عنوان مقاله :
تحليل ساختاري و معنايي پرس وجو براي تشخيص حملات تزريق SQL
عنوان فرعي :
Syntax and Semantic Analysis for SQL-Injection Attacks
پديد آورندگان :
تجلي پور، بهاره نويسنده دانشگاه صنعتي مالك اشتر Tajali pour, bahareh , صفايي، علي اصغر نويسنده ,
اطلاعات موجودي :
فصلنامه سال 1393 شماره 5
كليدواژه :
DATABASE , Ontology , SQL injection , Semantic Analysis , Static and dynamic analysis , پايگاه داده , پرس وجوهاي پويا , تحليل ايستا و پويا , تزريق sql , تحليل معنايي , هستان شناسي , Dynamic Query
چكيده فارسي :
يكي از مهم�ترين حملاتي كه امنيت پايگاه داده را به خطر مي�اندازد حمله تزريقSQL است كه اغلب در برنامه�هاي تحت وب اتفاق مي�افتد. هدف از اين مقاله، ارايه روشي براي پيشگيري و كشف حمله تزريقSQL است. روش پيشنهادي مبتني بر رويكرد تركيبي تحليل ايستا و پويا و تحليل معنايي پرس�وجو است. پرس�وجوهاي توليدشده در زمان اجرا، با ليست ايستا و الگوهاي معنايي مطابقت داده شده و ميزان وجود فاكتورهاي حمله در آن بررسي مي�شود. براي ايجاد الگوهاي معنايي نيز از هستان�شناسي استفاده شده است. نتايج حاصل از آزمايش روي چند پايگاه داده نشان مي�دهد كه اين روش مي�تواند بسيار مفيد عمل كند و قابليت انعطاف بالايي در كشف حملات جديد را داشته باشد. معماري پيشنهادي وابستگي زيادي به پايگاه داده ندارد و با اندكي تغيير، قابل استفاده براي ساير پايگاه داده�ها نيز هست. اين روش بر خلاف روش�هاي پيشين، پرس�وجوهاي پويا را پشتيباني مي�كند و وابسته به كد منبع برنامه نيست.
چكيده لاتين :
One of the most critical attacks, threatening the security of databases is SQL injection attack which is mostly held through web applications. This paper proposes a new method to detect and prevent SQL injection attack. The method is based on combination of both static and dynamic approaches and semantic analysis of queries. Run time queries are matched with static list and semantic pattern and as a result the degree of attack factor existence will be checked. Ontology is used on creation of semantic patterns. According to tests which are gathered from different databases, this method acts efficiently and flexibly enough to discover new attacks. The suggested architecture, in contrast with the others, is designed in such a way that it does not have a great database dependency and by some changes it can be used for the other databases.
عنوان نشريه :
پدافند الكترونيكي و سايبري
عنوان نشريه :
پدافند الكترونيكي و سايبري
اطلاعات موجودي :
فصلنامه با شماره پیاپی 5 سال 1393
كلمات كليدي :
#تست#آزمون###امتحان
