[发明专利]基于门控循环单元与注意力机制的注入攻击检测方法

说明书

本发明公开了一种基于门控循环单元与注意力机制的注入攻击检测方法，其特征在于，包括以下步骤：步骤1、提取互联网中与数据库相关的语句作为样本；对各个样本分别进行预处理，并获取其类别标签；步骤2、将样本预处理后的结果输入注入攻击检测模型，预测其对应的类别标签；其中注入攻击检测模型包括依次连接的激活层、门控循环单元层、注意力机制层和输出层；步骤3、基于样本数据训练注入攻击检测模型；步骤4、对于待检测语句，先对其进行预处理，再将预处理后的结果输入训练好的注入攻击检测模型，得到该待检测语句的类别标签，从而判断该待检测语句是否为注入攻击语句。本发明准确率高。

背景技术

注入攻击是指通过攻击者将代码注入程序或查询或将恶意软件注入计算机，以便执行远程命令，这些命令可以读取或修改数据库，或更改网站上的数据。网络空间中常见的注入攻击有SQL注入攻击、XSS攻击等。根据2016年网络空间安全数据报告，SQL注入攻击与XSS攻击两种常见注入攻击成为了网络攻击事件的常见方式，造成了严重的社会经济影响。

注入攻击的常见防御手段有预编译指令、动态分析等手段。注入攻击的检测方法从过去基于规则的方法到如今基于机器学习的方法发生了较大变化。基于规则的方法中具有代表性的主要有基于正则表达式匹配的方法、采用预编译手段的方法、采用代理服务器缓冲的方法，以上这些方法虽然能对注入攻击的检测和防御有所作用，但由于其往往需要采用人员、服务器、程序设计等手段进行预处理，而且借助编程人员与服务器的手段也需要进行安全设计与评估，造成了较大的经济开销与可能的安全隐患。近年来，基于机器学习的方法成为了研究重点，产生了基于SVM的注入攻击检测方法、基于决策树的注入攻击检测方法，这些方法相比以往方法具有较低的经济开销与安全隐患，但是其中对于数据的处理方式、参数的调整与模型解释需要较高水平的工程人员进行协助，另外，其识别准确度在一些特定情况下低于人工识别准确度。另外，自然语言处理领域的一些简单语义模型，例如Bag-of-words^[1]、tree-kernel^[2]、word-graph^[3]方法也进行了对于注入攻击检测的尝试，但它们均存在各种不足。Bag-of-words采用的思路是对于语句文本中出现的词语进行统计排序，将出现次数最多的前N个词语作为判断标准，如果出现了常出现在攻击语句中的词语则认定为攻击行为，该方法虽然有一定效果，但其完全取决于攻击语句中的敏感词语的出现次数是否达到阈值的判断标准，对于注入攻击语句中的上下文特征缺乏考虑。tree-kernel与word-graph方法均结合了机器学习，在一定程度上考虑了词语之间的上下文关系，但是对于间隔较远的词语之间的关系无法衡量，因此出现了对于较短的攻击语句识别准确，但对于较长的攻击语句识别效果不佳的问题。

[1]Bockermann C,Apel M,Meier M.Learning SQL for Database IntrusionDetection Using Context-Sensitive Modelling(Extended Abstract)[J].ProcDetection of IntrusionsMalwareVulnerability Assessment,2009.

[2]Buehrer G,Weide B W,Sivilotti P A G.Using parse tree validation toprevent SQL injection attacks[C]//Proc International Workshop on SoftwareEngineeringMiddleware.2005.

[3]Kar D,Panigrahi S,Sundararajan S.SQLiGoT:Detecting SQL InjectionAttacks using Graph of Tokens and SVM[J].ComputersSecurity,2016:S0167404816300451.

针对现有方法存在的不足，有必要提供一种效果更好的注入攻击检测方法。

发明内容