SQL注入行為實時在線智能檢測技術(shù)研究

李銘 邢光升 王芝輝 王曉東

摘? ?要：為了解決傳統(tǒng)手段在實時高速網(wǎng)絡(luò)流量環(huán)境下SQL注入行為檢測準確度和效率之間無法達到較好平衡的問題，提出一種基于深度學(xué)習(xí)模型的SQL注入行為實時在線檢測的方法，構(gòu)建了以卷積神經(jīng)網(wǎng)絡(luò)為基礎(chǔ)并引入快速傅里葉變換層的復(fù)合檢測網(wǎng)絡(luò)模型SQLNN，并以此模型為基礎(chǔ)提出SQL注入行為在線檢測與自適應(yīng)訓(xùn)練框架. 該框架對于SQL注入語句的檢測正確率達到了99.98%，每秒可完成對一萬條左右含有SQL語句的數(shù)據(jù)包的檢測，滿足了SQL注入攻擊的實時在線檢測對檢測準確度和效率的要求.

關(guān)鍵詞：SQL注入;實時檢測;卷積神經(jīng)網(wǎng)絡(luò);快速傅里葉變換

中圖分類號：TP391? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?文獻標志碼：A? ?文章編號：1674—2974（2020）08—0031—11

Abstract：In order to solve the problem that traditional methods cannot achieve a good balance between the accuracy and efficiency of SQL injection behavior detection in the real-time high-speed network traffic environment， this paper proposes a method for real-time detection method of SQL injection behavior based on deep learning construction model， and constructs a detection network model called SQLNN based on Convolutional Neural Networks （CNN） and introduces a fast Fourier transform layer. Based on this model， an online detection and adaptive training framework? for SQL injection behavior is proposed. For our detection framework， the detection accuracy of the SQL injection statements reaches 99.98%， and it can detect about 10 000 packets containing SQL statements per second. Therefore， it can satisfy the requirements of real-time online detection of SQL injection attacks for detection accuracy and efficiency.

Key words：SQL injection;real-time detection;Convolutional Neural Networks（CNN）;Fast Fourier Transformation（FFT）

隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，各種網(wǎng)絡(luò)攻擊手段層出不窮，SQL注入攻擊作為網(wǎng)絡(luò)安全領(lǐng)域中最常見的攻擊方式已有十多年的歷史，根據(jù)開放 Web 應(yīng)用安全項目組織（Open Web Application Security Project， OWASP）正式發(fā)布的十大 Web 應(yīng)用安全風(fēng)險報告，SQL注入已經(jīng)成為對Web業(yè)務(wù)系統(tǒng)威脅最嚴重的行為之一.攻擊者常常利用網(wǎng)絡(luò)應(yīng)用漏洞，滲透并進一步獲取后臺服務(wù)器控制權(quán)，然后執(zhí)行篡改頁面、竊取數(shù)據(jù)等惡意操作. SQL注入方式主要是通過構(gòu)建惡意的SQL語法組合作為參數(shù)輸入Web應(yīng)用程序，應(yīng)用程序執(zhí)行SQL語句時會同步執(zhí)行惡意操作，進而發(fā)生SQL注入攻擊. 如果應(yīng)用程序代碼執(zhí)行過程中將含有攻擊者輸入的惡意字符串進行存儲或傳遞，也會導(dǎo)致SQL注入的發(fā)生. SQL注入有多種方式，按照構(gòu)造參數(shù)類型劃分主要有Get注入、POST注入、Cookie注入、寬字節(jié)注入、基于時間注入、布爾型注入、報錯型注入、聯(lián)合查詢注入、多語句查詢注入等.雖然注入類型比較多，但是所有的注入類型SQL語句均需遵循相關(guān)語法并且含有特定的關(guān)鍵詞或字符，這就為SQL注入行為檢測提供了基礎(chǔ)條件.

大數(shù)據(jù)時代，網(wǎng)絡(luò)信息呈現(xiàn)井噴式增長，在通信主干網(wǎng)和端到端的實時線路上網(wǎng)絡(luò)數(shù)據(jù)均呈現(xiàn)高速、大流量的特點，對數(shù)據(jù)的實時處理提出更高要求. 對于實時在線網(wǎng)絡(luò)安全檢測設(shè)備來說，必須確保能夠及時發(fā)現(xiàn)安全威脅，盡可能檢測出所有可疑行為，保證后端設(shè)備安全，在此前提下可以適當(dāng)容忍誤檢情況的發(fā)生.這首先決定了安全檢測設(shè)備需采取有效的手段進行流量降速，目前業(yè)界常規(guī)做法是基于特定字符（串）或流量特征對海量數(shù)據(jù)進行高速篩選;其次是安全設(shè)備中的檢測模型不宜太復(fù)雜，同時又要保證檢測的有效性，在保證對可疑行為高檢測率的前提下盡量減少誤檢情況的發(fā)生. 目前通用的實時在線安全檢測設(shè)備大部分是以正則匹配的關(guān)鍵字符串過濾為基礎(chǔ)，該類模型通常部署于基于深度包檢測技術(shù)（Deep Packet Inspection， DPI）的硬件平臺上，可以做到基于批量加載規(guī)則的實時大流量數(shù)據(jù)在線檢測，但是該類設(shè)備誤檢率較高.

近幾年人工智能技術(shù)蓬勃發(fā)展，在圖像處理、語言文本識別等方面以深度學(xué)習(xí)為基礎(chǔ)的相關(guān)處理技術(shù)有著卓有成效的應(yīng)用.網(wǎng)絡(luò)實時流量中的SQL語句具有網(wǎng)絡(luò)數(shù)據(jù)和腳本語言雙重特性，可以借鑒圖像和文本處理中的思路.本文提出一種基于深度學(xué)習(xí)構(gòu)建模型對SQL注入行為進行實時檢測的方法，構(gòu)建了以卷積神經(jīng)網(wǎng)絡(luò)為基礎(chǔ)，引入快速傅里葉變換層的復(fù)合檢測網(wǎng)絡(luò)模型SQLNN，并以此模型為基礎(chǔ)提出基于SQLNN模型的SQL注入行為檢測模型實時在線檢測及迭代訓(xùn)練框架.

本文第一部分梳理了國內(nèi)外SQL注入攻擊行為檢測技術(shù)相關(guān)研究以及其他網(wǎng)絡(luò)腳本或網(wǎng)絡(luò)數(shù)據(jù)檢測技術(shù)的相關(guān)研究;第二部分設(shè)計了SQL注入行為檢測模型實時在線檢測及迭代訓(xùn)練框架，滿足模型實時在線檢測的相關(guān)需求，同時使模型能夠在不影響實時在線運行的前提下實現(xiàn)迭代更新，有效應(yīng)對網(wǎng)絡(luò)鏈路變化或者各類SQL腳本協(xié)議更新后帶來的數(shù)據(jù)類型和特征的變化;第三部分介紹了相關(guān)訓(xùn)練測試數(shù)據(jù)集的來源、特點和數(shù)據(jù)預(yù)處理過程;第四部分詳細介紹SQLNN模型設(shè)計有關(guān)內(nèi)容;第五部分對SQLNN模型與其他模型的實驗對比測試的內(nèi)容和方法進行闡述，并對實驗結(jié)果進行梳理總結(jié).

1? ?相關(guān)研究

針對SQL注入攻擊檢測和防范，國內(nèi)外均有大量研究. 王丹等[1]介紹了SQL注入式安全漏洞分類，總結(jié)了漏洞成因，闡述了相關(guān)檢測關(guān)鍵技術(shù). 從研究對象來看，主要是從前后端的相關(guān)應(yīng)用程序源碼和包含SQL注入語句的網(wǎng)絡(luò)數(shù)據(jù)兩個方面開展相關(guān)研究. 對于實時在線檢測來說，更多的是基于數(shù)據(jù)開展研究，因此本文只關(guān)注基于數(shù)據(jù)層面的研究.

1.1? ?傳統(tǒng)檢測方法

在傳統(tǒng)檢測方法上，主要有基于關(guān)鍵字符串構(gòu)建相應(yīng)的特征表達式或者模型，基于SQL語義語法規(guī)則構(gòu)建模型兩種方法對SQL注入行為進行檢測.

基于關(guān)鍵字符串方面， Halfond等[2]通過靜態(tài)分析方法找出程序中可能的注入點，然后針對這些可能的注入點建立合法狀態(tài)模型，使用靜態(tài)分析方法建立合法SQL語句的模型，動態(tài)分析檢測在線執(zhí)行SQL語句是否與建立的靜態(tài)模型一致，但是這種方法只適用于相關(guān)的特征應(yīng)用，類似于建立黑白名單機制，實時在線檢測能力受限. 張卓[3]、方爽[4]均是通過正則表達式對網(wǎng)絡(luò)數(shù)據(jù)內(nèi)容進行驗證，過濾SQL注入攻擊的關(guān)鍵字符串，通過分析SQL注入行為語句構(gòu)造特征，利用正則表達式來分辨SQL注入語句和合法語句，該方法實現(xiàn)相對容易，但誤檢率高，可轉(zhuǎn)化為實時在線檢測模型的前置處理模塊有效降低網(wǎng)絡(luò)流量.

基于SQL語義語法規(guī)則方面，孫義等[5]設(shè)計了一種根據(jù)模式匹配及序列對比SQL注入檢測的新思路，使用 Needleman-Wunsch 算法（用于 RNA 和 DNA 序列分析）檢測和預(yù)防 SQL注入攻擊，通過分析運行過程中含注入命令和正常的命令模式字符串是否能夠完全匹配達到檢測目的，該方法有效降低檢測模型的時空復(fù)雜度，但只適用于具體應(yīng)用中的SQL注入數(shù)據(jù)檢測. 石聰聰?shù)萚6]使用語法樹特征匹配的方法檢測SQL注入，將執(zhí)行Web 應(yīng)用程序功能的所有 SQL 語句通過語法分析生成 SQL 語法解析樹，然后選擇出能夠識別 SQL 注入行為的特征，構(gòu)建知識庫，通過驗證實際執(zhí)行的 SQL 語句和知識庫能否模式匹配成功，進而判斷這條SQL是否存在注入行為. 王杰[7]提出基于抽象語法樹的SQL注入防御方法，使用EBNF范式來描述詞法語法規(guī)則，通過對生成語法樹的規(guī)則進行重寫并去掉對檢測無用節(jié)點，構(gòu)造抽象語法樹，基于抽象語法樹的hash值比對來判斷輸入語句是否存在 SQL 注入行為.上述兩個研究在相關(guān)應(yīng)用中的SQL注入檢測中效果較好，但基于語法樹特征的檢測方式需要研究者花費大量時間構(gòu)建特征模型，且模型只針對特定應(yīng)用類型的SQL語句，在更新模型時花費時間較多，模型效果好壞取決于研究者對相關(guān)知識的理解和模型的設(shè)計能力.

1.2? ?機器學(xué)習(xí)方法

在基于機器學(xué)習(xí)的SQL注入行為檢測方面，國內(nèi)外也有相關(guān)研究，在特征選擇上主要針對原始數(shù)據(jù)特征或數(shù)據(jù)流信息. Joshi等[8]使用貝葉斯算法建造了一個區(qū)分惡意和非惡意分類查詢的分類器，用于訓(xùn)練的數(shù)據(jù)集包含惡意和非惡意的查詢，對正常的SQL語句和惡意的 SQL 語句進行建模識別. 張登峰[9]對原始數(shù)據(jù)從訪問者、被訪問者、Url字段3個方面進行特征構(gòu)建和特征化描述，采取貝葉斯模型和決策樹模型相結(jié)合的集成學(xué)習(xí)方式，提升了機器學(xué)習(xí)模型對SQL注入行為檢測的準確性，實現(xiàn)對大量正常數(shù)據(jù)快速識別的效果. 上述兩種方式均是基于原始數(shù)據(jù)進行特征提取，檢測準確率相對傳統(tǒng)方法有所提高，但是對于實時在線檢測來說仍然不夠. Kim等[10]通過SVM算法對基于數(shù)據(jù)庫日志中內(nèi)部查詢樹提取的特征向量進行建模，對已經(jīng)發(fā)生的SQL注入行為進行檢測，不針對實時在線檢測. 趙宇飛等[11]提出一種名為LFF（Length-Frequency-Feature）的SQL注入行為檢測方法，針對每條HTTP請求檢測其請求長度和連接頻率，然后采用特征串匹配算法，對請求語句進行匹配，經(jīng)投票決策，確定HTTP請求中是否有SQL注入.張志超等[12-13]在研究中均采用多層神經(jīng)網(wǎng)絡(luò)對SQL注入進行檢測，通過選擇能夠識別SQL注入行為的特征合成特征向量，使用多層神經(jīng)網(wǎng)絡(luò)對特征進行訓(xùn)練識別. 上述方法雖然檢測準確率較高，但是由于其特征是基于對象通聯(lián)關(guān)系或數(shù)據(jù)載荷的，在不同網(wǎng)絡(luò)環(huán)境和應(yīng)用中這兩類特征會有變化，因此模型只適用于特定網(wǎng)絡(luò)環(huán)境和某些特定應(yīng)用中.

1.3? ?深度學(xué)習(xí)方法

相對于機器學(xué)習(xí)，深度學(xué)習(xí)神經(jīng)網(wǎng)絡(luò)更有深度，隨著訓(xùn)練數(shù)據(jù)集規(guī)模的增大，能夠從數(shù)據(jù)中直接學(xué)習(xí)到高等級的特征，且不需要人工總結(jié)提取. 目前在網(wǎng)絡(luò)腳本和網(wǎng)絡(luò)數(shù)據(jù)識別處理上已有初步應(yīng)用，盡管在公開的文獻中還沒有基于深度學(xué)習(xí)的SQL注入行為的實時在線檢測方法的研究，但是在Github上已經(jīng)有眾多研究源代碼公開.在網(wǎng)絡(luò)腳本檢測方面，方忠慶[14]提出一種CNN+LSTM模型對跨站腳本攻擊（XSS）進行檢測;傅建明等[15]基于卷積神經(jīng)網(wǎng)絡(luò)的檢測模型對Webshell進行檢測;付壘朋等[16]基于多類特征提取和PNN（概率神經(jīng)網(wǎng)絡(luò)）模型算法，實現(xiàn)對JavaScript惡意腳本的檢測;潘司晨等[17]和陳康等[18]均是利用卷積神經(jīng)網(wǎng)絡(luò)對惡意URL進行識別檢測，兩個研究差別在于數(shù)據(jù)的特征提取處理方法上.在網(wǎng)絡(luò)數(shù)據(jù)識別處理方面，深度學(xué)習(xí)技術(shù)也得到廣泛應(yīng)用，國內(nèi)外研究[19-23]均是利用流量數(shù)據(jù)類圖像性質(zhì)，將原始數(shù)據(jù)輸入，由深度神經(jīng)網(wǎng)絡(luò)完成數(shù)據(jù)表征學(xué)習(xí)從而實現(xiàn)相關(guān)類型數(shù)據(jù)的檢測.上述研究利用深度學(xué)習(xí)技術(shù)構(gòu)建檢測識別模型，均取得很高的準確率.目前在Github開源項目中已經(jīng)出現(xiàn)基于深度學(xué)習(xí)的SQL注入行為識別檢測方面的相關(guān)應(yīng)用和代碼，經(jīng)過代碼閱讀研究，已有的開源研究均是基于構(gòu)建詞向量的方式產(chǎn)生訓(xùn)練數(shù)據(jù)，需要構(gòu)建和訓(xùn)練詞向量模型和檢測模型兩種模型，處理流程較為繁瑣.

針對網(wǎng)絡(luò)腳本和網(wǎng)絡(luò)數(shù)據(jù)識別處理還有一種新興的方法是使用模糊神經(jīng)網(wǎng)絡(luò)，它是神經(jīng)網(wǎng)絡(luò)和模糊邏輯結(jié)合形成的混合智能系統(tǒng)，通過將模糊系統(tǒng)的類人推理方式與神經(jīng)網(wǎng)絡(luò)的學(xué)習(xí)和連接結(jié)構(gòu)相融合來協(xié)同這兩種技術(shù).當(dāng)前已出現(xiàn)許多研究[24-28]將該種神經(jīng)網(wǎng)絡(luò)應(yīng)用于分類、模型識別等SQL注入檢測相關(guān)的問題中，如利模糊神經(jīng)網(wǎng)絡(luò)創(chuàng)建專家系統(tǒng)來檢測SQL注入等，但當(dāng)前該方法尚未成熟.

2? ?基于深度學(xué)習(xí)的SQL注入行為在線檢測

與自適應(yīng)訓(xùn)練框架

在網(wǎng)絡(luò)數(shù)據(jù)腳本識別檢測應(yīng)用上，采用深度學(xué)習(xí)技術(shù)可以在檢測與訓(xùn)練集同特征類型數(shù)據(jù)腳本時取得很高的準確率，但是由于采用深度學(xué)習(xí)訓(xùn)練生成的檢測模型相比于傳統(tǒng)檢測模型結(jié)構(gòu)復(fù)雜，計算量大，如果直接加載于高速實時網(wǎng)絡(luò)鏈路中使用，必然會導(dǎo)致數(shù)據(jù)擁塞，效率低下. 同時由于網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，各類網(wǎng)絡(luò)數(shù)據(jù)腳本協(xié)議也在不斷完善修訂當(dāng)中，再加上不同的網(wǎng)絡(luò)線路中數(shù)據(jù)類型和數(shù)據(jù)載荷也不相同，因此個別線路采集的數(shù)據(jù)也不具有完全代表性，導(dǎo)致訓(xùn)練數(shù)據(jù)集不可能覆蓋相關(guān)腳本數(shù)據(jù)的所有特征類型，可能會造成模型在某些應(yīng)用場景表現(xiàn)的不夠理想，這就需要模型在不同的應(yīng)用場景時可以迭代訓(xùn)練，以更好地適應(yīng)不同場景.為了有效解決模型在高速線路中檢測效率和模型的迭代訓(xùn)練問題，提高模型在線檢測的靈活性和檢測數(shù)據(jù)類型的可擴展性，本文提出一種SQL注入行為在線檢測與自適應(yīng)訓(xùn)練框架，如圖1所示，從流程上可以分為在線檢測流程和自適應(yīng)訓(xùn)練流程.

2.1? ?在線檢測流程

高速深度包檢測類設(shè)備可以輸入任何端到端實時網(wǎng)絡(luò)環(huán)境數(shù)據(jù)流或者核心網(wǎng)高速分接鏈路，該類設(shè)備基于硬件實現(xiàn)相關(guān)功能，通常基于FPGA開發(fā)板和專用網(wǎng)絡(luò)數(shù)據(jù)處理芯片兩種方法，已經(jīng)有較多成熟方案，并且得到廣泛應(yīng)用，性能較好，可實時處理10 Gbps甚至100 Gbps以上的網(wǎng)絡(luò)流量，實時加載檢測規(guī)則幾千條甚至上萬條以上，因此在框架中，關(guān)鍵詞過濾與分流模塊即該類設(shè)備加載的相關(guān)規(guī)則能夠應(yīng)對高速流量環(huán)境并確保所有可疑數(shù)據(jù)進入SQL注入行為檢測模塊，可大幅降低所需后續(xù)SQLNN模型檢測的數(shù)據(jù)量.

在線檢測流程對實時線路數(shù)據(jù)進行檢測，線路數(shù)據(jù)首先經(jīng)過告訴深度包檢測類設(shè)備的關(guān)鍵詞，過濾與分流模塊進行數(shù)據(jù)篩選與流量降速，篩選出的含有SQL關(guān)鍵詞的數(shù)據(jù)流進入數(shù)據(jù)預(yù)處理模塊進行處理后，形成待檢測數(shù)據(jù)進入SQL注入行為檢測模型——SQLNN進行檢測，將檢測判別結(jié)果及數(shù)據(jù)包特征信息（IP五元組信息等）輸出，整個流程如圖2所示.

2.2? ?自適應(yīng)訓(xùn)練流程

SQL注入行為檢測模型SQLNN對預(yù)處理后的實時數(shù)據(jù)進行檢測，所有模型判定為SQL注入行為數(shù)據(jù)進入人工判別生成模塊，通過人工判別正反例并標注，經(jīng)過處理后的人工篩選數(shù)據(jù)經(jīng)過數(shù)據(jù)預(yù)處理模塊后生成訓(xùn)練樣本導(dǎo)入到樣本庫供訓(xùn)練使用，自適應(yīng)訓(xùn)練流程如圖3所示.

自適應(yīng)訓(xùn)練過程是獨立的，不會影響模型在實時線路上的檢測運行，模型在線運行時所檢測出的可疑數(shù)據(jù)可以不斷豐富樣本庫，因此不管鏈路特征如何變化，即使相關(guān)數(shù)據(jù)特征協(xié)議發(fā)生變化時，只要可疑數(shù)據(jù)仍具有SQL基本特性即相關(guān)關(guān)鍵詞不變，經(jīng)過一段時間的自適應(yīng)訓(xùn)練后，樣本庫中的數(shù)據(jù)在當(dāng)前檢測線路中能夠具有較好的代表性，多次迭代訓(xùn)練出的模型可實現(xiàn)較好的檢測效果. 當(dāng)然實現(xiàn)上述目標也要求SQLNN模型必須對相關(guān)關(guān)鍵字符串具有高度敏感性，在遇到非訓(xùn)練集腳本特征數(shù)據(jù)時，有一定的過擬合性，以減少可疑數(shù)據(jù)漏檢率，為人工判別標注提供完善的數(shù)據(jù).

3? ?數(shù)據(jù)預(yù)處理

3.1? ?數(shù)據(jù)來源

本文中的原始啟動訓(xùn)練數(shù)據(jù)集主要來自于Gihtub上基于關(guān)鍵詞“SQL detection”搜索得到開源項目的數(shù)據(jù)樣本以及對常用注入攻擊工具——明小子 4.3、SQLmap1.3.5執(zhí)行注入操作時進行實時抓包分析提取得到的數(shù)據(jù)樣本，同時還有非SQL注入腳本的其他網(wǎng)絡(luò)數(shù)據(jù)樣本，分別將上述兩類樣本稱為SQL樣本和normal樣本，從原始數(shù)據(jù)樣本可以看出SQL樣本有高頻特征詞以及相對應(yīng)的上下文語義環(huán)境. 對SQL樣本進行高頻特征詞統(tǒng)計，總計有腳本95 602條，統(tǒng)計中關(guān)鍵詞不區(qū)分大小寫，統(tǒng)計結(jié)果見表1.

在檢測模型實際線上運行時，為了有效地降低流速，減輕模型計算負載，會提取含有關(guān)鍵字的數(shù)據(jù)包導(dǎo)入模型中進行識別檢測. 為了提高后續(xù)模型訓(xùn)練過程中正負樣本之間的對比性，本文刪除不含關(guān)鍵詞的normal腳本得到normal原始樣本，總計有57 624條.

為了測試模型的泛化檢測能力——即測試模型對于非訓(xùn)練集中數(shù)據(jù)特征的可疑SQL腳本的識別能力，本文另行在網(wǎng)上搜集其他類型的SQL腳本和含有SQL關(guān)鍵詞并具有類似語法結(jié)構(gòu)的網(wǎng)絡(luò)腳本來構(gòu)建泛化測試集，訓(xùn)練集和泛化測試集中SQL腳本和normal腳本示例如表2所示.

3.2? ?特征提取處理

基于已有研究總結(jié)，常見的網(wǎng)絡(luò)腳本特征提取方法主要分為4類：第1類是基于承載網(wǎng)絡(luò)腳本的數(shù)據(jù)流相關(guān)特征進行提取分析，例如數(shù)據(jù)對象的通聯(lián)時間、通聯(lián)次數(shù)等;第2類是利用網(wǎng)絡(luò)數(shù)據(jù)的類圖像數(shù)據(jù)特性，直接利用原始數(shù)據(jù)按字節(jié)輸入處理[18-23];第3類是利用網(wǎng)絡(luò)腳本類自然語言的特性，基于腳本分詞并轉(zhuǎn)換詞向量，方法主要有one-hot編碼（或類似方法）[17]、Word2Vec[14]等;第4類是混合利用前兩類方法提取混合特征進行處理.綜合來看，第一類方法需對網(wǎng)絡(luò)實時數(shù)據(jù)進行一段積累才能進行特征提取分析，在端到端的復(fù)雜網(wǎng)絡(luò)環(huán)境下數(shù)據(jù)實體來源較多，數(shù)據(jù)鏈路容易發(fā)生變化，對特征提取時間窗口的設(shè)置提出較高要求，同時也考驗研究者對于原始數(shù)據(jù)和相關(guān)數(shù)據(jù)腳本的解讀能力. 第3類方法基于數(shù)據(jù)（詞向量）特征進行分析檢測，雖然在相關(guān)研究[14]中可達到極高的準確率，但是在分詞和詞向量轉(zhuǎn)換時數(shù)據(jù)會成倍地膨脹，在流量較大的網(wǎng)絡(luò)中會對模型的計算能力和實時檢測能力提出挑戰(zhàn)，同時該類方法在更新迭代時需要重新進行分詞，構(gòu)建模型訓(xùn)練詞向量環(huán)節(jié)較多，更新任務(wù)量大.本文特征提取方式主要是基于原始數(shù)據(jù)的字符編碼作為輸入特征，同時針對腳本中的相關(guān)特性在特征轉(zhuǎn)換前需對腳本進行URL編碼轉(zhuǎn)換、數(shù)字去重替換、腳本去重、長度統(tǒng)一化等操作，同時在模型構(gòu)建時增加的FFT層可對數(shù)據(jù)特征深度轉(zhuǎn)換處理，在實驗測試中能夠看出本文的特征提取方式和詞向量特征提取方式下模型測試結(jié)果的差異.

此外，在實時線路中，當(dāng)前最常用的方法有兩種，第一種是關(guān)鍵詞匹配過濾，該方法的缺點是正確率比較低. 第二種方法則是利用正則函數(shù)加流量分析，該方法雖然正確率比關(guān)鍵詞匹配過濾方法高很多，但是只能針對特定的注入攻擊類型檢測，不具有廣泛代表檢測能力. 本文所提的SQLNN模型檢測正確率較高，對于各種注入攻擊類型的腳本都可以檢測，因此優(yōu)于其他方法.

5.2? ?實時性效果檢測

以10 Gbps的大流量線路為例，峰值情況下每秒大約有2 000 000個數(shù)據(jù)包. 對于線路上的數(shù)據(jù)包，并不全包含有SQL語句，因此首先需要篩選出含有SQL語句的數(shù)據(jù)包.

對于數(shù)據(jù)包的篩選，包含如下兩步：

第一步是通過網(wǎng)絡(luò)協(xié)議進行篩選，對于包含SQL語句的腳本，所使用的協(xié)議均為TCP協(xié)議.本文利用兩條10 Gbps線速環(huán)境的線路進行實驗，利用網(wǎng)絡(luò)協(xié)議進行篩選后，兩條線路每秒鐘所包含的TCP數(shù)據(jù)包數(shù)量約為10 000條.

第二步則是利用關(guān)鍵詞對第一步的篩選結(jié)果進行進一步的篩選，篩選出包含有SQL關(guān)鍵詞的數(shù)據(jù)，作為需要SQLNN模型檢測的數(shù)據(jù).

經(jīng)過上述兩步，兩條線路中所包含的關(guān)鍵詞命中包分別為100條左右與30條左右.利用高速深度包檢測類設(shè)備完成上述操作所需的時間為秒級.完成數(shù)據(jù)篩選后，對于實時線路中被檢測的數(shù)據(jù)僅包含URL轉(zhuǎn)換和長度統(tǒng)一化兩個操作，且需要處理的數(shù)據(jù)的數(shù)量級在102級，因此對數(shù)據(jù)的篩選和處理所需的時間為秒級，利用SQLNN模型對102級數(shù)據(jù)進行檢測所需的時間可以忽略不計，因此本文提出的檢測框架完全可以達到實時檢測的效果，在效率上滿足檢測要求.

6? ?結(jié)? ?論

本文提出一種基于深度學(xué)習(xí)的SQL注入行為在線實時檢測方法，構(gòu)建了檢測模型SQLNN，該模型引入FFT層豐富輸入數(shù)據(jù)表達特征，在測試集上可以達到與基于Word2Vec詞向量轉(zhuǎn)換特征表達方法相當(dāng)?shù)母邷蚀_率，在泛化測試集上召回率有明顯優(yōu)勢，可以有效減少在面臨新SQL注入形式時漏檢情況發(fā)生. 同時本文以SQLNN模型為基礎(chǔ)提出SQL注入行為在線檢測與自適應(yīng)訓(xùn)練框架，滿足SQL注入攻擊實時在線檢測對檢測準確度和效率的要求，并可實現(xiàn)模型的迭代演進，該框架對其他網(wǎng)絡(luò)腳本類數(shù)據(jù)檢測模型的訓(xùn)練及在線運行也有一定的參考價值.未來將進一步優(yōu)化模型結(jié)構(gòu)，使模型能夠在泛化測試集上有更好的表現(xiàn)，并逐步擴展到其他網(wǎng)絡(luò)腳本類攻擊行為檢測，同時基于檢測結(jié)果加入后續(xù)數(shù)據(jù)流量特征分析以進一步分析可疑行為.

參考文獻

[1]? ? 王丹，趙文兵，丁治明. Web 應(yīng)用常見注入式安全漏洞檢測關(guān)鍵技術(shù)綜述[J].北京工業(yè)大學(xué)學(xué)報，2016，42（12）：1822—1832.? ? ? ? ? ? ? ? ? WANG D，ZHAO W B，DING Z M. Review of detection for injection vulnerability of web applications [J]. Journal of Beijing University of Technology，2016，42（12）：1822—1832. （In Chinese）

[2]? ? HALFOND W G J，ORSO A. AMNESIA： analysis and monitoring for neutralizing SQL-injection attacks[C]//The Proceedings of the 20th IEEE/ACM International Conference on Automated Software Engineering. Long beach，California： ACM，2005：174—183.

[3]? ? 張卓. SQL注入攻擊技術(shù)及防范措施研究[D]. 上海：上海交通大學(xué)信息安全工程學(xué)院，2007：52—64.

ZHANG Z. SQL injection attack techniques and countermeasures analysis [D].Shanghai： School of Information Security Engineering，Shanghai Jiaotong University，2007：52—64. （In Chinese）

[4]? ? 方爽. 基于特征匹配的WEB應(yīng)用防火墻的研究與實現(xiàn)[D] .合肥：安徽大學(xué)計算機科學(xué)與技術(shù)學(xué)院，2014：36—47.

FANG S. Research and implementation of web application firewall based on feature matching [D]. Hefei： School of Computer Science and Technology，Anhui University，2014：36—47. （In Chinese）

[5]? ? 孫義，胡雨霽，黃皓. 基于序列比對的SQL注入攻擊檢測方法[J]. 計算機應(yīng)用研究，2010，27（9）：3525—3528.

SUN Y，HU Y J，HUANG H. SQL injection attack detection method based on sequence alignment [J].Computer Application Research，2010，27（9）：3525—3528. （In Chinese）

[6]? ? 石聰聰，張濤，余勇. 基于語法樹特征匹配的SQL注入防護方法研究與實現(xiàn)[C]//第三屆計算智能與工業(yè)應(yīng)用國際學(xué)術(shù)研討. 武漢：電氣電子工程師協(xié)會，2010：192—196.

SHI C C，ZHANG T，YU Y. Research and Implementation of SQL injection protection method based on syntax tree feature matching [C]//Proceedings of 2010 The 3rd International Conference on Computational Intelligence and Industrial Application. Wuhan： IEEE，2010： 192—196. （In Chinese）

[7]? ? 王杰. 基于抽象語法樹的SQL注入防御研究[D].武漢：武漢郵電科學(xué)研究院，2018：28—40.

WANG J. Research on SQL injection defense based on abstract syntax -tree [D]. Wuhan： Wuhan Institute of Posts and Telecommunications，2018： 28—40. （In Chinese）

[8]? ? JOSHI A，GEETHA V. SQL injection detection using machine learning[C]//2014 International Conference on Control，Instrumentation，Communication and Computational Technologies （ICCICCT）. Tamilnadu，India：IEEE，2014：1111—1115.

[9]? 張登峰. 基于機器學(xué)習(xí)的SQL注入檢測[D].重慶：重慶郵電大學(xué)計算機學(xué)院，2017：31—45.

ZHANG D F. SQL injection detection based on machine learning [D].Chongqing： School of Computer，Chongqing University of Posts and Telecommunications，2017： 31—45. （In Chinese）

[10]? KIM M Y，DONG H L. Data-mining based SQL injection attack detection using internal query trees [J]. Expert Systems with Applications，2014，41（11）：5416—5430.

[11]? 趙宇飛，熊剛，賀龍濤，等. 面向網(wǎng)絡(luò)環(huán)境的SQL注入行為檢測方法[J]. 通信學(xué)報，2016，37（2）：88—97.

ZHAO Y F，XIONG G，HE L T，et al. SQL injection behavior detection method for network environment [J]. Journal of Communications，2016，37（2）：88—97. （In Chinese）

[12]? 張志超. 基于神經(jīng)網(wǎng)絡(luò)的 SQL 注入式攻擊漏洞檢測問題的研究與實現(xiàn)[D] .北京：北京工業(yè)大學(xué)計算機學(xué)院，2016：17—26.

ZHANG Z C. Research and implementation of SQL injection attack vulnerability detection based on neural network [D]. Beijing： School of Computer，Beijing University of Technology，2016： 17—26. （In Chinese）

[13]? 張志超，王丹，趙文兵，等. 一種基于神經(jīng)網(wǎng)絡(luò)的 SQL 注入漏洞的檢測模型[J]. 計算機與現(xiàn)代化，2016（10）：67—71.

ZHANG Z C，WANG D，ZHAO W B，et al. A SQL injection vulnerability detection model based on neural network [J].Computer and Modernization，2016（10）：67—71. （In Chinese）

[14]? 方忠慶. 基于深度學(xué)習(xí)的跨站腳本攻擊檢測研究[D] .長沙：湖南大學(xué)信息科學(xué)與工程學(xué)院，2018：33—43.

FANG Z Q. Research on cross-site scripting attack detection based on deep learning [D]. Changsha： School of Information Science and Engineering，Hunan University，2018：33—43. （In Chinese）

[15]? 傅建明，黎琳，王應(yīng)軍. 基于 CNN 的 Webshell 文件檢測[J]. 鄭州大學(xué)學(xué)報（理學(xué)版），2019，51（2）：1—8.

FU J M，LI L，WANG Y J. Webshell file detection based on CNN [J]. Journal of Zhengzhou University （Science Edition），2019，51（2）：1—8. （In Chinese）

[16]? 付壘朋，張瀚，霍路陽. 基于多類特征的 JavaScript 惡意腳本檢測算法[J]. 模式識別與人工智能，2015，28（12）：1111—1117.

FU L P，ZHANG H，HUO L Y. JavaScript malicious script detection algorithm based on multi-class features [J]. Pattern Recognition and Artificial Intelligence，2015，28（12）：1111—1117. （In Chinese）

[17]? 潘司晨，薛質(zhì)，施勇. 基于卷積神經(jīng)網(wǎng)絡(luò)的惡意URL檢測[J].通信技術(shù)，2018，51（8）：1919—1923.

PAN S C，XUE Z，SHI Y. Malicious URL detection based on convolutional neural network [J]. Communication Technology，2018，51（8）：1919—1923. （In Chinese）

[18]? 陳康，付華崢，向勇. 基于深度學(xué)習(xí)的惡意URL識別[J].計算機系統(tǒng)應(yīng)用，2018，27（6）：27—33.

CHEN K，F(xiàn)U H Z，XIANG Y. Malicious URL recognition based on deep learning [J].Application of Computer Systems，2018，27（6）：27—33. （In Chinese）

[19]? TORRES P，CATANIA C，GARCIA S，et al. An analysis of recurrent neural networks for botnet detection behavior [C]//Biennial Congress of Argentina （ARGENCON）.Buenos Aires，Argentina： IEEE，2016：1—6.

[20]? WANG W Y，ZENG X，YE X，et al. Malware traffic classification using convolutional neural network for representation learning [C]//The 31st International Conference on Information Networking（ICOIN）. Da Nang，Vietnam： IEEE，2017：712—717.

[21]? 馬若龍.基于卷積神經(jīng)網(wǎng)絡(luò)的未知和加密流量識別的研究與實現(xiàn)[D]. 北京：北京郵電大學(xué)網(wǎng)絡(luò)技術(shù)研究院，2017：17—44.

MA R L. Research and implementation of unknown and encrypted traffic recognition based on convolutional neural networks [D]. Beijing：Institute of Network Technology，Beijing University of Posts and Telecommunications，2017：17—44. （In Chinese）

[22]? 張路煜，廖鵬，趙俊峰，等. 基于卷積神經(jīng)網(wǎng)絡(luò)的未知協(xié)議識別方法[J]. 微電子學(xué)與計算機，2018，35（7）：106—108.

ZHANG L Y，LIAO P，ZHAO J F，et al. Unknown protocol recognition method based on convolutional neural network[J]. Microelectronics and Computers，2018，35（7）：106—108. （In Chinese）

[23]? 王偉.基于深度學(xué)習(xí)的網(wǎng)絡(luò)流量分類及異常檢測方法研究[D].合肥：中國科學(xué)技術(shù)大學(xué)信息學(xué)院，2018：45—67.

WANG W. Research on network traffic classification and anomaly detection method based on deep learning [D]. Hefei： School of Information，University of Science and Technology of China，2018：45—67. （In Chinese）

[24]? BATISTAL O，SILVA G A D， VANESSAJO V S，et al. Fuzzy neural networks to create an expert system for detecting attacks by SQL injection [J]. The International Journal of Forensic Computer Science，2018，13（1）：8—21.

[25]? SOUZA P V C. Regularized fuzzy neural networks for pattern classification problems [J]. International Journal of Applied Engineering Research，2018，13（5）： 2985—2991.

[26]? SOUZA P V C，OLIVEIRA P F A. Regularized fuzzy neural networks based on nullneurons for problems of classification of patterns[C]//2018 IEEE Symposium on Computer Applications & Industrial Electronics （ISCAIE）.Penang Island，Malaysia： IEEE，2018： 25—30.

[27]? SOUZA P V C，GUIMARAES A J，ARAJO V S，et al. Fuzzy neural networks based on fuzzy logic neurons regularized by resampling techniques and regularization theory for regression problems[J]. Inteligencia Artificial，2018，21（62）： 114—133.

[28]? MA B H，ZHONG G，CHEN Q N，et al. A fuzzy neural network system for architectural foundation selection [C]//Proceedings of the 2nd International Symposium on Asia Urban Geo Engineering. Springer，Singapore， 2018： 651—664.

[29]? 虞湘賓，董濤. 一種離散小波變換的快速分解和重構(gòu)算法[J]. 東南大學(xué)學(xué)報（自然科學(xué)版），2002，32（4）：564—568.

YU X B，DONG T. A fast decomposition and reconstruction algorithm of discrete wavelet transform [J]. Journal of Southeast University （Natural Science Edition），2002，32（4）：564—568. （In Chinese）

[30]? 王泳，胡包鋼.應(yīng)用統(tǒng)計方法綜合評估核函數(shù)分類能力的研究[J]. 計算機學(xué)報，2008，31（6）：942—952.

WANG Y，HU B G. Study on comprehensive evaluation of kernel function classification ability using statistical methods [J]. Journal of Computer，2008，31（6）：942—952. （In Chinese）