[发明专利]基于HMM模型的SQL注入攻击检测方法

权利要求书

1.一种基于HMM模型的SQL注入攻击检测方法，其特征在于，包括：

步骤一、对SQL语句进行解析，包括词法、语法分析，得到SQL的语法树，然后遍历SQL语法树进行裁剪，使之变为规范语法树，得到SQL语句的主干结构；

步骤二、接着对SQL规范语法树进行特征提取，并对特征向量进行范化，最后对SQL语句进行分词，分词后统计每个词的频率，根据需要选择全部或者部分词作为哈希表键值，并依次对该哈希表进行编号，从而得到该哈希表对字符串的编码；

步骤三、将处理好的SQL语句输入到HMM模型中进行训练，学习SQL语法规则，HMM模型训练后得出一个阈值，等待新的用户输入新的SQL语句时，将用户输入的新数据放入HMM模型中并对其计算相似度打出分值，用打出的分值和训练的阈值进行比对，如果分值小于阈值则证明用户输入的是合法SQL语句；如果分值大于阈值则说明用户输入的是非法SQL语句，判定为SQL注入攻击。

2.根据权利要求1所述的基于HMM模型的SQL注入攻击检测方法，其特征在于，所述步骤二具体如下：

根据规范语法树提取模式特征，令f(k)为第k条SQL语句的特征向量：

f(k)＝{f_k1,f_k2,…,f_KL}(1＝k＝K)

其中，K为SQL注入攻击的训练样本总数，L为提取的特征个数，f_k1为第k条SQL语句的第l个特征向量，根据分词原则，对以上特征进行范化：

S(k)＝{s_k1,s_k2,…,s_kL}

其中，S_k1为第k条SQL语句的特征向量的第l个向量对应的范化符号；

利用HASH算法对s(k)进行HASH计算，即

H(k)＝HASH(s(k))

其中，H(k)为第k条SQL语句的序列化词集编码。

3.根据权利要求2所述的基于HMM模型的SQL注入攻击检测方法，其特征在于，所述步骤三具体包括以下步骤：

(1)设所有可能的状态集合为Q，Q＝{q₁,q₂,…,q_N}，其中，N是可能的状态数，t时刻的状态值为q_t；

(2)设所有可能的观测的集合为V，V＝{v₁,v₂,…,v_M}，其中，M是可能的观测数,t时刻的观测值为v_t；令I是长度为T的状态序列，I＝{i₁,i₂,…,i_T}，则对应的观测序列为O＝{o₁,o₂,…,o_T}；

(3)设初始状态概率向量为π,π＝(π_i)，其中，π_i＝P(i₁＝q_i),i＝1,2,…,N，π_i是时刻t＝1处于状态q_i的概率；

(4)设状态转移概率矩阵为A,A＝[a_ij]_N×N，其中，a_ij＝P(i_t+1＝q_j|i_t＝q_i),i＝1,2,…,N；j＝1,2,…,N，a_ij是在时刻t处于状态q_i的条件下在时刻t+1转移到状态q_j的概率；

(5)设观测概率转移矩阵为B,B＝[b_j(k)]_M×M，其中，b_j(k)＝P(o_t＝v_k|i_t＝q_j),k＝1,2,…,M；j＝1,2,…,N，b_j(k)是在时刻t处于状态q_j的条件下生成观测v_k的概率；

隐马尔可夫模型由初始状态概率向量π、状态转移概率矩阵A和观测概率转移矩阵B决定，π和A决定了隐藏的马尔可夫链，B决定了如何从状态生成观测，因此隐马尔可夫模型λ可以用三元符号表示，即λ＝(A,B,π)；

将H(k)作为输入，输入到HMM模型中即可计算出预测概率和阈值Y和分值S；如果SY则证明输入是正常的，如果SY则证明输入是异常的，即可检测出SQL注入攻击。

4.根据权利要求3所述的基于HMM模型的SQL注入攻击检测方法，其特征在于，还包括以下步骤：

根据观测集合V，V＝{v₁,v₂,…,v_M}，自动化更新阈值，随着HMM模型不断的学习和数据量的增加，HMM模型可以不断学习新的阈值，从而使比对结果更加精确。