ПРИМЕНЕНИЕ ГИБРИДНЫХ МЕТОДОВ ДЛЯ ПРЕДОТВРАЩЕНИЯ И ОБНАРУЖЕНИЯ SQL INJECTION АТАК

HYBRID METHODS TO PREVENT AND DETECT SQL INJECTION ATTACKS

Kalinin Vitalii

Student, Department of Geology and Oil and Gas business, Sakhalin state University,

Russia, Yuzhno-Sakhalinsk

Ivanova Tatyana

Student, Department of Geology and Oil and Gas business, Sakhalin state University,

Russia, Yuzhno-Sakhalinsk

Postnikov Artem

Student, Department of Geology and Oil and Gas business, Sakhalin state University,

Russia, Yuzhno-Sakhalinsk

АННОТАЦИЯ

В работе исследуются современные подходы к обнаружению и предотвращению SQL injection атак. Предлагается гибридный метод, сочетающий синтаксический анализ SQL-запросов с глубокой моделью на основе BiLSTM. Проведено сравнение предложенного метода с классическим сигнатурным анализом и алгоритмом Random Forest. В исследовании использовались реальные и сгенерированные payload’ы SQLi. Эксперименты показали, что гибридная модель обеспечивает наибольшую точность при низком уровне ложных срабатываний и приемлемом времени обработки.

ABSTRACT

The paper investigates modern approaches to detecting and preventing SQL injection attacks. A hybrid method is proposed that combines syntactic analysis of SQL queries with a deep BiLSTM model. The proposed method is compared with classical signature-based detection and the Random Forest algorithm. Both real and generated SQLi payloads were used in the experiments. The results demonstrate that the hybrid model achieves the highest accuracy with a low false positive rate and acceptable processing time.

Ключевые слова: SQL injection, машинное обучение, кибербезопасность, предотвращение атак.

Keywords: SQL injection, machine learning, cybersecurity, attack prevention.

SQL injection атаки остаются одной из ключевых угроз для безопасности веб-приложений. Суть атаки заключается во внедрении вредоносных конструкций в SQL-запросы с целью получения несанкционированного доступа к данным или обхода механизмов аутентификации. Несмотря на широкую осведомлённость о проблеме, практика показывает, что значительное число веб-приложений по-прежнему уязвимы. Это связано с ограничениями традиционных методов защиты, которые либо не учитывают новых форм атак, либо страдают от высокого числа ложных срабатываний.

Сигнатурный анализ основан на сопоставлении входящих SQL-запросов с заранее известными шаблонами атак. Примером таких шаблонов могут быть конструкции вида ' OR '1'='1 или UNION SELECT *. Метод прост в реализации и обеспечивает высокую скорость анализа, однако обладает низкой устойчивостью к модифицированным payload’ам, например, к внедрению закодированных символов или комментариев.

Random Forest применяется как классификатор, обученный на наборе легитимных и атакующих SQL-запросов. В качестве признаков использовались длина строки, количество логических операторов, частота ключевых слов (SELECT, DROP, UNION), а также статистические показатели. Этот метод демонстрирует более высокую способность к выявлению вариаций атак, однако подвержен переобучению и может выдавать повышенный уровень ложноположительных срабатываний.

Гибридный метод (BiLSTM + синтаксический анализ) сочетает лексический разбор SQL-запроса и выделение структурных признаков с дальнейшей обработкой последовательности токенов нейронной сетью BiLSTM. Такой подход позволяет учитывать контекст и порядок элементов запроса, что особенно важно при анализе замаскированных атак.

Payload’ы, использованные в тестах, включали как классические примеры (' OR '1'='1, admin' --, UNION SELECT username, password FROM users), так и обфусцированные варианты: использование символов комментариев (--+), вставки с кодировкой Unicode, а также сложные цепочки подзапросов.

Тестирование проводилось с использованием набора SQL-запросов, включающего более 10 000 образцов, из которых половина являлась вредоносными payload’ами. Данные были собраны на основе OWASP SQLi тестов, а также сгенерированы через DVWA и WebGoat. Среда включала сервер с процессором Intel Core i7, 16 ГБ ОЗУ и библиотеками Scikit-learn и TensorFlow.

Анализ показал, что гибридный метод обеспечивает наилучшее соотношение точности и времени обработки. Сигнатурный анализ был самым быстрым, но показал низкую устойчивость к новым payload’ам. Random Forest продемонстрировал средние показатели и повышенный уровень ложноположительных срабатываний (таблица 1).

Таблица 1.

Сравнительный анализ промышленных протоколов связи

Проведённое исследование показало, что классические методы обнаружения SQL injection атак имеют ограниченную эффективность. Сигнатурный анализ хотя и быстр, но уязвим к обходным техникам. Random Forest обладает большей универсальностью, но страдает от ложноположительных срабатываний. Наиболее эффективным оказался гибридный метод, который сочетает в себе преимущества формального анализа и глубокой нейросетевой обработки. Он продемонстрировал высокую точность, низкий уровень FPR и устойчивость к новым вариантам атак.

Список литературы:

1. Halfond W. G., Viegas J., Orso A. A classification of SQL-injection attacks and countermeasures // Proceedings of the IEEE International Symposium on Secure Software Engineering. – 2006. – P. 13–15.
2. OWASP Foundation. OWASP Testing Guide v4. – 2014. – URL: https://owasp.org (дата обращения: 20.08.2025)
3. Bakar A., Ismail R., Maarof M. A. A hybrid technique for detection and prevention of SQL injection attacks // International Journal of Computer Science and Security. – 2017. – Vol. 11. – No. 2. – P. 59–67.
4. Bertino E., Sandhu R. Database security — concepts, approaches, and challenges // IEEE Transactions on Dependable and Secure Computing. – 2005. – Vol. 2. – No. 1. – P. 2–19.
5. Kar D., Panigrahi S., Sundararajan V. SQLi detection using machine learning: a hybrid approach // International Journal of Information Security. – 2021. – Vol. 20. – No. 4. – P. 475–490.