Một số phương pháp phát hiện tấn công SQL injection dựa trên kỹ thuật học máy

70 1 0
  • Loading ...
1/70 trang

Thông tin tài liệu

Ngày đăng: 07/05/2020, 23:18

NGUYỄN NGỌC THANH BỘ GIÁO DỤC VÀ ĐÀO TẠO VIỆN ĐẠI HỌC MỞ HÀ NỘI LUẬN VĂN THẠC SỸ CHUYÊN NGÀNH CÔNG NGHỆ THÔNG TIN CÔNG NGHỆ THÔNG TIN MỘT SỐ PHƯƠNG PHÁP PHÁT HIỆN TẤN CÔNG SQL INJECTION DỰA TRÊN KỸ THUẬT HỌC MÁY NGUYỄN NGỌC THANH 2015 - 2017 HÀ NỘI - 2017 i BỘ GIÁO DỤC VÀ ĐÀO TẠO VIỆN ĐẠI HỌC MỞ HÀ NỘI LUẬN VĂN THẠC SỸ MỘT SỐ PHƯƠNG PHÁP PHÁT HIỆN TẤN CÔNG SQL INJECTION DỰA TRÊN KỸ THUẬT HỌC MÁY NGUYỄN NGỌC THANH CHUYÊN NGÀNH : CÔNG NGHỆ THÔNG TIN MÃ SỐ: 60.48.02.018 NGƯỜI HƯỚNG DẪN KHOA HỌC: PGS.TS ĐOÀN VĂN BAN HÀ NỘI - 2017 ii LỜI CAM ĐOAN Tôi xin cam đoan kết đề tài: “Một số phương pháp phát công SQL Injection dựa kỹ thuật học máy” cơng trình nghiên cứu cá nhân chưa công bố cơng trình khoa học khác thời điểm Hà Nội, Ngày tháng Tác giả luận văn Nguyễn Ngọc Thanh iii năm 2017 LỜI CẢM ƠN Luận văn thạc sĩ kỹ thuật chuyên ngành công nghệ thông tin với đề tài “Một số phương pháp phát công SQL Injection dựa kỹ thuật học máy” kết q trình cố gắng khơng ngừng thân giúp đỡ, động viên khích lệ thầy, bạn bè đồng nghiệp người thân Qua trang viết tác giả xin gửi lời cảm ơn tới người giúp đỡ thời gian học tập - nghiên cứu khoa học vừa qua Tơi xin tỏ lòng kính trọng biết ơn sâu sắc thầy giáo PGS.TS Đoàn Văn Ban trực tiếp tận tình hướng dẫn cung cấp tài liệu thông tin khoa học cần thiết cho luận văn Xin chân thành cảm ơn Lãnh đạo trường Viện Đại học Mở Hà Nội tạo điều kiện cho tơi hồn thành tốt cơng việc nghiên cứu khoa học Cuối tơi xin chân thành cảm ơn đồng nghiệp, đơn vị công tác giúp đỡ tơi q trình học tập thực Luận văn TÁC GIẢ Nguyễn Ngọc Thanh iv MỤC LỤC MỤC LỤC v DANH SÁCH CÁC BẢNG BIỂU viii DANH MỤC CÁC HÌNH VẼ .ix MỞ ĐẦU CHƯƠNG 1: TỔNG QUAN VỀ TẤN CÔNG SQL INJECTION VÀ KỸ THUẬT KHAI PHÁ DỮ LIỆU 1.1 Các công sở liệu 1.1.1 Lạm dụng quyền vượt mức (Excessive privileges) 1.1.2 Lạm dụng quyền hợp pháp (Privilege abuse) 1.1.3 Nâng cấp quyền bất hợp pháp (Unauthorized Privilege elevation) 1.1.4 Lợi dụng điểm yếu tảng (Platform vulnerabilities) 1.1.5 Tấn công SQL Injection 1.1.6 Lợi dụng dấu vết kiểm toán yếu (Weak audit) 1.1.7 Tấn công từ chối dịch vụ (DoS) 1.1.8 Lợi dụng điểm yếu giao thức giao tiếp sở liệu (Database protocol vulnerabilities) 1.1.9 Lợi dụng xác thực yếu (Weak authentication) 1.1.10 Lợi dụng sơ hở liệu dự phòng (Exposure of backup data) 10 1.2 Các công SQL Injection 10 1.2.1 Khái niệm công SQL Injection 10 1.2.2 Các dạng công SQL Injection 12 1.2.3 Phòng chống SQL Injection 19 1.3 Tổng quan kỹ thuật khai phá liệu kỹ thuật học máy 22 1.3.1 Quá trình khai phá liệu 23 1.3.2 Các tồn thơng dụng khai phá liệu 25 1.3.3 Sự tương đồng khác biệt khai phá liệu học máy 25 1.3.4 Các ứng dụng khai phá liệu 26 1.3.5 Ứng dụng lý thuyết Bayes phân lớp 27 v 1.4 Kết luận chương 30 CHƯƠNG 2: MỘT SỐ PHƯƠNG PHÁP PHÁT HIỆN TẤN CÔNG SQL INJECTION DỰA TRÊN HỌC MÁY 31 2.1 Phương pháp phát dựa phân lớp 31 2.2 Phương pháp phát dựa luật kết hợp 35 2.3 So sánh phương pháp phát công 45 2.4 Kết luận chương 46 CHƯƠNG 3: XÂY DỰNG MƠ HÌNH BÀI TỐN THỰC NGHIỆM SỬ DỤNG KỸ THUẬT HỌC MÁY ĐỂ PHÁT HIỆN TẤN CÔNG SQL INJECTION 47 3.1 Mục đích thực nghiệm 47 3.2 Các bước thực 47 3.3 Công cụ sử dụng 47 3.4 Mơ hình hệ thống mơ thu thập liệu 48 3.4.1 Mơ hình hệ thống mơ 48 3.4.2 Xây dựng ứng dụng web 48 3.4.3 Thu thập liệu thực nghiệm 49 3.5 Sử dụng chương trình tiền xử lý 49 3.6 Xây dựng thực nghiệm phát công dựa khai phá liệu 51 3.6.1 Xây dựng phân lớp 51 3.6.2 Kết phân lớp 52 3.6.3 Phân tích đánh giá kết 55 3.4 Kết luận chương 57 KẾT LUẬN 58 DANH MỤC TÀI LIỆU THAM KHẢO 60 vi DANH MỤC CÁC TỪ VIẾT TẮT STT Từ viết tắt Tiếng Anh Tiếng Việt SQL Structured Query Language Ngơn ngữ truy vấn mang tính cấu trúc IPS Intrusion Prevention System Hệ thống ngăn chặn công DoS Denial of Service Tấn công từ chối dịch vụ vii DANH SÁCH CÁC BẢNG BIỂU Bảng 2.1 - Ví dụ xây dựng ba 33 Bảng 2.2 - Ví dụ giao dịch cho thuật tốn khai phá chuỗi 41 Bảng 2.3 - Lược đồ sở liệu ngân hàng 42 Bảng 2.4 - Bảng trọng số cho thuộc tính sử dụng sở liệu ngân hàng 42 Bảng 2.5 - Các chuỗi khai phá với giá trị độ hỗ trợ tối thiểu 25% 42 Bảng 2.6 - Các chuỗi đọc chuỗi ghi 43 Bảng 2.7 - Các luật phụ thuộc đọc ghi 44 Bảng 2.8 - So sánh kỹ thuật phát công 45 Bảng 3.1 - Thống kê kết mơ hình huấn luyện c-triplet 53 Bảng 3.2 - Thống kê kết mơ hình huấn luyện m-triplet 53 Bảng 3.3 - Thống kê kết mơ hình huấn luyện f-triplet 54 Bảng 3.4 - Thống kê False negatives/positive 56 Bảng 3.5 - Thống kê Recall/Precision 57 viii DANH MỤC CÁC HÌNH VẼ Hình 2.1 - Q trình phát công 34 Hình 2.2 - Các thành phần kỹ thuật phát công sở liệu dựa luật kết hợp 37 Hình 3.1 - Mơ hình hệ thống mơ công ứng dụng web thu thập liệu 48 Hình 3.2 - Định dạng liệu tiền xử lý theo định dạng *.arff Weka 51 Hình 3.3 - Xây dựng mơ hình phát cơng với Weka sử dụng thuật tốn Naive Bayes 52 Hình 3.4 - Thống kê Precision Recall trường hợp 56 Hình 3.5 - Thống kê Precision Recall trường hợp 56 ix MỞ ĐẦU Lý chọn đề tài Ngày nay, vấn đề bảo mật an ninh hệ thống mạng phần quan trọng cơng ty, tập đồn, tổ chức quan, phủ sống xã hội đại Vấn đề an ninh bảo mật chìa khóa tất yếu thành công lĩnh vực kinh tế, trị, quốc phòng an ninh góp phần thúc đẩy phát triển tồn cầu nhanh chóng, liên kết khoảng cách địa lý, không gian, thời gian nơi giới với mà đảm bảo an tồn Sự phát triển vượt bậc cơng nghệ web đem lại nhiều thuận lợi cho người sử dụng nhà phát triển.Nhưng với phát triển ứng dụng web trở thành mục tiêu ưa thích kẻ cơng Các hình thức cơng đa dạng thay đổi nội dung trang web, công từ chối dịch vụ khiến cho việc truy cập trang web thực khó thực hiện, chiếm quyền điều khiển trang web… Mục tiêu kể cơng khác nhau, cơng xuất phát từ thiện chí, nhằm tìm điểm yếu thông báo cho nhà quản trị hệ thống, nghiêm trọng công để phục vụ cho mục đích xấu tống tiền, ăn cắp liệu, phá huỷ liệu… Trong hình thức cơng cơng cách chèn mã lệnh (injection) phổ biến.Tấn công website kỹ thuật SQL Injecion từ lâu mối quan tâm bảo mật hàng đầu nhà phát triển web chủ sở hữu website Giờ đây, công ngày trở nên tinh vi khó phát hiện, ngăn chặn SQL Injection kiểu cơng có mục tiêu cụ thể thường mục tiêu đơn lẻ cho vụ cơng Chính mà vụ công thường không gây ý rộng rãi virus hay sâu máy tính.Âm thầm thiệt hại vụ công lại lớn Nếu máy chủ sở liệu bị tin tặc chiếm quyền kiểm sốt có khối lượng lớn thông tin cá nhân, thông tin tài người dùng rơi vào tay chúng Và thành cơng nói nguồn thơng tin mà tin tặc thu nhiều nhiều so với công phishing Tin tặc không - Phần mềm mã nguồn mở Weka 3.8 để xây dựng đánh giá mơ hình phát cơng sở liệu - Sqlmap python 2.7 để thực công SQL injection vào ứng dụng web 3.4 Mơ hình hệ thống mơ thu thập liệu 3.4.1 Mơ hình hệ thống mơ Mơ hình hệ thống mô gồm thành phần sau: - Công cụ công SQLi: Sqlmap - Một máy chủ Web: Apache - Hệ quản trị sở dũ liệu: MySQL Server - Ứng dụng web dễ bị tổn thương với công SQL injection biết Hình - Mơ hình hệ thống mơ công ứng dụng web thu thập liệu 3.4.2 Xây dựng ứng dụng web Ứng dụng web lựa chọn để xây dựng luận văn hệ thống quản lý bán hàng quy mô nhỏ Mỗi vai trò người dùng tương tác với ứng dụng khác (ứng dụng mua hàng trực tuyến, ứng dụng kho hàng, ứng dụng quản trị hệ thống, ), nhiên ứng dụng truy vấn đến sở liệu tập trung Mỗi ứng dụng mô thành tên miền truy xuất vào sở liệu QLBH Ứng dụng Web gồm chức sau: 48 - Chức “Quản trị hệ thống” tương ứng với cơng việc thực vai trò người dùng “Admin” gồm có chức sau: chức vai trò người dùng hệ thống: thêm, sửa, xóa vai trò người dùng; chức tài khoản nhân viên cơng ty: thêm, xóa, sửa tài khoản nhân viên; chức khách hàng: xóa tài khoản khách hàng chức thông tin tài khoản cho phép thay đổi mật khẩu, thông tin cá nhân tài khoản Admin - Chức “Quản lý kho hàng” tương ứng với ứng dụng quản lý kho hàng hay với công việc thực vai trò người dùng “Store”, gồm có chức sau: chức “loại sản phẩm”: thêm, xóa, sửa; chức nhập hàng: thêm, xóa, sửa thơng tin hóa đơn nhập hàng chức “sản phẩm”: thêm, sửa sản phẩm - Chức “Mua hàng trực tuyến” tương ứng với vai trò người dùng “Customer”, gồm có chức sau: chức tìm kiếm sản phẩm, chức mua hàng, chức xem hủy việc mua hàng chức thông tin tài khoản cho phép chỉnh sửa thông tin tài khoản - Xây dựng sở liệu ứng dụng Web: Trong ứng dụng Web Quản lý bán hàng đơn giản sử dụng sở liệu gồm bảng 25 thuộc tính khác Mối quan hệ bảng định nghĩa trình xây dựng chương trình 3.4.3 Thu thập liệu thực nghiệm Dữ liệu sạch: thực tương tác với hệ thống mô với chức theo giao diện ứng dụng Web Dữ liệu có cơng: thực cơng vào ứng dụng Web xây dựng sử dụng Sqlmap Python 2.7 3.5 Sử dụng chương trình tiền xử lý Quy trình tổng quát trình tiền xử lý thực theo sơ đồ sau: - Dữ liệu đầu vào: Bao gồm file log hệ thống - Dữ liệu đầu ra: Dữ liệu đầu theo định dạng kiểu liệu: 49 a Kiểu liệu c-triplet c-triplet(SQL-CMD, REL-COUNTER, ATTR-COUNTER): Tên kiểu truy vấn, tổng số bảng (quan hệ) câu truy vấn, tổng số thuộc tính câu truy vấn, vai trò thực truy vấn Cụ thể với chuỗi đầu vào cho kết sau: SELECT,1,2,Admin b Kiểu liệu m-triplet m-triplet(SQL-CMD, REL-BIN [], ATTR-COUNTER []): Tên kiểu truy vấn, xuất bảng câu truy vấn (bảng xuất câu truy vấn nhận giá trị 1, ngược lại nhận giá trị 0), số thuộc tính bảng câu truy vấn, vai trò thực truy vấn Cụ thể với chuỗi đầu vào cho kết sau: SELECT,0,0,0,0,0,0,0,1,0,0,0,0,0,0,0,0,2,0,Admin c Kiểu liệu f-triplet f-triplet(SQL-CMD, REL-BIN [], ATTR-BIN [[]]): Tên kiểu truy vấn, xuất bảng câu truy vấn (bảng xuất câu truy vấn nhận giá trị 1, ngược lại nhận giá trị 0), xuất thuộc tính bảng câu truy vấn, vai trò thực truy vấn Cụ thể với chuỗi đầu vào cho kết sau: SELECT,000000010,00000000000000000000000000, 00000000000000000000000000,00000000000000000000000000, 00000000000000000000000000,00000000000000000000000000, 00000000000000000000000000,00000000000000000000000000, 00000000000000000000110000,00000000000000000000000000,Admin Kết liệu ghi định dạng liệu tiền xử lý vào tập tin theo định dạng *.arff Weka (kiểu liệu c-triplet) 50 Hình - Định dạng liệu tiền xử lý theo định dạng *.arff Weka Trong đó, @relation – định nghĩa tên quan hệ khai phá, @attribute định nghĩa thuộc tính quan hệ kiểu liệu tương ứng thuộc tính này, @data – thể bắt đầu phần liệu tập tin, dòng sau @data ghi liệu biểu diễn dòng nhât kết thúc ký tự xuống dòng, giá trị thuộc tính ghi ngăn cách dấu phẩy 3.6 Xây dựng thực nghiệm phát công dựa khai phá liệu 3.6.1 Xây dựng phân lớp Sử dụng liệu tiền xử lý bước để xây dựng mơ hình phát cơng dựa Weka với thuật toán phân lớp Naive Bayes theo phương pháp Percentage split với số ghi dùng để huấn luyện thay đổi từ 10% đến 100% tập liệu bình thường gồm có 5888 ghi truy vấn SQL Dưới kết thu Percentage split 12% ( tương đương 706 ghi) 51 Hình 3 - Xây dựng mơ hình phát cơng với Weka sử dụng thuật toán Naive Bayes 3.6.2 Kết phân lớp Đối với việc đánh giá thực nghiệm, luận văn phân tích chất lượng kết phương pháp tiếp cận sử dụng biện pháp đo lường tiêu chuẩn Precision Recall [8] xác định sau: # 1$!- #&/%/2-& # 1$!- #&/%/2-& + # 5&- #&/%/2-& # 1$!- #&/%/2-& 6- 55 = # 1$!- #&/%/2-& + # 5&- +-7 %/2-& $-./&/#' = Ở đây, # False Positives số lần cảnh báo sai (dương sai) # False Negatives số lần hệ thống phát truy vấn bất thường (âm sai) 52 Thống kê kết cụ thể trình thực nghiệm sử dụng phương pháp Percentage slit theo tỷ lệ tập huấn luyện thay đổi từ 10% đến 100% tập liệu bình thường gồm 5888 truy vấn SQL cho kiểu liệu sau: - Theo định dạng c-triplet: Bảng - Thống kê kết mơ hình huấn luyện c-triplet Tỷ lệ tập huấn Tỷ lệ phân lớp luyện (%) (%) 10 Precision (%) Recall (%) 53.0689 49.5 53.1 12 52.8331 49.5 52.8 15 52.9738 49.5 53 17 52.7597 43.2 52.8 20 49.7894 39 49.8 22 49.6546 38.6 49.7 25 49.8652 38.7 49.9 30 49.7594 38.5 49.8 40 37.6404 35.1 37.6 - Theo định dạng m-triplet: Bảng - Thống kê kết mơ hình huấn luyện m-triplet Tỷ lệ tập huấn Tỷ lệ phân lớp luyện (%) (%) Precision (%) 53 Recall (%) 10 84.9551 87.2 85 12 81.2404 84.9 81.2 15 81.2054 84.9 81.2 17 81.1688 84.9 81.2 20 86.1837 88 86.2 22 84.8877 87.1 84.9 25 81.761 81.9 81.8 30 82.5794 82.6 82.6 40 84.8315 86 84.8 - Theo định dạng f-triplet: Bảng 3 - Thống kê kết mơ hình huấn luyện f-triplet Tỷ lệ tập huấn Tỷ lệ phân lớp Precision (%) Recall (%) luyện (%) (%) 10 81.4371 85.1 81.4 12 81.2404 84.9 81.2 15 81.2054 84.9 81.2 17 81.1688 84.9 81.2 20 81.1289 84.9 81.1 54 22 81.5199 85.1 85.1 25 81.6712 85.2 81.7 30 82.0982 85.5 82.1 40 84.8315 86 84.8 3.6.3 Phân tích đánh giá kết Các bảng 3.1, 3.2 3.3 thể giá trị thông số Precision tương đối phân lớp ba cách biểu diễn câu truy vấn Từ ta thấy hiệu suất c-triplet so với hai ba lại Trong trường hợp c-triplet, vai trò đưa truy vấn truy cập tương đương với kiểu truy vấn, số lượng bảng số lượng cột tương ứng bảng Vì lý này, truy vấn mơ hình hóa c-triplet cho thấy có nhiều tính đồng tất vai trò Do đó, phân lớp khơng hiệu việc phân biệt truy vấn vai trò khác Kết dẫn đến giá trị Precision Recall thấp c-triplet Trường hợp (bảng 3.3) cho thấy ưu việt f-triplet hẳn so với c-triplet m-triplet f-triplet biểu diễn cách thức truy cập cột bảng bảng, không giống m-triplet biểu diễn số cột truy cập bảng c-triplet biểu diễn tổng số cột tổng số bảng bảng truy cập Ta thấy rõ chất lượng phân lớp theo cách biểu diễn câu truy vấn hình 3.4 hình 3.5: 55 Hình - Thống kê Precision Recall trường hợp Hình - Thống kê Precision Recall trường hợp Cuối cùng, Luận văn thử nghiệm phân lớp với 1808 dấu vết truy vấn SQL từ ứng dụng, có 318 dấu vết truy vấn SQL bất thường liệu kiểm thử phân lớp Bảng 3.4 3.5 cho thấy chất lượng kết cho ba kiểu biểu diễn câu truy vấn khác đạt chất lượng cao Bảng - Thống kê False negatives/positive Kiểu liệu False Negatives (%) 56 False Positives (%) c-triplet 8.93 38.68 m-triplet 0.11 14.2 f-triplet 0.33 13.82 Bảng - Thống kê Recall/Precision Kiểu liệu Recall (%) Precision (%) c-triplet 53.7 40 m-triplet 89.3 89.8 f-triplet 89.5 90 Nhìn chung, việc đánh giá thực nghiệm cho thấy nhiều trường hợp mtriplet f-triplet nắm bắt hành vi truy cập liệu tốt nhiều so với c-triplet 3.4 Kết luận chương Trong chương trình bày mơ hình hệ thống mơ cho thực nghiệm phát công SQL Injection dựa phương pháp học mày Các công cụ sử dụng mô thực nghiệm như: Module tiền xử lý trích rút đặc trưng, PHP, MySQL Server, Máy chủ Web: Apache Phần mềm mã nguồn mở Weka 3.8 Kết thu cho thấy với mơ hình phát cơng dựa Weka với thuật tốn phân lớp Naive Bayes theo phương pháp Percentage split tương đối cao Và nhiều trường hợp m-triplet f-triplet nắm bắt hành vi truy cập liệu tốt nhiều so với c-triplet 57 KẾT LUẬN Sự phát triển vượt bậc công nghệ web đem lại nhiều thuận lợi cho người sử dụng nhà phát triển Nhưng với phát triển ứng dụng web trở thành mục tiêu ưa thích kẻ cơng Trong hình thức cơng cơng cách chèn mã lệnh (injection) phổ biến SQL Injection kiểu cơng có mục tiêu cụ thể thường mục tiêu đơn lẻ cho vụ công Chính mà vụ cơng thường không gây ý rộng rãi virus hay sâu máy tính Âm thầm thiệt hại vụ công lại lớn Nếu máy chủ sở liệu bị tin tặc chiếm quyền kiểm sốt có khối lượng lớn thơng tin cá nhân, thơng tin tài người dùng rơi vào tay chúng Luận văn trình bày khái quát hình thức cơng sở liệu nói chung cơng SQL Injection nói riêng Ngồi tìm hiểu nghiên cứu tổng quan kỹ thuật khai phá liệu ứng dụng việc phát công Các kết đạt luận văn bao gồm: + Phân tích hình thức cơng sở liệu, tập trung vào phương pháp cơng biện pháp phòng chống cơng SQL Injection + Giới thiệu khái quát kỹ thuật khai phá liệu kỹ thuật học máy, sử dụng rộng hiệu việc phát công SQL Injection nói riêng + Xây dựng mơ hình toán thực nghiệm áp dụng kỹ thuật học máy để phát công SQL Injection Về luận văn đạt mục tiêu đề ra, kết hợp với phần demo để thấy hiệu kỹ thuật học máy việc phát công SQL Injection Trong tương lai, luận văn sâu nghiên cứu kỹ thuật khai phá liệu kỹ thuật học máy để tìm hiểu lựa chọn xây dựng thêm toán thực nghiệm Trên sở để đánh giá hiệu lựa chọn thuật toán, kỹ thuật tối ưu áp dụng phát cơng Injection Bên cạnh đó, luận văn mở rộng phạm vi 58 nghiên cứu hướng áp dụng kỹ thuật học máy việc phát dạng công khác, không phát công vào sở liệu, công SQL Injection phạm vi luận văn 59 DANH MỤC TÀI LIỆU THAM KHẢO Tiếng Việt [1] TS Nguyễn Đình Vinh, TS.Trần Đức Sự, KS Vũ Thị Vân, Giáo trình Cơ sở An tồn thông tin, Học viện Kỹ thuật Mật mã, 2013 Tiếng Anh [2] Elisa Bertino, Ashish Kamra (Purdue University), Intrusion Detection in RBACadministered Databases, In the National Science Foundation under Grant, 2012 [3] Y Hu and B Panda, Identification of malicious transactions in database systems, In Proceedings of the International Database Engineering and Applications Symposium (IDEAS), 2003 [4] Agrata Jain, Sneha Saswade, Yogesh Phalke, Chaitanya Gholap, Intrusion Detection and Forensic Analysis on Database using Log Mining Approach, International Journal of Scientific & Engineering Research, Volume 5, Issue 4, ISSN 2229-5518, 2014 [5] Varada Bharat Srinivas, Dr.Syed Umar, A Review of Security Mechanisms for Detection of Malicious Transactions in Database, (IJCSIT) International Journal of Computer Science and Information Technologies, Vol (3) , 3047-3051, 2014 [6] Jiawei Han, Micheline Kamber, “Data Mining: Concepts and Techniques”, Second Edition, Morgan Kaufmann Publishers, 2006 [7] T Mitchell, Machine Learning and Data Mining, Communications of the ACM, Vol 42 (1999), No 11, pp 30-36 [8] M Kantardzic: Data Mining: Concepts, Models, Method, and Algorithms, John Wiley & Sons, New York, NY, (2003) Internet [9] http://www.sensepost.com/misc/SQLinsertion.html [10] https://vi.wikipedia.org/wiki/SQLinjection.html 60 [11]https://text.xemtailieu.com/tai-lieu/sql-injection-va-cac-cach-tan-cong-pho-bien107813.html [12] http://www.pcworld.com.vn/articles/cong-nghe/ung-dung/chong-tan-cong-kieu-sqlinjection.html 61 XÁC NHẬN LUẬN VĂN ĐÃ CHỈNH SỬA THEO GÓP Ý CỦA HỘI ĐỒNG CHẤM LUẬN VĂN THẠC SĨ STT NỘI DUNG CHỈNH SỬA TRANG 5,7,33,35, Nội dung 1: Thống thuật ngữ sử dụng luận văn 36,38,39,47, thay “xâm nhập” “tấn công” 48,55,61 Nội dung 2: Bổ sung, cập nhật thêm danh mục tài liệu tham khảo luận văn 65 Tôi xin cam đoan chỉnh sửa theo góp ý hội đồng Hà Nội, ngày … tháng … năm … HỌC VIÊN GIÁO VIÊN HƯỚNG DẪN CHỦ TỊCH HỘI ĐỒNG 62 ... 2: MỘT SỐ PHƯƠNG PHÁP PHÁT HIỆN TẤN CÔNG SQL INJECTION DỰA TRÊN HỌC MÁY 31 2.1 Phương pháp phát dựa phân lớp 31 2.2 Phương pháp phát dựa luật kết hợp 35 2.3 So sánh phương. .. Injection kỹ thuật khai phá liệu Chương 2: Một số phương pháp phát công SQL Injection dựa kỹ thuật học máy Chương 3: Xây dựng mơ hình tốn thực nghiệm sử dụng kỹ thuật học máy để phát công SQL Injection. .. TẠO VIỆN ĐẠI HỌC MỞ HÀ NỘI LUẬN VĂN THẠC SỸ MỘT SỐ PHƯƠNG PHÁP PHÁT HIỆN TẤN CÔNG SQL INJECTION DỰA TRÊN KỸ THUẬT HỌC MÁY NGUYỄN NGỌC THANH CHUYÊN NGÀNH : CÔNG NGHỆ THÔNG TIN MÃ SỐ: 60.48.02.018
- Xem thêm -

Xem thêm: Một số phương pháp phát hiện tấn công SQL injection dựa trên kỹ thuật học máy , Một số phương pháp phát hiện tấn công SQL injection dựa trên kỹ thuật học máy

Gợi ý tài liệu liên quan cho bạn