[发明专利]一种基于机器学习模型的SQL注入攻击检测方法

说明书

本发明公开的基于机器学习模型的SQL注入攻击检测方法，涉及网络安全技术领域，通过采用训练过的机器学习模型，支持检测多种类型SQL注入的检测，能够简单、有效地检测HTTP请求中各个类型的SQL注入攻击，降低了检测SQL注入攻击的难度，提高了检测SQL注入攻击的效率及精确度。

技术领域

本发明涉及网络安全技术领域，具体涉及一种基于机器学习模型的SQL注入攻击检测方法。

背景技术

智能手机、平板电脑等移动设备接入互联网，使得网络数据无处不在。随着人们对Web应用程序的依赖，网络数据库中存储的敏感个人身份信息的数量也在快速增加。网络数据库是黑客的高利润目标，因此保护它们是首要考虑的问题。但是，大多数Web应用程序的开发都没有充分考虑安全性。许多网站都是用现成的开源包和第三方插件构建的，而没有验证代码的安全性。因此，Web应用程序常常存在有多个攻击者可以利用的漏洞。

SQL注入攻击是对Web应用程序最严重的威胁之一，在2013年度开放Web应用程序安全项目十大应用程序安全风险中排名第一。SQL注入攻击是一种简单且易于理解的技术，即为向Web应用程序提交的HTTP请求中插入SQL语句。黑客可以利用该方式提取、修改或删除后端数据库中的内容。SQL注入的方式有很多，例如重言式攻击。

为了防止SQL注入攻击，目前主要采用的方案包括防入侵系统和防火墙。它们大多为依赖已知攻击创建的基于正则表达式的过滤器，并且需要大量的专业知识，检测难度较大。但是，由于SQL语言的异构性，使得创建基于正则表达式或规则的过滤器非常困难，大量的规则会成为制约过滤器性能的瓶颈，而且也无法识别新的攻击形式，需要经常根据新出现的攻击进行维护，导致检测效率及精确度低下。

发明内容

为解决现有技术的不足，本发明实施例提供了一种基于机器学习模型的SQL注入攻击检测方法，该方法包括以下步骤：

S1，接收用户发送的HTTP请求并提取所述HTTP请求的请求路径与请求体；

S2，对所述请求路径与所述请求体进行解码，将所述请求路径与所述请求体组合为负载；

S3，对所述负载进行文本解析，得到所述负载对应的文本集；

S4，检测所述文本集是否存在SQL语句，若存在，则根据所述SQL语句的注入点，删除所述文本集中与SQL语句无关的文本；

S5，提取所述文本集的关键字及字符，生成第一词表；

S6，使用词频模型，统计各个关键字的词频并删除所述第一词表中词频小于设定阈值的关键字并结合所述第一词表中的保留字和函数，生成第二词表；

S7，对所述第二词表进行特征提取并统计各个词向量在所述第二词表中的出现次数，将各个词向量会转化为长度与第二词表长度相同的向量，得到多个特征向量；

S8，依次将各个特征向量输入训练过的机器学习模型进行预测，得到该各个特征向量的分类标识，根据所述分类标识，判断各个特征向量为SQL注入流量还是正常流量。

优选地，所述机器学习模型的训练过程包括：

收集多条包含多种正常模式的SQL语句及多种注入攻击模式的SQL语句的HTTP请求；

通过人工对所述HTTP请求进行分类并标识，生成训练数据；

重复上述步骤S1-S7，分别得到所述HTTP请求对应的多个特征向量；

将所述多个特征向量分别输入不同分类算法的机器学习模型，分别得到所述HTTP请求对应的多个特征向量对应的分类标识；

将所述分类标识分别与对应训练数据的标识进行比较，计算各个机器学习模型检测的准确率并选择准确率最高的机器学习模型作为检测模型。