[发明专利]基于词向量和LSTM检测SQL注入行为

说明书

本发明是基于词向量和LSTM检测SQL注入行为，其主要针对Web应用所面对的最主要威胁——SQL注入攻击。现有的基于规则的SQL注入检测系统存在更新慢，反应慢，容易绕过的缺点。针对SQL注入检测问题，本专利提出了一种基于LSTM神经网络的SQL注入检测模型。该模型利用SQL语句的语义特征，对SQL语句进行语法解析，利用似然比检验构造出SQL语句词向量序列，利用LSTM神经网络对构造的词向量序列进行判定。实验表明，本发明基于词向量和LSTM检测SQL注入行为可以有效的判别SQL注入攻击。

技术领域

本文发明一种基于词向量和LSTM算法的SQL注入检测行为。通过极似然检测将SQL语句转换为词向量，然后通过LSTM算法进行训练，检测。最终判定一条SQL语句是否属于SQL注入行为。

背景技术

在网络中，数据库驱动的Web应用随处可见，由于开发人员未能充分验证用户输入而导致的SQL注入是影响企业运营且最具破坏性的漏洞之一。在OWASP Top 10项目中，注入攻击始终位列最具威胁的Web应用攻击方式的第一位，而在注入攻击中，SQL注入攻击又是最常见，威胁最大的攻击方式。黑客通过SQL注入攻击，可以获取、操作数据库中的数据，甚至获取到系统的管理员权限，进而控制整个系统。所以SQL注入检测技术的研究，是保护Web应用安全的重要手段。

传统的SQL注入检测技术大多采用基于规则的方法，即事先建立好用于区分正常SQL语句和SQL注入攻击的判断规则，由于攻击手段的不断发展和进化，再加上互联网上数据量太大且多样性太大，很难建立一个能精确区分正常SQL语句和SQL注入攻击的完善的规则库，因此该类方法往往会有较高的误报率和漏报率，需要不停地更新规则库但是仍然不能起到非常有效的防护。

随着神经网络技术的发展，在自然语言处理、图像识别等领域，神经网络已经取得了令人瞩目的成绩，这也体现了神经网络在序列处理方面的强大能力。而SQL语言作为一种结构化的语言，只要将SQL语言结构化解析，并序列化处理，那么就能将神经网络运用到SQL注入检测中。本文基于上述思路提出了基于词向量和循环神经网络的SQL注入检测技术。

发明内容

该发明会对服务器将要执行的SQL语句进行检测。将SQL语句转换为词向量，使用循环神经网络建立SQL语句的检测模型。从而达到对SQL注入行为的高准确率检测。此外，这种方法没有特征和实时性，因此它具有检测SQLI的一些0天攻击的固有能力。

该发明旨在实现如下目标：

（1）收集SQL语句；

（2）依据SQL语句的语法，将SQL语句转换为SQL的语法标记序列；

（3）然后通过似然比检测，计算该SQL语句的阳似然性值和阴似然性值，构成二维向量；

（4）通过上一步的阴似然性值与阳似然性值构成的向量作为循环神经网络（LSTM）的训练集合的输入。当遇到了新的SQL语句，通过训练好的模型进行检测，判断语句是否为注入语句。

为了实现上述目的，该发明采用了如下的技术方案：SQL语句语法分析模块，基于似然比检测的SQL词向量构建模块，循环神经网络训练模块，循环神经网络检测模块。

SQL语句语法分析模块主要的工作是：依据SQL语言的系统设计的标准文法规则，将SQL语句的各部分转换为相对应的语法标记。

基于似然比检测的SQL词向量构建模块的主要工作为：一部分是计算SQL语句与SQL注入语句之间的阳似然比和阴似然比；另一部分就是将计算得出的两个似然比构建成向量，为后续的工作提供准备。

循环神经网络训练模块的主要工作为：构建长短期记忆模型（LSTM），然后使用已经构建好的SQL语句词向量进行训练。最终获得训练好的循环神经网络模型。