SQLMVED:基于多变体执行的SQL注入运行时防御系统

作     者：马博林 张铮 刘浩 邬江兴 MA Bolin;ZHANG Zheng;LIU Hao;WU Jiangxing

作者机构：信息工程大学河南郑州450001 网络通信与安全紫金山实验室江苏南京211100 

出 版 物：《通信学报》 (Journal on Communications)

年 卷 期：2021年第42卷第4期

页      面：127-138页

核心收录：

学科分类：12[管理学] 1201[管理学-管理科学与工程(可授管理学、工学学位)] 08[工学] 081201[工学-计算机系统结构] 0812[工学-计算机科学与技术（可授工学、理学学位）] 

基　　金：国家自然科学基金资助项目(No.61521003) 国家重点研发计划基金资助项目(No.2018YFB0804003) 

主　　题：SQL注入攻击 运行时防御 多变体执行 随机化 

摘      要：SQL解析过程中利用随机化进行SQL注入攻击(SQLIA)防御的有效性是建立在攻击者不了解当前系统采用的具体随机化方法的基础上,因此,攻击者一旦掌握了当前系统的随机化形式,便能够实施有效的SQLIA。为了解决该问题,基于多变体执行设计出一种SQL注入运行时防御系统,多变体间采用互不相同的随机化方法,攻击者注入的非法SQL无法同时被所有变体解析成功,即使在攻击者掌握了随机化方法的情况下,非法SQL也最多只能被某一变体解析成功,利用表决机制对多变体的响应结果或解析结果进行表决,及时发现异常,阻断SQLIA的攻击路径。面向Web服务实现了原型系统SQLMVED,实验证明该系统能够有效抵御SQLIA。