[发明专利]一种基于代理的Web数据库攻击行为检测系统

权利要求书

1.本发明公开了一种基于代理的Web数据库攻击行为检测模型，其特征在于以下步骤：

步骤一：将SQL流量还原所得的请求进行人工标注处理后分别进行隐马尔可夫模型训练和C4.5决策树构建；

步骤二：待两个分类器被训练好后，分别对样本检测SQL注入攻击和恶意频率请求攻击；

步骤三：将经检测为攻击的SQL请求送往备份数据库进行攻击验证，通过备份数据库的返回信息确定该攻击行为是否是一次成功的攻击行为；

步骤四：将成功的攻击行为和未成功的攻击行为分别进行程度不同的告警，网站管理员可根据标记为成功攻击行为的SQL请求来定位网站程序的漏洞点。

2.根据权利要求1所述的基于代理的Web数据库攻击行为检测模型，其特征在于：对还原的SQL语句进行词法分析，提取关键SQL参数，并以表名为单位进行聚合；提出泛化规则将SQL参数进行泛化后，再通过改进的HMM对样本进行训练，以3sigma原则确定攻击行为的阈值，从而实现对SQL注入攻击的检测。

3.根据权利要求1所述的基于代理的Web数据库攻击行为检测模型，其特征在于：通过对事件窗口w内的SQL语句进行分析，提出三个特征SQL请求频率、SQL请求敏感表比例、SQL请求相似度用于区分正常和攻击行为，并以改进的C4.5算法构建决策树，通过排序以最快的速度寻找到连续属性的最佳分裂点。

4.根据权利要求1所述的基于代理的Web数据库攻击行为检测模型，其特征在于：提出利用备份数据库对攻击行为进行验证，备份数据库需要与主数据库定时同步更新；对SQL注入攻击的验证提出数据泄露、SQL报错、响应延时三个响应特征用于检测；对恶意频率请求攻击验证提出利用返回值是否是空来判断。