[发明专利]一种基于用户行为可信分析的SQL注入检测方法

权利要求书

1.一种基于用户行为可信分析的SQL注入检测方法，其特征在于，包括以下步骤：

a.采集用户正常访问以及SQL注入攻击时的用户行为样本数据；

b.对所述用户行为样本数据进行统计，生成标识用户行为的特征集，并对特征集中的特征数据进行筛选，获得筛选后的特征集；

c.基于筛选后的特征集进行训练，获得行为检测模型；

d.采集用户实时数据并处理，作为行为检测模型的输入，利用所述行为检测模型判断用户的当前行为是否可信。

2.如权利要求1所述的一种基于用户行为可信分析的SQL注入检测方法，其特征在于，

步骤a中，通过收集Web应用的调用日志、用户访问日志以及网络日志等数据来采集用户正常访问时和SQL注入攻击时的用户行为样本数据集。

3.如权利要求1所述的一种基于用户行为可信分析的SQL注入检测方法，其特征在于，

步骤b具体包括：

b1.使用客户端ip作为唯一标识对每一个用户行为样本数据进行统计，生成标识用户行为的特征数据集S；

b2.利用Relief算法对特征数据集S中的特征进行提取，过滤掉不相关、冗余、没有差异刻画能力的特征，得到最优的特征集T作为筛选后的特征集。

4.如权利要求3所述的一种基于用户行为可信分析的SQL注入检测方法，其特征在于，

步骤b1中，所述进行统计具体包括：统计请求类型，URL长度，URL访问频率，参数类型，参数长度，参数个数，参数是否包含SQL关键字，响应时间耗费时间，服务器处理是否发生异常等信息内容。

5.如权利要求1所述的一种基于用户行为可信分析的SQL注入检测方法，其特征在于，

步骤c中，所述基于筛选后的特征集进行训练，获得行为检测模型，具体包括：使用k-means模型训练分类器，把特征集T中的特征向量矩阵作为输入，利用K-means算法对训练数据进行划分，最后得到划分好的K个聚类和聚类中心，获得能够区分用户正常行为和SQL注入攻击行为的检测模型。

6.如权利要求1-5任意一项所述的一种基于用户行为可信分析的SQL注入检测方法，

其特征在于，步骤d具体包括：

d1.采集用户实时数据；

d2.对采集的用户实时数据进行特征提取，处理成能够表示用户实时行为的特征向量；

d3.将用户实时行为的特征向量输入到训练好的检测模型；

d4.通过检测模型计算得到用户实时行为的特征向量到用户行为模式建模得到的簇距离，将该行为划分到距离最近的簇，从而判断当前行为是普通的用户行为还是SQL注入攻击；

d5.若是普通用户行为，则判定用户行为可信；否则，判定用户行为不可信。