CN111488590A - 一种基于用户行为可信分析的sql注入检测方法 - Google Patents

Abstract

本发明涉及web安全检测，其公开了一种基于用户行为可信分析的SQL注入检测方法，实现实时检测SQL注入攻击，加强安全性，减少误报和漏报率。该方法包括以下步骤：a.采集用户正常访问以及SQL注入攻击时的用户行为样本数据；b.对所述用户行为样本数据进行统计，生成标识用户行为的特征集，并对特征集中的特征数据进行筛选，获得筛选后的特征集；c.基于筛选后的特征集进行训练，获得行为检测模型；d.采集用户实时数据并处理，作为行为检测模型的输入，利用所述行为检测模型判断用户的当前行为是否可信。

Description

一种基于用户行为可信分析的SQL注入检测方法

技术领域

本发明涉及web安全检测，特别涉及一种基于用户行为可信分析的SQL注入检测方法。

背景技术

目前，在众多的Web应用漏洞中，SQL注入漏洞成为了攻击经常会利用的地方，是最古老、最流行、最危险的Web应用程序漏洞之一。攻击者通过SQL注入可以非法获取Web应用中的用户信息，进行盗窃和非法活动，给企业和个人带了巨大的损失。

SQL注入是一种将非法的SQL语句片段添加或***到Web应用的请求参数中的攻击，这些***的SQL语句片段会在Web应用的内部中动态的构造SQL语句，非法的SQL代码片段会导致原来的SQL语句的语法和语义发生改变，最后Web后台应用会将这些改造的非法SQL语句传递给数据库解析并执行。

SQL注入攻击大体可以分为两类：

(1)直接攻击：将攻击代码直接***请求参数中，之后这些参数在动态构造SQL命令时，会被置入SQL命令中加以执行。

(2)间接攻击:将恶意的攻击代码***到字符串中，之后这些带有恶意SQL语句的字符串将会被Web应用保存到数据库的数据表中。当Web应用在需要用到之前存放在数据库中的字符串完成某些功能时，会将存储的字符串从数据库中取出，并置入动态拼接的SQL语句中，通过这样的方式恶意SQL代码将会被执行。

由于SQL语言具有多样性的特点，其语言结构多变，而且SQL语言也支持不同的编码方式，如果Web应用没有对用于构造SQL代码的不可信数据进行验证，那么这些数据就很有可能导致原有SQL语句结构和语义上的变化。如果攻击者发现了这样的漏洞，这就有可能造成：用户信息、敏感数据泄露；攻击者可以获取到数据库***的账户密码、提升普通用户权限、为正常用户授权；更改或删除数据库中的信息。

传统技术中针对SQL注入的主要检测方式包括以下几种：

1、程序分析：

SQLProbe是一种基于程序分析来实现的SQL注入检测***，该检测***通过数据流跟踪技术静态检测Web应用代码，分析确定用户数据输入的路径，得出Web应用程序中可疑的注入点；然后对其进行语法和词法分析建立抽象的SQL语句表示形式，并在Web应用中使用有穷状态机创建并保存合法的查询语句状态模型，在程序动态运行过程中，将生成的SQL语句转化成抽象语法树，并与预先保存的合法模型进行匹配，如果匹配错误，则证明发生攻击，但其检测精确度主要依赖于静态分析过程的准确性和SQL语句抽象模型的正确性。

2、黑盒测试和白盒测试：

黑盒测试是在不知道源代码的情况下，在***实际运行时，通过模拟SQL注入攻击行为特征，根据服务器响应结果来检测该应用***是否存在SQL注入漏洞；白盒测试是在得到Web应用源代码的情况下，检测分析哪些地方有SQL注入漏洞，从源代码中找寻漏洞的具***置。白盒测试检测SQL注入攻击需要获取***的源代码，黑盒测试检测SQL注入攻击，无需在服务器上安装任何程序，不需要获取***的源代码以及了解内部实现形式，但是检测的精确度必须依靠完备的测试用例。

3、静态分析与动态分析：

静态代码分析的一个优点是不需要事先运行被测试的Web应用，而是通过扫描程序的源代码，分析程序的数据流和控制流，查找是否存在已知的漏洞类型模式的代码，从而确定是否存在SQL注入漏洞。动态分析，就是无需对应用程序做任何修整就能达到检测漏洞的目的，通过对输入流和输入验证进行白盒测试的方式来检测应用程序是否存在SQL注入漏洞。

4、模式匹配：

国内外有研究人员将静态模式检测与动态特征过滤相结合提出了一种防御SQL注入攻击的方法，该方法通过自动学习样本集，提取出所有正常合法的SQL语句来构建知识库；然后在运行***的情况下，利用预先构建的模式库，将动态构建的SQL语句与已建立的模式进行匹配，匹配成功则表示为合法SQL语句，失败则判定为非法SQL语句。该方法存在一个缺陷：如果记录的特征模式不够完备，很可能造成较高的漏报率。

5、序列对比：

序列对比是通过对SQL语句结构进行分析来判断是否具有攻击行为。但该方法检测的SQL注入攻击种类有限。

6、代理防火墙：

防火墙代理检测是一种位于Web服务器和后台数据库服务器之间的，用来防止针对Web应用后台Mysql数据库攻击的数据库防火墙技术。代理防火墙监听来自客户端的SQL查询请求并进行分析其合法性。该方法从两个方面实施检测，首先分析并过滤用户输入数据部分；其次对SQL语法结构做出详细分析。这种双重保护方法可以优先保护后台数据库不被常见的攻击形式攻击，但该方法误报和漏报率较高。

7、上下文敏感字符串评价：

基于上下文敏感的字符串评价的检测方法，是根据SQL注入引起攻击的根本原因出发，将攻击来源定义为用户数据输入，将用户输入分为字符串类型和数值类型，如果是字符串类型，检测字符串中是否包含不安全的字符或者字符串，一旦检测到异常则证明可能发生SQL注入攻击。这种方法是软件开发工程师在***开发过程中常用的防御SQL注入攻击的方法，但该检测方法的缺点显而易见，结果的有效性依赖程序员的经验和习惯，而且对于一些复杂的攻击形式往往很难做到完全检测。

综上所述，目前大多数的SQL注入检测方法都还存在一些缺陷，如漏报率和误报率过高、无法动态实时的检测攻击的发生，对于一些复杂的攻击形式往往很难做到完全检测和检测效率低等问题。

发明内容

本发明所要解决的技术问题是：提出一种基于用户行为可信分析的SQL注入检测方法，实现实时检测SQL注入攻击，加强安全性，减少误报和漏报率。

本发明解决上述技术问题采用的技术方案是：

一种基于用户行为可信分析的SQL注入检测方法，包括以下步骤：

a.采集用户正常访问以及SQL注入攻击时的用户行为样本数据；

b.对所述用户行为样本数据进行统计，生成标识用户行为的特征集，并对特征集中的特征数据进行筛选，获得筛选后的特征集；

c.基于筛选后的特征集进行训练，获得行为检测模型；

d.采集用户实时数据并处理，作为行为检测模型的输入，利用所述行为检测模型判断用户的当前行为是否可信。

作为进一步优化，步骤a中，通过收集Web应用的调用日志、用户访问日志以及网络日志等数据来采集用户正常访问时和SQL注入攻击时的用户行为样本数据集。

作为进一步优化，步骤b具体包括：

b1.使用客户端ip作为唯一标识对每一个用户行为样本数据进行统计，生成标识用户行为的特征数据集S；

b2.利用Relief算法对特征数据集S中的特征进行提取，过滤掉不相关、冗余、没有差异刻画能力的特征，得到最优的特征集T作为筛选后的特征集。

作为进一步优化，步骤b1中，所述进行统计具体包括：统计请求类型，URL长度，URL访问频率，参数类型，参数长度，参数个数，参数是否包含SQL关键字，响应时间耗费时间，服务器处理是否发生异常等信息内容。

作为进一步优化，步骤c中，所述基于筛选后的特征集进行训练，获得行为检测模型，具体包括：使用k-means模型训练分类器，把特征集T中的特征向量矩阵作为输入，利用K-means算法对训练数据进行划分，最后得到划分好的K个聚类和聚类中心，获得能够区分用户正常行为和SQL注入攻击行为的检测模型。

作为进一步优化，步骤d具体包括：

d1.采集用户实时数据；

d2.对采集的用户实时数据进行特征提取，处理成能够表示用户实时行为的特征向量；

d3.将用户实时行为的特征向量输入到训练好的检测模型；

d4.通过检测模型计算得到用户实时行为的特征向量到用户行为模式建模得到的簇距离，将该行为划分到距离最近的簇，从而判断当前行为是普通的用户行为还是SQL注入攻击；

d5.若是普通用户行为，则判定用户行为可信；否则，判定用户行为不可信。

本发明的有益效果是：

通过对普通用户行为和SQL注入攻击行为进行样本采集，并针对其差异性进行用户行为特征数据的统计，使用Relief算法选择能够标识用户行为的特征，然后再使用k-means模型训练分类器，有效的区分合法用户的使用行为、攻击者的使用行为，得到行为检测模型，把实时的用户行为的特征向量输入到训练好的模型后，计算得到实时的用户行为的特征向量到用户行为模式建模得到的簇距离，将该行为划分到距离最近的簇，从而判断当前行为是否可信。通过上述建模对实时数据进行可信度检测的方案可以加强安全性，减少误报和漏报率。

附图说明

图1为本发明的基于用户行为可信分析的SQL注入检测方法流程图。

具体实施方式

通常用户在使用Web应用时用户的行为习惯是保持相对稳定，就像人的日常习惯一样。用户在使用Web应用时常常会在某个固定的地点、使用固定的IP、使用固定的使用工具、以固定的频率、相对稳定操作、操作的信息内容相对固定，这些都是用户在使用Web应用的行为习惯，一旦用户的行为发生改变或发生频繁的变动。那么我们可以怀疑这个用户是否是一个合法用户。

我们通过研究发现，攻击者在SQL注入攻击时需要经过寻找注入点、确认注入点、获取数据库数据进行破坏操作这三个阶段。攻击者在这三个阶段需要不停的向Web应用程序发送请求、篡改请求数据、尝试提升用户权限。这些攻击者在攻击时的行为动作也是有迹可寻的。我们大致将攻击者的行为概括为四大类：

(1)攻击者在进行SQL注入攻击时，会篡改请求URL或Form表单中的参数内容，通常会在请求参数和Form表单中***有具有SQL语法和语义的代码片段或一些特殊字符串，如：select、union、from、exists等SQL关键字和函数，由于这些字符串的产生，可能导致最终动态拼接的SQL语句会出现以下几种执行情况：仍然能够正常执行、Web应用程序构造SQL发生错误、数据库执行SQL命令发生错误、SQL命令执行响应结果延迟返回。

(2)攻击者在进行SQL注入攻击时，通常会在非常短的时间内向Web应用发送大量的探测请求来寻找SQL注入漏洞。与此同时，在一段时间内发送给Web应用服务器的网络请求的数量也会高于正常用户发送的请求数量。通过研究发现，Web应用在受到攻击时相同IP、端口、同一用户发送的某一浏览内容的请求URL频率也会发生改变。

(3)攻击者在进行SQL注入攻击时，这个时候一个正常浏览功能的GET请求的URL内容也会发生非常显著的变化。例如：请求URL的长度、参数个数、参数内容都会发生相应的变化。于此同时，Web应用动态拼接SQL语句后，传递给数据库执行的SQL命令的语法和语义结构也会发生改变。

(4)攻击者在进行SQL注入攻击时，会先寻找SQL注入漏洞，然后确认注入，最后收集数据库信息和用户数据。在这个过程中攻击者访问到的数据库中的数据内容、访问的数据位置和正常用户也会有明显的区别、同时攻击者为了提升用户权限、也会使得用户的权限发生改变，会尝试进行违法的操作。攻击者进行SQL注入的行为轨迹有一些明显的特征。

通过分析攻击者使用Web应用程序的行为有助于我们提早发现Web程序是否受攻击，能够尽早的阻止攻击者对Web应用程序进行访问,减少用户和企业造成的损失。

基于上述，本发明提供了一种基于用户行为可信分析的SQL注入检测方法，实现实时检测SQL注入攻击，加强安全性，减少误报和漏报率。如图1所示，该方法具体包括：

1、收集SQL注入攻击时样本和正常访问的样本：

本步骤中，通过收集Web应用的调用日志、用户访问日志、网络日志等数据作为原始数据集。

2、特征选择：

a)使用客户端ip作为唯一标识对样本集的每一个样本进行数据的统计，统计请求类型，URL长度，URL访问频率，参数类型，参数长度，参数个数，参数是否包含SQL关键字，响应时间耗费时间，服务器处理是否发生异常等信息内容，生成标识用户行为的特征集数据S＝{s1,s2,s3…sn}。

b)利用Relief算法选取特征，去掉不相关、冗余、没有差异刻画能力的特征，得到最优的特征集D。

Relief算法基本内容：从训练集D中随机选择一个样本R,然后从和R同类的样本中寻找最近邻样本H，从和R不同类的样本中寻找最近邻样本M。以上过程重复m次，最后得到各特征的权重。权重小于某个阈值的特征将被移除，大于则保留，最后构成新的特征子集。

Relief算法的实现：

输入：样本集S、抽样次数m、特征权重阈值R；

输出：T为输出的特征集；

p为特征数，m为迭代次数，n为样例数；

把S分成S1⁺＝{正例}和S1^-＝{负例}

权重W＝(0,0,…,0)

当抽样次数小于时，执行如下操作：

(1)随机选择一个样例X∈S；

(2)随机选择一个距离X最近邻的一个正例Z⁺∈S⁺；

(3)随机选择一个距离X最近邻的一个负例Z^-∈S^-；

(4)如果X是一个正例那么Near-hit＝Z⁺；Near-miss＝Z^-，否则Near-hit＝

Z^-；Near-miss＝Z⁺；

(5)计算特征权重值Wi的值：

W_i＝W_i-diff(x_i,near-hit_i)²+diff(x_i,near-miss_i)²

(6)将最后得到的Wi由大小进行排序，移除权重最低的特征，得到特征集T。

3、特征训练，生成行为检测模型：

本步骤中，使用k-means模型训练分类器，把特征集T中的特征向量矩阵作为输入，利用K-means算法处理训练集，对训练数据进行划分，最后得到划分好的K个聚类和聚类中心,得到行为检测模型。

K-means算法实现过程：

输入是样本集D＝{x₁,x₂,…x_m},聚类的簇树k,最大迭代次数N；

输出是簇划分C＝{C₁,C₂,…C_k}；

步骤1：从数据集D中随机选择k个样本作为初始的k个质心向量：{u₁,u₂,…u_k}；

步骤2：对于n＝1,2,...,N；

a)将簇划分C初始化为

b)对于i＝1,2...m,计算样本x_i和各个质心向量u_j(j＝1,2,…k的距离：

将x_i标记最小的为d_ij所对应的类别λ_i。此时更新C_λi＝C_λi∪{x_i}；

c)对于j＝1,2,...,k,对C_j中所有的样本点重新计算新的质心

d)如果所有的k个质心向量都没有发生变化，则转到步骤3；

步骤3：输出簇划分C＝{C₁,C₂,…C_k}。

4、行为检测：

本步骤中，对用户实时数据进行采集，并进行数据处理最终得到能够表示用户实时行为的特征向量。把实时的用户行为的特征向量输入到训练好的模型后，计算得到实时的用户行为的特征向量到用户行为模式建模得到的簇距离，将该行为划分到距离最近的簇，从而判断当前行为是普通的用户行为还是SQL注入攻击，若是普通用户行为，用户行为就可信；否则用户行为不可信。

Claims (6)

1.一种基于用户行为可信分析的SQL注入检测方法，其特征在于，包括以下步骤：

a.采集用户正常访问以及SQL注入攻击时的用户行为样本数据；

b.对所述用户行为样本数据进行统计，生成标识用户行为的特征集，并对特征集中的特征数据进行筛选，获得筛选后的特征集；

c.基于筛选后的特征集进行训练，获得行为检测模型；

d.采集用户实时数据并处理，作为行为检测模型的输入，利用所述行为检测模型判断用户的当前行为是否可信。

2.如权利要求1所述的一种基于用户行为可信分析的SQL注入检测方法，其特征在于，

步骤a中，通过收集Web应用的调用日志、用户访问日志以及网络日志等数据来采集用户正常访问时和SQL注入攻击时的用户行为样本数据集。

3.如权利要求1所述的一种基于用户行为可信分析的SQL注入检测方法，其特征在于，

步骤b具体包括：

b1.使用客户端ip作为唯一标识对每一个用户行为样本数据进行统计，生成标识用户行为的特征数据集S；

b2.利用Relief算法对特征数据集S中的特征进行提取，过滤掉不相关、冗余、没有差异刻画能力的特征，得到最优的特征集T作为筛选后的特征集。

4.如权利要求3所述的一种基于用户行为可信分析的SQL注入检测方法，其特征在于，

步骤b1中，所述进行统计具体包括：统计请求类型，URL长度，URL访问频率，参数类型，参数长度，参数个数，参数是否包含SQL关键字，响应时间耗费时间，服务器处理是否发生异常等信息内容。

5.如权利要求1所述的一种基于用户行为可信分析的SQL注入检测方法，其特征在于，

步骤c中，所述基于筛选后的特征集进行训练，获得行为检测模型，具体包括：使用k-means模型训练分类器，把特征集T中的特征向量矩阵作为输入，利用K-means算法对训练数据进行划分，最后得到划分好的K个聚类和聚类中心，获得能够区分用户正常行为和SQL注入攻击行为的检测模型。

6.如权利要求1-5任意一项所述的一种基于用户行为可信分析的SQL注入检测方法，

其特征在于，步骤d具体包括：

d1.采集用户实时数据；

d2.对采集的用户实时数据进行特征提取，处理成能够表示用户实时行为的特征向量；

d3.将用户实时行为的特征向量输入到训练好的检测模型；

d4.通过检测模型计算得到用户实时行为的特征向量到用户行为模式建模得到的簇距离，将该行为划分到距离最近的簇，从而判断当前行为是普通的用户行为还是SQL注入攻击；

d5.若是普通用户行为，则判定用户行为可信；否则，判定用户行为不可信。

Images