Detecting Web Vulnerabilities in an Intermediate Language by Resorting to Machine Learning Techniques
Autor(a) principal: | |
---|---|
Data de Publicação: | 2020 |
Tipo de documento: | Dissertação |
Idioma: | eng |
Título da fonte: | Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) |
Texto Completo: | http://hdl.handle.net/10451/47687 |
Resumo: | Tese de mestrado, Ciência de Dados, Universidade de Lisboa, Faculdade de Ciências, 2020 |
id |
RCAP_988e225fffc9a6493f7e349b0d79ff67 |
---|---|
oai_identifier_str |
oai:repositorio.ul.pt:10451/47687 |
network_acronym_str |
RCAP |
network_name_str |
Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) |
repository_id_str |
7160 |
spelling |
Detecting Web Vulnerabilities in an Intermediate Language by Resorting to Machine Learning TechniquesVulnerabilidades webDeteção de vulnerabilidadesSegurança de softwareProcessamento de linguagem naturalAprendizagem profundaTeses de mestrado - 2020Departamento de InformáticaTese de mestrado, Ciência de Dados, Universidade de Lisboa, Faculdade de Ciências, 2020The number of vulnerabilities has grown exponentially over the last years, with SQL Injection being especially troublesome for web applications. In parallel, novel research has shown the potential of Machine Learning to find vulnerabilities, which can aid experts to reduce the search space or even classify programs on its own. Previous work, however, rarely includes SQL Injection or considers popular serverside languages for web application development like PHP. In our work, we construct a Deep Learning model capable of classifying PHP excerpts as vulnerable (or not) to SQL Injection. We use an intermediate language to represent the excerpts and interpret them as text, resorting to well-studied Natural Language Processing techniques. This work can help back-end programmers discover SQL Injection in an early stage of the project, avoiding attacks that would eventually cost a lot to repair their damage. We also investigate which information should be fed to the model. Hence, we built four datasets (the Opcode Dataset, the Opcode+Operand Dataset, the Slice Dataset, and the Simplified Slice Dataset) from the bytecode dataset that represent each PHP excerpt differently. This approach is a simpler alternative to complex data structures previously used to represent code’s control flow. For each of those datasets, we performed several experiments to evaluate alternative configurations for the model. For all datasets, we managed to find a setting that leads to a score, on average, above 60% for the accuracy, precision, and recall.Medeiros, Ibéria Vitória de Sousa, 1971-Neves, Nuno Fuentecilla Maia Ferreira, 1969-Repositório da Universidade de LisboaFidalgo, Ana Maria Dias2021-05-06T16:18:47Z202020202020-01-01T00:00:00Zinfo:eu-repo/semantics/publishedVersioninfo:eu-repo/semantics/masterThesisapplication/pdfhttp://hdl.handle.net/10451/47687TID:202603989enginfo:eu-repo/semantics/openAccessreponame:Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos)instname:Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informaçãoinstacron:RCAAP2023-11-08T16:50:48Zoai:repositorio.ul.pt:10451/47687Portal AgregadorONGhttps://www.rcaap.pt/oai/openaireopendoar:71602024-03-19T21:59:41.677515Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) - Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informaçãofalse |
dc.title.none.fl_str_mv |
Detecting Web Vulnerabilities in an Intermediate Language by Resorting to Machine Learning Techniques |
title |
Detecting Web Vulnerabilities in an Intermediate Language by Resorting to Machine Learning Techniques |
spellingShingle |
Detecting Web Vulnerabilities in an Intermediate Language by Resorting to Machine Learning Techniques Fidalgo, Ana Maria Dias Vulnerabilidades web Deteção de vulnerabilidades Segurança de software Processamento de linguagem natural Aprendizagem profunda Teses de mestrado - 2020 Departamento de Informática |
title_short |
Detecting Web Vulnerabilities in an Intermediate Language by Resorting to Machine Learning Techniques |
title_full |
Detecting Web Vulnerabilities in an Intermediate Language by Resorting to Machine Learning Techniques |
title_fullStr |
Detecting Web Vulnerabilities in an Intermediate Language by Resorting to Machine Learning Techniques |
title_full_unstemmed |
Detecting Web Vulnerabilities in an Intermediate Language by Resorting to Machine Learning Techniques |
title_sort |
Detecting Web Vulnerabilities in an Intermediate Language by Resorting to Machine Learning Techniques |
author |
Fidalgo, Ana Maria Dias |
author_facet |
Fidalgo, Ana Maria Dias |
author_role |
author |
dc.contributor.none.fl_str_mv |
Medeiros, Ibéria Vitória de Sousa, 1971- Neves, Nuno Fuentecilla Maia Ferreira, 1969- Repositório da Universidade de Lisboa |
dc.contributor.author.fl_str_mv |
Fidalgo, Ana Maria Dias |
dc.subject.por.fl_str_mv |
Vulnerabilidades web Deteção de vulnerabilidades Segurança de software Processamento de linguagem natural Aprendizagem profunda Teses de mestrado - 2020 Departamento de Informática |
topic |
Vulnerabilidades web Deteção de vulnerabilidades Segurança de software Processamento de linguagem natural Aprendizagem profunda Teses de mestrado - 2020 Departamento de Informática |
description |
Tese de mestrado, Ciência de Dados, Universidade de Lisboa, Faculdade de Ciências, 2020 |
publishDate |
2020 |
dc.date.none.fl_str_mv |
2020 2020 2020-01-01T00:00:00Z 2021-05-06T16:18:47Z |
dc.type.status.fl_str_mv |
info:eu-repo/semantics/publishedVersion |
dc.type.driver.fl_str_mv |
info:eu-repo/semantics/masterThesis |
format |
masterThesis |
status_str |
publishedVersion |
dc.identifier.uri.fl_str_mv |
http://hdl.handle.net/10451/47687 TID:202603989 |
url |
http://hdl.handle.net/10451/47687 |
identifier_str_mv |
TID:202603989 |
dc.language.iso.fl_str_mv |
eng |
language |
eng |
dc.rights.driver.fl_str_mv |
info:eu-repo/semantics/openAccess |
eu_rights_str_mv |
openAccess |
dc.format.none.fl_str_mv |
application/pdf |
dc.source.none.fl_str_mv |
reponame:Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) instname:Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informação instacron:RCAAP |
instname_str |
Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informação |
instacron_str |
RCAAP |
institution |
RCAAP |
reponame_str |
Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) |
collection |
Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) |
repository.name.fl_str_mv |
Repositório Científico de Acesso Aberto de Portugal (Repositórios Cientìficos) - Agência para a Sociedade do Conhecimento (UMIC) - FCT - Sociedade da Informação |
repository.mail.fl_str_mv |
|
_version_ |
1799134543002730496 |