Tôi đang làm việc trên một ứng dụng an ninh mạng và một trong những tính năng của nó là máy học để phát hiện các cuộc tấn công SQL injection.Tôi hiện đang trong giai đoạn nghiên cứu và tôi đang xem xét việc thu thập và xử lý trước dữ liệu. Cho đến nay, tôi đã có thể viết một kịch bản để trích xuất các câu lệnh SQL dễ nhận biết từ nhật ký Apache.
Tôi bắt đầu xem xét triển khai điều gì đó tương tự cho nhật ký IIS và tôi tình cờ thấy một bài báo nói về các tuyên bố tấn công được mã hóa trong các tham số truy vấn yêu cầu hiển thị trong nhật ký. Bài viết chỉ tập trung vào các cuộc tấn công sử dụng phương pháp SQL .cast() để mã hóa các câu lệnh thành hệ thập lục phân. Tôi giả sử vì điều này chỉ được áp dụng cho các tham số truy vấn, mã hóa tương tự cũng có thể có trong nhật ký Apache. Có phương pháp mã hóa nào khác (ngoài các phương pháp SQL chẳng hạn như .cast() và .convert() ) sẽ xuất hiện trong tệp nhật ký truy cập không? Tôi cũng đã đọc các bài báo khác thậm chí không xem xét các câu lệnh được mã hóa. Điều đó có nghĩa là các câu lệnh được mã hóa không xảy ra thường xuyên hoặc thậm chí không xảy ra?
Tôi không chắc phải nghiên cứu thêm điều gì để trả lời câu hỏi của mình hoặc chỉ cho tôi đi đúng hướng (tất cả những nỗ lực của tôi vẫn chưa mang lại kết quả hữu ích nào). Tôi đánh giá cao sự giúp đỡ nào! Cảm ơn
