CN107294953A - 攻击操作检测方法及装置 - Google Patents

攻击操作检测方法及装置 Download PDF

Info

Publication number
CN107294953A
CN107294953A CN201710354452.3A CN201710354452A CN107294953A CN 107294953 A CN107294953 A CN 107294953A CN 201710354452 A CN201710354452 A CN 201710354452A CN 107294953 A CN107294953 A CN 107294953A
Authority
CN
China
Prior art keywords
login
sql
attack operation
sql statement
operation detection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201710354452.3A
Other languages
English (en)
Other versions
CN107294953B (zh
Inventor
何海生
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sangfor Technologies Co Ltd
Original Assignee
Sangfor Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sangfor Technologies Co Ltd filed Critical Sangfor Technologies Co Ltd
Priority to CN201710354452.3A priority Critical patent/CN107294953B/zh
Publication of CN107294953A publication Critical patent/CN107294953A/zh
Application granted granted Critical
Publication of CN107294953B publication Critical patent/CN107294953B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Databases & Information Systems (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种攻击操作检测方法,包括:抓取WEB服务器与数据库交互过程中的多条SQL语句;根据预置的各SQL模板依序组成的SQL模板序列,判断SQL语句是否对应为访问数据库中特定数据的登录操作;若是,则对应确定SQL模板序列所匹配的登录结果;从SQL语句中提取登录操作所对应的登录账户,并累计登录账户发生登录结果的次数;当登录账户发生登录结果的次数满足预设条件时,确定当前存在攻击操作。本发明还公开了一种攻击操作检测装置。本发明基于SQL协议进行攻击操作检测,因而可以适用于所有的数据库业务系统,并可有效保护用户或企业的数据安全。

Description

攻击操作检测方法及装置
技术领域
本发明涉及数据库安全技术领域,尤其涉及攻击操作检测方法及装置。
背景技术
随着网络技术的不断发展,越来越多的用户私密信息被保存到个人账号下,一旦用户账号密码被泄露或者被攻破,轻则泄露所有个人信息,重则财产受到不可挽回的损失。例如CSDN账号泄露、12306账号泄露、携程网账号泄露等,无论是对个人还是企业,都造成了重大损害。因而保护用户信息安全,防止用户信息泄露,就成为了各大企业急需解决的一大难题。
目前,暴库、撞库是常见的两种攻击手段,只要针对这两种攻击方式进行有效的防护,就能从很大程度上保护企业和用户的数据安全。而现有技术中常用的暴库撞库检测主要是基于HTTP协议的,通过分析用户登录发起的POST请求来获取当前用户的信息,然后通过POST的回包来判断登录是否成功,最后通过登录失败的次数来检测是否存在暴库或撞库等攻击行为。例如,张三这个用户,在10s内尝试使用不同的密码登录了100次,那就很有可能是正在被暴库。
然而,尽管基于http协议的检测简单通用,但是由于近来越来越多的网站采用了SSL加密的方式,从用户到WEB SERVER之间无法获取到明文的HTTP数据,如果一定要采用这种方式,那么需要中间多做一次SSL代理,WEB SERVER需要配合调整数据流和其他一些设置,这是很多企业都难以接受的,尤其对于一些业务流量大,业务涉及面广的企业,因此现有攻击操作的检测方式的适用范围会越来越小,同时实施的可行性也较低。
发明内容
本发明的主要目的在于提供一种攻击操作检测方法及装置,旨在解决现有技术中检测攻击操作的方式适用范围较小且实施不便的技术问题。
为实现上述目的,本发明提供一种攻击操作检测方法,所述攻击操作检测方法包括:
抓取WEB服务器与数据库交互过程中的多条SQL语句;
根据预置的各SQL模板依序组成的SQL模板序列,判断所述SQL语句是否对应为访问所述数据库中特定数据的登录操作;
若所述SQL语句对应为访问所述数据库中特定数据的登录操作,则对应确定所述SQL模板序列所匹配的登录结果;
从所述SQL语句中提取所述登录操作所对应的登录账户,并累计所述登录账户发生所述登录结果的次数;
当所述登录账户发生所述登录结果的次数满足预设条件时,确定当前存在攻击操作,其中,所述攻击操作至少包括暴库操作或撞库操作。
优选地,所述攻击操作检测方法还包括:生成SQL语句对应的SQL模板;
所述生成SQL语句对应的SQL模板包括:
抓取WEB服务器与数据库交互过程中的多条SQL语句;
采用词法分析识别所述SQL语句中的变量;
采用占位符替换所述SQL语句中的变量,得到所述SQL语句分别对应的SQL模板。
优选地,所述攻击操作检测方法还包括:
在进行攻击操作检测之前,进行SQL模板序列训练,得到所述登录操作所对应的登录模板序列,所述登录模板序列包括登录成功模板序列、登录失败模板序列;
其中,若所述SQL模板序列与所述登录成功模板序列匹配,则所述登录结果为登录成功,若所述SQL模板序列与所述登录失败模板序列匹配,则所述登录结果为登录失败。
优选地,所述当所述登录账户发生所述登录结果的次数满足预设条件时,确定当前存在攻击操作包括如下任意一种:
当所述登录结果为登录成功且所述登录账户在本次登录成功之前发生登录失败的次数达到第一预设次数时,确定当前存在暴库操作;
当所述登录结果为登录失败且所述登录账户在本次登录失败之前发生登录失败的次数达到第二预设次数时,确定当前存在暴库操作;
当所述登录结果为登录失败且所述登录账户在本次登录失败之前发生登录失败的次数未达到所述第二预设次数时,计算所有登录账户下登录成功的次数与登录失败次数的比值,若所述比值达到预设比值,则确定当前存在撞库操作。
优选地,所述攻击操作检测方法还包括:
当确定当前存在暴库操作或撞库操作时,输出告警信息,其中,当存在暴库操作且所述登录结果为登录成功时,断开对应登录账户的所有数据连接。
进一步地,为实现上述目的,本发明还提供一种攻击操作检测装置,所述攻击操作检测装置包括:
抓取模块,用于抓取WEB服务器与数据库交互过程中的多条SQL语句;
判断模块,用于根据各SQL模板依序组成的SQL模板序列,判断所述SQL语句是否对应为访问所述数据库中特定数据的登录操作;
匹配模块,用于当所述SQL语句对应为访问所述数据库中特定数据的登录操作时,对应确定所述SQL模板序列所匹配的登录结果;
累计模块,用于从所述SQL语句中提取所述登录操作所对应的登录账户,并累计所述登录账户发生所述登录结果的次数;
确定模块,用于当所述登录账户发生所述登录结果的次数满足预设条件时,确定当前存在攻击操作,其中,所述攻击操作至少包括暴库操作或撞库操作。
优选地,所述攻击操作检测装置还包括:生成模块,用于生成SQL语句对应的SQL模板;
所述生成模块包括:
抓取单元,用于抓取WEB服务器与数据库交互过程中的多条SQL语句;
识别单元,用于采用词法分析识别所述SQL语句中的变量;
替换单元,用于采用占位符替换所述SQL语句中的变量,得到所述SQL语句分别对应的SQL模板。
优选地,所述攻击操作检测装置还包括:
训练模块,用于在进行攻击操作检测之前,进行SQL模板序列训练,得到所述登录操作所对应的登录模板序列,所述登录模板序列包括登录成功模板序列、登录失败模板序列;
其中,若所述SQL模板序列与所述登录成功模板序列匹配,则所述登录结果为登录成功,若所述SQL模板序列与所述登录失败模板序列匹配,则所述登录结果为登录失败。
优选地,所述确定模块具体用于:
当所述登录结果为登录成功且所述登录账户在本次登录成功之前发生登录失败的次数达到第一预设次数时,确定当前存在暴库操作;
当所述登录结果为登录失败且所述登录账户在本次登录失败之前发生登录失败的次数达到第二预设次数时,确定当前存在暴库操作;
当所述登录结果为登录失败且所述登录账户在本次登录失败之前发生登录失败的次数未达到所述第二预设次数时,计算所有登录账户下登录成功的次数与登录失败次数的比值,若所述比值达到预设比值,则确定当前存在撞库操作。
优选地,所述攻击操作检测装置还包括:
告警模块,用于当确定当前存在暴库操作或撞库操作时,输出告警信息,其中,当存在暴库操作且所述登录结果为登录成功时,所述告警模块还用于断开对应登录账户的所有数据连接。
本发明中,通过抓取登录过程中产生的SQL语句序列进行登录识别,同时,为了让单个用户产生的登录SQL语句序列具有通用性,进一步把SQL语句抽成SQL模板,从而可应用到所有的账号登录识别中以及所有的数据库业务系统中。此外,进一步根据SQL语句序列所对应的SQL模板序列,确定当前登录结果,进而可有效降低误判,同时根据登录结果的相关信息,确定当前是否存在攻击操作,进而可有效保护用户或企业的数据安全。
附图说明
图1为本发明攻击操作检测实施原理示意图;
图2为本发明攻击操作检测方法第一实施例的流程示意图;
图3为本发明攻击操作检测方法中生成SQL模板的流程示意图;
图4为本发明攻击操作检测方法第二实施例的流程示意图;
图5为本发明攻击操作检测方法一实施例中登录模板序列自动学习流程示意图;
图6为本发明攻击操作检测方法一实施例中登录模板序列智能识别流程示意图;
图7为本发明攻击操作检测方法一实施例中登录模板序列匹配流程示意图;
图8为攻击操作检测装置第一实施例的功能模块示意图;
图9为攻击操作检测装置第二实施例的功能模块示意图;
图10为本发明攻击操作检测装置第三实施例的功能模块示意图;
图11为本发明攻击操作检测装置第四实施例的功能模块示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
随着网络技术的不断发展,越来越多的用户私密信息被保存到个人账号下,而现有窃取用户账户信息的攻击手段主要有暴库、撞库两种手段,同时,现有暴库撞库检测技术主要是基于HTTP协议的,通过分析用户登录发起的POST请求来获取当前用户的信息,然后通过POST回包来判断登录是否成功,最后通过登录失败的次数来检测是否存在暴库撞库等攻击行为。而本发明则基于SQL协议进行检测,如图1所示。
参照图2,图2为本发明攻击操作检测方法第一实施例的流程示意图。本实施例中,攻击操作检测方法包括:
步骤S10,抓取WEB服务器与数据库交互过程中的多条SQL语句;
本实施例具体应用于C/S架构,客户端基于HTTP协议访问WEB服务器,而WEB服务器则基于SQL协议访问内部数据库。同时,随着系统安全升级,使得大多数的网站都对传输数据进行了加密,进而使得基于HTTP协议的检测方式无法获知明文传输数据而不具有适用性。因此,本实施例具体基于SQL协议进行攻击操作检测。
本实施例中,通过抓取WEB服务器与数据库交互过程中的多条SQL语句(至少两条SQL语句)来进行攻击操作检测,需要说明的是抓取的多条SQL语句在执行时具有先后顺序,进而可根据SQL语句执行的先后顺序确定当前所对应的操作,比如,第一条SQL语句进行登录名及密码校验,而第二条SQL语句则进行相应反馈,从而根据该SQL语句执行序列,即可确定当前操作为登录操作。本实施例中对于抓取SQL语句的方式不限,比如拦截WEB服务器与数据库之间的数据流并过滤SQL语句。
此外,为了让单个用户产生的登录SQL语句序列具有通用性,进一步把SQL语句抽成SQL模板,从而可应用到所有的账号登录识别中以及所有的数据库业务系统中。本实施例中对于SQL模板的生成方式不限。
步骤S20,根据预置的各SQL模板依序组成的SQL模板序列,判断SQL语句是否对应为访问数据库中特定数据的登录操作;
本实施例中,由于各SQL语句之间具有执行先后顺序,因而SQL语句相对应的SQL模板同样具有先后顺序,进而组成SQL模板序列。此外,由于不同用户的登录操作通常具有通用特征,而该通用特征可通过SQL模板序列反映出来,因此,通过分析SQL模板序列即可判断当前SQL语句是否对应为访问数据库的登录操作。同时,进一步分析SQL语句中需要访问的数据表名称(比如USER为SQL数据库中通用的用户表名)即可确定当前SQL语句是否对应为访问数据库中特定数据。
步骤S30,若SQL语句对应为访问数据库中特定数据的登录操作,则对应确定SQL模板序列所匹配的登录结果;
本实施例中,登录结果存在多种情况且至少包括登录成功与登录失败,不同的登录结果必然对应不同的SQL模板序列,因此可预先设置各登录结果下所对应的SQL登录模板序列,若当前生成的SQL模板序列与预设的SQL登录模板序列相匹配,则可确定当前生成的SQL模板序列所对应的登录结果。
本实施例中,通过SQL模板序列完成登录操作识别以及确定登录操作所对应的登录结果,从而可进一步进行攻击操作的检测。
步骤S40,从SQL语句中提取登录操作所对应的登录账户,并累计登录账户发生登录结果的次数;
步骤S50,当登录账户发生登录结果的次数满足预设条件时,确定当前存在攻击操作,其中,攻击操作至少包括暴库操作或撞库操作。
本实施例至少可用于检测暴库、撞库等针对用户账户信息的攻击操作,具体通过分析登录账户发生相应登录结果的次数进行确定。本实施例具体从SQL语句中提取登录操作所对应的登录账户,并累计登录账户发生登录结果的次数,然后再分析登录账户发生相应登录结果的次数是否满足预设条件,从而确定当前是否存在攻击操作,比如暴库操作或撞库操作。
例如,登录账户名张三在10s内尝试使用不同的密码登录了100次,则该账户名很有可能正处于暴库状态;或者根据整个系统中通过登录成功与登录失败的比例来分析是否存在撞库操作。
本实施例中,通过抓取登录过程中产生的SQL语句序列进行登录识别,同时,为了让单个用户产生的登录SQL语句序列具有通用性,进一步把SQL语句抽成SQL模板,从而可应用到所有的账号登录识别中以及所有的数据库业务系统中。此外,进一步根据SQL语句序列所对应的SQL模板序列,确定当前登录结果,进而可有效降低误判,同时根据登录结果的相关信息,确定当前是否存在攻击操作,进而可有效保护用户或企业的数据安全。
参照图3,图3为本发明攻击操作检测方法中生成SQL模板的流程示意图。基于上述实施例,本实施例中,生成SQL语句对应的SQL模板包括:
步骤S101,抓取WEB服务器与数据库交互过程中的多条SQL语句;
步骤S102,采用词法分析识别SQL语句中的变量;
步骤S103,采用占位符替换SQL语句中的变量,得到SQL语句分别对应的SQL模板。
本实施例中,在抓取到WEB服务器与数据库交互过程中原始SQL语句后,采用词法分析方式以识别抓取的原始SQL语句中的变量,然后再采用占位符替换原始SQL语句中的变量,进而得到对应的SQL模板,本实施例对于词法分析具体方式不限。此外,本实施例对于生成SQL模板的时间不限,比如既可以在进行攻击操作检测之前预先生成,也可以在进行攻击操作检测过程中同时生成,同时还可以在攻击操作检测结束后生成,具体根据实际需要进行设置。
例如,原始SQL语句select*from user where name=“sf”and age>20,则通过词法分析可确定该原始SQL语句种的表名与表的列名是固定的,而每个用户的名称以及年龄是不同的,也即为该语句中的变量,然后再使用占位符替换原始SQL语句中的变量,比如使用占位符“?”替换变量sf、20,则对应得到的SQL模板为:select*from user where name=$?and age>$?。
本实施例中,通过把SQL语句中的变量使用占位符进行替换后,便可产生SQL模板,同时SQL模板相对于SQL语句既可以节约存储空间,也可以降低SQL语句的复杂度,此外通过计算SQL模板的MD5或者CRC还可以实现SQL模板序列的快速匹配。
参照图4,图4为本发明攻击操作检测方法第二实施例的流程示意图。本实施例中,在进行攻击操作检测之前,攻击操作检测方法还包括:
步骤S00,进行SQL模板序列训练,得到登录操作所对应的登录模板序列,其中,登录模板序列包括登录成功模板序列、登录失败模板序列;若SQL模板序列与登录成功模板序列匹配,则登录结果为登录成功,若SQL模板序列与登录失败模板序列匹配,则登录结果为登录失败。
在基于SQL协议的攻击操作检测中,由于每一条从WEB SERVER到DATABASE的SQL交互都无法快速定位到原始用户,同时也比较难判断是否为登录操作,以及确定当前登录操作是否成功或失败,因此,为了实施基于SQL协议的攻击操作检测,本实施例中具体通过SQL模板序列来判断登录操作以及区分用户登录成功和登录失败。
本实施例中,SQL模板序列由至少两个有序的SQL语句产生,此外,为了可以准确区分用户登录成功和登录失败,因而还同时记录成功与失败两套模板序列,从而可有效降低误判。本实施例中,对于训练生成登录模板序列的方式不限。
例如,采用自动学习机制进行SQL模板序列训练。如图5所示,比如登录模板学习由前端界面触发,用户只需要设置好测试用户的用户名,即可开启登录模板学习;然后用户在业务系统的登录界面,触发三种不同的登录:登录成功、密码错误和用户名错误,登录模板就可以生成了,用户确认后即可提交系统,以使得该套登录模板生效。自动学习主要是针对准确性要求高,而且SQL操作复杂的业务系统。
此外,本实施例中还可以采用智能识别机制进行SQL模板序列训练,如图6所示,比如由内置的关键字集合对密码表名、用户名关键字和密码关键字进行智能识别而无需人工干预。内置的关键字集合可定时通过云端进行更新。智能识别机制主要是针对简单而且通用的业务系统,例如基于DISCUZ模板的BBS论坛等,本方式可减少管理员的干预,而且准确性也能得到保障,对于内部有各种各样小业务系统的组织机构尤其有效。
进一步地,在本发明攻击操作检测方法另一实施例中,具体根据登录账户发生登录结果的次数,确定当前存在攻击操作:
(1)当登录结果为登录成功且登录账户在本次登录成功之前发生登录失败的次数达到第一预设次数时,确定当前存在暴库操作;
(2)当登录结果为登录失败且登录账户在本次登录失败之前发生登录失败的次数达到第二预设次数时,确定当前存在暴库操作;
(3)当登录结果为登录失败且登录账户在本次登录失败之前发生登录失败的次数未达到第二预设次数时,计算所有登录账户下登录成功的次数与登录失败次数的比值,若比值达到预设比值,则确定当前存在撞库操作。
本实施例中,针对一个用户,可以通过单位时间内的登录次数来判断是否发生暴库行为;而对于整个业务系统,则可以通过登录成功和登录失败的比例来判断是否存在撞库行为,进而便可有效保护了用户和企业的数据安全。
进一步可选的,当确定当前存在暴库操作或撞库操作时,输出告警信息,其中,当存在暴库操作且登录结果为登录成功时,断开对应登录账户的所有数据连接。
如图7所示,当完成SQL模板序列训练后,即可进行登录模板序列的匹配与暴库撞库检测(用户表为特定数据):
1、如果匹配过程中命中了登录成功模板序列,那么当前是一个正常的登录操作,此时先提取SQL语句中的用户名,然后判断这个用户是否在这次成功登录之前有累加的登录失败次数;例如,张三在登录成功前,失败了6次,那么张三这个用户很可能已经被暴库成功了,因此向管理员发送相应告警信息并断开当前用户的所有连接;
2、如果匹配过程中命中了登录失败模板序列,那么先提取SQL语句中的用户名,并对这个用户的失败次数进行累计,如果超过了预设值,那么这个用户很可能正处于暴库攻击状态,因此向管理员发送相应告警信息;
3、命中登录失败模板序列后还需进一步累加全局的失败次数,如果全局的失败次数和成功次数的比值超过了预设值,那么当前系统正在处于撞库攻击状态,因此向管理员发送相应告警信息。
参照图8,图8为攻击操作检测装置第一实施例的功能模块示意图。本实施例中,攻击操作检测装置包括:
抓取模块10,用于抓取WEB服务器与数据库交互过程中的多条SQL语句;
本实施例具体应用于C/S架构,客户端基于HTTP协议访问WEB服务器,而WEB服务器则基于SQL协议访问内部数据库。同时,随着系统安全升级,使得大多数的网站都对传输数据进行了加密,进而使得基于HTTP协议的检测方式无法获知明文传输数据而不具有适用性。因此,本实施例具体基于SQL协议进行攻击操作检测。
本实施例中,通过抓取WEB服务器与数据库交互过程中的多条SQL语句(至少两条SQL语句)来进行攻击操作检测,需要说明的是抓取的多条SQL语句在执行时具有先后顺序,进而可根据SQL语句执行的先后顺序确定当前所对应的操作,比如,第一条SQL语句进行登录名及密码校验,而第二条SQL语句则进行相应反馈,从而根据该SQL语句执行序列,即可确定当前操作为登录操作。本实施例中对于抓取SQL语句的方式不限,比如拦截WEB服务器与数据库之间的数据流并过滤SQL语句。
此外,为了让单个用户产生的登录SQL语句序列具有通用性,进一步把SQL语句抽成SQL模板,从而可应用到所有的账号登录识别中以及所有的数据库业务系统中。本实施例中对于SQL模板的生成方式不限。
判断模块20,用于根据预置的各SQL模板依序组成的SQL模板序列,判断SQL语句是否对应为访问数据库中特定数据的登录操作;
本实施例中,由于各SQL语句之间具有执行先后顺序,因而SQL语句相对应的SQL模板同样具有先后顺序,进而组成SQL模板序列。此外,由于不同用户的登录操作通常具有通用特征,而该通用特征可通过SQL模板序列反映出来,因此,通过分析SQL模板序列即可判断当前SQL语句是否对应为访问数据库的登录操作。同时,进一步分析SQL语句中需要访问的数据表名称(比如USER为SQL数据库中通用的用户表名)即可确定当前SQL语句是否对应为访问数据库中特定数据。
匹配模块30,用于当SQL语句对应为访问数据库中特定数据的登录操作时,对应确定SQL模板序列所匹配的登录结果;
本实施例中,登录结果存在多种情况且至少包括登录成功与登录失败,不同的登录结果必然对应不同的SQL模板序列,因此可预先设置各登录结果下所对应的SQL登录模板序列,若当前生成的SQL模板序列与预设的SQL登录模板序列相匹配,则可确定当前生成的SQL模板序列所对应的登录结果。
本实施例中,通过SQL模板序列完成登录操作识别以及确定登录操作所对应的登录结果,从而可进一步进行攻击操作的检测。
累计模块40,用于从SQL语句中提取登录操作所对应的登录账户,并累计登录账户发生登录结果的次数;
确定模块50,用于当登录账户发生登录结果的次数满足预设条件时,确定当前存在攻击操作,其中,攻击操作至少包括暴库操作或撞库操作。
本实施例至少可用于检测暴库、撞库等针对用户账户信息的攻击操作,具体通过分析登录账户发生相应登录结果的次数进行确定。本实施例具体从SQL语句中提取登录操作所对应的登录账户,并累计登录账户发生登录结果的次数,然后再分析登录账户发生相应登录结果的次数是否满足预设条件,从而确定当前是否存在攻击操作,比如暴库操作或撞库操作。
例如,登录账户名张三在10s内尝试使用不同的密码登录了100次,则该账户名很有可能正处于暴库状态;或者根据整个系统中通过登录成功与登录失败的比例来分析是否存在撞库操作。
本实施例中,通过抓取登录过程中产生的SQL语句序列进行登录识别,同时,为了让单个用户产生的登录SQL语句序列具有通用性,进一步把SQL语句抽成SQL模板,从而可应用到所有的账号登录识别中以及所有的数据库业务系统中。此外,进一步根据SQL语句序列所对应的SQL模板序列,确定当前登录结果,进而可有效降低误判,同时根据登录结果的相关信息,确定当前是否存在攻击操作,进而可有效保护用户或企业的数据安全。
参照图9,图9为本发明攻击操作检测装置第二实施例的功能模块示意图。基于上述实施例,本实施例中,攻击操作检测装置还包括:
生成模块60,用于生成SQL语句对应的SQL模板;
本实施例中,生成模块60具体包括:
抓取单元601,用于抓取WEB服务器与数据库交互过程中的多条SQL语句;
识别单元602,用于采用词法分析识别SQL语句中的变量;
替换单元603,用于采用占位符替换SQL语句中的变量,得到SQL语句分别对应的SQL模板。
本实施例中,在抓取到WEB服务器与数据库交互过程中原始SQL语句后,采用词法分析方式以识别抓取的原始SQL语句中的变量,然后再采用占位符替换原始SQL语句中的变量,进而得到对应的SQL模板,本实施例对于词法分析具体方式不限。
例如,原始SQL语句select*from user where name=“sf”and age>20,则通过词法分析可确定该原始SQL语句种的表名与表的列名是固定的,而每个用户的名称以及年龄是不同的,也即为该语句中的变量,然后再使用占位符替换原始SQL语句中的变量,比如使用占位符“?”替换变量sf、20,则对应得到的SQL模板为:select*from user where name=$?and age>$?。
本实施例中,通过把SQL语句中的变量使用占位符进行替换后,便可产生SQL模板,同时SQL模板相对于SQL语句既可以节约存储空间,也可以降低SQL语句的复杂度,此外通过计算SQL模板的MD5或者CRC还可以实现SQL模板序列的快速匹配。
参照图10,图10为本发明攻击操作检测装置第三实施例的功能模块示意图。基于上述实施例,本实施例中,攻击操作检测装置还包括:
训练模块70,用于在进行攻击操作检测之前,进行SQL模板序列训练,得到登录操作所对应的登录模板序列,登录模板序列包括登录成功模板序列、登录失败模板序列;
其中,若SQL模板序列与登录成功模板序列匹配,则登录结果为登录成功,若SQL模板序列与登录失败模板序列匹配,则登录结果为登录失败。
在基于SQL协议的攻击操作检测中,由于每一条从WEB SERVER到DATABASE的SQL交互都无法快速定位到原始用户,同时也比较难判断是否为登录操作,以及确定当前登录操作是否成功或失败,因此,为了实施基于SQL协议的攻击操作检测,本实施例中具体通过SQL模板序列来判断登录操作以及区分用户登录成功和登录失败。
本实施例中,SQL模板序列由至少2个有序的SQL语句产生,此外,为了可以准确区分用户登录成功和登录失败,因而还同时记录成功与失败两套模板序列,从而可有效降低误判。本实施例中,对于训练生成登录模板序列的方式不限。
例如,采用智能识别机制进行SQL模板序列训练,如图6所示,比如由内置的关键字集合对密码表名、用户名关键字和密码关键字进行智能识别而无需人工干预。内置的关键字集合可定时通过云端进行更新。智能识别机制主要是针对简单而且通用的业务系统,例如基于DISCUZ模板的BBS论坛等,本方式可减少管理员的干预,而且准确性也能得到保障,对于内部有各种各样小业务系统的组织机构尤其有效。
进一步地,在本发明攻击操作检测装置一实施例中,确定模块50具体用于:
(1)当登录结果为登录成功且登录账户在本次登录成功之前发生登录失败的次数达到第一预设次数时,确定当前存在暴库操作;
(2)当登录结果为登录失败且登录账户在本次登录失败之前发生登录失败的次数达到第二预设次数时,确定当前存在暴库操作;
(3)当登录结果为登录失败且登录账户在本次登录失败之前发生登录失败的次数未达到第二预设次数时,计算所有登录账户下登录成功的次数与登录失败次数的比值,若比值达到预设比值,则确定当前存在撞库操作。
如图7所示,当完成SQL模板序列训练后,即可进行登录模板序列的匹配与暴库撞库检测:
1、如果匹配过程中命中了登录成功模板序列,那么当前是一个正常的登录操作,此时先提取SQL语句中的用户名,然后判断这个用户是否在这次成功登录之前有累加的登录失败次数;例如,张三在登录成功前,失败了6次,那么张三这个用户很可能已经被暴库成功了;
2、如果匹配过程中命中了登录失败模板序列,那么先提取SQL语句中的用户名,并对这个用户的失败次数进行累计,如果超过了预设值,那么这个用户很可能正处于暴库攻击状态;
3、命中登录失败模板序列后还需进一步累加全局的失败次数,如果全局的失败次数和成功次数的比值超过了预设值,那么当前系统正在处于撞库攻击状态。
参照图11,图11为本发明攻击操作检测装置第四实施例的功能模块示意图。本实施例中,攻击操作检测装置还包括:
告警模块80,用于当确定当前存在暴库操作或撞库操作时,输出告警信息,其中,当存在暴库操作且登录结果为登录成功时,告警模块还用于断开对应登录账户的所有数据连接。
本实施例中,为提升用户数据安全性,因此,在检测到暴库操作或撞库操作时,告警模块80进一步输出告警信息,以便于管理人员及时了解数据安全状况。此外,本实施例中,告警模块80进一步断开对应登录账户的所有数据连接以供进一步降低攻击操作对用户数据的影响。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。

Claims (10)

1.一种攻击操作检测方法,其特征在于,所述攻击操作检测方法包括:
抓取WEB服务器与数据库交互过程中的多条SQL语句;
根据预置的各SQL模板依序组成的SQL模板序列,判断所述SQL语句是否对应为访问所述数据库中特定数据的登录操作;
若所述SQL语句对应为访问所述数据库中特定数据的登录操作,则对应确定所述SQL模板序列所匹配的登录结果;
从所述SQL语句中提取所述登录操作所对应的登录账户,并累计所述登录账户发生所述登录结果的次数;
当所述登录账户发生所述登录结果的次数满足预设条件时,确定当前存在攻击操作,其中,所述攻击操作至少包括暴库操作或撞库操作。
2.如权利要求1所述的攻击操作检测方法,其特征在于,所述攻击操作检测方法还包括:生成SQL语句对应的SQL模板;
所述生成SQL语句对应的SQL模板包括:
抓取WEB服务器与数据库交互过程中的多条SQL语句;
采用词法分析识别所述SQL语句中的变量;
采用占位符替换所述SQL语句中的变量,得到所述SQL语句分别对应的SQL模板。
3.如权利要求1所述的攻击操作检测方法,其特征在于,所述攻击操作检测方法还包括:
在进行攻击操作检测之前,进行SQL模板序列训练,得到所述登录操作所对应的登录模板序列,所述登录模板序列包括登录成功模板序列、登录失败模板序列;
其中,若所述SQL模板序列与所述登录成功模板序列匹配,则所述登录结果为登录成功,若所述SQL模板序列与所述登录失败模板序列匹配,则所述登录结果为登录失败。
4.如权利要求3所述的攻击操作检测方法,其特征在于,所述当所述登录账户发生所述登录结果的次数满足预设条件时,确定当前存在攻击操作包括如下任意一种:
当所述登录结果为登录成功且所述登录账户在本次登录成功之前发生登录失败的次数达到第一预设次数时,确定当前存在暴库操作;
当所述登录结果为登录失败且所述登录账户在本次登录失败之前发生登录失败的次数达到第二预设次数时,确定当前存在暴库操作;
当所述登录结果为登录失败且所述登录账户在本次登录失败之前发生登录失败的次数未达到所述第二预设次数时,计算所有登录账户下登录成功的次数与登录失败次数的比值,若所述比值达到预设比值,则确定当前存在撞库操作。
5.如权利要求1至4中任一项所述的攻击操作检测方法,其特征在于,所述攻击操作检测方法还包括:
当确定当前存在暴库操作或撞库操作时,输出告警信息,其中,当存在暴库操作且所述登录结果为登录成功时,断开对应登录账户的所有数据连接。
6.一种攻击操作检测装置,其特征在于,所述攻击操作检测装置包括:
抓取模块,用于抓取WEB服务器与数据库交互过程中的多条SQL语句;
判断模块,用于根据预置的各SQL模板依序组成的SQL模板序列,判断所述SQL语句是否对应为访问所述数据库中特定数据的登录操作;
匹配模块,用于当所述SQL语句对应为访问所述数据库中特定数据的登录操作时,对应确定所述SQL模板序列所匹配的登录结果;
累计模块,用于从所述SQL语句中提取所述登录操作所对应的登录账户,并累计所述登录账户发生所述登录结果的次数;
确定模块,用于当所述登录账户发生所述登录结果的次数满足预设条件时,确定当前存在攻击操作,其中,所述攻击操作至少包括暴库操作或撞库操作。
7.如权利要求6所述的攻击操作检测装置,其特征在于,所述攻击操作检测装置还包括:
生成模块,用于生成SQL语句对应的SQL模板;
所述生成模块包括:
抓取单元,用于抓取WEB服务器与数据库交互过程中的多条SQL语句;
识别单元,用于采用词法分析识别所述SQL语句中的变量;
替换单元,用于采用占位符替换所述SQL语句中的变量,得到所述SQL语句分别对应的SQL模板。
8.如权利要求6所述的攻击操作检测装置,其特征在于,所述攻击操作检测装置还包括:
训练模块,用于在进行攻击操作检测之前,进行SQL模板序列训练,得到所述登录操作所对应的登录模板序列,所述登录模板序列包括登录成功模板序列、登录失败模板序列;
其中,若所述SQL模板序列与所述登录成功模板序列匹配,则所述登录结果为登录成功,若所述SQL模板序列与所述登录失败模板序列匹配,则所述登录结果为登录失败。
9.如权利要求8所述的攻击操作检测装置,其特征在于,所述确定模块具体用于:
当所述登录结果为登录成功且所述登录账户在本次登录成功之前发生登录失败的次数达到第一预设次数时,确定当前存在暴库操作;
当所述登录结果为登录失败且所述登录账户在本次登录失败之前发生登录失败的次数达到第二预设次数时,确定当前存在暴库操作;
当所述登录结果为登录失败且所述登录账户在本次登录失败之前发生登录失败的次数未达到所述第二预设次数时,计算所有登录账户下登录成功的次数与登录失败次数的比值,若所述比值达到预设比值,则确定当前存在撞库操作。
10.如权利要求6至9中任一项所述的攻击操作检测装置,其特征在于,所述攻击操作检测装置还包括:
告警模块,用于当确定当前存在暴库操作或撞库操作时,输出告警信息,其中,当存在暴库操作且所述登录结果为登录成功时,所述告警模块还用于断开对应登录账户的所有数据连接。
CN201710354452.3A 2017-05-18 2017-05-18 攻击操作检测方法及装置 Active CN107294953B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710354452.3A CN107294953B (zh) 2017-05-18 2017-05-18 攻击操作检测方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710354452.3A CN107294953B (zh) 2017-05-18 2017-05-18 攻击操作检测方法及装置

Publications (2)

Publication Number Publication Date
CN107294953A true CN107294953A (zh) 2017-10-24
CN107294953B CN107294953B (zh) 2020-04-28

Family

ID=60095343

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710354452.3A Active CN107294953B (zh) 2017-05-18 2017-05-18 攻击操作检测方法及装置

Country Status (1)

Country Link
CN (1) CN107294953B (zh)

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107483510A (zh) * 2017-10-09 2017-12-15 杭州安恒信息技术有限公司 一种提高Web应用层攻击检测准确率的方法及装置
CN108600209A (zh) * 2018-04-16 2018-09-28 新华三信息安全技术有限公司 一种信息处理方法及装置
CN108804947A (zh) * 2018-06-19 2018-11-13 上海点融信息科技有限责任公司 用于确定对数据库进行操作的白名单的方法和装置
CN108933781A (zh) * 2018-06-19 2018-12-04 上海点融信息科技有限责任公司 用于处理字符串的方法、装置及计算机可读存储介质
CN108965316A (zh) * 2018-08-01 2018-12-07 杭州安恒信息技术股份有限公司 基于驱动层报文检测技术的防爆破方法和系统
CN110460559A (zh) * 2018-05-07 2019-11-15 中国移动通信有限公司研究院 分布式撞库行为的检测方法、装置及计算机可读存储介质
CN111343206A (zh) * 2020-05-19 2020-06-26 上海飞旗网络技术股份有限公司 一种针对数据流攻击的主动防御方法及装置
CN112153052A (zh) * 2020-09-25 2020-12-29 北京微步在线科技有限公司 一种撞库攻击监测方法及系统
CN114584363A (zh) * 2022-03-01 2022-06-03 北信源系统集成有限公司 网络攻击检测方法、装置、设备及计算机可读存储介质

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101594266A (zh) * 2009-07-01 2009-12-02 杭州华三通信技术有限公司 一种结构化查询语言注入攻击检测方法和装置
CN103679053A (zh) * 2013-11-29 2014-03-26 北京奇虎科技有限公司 一种网页篡改的检测方法及装置
CN103886041A (zh) * 2014-03-10 2014-06-25 珠海市君天电子科技有限公司 一种病毒特征库更新方法及装置
CN105072095A (zh) * 2015-07-20 2015-11-18 北京神州绿盟信息安全科技股份有限公司 一种检测sql注入漏洞的方法及装置
CN105516211A (zh) * 2016-02-06 2016-04-20 北京祥云天地科技有限公司 基于行为模型对访问数据库行为进行识别的方法、设备和系统
CN105763548A (zh) * 2016-02-06 2016-07-13 北京祥云天地科技有限公司 基于行为模型对用户登录进行识别的方法、设备和系统
CN105930427A (zh) * 2016-04-19 2016-09-07 深圳市深信服电子科技有限公司 数据库审计方法及装置
CN106294375A (zh) * 2015-05-15 2017-01-04 阿里巴巴集团控股有限公司 一种数据请求实时处理方法和装置

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101594266A (zh) * 2009-07-01 2009-12-02 杭州华三通信技术有限公司 一种结构化查询语言注入攻击检测方法和装置
CN103679053A (zh) * 2013-11-29 2014-03-26 北京奇虎科技有限公司 一种网页篡改的检测方法及装置
CN103886041A (zh) * 2014-03-10 2014-06-25 珠海市君天电子科技有限公司 一种病毒特征库更新方法及装置
CN106294375A (zh) * 2015-05-15 2017-01-04 阿里巴巴集团控股有限公司 一种数据请求实时处理方法和装置
CN105072095A (zh) * 2015-07-20 2015-11-18 北京神州绿盟信息安全科技股份有限公司 一种检测sql注入漏洞的方法及装置
CN105516211A (zh) * 2016-02-06 2016-04-20 北京祥云天地科技有限公司 基于行为模型对访问数据库行为进行识别的方法、设备和系统
CN105763548A (zh) * 2016-02-06 2016-07-13 北京祥云天地科技有限公司 基于行为模型对用户登录进行识别的方法、设备和系统
CN105930427A (zh) * 2016-04-19 2016-09-07 深圳市深信服电子科技有限公司 数据库审计方法及装置

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107483510A (zh) * 2017-10-09 2017-12-15 杭州安恒信息技术有限公司 一种提高Web应用层攻击检测准确率的方法及装置
CN107483510B (zh) * 2017-10-09 2020-11-24 杭州安恒信息技术股份有限公司 一种提高Web应用层攻击检测准确率的方法及装置
CN108600209A (zh) * 2018-04-16 2018-09-28 新华三信息安全技术有限公司 一种信息处理方法及装置
CN110460559A (zh) * 2018-05-07 2019-11-15 中国移动通信有限公司研究院 分布式撞库行为的检测方法、装置及计算机可读存储介质
CN108804947A (zh) * 2018-06-19 2018-11-13 上海点融信息科技有限责任公司 用于确定对数据库进行操作的白名单的方法和装置
CN108933781A (zh) * 2018-06-19 2018-12-04 上海点融信息科技有限责任公司 用于处理字符串的方法、装置及计算机可读存储介质
CN108933781B (zh) * 2018-06-19 2021-07-02 上海点融信息科技有限责任公司 用于处理字符串的方法、装置及计算机可读存储介质
CN108965316A (zh) * 2018-08-01 2018-12-07 杭州安恒信息技术股份有限公司 基于驱动层报文检测技术的防爆破方法和系统
CN111343206A (zh) * 2020-05-19 2020-06-26 上海飞旗网络技术股份有限公司 一种针对数据流攻击的主动防御方法及装置
CN112153052A (zh) * 2020-09-25 2020-12-29 北京微步在线科技有限公司 一种撞库攻击监测方法及系统
CN114584363A (zh) * 2022-03-01 2022-06-03 北信源系统集成有限公司 网络攻击检测方法、装置、设备及计算机可读存储介质

Also Published As

Publication number Publication date
CN107294953B (zh) 2020-04-28

Similar Documents

Publication Publication Date Title
CN107294953A (zh) 攻击操作检测方法及装置
CN107659543B (zh) 面向云平台apt攻击的防护方法
CN105264861B (zh) 用于检测多阶段事件的方法和设备
CN103577748B (zh) 基于可信计算的动态度量方法与管理系统
CN108989355B (zh) 一种漏洞检测方法和装置
CN110581827B (zh) 一种针对于暴力破解的检测方法及装置
EP3566166B1 (en) Management of security vulnerabilities
CN106961419A (zh) WebShell检测方法、装置及系统
CN103748853A (zh) 用于对数据通信网络中的协议消息进行分类的方法和系统
CN109167794B (zh) 一种面向网络系统安全度量的攻击检测方法
CN111107096A (zh) 一种Web站点安全防护方法及装置
WO2019144548A1 (zh) 安全测试方法、装置、计算机设备和存储介质
CN104901962B (zh) 一种网页攻击数据的检测方法及装置
CN108989294A (zh) 一种准确识别网站访问的恶意用户的方法及系统
CN113055399A (zh) 注入攻击的攻击成功检测方法、系统及相关装置
CN110135162A (zh) Webshell后门识别方法、装置、设备及存储介质
CN113158197A (zh) 一种基于主动iast的sql注入漏洞检测方法、系统
CN106506449B (zh) 一种未知异常的检测方法、装置及检测设备
CN116915515B (zh) 用于工控网络的访问安全控制方法及系统
KR102433581B1 (ko) 시계열 학습형 앙상블 인공지능 기법을 이용한 사회이슈 기반 사이버 표적공격 예측 시스템 및 그 예측 방법
CN107196969B (zh) 攻击流量的自动识别及验证方法及系统
Song et al. A comprehensive approach to detect unknown attacks via intrusion detection alerts
KR102022626B1 (ko) 로그 분석을 이용한 공격 탐지 장치 및 방법
CN110378120A (zh) 应用程序接口攻击检测方法、装置以及可读存储介质
CN105487936A (zh) 云环境下面向等级保护的信息系统安全性测评方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant