[发明专利]一种基于自适应随机测试的Sql注入漏洞自动检测平台及方法

摘要

本发明涉及一种基于自适应随机测试的Sql注入漏洞自动检测平台及方法，该检测平台运行于Ubuntu 14.10操作系统，通过对测试用例进行初始化，分析、提取测试用例特征向量，并对测试用例进行向量化表示，使用HTTP请求向测试目标发送测试用例，并记录测试目标的响应，根据响应来判断是否发现Sql注入漏洞，计算测试用例之间的距离，自适应选取下一次进行测试的测试用例。该检测平台创新性地提出使用自适应随机测试的方法，支持快速、自定义、自动化地对目标进行检测，在平台内置丰富的测试用例基础上，使用者可以根据自己的使用需求添加测试用例，平台能够自动化地完成对测试用例的初始化、变异以及特征提取和计算，从而实现最佳的测试效果。

主权项

1.一种基于自适应随机测试的Sql注入漏洞自动检测平台，其特征在于包括：测试用例初始化模块、测试用例特征提取模块、测试用例自适应选取模块、测试用例测试模块；/n测试用例初始化模块：对预先定义的测试用例和用户自定义添加的测试用例，使用自动化分析脚本，去除重复测试用例；使用自动化变异脚本，对去重后的测试用例进行变异，并对变异结果再使用自动化分析脚本，再次去除重复测试用例，得到初始化后的测试用例，输入到测试用例特征提取模块；所述对去重后的测试用例进行变异，是指根据预先定义的变异规则，对测试用例中的特定字符进行变化；/n测试用例特征提取模块：对输入的测试用例提取特征向量，然后根据特征向量对每一个测试用例进行向量化表示，并将向量化表示的测试用例输出到测试用例自适应选取模块；测试用例特征向量的提取，需要首先对输入的初始化后的测试用例进行分解，统计分解后测试用例中每一个参数在整个测试用例集中出现的频数，使用主成员分析法提取出特征向量，在内存中存储；对测试用例向量化表示，是指根据提取的特征向量，计算特征向量中每一个参数在该条测试用例中出现的频数，并进行归一化处理；/n测试用例自适应选取模块：首先在输入的存储向量化表示的哈希表中随机选取一条测试用例发送到测试用例测试模块，根据测试用例测试模块返回的数据判断是否继续选取下一条测试用例，如果需要选取下一条测试用例，则计算该条测试用例与哈希表中其他测试用例的距离，删除当前测试用例并选取距离最大的一条测试用例发送到测试用例测试模块；如果不需要选取下一条测试用例，则停止检测，输出当前测试用例；/n测试用例测试模块：根据测试用例自适应选取模块输入的测试用例，对用户指定的测试目标进行测试，并解析测试目标的响应，判断测试用例是否检测到测试目标的Sql注入漏洞；对测试目标进行测试，是指根据用户指定的目标，构造正常请求数据包，向目标发送请求，之后使用测试用例自适应选取模块输入的测试用例构造测试请求，根据测试目标响应数据以及响应时间判断是否触发漏洞。/n