77、基于文本特征和流量特征的 SQL 注入行为综合检测研究

基于文本特征和流量特征的 SQL 注入行为综合检测研究

1. 引言

随着互联网技术的飞速发展，各种网络攻击手段层出不穷。SQL 注入作为网络安全中最常见的攻击方式之一，已有十多年的历史。攻击者通过精心构造用户输入，利用 Web 应用程序的漏洞，控制后端数据库服务器，进行恶意操作，如篡改网页信息、窃取数据等。

SQL 注入主要分为 GET 注入、POST 注入、Cookie 注入等多种类型。所有 SQL 注入语句都遵循特定规则，在文本和流量方面具有一定特征，这为 SQL 注入检测提供了基础。

利用流量特征检测恶意行为是网络安全常用的基本思路。当攻击发生时，数据流量会出现明显异常，如短时间内同一源 IP 地址向目标 IP 地址发送大量请求。但许多流量特征并非 SQL 注入攻击所独有，因此需要与其他检测方法结合使用。

传统的文本特征检测方法主要有关键字过滤、黑白名单机制、模式匹配以及基于贝叶斯算法的机器学习方法等。这些方法虽然能对实时大流量数据进行在线检测，但误检率较高。

近年来，人工智能技术发展迅速，深度学习技术在图像和文本处理中得到有效应用。SQL 语句具有网络数据和脚本语言的双重特性，可借鉴深度学习技术的处理思路。为提高 SQL 注入检测效果，本文提出一种基于文本特征和流量特征的综合检测框架，在文本特征层面采用基于长短期记忆网络（LSTM）的 SQL - LSTM 模型进行检测，并融合数据流量特征，进一步提升检测效果。

主要贡献如下：
- 提出 SQL 注入行为的综合检测框架，提高检测效果。
- 在文本特征层面使用深度学习技术检测 SQL 注入，构建基于 LSTM 的检测模型 SQL - LSTM。