[发明专利]一种结构化查询语言注入攻击检测方法和装置

说明书

技术领域

本发明涉及网络通信技术领域，尤指一种结构化查询语言注入攻击检测方法和装置。

背景技术

结构化查询语言(SQL，Structured Query Language)是用来和关系数据库进行交互的文本语言。SQL允许用户数据进行有效的管理，包含了对数据的查询、操作、定义和控制等几个方面，例如向数据库写入数据、插入数据，从数据库读取数据等。

关系数据库广泛应用于网站中，用户一般通过动态网页和关系数据库进行交互。常见的动态网页一般都通过形如“http://domain-name/page.asp？arg＝value”等带有参数的统一资源定位符(URL，Uniform Resource Locator)来访问。动态网页可以是asp、php、jsp或perl等类型。一个动态网页中可以有一个或多个参数，参数类型可能是整型或字符串型等。

SQL注入攻击(SQL Injection Attack)是攻击者对数据库进行攻击的常用手段之一。SQL注入攻击就其本质而言，利用的工具是SQL语法，针对的是应用程序开发者在编程过程中的漏洞。安全性考虑不周的网站应用程序(动态网页)使得攻击者能够构造并提交恶意URL，将特殊构造的SQL语句插入到提交的参数中，在和关系数据库进行交互时获得私密信息，或者直接篡改web数据。

SQL注入攻击一般是基于环球网WEB的应用程序，这类应用程序允许用户输入查询条件，并将查询条件嵌入SQL请求语句中发送到与该应用程序相关联的数据库服务器中去执行。攻击者通过在应用程序中预先定义好的查询语句结尾上加上额外的SQL语句元素，欺骗数据库服务器执行非授权的查询。通过构造一些畸形的输入，攻击者能够操作这种请求语句获取预先未知的结果。SQL注入攻击一定发生在和数据库交互的网页中，网页的格式也一定如下：http://XXX.com.cn/***.asp？id＝123。其中网页使用的脚本可以是asp、php、jsp、perl等脚本语言，这些脚本语言可以和数据库进行交互，获取信息。

目前，入侵防护系统(IPS，Intrusion Prevention System)设备对于SQL注入攻击的检测方式主要是依据SQL注入的攻击特征进行检测。这种检测方式主要是根据SQL注入攻击的各个阶段的行为，提取攻击特征，检测网络中的流量是否满足SQL注入攻击特征，以此来判断网络中是否存在SQL注入攻击。

但是，这种基于攻击特征的检测方式存在以下缺点：

(1)漏报的可能性比较大，攻击者很容易构造攻击绕过特征检测，达到攻击的目的。例如在检测网站是否存在SQL注入漏洞时，攻击者一般通过在URL的尾部提交and 1＝1，然后根据网页返回情况判断是否存在SQL注入漏洞，如果特征提取了and 1＝1，而攻击者构造and 3＝3，就非常轻松的绕过IPS设备的攻击检测，达到攻击的目的。

(2)目前SQL注入攻击可以针对不同的后台数据库，每一个数据库又有不同的SQL注入工具，要完整的阻断这些特征，需要提取大量特征，而工具稍微变换，就可能导致已有特征无法命中常见的SQL攻击特征。这导致特征的提取永远落后于攻击的发展，每一条特征的改变都是依靠攻击的改变驱动的，这种方式就不容易发现潜在的尚未公布的SQL注入漏洞。

(3)现有特征检测不是从SQL注入的整体过程进行把握，而仅仅是通过特征检测SQL注入的某种情况是否发生，经验丰富的攻击者完全可以绕过安全检测。

综上所述，现有的基于特征的SQL注入攻击检测方式还存在漏报情况较多的问题。

发明内容

本发明提供了一种SQL注入攻击检测方法，该方法大大减少了攻击漏报的情况。

本发明还提供了一种SQL注入攻击检测装置，该装置大大减少了攻击漏报的情况。

为达到上述目的，本发明的技术方案具体是这样实现的：

本发明公开了一种结构化查询语言SQL注入攻击检测方法，建立用于记录攻击者IP地址和攻击次数的SQL注入攻击黑名单，该方法对所接收到的报文执行以下步骤：

A、对所述报文进行基于SQL注入攻击特征的检测，如果命中则执行步骤C，否则执行步骤B；

B、对所述报文进行基于SQL注入攻击行为的检测，如果命中则执行步骤C，否则转发所述报文；