【技术实现步骤摘要】
注入攻击检测模型生成装置、注入攻击检测装置及方法
本公开涉及安全领域,特别涉及一种注入攻击检测模型生成装置、注入攻击检测装置及方法。
技术介绍
传统的SQL(StructuredQueryLanguage,结构化查询语言)注入检测方式是将用户输入作为注入检测的关键点,对用户输入进行转义、替换、过滤和参数化,以便对用户输入进行特征比对、机器学习等检测措施。但对于数据库输出的数据则完全信任,而不做任何检测。二阶SQL注入与传统的SQL注入不同,二阶SQL注入利用应用程序对数据库输出完全信任的机制,事先将恶意代码保存在数据库中,并在另一个请求里想办法让系统调用这个恶意代码,拼接成一个恶意的SQL语句并执行。因此,二阶SQL注入有阶段性和隐蔽性的特点。由于二阶SQL注入漏洞的多阶段、隐式读写等特点,相对于传统一阶注入更难以防御。
技术实现思路
本公开提供一种注入攻击检测模型生成及注入攻击检测方案,有效解决了对现有的数据库输出过于信任、对二阶SQL注入攻击检测缺失的问题。根据本公开实施例的第一方面,提供一种注入攻击检测模型生成方法,包括:对WAF注入告警日志进行处理,以便对相同源IP的数据进行汇聚,根据当前时间窗口内的每个源IP所触发的WAF注入告警次数n计算相应的第一风险值A,并根据所述WAF注入告警次数n和当前时间窗口内的全部WAF注入告警次数m确定第一风险参数α;记录当前时间窗口内的敏感数据表的查询次数g,根据所述查询次数g计算第二风险值B,并根据所述第一风险参数α、所述查询次 ...
【技术保护点】
1.一种注入攻击检测模型生成方法,包括:/n对WAF注入告警日志进行处理,以便对相同源IP的数据进行汇聚,根据当前时间窗口内的每个源IP所触发的WAF注入告警次数n计算相应的第一风险值A,并根据所述WAF注入告警次数n和当前时间窗口内的全部WAF注入告警次数m确定第一风险参数α;/n记录当前时间窗口内的敏感数据表的查询次数g,根据所述查询次数g计算第二风险值B,并根据所述第一风险参数α、所述查询次数g和当前窗口周期内的敏感数据表平均查询次数F确定第二风险参数β;/n对数据库的流量进行监测,根据当前时间窗口内的预设敏感字段查询次数q计算第三风险值C,并根据所述第一风险参数α、第二风险参数β、查询次数q和当前窗口周期内的敏感字段平均查询次数Q确定第三风险参数γ;/n根据当前时间窗口内的预设敏感字段出现次数p计算第四风险值D,并根据所述第一风险参数α、第二风险参数β和第三风险参数γ确定第四风险参数δ;/n利用所述第一至第四风险值、第一至第四风险参数对深度学习模型进行训练,以得到注入攻击检测模型。/n
【技术特征摘要】
1.一种注入攻击检测模型生成方法,包括:
对WAF注入告警日志进行处理,以便对相同源IP的数据进行汇聚,根据当前时间窗口内的每个源IP所触发的WAF注入告警次数n计算相应的第一风险值A,并根据所述WAF注入告警次数n和当前时间窗口内的全部WAF注入告警次数m确定第一风险参数α;
记录当前时间窗口内的敏感数据表的查询次数g,根据所述查询次数g计算第二风险值B,并根据所述第一风险参数α、所述查询次数g和当前窗口周期内的敏感数据表平均查询次数F确定第二风险参数β;
对数据库的流量进行监测,根据当前时间窗口内的预设敏感字段查询次数q计算第三风险值C,并根据所述第一风险参数α、第二风险参数β、查询次数q和当前窗口周期内的敏感字段平均查询次数Q确定第三风险参数γ;
根据当前时间窗口内的预设敏感字段出现次数p计算第四风险值D,并根据所述第一风险参数α、第二风险参数β和第三风险参数γ确定第四风险参数δ;
利用所述第一至第四风险值、第一至第四风险参数对深度学习模型进行训练,以得到注入攻击检测模型。
2.根据权利要求1所述的方法,其中,根据当前时间窗口内的每个源IP所触发的WAF注入告警次数n计算相应的第一风险值A包括:
利用公式A=log(1+n)计算第一风险参数A;
根据所述WAF注入告警次数n和当前时间窗口内的全部WAF注入告警次数m确定第一风险参数α包括:
利用公式α=n/m计算第一风险参数α。
3.根据权利要求2所述的方法,其中,根据所述查询次数g计算第二风险值B包括:
利用公式B=log(1+g)计算第二风险值B;
根据所述第一风险参数α、所述查询次数g和当前窗口周期内的敏感数据表平均查询次数F确定第二风险参数β包括:
利用公式β=(1-α)*((g-F)/F)计算第二风险参数β。
4.根据权利要求3所述的方法,其中,根据当前时间窗口内的预设敏感字段查询次数q计算第三风险值C包括:
利用公式C=log(1+q)计算第三风险值C;
根据所述第一风险参数α、第二风险参数β、查询次数q和当前窗口周期内的敏感字段平均查询次数Q确定第三风险参数γ包括:
利用公式γ=(1-α-β)*((q-Q)/Q)计算第三风险参数γ。
5.根据权利要求4所述的方法,其中,根据当前时间窗口内的预设敏感字段出现次数p计算第四风险值D包括:
利用公式D=log(1+p)计算第四风险值D;
根据所述第一风险参数α、第二风险参数β和第三风险参数γ确定第四风险参数δ包括:
利用公式δ=1-α-β-γ计算第四风险参数δ。
6.根据权利要求1-5中任一项所述的方法,还包括:
利用公式:
确定下一个窗口周期内的时间窗口个数r,其中当前窗口周期内包括R个时间窗口,αi为第i个时间窗口的第一风险参数。
7.根据权利要求6所述的方法,还包括:
利用公式
确定下一个窗口周期内的时间窗口大小t,其中T为当前窗口周期内的时间窗口大小,βi为第i个时间窗口的第二风险参数,γi为第i个时间窗口的第三风险参数,δi为第i个时间窗口的第四风险参数。
8.一种注入攻击检测模型生成装置,包括:
第一风险估算模块,被配置为对WAF注入告警日志进行处理,以便对相同源IP的数据进行汇聚,根据当前时间窗口内的每个源IP所触发的WAF注入告警次数n计算相应的第一风险值A,并根据所述WAF注入告警次数n和当前时间窗口内的全部WAF注入告警次数m确定第一风险参数α;
第二风险估算模块,被配...
【专利技术属性】
技术研发人员:余航,
申请(专利权)人:中国电信股份有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。