[发明专利]SQL注入拦截检测方法、装置、设备及计算机可读介质

说明书

本发明提出一种SQL注入拦截检测方法，包括：根据SQL语法树规则对接收的SQL指令进行检测，判断接收的SQL指令是否为恶意指令；若接收的SQL指令没有命中语法树规则，则通过分析模型对接收的SQL指令进行分析，判断接收的SQL指令是否为潜在恶意指令。本发明实施例结合了在线检测和离线分析两种方式，可以对入侵的恶意SQL命令进行拦截，还可以通过离线分析发现并补充规则的漏洞。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种SQL注入拦截检测方法及装置、设备和计算机可读介质。

背景技术

目前互联网企业面临大量的黑客攻击，其中相当大的比例是SQL注入攻击。

目前的SQL(Structured Query Language，结构化查询语言)注入拦截主要是靠WAF(Web Application Firewall，网站应用级入侵防御系统)进行拦截。WAF中利用正则进行拦截和检测，然而由于很多复杂情况难以描述，因此正则规则单纯基于文本特性的误报率高。

发明内容

本发明实施例提供一种SQL注入拦截检测方法、装置、设备及计算机可读介质，以解决或缓解现有技术中的一个或多个技术问题。

第一方面，本发明实施例提供了一种SQL注入拦截检测方法，包括：

根据SQL语法树规则对接收的SQL指令进行检测，判断接收的SQL指令是否为恶意指令；

若接收的SQL指令没有命中语法树规则，则通过分析模型对接收的SQL指令进行分析，判断接收的SQL指令是否为潜在恶意指令。

结合第一方面，本发明在第一方面的第一种实施方式中，所述根据SQL语法树规则对接收的SQL指令进行检测，判断接收的SQL指令是否为恶意指令的步骤中，包括：

将接收的SQL指令中的SQL语句解析成语法树结构；

判断该语法树结构是否与黑名单中的语法树的特征匹配；若是，则进行拦截。

结合第一方面，本发明在第一方面的第二种实施方式中，所述通过分析模型对接收的SQL指令进行分析，判断接收的SQL指令是否为潜在恶意指令的步骤中，包括：

将接收的SQL指令根据语法规则生成向量；

计算接收的SQL指令的向量与恶意SQL指令的向量样本的相似度；若相似度达到设定阈值，则判定接收的SQL指令为恶意指令。

结合第一方面或第一方面的任意一种实施方式，本发明在第一方面的第三种实施方式中，还包括步骤：

当所述分析模型判定接收的SQL指令为恶意指令时，根据所述接收的SQL指令在黑名单中增加恶意SQL指令的语法结构规则。

第二方面，本发明实施例提供了一种SQL注入拦截检测装置，包括：

检测模块，用于根据SQL语法树规则对接收的SQL指令进行检测，判断接收的SQL指令是否为恶意指令；

分析模块，用于若接收的SQL指令没有命中语法树规则，则通过分析模型对接收的SQL指令进行分析，判断接收的SQL指令是否为潜在恶意指令。

结合第二方面，本发明在第二方面的第一种实施方式中，所述检测模块包括：

解析子模块，用于将接收的SQL指令中的SQL语句解析成语法树结构；

拦截子模块，用于判断该语法树结构是否与黑名单中的语法树的特征匹配；若是，则进行拦截。

结合第二方面，本发明在第二方面的第二种实施方式中，所述分析模块包括：

向量生成子模块，用于将接收的SQL指令根据语法规则生成向量；