状态驱动的电力信息系统注入漏洞检测模型

SQL注入漏洞是危害最为严重的电力Web信息系统漏洞之一,且其隐蔽性、 逻辑性和时序性等特点不断增强,传统漏洞分析方法已难以满足当前的检测要求,造成准确度不足的问题.对此,提出一种状态驱动的电力Web信息系统SQL注入漏洞安全特征分析和检测模型,将攻击语句特征进行状态映射,建立检测过程的扩展有限状态机(extended finite state machine,EFSM),利用相应的状态转换关系来分析识别漏洞特征.实验对比与分析结果表明,该方法可有效提高电力信息系统中SQL注入漏洞渗透测试的准确度,降低其误报和漏报.