针对电力信息系统面对SQL注入和XSS攻击时检测效率低、防御效果不佳等问题，提出一种基于RASP技术的SQL注入和XSS漏洞检测与防御技术，直接将数据库函数、校验函数等通过RASP探针注入Web服务应用内部进行有效监测；针对攻击和程序交互较少的情况，基于KMP算法和过滤机制将输入字符串与注入字符串的存储模式匹配，对恶意攻击代码进行检测与防御。实验结果表明，提出的方法可以有效对SQL注入和XSS攻击进行检测和防御，且效率较高。

• 单位
  国电南瑞科技股份有限公司; 广东电网有限责任公司信息中心