收藏本站
《北京邮电大学》 2012年
收藏 | 手机打开
二维码
手机客户端打开本文

面向Web应用的安全评测技术研究

张建武  
【摘要】:随着Internet的普及和发展以及Web应用技术的发展和研究的深入,已经有越来越多的Web应用系统被部署在Internet上以提供各式各样的应用服务,由于Web应用提供的服务的开放性使其时刻面临着潜在的恶意攻击者的威胁;而从另一个方面来说由于Web应用设计者的经验或者其他因素,使得Web应用系统对信息的保密和系统的安全考虑不太完备,或者存在一定的设计缺陷、编码缺陷、或者在维护中出现配置缺陷,这些情况造成了造成现在Web应用面临的攻击与破坏事件层出不穷。 由于其地位的重要性以及面临安全威胁的严峻性,Web安全问题已引起人们的极大重视,但是传统的安全保证技术,如防火墙,IDS,IPS只能在面对攻击时可能起到效果,而在平常的使用过程中无法确认其安全状态,而且Web应用程序以及运行Web应用程序的服务器也都存在平常使用中无法检查其安全防护功能的问题。在这样的背景下,进行Web应用进行安全评测就有很强的现实意义。 为了解决这些问题,本文以Web应用安全评测为研究目的,研究了国内外已有的通用的以及专门针对Web应用的信息安全评估、安全测评标准以及技术,借鉴现有的检测框架,提出了一个通用的Web应用安全评估通用框架;并且结合对Web应用所面临的安全威胁,将针对Web应用的安全评测分为三个层次:Web应用程序层,Web应用服务层,以及底层的网络边界层。分别针对这三个层面的内容进行Web安全测评的研究,并在最后提出一个Web应用安全测评管理平台,将这些研究内容按照前面提出的检测框架整合在此平台中,以实现对Web应用的安全测评工作。本文主要工作和研究成果如下所示: 1.在网络边界层,研究了Web应用拓扑结构安全评测的相关技术,使用邻接矩阵来描述拓扑结构,使用二叉决策图来描述可能存在的约束问题,将拓扑结构安全评测问题分解为不包含逻辑约束的拓扑安全评测、包含逻辑约束的拓扑安全评测两种大的类型,并在解决前一个问题的基础上,研究对约束进行化简,并依照约束将其反映至邻接矩阵中从而解决解决Web应用拓扑结构安全评测的问题。以此来作为对Web应用安全评测中网络边界安全评估中的重要内容。 2.在Web应用程序层面上研究了Web应用黑盒测试相关技术,实现了一套通过状态机对Web程序进行记录建模并根据实际标准的要求具体化功能和安全需求,然后通过远程的黑盒测试对Web应用进行测试并获取具体的检测结果的检验方法,同时在这个方法中引入了一个自学习的输入处算法来发现更多的状态和安全问题。 3.在Web应用服务层面研究了Web应用服务配置的安全评测技术,通过Web应用服务的配置以及对应的配置检查项的描述方法进行研究,并在这些研究定义的基础上将Web应用服务配置分为命令行接口型的配置以及文本型的配置两种类型,分别针对这两种类型的配置形式提出了对其进行配置安全性评测的方法,并研究了在此基础上的具有通用性的结果评估方法。 4.在对三个层面的技术进行研究之后,提出了一个Web应用安全评测管理平台的结构和具体的模块设计,这个评测管理平台基于Web应用安全评估通用框架、实现了Web应用安全评测的整体流程,并在最大程度上实现了评测的自动化操作。
【学位授予单位】:北京邮电大学
【学位级别】:博士
【学位授予年份】:2012
【分类号】:TP393.08

【参考文献】
中国期刊全文数据库 前8条
1 段云所,刘欣,陈钟;信息系统组合安全强度和脆弱性分析[J];北京大学学报(自然科学版);2005年03期
2 闫强,舒华英,陈钟,段云所;一种面向对象的信息系统安全评估方法[J];北京邮电大学学报;2005年04期
3 汤永利;徐国爱;钮心忻;杨义先;;基于信息熵的信息安全风险分析模型[J];北京邮电大学学报;2008年02期
4 李嵩,孟亚平,孙铁,刘海峰;一种基于模型的信息安全风险评估方法[J];计算机工程与应用;2005年29期
5 史简;郭山清;谢立;;一种实时的信息安全风险评估方法[J];计算机工程与应用;2006年01期
6 单国栋,连一峰;环境错误注入测试机制[J];计算机工程;2004年19期
7 郑冬冬,赵朋朋,崔志明;Deep Web爬虫研究与设计[J];清华大学学报(自然科学版);2005年S1期
8 苘大鹏;周渊;杨武;杨永田;;用于评估网络整体安全性的攻击图生成方法[J];通信学报;2009年03期
中国博士学位论文全文数据库 前1条
1 刘芳;信息系统安全评估理论及其关键技术研究[D];国防科学技术大学;2005年
中国硕士学位论文全文数据库 前4条
1 朱华平;基于模糊petri网的攻击模型FAN及其扩展模型[D];西安建筑科技大学;2006年
2 朱方洲;基于BS7799的信息系统安全风险评估研究[D];合肥工业大学;2007年
3 王升保;信息安全等级保护体系研究及应用[D];合肥工业大学;2009年
4 袁昌龙;基于错误注入的组件安全性测试研究[D];华中科技大学;2008年
【共引文献】
中国期刊全文数据库 前10条
1 潘平;杨平;何朝霞;;基于多属性层次分析的信息安全风险评估方法[J];信息安全与技术;2011年11期
2 项文新;;档案信息安全风险评估的组织管理[J];办公自动化;2011年22期
3 陈天平;乔向东;郑连清;罗骞;;图论在网络安全威胁态势分析中的应用[J];北京邮电大学学报;2009年01期
4 吕镇邦;周波;;基于Shapley熵和Choquet积分的层次化风险评估[J];北京邮电大学学报;2009年06期
5 钟尚勤;徐国胜;姚文斌;杨义先;;基于主机安全组划分的网络安全性分析[J];北京邮电大学学报;2012年01期
6 卜振兴;;信息安全风险评估策略研究[J];才智;2009年28期
7 吴震;王敏;;信息系统风险评估标准与方法分析[J];成都信息工程学院学报;2010年04期
8 项文新;;构建基于信息安全风险评估的档案信息安全保障体系必要性研究[J];档案学通讯;2008年01期
9 吴涛;马军;;网络安全风险评估方法的研究[J];东北师大学报(自然科学版);2010年01期
10 吴磊;刘延华;许榕生;;一个新的电力信息系统主动防御模型[J];电力学报;2008年05期
中国重要会议论文全文数据库 前7条
1 张平;谷利泽;杨义先;;灰色聚类评估模型在安全评估中的应用[A];2006年首届ICT大会信息、知识、智能及其转换理论第一次高峰论坛会议论文集[C];2006年
2 刘欢;;ERP系统实施中的风险评估研究[A];第三届全国软件测试会议与移动计算、栅格、智能化高级论坛论文集[C];2009年
3 詹锋;;一种面向业务的信息安全风险评估方法[A];广西计算机学会2006年年会论文集[C];2006年
4 秦超;桂尼克;;基于攻击路径的信息系统安全脆弱性分析[A];全国计算机安全学术交流会论文集(第二十四卷)[C];2009年
5 王永红;;信息安全风险评估流程初探[A];全国第21届计算机技术与应用学术会议(CACIS·2010)暨全国第2届安全关键技术与应用学术会议论文集[C];2010年
6 姜东兴;叶震;;信息系统安全风险评估技术研究[A];第六届中国测试学术会议论文集[C];2010年
7 王辉柏;陈兴;;电力通信网风险管理体系研究[A];第九届中国通信学会学术年会论文集[C];2012年
中国博士学位论文全文数据库 前10条
1 朱丽娜;大规模网络安全态势评估与防卫技术研究[D];哈尔滨工程大学;2010年
2 田建伟;面向领域的高质量Deep Web数据集成技术研究[D];武汉大学;2010年
3 马健丽;信息系统安全功能符合性检验关键技术研究[D];北京邮电大学;2010年
4 赵元;输配水系统的脆弱性及风险评估研究[D];天津大学;2009年
5 赵亮;信息系统安全评估理论及其群决策方法研究[D];上海交通大学;2011年
6 吴春明;Deep Web数据集成关键技术及其在农业领域的应用[D];西南大学;2011年
7 张永铮;计算机安全弱点及其对应关键技术研究[D];哈尔滨工业大学;2006年
8 胡勇;网络信息系统风险评估方法研究[D];四川大学;2007年
9 黄健斌;基于条件概率图模型的Deep Web数据抽取与集成研究[D];西安电子科技大学;2007年
10 毛捍东;基于逻辑渗透图模型的网络安全风险评估方法研究[D];国防科学技术大学;2008年
中国硕士学位论文全文数据库 前10条
1 刘富江;网络数据源模式识别方法及策略研究[D];哈尔滨工程大学;2010年
2 田向;学生公寓系统安全可行性研究[D];中国海洋大学;2010年
3 茹志鹤;X银行信息安全风险评估方法研究[D];华东理工大学;2011年
4 韩珝;电网企业电力营销业务风险管理应用基础研究[D];昆明理工大学;2009年
5 姚伟平;可信计算平台动态测试系统的设计与实现[D];解放军信息工程大学;2010年
6 武俊芳;基于安全策略的主机安全评估技术研究[D];中原工学院;2011年
7 李金武;分布式主机安全评估关键技术研究[D];中原工学院;2011年
8 乔荣庆;基于层次分析法和模糊综合评价法的信息安全风险评估研究与应用[D];西安电子科技大学;2009年
9 许长忠;廊坊电力通信网安全风险防范策略研究[D];华北电力大学(北京);2011年
10 桑圣玉;信息系统安全等级符合性检验系统的设计与实现[D];北京邮电大学;2011年
【二级参考文献】
中国期刊全文数据库 前10条
1 柴平渲,龚向阳,程时端;分布式入侵检测技术的研究[J];北京邮电大学学报;2002年02期
2 彭俊好;徐国爱;杨义先;汤永利;;基于效用的安全风险度量模型[J];北京邮电大学学报;2006年02期
3 周莹新,艾波;一种新的面向对象的软件体系结构[J];北京邮电大学学报;1998年01期
4 唐洪英,付国瑜;入侵检测的原理与方法[J];重庆工学院学报;2002年02期
5 郭昌捷,张道坤,李建军;综合安全评估在船舶装卸载过程中应用[J];大连理工大学学报;2002年05期
6 曾海雷;;信息安全评估标准的研究和比较[J];电脑知识与技术(学术交流);2007年11期
7 曲鼎;;源自木桶理论的系统修补(上)[J];计算机安全;2006年08期
8 魏念忠;;计算机系统的安全问题及防范策略[J];计算机安全;2007年12期
9 史开泉,李歧强;双枝模糊决策与决策识别问题[J];中国工程科学;2001年01期
10 孟昊晨;;以TCSEC标准为基础对我国政府机关内部网络安全问题的探讨[J];国土资源信息化;2007年02期
中国硕士学位论文全文数据库 前3条
1 左晓栋;信息安全产品与系统的测评与标准研究[D];中国科学院研究生院(电子学研究所);2002年
2 张云鹏;网络安全与防护技术的研究及应用[D];西北工业大学;2005年
3 张勇;基于规格说明的组件安全性测试技术研究与实现[D];解放军信息工程大学;2005年
【相似文献】
中国期刊全文数据库 前10条
1 宋如顺,姜乃松;基于Web的远程考试系统设计与实现[J];计算机工程;1999年06期
2 王红霞,姚家亮;利用ASP构建新型信息系统的方法与实现[J];计算机应用;1999年09期
3 邓劲生,张银福;面向对象的多媒体信息WEB发布[J];计算机应用研究;1999年09期
4 刁兴春,李赤红;Intranet环境下事务处理的理论研究和实现[J];小型微型计算机系统;1999年06期
5 高昆;基于ASP的WEB站点开发技术分析[J];北华大学学报(社会科学版);1999年05期
6 王清心,胡建华;经贸数据库的WEB集成发布[J];昆明理工大学学报;1999年02期
7 李晶,朱秋萍;Web页制作中的动态表现技术[J];计算机工程;2000年06期
8 刘波,代亚非,杜跃进;远程协同教学系统中课程搜索子系统设计[J];计算机应用;2000年06期
9 武庄,刘友丹;基于Web的企业内部质量审核系统设计与实现[J];计算机应用研究;2000年05期
10 梁开健,刘新民;基于ASP的图书馆Web数据库开发[J];高校图书馆工作;2000年04期
中国重要会议论文全文数据库 前10条
1 石晶;龚震宇;裘杭萍;;基于Web挖掘的个性化服务技术[A];第十九届全国数据库学术会议论文集(技术报告篇)[C];2002年
2 李利波;刘明利;;一种改进的无回溯反向Web服务动态组合方法[A];2011年全国通信安全学术会议论文集[C];2011年
3 游争光;刘建勋;唐明董;;分布式Web服务测试系统的设计与实现[A];CCF NCSC 2011——第二届中国计算机学会服务计算学术会议论文集[C];2011年
4 殷华蓓;李通;唐常杰;张天庆;左志松;;从Web文件中挖掘个性化导航知识[A];第十七届全国数据库学术会议论文集(研究报告篇)[C];2000年
5 ;基于广义对话的Web用户的聚类(英文)[A];第十七届全国数据库学术会议论文集(研究报告篇)[C];2000年
6 邓长寿;郭景峰;杨焱林;邓安远;;下一代Web搜索引擎初探[A];第十八届全国数据库学术会议论文集(研究报告篇)[C];2001年
7 ;WTCA:A Web Text Clustering Algorithm Based on DFSSM[A];第二十七届中国控制会议论文集[C];2008年
8 胡建强;周斌;尹刚;邹鹏;;基于角色的Web服务访问控制技术研究[A];第二十届全国数据库学术会议论文集(技术报告篇)[C];2003年
9 黄建波;丁扬;方芳;;基于代理服务器的Web加速的实现[A];2010通信理论与技术新发展——第十五届全国青年通信学术会议论文集(上册)[C];2010年
10 陶冶;刘建勋;唐明董;;基于Map/Reduce的分布式Web服务搜索引擎设计与实现[A];CCF NCSC 2011——第二届中国计算机学会服务计算学术会议论文集[C];2011年
中国重要报纸全文数据库 前10条
1 赵晓涛;Web安全 服务为王[N];网络世界;2008年
2 本报记者 赵晓涛;Web安全:历史的命题[N];网络世界;2008年
3 彭敏;企业级Web2.0迎来应用高潮[N];电脑商报;2009年
4 本报记者 毛江华;安启华联手赛门铁克 掘金Web安全[N];计算机世界;2009年
5 闫冰;“推”出Web交付新天地[N];网络世界;2009年
6 赵晓涛;中国成全球Web安全新看点[N];网络世界;2009年
7 边歆;动态阻断Web2.0威胁[N];网络世界;2009年
8 泰乐公司首席技术官兼执行副总裁Vikram Saksena;学习Web 3.0 做聪明的“管道工”[N];通信产业报;2009年
9 ;Web2.0工具使用须谨慎[N];网络世界;2009年
10 Anchiva中国区总经理 李松;Web安全选型三个标准[N];网络世界;2008年
中国博士学位论文全文数据库 前10条
1 张建武;面向Web应用的安全评测技术研究[D];北京邮电大学;2012年
2 李常宝;基于索引的web服务发现研究[D];北京邮电大学;2011年
3 魏登萍;语义Web服务发现中匹配策略的研究与实现[D];国防科学技术大学;2011年
4 朱俊武;基于本体的Web服务语义支撑技术研究[D];南京航空航天大学;2008年
5 许笑;分布式Web信息采集关键技术研究[D];哈尔滨工业大学;2011年
6 杨卉;Web文本观点挖掘及隐含情感倾向的研究[D];吉林大学;2011年
7 马建斌;中文Web信息作者同一认定技术研究[D];河北农业大学;2010年
8 陈世展;服务网络:基于语义和社会化关系的Web服务计算基础设施[D];天津大学;2010年
9 胡佳;语义Web服务自动组合及验证的研究[D];天津大学;2010年
10 王辉;面向互联网的Web服务基础设施构建和应用[D];天津大学;2010年
中国硕士学位论文全文数据库 前10条
1 唐黎;Deep Web页面结构分析与核心内容提取研究[D];重庆大学;2011年
2 吴新勇;基于需求群组的Web服务调度模型研究[D];上海交通大学;2011年
3 徐卫;Web新闻热点发现系统的设计与实现[D];华中科技大学;2011年
4 姜本臣;基于嵌入式Web服务器应用技术的研究[D];沈阳工业大学;2012年
5 温梨梨;基于零拷贝的Web服务器技术研究[D];中国海洋大学;2011年
6 焦燕廷;一种基于领域本体的语义Web服务匹配和组合方法[D];山东科技大学;2011年
7 黄亮;Web漏洞扫描系统中的智能爬虫技术研究[D];杭州电子科技大学;2012年
8 赵春娟;Web服务组合方法的研究与实现[D];天津理工大学;2011年
9 任强;基于谓词抽象与精化技术的Web服务验证研究[D];苏州大学;2011年
10 侯晓帆;基于云计算的Web教育爬虫[D];东北师范大学;2011年
 快捷付款方式  订购知网充值卡  订购热线  帮助中心
  • 400-819-9993
  • 010-62791813
  • 010-62985026