近年来,SQL注入漏洞一直被国际OWASP(Open Web Application Security Project)组织列为Web应用高危安全漏洞之一。面向SQL注入漏洞检测的恶意数据生成成为学术界和产业界研究的热点问题之一。然而,目前的恶意数据生成方法大多采用随机变异,即通过随机生成大量变异体来检测Web应用中SQL注入漏洞。由于随机变异只关注恶意数据本身,不涉及Web应用SQL注入验证和过滤机制,但能否触发SQL注入漏洞与Web应用服务器端代码验证和过滤机制有关,因此,该恶意数据生成方法难以生成有效的SQL注入漏洞恶意数据,进而导致SQL注入漏洞检测效果不佳。为提高SQL注入漏洞的检测效果及恶意数据生成效率,本文提出一种基于机器学习和遗传算法的SQL注入漏洞恶意数据自动化生成方法,该方法同时考虑SQL注入漏洞恶意数据特征和Web应用服务器端代码特征,利用机器学习构造SQL注入攻击预测模型,并以此为依据,指导遗传算法生成SQL注入漏洞恶意数据。此外,由于SQL注入漏洞恶意数据本质上是携带恶意信息的SQL代码片段,为保证能够生成有效的恶意数据,本文设计了 SQL注入漏洞恶意数据上下文无关语法,并基于上下文无关语法设计了相应的遗传操作算子。综上所述,本文提出一种基于机器学习和遗传算法的SQL注入漏洞恶意数据自动化生成方法,以对Web应用服务器端代码生成能够触发SQL注入漏洞的恶意数据。为评估本文方法的有效性,本文选取了五个开源的Web应用作为被测对象,对其进行SQL注入漏洞恶意数据生成。对于生成结果,本文分别从生成有效恶意数据的比例,生成有效恶意数据的速率,时间开销等方面进行分析,验证本文方法的有效性。实验结果表明,本文方法能够针对不同Web应用的SQL注入漏洞生成有效的恶意数据,且在生成效率、时间开销等方面有良好的效果。