[发明专利]SQL注入攻击的检测方法及装置、系统

说明书

本发明公开了一种SQL注入攻击的检测方法及装置、系统。其中，该方法包括：对待测SQL语句进行解析，得到所述待测SQL语句的语法规则信息，其中，所述语法规则信息包括：语法元素以及所述语法元素的上下文信息；将所有所述语法规则信息与SQL注入规则集中的SQL注入规则进行匹配，其中，所述SQL注入规则为对SQL注入语句进行解析后得到的特征；统计所有所述语法规则信息与SQL注入规则集匹配的SQL注入规则的数量；并在统计数量大于预设阈值时，确定所述待测SQL语句为SQL注入攻击。

技术领域

本发明涉及网络安全领域，具体而言，涉及一种结构化查询语言(StructuredQuery Language简称SQL)注入攻击的检测方法及装置、系统。

背景技术

由于SQL注入攻击可以用来从数据库获取敏感信息，或者利用数据库的特性执行添加用户，导出文件等一系列恶意操作，甚至有可能获取数据库乃至系统用户最高权限，因此，对于数据库系统来说，如何有效的进行SQL防御也显得格外重要。

WAF是一种基础的安全保护模块，主要针对HTTP访问的Web程序保护，部署在Web应用程序前面，在用户请求到达Web服务器前对用户请求进行扫描和过滤，分析并校验每个用户请求的网络包，确保每个用户请求有效且安全，对无效或有攻击行为的请求进行拦截或隔离。目前，常用的SQL注入检测方式是：在WAF(应用防火墙)中对用户提交的数据、cookie、refer等字段进行规则匹配，匹配方式主要包括如下几种：

1、关键词匹配

1)收集常见的SQL注入语法关键词(eg：and 1＝1)；

2)对用户输入的信息进行关键词查找，如果匹配1)中的关键词，则判定为SQL注入，进行拦截。

2、正则表达式匹配

1)收集常见的SQL注入方法(eg：and*＝*)；

2)根据1)收集的信息，构造SQL注入正则表达式；

3)对用户输入的信息进行正则表达式匹配，如果匹配2)中构造的正则表达式，则判定为SQL注入，进行拦截。

3、基于语法分析的规则匹配

1)收集常见的SQL注入方法；

2)根据1)收集的信息，构建基于SQL语法元素的规则特征库；

3)对用户输入的信息进行SQL词法、语法分析，构造语法树；

4)遍历4)中构造的语法树的每个SQL语法元素，语法上下文信息，进行规则检测，如果命中2)中构建规则库中的规则，则判定为SQL注入，进行拦截。

其中，关键字方式只是简单的对一些关键字进行匹配检测，很容易产生误报，并且由于SQL的多样化，有经验的黑客通过一些语句的变化很容易绕过检测。正则表达式方式是由关键字方式发展而来的，虽然一定程度上降低了误报率，但由于正则表达式是基于字符串的过滤，执行效率比较低，同时针对一些比较复杂的注入方法，同样存在漏报率高的问题。

基于语法分析的规则匹配：该方式相比1和2中描述的方式，因考虑了SQL的语义，能识别一些变种SQL(如通过一些符号编码、添加注释等方式绕过)，降低了误报率和漏报率，并且在执行效率上也有所提升，但由于进行匹配的是用户提交信息，和最终提交给数据库执行的SQL有所偏差，也会导致误报。虽然也有将用户提交信息和预定义的各类动态SQL模板进行组合生成SQL语句，对生成的语句进行再次规则匹配来降低误报率的方案，但在包含大量SQL模板的应用中，会导致整个匹配效率降低。其次，规则集的设定直接影响误报率和漏报率的高低，规则设定得较严格，会降低漏报率，但同时导致误报率升高；相反，如果设置得较宽松，会降低误报率，但同时导致漏报率升高。