基于日志挖掘的Web Service安全性測(cè)試方法研究.pdf

1、Web Service是建立可互操作的分布式應(yīng)用程序的新平臺(tái),引入了一種全新的Web應(yīng)用開發(fā)、部署和集成的模式。由于WebService通常包含應(yīng)用系統(tǒng)關(guān)鍵的業(yè)務(wù),若其安全性出現(xiàn)問題可能會(huì)造成重大損失和嚴(yán)重后果。鑒于Web Service所處環(huán)境的異構(gòu)性、分布性和動(dòng)態(tài)性,對(duì)傳統(tǒng)的安全性測(cè)試技術(shù)提出了挑戰(zhàn)。
　　 Web Service服務(wù)器日志中包含了大量的用戶訪問行為模式,數(shù)據(jù)挖掘可以從大量的、不完全的、有噪聲的、隨機(jī)的實(shí)際應(yīng)

2、用數(shù)據(jù)中發(fā)現(xiàn)有用的規(guī)則,對(duì)Web Service服務(wù)器日志進(jìn)行挖掘可以發(fā)現(xiàn)Web Service的安全缺陷。在分析現(xiàn)有的Web Service安全性測(cè)試方法的基礎(chǔ)上,提出了一種基于日志挖掘的Web Service安全性測(cè)試方法。論文的工作主要在以下幾個(gè)方面:
　　 1、對(duì)Web Sereice及其關(guān)鍵技術(shù)SOAP、WSDL、UDDI、體系結(jié)構(gòu)等進(jìn)行了研究。探討了Web Service面臨的威脅,描述了Web Service的安全

3、協(xié)議棧、安全層次結(jié)構(gòu)和所要達(dá)到的安全目標(biāo),詳細(xì)分析了幾種經(jīng)典的關(guān)聯(lián)規(guī)則挖掘算法。
　　 2、基于日志挖掘的Web Service安全關(guān)聯(lián)規(guī)則挖掘算法WSLMA。對(duì)標(biāo)準(zhǔn)日志文件格式進(jìn)行了擴(kuò)展,使用自動(dòng)化測(cè)試引擎生成Web Service的測(cè)試用例并自動(dòng)執(zhí)行,把執(zhí)行過程中產(chǎn)生的信息記錄在擴(kuò)展日志文件中得到原始日志文件,對(duì)原始日志進(jìn)行預(yù)處理之后,采用基于貪心選擇的策略進(jìn)行模式、規(guī)則統(tǒng)計(jì),對(duì)統(tǒng)計(jì)結(jié)果進(jìn)行模式分析得到執(zhí)行Web Servi

4、ce正常情況下的關(guān)聯(lián)規(guī)則,從而為Web Service的安全性測(cè)試提供評(píng)判的準(zhǔn)則。
　　 3、基于WSLMA算法的Web Service安全性測(cè)試方法。根據(jù)WSDL文件上描述的調(diào)用接口的特性,設(shè)計(jì)出適用于Web Service的錯(cuò)誤構(gòu)造算子,使用錯(cuò)誤注入的方式將錯(cuò)誤構(gòu)造算子注入到請(qǐng)求者的調(diào)用文件中,并把由此產(chǎn)生的日志記錄和挖掘出的關(guān)聯(lián)規(guī)則進(jìn)行比較,據(jù)此發(fā)現(xiàn)Web Service的安全性問題。
　　 4、利用.NET平臺(tái)實(shí)