CN108875366A - 一种面向php程序的sql注入行为检测系统 - Google Patents
一种面向php程序的sql注入行为检测系统 Download PDFInfo
- Publication number
- CN108875366A CN108875366A CN201810499657.5A CN201810499657A CN108875366A CN 108875366 A CN108875366 A CN 108875366A CN 201810499657 A CN201810499657 A CN 201810499657A CN 108875366 A CN108875366 A CN 108875366A
- Authority
- CN
- China
- Prior art keywords
- sql
- stain
- php
- attacker
- node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明设计了一种面向PHP程序的SQL注入行为检测系统。首先,该系统使用PHP扩展技术在SQL函数执行时获取SQL语句,并记录攻击者所携带的身份信息;基于以上信息生成SQL请求日志,并将该日志作为分析源。然后,基于SQL语法和抽象语法树,实现了污点标记的SQL语法分析过程,并使用污点分析技术,提取语法树中SQL注入行为的多个特征。最后,使用随机森林分类算法实现SQL注入行为的判定。与正则匹配检测技术对比实验结果显示,通过该系统检测SQL注入行为,准确率为96.9%,准确率提高了7.2%。该系统的信息获取模块能以扩展形式加载在任何PHP应用程序中,因此该模型可移植性强,在安全审计和攻击溯源中具有应用价值。
Description
技术领域
本发明设计一种基于污点分析的对PHP Web应用系统进行SQL注入的行为检测模型,通过随机森林分类算法实现SQL注入行为的判定,对针对Web系统的SQL注入攻击行为进行有效检测。
背景技术
随着互联网技术的高速发展,Web应用程序在人类生活发展中起到重要的媒介和资产管理作用。然而由于开发人员安全意识不足,全球大部分网站遭受了不同程度的Web攻击。据2016年中国网站安全漏洞形势分析报告,SQL(Structured Query Language)注入攻击占据漏洞类型的44.9%,占网站卫士拦截攻击类型的39.8%。而且Web应用一旦被发现SQL注入漏洞,容易形成通用漏洞,威胁范围广泛,影响巨大。所以,为保护互联网信息安全,SQL注入行为检测是至关重要的一个环节。PHP(PHP:Hypertext Preprocessor)作为一个优秀的脚本语言,由于其开发周期短、成本低和丰富的扩展资源等优秀特性,在Web 技术上已成为主流。据2016 年Web漏洞统计,87%的漏洞对应的开发语言为PHP。那么,在PHP 应用程序中,检测SQL注入行为愈显重要。
面对SQL注入行为进行检测的方法很多,如基于文档相似性匹配的检测方法,在最常发生SQL 注入的位置提取子句,建立恶意子句的哈希库。但在实际应用中发生SQL 注入的位置较多,难以建立起覆盖面较全的恶意子句库。以网络流量作为数据源,从网络环境中提取恶意请求较正常请求流量中有较大区别的特征检测SQL 注入。但该检测方法缺乏SQL注入行为的针对性,容易将其他攻击行为误判为SQL 注入行为。
运用支持向量机分类算法检测SQL 注入,通过片段化的SQL语法树,提取语法和语义特征建立多维特征向量,训练SVM分类器。该方法的数据来源为数据库日志,由于数据库日志缺少访问者信息,因此该方法并不适用于攻击溯源。传统的基于Web日志的SQL注入检测技术,将日志中的访问信息作为SQL注入检测凭证时,由于信息的不完整性,无法判断用户输入是否进入数据库层。对于PHP应用程序,污点分析技术被应用于SQL注入行为检测中,分为基于不可信源和可信源进行污点分析,通过污点分析技术,能够定位SQL语句中外部输入点。
在实现异常检测中,只通过检测不可信源中的攻击关键词等单一特征,并使用规则性的检测方法,存在较高误报率。同时在进行污点标记时,对每个字符都进行来源标记,这种标记方法为其后分词添加了大量不确定性;过多的污点标记和污点净化,难免对正常的业务逻辑产生影响。通常产生SQL 注入的外部输入点有限,若是对所有可信源进行标记将产生大量冗余操作,并使服务器负载较大。
本模型针对以上缺陷,并基于PHP应用程序,将污点分析和日志分析技术相结合,通过使用机器学习算法提高SQL 注入行为检测的有效性和准确率。
发明内容
该发明是基于PHP 扩展技术,重写PHP 原生方法,基于污点标记技术、提取污点子树和词法特征技术,使用随机森林算法等多项先进技术的先进模型。本模型对外部输入信息进行数据整理和特征提取,并通过机器学习进行训练。从而达到对SQL注入行为的高准确率检测,同时对筛选出的SQL注入行为,记录其攻击载荷和攻击者信息。
该发明旨在实现如下目标:
(1)基于PHP 扩展技术,重写PHP原生方法,在代码层对SQL语句执行函数进行监听。
(2)系统能够收集用户请求的基本数据,有将数据分割、整理、存储以及转化为适合处理的日志文件的数据处理能力。
(3)系统使用深度优先算法、基于树状结构中两个节点所含的信息量的大小计算语义相似度的方法、N-Gram模型进行污点子树特征和词法特征提取,使用随机森林算法进行模型训练。
(4)系统具备语义分析能力, 通过基于抽象语法树的污点标记技术对污点标记源做语法分析。
(5)系统具备SQL注入行为检测能力,可以通过生成用户信息和外部输入有关的日志文件进行SQL注入行为检测。
为实现上述目的,该发明采用了如下技术方案:面向PHP程序的外部输入和用户信息的数据处理模块,基于抽象语法树的污点标记模块,基于污点语法树的污点子树特征提取和词法特征提取模块,基于随机森林算法的SQL注入行为检测模块。
数据处理模块包括数据初始化、重写PHP原生函数监控SQL语句调用和污点标记源生成。系统这部分首先对攻击者可控点进行初始化处理,记录SQL语句和攻击者身份信息Hash值,将外部变量中的元素带入SQL 语句中进行匹配,对匹配到的内容使用攻击者Hash值进行首尾标记,生成污点标记源。
基于抽象语法树的污点标记模块是对污点标记源做语法分析,以主要SQL 保留字作为树枝节点,对树枝节点分别描述语法规则,生成污点语法树。
基于污点语法树的污点子树特征提取和词法特征提取模块对污点语法树进行污点子树提取、污点子树宽度深度提取、以及污点子树语法相似度分析;对语法树的恶意节点进行泛化,提取节点基本特征,并计算恶意节点组合概率,从而得到词法特征。
基于随机森林算法的SQL注入行为检测模块通过随机森林算法对正常样本和恶意样本进行分类训练模型,并使用十字交叉验证对其分类性能进行验证,将得到的训练模型作为检测模块,通过模块检测正常行为和攻击行为,并将攻击行为所包含的攻击者信息和攻击载荷存入数据库。
附图说明
图1是本发明的系统架构图
图2是本发明的系统整体运行流程图
图3是本发明的污点标记源生成图
具体实施方式:
该基于污点分析的SQL注入行为检测系统包含四个模块:数据处理模块,污点标记模块,特征提取模块,SQL注入行为检测模块。
如图1所示为系统的主要架构图,详细的介绍了SQL注入行为检测系统的相关设计及部署架构。其中针对数据处理、污点标记、特征提取、SQL注入行为检测几个模块的组成和功能进行了详细的图示。
数据处理模块通过内核提供的“PG(http_globals)”对攻击者可控点进行请求初始化。定义全局数组存取外部变量和外部变量来源,当攻击者可控全局变量被赋值,将信息依次存入数组中,以数组索引值对该变量进行外部标记。当传入参数带有外部标记,将标记转移给返回值,并以标记值作为索引覆盖上述数组中的值。对OPCODE(Operation Code)中函数执行类“DO_FCALL”和“DO_FCALL_BY_NAME”自定义处理函数。在处理函数中监控SQL 函数调用,当传入参数带有外部标记,记录该SQL 语句。从全局变量“SERVER”中可获取攻击者请求头信息,以IP 地址(Internet Protocol Address)、用户代理(User-Agent) ) 、HTTPcookie(Cookie) 、当前时间戳(Timestamp))作为攻击者的标识参数,使用MurmurHash 算法对以上参数加密,得到识别攻击者的Hash 值。通过“php_log_err”接口,将上述信息存入日志文件,对于日志中的内容,以攻击者Hash 作为请求区分点,对日志中记录的信息进行处理。将外部变量中的元素带入SQL 语句中进行匹配,对匹配到的内容使用上文中的Hash值进行首尾标记,作为观测点。将带观测点的SQL 语句作为污点标记源。
污点标记模块基于抽象语法树的污点标记技术,在构建语法树前,定义语法树的节点结构,包含节点类型,节点值和污点标记。以节点值作为污点语法树的主节点,相邻右节点为污点标记节点,相邻左节点表示节点类型。根据SQL语言特性,定义分隔符将SQL 语句数组化,针对转义符和其他特殊字符对分隔后的数组进行合并或分割处理。根据观测点的首尾标记,对标记之间的元素设置污点标记值为1,由于包含子句的元素在语法分析阶段将被再次分词,因此,若元素包含子句,保留其观测点首尾标记,否则去掉观测点首尾标记。检测节点中的SQL 保留字,以保留字作为树枝节点,其后节点作为叶节点,并根据保留字选择处理分支。按相应语法规则基于深度优先原则进行解析。
特征提取模块中将特征分为污点子树特征和词法特征两类。对于污点子树特征提取:基于深度优先算法(Depth-First-Search, DFS)遍历语法树,从头节点开始,搜索污点标记节点,将最先搜索到的污点节点作为污点子树头节点,语法树中的边表示节点与节点之前的嵌套关系,当边同时连接两个污点节点时,将被连接节点加入相应污点子树。最终生成污点子树集中包含了所有污点子树和节点信息。将污点子树子节点最大层数作为其深度,并计算整个污点子树集的平均深度作为结构特征之一;将污点子树中每层节点数量的最大值作为宽度,并计算污点子树集中子树的平均宽度作为结构特征之一。由于正常请求中外部输入值的数值性和赋值规范性,在生成的污点子树集中,每个子树的头节点语义相似度较高,而异常请求生成的污点子树集中,由于某些子树中出现嵌套,其头节点为各类关键字,因此语义相似度较低。基于上述区别,对污点子树集中的子树头节点计算语义相似度作为特征。计算公式如下:
对于词法特征提取:模块先做恶意节点泛化,通过词性可得出污点子树中为关键字、运算符、SQL 函数的节点。从SQL 语法规则中提取出985 个关键词作为恶意节点内容。将出现表中关键词的节点作为恶意节点并做泛化处理。对于不在表中的特殊字符,如“(”等,保留其原始形式,将其他字符串归一为常量。同时选择恶意节点所占比和节点总数作为基本特征。当出现单个恶意节点时,并不能体现语句是否是SQL 注入行为。例如“union selected1”。所以对恶意节点组合出现概率进行计算。对泛化后的节点删除内部常量,以父节点和左节点作为前序节点,组合为只有关键词组成的表达式。该表达式满足内部某关键词状态只与前一关键词状态有关。该表达式作为一个序列具有马尔科夫性质。模块采用N-Gram模型建立恶意节点组合的概率模型,用以计算恶意节点组合概率。为避免概率为0 导致样本数据稀疏,使用回退算法(Katz Backoff)对数据进行平滑处理。将结果作为恶意节点组合概率特征。
在SQL注入行为检测模块中,先从SQL 注入攻击工具中提取各类SQL 注入的攻击
载荷(payload),以其为样本,基于N-Gram 模型建立恶意节点组合的概率模型;获得训练样本的污点语法树后,根据恶意节点表,计算节点基本特征;将污点节点序列化,计算恶意节点组合概率;提取污点子树,计算污点子树基本特征,对于非单一元素子树集,计算其子树语义相似度;利用随机森林算法对正常样本和恶意样本进行分类训练,并使用十字交叉验证对其分类性能进行验证。将得到的随机森林分类模型作为异常检测模型。通过该模型进行SQL注入行为检测,并将恶意行为的攻击载荷和用户信息存入数据库。
图2所示系统的整体运行流程图,详细介绍了系统整体的运行逻辑。外部输入进入PHP 应用程序,在PHP 代码编译时,通过PHP 扩展获取包含外部输入的SQL 语句,外部变量和攻击者请求头信息,并将上述信息按格式存入日志文件。从日志文件中读取SQL 语句和外部变量,生成污点标记源,经过污点标记后,生成污点语法树。基于污点语法树,提取污点子树和词法两类特征,选择随机森林算法对SQL 注入行为和正常行为进行分类训练,得出异常检测模型。最后再通过异常检测模型判断新的外部输入是否具有SQL注入行为。
图3是污点标记源生成图,从全局变量“SERVER”中可获取攻击者请求头信息,以IP地址(Internet Protocol Address)、用户代理(User-Agent) ) 、HTTP cookie(Cookie) 、当前时间戳(Timestamp))作为攻击者的标识参数,使用MurmurHash 算法对以上参数加密,得到识别攻击者的Hash值。将上述信息存入日志文件。再以攻击者Hash 作为请求区分点,对日志中记录的信息进行处理。将外部变量中的元素带入SQL语句中进行匹配,对匹配到的内容使用上文中的Hash值进行首尾标记,作为观测点。将带观测点的SQL 语句作为污点标记源。
Claims (10)
1.本发明公开了一种面向PHP程序的SQL注入行为检测系统。
2.其特征包括以下步骤:
步骤一:基于PHP 扩展技术,重写PHP原生方法,在代码层对SQL语句执行函数进行监听,对不可信源进行属性标记以实现对攻击者可控点的跟踪。
3.步骤二:基于抽象语法树和SQL语法,将污点标记技术应用于词法分析和语法分析中,实现SQL语句和内部污点的抽象化。
4.步骤三:对语法树中的污点节点进行分析,基于词法、语法和语义,提取了SQL注入语句区别于正常语句的多方面特征。
5.步骤四:使用随机森林算法对SQL 注入行为和正常行为进行分类训练,得出异常检测模型。
6.步骤五:对异常检测模型筛选出的SQL 注入行为,记录其攻击载荷和攻击者信息。
7.根据权利要求1所述的基于PHP 扩展技术,重写PHP原生方法,在代码层对SQL语句执行函数进行监听,其特征在于:定义全局数组存取外部变量和外部变量来源,当可控全局变量被赋值,将信息依次存入数组中,以数组索引值对该变量进行外部标记;对OPCODE(Operation Code)中函数执行类“DO_FCALL”和“DO_FCALL_BY_NAME”自定义处理函数,监控SQL 函数调用,当传入参数带有外部标记,记录该SQL 语句。
8.根据权利要求1所述对不可信源进行属性标记以实现对攻击者可控点的跟踪,其特征在于:从全局变量“SERVER”中可获取攻击者请求头信息,以IP 地址(Internet ProtocolAddress)、用户代理(User-Agent))、HTTP cookie(Cookie)、当前时间戳(Timestamp))作为攻击者的标识参数,使用MurmurHash 算法对以上参数加密,得到识别攻击者的Hash 值;将外部变量中的元素带入SQL 语句中进行匹配,对匹配到的内容使用上文中的Hash 值进行首尾标记。
9.根据权利要求1所述的实现SQL语句和内部污点的抽象化,其特征在于:根据SQL语言特性,定义分隔符将SQL语句数组化,针对转义符和其他特殊字符对分隔后的数组进行合并或分割处理;根据观测点的首尾标记,对标记之间的元素设置污点标记值为1,若元素包含子句,保留其观测点首尾标记,否则去掉观测点首尾标记。
10.根据权利要求1所述的基于词法、语法和语义,提取SQL注入语句特征,其特征在于:基于深度优先算法遍历污点语法树,选择污点子树的宽度和深度作为一组基本结构特征;对污点子树集中的子树头节点计算语义相似度作为特征;选择恶意节点所占比和节点总数作为基本特征;计算恶意节点组合概率作为特征。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810499657.5A CN108875366A (zh) | 2018-05-23 | 2018-05-23 | 一种面向php程序的sql注入行为检测系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810499657.5A CN108875366A (zh) | 2018-05-23 | 2018-05-23 | 一种面向php程序的sql注入行为检测系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN108875366A true CN108875366A (zh) | 2018-11-23 |
Family
ID=64334537
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810499657.5A Pending CN108875366A (zh) | 2018-05-23 | 2018-05-23 | 一种面向php程序的sql注入行为检测系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108875366A (zh) |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109635569A (zh) * | 2018-12-10 | 2019-04-16 | 国家电网有限公司信息通信分公司 | 一种漏洞检测方法及装置 |
| CN110059006A (zh) * | 2019-03-29 | 2019-07-26 | 北京创鑫旅程网络技术有限公司 | 代码审计方法及装置 |
| CN111045679A (zh) * | 2019-01-09 | 2020-04-21 | 国家计算机网络与信息安全管理中心 | 一种sql注入的检测和防御方法、装置及存储介质 |
| CN111124414A (zh) * | 2019-12-02 | 2020-05-08 | 东巽科技(北京)有限公司 | 一种基于操作链接的抽象语法树取词方法 |
| CN111488590A (zh) * | 2020-05-29 | 2020-08-04 | 深圳易嘉恩科技有限公司 | 一种基于用户行为可信分析的sql注入检测方法 |
| CN112667666A (zh) * | 2020-12-31 | 2021-04-16 | 民生科技有限责任公司 | 一种基于N-gram的SQL运行时间预测方法及系统 |
| CN112685735A (zh) * | 2018-12-27 | 2021-04-20 | 慧安金科(北京)科技有限公司 | 用于检测异常数据的方法、设备和计算机可读存储介质 |
| CN112966268A (zh) * | 2021-03-02 | 2021-06-15 | 全球能源互联网研究院有限公司 | 基于神经网络模型和哈希匹配的sql检测方法及系统 |
| CN113139183A (zh) * | 2020-01-17 | 2021-07-20 | 深信服科技股份有限公司 | 一种检测方法、装置、设备及存储介质 |
| CN113220525A (zh) * | 2021-04-28 | 2021-08-06 | 杭州孝道科技有限公司 | 一种跨应用的动态污点跟踪方法 |
| CN113297580A (zh) * | 2021-05-18 | 2021-08-24 | 广东电网有限责任公司 | 基于代码语义分析的电力信息系统安全防护方法及装置 |
| CN113918951A (zh) * | 2021-12-16 | 2022-01-11 | 北京微步在线科技有限公司 | 基于抽象语法树的恶意代码检测方法、装置及电子设备 |
| US11334569B2 (en) | 2020-01-21 | 2022-05-17 | International Business Machines Corporation | Unique SQL query transfer for anomaly detection |
| CN114936369A (zh) * | 2022-04-25 | 2022-08-23 | 中山大学 | 基于标记的sql注入攻击主动防御方法、系统及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103455759A (zh) * | 2012-06-05 | 2013-12-18 | 深圳市腾讯计算机系统有限公司 | 一种页面漏洞检测装置及检测方法 |
| US20150379272A1 (en) * | 2013-05-29 | 2015-12-31 | Lucent Sky Corporation | Method, system, and computer program product for automatically mitigating vulnerabilities in source code |
| CN106506462A (zh) * | 2016-10-18 | 2017-03-15 | 傅书豪 | 一种基于表单置乱的网站安全保护方法与装置 |
| CN107392016A (zh) * | 2017-07-07 | 2017-11-24 | 四川大学 | 一种基于代理的Web数据库攻击行为检测系统 |
| CN107451473A (zh) * | 2017-07-27 | 2017-12-08 | 杭州美创科技有限公司 | 基于特征模式识别的sql注入检测方法 |
-
2018
- 2018-05-23 CN CN201810499657.5A patent/CN108875366A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103455759A (zh) * | 2012-06-05 | 2013-12-18 | 深圳市腾讯计算机系统有限公司 | 一种页面漏洞检测装置及检测方法 |
| US20150379272A1 (en) * | 2013-05-29 | 2015-12-31 | Lucent Sky Corporation | Method, system, and computer program product for automatically mitigating vulnerabilities in source code |
| CN106506462A (zh) * | 2016-10-18 | 2017-03-15 | 傅书豪 | 一种基于表单置乱的网站安全保护方法与装置 |
| CN107392016A (zh) * | 2017-07-07 | 2017-11-24 | 四川大学 | 一种基于代理的Web数据库攻击行为检测系统 |
| CN107451473A (zh) * | 2017-07-27 | 2017-12-08 | 杭州美创科技有限公司 | 基于特征模式识别的sql注入检测方法 |
Non-Patent Citations (1)
| Title |
|---|
| 周颖 等: "面向PHP应用程序的SQL注入行为检测", 《计算机应用》 * |
Cited By (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109635569A (zh) * | 2018-12-10 | 2019-04-16 | 国家电网有限公司信息通信分公司 | 一种漏洞检测方法及装置 |
| CN109635569B (zh) * | 2018-12-10 | 2020-11-03 | 国家电网有限公司信息通信分公司 | 一种漏洞检测方法及装置 |
| CN112685735B (zh) * | 2018-12-27 | 2024-04-12 | 慧安金科(北京)科技有限公司 | 用于检测异常数据的方法、设备和计算机可读存储介质 |
| CN112685735A (zh) * | 2018-12-27 | 2021-04-20 | 慧安金科(北京)科技有限公司 | 用于检测异常数据的方法、设备和计算机可读存储介质 |
| CN111045679A (zh) * | 2019-01-09 | 2020-04-21 | 国家计算机网络与信息安全管理中心 | 一种sql注入的检测和防御方法、装置及存储介质 |
| CN111045679B (zh) * | 2019-01-09 | 2024-02-23 | 国家计算机网络与信息安全管理中心 | 一种sql注入的检测和防御方法、装置及存储介质 |
| CN110059006A (zh) * | 2019-03-29 | 2019-07-26 | 北京创鑫旅程网络技术有限公司 | 代码审计方法及装置 |
| CN111124414A (zh) * | 2019-12-02 | 2020-05-08 | 东巽科技(北京)有限公司 | 一种基于操作链接的抽象语法树取词方法 |
| CN111124414B (zh) * | 2019-12-02 | 2024-02-06 | 东巽科技(北京)有限公司 | 一种基于操作链接的抽象语法树取词方法 |
| CN113139183A (zh) * | 2020-01-17 | 2021-07-20 | 深信服科技股份有限公司 | 一种检测方法、装置、设备及存储介质 |
| CN113139183B (zh) * | 2020-01-17 | 2023-12-29 | 深信服科技股份有限公司 | 一种检测方法、装置、设备及存储介质 |
| US11847122B2 (en) | 2020-01-21 | 2023-12-19 | International Business Machines Corporation | Unique SQL query transfer for anomaly detection |
| US11334569B2 (en) | 2020-01-21 | 2022-05-17 | International Business Machines Corporation | Unique SQL query transfer for anomaly detection |
| CN111488590A (zh) * | 2020-05-29 | 2020-08-04 | 深圳易嘉恩科技有限公司 | 一种基于用户行为可信分析的sql注入检测方法 |
| CN112667666A (zh) * | 2020-12-31 | 2021-04-16 | 民生科技有限责任公司 | 一种基于N-gram的SQL运行时间预测方法及系统 |
| CN112966268A (zh) * | 2021-03-02 | 2021-06-15 | 全球能源互联网研究院有限公司 | 基于神经网络模型和哈希匹配的sql检测方法及系统 |
| CN113220525A (zh) * | 2021-04-28 | 2021-08-06 | 杭州孝道科技有限公司 | 一种跨应用的动态污点跟踪方法 |
| CN113297580A (zh) * | 2021-05-18 | 2021-08-24 | 广东电网有限责任公司 | 基于代码语义分析的电力信息系统安全防护方法及装置 |
| CN113297580B (zh) * | 2021-05-18 | 2024-03-22 | 广东电网有限责任公司 | 基于代码语义分析的电力信息系统安全防护方法及装置 |
| CN113918951A (zh) * | 2021-12-16 | 2022-01-11 | 北京微步在线科技有限公司 | 基于抽象语法树的恶意代码检测方法、装置及电子设备 |
| CN114936369A (zh) * | 2022-04-25 | 2022-08-23 | 中山大学 | 基于标记的sql注入攻击主动防御方法、系统及存储介质 |
| CN114936369B (zh) * | 2022-04-25 | 2024-04-19 | 中山大学 | 基于标记的sql注入攻击主动防御方法、系统及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108875366A (zh) | 一种面向php程序的sql注入行为检测系统 | |
| Zhou et al. | Network-based fake news detection: A pattern-driven approach | |
| Ren et al. | Cskg4apt: A cybersecurity knowledge graph for advanced persistent threat organization attribution | |
| CN110233849B (zh) | 网络安全态势分析的方法及系统 | |
| CN109784056B (zh) | 一种基于深度学习的恶意软件检测方法 | |
| CN108737423B (zh) | 基于网页关键内容相似性分析的钓鱼网站发现方法及系统 | |
| CN107786575A (zh) | 一种基于dns流量的自适应恶意域名检测方法 | |
| CN108399194A (zh) | 一种网络威胁情报生成方法及系统 | |
| US10187412B2 (en) | Robust representation of network traffic for detecting malware variations | |
| CN111818018B (zh) | 一种基于机器学习模型的sql注入攻击检测方法 | |
| CN107392016A (zh) | 一种基于代理的Web数据库攻击行为检测系统 | |
| CN109194677A (zh) | 一种sql注入攻击检测方法、装置及设备 | |
| CN107239694A (zh) | 一种基于用户评论的Android应用权限推理方法及装置 | |
| CN112817877B (zh) | 异常脚本检测方法、装置、计算机设备和存储介质 | |
| CN108718306A (zh) | 一种异常流量行为判别方法和装置 | |
| CN117081858B (zh) | 一种基于多决策树入侵行为检测方法、系统、设备及介质 | |
| CN111723371A (zh) | 构建恶意文件的检测模型以及检测恶意文件的方法 | |
| Wang et al. | Detection method of SQL injection attack in cloud computing environment | |
| CN111190873B (zh) | 一种用于云原生系统日志训练的日志模式提取方法及系统 | |
| US9600644B2 (en) | Method, a computer program and apparatus for analyzing symbols in a computer | |
| CN117436437A (zh) | 一种组合敏感词检测方法、装置、设备及集群 | |
| CN110008701A (zh) | 基于elf文件特征的静态检测规则提取方法及检测方法 | |
| CN104036189A (zh) | 页面篡改检测方法及黑链数据库生成方法 | |
| CN109753798A (zh) | 一种基于随机森林与FastText的Webshell检测模型 | |
| US11868473B2 (en) | Method for constructing behavioural software signatures |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20181123 |
|
| WD01 | Invention patent application deemed withdrawn after publication |