丰富的Web服务极大的方便了日常生活,同时也引入了更多基于HTTP协议的攻击。SQL注入攻击作为Web服务的主要威胁是入侵检测系统的防御重点。为了应对日益提升的检测技术,SQL注入攻击形式也在不断的升级变异,攻击者采用编码、变形等手段绕过现有的检测方法。如何在复杂的HTTP请求中检测出变异的SQL注入攻击,并且能够定位攻击位置是亟待解决的问题。本文为解决上述问题,以检测出更多的SQL注入攻击形式和快速定位SQL注入攻击的位置为研究目标,开展相关研究,并取得如下成果:1.提出了一个低漏报率的SQL注入攻击检测框架。该框架包含数据收集、数据清洗、特征表示、模型构建四个阶段。数据清洗阶段通过降低无关信息的干扰,提高了复杂流量环境下的SQL注入攻击的检测能力。特征表示阶段提出了包含特殊符号的词汇特征的生成方式。模型构建阶段讨论了检测模型应具备的特性。2.提出了检测变异SQL注入攻击的模型,即vSQL-CNN。该模型在本文检测框架的基础上,通过提取字符维度和词维度的特征,提升了对变形SQL关键字的表达能力。在20万条流量的实验数据集上,vSQL-CNN可以有效检出变异的SQL注入攻击,精确率达到99.02%,召回率达到97.53%。同时在变长输入的条件缩减了训练时间。3.提出了 Locate-SQL可解释化检测模型,可以在复杂流量中自动定位SQL注入攻击的位置,以帮助安全人员快速获取攻击特征。Locate-SQL通过对注意力权重的可视化,直观地展示出输入对于预测结果的重要的部分。在实际的流量环境下,Locate-SQL可以准确的识别出SQL注入攻击的分布位置。