器，網絡通信，資料處理和自動控制技術，為我們的日常生活提供了極大的便利。随着智能交通的日益普及，其安全問題也引起了人們的廣泛關注。 SQL注入攻擊是智能交通系統中最常見的攻擊之一。它具有各種類型的特征，快速突變，隐藏攻擊等，并且導緻很大的危害。大多數目前的SQL檢測方法都基于手動定義的功能。檢測結果在很大程度上取決于特征提取的準确性，是以無法應對智能交通系統中日益複雜的SQL注入攻擊。為了解決這個問題，本文提出了一種基于LSTM的SQL注入攻擊檢測方法，該方法可以自動學習資料的有效表示，并且具有很強的優勢，可以應對複雜的高維海量資料。此外，本文從滲透的角度提出了一種基于資料傳輸通道的注入樣本生成方法。此方法可以正式模組化SQL注入攻擊并生成有效的正樣本。它可以有效地解決陽性樣品不足引起的過度拟合問題。實驗結果表明，該方法提高了SQL注入攻擊檢測的準确率，降低了誤報率，優于幾種相關的經典機器學習算法和常用的深度學習算法。最後，作者在最後進行了總結：設計了一個SQL注入樣本生成方法來擴充資料集，并利用LSTM捕獲資料序列的優勢和遠端依賴性來檢測SQL注入攻擊。同時，給出了具體的模型訓練過程。最後，作者編寫并實施了它。大量的在資料集上進行實驗。比較了使用經典機器學習方法（SVM，KNN，決策樹，NB，RF）和常用的深度神經網絡（CNN，RNN，MLP）檢測SQL注入語句的效率。實驗結果表明，使用此正樣本生成方法來增加資料集可以緩解過度拟合問題，這有助于後續的SQL注入檢測。這樣的智能交通系統中SQL注入攻擊檢測方法取得了良好的效果，提高了準确率，降低了誤報率和誤報率。

• 第二篇

1. 第二篇論文我找的是釋出在2018 2nd International Conference on Inventive Systems and Control (ICISC)上的論文，論文的題目為Detection of SQL injection attacks by removing the parameter values of SQL query
2. 作者資訊：Rajashree A. Katole SGBAU，Amravati，馬哈拉施特拉邦，印度；Swati S. Sherekar SGBAU，Amravati，馬哈拉施特拉邦，印度；Vilas M. Thakare SGBAU，Amravati，馬哈拉施特拉邦，印度。
3. 這篇論文首先引出背景随着網際網路使用者日益增多。 Web服務和移動Web應用程式或桌面Web應用程式的需求也在增加。 系統被黑客入侵的可能性也在增加。從中檢索結果可知所有Web應用程式都在後端資料庫中維護資料，因為Web應用程式可以從世界各地通路，是以Web應用程式的所有使用者都必須可以通路它們。然後說明SQL注入攻擊現在是Web應用程式安全性的最大威脅之一，通過使用SQL注入攻擊者可以竊取機密資訊。其次讨論了通過删除SQL查詢的參數值的SQL注入攻擊檢測方法，并給出了結果。在這篇論文中，查詢處理和參數删除的方法被共同用于給出一種方法，該方法通過參數檢測原始SQL查詢和修改的即注入的SQL查詢之間的差異。SQL注入檢測機制和保護Web應用程式免受SQL注入攻擊。數字時代的技術期望無攻擊系統更安全地共享資料。 提出的方法使Web應用程式能夠在丢失任何資料之前檢測代碼注入（SQL注入）攻擊，進而使系統更安全。 結合現有的SQL注入檢測機制來開發更強大的機制，使Web應用程式更加健壯，這是最好的結果，因為它可以從這個提出的方法中得到預期。 從Web應用程式生成到Web應用程式安全性的方法的演變使Web應用程式更加安全和健壯。在未來的展望中，作者希望未來的工作應該用于檢測SQL注入攻擊的有效方法和防止它的方法。 必須消耗時間來檢測SQL注入，因為這将開發更多新的和穩定的方法。必須了解對業務的影響以降低SQL注入攻擊的風險。 需要更多的研究來準确檢測SQL注入攻擊。

• 第三篇

1. 第三篇論文我找的是釋出在: 2018 IEEE International Conference on Electro/Information Technology (EIT)上的論文，論文題目為A Real-World Implementation of SQL Injection Attack Using Open Source Tools for Enhanced Cybersecurity Learning。
2. 作者資訊：Shriya Vyamajala 托萊多大學，EECS部門，托萊多，俄亥俄州，43606；Tauheed Khan Mohd 托萊多大學，EECS部門，托萊多，俄亥俄州，43606；艾哈邁德·哈吉德 托萊多大學，EECS部門，托萊多，俄亥俄州，43606
3. 這篇論文最主要研究了SQL注入是一種執行SQL查詢并從網站連接配接的資料庫中檢索敏感資訊的方法。 這個過程對當今世界編碼不佳的應用程式構成了威脅。 即使在2018年，SQL也被認為是十大漏洞之一。為了跟蹤每個網站面臨的漏洞，我們采用了一種名為Acunetix的工具，它可以讓我們找到特定網站的漏洞。 該工具還建議了如何確定預防措施的措施。 使用此實作，我們發現實際網站中的漏洞。 這種現實世界的實施對于基礎網絡安全課程中的教學使用非常有用。這個叫Acunetix的工具，它是一個Web應用安全掃描程式，以識别Web應用程式體系結構中的威脅和弱點。JSQL工具自動在23種資料庫上運作用于SQL注入，資料庫是Access Cockroach DB，CUBRID，DB2，Derby，Firebird，H2，Hana，HSQLDB，Informix，Ingres，Max DB MySQL {Maria Db}，PostgreSQL，Teradata和Vertica的。 它支援多種注射政策，如正常，錯誤，盲目和時間。 這個工具使用SQL引擎來學習和優化SQL表達式。 它在主機上讀寫檔案使用注射。 它還促進了字元串的編碼和解碼。Acunetix工具的工作原理如下。工具中的爬蟲用于從URL開始分析目标并映射整個結構。掃描程式将進一步測試通過爬網程式找到的頁面是否存在漏洞。可以輕松定制範圍，掃描範圍和速度。掃描程式将進一步測試通過爬網程式找到的頁面是否存在漏洞。可以輕松定制範圍，掃描範圍和速度。多使用者和多角色通路用于通路設定，掃描啟動和掃描資料。有些過濾器可以快速找到我們正在尋找的東西。它生成各種管理和合規性報告，如PCI，DSS等。此工具還将結果導出到XML，這些結果可供其他系統使用。還有一個稱為優先級設定的功能，它基于業務關鍵性。它還基于連續掃描，每天在目标上運作快速掃描，以便在引入漏洞後立即捕獲漏洞。

• 第四篇

1. 這是一篇釋出在2018 Second International Conference on Computing Methodologies and Communication (ICCMC)上的論文，論文的題目為Encountering SQL Injection in Web Applications
2. 作者資訊：Padma N Joshi Sreyas Engg Institute of CSE部門。 ＆Technology，印度海德拉巴；N. Ravishankar印度海德拉巴Geethanjali工程技術學院CSE部；M. B. Raju海德拉巴Krishn Murthy工程技術研究所CSE部門；N.CH.拉維CSE部門，SIET，印度海得拉巴；
3. 本文主要介紹了相關的背景，在過去十年中，網絡的申請數量呈指數級增長。 目前的Web應用程式提供的服務比簡單的内容傳遞要多得多。 基于Web的計算模型已經受到多種攻擊，例如跨站點腳本和SQL注入。 SQL注入攻擊是對所有線上請求及其技術的隐私，完整性和可通路性的近期威脅基礎設施。這篇文章研究了SQL注入攻擊的攻擊類型和分類。 以及下一次調查基于以表格形式來進行研究。 之後讨論了模式鎖定提出的模型和結論以及未來的範圍，為研究人員提出了防止SQL注入攻擊的建議方法。首先将攻擊進行了分類，分為攻擊用戶端，使用指令進行攻擊，基于身份驗證的攻擊，披露資訊的攻擊；然後将SQL攻擊進行了分類，并用表格的形式來進行研究。并在最後提出了未來的研究方向和範圍，也即是這項研究的範圍可以擴充将跨站點腳本預防機制內建到此提出了更多的SQL注入預防技術安全且耗時較少的安全系統為Web應用程式提供安全性。

• 第五篇

1. 這是一篇釋出在2018 IEEE International Conference on Systems, Man, and Cybernetics (SMC)的論文，論文題目為A Framework for SQL Injection Investigations: Detection, Investigation, and Forensics-
2. 作者資訊如下：Da-Yu Kao 資訊管理系，中央警察大學，通訊作者：台灣桃園通訊作者：[email protected]；賴中瑞資訊管理系，中央警察大學，台灣桃園[email protected]；蘇清薇技術管理，交通大學，台灣新竹[email protected]。
3. 這篇文章主要介紹了Web應用程式為各種私人組織和公共部門提供資訊。 基于Web的應用程式和資料庫中的缺陷也可用于惡意SQL語句。 攻擊者經常在Web應用程式的輸入驗證期間利用SQL注入（SQLi）漏洞來感染資料庫伺服器并發起網絡攻擊。 SQLi攻擊源于不受信任的輸入的執行，并使程式執行具有管理權限的非預期代碼。 網站管理者應該緩解SQLi漏洞，并且LEA應該找到更好的方法來收集相關證據。 本文提出了一個SQLi調查體系結構（SIA）架構，并證明了其對抗SQLi攻擊的可行性。 還提出了一種有效和高效的方法來起訴SQLi攻擊者并使其遠離濫用資料庫。提出了一種關于SQL注入攻擊的的調查架構，SQLi攻擊是指未經授權的通路攻擊者可以繞過Web應用程式的身份驗證，檢索整個資料庫的内容，或注入惡意資料控制Web應用程式的SQL語句（或有效負載）資料庫伺服器本文已經确定了各種類型的SQLi攻擊并提出了一個調查和比較目前用于調查SQLi攻擊的技術。這篇報告還說明了一個新的SQLi調查架構。可以使用此架構與各種網絡資料庫。拟議的架構能夠在SQLi的定義标準内找到攻擊者攻擊。而且，拟議架構的準确性可以通過識别和添加一些參數來改進特點。拟議的架構可以幫助LEA采取任何進一步行動起訴被剝削的侵略者Web應用程式的SQLi漏洞。該技術還可用于檢測或保護其他攻擊。未來的研究将調查對SQL的潛在影響注射研究和評估的實際應用法律訴訟中的SIA架構。

參考資料

• LSTM-based SQL Injection Detection Method for Intelligent Transportation System
• Detection of SQL injection attacks by removing the parameter values of SQL query
• A Real-World Implementation of SQL Injection Attack Using Open Source Tools for Enhanced Cybersecurity Learning
• Encountering SQL Injection in Web Applications
• A Framework for SQL Injection Investigations: Detection, Investigation, and Forensics