[发明专利]一种SQL注入告警处理方法及装置

权利要求书

1.一种SQL注入告警处理方法，其特征在于，包括：

根据SQL注入告警以及攻击行为核实规则，获得所述SQL注入告警的攻击行为核实结果；其中，所述攻击行为核实规则是预设的，所述攻击行为核实规则有至少一种；

若获知所述攻击行为核实结果为存在攻击行为，则根据所述攻击行为核实结果包括的攻击行为类型对应的攻击结果核实规则以及所述SQL注入告警，获得所述SQL注入告警的核实结果，所述核实结果包括核实依据；其中，所述攻击结果核实规则是预设的；

其中，所述根据SQL注入告警以及攻击行为核实规则，获得所述SQL注入告警的攻击行为核实结果包括：

若判断获知所述SQL注入告警满足任何一种攻击行为核实规则，则设置所述SQL注入告警的攻击行为核实结果为存在攻击行为，且所述SQL注入告警的攻击行为核实结果包括的攻击行为类型与所述SQL注入告警满足的攻击行为核实规则对应；其中，所述攻击行为核实规则与所述攻击行为类型一一对应。

2.根据权利要求1所述的方法，其特征在于，还包括：

若判断获知所述SQL注入告警不满足任何一种攻击行为核实规则且所述SQL注入告警包括的业务数据为非正常业务数据，则设置所述SQL注入告警的攻击行为核实结果为存在攻击行为。

3.根据权利要求1所述的方法，其特征在于，所述根据所述攻击行为核实结果包括的攻击行为类型对应的攻击结果核实规则以及所述SQL注入告警，获得所述SQL注入告警的核实结果包括：

若所述SQL注入告警的攻击行为类型为第一类攻击且所述SQL注入告警满足通用型资产漏洞回显判定规则，则获得所述SQL注入告警的核实结果包括存在漏洞；其中，所述通用型资产漏洞回显判定规则是预设的；所述第一类攻击为通用型漏洞识别规则对应的攻击行为类型，所述通用型漏洞识别规则是预设的。

4.根据权利要求1所述的方法，其特征在于，所述根据所述攻击行为核实结果包括的攻击行为类型对应的攻击结果核实规则以及所述SQL注入告警，获得所述SQL注入告警的核实结果包括：

若所述SQL注入告警的攻击行为类型为第二类攻击且所述SQL注入告警满足页面SQL报错回显判定规则，则获得所述SQL注入告警的核实结果包括存在漏洞；其中，所述页面SQL报错回显判定规则是预设的；所述第二类攻击为页面SQL执行报错识别规则对应的攻击行为类型，所述页面SQL执行报错识别规则是预设的。

5.根据权利要求1所述的方法，其特征在于，所述根据所述攻击行为核实结果包括的攻击行为类型对应的攻击结果核实规则以及所述SQL注入告警，获得所述SQL注入告警的核实结果包括：

若所述SQL注入告警的攻击行为类型为第三类攻击或者第四类攻击，且所述SQL注入告警满足SQL注入流量回显判定规则，则获得所述SQL注入告警的核实结果包括存在漏洞；其中，SQL注入流量回显判定规则是预设的；所述第三类攻击为黑客工具识别规则对应的攻击行为类型，所述黑客工具识别规则是预设的；所述第四类攻击为扫描行为识别规则对应的攻击行为类型，所述扫描行为识别规则是预设的。

6.根据权利要求1所述的方法，其特征在于，所述根据所述攻击行为核实结果包括的攻击行为类型对应的攻击结果核实规则以及所述SQL注入告警，获得所述SQL注入告警的核实结果包括：

若所述SQL注入告警的攻击行为类型为第五类攻击，则获得所述SQL注入告警的核实结果包括存在漏洞；其中，所述第五类攻击为EDR关联数据判断规则对应的攻击行为类型，所述EDR关联数据判断规则是预设的。

7.根据权利要求1所述的方法，其特征在于，所述根据所述攻击行为核实结果包括的攻击行为类型对应的攻击结果核实规则以及所述SQL注入告警，获得所述SQL注入告警的核实结果包括：

若所述SQL注入告警的攻击行为类型为第六类攻击且所述SQL注入告警满足SQL语句指令语义识别规则，则获得所述SQL注入告警的核实结果包括存在漏洞；其中，所述SQL语句指令语义识别规则是预设的；所述第六类攻击为关联数据库操作数据识别规则对应的攻击行为类型，所述关联数据库操作数据识别规则是预设的。