CN101388763B - 一种支持多种数据库类型的sql注入攻击检测系统 - Google Patents
一种支持多种数据库类型的sql注入攻击检测系统 Download PDFInfo
- Publication number
- CN101388763B CN101388763B CN2007101216681A CN200710121668A CN101388763B CN 101388763 B CN101388763 B CN 101388763B CN 2007101216681 A CN2007101216681 A CN 2007101216681A CN 200710121668 A CN200710121668 A CN 200710121668A CN 101388763 B CN101388763 B CN 101388763B
- Authority
- CN
- China
- Prior art keywords
- sql injection
- sql
- module
- injection attacks
- injection attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种支持多种数据库类型的SQL注入攻击检测系统。包括数据获取模块、数据预处理模块、SQL注入攻击检测模块、SQL注入报警模块和分类转发模块。可包含多个SQL注入攻击检测模块,各SQL注入攻击检测模块分别基于其相关数据库类型的扩展SQL语法创建SQL注入攻击检测语法规则,各SQL注入攻击检测模块与某一Web应用服务器目的地址绑定,实现对所有具有相同目的地址的待检测对象的SQL注入攻击检测。本发明充分考虑了各类型数据库的SQL语法差异性,按Web应用服务器目的地址将待检测对象进行分类,并由支持特定数据库类型SQL语法扩展的SQL注入攻击检测模块进行检测,大大降低了SQL注入攻击检测中的漏报问题。
Description
技术领域
本发明涉及网络安全检测技术领域,特别涉及一种可用于入侵检测防御产品的支持多种数据库类型的SQL注入攻击检测系统。
背景技术
SQL(Structure Query Language,结构化查询语言)注入攻击是指攻击者利用已有应用程序中的SQL注入漏洞,将恶意的SQL命令注入到后台数据库引擎中执行,达到偷取数据甚至控制数据库服务器目的的安全事件。SQL注入漏洞的根源是应用程序中使用了用户输入数据来构造动态SQL语句,并且未对用户输入数据做安全检查和过滤。SQL注入漏洞常见于利用HTTP协议(Hypertext Transfer Protocol,超文本传输协议)实现客户端和服务器之间通信的Web应用程序中。
SQL注入攻击已经成为当前最为严重的安全攻击事件。据统计,目前发生的安全事件中60%属于SQL注入攻击事件。2006年,国际漏洞组织CVE公布了1078条SQL注入安全漏洞事件,超过其公布的漏洞总数的50%。更为严重的是,这些公布的SQL注入安全漏洞事件仅来自于对通用应用程序的SQL注入漏洞的统计,大量的存在于专用Web应用程序(包括银行、政务网)的SQL注入漏洞的根本无法统计。
SQL注入漏洞问题的普遍性和严重性已经引起了客户和网络安全界的重视,一些网络入侵检测/防御厂商也对SQL注入攻击的检测和防御进行了研究,并提出了一些SQL注入检测方法。传统SQL注入攻击检测方法都是基于入侵检测系统攻击特征签名检测技术,比如当发现用户输入数据域中包含了’SELECT’关键词时,表示检测到了可能的SQL注入攻击企图。这种沿用传 统入侵检测系统攻击特征签名的SQL注入攻击检测方法存在以下问题:SQL注入攻击特征签名难于准确提取,导致误报率非常高;SQL注入攻击特征签名容易被欺骗,导致漏报率非常高。
为克服SQL注入攻击特征签名提取不准确和攻击特征签名易被欺骗等缺点,人们提出了一种基于SQL注入命令语法规则的SQL注入攻击检测方法,其检测依据是:虽然SQL注入攻击手法多变,但万变不离其宗:其注入部分必须部分或全部符合SQL语法。该SQL注入攻击检测方法包括SQL注入攻击检测知识库构建和实时SQL注入攻击检测两个阶段,其中,SQL注入攻击检测知识库构建阶段包括以下步骤(如附图1所示):1)收集各种场景下的SQL注入攻击样本;2)对这些样本按{动态SQL模板类型,SQL注入点位置}序偶进行分类,每一类代表一种SQL注入攻击手法;3)为各类SQL注入攻击手法建立符合SQL语法的SQL注入攻击检测语法规则;4)基于SQL注入攻击检测语法规则构建SQL词法分析器和语法分析器;所述的实时SQL注入攻击检测阶段包括以下步骤(如附图2所示):1)从HTTP请求中提取可能包含SQL注入攻击的用户输入数据,包括URL(Universal Resource Locator,统一资源定位器)参数、COOKIE参数(一种隐含地从Web客户端处获取用户输入信息的机制)和FORM表单数据(一种直接从用户处直接获取输入数据的机制);2)根据用户输入数据类型,将用户输入数据分割成多个{名称,值}序偶,表示为{NAME,VALUE};3)对每个{NAME,VALUE}序偶中的{VALUE}字串按HTTP解码规范解码,还原成原始的用户数据格式;4)对于每个被解码还原的{VALUE}字串,通过先前构建的SQL词法分析器和语法分析器进行词法分析和语法分析,检测其是否与某一SQL注入攻击检测语法规则相匹配:如果匹配,则检测到了相应的SQL注入攻击企图,并报警。该方法使用SQL注入命令的语法结构定义SQL注入攻击检测规则,而不是使用传统攻击特征签名机制来定义SQL注入攻击检测规则,有效克服了SQL注入攻击事件的攻击特征签名不易提取和易被欺骗等缺点,可大大降低入侵检测系统检测SQL注入攻击时的误报率和漏报率。但是,该SQL注入攻击检测方法采用国际标准组织ANSI公布的关系数据库SQL语言规范SQL99(1999年公布的SQL语言规范)来创建各SQL注入手法对应的SQL注入攻击检测语法规则,而业界存在多种类型的关系数据库,包括Oracle,Microsoft SQL Server,Sybase,Informix等,这些关系数据库虽然兼容SQL99语言规范,但都对SQL99语言规范进行了很大扩展,导致各流行关系数据库之间的SQL语法差异很大。这种SQL语法的差异性问题导致了各流行数据库支持的SQL注入攻击手法的语法规范不相同。如果仅仅基于SQL99标准SQL语言规范创建SQL注入攻击检测语法规则,则可能导致SQL注入攻击漏报问题。
发明内容
本发明目的是克服现有基于标准SQL99语法规范的SQL注入攻击检测方法在实际应用过程由于各类型关系数据库SQL语法的差异性而导致的漏报问题,提出一种支持多种数据库类型的SQL注入攻击检测系统,该SQL注入攻击检测系统在定义SQL注入攻击检测语法规则时充分考虑了各类型数据库的SQL语法差异性问题,大大降低了现有SQL注入攻击检测系统的漏报率。
本发明的目的是通过以下技术方案来实现的:
一种支持多种数据库类型的SQL注入攻击检测系统,它包括:
用于收集网络上与HTTP服务相关的网络数据包的数据获取模块;
用于将数据收集模块收集的网络数据包进行TCP流重组、HTTP协议解析并产生待检测对象的数据预处理模块;
用于对数据预处理模块输出的待检测对象进行SQL注入攻击检测并生成SQL注入攻击报警事件的的SQL注入攻击检测模块;
用于接收来自SQL注入攻击检测模块上报的SQL注入攻击报警事件的SQL注入报警模块;
此外,它还包括一个用于按待检测对象的目的地址进行分类转发的分类转发模块;其中,
每一类型的待检测对象由支持特定类型关系数据库的SQL注入攻击检测模块检测;
所述的支持特定类型关系数据库的SQL注入攻击检测模块采用符合该类型数据库SQL语法的SQL注入攻击检测语法规则进行SQL注入攻击检测;
所述的SQL注入攻击检测系统可包含多个SQL注入攻击检测模块,各SQL注入攻击检测模块分别基于其相关数据库类型的扩展SQL语法创建SQL注入攻击检测语法规则,各SQL注入攻击检测模块与某一Web应用服务器目的地址绑定,实现对所有具有相同目的地址的待检测对象的SQL注入攻击检测。
本发明所述的支持多种数据库类型的SQL注入攻击检测系统各模块之间的数据流关系如下:由数据获取模块从网络中获取网络数据包,对网络数据包进行过滤后传送给数据预处理模块,数据预处理模块将基于TCP连接四元组标识进行流重组和HTTP协议解析,提取出包含用户输入数据的URL参数、Cookie和表单数据,封装成一个待检测对象,交给分类转发模块;分类转发模块根据各SQL注入攻击检测模块绑定的目的地址对待检测对象进行分类转发,从而将各待检测对象传送给指定的SQL注入攻击检测模块;SQL注入攻击检测模块基于特定类型数据库的扩展SQL语法构建的SQL注入攻击检测语法规则库对待检测对象中封装的URL参数、Cookie和表单数据中包含的用户输入数据进行SQL注入攻击检测,如果检测到SQL注入攻击企 图,则给SQL注入报警模块发送一个报警信号;SQL注入报警模块根据待检测对象中数据产生一个SQL注入攻击报警事件,在报警控制台显示或者传送给远程报警控制台。
优选地,所述的支持多种数据库类型的SQL注入攻击检测系统中,其所述的检测对象分类模块在分类待检测对象时,使用的目的地址可以为主机域名、主机IP地址、HTTP服务端口和URL子目录的任意组合。
优选地,所述的支持多种数据库类型的SQL注入攻击检测系统还包括一个用来将各支持特定类型数据库的SQL注入攻击检测模块与某一Web应用服务器目的地址进行绑定的配置模块。
优选地,所述的支持多种数据库类型的SQL注入攻击检测系统中,所述的数据收集模块在收集网络数据包时,将过滤掉那些不与任何SQL注入攻击检测模块绑定的目的地址相关的网络数据包。
本发明所述的支持多种数据库类型的SQL注入攻击检测系统有益效果是:本发明使用SQL注入命令的内在语法结构来定义SQL注入攻击检测规则,而不是基于传统入侵检测系统的攻击特征签名来定义SQL注入攻击检测规则,有效克服了SQL注入攻击事件的攻击特征签名不易提取和易被欺骗等缺点,大大降低入侵检测系统检测SQL注入攻击时的误报率和漏报率。同时,本发明充分考虑了各类型数据库的SQL语法差异性以及实际应用场景下一个Web应用服务器往往只访问一种特定类型关系数据库的特点,将支持特定类型数据库扩展SQL语法的SQL注入攻击检测模块与Web应用服务器目的地址绑定,从而实现针对特定类型数据库的SQL注入攻击事件的全面检测。本发明所述的支持多种数据库类型的SQL注入攻击检测系统可广泛应用于入侵检测系统/入侵防御系统等所有需要对SQL注入攻击进行检测/过滤的网络安全产品中。
附图说明
图1为现有基于SQL99规范的SQL注入攻击检测系统检测知识库构建流程;
图2为现有基于SQL99规范的SQL注入攻击检测系统实时SQL注入攻击检测流程;
图3为支持多种数据库类型SQL注入攻击检测系统体系结构;
图4为支持多种数据库类型SQL注入攻击检测系统实施例。
具体实施方式
下面结合附图和实施例对本发明所述的支持多种数据库类型的SQL注入攻击检测系统做进一步说明。
本发明所述的SQL注入攻击检测系统的体系结构如附图3所示,它包括如下几个模块:
数据获取模块:用于捕获Web客户端和Web应用服务器之间通信时产生的大量网络数据包;网络数据包的捕获方式可以采用旁路方式,也可以采用路由方式。在旁路工作方式下,可以通过集线器、交换机或路由器镜像端口捕获被监控网络中的所有网络数据包,然后按HTTP服务端口(比如80端口)对报文进行过滤,得到需要进一步预处理的网络数据包。
数据预处理模块:接收来自数据获取模块传来的与HTTP服务相关的网络数据包,并对这些网络数据包按如下方式处理:1)首先按照TCP流标识四元组<源IP地址,目IP地址,源端口,目端口>对网络数据包进行分类;2)对按TCP流标识四元组分类的各类网络数据包基于TCP协议规范进行流重组,得到TCP流对象;3)对于各TCP流对象,按HTTP协议规范进行协议解析,提取出HTTP协议消息中包含用户输入数据的HTTP消息参数,包括URL参数、COOKIE参数和Form表单数据。其中URL参数和COOKIE参数来自于HTTP协议消息的头部,而Form表单数据来自于HTTP协议消息的主体部分;4)将从各TCP流解析出的用户输入数据(包括URL、COOKIE和FORM表单数据)和TCP流标识四元组 封装成一个待检测对象,传送给分类转发模块。
分类转发模块:对于数据预处理模块提交的待检测对象,分类转发模块根据各SQL注入攻击检测模块绑定的目的地址进行转发操作,即将各待检测对象转发到绑定了与该待检测对象相同目的地址的SQL注入攻击检测模块来进行检测。
SQL注入攻击检测模块:SQL注入攻击检测模块负责接收来自分类转发模块转发的待检测对象,按照该SQL注入攻击检测模块支持的SQL注入攻击检测语法规则对其进行SQL注入攻击检测,如果在待检测对象中发现了SQL注入攻击企图,则产生一个SQL注入攻击报警事件,并将与之相关的待检测对象封装进该SQL注入攻击报警事件中;最后,所有SQL注入攻击报警事件将被转发到SQL注入报警事件模块。
SQL注入报警模块:接收来自SQL注入报警模块的SQL注入报警事件,然后在本地的报警显示台显示,或者通过某种方式传送到远程的报警控制台进行显示。
系统配置模块:接收来自网络安全管理员的指令,完成本SQL注入攻击检测系统中各SQL注入攻击检测模块的目的地址绑定、SQL注入报警机制的设置、以及数据获取模块的报文过滤方式的设置等操作。
在本发明所述的支持多种数据库类型的SQL注入攻击检测系统的具体实施过程中,所述的分类转发模块在分类转发待检测对象时,可以使用主机域名、主机IP地址、HTTP服务端口和URL子目录的任意组合作为SQL注入攻击检测模块的目的地址。比如,以目的IP地址作为各SQL注入攻击检测模块注册的目的地址,也可以将目IP地址和服务端口同时作为各SQL注入攻击检测模块注册的目的地址。
在具体实施本发明所述的各SQL注入攻击检测模块过程中,在创建针对某数据库类型的SQL注入手法检测语法规则时,是根据该类型数据库的扩展SQL语法规范来定义其顶级SQL注入攻击检测语法规则和其它SQL子句语法规则的。
在具体实施本发明所述的支持多种数据库类型的SQL注入攻击检测系统时,需要考虑被监控网络中Web应用服务器支持的关系数据库类型来选择加载哪些种类的SQL注入攻击检测模块。比如,如果被监控网络中存在两个需要保护的Web服务器:Web1和Web2,其中Web1所访问的关系数据库种类为Oracle数据库,而Web2所访问的关系数据库种类为Microsoft SQL Server,则只需要加载两个SQL注入攻击检测模块,其中一个为支持Oracle语法规范的SQL注入攻击检测模块,它与目的地址Web1绑定;另一个为支持Microsoft SQL Server语法规范的SQL注入攻击检测模块,它与目的地址Web2绑定。在具体实施过程中,这种将支持特定类型数据库的SQL注入攻击检测模块绑定到指定Web应用服务器目的地址的操作由本发明所述系统配置模块完成。
在一个实际的SQL注入攻击检测系统实施过程中,经常出现这种情况:被监控网络中可能存在多个Web应用服务器,但并不是所有Web应用服务器都带有数据库。在这种情形下,可以不必对那些发往后台不带数据库的Web应用服务器目的地址的待检测对象进行检测,这可以大大提高本SQL注入攻击检测系统的效率。因此,在具体实施本发明所述的支持多种数据库类型的SQL注入攻击检测系统过程中,可以在所述的数据收集模块上执行网络数据包过 滤操作,即过滤掉那些目的地址没有被任何SQL注入攻击检测模块绑定的网络数据包。
为使本领域普通技术人员充分理解本发明涉及的支持多种数据库类型的SQL注入攻击检测系统的工作过程,下面给出一个具体实施例。
本支持多种数据库类型的SQL注入攻击检测系统实施例如附图4所示。该实施例中,存在三个Web应用服务器,各Web应用服务器情况如下:Web1,IP地址为192.168.1.10,该Web应用服务器在工作时需要访问后台的Oracle数据库服务器;Web2,IP地址为192.168.1.20,该Web应用服务器在工作时需要访问后台的Microsoft SQL Server数据库服务器;Web3,IP地址为192.168.1.30,该Web应用服务器在工作时并不需要任何类型数据库服务器的支持,它直接将数据存储到普通文件系统中。在实施本发明时,需要将该发明所述的SQL注入攻击检测系统安装在该监控网络的出入口处,因此,它可以捕获到访问上述三台Web应用服务器的网络数据包。
由于Web3应用服务器在工作过程中不访问任何关系数据库,不存在SQL注入安全漏洞,因此没有必要对发往Web3应用服务器的HTTP请求进行SQL注入攻击检测。而Web1和Web2应用服务器后台都带有关系数据库,可能存在SQL注入安全漏洞,因此,有必要对发往Web1和Web2应用服务器的所有HTTP请求进行SQL注入攻击检测。但是,Web1和Web2应用服务器后台的关系数据库类型不同,因此,有必要采用支持不同数据库类型的SQL注入攻击检测模块分别对发往Web1和Web2应用服务器的HTTP请求进行SQL注入攻击检测。这里需要通过本SQL注入攻击检测系统中所述的系统配置模块注册两种类型的SQL注入攻击检测模块:一个为支持Oracle数据库的SQL注入攻击检测模块,它与Web1应用服务器目的地址绑定,即其绑定的目的地址为192.168.1.10;另一个为支持Microsoft SQL Server数据库的SQL注入攻击检测模块,它与Web2 应用服务器目的地址绑定,即其绑定的目的地址为192.168.1.20。同时,配置本SQL注入攻击检测系统的数据获取模块的网络数据包过滤策略,使其只捕获发往目的地址为192.168.1.10和192.168.1.20的所有HTTP相关的网络数据包。
假设互联网络上存在三个Web用户,他们分别访问被监控网络中的Web1(192.168.1.10)、Web2(192.168.1.20)和Web3(192.168.1.30)应用服务器。这些网络访问所产生的网络数据包将被安装在出入口处的SQL注入攻击检测系统的数据获取模块截获。数据捕获模块首先会根据各SQL注入服务器绑定的目的地址执行网络数据包过滤,因此,经过数据获取模块的报文过滤后,将只剩下发往Web1和Web2应用服务器的网络数据包。然后,数据预处理模块将根据TCP流标识四元组对网络数据包进行分类和TCP流重组,并对重组后的TCP流进行HTTP协议解析。假设通过数据预处理模块得到了如表1“数据预处理模块解析得到的两个HTTP协议消息实例”所示的两个HTTP协议消息实例及其相关的TCP流标识四元组。
表1
SID=(SIP=192.168.3.111,DIP=192.168.1.10,Sport=1356,Dport=80)GET/cgi-bin/getinfo.exe?uid=12345+union+select+1%2C1%2CGLB%28distinct+name%29+*+from+users&uname=xiaoye HTTP/1.1\r\nACCEPT:image/gif,image/jpeg\r\nACCEPT-Language:zh-cn\r\nACCEPT-Encoding:gzip,deflate\r\nUser-Agent:mozilla/4.0\r\nHost:www1.testhost.com\r\nConnection:Keep-Alive\r\nCookie:SID=123456-23455;Channel=movie%27+or+%271%27%3D%271\r\n\r\n |
SID=(SIP=192.168.12.231,DIP=192.168.1.20,Sport=2135,Dport=80)POST/cgi-bin/readuser.exe HTTP/1.1\r\nACCEPT:image/gif,image/jpeg\r\nACCEPT-Language:zh-cn\r\nACCEPT-Encoding:gzip,deflate\r\nUser-Agent:mozilla/4.0\r\nHost:www2.testhost.com\r\nConnection:Keep-Alive\r\nContent-Length:71\r\nCookie:SID=123456-23455;\r\n\r\nuid=12345+union+select+1%2C1%2C%40%40version&title=hello+how+are+you%3F |
首先从表1所示的两个HTTP协议消息的URL参数、Cookie和Form表单数据区域提取用户输入数据,并与相关的TCP流标识四元组一起封装进待检测对象中,得到两个待检测对象,如表2“从HTTP协议消息实例中提取的待检测对象”所示。
表2
SID=(SIP=192.168.3.111,DIP=192.168.1.10,Sport=1356,Dport=80)URL参数=【uid=12345+union+select+1%2C1%2CGLB%28distinct+name%29+*+from+users&uname=xiaoye】Cookie=【ID=123456-23455;Channel=movie%27+or+%271%27%3D%271】 |
SID=(SIP=192.168.12.231,DIP=192.168.1.20,Sport=2135,Dport=80)Cookie=【SID=123456-23455;】Form表单数据=【uid=12345+union+select+1%2C1%2C%40%40version&title=hello+how+are+you%3F】 |
然后,分类转发模块根据各SQL注入攻击检测模块绑定的目的地址将相关待检测对象转发给相应的SQL注入攻击检测模块。这里将把目的地址为Web1(192.168.1.10)的待检测对象转发给基于Oracle数据库语法规则构建 的SQL注入攻击检测模块;而将把目的地址为Web2(192.168.1.20)的待检测对象转发给基于Microsoft SQL SERVER数据库语法规则构建的SQL注入攻击检测模块。基于扩展SQL语法的SQL注入攻击检测语法规则,对于发往目的地址Web1的待检测对象,将在URL参数的uid域中发现一个针对Oracle数据库的SQL注入攻击企图,同时也在Cookie参数的Channel域中发现了一个SQL注入攻击企图。对于发往目的地址Web2的待检测对象,将在FORM表单数据的uid域中发现一个针对Microsoft SQL Server数据库的SQL注入攻击企图。两个SQL注入攻击检测模块都将产生相应的SQL注入攻击事件,并将传送给SQL注入攻击报警模块。
Claims (4)
1.一种支持多种数据库类型的SQL注入攻击检测系统,它包括:
用于收集网络上与HTTP服务相关的所有网络数据包的数据获取模块;
用于将数据获取模块收集的网络数据包进行流重组、HTTP协议解析和生成待检测对象的数据预处理模块;
用于对数据预处理模块输出的待检测对象进行SQL注入攻击检测并生成SQL注入攻击报警事件的SQL注入攻击检测模块;
用于接收来自SQL注入攻击检测模块上报的SQL注入攻击报警事件的SQL注入报警模块;
其特征在于,
它还包括一个用于按待检测对象目的地址进行分类转发的分类转发模块;
每一类型的待检测对象由支持特定类型数据库的SQL注入攻击检测模块分析检测;
所述的SQL注入攻击检测系统包含多个SQL注入攻击检测模块,各SQL注入攻击检测模块分别基于其相关数据库类型的扩展SQL语法创建SQL注入攻击检测语法规则,各SQL注入攻击检测模块与某一Web应用服务器目的地址绑定,实现对拥有该目的地址的待检测对象的SQL注入攻击检测。
2.如权利要求1所述的一种支持多种数据库类型的SQL注入攻击检测系统,其特征在于,所述的分类转发模块在分类转发待检测对象时,使用的目的地址为主机域名、主机IP地址、HTTP服务端口和URL子目录的任意组合。
3.如权利要求1所述的一种支持多种数据库类型的SQL注入攻击检测系统,其特征在于,它还包括一个用来将各支持特定类型数据库的SQL注入攻击检测模块与某一Web应用服务器目的地址进行绑定的配置模块。
4.如权利要求1所述的一种支持多种数据库类型的SQL注入攻击检测系统,其特征在于,所述的支持多种数据库类型的SQL注入攻击检测系统中,所述的数据获取模块在收集网络数据包时,将过滤掉那些不与任何SQL注入攻击检测模块绑定的目的地址相关的网络数据包。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2007101216681A CN101388763B (zh) | 2007-09-12 | 2007-09-12 | 一种支持多种数据库类型的sql注入攻击检测系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2007101216681A CN101388763B (zh) | 2007-09-12 | 2007-09-12 | 一种支持多种数据库类型的sql注入攻击检测系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101388763A CN101388763A (zh) | 2009-03-18 |
CN101388763B true CN101388763B (zh) | 2011-02-02 |
Family
ID=40477959
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2007101216681A Expired - Fee Related CN101388763B (zh) | 2007-09-12 | 2007-09-12 | 一种支持多种数据库类型的sql注入攻击检测系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101388763B (zh) |
Families Citing this family (22)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101901222B (zh) * | 2009-05-27 | 2012-07-18 | 北京启明星辰信息技术股份有限公司 | 一种sql解析及匹配的方法和系统 |
CN102045319B (zh) * | 2009-10-21 | 2013-06-12 | 中国移动通信集团山东有限公司 | Sql注入攻击检测方法及其装置 |
CN102185930B (zh) * | 2011-06-09 | 2013-04-03 | 北京理工大学 | 一种sql注入漏洞检测方法 |
CN102968578A (zh) * | 2012-10-30 | 2013-03-13 | 山东中创软件商用中间件股份有限公司 | 一种防注入方法及系统 |
CN103473353B (zh) * | 2013-09-25 | 2017-02-08 | 上海交通大学 | 面向Web安全的数据库安全防护方法和系统 |
CN104378228B (zh) * | 2014-09-30 | 2018-07-13 | 上海宾捷信息科技有限公司 | 网络数据安全管理系统及方法 |
CN104333485A (zh) * | 2014-10-31 | 2015-02-04 | 北京思特奇信息技术股份有限公司 | 一种基于交换机全量的业务数据采集分析方法及系统 |
CN105357179B (zh) * | 2015-09-29 | 2018-10-30 | 深信服网络科技(深圳)有限公司 | 网络攻击的处理方法及装置 |
CN107122657B (zh) * | 2017-05-02 | 2021-01-01 | 上海红神信息技术有限公司 | 一种防御sql注入攻击的数据库代理装置 |
CN107277057A (zh) * | 2017-08-03 | 2017-10-20 | 四川长虹电器股份有限公司 | 一种.net服务器上防止SQL注入的方法 |
CN107786545A (zh) * | 2017-09-29 | 2018-03-09 | 中国平安人寿保险股份有限公司 | 一种网络攻击行为检测方法及终端设备 |
CN109067717B (zh) * | 2018-07-20 | 2021-06-11 | 西安四叶草信息技术有限公司 | 一种检测sql注入漏洞的方法及装置 |
US11108823B2 (en) | 2018-07-31 | 2021-08-31 | International Business Machines Corporation | Resource security system using fake connections |
CN110737647B (zh) * | 2019-08-20 | 2023-07-25 | 广州宏数科技有限公司 | 一种互联网大数据清洗方法 |
CN111291070B (zh) * | 2020-01-20 | 2021-03-30 | 南京星环智能科技有限公司 | 一种异常sql检测方法、设备及介质 |
CN113722573B (zh) * | 2020-05-26 | 2024-02-09 | 中国电信股份有限公司 | 生成网络安全威胁数据集合的方法、系统和存储介质 |
CN111885061A (zh) * | 2020-07-23 | 2020-11-03 | 深信服科技股份有限公司 | 一种网络攻击检测方法、装置、设备及介质 |
CN112084499A (zh) * | 2020-09-11 | 2020-12-15 | 杭州安恒信息技术股份有限公司 | 一种基于语法分析的0day攻击检测方法、装置、设备及介质 |
CN112769833B (zh) * | 2021-01-12 | 2023-01-24 | 恒安嘉新(北京)科技股份公司 | 命令注入攻击的检测方法、装置、计算机设备和存储介质 |
CN112887274B (zh) * | 2021-01-12 | 2023-04-14 | 恒安嘉新(北京)科技股份公司 | 命令注入攻击的检测方法、装置、计算机设备和存储介质 |
CN113259366B (zh) * | 2021-05-27 | 2024-04-26 | 国网电力科学研究院有限公司 | 针对恶意攻击的信息与物理协同分析与防御系统 |
CN113852638B (zh) * | 2021-09-28 | 2024-02-27 | 深信服科技股份有限公司 | 一种攻击检测方法、装置、设备及存储介质 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1881208A (zh) * | 2005-06-14 | 2006-12-20 | 联想(北京)有限公司 | 动态结构化查询语言语句的构造方法 |
CN1909488A (zh) * | 2006-08-30 | 2007-02-07 | 北京启明星辰信息技术有限公司 | 一种结合病毒检测与入侵检测的方法及系统 |
-
2007
- 2007-09-12 CN CN2007101216681A patent/CN101388763B/zh not_active Expired - Fee Related
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1881208A (zh) * | 2005-06-14 | 2006-12-20 | 联想(北京)有限公司 | 动态结构化查询语言语句的构造方法 |
CN1909488A (zh) * | 2006-08-30 | 2007-02-07 | 北京启明星辰信息技术有限公司 | 一种结合病毒检测与入侵检测的方法及系统 |
Non-Patent Citations (1)
Title |
---|
李文锋,林天峰.SQL注入攻击.《计算机与网络》.2004,(第24期),第54-57页. * |
Also Published As
Publication number | Publication date |
---|---|
CN101388763A (zh) | 2009-03-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101388763B (zh) | 一种支持多种数据库类型的sql注入攻击检测系统 | |
CN101425937B (zh) | 一种适于高速局域网环境的sql注入攻击检测系统 | |
CN101267357B (zh) | 一种sql注入攻击检测方法及系统 | |
CN105656950B (zh) | 一种基于域名的http访问劫持检测与净化装置及方法 | |
CN107087001B (zh) | 一种分布式的互联网重要地址空间检索系统 | |
CN107733851A (zh) | 基于通信行为分析的dns隧道木马检测方法 | |
CN101895516B (zh) | 一种跨站脚本攻击源的定位方法及装置 | |
CN109600317B (zh) | 一种自动识别流量并提取应用规则的方法及装置 | |
HK1044393A1 (en) | Content based publish-and-subscribe system integrated in a relational database system | |
CN103179132A (zh) | 一种检测和防御cc攻击的方法及装置 | |
CN113301012B (zh) | 一种网络威胁的检测方法、装置、电子设备及存储介质 | |
CN102316087A (zh) | 网络应用攻击的检测方法 | |
CN106209431A (zh) | 一种告警关联方法及网管系统 | |
TWM594841U (zh) | 封包擷取分析裝置及具有該封包擷取分析裝置之網路資安系統 | |
CN108173692A (zh) | 一种基于主动和被动相结合的全网设备感知系统和感知方法 | |
CN1435977A (zh) | 防火墙入侵检测与响应的方法 | |
CN106250290A (zh) | 异常信息的分析方法及装置 | |
CN102271331B (zh) | 一种检测业务提供商sp站点可靠性的方法及系统 | |
CN101582897A (zh) | 一种深度报文检测方法和装置 | |
CN109309587A (zh) | 一种日志采集方法及系统 | |
CN116055448A (zh) | 一种电力作业的标识数据管理平台 | |
CN106657145A (zh) | 一种基于通信协议和sql语法的数据库自动发现方法 | |
CN104021348A (zh) | 一种隐匿p2p程序实时检测方法及系统 | |
CN101040279B (zh) | 面向连接的垃圾邮件过滤系统和方法 | |
CN101345595B (zh) | 一种基于广播信道传输内容标引的系统及方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110202 Termination date: 20160912 |
|
CF01 | Termination of patent right due to non-payment of annual fee |