注入攻击检测模型生成装置、注入攻击检测装置及方法制造方法及图纸

本公开提供一种注入攻击检测模型生成装置、注入攻击检测装置及方法。通过对WAF注入告警日志进行处理，根据当前时间窗口内的每个源IP所触发的WAF注入告警次数n计算第一风险值和第一风险参数；记录当前时间窗口内的敏感数据表的查询次数g，根据查询次数g计算第二风险值和第二风险参数；对数据库的流量进行监测，根据当前时间窗口内的预设敏感字段查询次数q计算第三风险值和第三风险参数；根据当前时间窗口内的预设敏感字段出现次数p计算第四风险值和第四风险参数；利用第一至第四风险值、第一至第四风险参数对深度学习模型进行训练，以得到注入攻击检测模型，从而利用注入攻击检测模型进行二阶SQL注入攻击检测。

【技术实现步骤摘要】
注入攻击检测模型生成装置、注入攻击检测装置及方法
本公开涉及安全领域，特别涉及一种注入攻击检测模型生成装置、注入攻击检测装置及方法。
技术介绍
传统的SQL(StructuredQueryLanguage，结构化查询语言)注入检测方式是将用户输入作为注入检测的关键点，对用户输入进行转义、替换、过滤和参数化，以便对用户输入进行特征比对、机器学习等检测措施。但对于数据库输出的数据则完全信任，而不做任何检测。二阶SQL注入与传统的SQL注入不同，二阶SQL注入利用应用程序对数据库输出完全信任的机制，事先将恶意代码保存在数据库中，并在另一个请求里想办法让系统调用这个恶意代码，拼接成一个恶意的SQL语句并执行。因此，二阶SQL注入有阶段性和隐蔽性的特点。由于二阶SQL注入漏洞的多阶段、隐式读写等特点，相对于传统一阶注入更难以防御。
技术实现思路
本公开提供一种注入攻击检测模型生成及注入攻击检测方案，有效解决了对现有的数据库输出过于信任、对二阶SQL注入攻击检测缺失的问题。根据本公开实施例的第一方面，提供一种注入攻击检测模型生成方法，包括：对WAF注入告警日志进行处理，以便对相同源IP的数据进行汇聚，根据当前时间窗口内的每个源IP所触发的WAF注入告警次数n计算相应的第一风险值A，并根据所述WAF注入告警次数n和当前时间窗口内的全部WAF注入告警次数m确定第一风险参数α；记录当前时间窗口内的敏感数据表的查询次数g，根据所述查询次数g计算第二风险值B，并根据所述第一风险参数α、所述查询次数g和当前窗口周期内的敏感数据表平均查询次数F确定第二风险参数β；对数据库的流量进行监测，根据当前时间窗口内的预设敏感字段查询次数q计算第三风险值C，并根据所述第一风险参数α、第二风险参数β、查询次数q和当前窗口周期内的敏感字段平均查询次数Q确定第三风险参数γ；根据当前时间窗口内的预设敏感字段出现次数p计算第四风险值D，并根据所述第一风险参数α、第二风险参数β和第三风险参数γ确定第四风险参数δ；利用所述第一至第四风险值、第一至第四风险参数对深度学习模型进行训练，以得到注入攻击检测模型。在一些实施例中，根据当前时间窗口内的每个源IP所触发的WAF注入告警次数n计算相应的第一风险值A包括：利用公式A＝log(1+n)计算第一风险参数A；根据所述WAF注入告警次数n和当前时间窗口内的全部WAF注入告警次数m确定第一风险参数α包括：利用公式α＝n/m计算第一风险参数α。在一些实施例中，根据所述查询次数g计算第二风险值B包括：利用公式B＝log(1+g)计算第二风险值B；根据所述第一风险参数α、所述查询次数g和当前窗口周期内的敏感数据表平均查询次数F确定第二风险参数β包括：利用公式β＝(1-α)*((g-F)/F)计算第二风险参数β。在一些实施例中，根据当前时间窗口内的预设敏感字段查询次数q计算第三风险值C包括：利用公式C＝log(1+q)计算第三风险值C；根据所述第一风险参数α、第二风险参数β、查询次数q和当前窗口周期内的敏感字段平均查询次数Q确定第三风险参数γ包括：利用公式γ＝(1-α-β)*((q-Q)/Q)计算第三风险参数γ。在一些实施例中，根据当前时间窗口内的预设敏感字段出现次数p计算第四风险值D包括：利用公式D＝log(1+p)计算第四风险值D；根据所述第一风险参数α、第二风险参数β和第三风险参数γ确定第四风险参数δ包括:利用公式δ＝1-α-β-γ计算第四风险参数δ。在一些实施例中，利用公式：确定下一个窗口周期内的时间窗口个数r，其中当前窗口周期内包括R个时间窗口，αi为第i个时间窗口的第一风险参数。在一些实施例中，利用公式确定下一个窗口周期内的时间窗口大小t，其中T为当前窗口周期内的时间窗口大小，βi为第i个时间窗口的第二风险参数，γi为第i个时间窗口的第三风险参数，δi为第i个时间窗口的第四风险参数。根据本公开实施例的第二方面，提供一种注入攻击检测模型生成装置，包括：第一风险估算模块，被配置为对WAF注入告警日志进行处理，以便对相同源IP的数据进行汇聚，根据当前时间窗口内的每个源IP所触发的WAF注入告警次数n计算相应的第一风险值A，并根据所述WAF注入告警次数n和当前时间窗口内的全部WAF注入告警次数m确定第一风险参数α；第二风险估算模块，被配置为记录当前时间窗口内的敏感数据表的查询次数g，根据所述查询次数g计算第二风险值B，并根据所述第一风险参数α、所述查询次数g和当前窗口周期内的敏感数据表平均查询次数F确定第二风险参数β；第三风险估算模块，被配置为对数据库的流量进行监测，根据当前时间窗口内的预设敏感字段查询次数q计算第三风险值C，并根据所述第一风险参数α、第二风险参数β、查询次数q和当前窗口周期内的敏感字段平均查询次数Q确定第三风险参数γ；第四风险估算模块，被配置为根据当前时间窗口内的预设敏感字段出现次数p计算第四风险值D，并根据所述第一风险参数α、第二风险参数β和第三风险参数γ确定第四风险参数δ；训练模块，被配置为利用所述第一至第四风险值、第一至第四风险参数对深度学习模型进行训练，以得到注入攻击检测模型。在一些实施例中，第一风险估算模块被配置为利用公式A＝log(1+n)计算第一风险参数A，利用公式α＝n/m计算第一风险参数α。在一些实施例中，第二风险估算模块被配置为利用公式B＝log(1+g)计算第二风险值B，利用公式β＝(1-α)*((g-F)/F)计算第二风险参数β。在一些实施例中，第三风险估算模块被配置为利用公式C＝log(1+q)计算第三风险值C，利用公式γ＝(1-α-β)*((q-Q)/Q)计算第三风险参数γ。在一些实施例中，第四风险估算模块被配置为利用公式D＝log(1+p)计算第四风险值D，利用公式δ＝1-α-β-γ计算第四风险参数δ。在一些实施例中，上述装置还包括：窗口控制模块，被配置为利用公式：确定下一个窗口周期内的时间窗口个数r，其中当前窗口周期内包括R个时间窗口，αi为第i个时间窗口的第一风险参数。在一些实施例中，窗口控制模块被配置为利用公式确定下一个窗口周期内的时间窗口大小t，其中T为当前窗口周期内的时间窗口大小，βi为第i个时间窗口的第二风险参数，γi为第i个时间窗口的第三风险参数，δi为第i个时间窗口的第四风险参数。根据本公开实施例的第三方面，提供一种注入攻击检测模型生成装置，包括：存储器，被配置为存储指令；处理器，耦合到存储器，处理器被配置为基于存储器存储的指令执行实现如上述任一实施例所述的注入攻击检测模型生成方法。根据本公开实施例的第四方面，提供一种注入攻击检测方法，包括：对WAF注入告警日志进行处理，以便对相同源IP的数据进行汇聚；对数据库的流量进行监控；根据汇聚结果和监控结果，利用上述任一实施例生成的注入攻击检测模型进行注入攻击检测。根据本公开实施例的第五方面，提供一种注入攻击检测装置，包括：汇聚本文档来自技高网...

【技术保护点】
1.一种注入攻击检测模型生成方法，包括：/n对WAF注入告警日志进行处理，以便对相同源IP的数据进行汇聚，根据当前时间窗口内的每个源IP所触发的WAF注入告警次数n计算相应的第一风险值A，并根据所述WAF注入告警次数n和当前时间窗口内的全部WAF注入告警次数m确定第一风险参数α；/n记录当前时间窗口内的敏感数据表的查询次数g，根据所述查询次数g计算第二风险值B，并根据所述第一风险参数α、所述查询次数g和当前窗口周期内的敏感数据表平均查询次数F确定第二风险参数β；/n对数据库的流量进行监测，根据当前时间窗口内的预设敏感字段查询次数q计算第三风险值C，并根据所述第一风险参数α、第二风险参数β、查询次数q和当前窗口周期内的敏感字段平均查询次数Q确定第三风险参数γ；/n根据当前时间窗口内的预设敏感字段出现次数p计算第四风险值D，并根据所述第一风险参数α、第二风险参数β和第三风险参数γ确定第四风险参数δ；/n利用所述第一至第四风险值、第一至第四风险参数对深度学习模型进行训练，以得到注入攻击检测模型。/n

【技术特征摘要】
1.一种注入攻击检测模型生成方法，包括：
对WAF注入告警日志进行处理，以便对相同源IP的数据进行汇聚，根据当前时间窗口内的每个源IP所触发的WAF注入告警次数n计算相应的第一风险值A，并根据所述WAF注入告警次数n和当前时间窗口内的全部WAF注入告警次数m确定第一风险参数α；
记录当前时间窗口内的敏感数据表的查询次数g，根据所述查询次数g计算第二风险值B，并根据所述第一风险参数α、所述查询次数g和当前窗口周期内的敏感数据表平均查询次数F确定第二风险参数β；
对数据库的流量进行监测，根据当前时间窗口内的预设敏感字段查询次数q计算第三风险值C，并根据所述第一风险参数α、第二风险参数β、查询次数q和当前窗口周期内的敏感字段平均查询次数Q确定第三风险参数γ；
根据当前时间窗口内的预设敏感字段出现次数p计算第四风险值D，并根据所述第一风险参数α、第二风险参数β和第三风险参数γ确定第四风险参数δ；
利用所述第一至第四风险值、第一至第四风险参数对深度学习模型进行训练，以得到注入攻击检测模型。


2.根据权利要求1所述的方法，其中，根据当前时间窗口内的每个源IP所触发的WAF注入告警次数n计算相应的第一风险值A包括：
利用公式A＝log(1+n)计算第一风险参数A；
根据所述WAF注入告警次数n和当前时间窗口内的全部WAF注入告警次数m确定第一风险参数α包括：
利用公式α＝n/m计算第一风险参数α。


3.根据权利要求2所述的方法，其中，根据所述查询次数g计算第二风险值B包括：
利用公式B＝log(1+g)计算第二风险值B；
根据所述第一风险参数α、所述查询次数g和当前窗口周期内的敏感数据表平均查询次数F确定第二风险参数β包括：
利用公式β＝(1-α)*((g-F)/F)计算第二风险参数β。


4.根据权利要求3所述的方法，其中，根据当前时间窗口内的预设敏感字段查询次数q计算第三风险值C包括：
利用公式C＝log(1+q)计算第三风险值C；
根据所述第一风险参数α、第二风险参数β、查询次数q和当前窗口周期内的敏感字段平均查询次数Q确定第三风险参数γ包括：
利用公式γ＝(1-α-β)*((q-Q)/Q)计算第三风险参数γ。


5.根据权利要求4所述的方法，其中，根据当前时间窗口内的预设敏感字段出现次数p计算第四风险值D包括：
利用公式D＝log(1+p)计算第四风险值D；
根据所述第一风险参数α、第二风险参数β和第三风险参数γ确定第四风险参数δ包括:
利用公式δ＝1-α-β-γ计算第四风险参数δ。


6.根据权利要求1-5中任一项所述的方法，还包括：
利用公式：



确定下一个窗口周期内的时间窗口个数r，其中当前窗口周期内包括R个时间窗口，αi为第i个时间窗口的第一风险参数。


7.根据权利要求6所述的方法，还包括：
利用公式



确定下一个窗口周期内的时间窗口大小t，其中T为当前窗口周期内的时间窗口大小，βi为第i个时间窗口的第二风险参数，γi为第i个时间窗口的第三风险参数，δi为第i个时间窗口的第四风险参数。


8.一种注入攻击检测模型生成装置，包括：
第一风险估算模块，被配置为对WAF注入告警日志进行处理，以便对相同源IP的数据进行汇聚，根据当前时间窗口内的每个源IP所触发的WAF注入告警次数n计算相应的第一风险值A，并根据所述WAF注入告警次数n和当前时间窗口内的全部WAF注入告警次数m确定第一风险参数α；
第二风险估算模块，被配...

【专利技术属性】
技术研发人员：余航，
申请(专利权)人：中国电信股份有限公司，
类型：发明
国别省市：北京;11