CN113946823A - 一种基于url基线偏离度分析的sql注入检测方法及装置 - Google Patents

Abstract

本发明提供一种基于URL基线偏离度分析的SQL注入检测方法及装置，所述方法包括：构建基线的步骤；样本再划分的步骤；有监督学习的步骤。本发明的有益效果是：(1)通过构造基线和样本再划分，不仅能提升白样本的纯度，使对正常业务的http流量数据的画像更精确，同时还能从业务数据中发现黑样本，缩小训练样本中的正负样本比例，使分类器更加高效快速训练与预测。同时，黑样本能不断累积，具有较强的灵活性。(2)本发明从多个维度进行特征构造，刻画较为全面，同时黑样本的不断累积，使得可以发现新的SQL注入方式，具有强大的适应性。

Description

一种基于URL基线偏离度分析的SQL注入检测方法及装置

技术领域

本发明涉及SQL注入检测技术领域，具体而言，涉及一种基于URL基线偏离度分析的SQL注入检测方法及装置。

背景技术

随着互联网的快速发展，针对Web应用的攻击形式也愈发多样，非法者可以利用网络执行各种恶意活动，如身份窃取、私密信息窃取、带宽资源占用等。由于Web语言自身的特点，开发人员大多不具有安全编程的经验，因此大多数的web应用系统都有被SQL注入的可能性。

SQL注入攻击是黑客对数据库进行攻击的常用手段之一，也是当前信息泄露的主要途径，最为流行且危害最大，一旦攻击成功，攻击者就可以对控制整个web应用系统对数据做任何的修改或者是窃取，破坏力达到了极致。

现有的SQL注入检测技术主要分为两大类：

(1)传统的校验方式

A、检查动态SQL语句：在安全领域中，用户的输入都是不可信的，而动态的SQL语句与用户输入合用，极大的提升了SQL注入的可能性。因此，在应用程序中大多是使用存储过程或预编译的SQL，它们通过将用户的输入作为参数，而不是命令语句来执行，一定程度上可以限制了入侵者的行动。

B、校验输入有效性：对用户输入的内容进行验证，例如通过验证确保用户输入的都是数字，或者验证输入的内容是否符合规范，以及检查是否包含SQL的关键字。

C、检查数据表：一般情况下，进行SQL注入漏洞攻击后，都会在数据库中生成一些临时表。因此，可以通过检查数据库中最近新建表的结构及内容，从而判断是否曾经发生过SQL注入漏洞攻击。

D、检查审计日志：SQL注入攻击往往会大量访问某一个页面，审计日志文件会急剧增加。Web Service审计日志中可以查询访问者的IP地址，请求时间以及访问的文件信息等等，通过查看审计日志文件的大小以及审计日志文件中的内容，可以判断是否发生过SQL注入漏洞攻击事件以及是否有非法的插入、修改、删除操作等等。

E、权限查看：SQL注入漏洞攻击成功后，入侵者往往会添加特权用户，例如：administrator、root、sa等等、或者开放非法的远程服务以及安装木马后门程序等。通过查看用户帐户列表、远程服务开启情况、系统最近日期产生的一些文件等信息，可以判断是否发生过入侵行为。

(2)基于特征的检测方式

A、正则表达式：将SQL注入攻击的特征用正则表达式进行概括，并对注入攻击进行过。正则匹配过滤的方式与关键字过滤相比,具有更高的识别率和较低的误报率。

B、规则集过滤：根据SQL注入攻击的特征制定SQL注入攻击的特征规则集，从而过滤用户的输入来抵挡SQL注入攻击。

(3)有监督分类方式：

A、分类模型：采用基于HTTP请求分类的用户输入过滤，以此降低用户输入对正常数据的过滤。或者，利用正常访问的URL样本与SQL注入样本之间的差异，识别出正常与恶意攻击。经过样本的学习和训练，训练出分类器后又可对未知的访问样本进行分类，从而提升分类器的精确率。

现有的SQL注入检测技术在实际中存在以下缺点：

1、目前业界使用的传统的校验方式，例如通过页面相似度、时间延迟、报错信息以及联合查询等方式类检测SQL注入漏洞，虽然能够有效识别SQL注入漏洞，但是要精确识别一个复杂的SQL注入漏洞，可能需要花费大量时间，占用大量带宽，给业务网站带来扫描压力。

2、传统WAF(Web Application Firewall，Web应用防火墙)使用正则表达式来过滤sql注入攻击，或者直接查找sql语句的关键词。但是采用正则表达式进行匹配或者直接进行sql语法关键词查找时，往往需要匹配完整个用户提交的数据后才能进行拦截，这样会导致执行效率比较低。此外，正则表达式由于不具备上下文分析能力，因此当用户通过post方式提交正常的含sql的关键词时，也可能进行误拦截。

3、传统web入侵检测技术通过维护规则集对入侵访问进行拦截。一方面，硬规则在灵活的黑客面前，很容易被绕过，且基于以往知识的规则集难以应对0day攻击；另一方面，攻防对抗水涨船高，防守方规则的构造和维护门槛高、成本大。

4、现有的基于机器学习的检测大都是基于监督学习，但是由于web入侵黑样本稀少，传统监督学习方法难以训练。

发明内容

本发明旨在提供一种基于URL基线偏离度分析的SQL注入检测方法及装置，以解决现有的利用正则过滤或者维护规则集等检测方式无法应对日益增多且危害大的SQL注入攻击，且由于黑样本稀缺导致传统的有监督的学习也无法进行精确分类的的问题。

本发明提供的一种基于URL基线偏离度分析的SQL注入检测方法，包括：

构建基线的步骤；

样本再划分的步骤；

有监督学习的步骤；其中，在有监督学习的步骤中进行多维度特征构造。

进一步的，所述构建基线的步骤包括：

获取正常业务的http流量数据；

以http请求中的host和cgi作为主键，对此主键下的正常业务的http流量数据进行分析，以head、param以及content进行泛华，统计相关内容，构建基线。

进一步的，所述样本再划分的步骤包括：

获取SQL注入的http流量数据；

计算SQL注入的http流量数据与基线的偏离程度，综合考虑精确率和召回率，以F1值作为偏离程度取值的评价标准，将F1值得分最高的偏离程度即为样本划分标准；

根据样本划分标准对输入的正常业务的http流量数据以及SQL注入的http流量数据进行再次选择，选择出标准的白样本并增加黑样本。

进一步的，所述有监督学习的步骤包括：

在进行样本再划分后，将得到的白样本和黑样本进行多维度特征构造；

将完成多维度特征构造后的白样本和黑样本作为训练样本输入分类器中进行有监督训练；

将待预测样本输入训练好的分类器中得到预测白样本和预测黑样本。

进一步的，所述有监督学习的步骤还包括：

将预测黑样本作为已知黑样本添加到训练样本中，再将训练样本输入分类器中进行有监督训练。

作为优选，所述分类器为XGboost模型。

本发明还提供一种基于URL基线偏离度分析的SQL注入检测装置，包括：

基线构造模块；所述基线构造模块用于执行构建基线的步骤；

样本再划分模块；所述样本再划分模块用于执行样本再划分的步骤；

有监督学习模块，所述有监督学习模块用于执行有监督学习的步骤；其中，在有监督学习的步骤中进行多维度特征构造。

综上所述，由于采用了上述技术方案，本发明的有益效果是：

1、通过构造基线和样本再划分，不仅能提升白样本的纯度，使对正常业务的http流量数据的画像更精确，同时还能从业务数据中发现黑样本，缩小训练样本中的正负样本比例，使分类器更加高效快速训练与预测。同时，黑样本能不断累积，具有较强的灵活性。

2、本发明从多个维度进行特征构造，刻画较为全面，同时黑样本的不断累积，使得可以发现新的SQL注入方式，具有强大的适应性。

3、虽然SQL注入的样本稀缺，但本发明的训练能够不断学习正常的白样本的特征，以不变应万变，具有较好的鲁棒性，其次，它对新型攻击方式具有强大的适应力，能及时检测出SQL注入，大大节约人力和时间成本。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例中的附图作简单地介绍，应当理解，以下附图仅示出了本发明的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1为本发明实施例的基于URL基线偏离度分析的SQL注入检测方法的流程图。

图2为本发明实施例的有监督学习的步骤的流程图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。

因此，以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围，而是仅仅表示本发明的选定实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

实施例

如图1所示，本实施例提出一种基于URL基线偏离度分析的SQL注入检测方法，包括：

构建基线的步骤；

样本再划分的步骤；

有监督学习的步骤；其中，在有监督学习的步骤中进行多维度特征构造。

具体地：

http请求中，不同的URL会有不同http头部head，不同的参数param，以及不同的content。假设大多数用户都正常输入，只有极少数是恶意或是无意造成了SQL注入。在这个假设下，所述构建基线的步骤包括：

获取正常业务的http流量数据；

以http请求中的host和cgi作为主键，对此主键下的正常业务的http流量数据进行分析，以head、param以及content进行泛华，统计相关内容，构建基线。例如，大写字符在字符串中所占的比例；空格字符在字符串中所占的比例；特殊字符(“{}”“[]”“＝”“？”“#”“/”等)在字符串中所占的比例；数字与字符的占比；特殊前缀字符在字符串中所占的比例等。关键在于将param以key-value的形式进行细分，统计每个key中的数字、字符、字母的比例，从而构建基线。

构建基线后，所述样本再划分的步骤包括：

获取SQL注入的http流量数据；

计算SQL注入的http流量数据与基线的偏离程度(即距离)，综合考虑精确率和召回率，以F1值作为偏离程度取值的评价标准，将F1值得分最高的偏离程度即为样本划分标准；

根据样本划分标准对输入的正常业务的http流量数据以及SQL注入的http流量数据进行再次选择，选择出标准的白样本并增加黑样本。

如图2所示，所述有监督学习的步骤包括：

在进行样本再划分后，将得到的白样本和黑样本进行多维度特征构造；不同于传统机器学习从单一维度提取特征的方式，在本实施例中，将多个维度，主要为param、head以及content这三个维度进行特征构造。其中，每个维度的特征又包含多个特征子群，从而使分类器能多维度全方位的对训练样本进行训练，提高模型的学习能力。

param是指从http流量数据中的参数，对param进行画像，例如：

(1)param的个数：平均值、最大值、最小值、方差；

(2)param的长度：平均值、最大值、最小值、方差；

(3)以key-value的形式拆分param；

(4)每个key所对应value的特征，例如字母、数字比例，长度等统计特征；

在构建特征的过程中，可以对时间进行滑窗，在不同时间段内构造特征，从而在时间维度上对特征的刻画。

head是http流量数据的头部，虽然从param维度对样本进行了刻画，但是由于SQL注入不一定在param中，所以对正常业务的http流量数据的刻画会不充分。因此，需要刻画http的头部特征，例如：

(1)头部行数：平均值、最大值、最小值、方差；

(2)是否有ptcz；

(3)是否有ua；

(4)ua中字母、数字、字符的比例的统计特征；

(5)head的长度；

(6)head中字母、数字、字符的比例的统计特征；

同样对时间进行滑窗，在不同时间段内构造特征。

content是http流量数据中的内容，也存在被利用的可能性，因此还需要对content的内容进行刻画，例如：

(1)content的个数：平均值、最大值、最小值、方差；

(2)content的长度：平均值、最大值、最小值、方差；

(3)以key-value的形式拆分content；

(4)每个key所对用value的特征，例如字母、数字比例，长度等统计特征；

将完成多维度特征构造后的白样本和黑样本作为训练样本输入分类器中进行有监督训练；进行有监督训练是指在训练分类器参数时可以使用少量有标签的训练样本进行有监督微调，选取出最优分类器；

将待预测样本输入训练好的分类器中得到预测白样本(即正常输入)和预测黑样本(即恶意输入)。

考虑到现实世界中，尤其是安全领域中，黑样本的个数远远低于白样本的情况，本实施例所述有监督学习的步骤还包括：

将预测黑样本作为已知黑样本添加到训练样本中，再将训练样本输入分类器中进行有监督训练，一定程度上弥补恶意外联检测中黑样本远远少于白样本造成的负面影响，使得分类器对黑样本的画像更全面，从而提高预测准确率。

所述分类器可以采用单一分类器(如逻辑回归、随机森林等)、混合分类器(如支持向量机与蚁群算法的整合、决策树与支持向量机的整合等)或聚合分类器(如使用朴素贝叶斯和决策树作为基准弱分类器聚合)等。本发明选择华盛顿大学的陈天奇学者开发的XGboost模型作为本发明所述的分类器。XGBoost模型有以下几个优点：

(1)XGboost模型是梯度提升树的高效系统实现，属于集成分类器，分类效果好，且它的基学习器不仅有决策树，还有线性分类器，可以看做带有L1和L2正则化项的逻辑回归问题。

(2)XGboost模型在代价函数中进行了二阶泰勒展开，同时在代价函数里加入了正则项，用于控制模型的复杂度，正则项里包含了树的叶子节点个数，以及每个叶子节点上输出分数的平方和，降低了模型的方差，使得学习出来的模型更加简单，防止过拟合。

(3)XGboost模型改进了梯度提升树，加入了剪枝，控制了模型的复杂程度，同时它也实现了并行，速度远快于梯度提升树，比较适用于数据较大的应用。

(4)XGboost模型借鉴了随机森林的思想，允许使用列采样，防止过拟合。

基于上述的基于URL基线偏离度分析的SQL注入检测方法，本实施例还提供一种基于URL基线偏离度分析的SQL注入检测装置，包括：

基线构造模块；所述基线构造模块用于执行构建基线的步骤；

样本再划分模块；所述样本再划分模块用于执行样本再划分的步骤；

有监督学习模块，所述有监督学习模块用于执行有监督学习的步骤；其中，在有监督学习的步骤中进行多维度特征构造。

所述基线构造模块、样本再划分模块和有监督学习模块的具体执行过程参数上述的基于URL基线偏离度分析的SQL注入检测方法中相应内容，在此不再赘述。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (7)

1.一种基于URL基线偏离度分析的SQL注入检测方法，其特征在于，包括：

构建基线的步骤；

样本再划分的步骤；

有监督学习的步骤；其中，在有监督学习的步骤中进行多维度特征构造。

2.根据权利要求1所述的基于URL基线偏离度分析的SQL注入检测方法，其特征在于，所述构建基线的步骤包括：

获取正常业务的http流量数据；

以http请求中的host和cgi作为主键，对此主键下的正常业务的http流量数据进行分析，以head、param以及content进行泛华，统计相关内容，构建基线。

3.根据权利要求2所述的基于URL基线偏离度分析的SQL注入检测方法，其特征在于，所述样本再划分的步骤包括：

获取SQL注入的http流量数据；

计算SQL注入的http流量数据与基线的偏离程度，综合考虑精确率和召回率，以F1值作为偏离程度取值的评价标准，将F1值得分最高的偏离程度即为样本划分标准；

根据样本划分标准对输入的正常业务的http流量数据以及SQL注入的http流量数据进行再次选择，选择出标准的白样本并增加黑样本。

4.根据权利要求3所述的基于URL基线偏离度分析的SQL注入检测方法，其特征在于，所述有监督学习的步骤包括：

在进行样本再划分后，将得到的白样本和黑样本进行多维度特征构造；

将完成多维度特征构造后的白样本和黑样本作为训练样本输入分类器中进行有监督训练；

将待预测样本输入训练好的分类器中得到预测白样本和预测黑样本。

5.根据权利要求4所述的基于URL基线偏离度分析的SQL注入检测方法，其特征在于，所述有监督学习的步骤还包括：

将预测黑样本作为已知黑样本添加到训练样本中，再将训练样本输入分类器中进行有监督训练。

6.根据权利要求1所述的基于URL基线偏离度分析的SQL注入检测方法，其特征在于，所述分类器为XGboost模型。

7.一种基于URL基线偏离度分析的SQL注入检测装置，其特征在于，包括：

基线构造模块；所述基线构造模块用于执行构建基线的步骤；

样本再划分模块；所述样本再划分模块用于执行样本再划分的步骤；

有监督学习模块，所述有监督学习模块用于执行有监督学习的步骤；其中，在有监督学习的步骤中进行多维度特征构造。

Images