基于日志挖掘的Web Service安全性測試方法研究.pdf

1、Web Service是建立可互操作的分布式應用程序的新平臺,引入了一種全新的Web應用開發(fā)、部署和集成的模式。由于WebService通常包含應用系統(tǒng)關(guān)鍵的業(yè)務,若其安全性出現(xiàn)問題可能會造成重大損失和嚴重后果。鑒于Web Service所處環(huán)境的異構(gòu)性、分布性和動態(tài)性,對傳統(tǒng)的安全性測試技術(shù)提出了挑戰(zhàn)。
　　 Web Service服務器日志中包含了大量的用戶訪問行為模式,數(shù)據(jù)挖掘可以從大量的、不完全的、有噪聲的、隨機的實際應

2、用數(shù)據(jù)中發(fā)現(xiàn)有用的規(guī)則,對Web Service服務器日志進行挖掘可以發(fā)現(xiàn)Web Service的安全缺陷。在分析現(xiàn)有的Web Service安全性測試方法的基礎(chǔ)上,提出了一種基于日志挖掘的Web Service安全性測試方法。論文的工作主要在以下幾個方面:
　　 1、對Web Sereice及其關(guān)鍵技術(shù)SOAP、WSDL、UDDI、體系結(jié)構(gòu)等進行了研究。探討了Web Service面臨的威脅,描述了Web Service的安全

3、協(xié)議棧、安全層次結(jié)構(gòu)和所要達到的安全目標,詳細分析了幾種經(jīng)典的關(guān)聯(lián)規(guī)則挖掘算法。
　　 2、基于日志挖掘的Web Service安全關(guān)聯(lián)規(guī)則挖掘算法WSLMA。對標準日志文件格式進行了擴展,使用自動化測試引擎生成Web Service的測試用例并自動執(zhí)行,把執(zhí)行過程中產(chǎn)生的信息記錄在擴展日志文件中得到原始日志文件,對原始日志進行預處理之后,采用基于貪心選擇的策略進行模式、規(guī)則統(tǒng)計,對統(tǒng)計結(jié)果進行模式分析得到執(zhí)行Web Servi

4、ce正常情況下的關(guān)聯(lián)規(guī)則,從而為Web Service的安全性測試提供評判的準則。
　　 3、基于WSLMA算法的Web Service安全性測試方法。根據(jù)WSDL文件上描述的調(diào)用接口的特性,設(shè)計出適用于Web Service的錯誤構(gòu)造算子,使用錯誤注入的方式將錯誤構(gòu)造算子注入到請求者的調(diào)用文件中,并把由此產(chǎn)生的日志記錄和挖掘出的關(guān)聯(lián)規(guī)則進行比較,據(jù)此發(fā)現(xiàn)Web Service的安全性問題。
　　 4、利用.NET平臺實