SQL注入的应急响应事件，不要太依赖安全设备的防御！

问题描述

客户反映最近反映WAF最近有SQL注入的日志，HTTP业务在出口AF上配置了WAF策略，但是在某厂商的安全感知设备上仍监控到了外网发过来的sql注入攻击。

告警信息

sql注入告警日志记录

处理过程

1、在该时间点查看AF WAF的sql攻击日志，没有发现相关告警。

2、内置数据中心查看，有配置业务模型学习监督，学习日志，优化防火墙策略。

根因

最后询问厂家才知道AI 半自动化学习算法对 WEB 业务访问的流量进行分析与学习，学习 WEB业务系统特征；然后将基于攻击特征和业务特征的检测方式进行融合，解决 WEB业务代码编写不规范导致的误判问题。学习阶段会放通相关的数据。

解决办法

最后关闭业务模型学习监督，或者根据业务在业务模型中标记确认是攻击行为。