计算机和网络技术的不断发展,为人们的生活带来了极大的便利,同时人们的生活也更加依赖它们。各式各样的Web应用就是为人们带来福利的代表,以不同的方式提高着各行各业的工作效率。随之应运而生的,是各种各样的资产、隐私以信息化的方式出现在网络上。网络攻击由此得到更多的攻击可能性和攻击收益,各式各样的攻击手段开始出现,网络攻击逐渐“黑产”化,攻防对抗愈演愈烈。SQL注入攻击是一种破坏性很强的攻击方式,在没有部署任何防御手段的情况下,Web系统存在SQL注入漏洞的后果是不堪设想的。针对SQL注入攻击有很多高效的防御方式,例如严格的执行安全开发流程、SQL语句的预编译等等,但是这些方法成功的前提是在开发阶段就意识到SQL注入的破坏性并及时部署防护,但这通常难以实现,因为老旧的系统难以重新修改,新系统又往往需要高效的开发效率,无法将安全性作为首要的目标。因此本文设计的模型是一个折中的方案,在既不需要修改系统的源代码,也不影响新系统上线效率的同时,为Web系统抵御SQL注入攻击的危害。本文提出了一种基于G检验的SQL注入检测模型,模型通过对Web应用的请求数据进行筛选、循环编解码、URL查询参数剥离、SQL语句分析、token序列分析、特征选择、攻击预测、效果评估等步骤完成攻击检测,并输出预测结果。它能够以独立模块的形式部署在Web应用之前,工作在网络的应用层,针对HTTP请求中的URL进行分析,通过集成学习算法生成预测分类器,从而判断一次请求中是否存在SQL注入攻击。模型分类器的生成使用并对比了两种机器学习算法,分别是序列化集成学习算法GBDT和并行化集成学习算法随机森林。本文选取谷歌黑客数据库（GHDB）和Git Hub中的约十万条HTTP流量数据作为实证数据集,以平均响应时间、AUC值、F1值、准确率、精确率、召回率为评价指标对模型的预测效果进行评估,并与其它SQL注入检测模型进行了对比。实验表明,此模型在仅使用Web应用请求作为数据输入的情况下,有较高的响应效率,不会影响Web系统的性能和用户体验,同时GBDT和随机森林两种机器学习算法生成的分类器都有较高的预测准度,随机森林算法生成的分类器在响应时间和性能评估指标方面均有更好的表现。相比较其它同类SQL注入检测模型而言,本文设计的模型也具有更优的评价值。本文的创新点和贡献主要有:首先,本文设计的检测模型是一种实时防御的模型,能够对已经投入使用的系统进行保护,模型采用HTTP流量中的URL作为输入,不需要在Web系统中增加任何扩展,并且平均响应时间很短,不会对Web系统的正常使用造成影响。其次,本文设计的检测模型中加入了循环编解码模块和URL查询参数剥离模块,实现了攻击语句的解析,高级的SQL注入攻击通常采用多种编码或加密实现攻击代码的混淆,所以对“加密”过的payload进行“解密”十分重要。最后,本文设计的检测模型采用SQL语句分析的方式将攻击语句解析为token序列,并对token序列进行分词以及数据挖掘,采用G检验统计量作为机器学习分类器训练的特征之一,发现此特征具有较高的相关性,最终生成的攻击预测分类器也有较好的评价指标。