(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN114168938A(43)申请公布日2022.03.11(21)申请号202111269323.7(22)申请日2021.10.29(71)申请人四川大学地址610041四川省成都市武侯区一环路南一段24号(72)发明人周颖杰赵伟杨松吕建成(74)专利代理机构北京正华智诚专利代理事务所(普通合伙)11870代理人杨浩林(51)Int.Cl.G06F21/55(2013.01)G06F21/56(2013.01)G06K9/62(2022.01)权利要求书2页说明书8页附图3页(54)发明名称一种基于少量异常标签的半监督SQL注入攻击检测方法(57)摘要本发明公开了一种基于少量异常标签的半监督SQL注入攻击检测方法，目的是解决现有SQL注入检测方法在数据标签不平衡时，检测性能下降的问题，满足实际场景需求；提出一种基于比特编码的SQL注入攻击检测框架，该框架无需预训练词嵌入模型和语法规则解析；并基于该框架提出一种基于注意力机制的半监督SQL注入攻击检测模型，该模型具有优异的特征关注能力和泛化能力；对新型SQL注入攻击也具有一定的检测性能。CN114168938ACN114168938A权利要求书1/2页1.一种基于少量异常标签的半监督SQL注入攻击检测方法，其特征在于，包括以下步骤：S1、根据采集的正常SQL样本和异常SQL样本，构建原始数据集；S2、对原始数据集进行预处理，得到原始数据集中每个SQL样本对应的被编码后的SQL样本；S3、根据被编码后的SQL样本，构建并训练得到基于注意力机制的半监督检测模型；S4、通过基于注意力机制的半监督检测模型对未知的SQL样本进行检测，完成SQL注入攻击的检测。2.根据权利要求1所述的基于少量异常标签的半监督SQL注入攻击检测方法，其特征在于，所述步骤S1中，采集的正常SQL样本和异常SQL样本的方法具体为：通过筛选的方式从公开数据集中获取正常SQL样本；通过自动注入工具攻击WEB应用的方式生成异常SQL样本。3.根据权利要求1所述的基于少量异常标签的半监督SQL注入攻击检测方法，其特征在于，所述步骤S2中，对原始数据集进行预处理的方法具体为：SA1、在原始数据集中筛除高度相似或重复的SQL样本，并甄别和去除异常SQL样本中包含的正常SQL样本；SA2、对原始数据集进行关键词大小写统一，对表名和查询内容的特定字段进行修正，并删除异常SQL样本中包含的网站账号信息；SA3、通过比特编码策略对原始数据集中的SQL样本进行编码。4.根据权利要求3所述的基于少量异常标签的半监督SQL注入攻击检测方法，其特征在于，所述步骤SA3中，比特编码策略的编码方式具体为：将原始数据集中的每个SQL样本进行定长编码，将其按字符转为ASCII‑256十进制数向量，进而将其转为二进制流；其中，对SQL样本进行定长编码时，若SQL样本长度不足256位，则通过空格填充的方式补齐，否则截断保留256位。5.根据权利要求1所述的基于少量异常标签的半监督SQL注入攻击检测方法，其特征在于，所述步骤S3具体为：根据被编码后的SQL样本，通过模型优化和参数调节的方式，得到最优模型参数的基于注意力机制的半监督检测模型。6.根据权利要求5所述的基于少量异常标签的半监督SQL注入攻击检测方法，其特征在于，所述步骤S3中，基于注意力机制的半监督检测模型包括相互连接的数据分布学习模块和检测器模块。7.根据权利要求6所述的基于少量异常标签的半监督SQL注入攻击检测方法，其特征在于，数据分布学习模块包括相互连接的推理器和生成器；其中，推理器的表达式具体为：I(yi)＝cat(y|π)I(zi|ai,yi,xi)＝N(zi|ui(ai,xi,yi),2CN114168938A权利要求书2/2页式中，ai为第i个编码后的SQL样本的辅助向量，ui(·)为第i个编码后的SQL样本的期望向量通式，xi为第i个编码后的SQL样本的样本编码特征，yi为第i个被编码后的SQL样本的样本标签，zi为第i个被编码后的SQL样本的样本后验分布通式，σi(·)为第i个被编码后的SQL样本的标准差向量通式，cat(·)为多维的数据分布通式，N(·)为高斯采样通式，I(·)为推理器通式，i为被编码后的SQL样本的序数；生成器的表达式具体为：G(yi)＝cat(y|π)G(ai|zi,yi,xi)＝f(ai；zi,yi,xi,w)G(xi|zi,yi)＝f(xi；zi,yi,w)式中，f(·)为多层非线性变换通式，w为权重，G(·)为生成器通式。8.根据权利要求6所述的基于少量异常标签的半监督SQL注入攻击检测方法，其特征在于，检测器模块包括相互连接的特征提取子模块和注意力子模块；其中，特征提