Я работаю над приложением для кибербезопасности, и одной из его функций является машинное обучение для обнаружения атак SQL-инъекций.Сейчас я нахожусь на стадии исследования и занимаюсь сбором и предварительной обработкой данных. До сих пор мне удавалось написать скрипт для извлечения распознаваемых операторов SQL из журналов Apache.
Я начал изучать реализацию чего-то подобного для журналов IIS и наткнулся на статью, в которой говорилось о закодированных операторах атаки в параметрах запроса запроса, которые видны в журналах. В статье основное внимание уделялось атакам, в которых используется метод SQL .cast() для кодирования операторов в шестнадцатеричное представление. Я предполагаю, что, поскольку это применяется только к параметрам запроса, аналогичная кодировка может присутствовать и в журналах Apache. Существуют ли другие методы кодирования (кроме методов SQL, таких как .cast() и .convert() ), которые будут присутствовать в файлах журнала доступа? Я также читал другие статьи, в которых даже не рассматриваются закодированные операторы. Означает ли это, что закодированные операторы встречаются редко или вообще не встречаются?
Я не уверен, что еще исследовать, чтобы ответить на мой вопрос или указать мне правильное направление (все мои усилия пока не принесли ничего полезного). Буду признателен за любую помощь! Спасибо
