CN105005736A - 一种体域网的sql注入攻击的检测方法及系统 - Google Patents

Abstract

本发明提供一种体域网的sql注入攻击的检测方法，包括如下步骤：步骤1、在医疗应用初始化阶段，收集应用程序发来的自定义请求，将自定义请求构建成标准分析树，并将标准分析树经过压缩后存入仓库中；步骤2、在医疗应用投入使用阶段，接收当前应用程序发来的请求，将当前请求构建成当前分析树，并将当前分析树与仓库中的标准分析树进比对，若比对结果一致，则判为正常，否则，判为发生SQL注入攻击。本发明还提供一种体域网的sql注入攻击的检测系统，有效阻挡SQL注入攻击，提高云端数据的安全性，保障无线体域网络中的病人隐私数据不被泄露。

Description

一种体域网的sql注入攻击的检测方法及系统

技术领域

本发明涉及一种体域网的sql注入攻击的检测方法及系统。

背景技术

近年来，体域网(BAN，Body Area Network)已经成为健康领域的一种新的技术，该网络通过可穿戴设备和可植入的无线传感器来收集病人相关的数据，这些传感器可以收集到人体的各种信息，比如体温、脉搏、心率等。随着病人数据的爆炸式增加，我们就需要一个有更强大计算能力和存储能力的服务设备对这些数据进行管理，近些年，将病人数据存储在云端已经成为一种趋势，基于云辅助的无线体域网在计算资源分配上有更大的灵活性，为患者和医护人员提供更好的服务。如果要将患者的医疗信息存储在云端，就必须保障患者信息的安全性和隐私性，因此基于云辅助的无线体域网中对SQL注入攻击的防御是十分必要的。

SQL注入攻击是黑客对数据库进行攻击的常用手段之一，SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序，而这些输入大都是SQL语法里的一些组合，通过执行SQL语句进而执行攻击者所要的操作，其主要原因是程序没有细致地过滤用户输入的数据，致使非法数据侵入系统，因为程序员的水平和经验的差异，在编码时无可避免对用户输入数据的合法性判断存在遗漏，黑客可以提交一段数据库查询代码，根据程序返回的结果，获得某些他想得知的数据，使云端数据存在极大的安全隐患。

基于上述问题，本发明开发有医疗应用系统，提供一个平台给医疗人员访问数据库，该医疗应用系统在投入使用前需要一个初始化过程，初始化过程一般由管理员进行，管理员通过发送各种自定义请求，构建标准分析树作为后期医疗应用系统投入使用时判断请求合法性的依据，本发明系统可以直接嵌入到云环境中，具有很到位的检测率，较低的误报率和漏表率，大大提高云端数据的安全性。

发明内容

本发明要解决的技术问题之一，在于提供一种体域网的sql注入攻击的检测方法，实现对恶意攻击的过滤，维护数据库信息安全。

本发明要解决的技术问题之一是这样实现的：一种体域网的sql注入攻击的检测方法，包括如下步骤：

步骤1、在医疗应用初始化阶段，收集应用程序发来的自定义请求，将自定义请求构建成标准分析树，并将标准分析树经过压缩后存入仓库中，所述标准分析树是在在医疗应用初始化阶段创建的，作为后期判定是否发生SQL注入攻击的准则；

步骤2、在医疗应用投入使用阶段，接收当前应用程序发来的请求，将当前请求构建成当前分析树，并将当前分析树与仓库中的标准分析树进比对，若比对结果一致，则判为正常，否则，判为发生SQL注入攻击。

进一步的，所述步骤1进一步包括：

步骤11、收集应用程序发来的自定义请求，根据自定义请求构建成一运行栈和一标准分析树；

步骤12、通过哈希函数分别对运行栈和标准分析树进行压缩，根据压缩后的运行栈和压缩后的标准分析树得到一个仓库的索引位置，根据索引位置将压缩后的标准分析树插入到仓库的对应位置。

进一步的，所述步骤2进一步包括：

步骤21、接收当前应用程序发来的请求，将当前请求构建成一当前运行栈和一当前分析树；

步骤22、通过哈希函数分别对当前运行栈和当前分析树进行压缩，根据压缩后的当前运行栈和压缩后的当前分析树得到索引位置，根据索引位置检索得到仓库中对应位置的标准分析树；

步骤23、将该标准分析树与当前分析树进行结构比较，若比对结果一致，则判为正常，执行当前请求；否则，判为发生SQL注入攻击，终止执行当前请求，并记录日志。

本发明要解决的技术问题之一，在于提供一种体域网的sql注入攻击的检测方法，实现对恶意攻击的过滤，维护数据库信息安全。

本发明要解决的技术问题之一是这样实现的：一种体域网的sql注入攻击的检测系统，所述系统包括：

仓库构建模块，用于在医疗应用初始化阶段，收集应用程序发来的自定义请求，将自定义请求构建成标准分析树，并将标准分析树经过压缩后存入仓库中，所述标准分析树是在在医疗应用初始化阶段创建的，作为后期判定是否发生SQL注入攻击的准则；以及

SQL注入攻击过滤模块，用于在医疗应用投入使用阶段，接收当前应用程序发来的请求，将当前请求构建成当前分析树，并将当前分析树与仓库中的标准分析树进比对，若比对结果一致，则判为正常，否则，判为发生SQL注入攻击。

进一步的，所述仓库构建模块进一步包括：

标准分析树构建模块，用于收集应用程序发来的自定义请求，根据自定义请求构建成一运行栈和一标准分析树；以及

标准分析树插入模块，用于通过哈希函数分别对运行栈和标准分析树进行压缩，根据压缩后的运行栈和压缩后的标准分析树得到一个仓库的索引位置，根据索引位置将压缩后的标准分析树插入到仓库的对应位置。

进一步的，所述SQL注入攻击过滤模块进一步包括：

当前分析树构建模块，用于接收当前应用程序发来的请求，将当前请求构建成一当前运行栈和一当前分析树；

查询标准分析树，用于通过哈希函数分别对当前运行栈和当前分析树进行压缩，根据压缩后的当前运行栈和压缩后的当前分析树得到索引位置，根据索引位置检索得到仓库中对应位置的标准分析树；以及

判断模块，用于将该标准分析树与当前分析树进行结构比较，若比对结果一致，则判为正常，执行当前请求；否则，判为发生SQL注入攻击，终止执行当前请求，并记录日志。

本发明具有如下优点：本发明构建一个用于存放标准分析树的仓库，通过将访问请求与仓库中的标准分析树进行比对来对非法数据进行过滤，有效阻挡SQL注入攻击，提高云端数据的安全性，保障无线体域网络中的病人隐私数据不被泄露。

附图说明

下面参照附图结合实施例对本发明作进一步的说明。

图1为本发明方法执行流程图。

图2为本发明系统逻辑框图。

具体实施方式

一种体域网的sql注入攻击的检测方法，包括如下步骤：

步骤1、在医疗应用初始化阶段，收集应用程序发来的自定义请求，将自定义请求构建成标准分析树，并将标准分析树经过压缩后存入仓库中；

步骤2、在医疗应用投入使用阶段，接收当前应用程序发来的请求，将当前请求构建成当前分析树，并将当前分析树与仓库中的标准分析树进比对，若比对结果一致，则判为正常，否则，判为发生SQL注入攻击。

所述步骤1进一步包括：

步骤11、收集应用程序发来的自定义请求，根据自定义请求构建成一运行栈和一标准分析树；

步骤12、通过哈希函数分别对运行栈和标准分析树进行压缩，根据压缩后的运行栈和压缩后的标准分析树得到一个仓库的索引位置，根据索引位置将压缩后的标准分析树插入到仓库的对应位置。

所述步骤2进一步包括：

步骤21、接收当前应用程序发来的请求，将当前请求构建成一当前运行栈和一当前分析树；

步骤22、通过哈希函数分别对当前运行栈和当前分析树进行压缩，根据压缩后的当前运行栈和压缩后的当前分析树得到索引位置，根据索引位置检索得到仓库中对应位置的标准分析树；

步骤23、将该标准分析树与当前分析树进行结构比较，若比对结果一致，则判为正常，执行当前请求；否则，判为发生SQL注入攻击，终止执行当前请求，并记录日志。

一种体域网的sql注入攻击的检测系统，所述系统包括仓库构建模块和SQL注入攻击过滤模块：

所述仓库构建模块，用于在医疗应用初始化阶段，收集应用程序发来的自定义请求，将自定义请求构建成标准分析树，并将标准分析树经过压缩后存入仓库中；

所述SQL注入攻击过滤模块，用于在医疗应用投入使用阶段，接收当前应用程序发来的请求，将当前请求构建成当前分析树，并将当前分析树与仓库中的标准分析树进比对，若比对结果一致，则判为正常，否则，判为发生SQL注入攻击。

所述仓库构建模块进一步包括：

标准分析树构建模块，用于收集应用程序发来的自定义请求，根据自定义请求构建成一运行栈和一标准分析树；以及

标准分析树插入模块，用于通过哈希函数分别对运行栈和标准分析树进行压缩，根据压缩后的运行栈和压缩后的标准分析树得到一个仓库的索引位置，根据索引位置将压缩后的标准分析树插入到仓库的对应位置。

所述SQL注入攻击过滤模块进一步包括：

当前分析树构建模块，用于接收当前应用程序发来的请求，将当前请求构建成一当前运行栈和一当前分析树；

查询标准分析树，用于通过哈希函数分别对当前运行栈和当前分析树进行压缩，根据压缩后的当前运行栈和压缩后的当前分析树得到索引位置，根据索引位置检索得到仓库中对应位置的标准分析树；以及

判断模块，用于将该标准分析树与当前分析树进行结构比较，若比对结果一致，则判为正常，执行当前请求；否则，判为发生SQL注入攻击，终止执行当前请求，并记录日志。

下面结合具体实施例对本发明做进一步说明：

如图1所示，一种体域网的sql注入攻击的检测方法，包括如下步骤：

步骤1、在医疗应用初始化阶段，收集应用程序发来的自定义请求，将自定义请求构建成标准分析树，并将标准分析树经过压缩后存入仓库中；该步骤进一步包括步骤11和步骤12，

步骤11、收集应用程序发来的自定义请求，如收到一查询语句q，根据自定义请求q构建成一运行栈F_GRS(q)和一标准分析树F_GT(q)；

步骤12、通过哈希函数Hc分别对运行栈F_GRS(q)和标准分析树F_GT(q)进行压缩，得到压缩后的运行栈C_R和压缩后的标准分析树C_T，再根据C_R和C_T得到一个仓库的索引位置index，根据该索引位置index将压缩后的标准分析树C_T插入到仓库的对应位置，其中C_R＝Hc(F_GRS(q))，C_T＝Hc(F_GT(q))，所述索引位置index根据一哈希函数Hi获得，即index＝Hi(C_T|C_R)，Hi是一个通过将任意数映射到{0,1,2,....,n-1}这个集合的哈希函数；

步骤2、在医疗应用投入使用阶段，接收当前应用程序发来的请求，将当前请求构建成当前分析树，并将当前分析树与仓库中的标准分析树进比对，若比对结果一致，则判为正常，否则，判为发生SQL注入攻击。

所述步骤2进一步包括：

步骤21、接收当前应用程序发来的请求q'，将当前请求q'构建成一当前运行栈F_GRS(q')和一当前分析树F_GT(q')；

步骤22、通过哈希函数Hc分别对当前运行栈F_GRS(q')和当前分析树F_GT(q')进行压缩，得到压缩后的运行栈C_R'和压缩后的标准分析树C_T'，再根据C_R'和C_T'得到索引位置index'，根据该索引位置index'检索仓库中对应位置的标准分析树C_T；

步骤23、将该标准分析树C_T与当前分析树C_T'进行结构比较，若比对结果一致，则判为正常，执行当前请求；否则，判为发生SQL注入，终止执行当前请求，并记录日志。

如图2所示，一种体域网的sql注入攻击的检测系统，所述系统包括仓库构建模块和SQL注入攻击过滤模块：

所述仓库构建模块，用于在医疗应用初始化阶段，收集应用程序发来的自定义请求，将自定义请求构建成标准分析树，并将标准分析树经过压缩后存入仓库中；所述仓库构建模块进一步包括标准分析树构建模块和标准分析树插入模块：

所述标准分析树构建模块，用于收集应用程序发来的自定义请求，如收到一查询语句q，根据自定义请求q构建成一运行栈F_GRS(q)和一标准分析树F_GT(q)；

所述标准分析树插入模块，用于通过哈希函数Hc分别对运行栈F_GRS(q)和标准分析树F_GT(q)进行压缩，得到压缩后的运行栈C_R和压缩后的标准分析树C_T，再根据C_R和C_T得到一个仓库的索引位置index，根据该索引位置index将压缩后的标准分析树C_T插入到仓库的对应位置，其中C_R＝Hc(F_GRS(q))，C_T＝Hc(F_GT(q))，所述索引位置index根据一哈希函数Hi获得，即index＝Hi(C_T|C_R)，Hi是一个通过将任意数映射到{0,1,2,....,n-1}这个集合的哈希函数；

所述SQL注入攻击过滤模块，用于在医疗应用投入使用阶段，接收当前应用程序发来的请求，将当前请求构建成当前分析树，并将当前分析树与仓库中的标准分析树进比对，若比对结果一致，则判为正常，否则，判为发生SQL注入攻击；

所述SQL注入攻击过滤模块进一步包括：

当前分析树构建模块，用于接收当前应用程序发来的请求q'，将当前请求q'构建成一当前运行栈F_GRS(q')和一当前分析树F_GT(q')；

查询标准分析树，用于通过哈希函数Hc分别对当前运行栈F_GRS(q')和当前分析树F_GT(q')进行压缩，得到压缩后的运行栈C_R'和压缩后的标准分析树C_T'，再根据C_R'和C_T'得到索引位置index'，根据该索引位置index'检索仓库中对应位置的标准分析树C_T；以及

判断模块，用于将该标准分析树C_T与当前分析树C_T'进行结构比较，若比对结果一致，则判为正常，执行当前请求；否则，判为发生SQL注入，终止执行当前请求，并记录日志。

另外，上述用于压缩运行栈和分析树所采用的哈希函数Hc具体如下：

算法Hc(F_GT(q))中F_GT(q)是字符串，作为键值key，

Hc(F_GRS(q))中F_GRS(q)也是字符串，作为键值key，

自定义一个变量Prime，Prime的值取系统可以取到的最大素数，例如2147483647，从而减小仓库中index值发生冲突的可能性；

Hc函数的代码表达如下：

通过static int additiveHash(String key,int prime)，将F_GT(q)和F_GRS(q)分别替代该函数中的key，得到了两个int型的整数C_T和C_R，最后由C_T和C_R共同决定了索引位置index的值。

虽然以上描述了本发明的具体实施方式，但是熟悉本技术领域的技术人员应当理解，我们所描述的具体的实施例只是说明性的，而不是用于对本发明的范围的限定，熟悉本领域的技术人员在依照本发明的精神所作的等效的修饰以及变化，都应当涵盖在本发明的权利要求所保护的范围内。

Claims (6)

1.一种体域网的sql注入攻击的检测方法，其特征在于：包括如下步骤：

步骤1、在医疗应用初始化阶段，收集应用程序发来的自定义请求，将自定义请求构建成标准分析树，并将标准分析树经过压缩后存入仓库中；

步骤2、在医疗应用投入使用阶段，接收当前应用程序发来的请求，将当前请求构建成当前分析树，并将当前分析树与仓库中的标准分析树进比对，若比对结果一致，则判为正常，否则，判为发生SQL注入攻击。

2.根据权利要求1所述的一种体域网的sql注入攻击的检测方法，其特征在于：所述步骤1进一步包括：

步骤11、收集应用程序发来的自定义请求，根据自定义请求构建成一运行栈和一标准分析树；

步骤12、通过哈希函数分别对运行栈和标准分析树进行压缩，根据压缩后的运行栈和压缩后的标准分析树得到一个仓库的索引位置，根据索引位置将压缩后的标准分析树插入到仓库的对应位置。

3.根据权利要求1所述的一种体域网的sql注入攻击的检测方法，其特征在于：所述步骤2进一步包括：

步骤21、接收当前应用程序发来的请求，将当前请求构建成一当前运行栈和一当前分析树；

步骤22、通过哈希函数分别对当前运行栈和当前分析树进行压缩，根据压缩后的当前运行栈和压缩后的当前分析树得到索引位置，根据索引位置检索得到仓库中对应位置的标准分析树；

步骤23、将该标准分析树与当前分析树进行结构比较，若比对结果一致，则判为正常，执行当前请求；否则，判为发生SQL注入攻击，终止执行当前请求，并记录日志。

4.一种体域网的sql注入攻击的检测系统，其特征在于：所述系统包括：

仓库构建模块，用于在医疗应用初始化阶段，收集应用程序发来的自定义请求，将自定义请求构建成标准分析树，并将标准分析树经过压缩后存入仓库中；以及

SQL注入攻击过滤模块，用于在医疗应用投入使用阶段，接收当前应用程序发来的请求，将当前请求构建成当前分析树，并将当前分析树与仓库中的标准分析树进比对，若比对结果一致，则判为正常，否则，判为发生SQL注入攻击。

5.根据权利要求4所述的一种体域网的sql注入攻击的检测系统，其特征在于：所述仓库构建模块进一步包括：

标准分析树构建模块，用于收集应用程序发来的自定义请求，根据自定义请求构建成一运行栈和一标准分析树；以及

标准分析树插入模块，用于通过哈希函数分别对运行栈和标准分析树进行压缩，根据压缩后的运行栈和压缩后的标准分析树得到一个仓库的索引位置，根据索引位置将压缩后的标准分析树插入到仓库的对应位置。

6.根据权利要求4所述的一种体域网的sql注入攻击的检测系统，其特征在于：所述SQL注入攻击过滤模块进一步包括：

当前分析树构建模块，用于接收当前应用程序发来的请求，将当前请求构建成一当前运行栈和一当前分析树；

查询标准分析树，用于通过哈希函数分别对当前运行栈和当前分析树进行压缩，根据压缩后的当前运行栈和压缩后的当前分析树得到索引位置，根据索引位置检索得到仓库中对应位置的标准分析树；以及

判断模块，用于将该标准分析树与当前分析树进行结构比较，若比对结果一致，则判为正常，执行当前请求；否则，判为发生SQL注入攻击，终止执行当前请求，并记录日志。