1.一種基于K-means的SQL注入攻擊檢測方法，其特征在于包括：

訓練階段：對訓練數(shù)據(jù)進行特征提取，對提取后的數(shù)據(jù)進行標準化處理后，刪除孤立點和確定初始中心點后使用K-means算法進行分簇，并對分簇結果進行攻擊標定；

檢測階段：實際檢測，對Web的任意訪問數(shù)據(jù)進行特征提取，經(jīng)過數(shù)據(jù)處理后，劃分到已經(jīng)分好的簇中，再根據(jù)簇的標定來判斷是否為SQL注入攻擊行為。

2.根據(jù)權利要求1所述的基于K-means的SQL注入攻擊檢測方法，其特征在于：所述訓練階段的數(shù)據(jù)特征提取，包括：

（1）SQL注入攻擊從HTTP數(shù)據(jù)包的特征屬性上分三種攻擊方式，分別是Post注入、Get注入和Cookie注入，針對這三種攻擊方式進行數(shù)據(jù)包的處理，需要提取HTTP數(shù)據(jù)包的地址（URI）、數(shù)據(jù)包類型（Method）、數(shù)據(jù)包長度（Content-Length）、瀏覽器特征（User-Agent）、數(shù)據(jù)包Cookie、POST數(shù)據(jù)；

（2）URI的長度，內(nèi)容，字符出現(xiàn)頻率；POST數(shù)據(jù)的內(nèi)容，長度，字符出現(xiàn)頻率均進行量化處理。

3.根據(jù)權利要求1所述的基于K-means的SQL注入攻擊檢測方法，其特征在于：所述提取的數(shù)據(jù)進行標準化處理，是把數(shù)據(jù)集的相同屬性數(shù)據(jù)全部相加求平均值，然后根據(jù)平均值進行標準處理。

4.根據(jù)權利要求1所述的基于K-means的SQL注入攻擊檢測方法，其特征在于：所述刪除孤立點是指計算兩兩數(shù)據(jù)點之間的距離求和，刪除距離之和最大的點，然后迭代刪除距離次大的點直到刪除M個數(shù)據(jù)點。

5.根據(jù)權利要求1所述的基于K-means的SQL注入攻擊檢測方法，其特征在于：所述確定初始中心點具體為：初始中心點選擇主要依靠兩個條件，一是要中心點處于點分布密度較大的中心，二是兩兩中心點之間的距離盡量大。

6.根據(jù)權利要求1所述的基于K-means的SQL注入攻擊檢測方法，其特征在于：所述對分簇結果進行攻擊標定是：根據(jù)中心點是否為SQL注入攻擊來標定這個簇是否為攻擊行為簇。

7.根據(jù)權利要求1所述的基于K-means的SQL注入攻擊檢測方法，其特征在于：所述的劃分到已知簇當中去，再根據(jù)簇的標定來判斷是否為SQL注入攻擊行為具體為：是根據(jù)此數(shù)據(jù)點距離哪一個簇中心最近就歸于哪個簇，然后根據(jù)簇的標定來判斷此數(shù)據(jù)點代表的訪問是否為SQL注入攻擊行為。