| 发明名称 | 一种基于K‑means的SQL注入攻击检测方法 | ||
| 摘要 | 一种基于K‑means的SQL注入攻击检测方法,主要用以提高SQL注入攻击的检测率和实现对未知的SQL注入攻击的检测。包括如下步骤:数据处理阶段,对含有SQL注入攻击的Web访问数据包进行分析处理,根据SQL注入攻击的特点和特征提取出数据包的关键属性数据;对数据分簇阶段,使用K‑means算法对数据进行分簇,并对簇进行攻击标定,且为了使K‑means算法在检测中达到更好的效果,分簇时,针对SQL注入攻击的分类和提取数据的特征,对数据进行孤立点删除和对K‑means算法中初始中心点选取提出符合当前应用场景的改进;检测阶段,主要对Web的实时访问数据包进行数据提取,并进行按照已有的簇进行分簇,最后按照所属簇的攻击标定来判断是否为SQL注入攻击。 | ||
| 申请公布号 | CN103607391B | 申请公布日期 | 2017.02.01 |
| 申请号 | CN201310585872.4 | 申请日期 | 2013.11.19 |
| 申请人 | 北京航空航天大学 | 发明人 | 李晓晴;陈真勇;李清广;李超;熊璋 |
| 分类号 | H04L29/06(2006.01)I;H04L12/26(2006.01)I | 主分类号 | H04L29/06(2006.01)I |
| 代理机构 | 北京科迪生专利代理有限责任公司 11251 | 代理人 | 成金玉;孟卜娟 |
| 主权项 | 一种基于K‑means的SQL注入攻击检测方法,其特征在于包括:训练阶段:对训练数据进行特征提取,对提取后的数据进行标准化处理后,删除孤立点和确定初始中心点后使用K‑means算法进行分簇,并对分簇结果进行攻击标定;检测阶段:实际检测,对Web的任意访问数据进行特征提取,经过数据处理后,划分到已经分好的簇中,再根据簇的标定来判断是否为SQL注入攻击行为;所述训练阶段的数据特征提取,包括:(1)SQL注入攻击从HTTP数据包的特征属性上分三种攻击方式,分别是Post注入、Get注入和Cookie注入,针对这三种攻击方式进行数据包的处理,需要提取HTTP数据包的地址(URI)、数据包类型(Method)、数据包长度(Content‑Length)、浏览器特征(User‑Agent)、数据包Cookie、POST数据;(2)URI的长度,内容,字符出现频率;(3)POST数据的内容,长度,字符出现频率;对提取出的数据特征进行量化处理。 | ||
| 地址 | 100191 北京市海淀区学院路37号 | ||