[发明专利]基于动态克隆选择算法的SQL注入攻击检测方法

摘要

本发明公开了基于动态克隆选择算法的SQL注入攻击检测方法，步骤是提取客户浏览器端提交的SQL语句，把该SQL语句提交给规则库检测模块进行“SQLIAs”快速模式匹配；将模式匹配失败的语句提交给动态检测模块进行更深层次的检测，在动态检测模块运行之前引入局部离群因子作为适应度函数来优化检测器之间的距离，构造高效检测器识别正常数据和异常数据；运行动态检测模块进行检测；调用克隆选择算法进行学习识别；根据检测结果更新系统模块。解决现有WAF检测性能下降以及无法识别未知特征和各种变形攻击的问题。

主权项

1.基于动态克隆选择算法的SQL注入攻击检测方法，其特征在于，按照以下步骤进行：步骤S1：提取客户浏览器端提交的SQL语句，把该SQL语句提交给规则库检测模块进行“SQLIAs”快速模式匹配，如果匹配成功，表明该语句包含注入攻击代码，系统终止用户提交的请求；步骤S2：将模式匹配失败的语句提交给动态检测模块进行更深层次的检测，在动态检测模块运行之前引入局部离群因子作为适应度函数来优化检测器之间的距离，从而构造高效检测器来识别正常数据和异常数据；步骤S3：运行动态检测模块进行检测，具体过程如下：将检测细胞初始化为记忆检测抗体集合S_m，然后读取从规则库检测模块中提交过来的可疑数据；如果记忆检测抗体集合S_m中的某个抗体的亲和力大于预设的阈值ε，说明该抗体识别数据抗原，这表明该数据是已知的异常数据，然后将该异常数据交给克隆选择算法学习识别；选取加权欧几里得距离来表示亲和力，加权欧几里得距离越小，表明亲和力越高，抗体和抗原之间越“匹配”；加权欧几里得距离见公式(6)，其中抗体的坐标用<λ₁A₁,λ₂A₂,…,λ_iA_i>表示，抗原的坐标用<λ₁g₁,λ₂g₂,…,λ_ig_i>表示；如果记忆检测抗体集合S_m中的所有抗体都不能识别该数据且该数据和所有检测抗体的亲和力都小于预设的阈值ε，说明该数据是正常数据，直接提交给数据库服务器执行；如果记忆检测抗体集合S_m中的所有抗体都不能识别该数据且该数据和检测抗体中的某个抗体的亲和力大于预设的阈值ε，说明该数据是异常数据，然后采用步骤S4的调用克隆选择算法学习识别；步骤S4：调用克隆选择算法进行学习识别，具体过程如下：根据公式(6)计算抗体集中所有抗体和待检测数据之间的亲和力；选择和该异常数据的亲和力大于α的n个抗体进行克隆，假定克隆的总规模数为N_c，则抗体a_i的克隆数量为式中总克隆规模N_c>n，Int(.)为上取整函数，抗体a_i的克隆数量q_i和抗原亲和力f(a_i)成正比；对克隆后的抗体进行变异操作；克隆后的抗体根据公式(8)对n个抗体进行变异：式中是初始变异概率；为抗体a_i的变异概率，f(a_i)是抗体a_i的亲和力，抗体a_i的变异概率能够动态调节，且和亲和力f(a_i)成反比；随机产生若干个抗体，利用步骤S2构造高效检测器进行自体耐受处理，并将通过自体耐受处理后的抗体和克隆、变异后的抗体共同加入到记忆检测抗体集合S_m中，从而实现免疫算法的二次应答；步骤S5：根据检测结果更新系统模块：将检测出的异常数据直接丢弃，并给出系统异常警告提示，同时为了保持规则库的更新，将异常数据的样本添加到规则库匹配测模块列表中，便于系统下次识别该异常数据。