CN110113341A - 一种注入攻击检测方法、装置、计算机设备及存储介质 - Google Patents

Abstract

本发明公开了一种注入攻击检测方法、装置、计算机设备及存储介质，该方法包括：步骤1、利用mysql查询正在执行的SQL语句；步骤2、将正在执行的SQL语句、IP、执行账号、SQL语句的执行时间存入本地日志文件；步骤3、将本地日志文件准实时的发送至elasticsearch日志服务器进行存储；步骤4、对elasticsearch日志服务器的信息进行读取，并匹配不安全的SQL语句；步骤5、将不安全的SQL语句的信息发送至安全人员进行人工识别，确认；步骤6、确认漏洞位置。本发明还公开了一种注入攻击检测装置，包括查询模块、存储模块、SQL注入攻击检测模块和漏洞确认模块，以及用于实现上述方法的计算机设备及存储介质。本方法具有准确率高，易于部署，兼容性好，性能开销小的优点。

Description

一种注入攻击检测方法、装置、计算机设备及存储介质

技术领域

本发明涉及网络安全技术领域，尤其涉及一种注入攻击检测方法、装置、计算机设备及存储介质。

背景技术

随着互联网与大数据的不断发展，网络深入到人们生活的各个领域中，渐渐成为一个无法取代的角色。海量、多变、井喷式增长的数据可以持续通过网络融入至人们的日常生活，给人们的生活带来了巨大的便利。但与此同时，在利益驱使下，一些网络攻击者往往利用网络谋取私利，给网络用户造成经济损失，影响公司的正常运作，甚至造成社会管理混乱。因此，在用户提交请求时检测并阻止攻击者的恶意请求已成为保护网站安全的重要措施。

相关技术中的网络攻击检测方法主要包括漏洞检测和Web防御。漏洞检测是先于攻击者找到网站的漏洞并进行修复的方式，一般是通过渗透测试对网站进行漏洞检测。渗透测试结合了多方面的技术，一般分为信息收集、漏洞扫描、漏洞利用、获取权限、日志审计与渗透报告等步骤。渗透测试具有不完整性，不能够保证测试到网站的每一个网页，并且很难检测到新出现的攻击方式。Web防御是在URL传输阶段对URL的合法性进行一系列的检测方法，以防范不良输入。Web防御手段一般包括过滤、数据转义加密、屏蔽信息、检测防范模型等。检测防范模型是指在用户和服务器之间建立的检测机制，对用户提交的URL进行检测，防范入侵攻击。传统的检测防范模型主要是基于正则表达式的模式匹配，但仅仅依靠敏感词匹配已经难以抵御不断更新的入侵攻击，不断更换新的检测防范方式对于网站开发人员来说工作量较大，并且在时间上很难及时根据新出现的攻击方法做出应对的检测防护策略。

根据OWASP(全球性安全组织)统计，从2013年开始SQL注入攻击一直是web攻击类型中占比最高的一种攻击类型，SQL注入攻击由于其攻击成本低、危害大，所以大量的数据泄露问题均由此类安全问题导致。所以各个企业和公司引入了各种技术手段来检测和防御此类问题。

目前对于SQL注入攻击主要由两种检测方式，一种是通过web请求的特征字符串进行识别然后结合响应的时间和响应的内容判断问题是否真实存在，由于响应内容参差不齐、影响响应时间的因素也很多，所以此方法误报率很高。第二种是通过数据库代理的方式，实时对所有发送给mysql服务器执行的语句进行安全检测，此方法准确率很高，但是此方法受限于系统架构，对现有应用系统的兼容性很差，同时存在很大的性能开销，所以很难被业务接受。

发明内容

针对现有技术中的缺陷，本发明的所要解决的技术问题是如何提供一种准确率高，易于部署，兼容性好，性能开销小的注入攻击检测方法、装置、计算机设备及存储介质。

为了解决上述技术问题，本发明采用了如下技术方案：

一种注入攻击检测方法，该方法应用于注入攻击检测装置中，所述注入攻击检测装置包括查询模块、存储模块、SQL注入攻击检测模块和漏洞确认模块，该方法包括以下步骤：

步骤1、查询模块利用mysql服务器自带的show processlist查询正在执行的SQL语句；

步骤2、存储模块将步骤1提取的正在执行的SQL语句、IP、执行账号、SQL语句的执行时间存入本地日志文件；

步骤3、SQL注入攻击检测模块利用kafka将本地日志文件发送至elasticsearch日志服务器进行存储；

步骤4、SQL注入攻击检测模块对elasticsearch日志服务器的信息进行读取，并通过正则表达式匹配不安全的SQL语句；

步骤5、SQL注入攻击检测模块将步骤4中通过正则表达式匹配的不安全的SQL语句的信息通过邮件发送至安全人员进行人工识别，确认不安全的SQL语句；

步骤6、漏洞确认模块根据不安全的SQL语句的关键字以及SQL语句的执行时间查询web日志，确认漏洞位置。

进一步的，步骤4中，对elasticsearch日志的信息进行读取利用Python语言编写的脚本进行。

进一步的，步骤3中，所述Python语言编写的脚本以轮训的方式对elasticsearch日志的信息进行读取。

进一步的，步骤2中，对正在执行的SQL语句进行base64编码。

进一步的，该方法还包括步骤7，利用操作安全产品封堵漏洞。

进一步的，步骤4中，先对SQL语句进行base64解密，再利用正则表达式匹配不安全的SQL语句。

进一步的，步骤3中，利用kafka将本地日志文件准实时的发送至elasticsearch日志服务器进行存储。

一种注入攻击检测装置，该检测装置用于实现所述的攻击检测方法，该检测装置包括查询模块、存储模块、SQL注入攻击检测模块和漏洞确认模块；

所述查询模块，用于利用mysql服务器自带的show processlist查询正在执行的SQL语句，将正在执行的SQL语句、IP、执行账号、SQL语句的执行时间存入本地日志文件；

所述存储模块，利用kafka将本地日志文件发送至elasticsearch日志服务器进行存储；

所述SQL注入攻击检测模块，用于对elasticsearch日志服务器的信息进行读取，并通过正则表达式匹配不安全的SQL语句，并将通过正则表达式匹配的不安全的SQL语句的信息通过邮件发送至安全人员进行人工识别，确认不安全的SQL语句；

所述漏洞确认模块，用于根据不安全的SQL语句的关键字以及SQL语句的执行时间查询web日志，确认漏洞位置。

一种计算机设备，包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述程序时实现所述的攻击检测方法。

一种计算机可读存储介质，其上存储有计算机程序，所述程序被处理器执行时实现所述的攻击检测方法。

本发明的有益效果体现在：

1、对SQL注入攻击检测准确率高，误报率低，效率高，只需要对最终进入mysql服务器执行的SQL语句进行分析。

2、该检测方法对应用无性能损耗，采用分布式异步准实时处理，准确率高。

3、部署方便，支持分布式部署，对应用无依赖和修改。

附图说明

为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍。在所有附图中，类似的元件或部分一般由类似的附图标记标识。附图中，各元件或部分并不一定按照实际的比例绘制。

图1为本发明提出的一种注入攻击检测方法的检测流程图。

具体实施方式

为了使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明作进一步地详细描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

在本发明实施例中使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本发明。在本发明实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义，“多种”一般包含至少两种。

应当理解，本文中使用的术语“和/或”仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。另外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系。

应当理解，尽管在本发明实施例中可能采用术语第一、第二、第三等来描述……，但这些……不应限于这些术语。这些术语仅用来将……区分开。例如，在不脱离本发明实施例范围的情况下，第一……也可以被称为第二……，类似地，第二……也可以被称为第一……。

取决于语境，如在此所使用的词语“如果”、“若”可以被解释成为“在……时”或“当……时”或“响应于确定”或“响应于检测”。类似地，取决于语境，短语“如果确定”或“如果检测(陈述的条件或事件)”可以被解释成为“当确定时”或“响应于确定”或“当检测(陈述的条件或事件)时”或“响应于检测(陈述的条件或事件)”。

还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的商品或者装置不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种商品或者装置所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的商品或者装置中还存在另外的相同要素。

如图1所示，实施例1，一种注入攻击检测方法，该方法应用于注入攻击检测装置中，所述注入攻击检测装置包括查询模块、存储模块、SQL注入攻击检测模块和漏洞确认模块，该方法包括以下步骤：

步骤1、查询模块利用mysql服务器自带的show processlist查询正在执行的SQL语句；

步骤1具体包括：在每台mysql服务器上开通一个数据库账号，建立数据库账号信息，利用mysql服务器自带的show processlist查询正在执行的SQL语句；

步骤2、存储模块将步骤1提取的正在执行的SQL语句、IP、执行账号、SQL语句的执行时间存入本地日志文件；

步骤2具体包括将步骤步骤1提取的正在执行的SQL语句、IP、执行账号、SQL语句的执行时间存入本地日志文件，一行一条数据，由于SQL语句本身会有换行，所以对于SQL语句需要进行base64编码；

步骤3、SQL注入攻击检测模块利用kafka将本地日志文件发送至elasticsearch日志服务器进行存储；步骤3具体包括利用kafka将本地日志文件准实时的发送至elasticsearch日志服务器进行存储，并以服务器和执行时间进行索引方便检索，方便漏洞定位查询；

步骤4、SQL注入攻击检测模块对elasticsearch日志服务器的信息进行读取，并通过正则表达式匹配不安全的SQL语句；

步骤4具体包括利用Python语言编写的脚本或者JAVA语言编写的脚本或者其他任意能够实现本功能的语言编写的脚本对elasticsearch日志服务器的信息以轮训的方式进行读取，避免漏掉，可以更全面的对不断进行更新的SQL语句进行查询，对SQL语句进行base64解密，并通过正则表达式匹配不安全的SQL语句，正则表达式具体如下：

～(^|[^a-z])union($|[^[a-z]]～s

～(^|[^a-z])sleep($|[^[a-z]]～s

～(^|[^a-z])benchmark($|[^[a-z]]～s

～(^|[^a-z])load_file($|[^[a-z]]～s

～(^|[^a-z])into\s+outfile($|[^[a-z]]～s

正则表达式规定了一种SQL语句的格式，当出现不符合正则表达式的SQL语句时，进行标注，并导出至Excel表格中；

步骤5、SQL注入攻击检测模块将步骤4中通过正则表达式匹配的不安全的SQL语句的信息通过邮件发送至安全人员进行人工识别，确认不安全的SQL语句；

步骤5具体包括将步骤步骤4中通过正则表达式匹配的不安全的SQL语句的信息即表格通过邮件发送至安全人员进行人工识别，人工确认不安全的SQL语句；

步骤6、漏洞确认模块根据不安全的SQL语句的关键字以及SQL语句的执行时间查询web日志，确认漏洞位置。

步骤6具体包括根据不安全的SQL语句的关键字以及SQL语句的执行时间查询web日志，根据索引确认漏洞位置；

该方法进一步包括步骤S7，利用操作安全产品封堵漏洞，避免遭受攻击。

实施例2，本发明还公开了一种注入攻击检测装置，包括查询模块、存储模块、SQL注入攻击检测模块和漏洞确认模块；其中，所述查询模块，用于利用mysql服务器自带的show processlist查询正在执行的SQL语句，将正在执行的SQL语句、IP、执行账号、SQL语句的执行时间存入本地日志文件；所述存储模块，利用kafka将本地日志文件发送至elasticsearch日志服务器进行存储；所述SQL注入攻击检测模块，用于对elasticsearch日志服务器的信息进行读取，并通过正则表达式匹配不安全的SQL语句，并将通过正则表达式匹配的不安全的SQL语句的信息通过邮件发送至安全人员进行人工识别，确认不安全的SQL语句；所述漏洞确认模块，用于根据不安全的SQL语句的关键字以及SQL语句的执行时间查询web日志，确认漏洞位置。这样，可以更好的对不安全的SQL语句进行检测，降低误报率。

实施例3

一种注入攻击检测装置，该检测装置用于实现所述的攻击检测方法，该检测装置包括查询模块、存储模块、SQL注入攻击检测模块和漏洞确认模块；

所述查询模块，用于利用mysql服务器自带的show processlist查询正在执行的SQL语句，将正在执行的SQL语句、IP、执行账号、SQL语句的执行时间存入本地日志文件；

所述存储模块，利用kafka将本地日志文件发送至elasticsearch日志服务器进行存储；

所述SQL注入攻击检测模块，用于对elasticsearch日志服务器的信息进行读取，并通过正则表达式匹配不安全的SQL语句，并将通过正则表达式匹配的不安全的SQL语句的信息通过邮件发送至安全人员进行人工识别，确认不安全的SQL语句；

所述漏洞确认模块，用于根据不安全的SQL语句的关键字以及SQL语句的执行时间查询web日志，确认漏洞位置。

实施例4

本公开实施例提供了一种非易失性计算机存储介质，所述计算机存储介质存储有计算机可执行指令，该计算机可执行指令可执行上述任意方法实施例中的方法。

实施例5

本公开实施例提供了一种计算机设备，本公开实施例中的计算机设备可以包括但不限于诸如移动电话、笔记本电脑、数字广播接收器、PDA(个人数字助理)、PAD(平板电脑)、PMP(便携式多媒体播放器)、车载终端(例如车载导航终端)等等的移动终端以及诸如数字TV、台式计算机等等的固定终端。

计算机设备可以包括处理装置(例如中央处理器、图形处理器等)，其可以根据存储在只读存储器(ROM)中的程序或者从存储装置加载到随机访问存储器(RAM)中的程序而执行各种适当的动作和处理。在RAM中，还存储有计算机设备操作所需的各种程序和数据。处理装置、ROM以及RAM通过总线彼此相连。输入/输出(I/O)接口也连接至总线。

通常，以下装置可以连接至I/O接口：包括例如触摸屏、触摸板、键盘、鼠标、摄像头、麦克风、加速度计、陀螺仪等的输入装置；包括例如液晶显示器(LCD)、扬声器、振动器等的输出装置；包括例如磁带、硬盘等的存储装置；以及通信装置。通信装置可以允许计算机设备与其他设备进行无线或有线通信以交换数据。

特别地，根据本公开的实施例，上文参考流程图描述的过程可以被实现为计算机软件程序。例如，本公开的实施例包括一种计算机程序产品，其包括承载在计算机可读介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中，该计算机程序可以通过通信装置从网络上被下载和安装，或者从存储装置被安装，或者从ROM被安装。在该计算机程序被处理装置执行时，执行本公开实施例的方法中限定的上述功能。

需要说明的是，本公开上述的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本公开中，计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读信号介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于：电线、光缆、RF(射频)等等，或者上述的任意合适的组合。

上述计算机可读介质可以是上述计算机设备中所包含的；也可以是单独存在，而未装配入该计算机设备中。

可以以一种或多种程序设计语言或其组合来编写用于执行本公开的操作的计算机程序代码，上述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++，还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中，远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机，或者，可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。

附图中的流程图和框图，图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

描述于本公开实施例中所涉及到的单元可以通过软件的方式实现，也可以通过硬件的方式来实现。其中，单元的名称在某种情况下并不构成对该单元本身的限定，例如，第一获取单元还可以被描述为“获取至少两个网际协议地址的单元”。

本发明，对SQL注入攻击检测准确率高，误报率低，效率高，只需要对最终进入mysql服务器执行的SQL语句进行分析；该检测方法对应用无性能损耗，采用分布式异步准实时处理，准确率高；部署方便，支持分布式部署，对应用无依赖和修改。

最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围，其均应涵盖在本发明的权利要求和说明书的范围当中。

Claims (10)

1.一种注入攻击检测方法，该方法应用于注入攻击检测装置中，所述注入攻击检测装置包括查询模块、存储模块、SQL注入攻击检测模块和漏洞确认模块，其特征在于，该方法包括以下步骤：

步骤1、查询模块利用mysql服务器自带的show processlist查询正在执行的SQL语句；

步骤2、存储模块将步骤1提取的正在执行的SQL语句、IP、执行账号、SQL语句的执行时间存入本地日志文件；

步骤3、SQL注入攻击检测模块利用kafka将本地日志文件发送至elasticsearch日志服务器进行存储；

步骤4、SQL注入攻击检测模块对elasticsearch日志服务器的信息进行读取，并通过正则表达式匹配不安全的SQL语句；

步骤5、SQL注入攻击检测模块将步骤4中通过正则表达式匹配的不安全的SQL语句的信息通过邮件发送至安全人员进行人工识别，确认不安全的SQL语句；

步骤6、漏洞确认模块根据不安全的SQL语句的关键字以及SQL语句的执行时间查询web日志，确认漏洞位置。

2.根据权利要求1所述的注入攻击检测方法，其特征在于，步骤4中，对elasticsearch日志的信息进行读取利用Python语言编写的脚本进行。

3.根据权利要求2所述的注入攻击检测方法，其特征在于，步骤3中，所述Python语言编写的脚本以轮训的方式对elasticsearch日志的信息进行读取。

4.根据权利要求1所述的注入攻击检测方法，其特征在于，步骤2中，对正在执行的SQL语句进行base64编码。

5.根据权利要求1所述的注入攻击检测方法，其特征在于，该方法还包括步骤7，利用操作安全产品封堵漏洞。

6.根据权利要求1所述的注入攻击检测方法，其特征在于，步骤4中，先对SQL语句进行base64解密，再利用正则表达式匹配不安全的SQL语句。

7.根据权利要求1所述的注入攻击检测方法，其特征在于，步骤3中，利用kafka将本地日志文件准实时的发送至elasticsearch日志服务器进行存储。

8.一种注入攻击检测装置，该检测装置用于实现如权利要求1至7所述的攻击检测方法，其特征在于，该检测装置包括查询模块、存储模块、SQL注入攻击检测模块和漏洞确认模块；

所述查询模块，用于利用mysql服务器自带的show processlist查询正在执行的SQL语句，将正在执行的SQL语句、IP、执行账号、SQL语句的执行时间存入本地日志文件；

所述存储模块，利用kafka将本地日志文件发送至elasticsearch日志服务器进行存储；

所述SQL注入攻击检测模块，用于对elasticsearch日志服务器的信息进行读取，并通过正则表达式匹配不安全的SQL语句，并将通过正则表达式匹配的不安全的SQL语句的信息通过邮件发送至安全人员进行人工识别，确认不安全的SQL语句；

所述漏洞确认模块，用于根据不安全的SQL语句的关键字以及SQL语句的执行时间查询web日志，确认漏洞位置。

9.一种计算机设备，包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，其特征在于，所述处理器执行所述程序时实现如权利要求1～7中任一项所述的攻击检测方法。

10.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述程序被处理器执行时实现如权利要求1～7中任一项所述的攻击检测方法。