一种基于自适应随机测试的Sql注入漏洞自动检测平台及方法技术

本发明专利技术涉及一种基于自适应随机测试的Sql注入漏洞自动检测平台及方法，该检测平台运行于Ubuntu 14.10操作系统，通过对测试用例进行初始化，分析、提取测试用例特征向量，并对测试用例进行向量化表示，使用HTTP请求向测试目标发送测试用例，并记录测试目标的响应，根据响应来判断是否发现Sql注入漏洞，计算测试用例之间的距离，自适应选取下一次进行测试的测试用例。该检测平台创新性地提出使用自适应随机测试的方法，支持快速、自定义、自动化地对目标进行检测，在平台内置丰富的测试用例基础上，使用者可以根据自己的使用需求添加测试用例，平台能够自动化地完成对测试用例的初始化、变异以及特征提取和计算，从而实现最佳的测试效果。

An automatic detection platform and method for Sql injection vulnerability based on adaptive random testing

The invention relates to an automatic test platform and injection method of adaptive random testing based on Sql, the detection platform running on Ubuntu 14.10 operating system, through the initialization of the test case, test case analysis, extraction of the feature vector, and the test case to quantify, the use of HTTP requests to send the test target test cases. Response and record the test target, according to the response to determine whether the Sql injection vulnerability test case, calculating the distance between the adaptive selection of test cases to test the next time. The detection platform of innovative method is proposed using adaptive random testing, support, custom, fast automatic target detection, the platform built rich test case basis, the user can add test cases according to their own needs, the platform can complete the test case of initialization, mutation, feature extraction and automatic calculation enough and in order to achieve the best test effect.

【技术实现步骤摘要】
一种基于自适应随机测试的Sql注入漏洞自动检测平台及方法
本专利技术涉及一种基于自适应随机测试的Sql注入漏洞自动检测平台及方法，属于信息安全

技术介绍
Sql(数据库)注入漏洞，是web应用程序中普遍存在的一种漏洞，由于应用程序对用户输入的不完整校验，导致用户非法输入的恶意语句在数据库中正确执行，暴露数据库信息。根据开放式Web应用程序项目的调查报告，注入漏洞已经多年排在最具危害性的Web安全漏洞前10位。由于Sql注入漏洞的危害性和普遍性，很多研究人员针对此种安全漏洞提出了多种模型和方法进行检测和预防。目前常用的方法主要是通过静态分析、用户输入过滤、运行时监控、静态分析和运行时监控相结合、模糊测试等。根据检测方法的便捷性和有效性，模糊测试技术被广泛用来对应用程序进行安全测试。模糊测试，是一种通过想目标系统提供非预期的输入，并监视异常结果来发现软件漏洞的方法。虽然此种方法能够比较有效地发现应用程序中存在的漏洞，但是该种方法在实际应用中存在一些比较大的挑战：(1)测试用例空间巨大，(2)有效测试用例稀疏，(3)测试用例运行代价高。由于Sql注入漏洞类型比较多，无法预期用户输本文档来自技高网...

【技术保护点】
一种基于自适应随机测试的Sql注入漏洞自动检测平台，其特征在于包括：测试用例初始化模块、测试用例特征提取模块、测试用例自适应选取模块、测试用例测试模块；测试用例初始化模块：对预先定义的测试用例和用户自定义添加的测试用例，使用自动化分析脚本，去除重复测试用例；对去重后的测试用例，使用自动化变异脚本，对去重后的测试用例进行变异，并对变异结果再使用自动化分析脚本，再次去除重复测试用例，得到初始化后的测试用例，输入到测试用例特征提取模块；所述对测试用例进行变异，是指根据预先定义的变异规则，对测试用例中的特定字符进行变化；测试用例特征提取模块：对输入的测试用例提取特征向量，然后根据特征向量对每一个测试用...

【技术特征摘要】
1.一种基于自适应随机测试的Sql注入漏洞自动检测平台，其特征在于包括：测试用例初始化模块、测试用例特征提取模块、测试用例自适应选取模块、测试用例测试模块；测试用例初始化模块：对预先定义的测试用例和用户自定义添加的测试用例，使用自动化分析脚本，去除重复测试用例；对去重后的测试用例，使用自动化变异脚本，对去重后的测试用例进行变异，并对变异结果再使用自动化分析脚本，再次去除重复测试用例，得到初始化后的测试用例，输入到测试用例特征提取模块；所述对测试用例进行变异，是指根据预先定义的变异规则，对测试用例中的特定字符进行变化；测试用例特征提取模块：对输入的测试用例提取特征向量，然后根据特征向量对每一个测试用例进行向量化表示，并将向量化表示的测试用例输出到测试用例自适应选取模块；测试用例特征向量的提取，需要首先对输入的初始化后的测试用例进行分解，统计分解后测试用例中每一个参数在整个测试用例集中出现的频数，使用主成员分析法提取出特征向量，在内存中存储；对测试用例向量化表示，是指根据提取的特征向量，计算特征向量中每一个参数在该条测试用例中出现的频数，并进行归一化处理；测试用例自适应选取模块：首先在输入的存储向量化表示的哈希表中随机选取一条测试用例发送到测试用例测试模块，根据测试用例测试模块返回的数据判断是否继续选取下一条测试用例，如果需要选取下一条测试用例，则计算该条测试用例与哈希表中其他测试用例的距离，删除当前测试用例并选取距离最大的一条测试用例发送到测试用例测试模块，并重...

【专利技术属性】
技术研发人员：张东红，张震宇，汪诚弘，
申请(专利权)人：中国科学院软件研究所，
类型：发明
国别省市：北京,11