[发明专利]一种SQL注入攻击的检测方法及装置

说明书

本申请提供一种SQL注入攻击的检测方法，该方法包括：在检测到客户端发往Web服务器的HTTP请求中携带有预设的关键字库中的任一关键字时，生成包括有客户端的IP地址的疑似SQL注入日志；以及在检测到预设的威胁情报库中存在与数据库服务器发出的DNS请求中携带的域名相匹配的域名时，生成可疑域名查询日志；若监测到生成的该疑似SQL注入日志的条数达到设定条数、且监测到每次生成该疑似SQL注入日志后的设定时长内均生成了可疑域名查询日志，则判定客户端成功进行了SQL注入攻击。本申请实施例可以准确地检测出客户端是否成功进行了SQL注入攻击，不会出现漏检测和误检测的现象。

技术领域

本申请涉及信息安全技术领域，尤其涉及一种SQL注入攻击的检测方法及装置。

背景技术

随着互联网的逐步发展，提供各种服务的网站越来越多，给人们的日常生活提供了很大方便。然而，随着互联网发展以及计算机技术的进步，针对网站系统的攻击种类也越来越多，越来越频繁。其中，结构化查询语言(Structure Query Language，SQL)注入攻击已经逐渐成为网络系统遭遇的最频繁的攻击方式之一。

SQL注入攻击是指攻击者利用已有应用程序中的SQL注入漏洞，将恶意的SQL命令注入到后台数据库引擎中执行，达到偷取数据甚至控制数据库服务器的目的的安全事件。SQL注入漏洞常见于利用超文本传输协议(Hypertext Transfer Protocol，HTTP)实现客户端与Web服务器之间通信的Web应用程序中。

目前，现有的SQL注入攻击的检测方法，主要是通过判断客户端发往Web服务器的HTTP请求中是否携带有预设的关键字，在判断结果为是的情况下，即认定客户端进行了SQL注入攻击。

但是，在实际检测过程中，有经验的攻击者很容易绕过预设的关键字进行SQL注入攻击，出现漏检测的现象，并且，在某些合法客户端发送的HTTP请求中携带了预设的关键字的情形下，还会出现误检测的现象。

发明内容

为克服相关技术中存在的问题，本申请提供了一种SQL注入攻击的检测方法及装置。

根据本申请实施例的第一方面，提供一种SQL注入攻击的检测方法，所述方法包括：

在检测到客户端发往Web服务器的HTTP请求中携带有预设的关键字库中的任一关键字时，生成包括有客户端的IP地址的疑似SQL注入日志；以及在检测到预设的威胁情报库中存在与数据库服务器发出的域名系统(Domain Name System，DNS)请求中携带的域名相匹配的域名时，生成可疑域名查询日志；

若监测到生成的所述疑似SQL注入日志的条数达到设定条数、且监测到每次生成所述疑似SQL注入日志后的设定时长内均生成了可疑域名查询日志，则判定所述客户端成功进行了SQL注入攻击。

根据本申请实施例的第二方面，提供一种SQL注入攻击的检测装置，所述装置包括：

疑似SQL注入检测模块，用于在检测到客户端发往Web服务器的HTTP请求中携带有预设的关键字库中的任一关键字时，生成包括有客户端的IP地址的疑似SQL注入日志；

可疑域名检测模块，用于在检测到预设的威胁情报库中存在与数据库服务器发出的DNS请求中携带的域名相匹配的域名时，生成可疑域名查询日志；

攻击判定模块，用于在监测到所述疑似SQL注入检测模块生成的所述疑似SQL注入日志的条数达到设定条数、且监测到所述疑似SQL注入检测模块每次生成所述疑似SQL注入日志后的设定时长内所述可疑域名检测模块均生成了可疑域名查询日志，则判定所述客户端成功进行了SQL注入攻击。

本申请的实施例提供的技术方案可以包括以下有益效果：