情报是关于目标的有行动价值的信息和知识。依据Web日志生成的SQL注入威胁情报,是一种重要的战术情报,可用于评估威胁,为决策者提供决策依据。为此,需要展开SQL注入的威胁识别技术研究。其主要工作概括如下:(1)分析归纳现有的SQL注入检测技术、关联方法及意图识别方法的研究现状,指出当前的SQL注入检测技术尚不能检测出SQL注入的敌意和机会,以及尚缺乏注入敌意生成的方法问题;在此基础上,确定SQL注入的威胁识别的研究目的与内容。(2)遵循研究目的与内容,借用开源项目libinjection检测方法、引用因果关联、相似关联及趋势生成原理;在此基础上,界定威胁识别的相关概念并构造其概念体系,分析威胁识别的活动构成及其行为特性,并给出形式描述;依据活动构成图,建立威胁识别的下推自动机,包括:威胁识别的框架自动机,以及敌意生成的下推自动机;并证明其终态可达性质。(3)依据框架自动机中的终态可达过程,设计威胁识别框架算法,并设计SQL注入检测、优势归并及机会确认3个算法:依据敌意生成自动机中的终态可达过程,设计敌意生成算法中的模式关联、因果关联、趋势拟合、相似关联及敌意解释5个子算法;并分析各算法的复杂度。(4)运用面向对象的软件开发方法,设计并实现SQL注入的威胁识别原型系统(Threat-Recognize);以项目想定为依据,设计测试用例;使用某部门提供的Web日志,验证SQL注入的威胁识别技术在SQL注入检测、优势归并、敌意生成及机会确认上的有效性;实验结果表明,Threat-Recognize初步符合项目的想定要求,能够识别出SQL注入的威胁。