本發(fā)明公開(kāi)了基于動(dòng)態(tài)克隆選擇算法的SQL注入攻擊檢測(cè)方法，步驟是提取客戶瀏覽器端提交的SQL語(yǔ)句，把該SQL語(yǔ)句提交給規(guī)則庫(kù)檢測(cè)模塊進(jìn)行“SQLIAs”快速模式匹配；將模式匹配失敗的語(yǔ)句提交給動(dòng)態(tài)檢測(cè)模塊進(jìn)行更深層次的檢測(cè)，在動(dòng)態(tài)檢測(cè)模塊運(yùn)行之前引入局部離群因子作為適應(yīng)度函數(shù)來(lái)優(yōu)化檢測(cè)器之間的距離，構(gòu)造高效檢測(cè)器識(shí)別正常數(shù)據(jù)和異常數(shù)據(jù)；運(yùn)行動(dòng)態(tài)檢測(cè)模塊進(jìn)行檢測(cè)；調(diào)用克隆選擇算法進(jìn)行學(xué)習(xí)識(shí)別；根據(jù)檢測(cè)結(jié)果更新系統(tǒng)模塊。解決現(xiàn)有WAF檢測(cè)性能下降以及無(wú)法識(shí)別未知特征和各種變形攻擊的問(wèn)題。

技術(shù)領(lǐng)域

本發(fā)明屬于網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，特別是涉及一種基于動(dòng)態(tài)克隆選擇算法的SQL注入攻擊檢測(cè)方法。

背景技術(shù)

Web安全是信息安全領(lǐng)域的研究熱點(diǎn)之一，SQL注入攻擊(簡(jiǎn)稱(chēng)SQLIAs，SQLinjection attacks)是一種Web應(yīng)用攻擊，這種攻擊的危害程度在近10年的十大最關(guān)鍵Web應(yīng)用安全風(fēng)險(xiǎn)中一直高居前三位。

目前防護(hù)SQLIAs的主要方法是架設(shè)Web應(yīng)用防火墻(Web Application Firewall，簡(jiǎn)稱(chēng)WAF)，WAF是基于異常規(guī)則庫(kù)的檢測(cè)機(jī)制，隨著各種變種攻擊的不斷增加，其規(guī)則庫(kù)會(huì)越來(lái)越龐大，導(dǎo)致其檢測(cè)性能下降，而且更為嚴(yán)重的是它無(wú)法識(shí)別未知特征和各種變形攻擊。基于此，有必要發(fā)明一種全新的動(dòng)態(tài)SQL注入攻擊檢測(cè)方法，以解決現(xiàn)有方法存在的上述問(wèn)題。

發(fā)明內(nèi)容

本發(fā)明的目的在于提供一種基于動(dòng)態(tài)克隆選擇算法的SQL注入攻擊檢測(cè)方法，解決現(xiàn)有WAF檢測(cè)性能下降以及無(wú)法識(shí)別未知特征和各種變形攻擊的問(wèn)題。

本發(fā)明所采用的技術(shù)方案是，基于動(dòng)態(tài)克隆選擇算法的SQL注入攻擊檢測(cè)方法，按照以下步驟進(jìn)行：

步驟S1：提取客戶瀏覽器端提交的SQL語(yǔ)句，把該SQL語(yǔ)句提交給規(guī)則庫(kù)檢測(cè)模塊進(jìn)行“SQLIAs”快速模式匹配，如果匹配成功，表明該語(yǔ)句包含注入攻擊代碼，系統(tǒng)終止用戶提交的請(qǐng)求；

步驟S2：將模式匹配失敗的語(yǔ)句提交給動(dòng)態(tài)檢測(cè)模塊進(jìn)行更深層次的檢測(cè)，在動(dòng)態(tài)檢測(cè)模塊運(yùn)行之前引入局部離群因子作為適應(yīng)度函數(shù)來(lái)優(yōu)化檢測(cè)器之間的距離，從而構(gòu)造高效的檢測(cè)器來(lái)識(shí)別正常數(shù)據(jù)和異常數(shù)據(jù)；

步驟S3：運(yùn)行動(dòng)態(tài)檢測(cè)模塊進(jìn)行檢測(cè)；

步驟S4：調(diào)用克隆選擇算法進(jìn)行學(xué)習(xí)識(shí)別；

步驟S5：根據(jù)檢測(cè)結(jié)果更新系統(tǒng)模塊。

進(jìn)一步的，所述步驟S1中，規(guī)則庫(kù)檢測(cè)模塊的快速模式匹配方法具體步驟如下：

步驟S11：將空格分割后的SQL查詢語(yǔ)句以滑動(dòng)窗口的形式和規(guī)則庫(kù)中異常SQL查詢語(yǔ)句逐條進(jìn)行比對(duì)，當(dāng)查詢語(yǔ)句中第1個(gè)單詞的內(nèi)容和規(guī)則庫(kù)中的某個(gè)位置的單詞內(nèi)容相等時(shí)，計(jì)算該位置之后子串的長(zhǎng)度，若該字串的長(zhǎng)度和查詢語(yǔ)句的長(zhǎng)度不等，模式匹配失敗，表明該SQL語(yǔ)句可能是正常數(shù)據(jù)，也可能是未知的異常數(shù)據(jù)，需要?jiǎng)討B(tài)檢測(cè)模塊進(jìn)行更深入的檢測(cè)；

步驟S12：若該字串的長(zhǎng)度和查詢語(yǔ)句的長(zhǎng)度相等，且相似度高，表明該查詢語(yǔ)句和規(guī)則庫(kù)檢測(cè)模塊中的這條數(shù)據(jù)屬于同一異常數(shù)據(jù)樣本，模式匹配成功，系統(tǒng)拒絕SQL查詢，其中相似度的計(jì)算公式如下：

其中：U是待檢測(cè)的SQL查詢語(yǔ)句，S[i]表示規(guī)則庫(kù)模塊列表中第i個(gè)異常數(shù)據(jù)模式，Match_num(U,S)是U和S中對(duì)應(yīng)位置單詞相等的個(gè)數(shù)，待檢測(cè)的SQL查詢語(yǔ)句的長(zhǎng)度用length(Q)來(lái)表示，當(dāng)Similarity的值大于0.88時(shí)，認(rèn)為相似度高。

進(jìn)一步的，所述步驟S2中構(gòu)造高效的檢測(cè)器的步驟如下：

步驟S21：隨機(jī)生成一批SQL查詢語(yǔ)句作為候選檢測(cè)器，在該候選檢測(cè)器中選取一條查詢語(yǔ)句作為候選抗體x；