[发明专利]基于HMM模型的SQL注入攻击检测方法

说明书

本发明公开了一种基于HMM模型的SQL注入攻击检测方法，包括：对SQL语句进行解析，然后遍历SQL语法树进行裁剪，使之变为规范语法树；接着对SQL规范语法树进行特征提取，并对特征向量进行范化，最后对SQL语句进行分词，统计每个词的频率，选择全部或者部分词作为哈希表键值，并依次对该哈希表进行编号，从而得到该哈希表对字符串的编码；将SQL语句输入到HMM模型中进行训练，学习SQL语法规则，HMM模型训练后得出一个阈值，等待新的用户输入新的SQL语句时，将用户输入的新数据放入HMM模型中并对其计算相似度打出分值，用打出的分值和训练的阈值进行比对即可判断结果。本发明提高了SQL注入攻击检测的准确率。

技术领域

本发明涉及Web安全技术领域，特别是一种基于HMM模型的SQL注入攻击检测方法。

背景技术

SQL注入攻击是一种常用的Web攻击手段，其通常是以网站数据库为目标，利用Web应用程序对特殊字符串不完全过滤的缺陷，通过精心构造字符串达到非法访问网站数据库获取机密或者在网站数据库执行命令的目的。SQL注入攻击和正常用户的访问都是一样利用HTTP协议进行访问的，普通的防火墙无法对其进行拦截，攻击发生时网络流量和用户行为都没有明显的变化，攻击不易察觉，所以如何有效的进行SQL注入攻击的检测是很有必要的。已有的常用手段是采用正则匹配的传统方式根据关键字来识别SQL注入攻击。流程通常是将表单提交的信息同语法规则库进行匹配，从而根据SQL语法识别出SQL注入攻击。这种传统的方式匹配识别的精准度往往取决于语法库涵盖的范围，且无法解决未知问题，识别率低，不够智能，频繁的更新规则库也给系统的维护带来了诸多不便。

发明内容

为解决现有技术中存在的问题，本发明的目的是提供一种基于HMM模型的SQL注入攻击检测方法，本发明采用HMM隐马尔可夫模型检测SQL注入攻击，有效检测出SQL注入攻击，保证Web安全。

为实现上述目的，本发明采用的技术方案是：一种基于HMM模型的SQL注入攻击检测方法，包括：

步骤一、对SQL语句进行解析，包括词法、语法分析，得到SQL的语法树，然后遍历SQL语法树进行裁剪，使之变为规范语法树，得到SQL语句的主干结构；

步骤二、接着对SQL规范语法树进行特征提取，并对特征向量进行范化，最后对SQL语句进行分词，分词后统计每个词的频率，根据需要选择全部或者部分词作为哈希表键值，并依次对该哈希表进行编号，从而得到该哈希表对字符串的编码；

步骤三、将处理好的SQL语句输入到HMM模型中进行训练，学习SQL语法规则，HMM模型训练后得出一个阈值，等待新的用户输入新的SQL语句时，将用户输入的新数据放入HMM模型中并对其计算相似度打出分值，用打出的分值和训练的阈值进行比对，如果分值小于阈值则证明用户输入的是合法SQL语句；如果分值大于阈值则说明用户输入的是非法SQL语句，判定为SQL注入攻击。

作为一种优选的实施方式，所述步骤二具体如下：

根据规范语法树提取模式特征，令f(k)为第k条SQL语句的特征向量：

f(k)＝{f_k1,f_k2,…,f_KL}(1＝k＝K)

其中，K为SQL注入攻击的训练样本总数，L为提取的特征个数，f_k1为第k条SQL语句的第l个特征向量，根据分词原则，对以上特征进行范化：

S(k)＝{s_k1,s_k2,…,s_kL}

其中，S_k1为第k条SQL语句的特征向量的第l个向量对应的范化符号；

利用HASH算法对s(k)进行HASH计算，即

H(k)＝HASH(s(k))