[发明专利]一种结构化查询语言注入攻击检测方法和装置

权利要求书

1、一种结构化查询语言SQL注入攻击检测方法，其特征在于，建立用于记录攻击者IP地址和攻击次数的SQL注入攻击黑名单，该方法对所接收到的报文执行以下步骤：

A、对所述报文进行基于SQL注入攻击特征的检测，如果命中则执行步骤C，否则执行步骤B；

B、对所述报文进行基于SQL注入攻击行为的检测，如果命中则执行步骤C，否则转发所述报文；

C、查询SQL注入攻击黑名单中是否存在所述报文的源IP地址；如果不存在，则将所述报文的源IP地址添加到SQL注入攻击黑名单中，并设置相应的攻击次数为1，转发所述报文；如果已存在，则将相应的攻击次数加1，并判断加1后的攻击次数是否已超过了预设值，是则告警，并丢弃所述报文，否则转发所述报文。

2、如权利要求1所述的方法，其特征在于，该方法在步骤A之前进一步包括：检测所述报文是否为通过环球网WEB与数据库进行交互的报文，是则执行步骤A以及后续步骤，否则，直接转发所述报文。

3、如权利要求1所述的方法，其特征在于，对所述报文进行基于SQL注入攻击行为的检测包括：

将所述报文的统一资源定位符URL字段的内容与预先设置的敏感字符文件中的敏感字符进行匹配。

4、如权利要求1所述的方法，其特征在于，该方法进一步包括：在步骤C中，将所述报文的源IP地址添加到SQL注入攻击黑名单中，并设置相应的攻击次数为1的同时，启动一个定时器；如果在该定时器超时时，所述源IP地址对应的攻击次数仍没有超过预设值，则将所述源IP地址从SQL注入攻击黑名单中删除。

5、如权利要求1所述的方法，其特征在于，当发生告警时，该方法进一步包括：在预设的一段时间内禁止转发具有所述源IP地址的报文。

6、一种SQL注入攻击检测装置，其特征在于，该装置包括：存储模块、报文接收模块、特征检测模块、行为检测模块、统计告警模块和报文转发模块，其中，

存储模块，用于保存记录攻击者IP地址和攻击次数的SQL注入攻击黑名单；

报文接收模块，用于接收报文，并发送给特征检测模块；

特征检测模块，用于对所接收到的报文进行基于SQL注入攻击特征的检测，如果命中则将报文发送给统计告警模块，否则将报文发送给行为检测模块；

行为检测模块，用于对来自特征检测模块的报文进行基于SQL注入攻击行为的检测，如果命中则将报文发送给统计告警模块，否则将报文发送给报文转发模块；

统计告警模块，用于查询SQL注入攻击黑名单中是否存在所接收报文的源IP地址；如果不存在，则将报文的源IP地址添加到SQL注入攻击黑名单中，并设置相应的攻击次数为1，将报文发送给报文转发模块；如果已存在，则将相应的攻击次数加1，并判断加1后的攻击次数是否已超过了预设值，是则告警，并丢弃报文，否则将报文发送给报文转发模块；

报文转发模块，用于将所接收到的报文转发出去。

7、如权利要求6所述的装置，其特征在于，

所述报文接收模块，进一步用于检测所接收的报文是否为通过环球网WEB与数据库进行交互的报文，是则将报文发送给特征检测模块，否则直接将报文发送给报文转发模块。

8、如权利要求6所述的装置，其特征在于，

所述行为检测模块，用于对来自特征检测模块的报文的统一资源定位符URL字段的内容与预先设置的敏感字符文件中的敏感字符进行匹配，如果命中则将报文发送给统计告警模块，否则将报文发送给报文转发模块。

9、如权利要求6所述的装置，其特征在于，

所述统计告警模块，进一步用于在SQL注入攻击黑名单中不存在所接收报文的源IP地址时，将所述报文的源IP地址添加到SQL注入攻击黑名单中，并设置相应的攻击次数为1的同时，启动一个定时器，如果在该定时器超时时，所述源IP地址对应的攻击次数仍没有超过预设值，则将所述源IP地址从SQL注入攻击黑名单中删除。

10、如权利要求1所述的装置，其特征在于，

所述统计告警模块，进一步用于在发生告警时，向报文接收模块发送包含所述源IP地址的告警通知；

所述报文接收模块，在接收到所述告警通知后，在预设的一段时间内直接丢弃所接收的具有所述源IP地址的报文。