CN111371783B - 一种sql注入攻击检测方法、装置、设备和存储介质 - Google Patents
一种sql注入攻击检测方法、装置、设备和存储介质 Download PDFInfo
- Publication number
- CN111371783B CN111371783B CN202010141522.9A CN202010141522A CN111371783B CN 111371783 B CN111371783 B CN 111371783B CN 202010141522 A CN202010141522 A CN 202010141522A CN 111371783 B CN111371783 B CN 111371783B
- Authority
- CN
- China
- Prior art keywords
- program
- message
- tcp
- tcp message
- lua
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了一种SQL注入攻击检测方法、装置、设备和存储介质,其中该方法包括:基于设定接口获取TCP报文,其中,设定接口为Haproxy程序中的Lua接口;对TCP报文进行SQL注入攻击检测,得到目标检测结果;根据目标检测结果转发TCP报文至后端应用程序。本发明实施例通过Haproxy程序中的Lua接口在后端应用程序之前截取TCP报文并进行SQL注入攻击检测,将SQL注入攻击检测功能与后端应用程序解耦,减少了后端应用程序的请求压力,提高了检测效率的同时,保证了应用程序的稳定性。
Description
技术领域
本发明实施例涉及网络安全技术领域,尤其涉及一种SQL注入攻击检测方法、装置、设备和存储介质。
背景技术
在Web应用程序中攻击者经常会利用结构化查询语言(StructureQueryLanguage,SQL)注入攻击实现非法数据库操作,例如执行非授权的任意信息的查询和获取等。Web应用程序如果对用户输入数据的合法性没有判断或过滤不严就直接传输给数据库,可能导致攻击者添加的SQL语句被执行,发生SQL注入攻击。
针对SQL注入攻击,现有技术通常是在应用程序中解析传输控制协议(Transmission Control Protocol,TCP)报文后,通过SQL关键字筛选来进行SQL注入攻击检测。但是,上述方式可能会造成SQL注入攻击检测功能对后端应用程序的侵入,不仅效率低,而且增大了应用程序的不稳定性。
发明内容
本发明实施例提供一种SQL注入攻击检测方法、装置、设备和存储介质,以优化TCP协议下的SQL注入攻击检测方案,提高了检测效率,保证了应用程序的稳定性。
第一方面,本发明实施例提供了一种SQL注入攻击检测方法,包括:
基于设定接口获取TCP报文,其中,所述设定接口为Haproxy程序中的Lua接口;
对所述TCP报文进行SQL注入攻击检测,得到目标检测结果;
根据所述目标检测结果转发所述TCP报文至后端应用程序。
可选的,所述基于设定接口获取TCP报文之前,还包括:
在所述Haproxy程序中编译并配置Lua程序,以启动Lua接口。
可选的,所述基于设定接口获取TCP报文,包括:
通过所述Lua接口调用Lua程序,获取所述Haproxy程序的缓存区中的TCP报文。
可选的,对所述TCP报文进行SQL注入攻击检测,得到目标检测结果,包括:
通过所述Lua程序判断所述TCP报文是否为交易报文;
如果所述TCP报文为交易报文,则对所述TCP报文进行正则匹配和正向设定规则校验,确定目标检测结果。
可选的,通过所述Lua程序判断所述TCP报文是否为交易报文,包括:
通过所述Lua程序确定所述TCP报文的报文体长度,并基于所述报文体长度判断所述TCP报文是否为交易报文;
如果所述报文体长度不为零,则所述TCP报文为交易报文;否则,所述TCP报文为心跳报文。
可选的,对所述TCP报文进行正则匹配和正向设定规则校验,确定目标检测结果,包括:
如果所述TCP报文通过所述正则匹配确定不包括SQL信息,并且所述TCP报文通过所述正向设定规则校验,则所述目标检测结果为不存在SQL注入攻击;否则,所述目标检测结果为存在SQL注入攻击,其中,所述SQL信息包括SQL关键字和SQL语句。
可选的,根据所述目标检测结果转发所述TCP报文至后端应用程序,包括:
如果所述目标检测结果为不存在SQL注入攻击,则将所述TCP报文转发至后端应用程序;否则,将所述TCP报文转发至导流端口,以返回空响应。
第二方面,本发明实施例还提供了一种SQL注入攻击检测装置,包括:
报文获取模块,用于基于设定接口获取TCP报文,其中,所述设定接口为Haproxy程序中的Lua接口;
攻击检测模块,用于对所述TCP报文进行SQL注入攻击检测,得到目标检测结果;
报文转发模块,用于根据所述目标检测结果转发所述TCP报文至后端应用程序。
第三方面,本发明实施例还提供了一种设备,所述设备包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如上所述的SQL注入攻击检测方法。
第四方面,本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上所述的SQL注入攻击检测方法。
本发明实施例提供的SQL注入攻击检测方案,基于设定接口获取TCP报文,其中,设定接口为Haproxy程序中的Lua接口,对TCP报文进行SQL注入攻击检测,得到目标检测结果,根据目标检测结果转发TCP报文至后端应用程序。采用上述技术方案,通过Haproxy程序中的Lua接口在后端应用程序之前截取TCP报文并进行SQL注入攻击检测,将SQL注入攻击检测功能与后端应用程序解耦,减少了后端应用程序的请求压力,提高了检测效率的同时,保证了应用程序的稳定性。
附图说明
图1为本发明实施例提供的一种SQL注入攻击检测方法的流程图;
图2为本发明实施例提供的一种SQL注入攻击检测方法的示意图;
图3为本发明实施例提供的另一种SQL注入攻击检测方法的流程图;
图4为本发明实施例提供的一种Haproxy程序配置报文拦截的示意图;
图5为本发明实施例提供的一种SQL注入攻击检测装置的结构示意图;
图6为本发明实施例提供的一种设备的结构示意图。
具体实施方式
下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释本发明,而非对本发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本发明相关的部分而非全部结构。此外,在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。
在更加详细地讨论示例性实施例之前应当提到的是,一些示例性实施例被描述成作为流程图描绘的处理或方法。虽然流程图将各步骤描述成顺序的处理,但是其中的许多步骤可以被并行地、并发地或者同时实施。此外,各步骤的顺序可以被重新安排。当其操作完成时所述处理可以被终止,但是还可以具有未包括在附图中的附加步骤。所述处理可以对应于方法、函数、规程、子例程、子程序等等。
图1为本发明实施例提供的一种SQL注入攻击检测方法的流程图,本实施例可适用于实现SQL注入攻击检测的情况,该方法可以由SQL注入攻击检测装置执行,该装置可以采用软件和/或硬件的方式实现,该装置可配置于电子设备中,例如服务器或终端设备,典型的终端设备包括移动终端,具体包括手机、电脑或平板电脑等。
图2为本发明实施例提供的一种SQL注入攻击检测方法的示意图。如图2所示,本实施例中的SQL注入攻击检测方法是在外网和开放区之间的隔离区(Demilitarized Zone,DMZ)实现的,SQL注入攻击检测功能不会对后端应用程序造成侵入。图中外网中的TCP_CLI(服务端)发出TCP报文给Haproxy程序,并基于其中的Lua接口调用Lua程序,以使Lua程序获取该TCP报文并进行SQL注入攻击检测,当不存在SQL注入攻击时,才将TCP报文转发至开放区的应用程序(TCP_SVR)中。
如图1所示,该方法具体可以包括:
S110、基于设定接口获取TCP报文,其中,设定接口为Haproxy程序中的Lua接口。
其中,设定接口为Haproxy程序中预先配置好的用于调用Lua程序,以截取TCP报文的接口。Haproxy程序是一个使用C语言编写的开放源代码程序,可以提供高可用性、负载均衡以及基于TCP和超文本传输协议(HyperTextTransfer Protocol,HTTP)的应用程序代理。Lua是一种轻量小巧的脚本语言,用标准C语言编写并以源代码形式开放,可以嵌入应用程序中,从而为应用程序提供灵活的扩展和定制功能。
本实施例中,在基于设定接口获取TCP报文之前,还可以包括:在Haproxy程序中编译并配置Lua程序,以启动Lua接口。具体过程可以为:安装编译Lua程序所需要的底层库;下载Lua程序的源码包;编译安装Lua程序;安装编译Haproxy程序所需要的环境;编译并指定开启的参数,例如USE_LUA=1;LUA_INC=/usr/local/src/lua-5.3.5/src;LUA_LIB=/usr/local/src/lua-5.3.5/src。通过上述过程,Haproxy程序开启了Lua接口,可以调用Lua程序。
具体的,SQL注入攻击检测装置通过Haproxy程序可以接收外网发送的TCP报文,并将该TCP报文存储在预先设置好的缓存区中,之后通过Haproxy程序中的Lua接口可以调用Lua程序,获取其缓存区中的TCP报文。
S120、对TCP报文进行SQL注入攻击检测,得到目标检测结果。
本实施例中,对TCP报文进行SQL注入攻击检测,得到目标检测结果,可以包括:通过Lua程序判断TCP报文是否为交易报文;如果TCP报文为交易报文,则对TCP报文进行正则匹配和正向设定规则校验,确定目标检测结果。
其中,交易报文是指一种具备实质内容的报文。本实施例中在对TCP报文进行SQL注入攻击检测时,先对TCP报文是否时交易报文进行判断。如果当前接收的TCP报文为交易报文,则继续进行后续判断;否则将该TCP报文转发至导流端口中,并返回空响应,防止请求连接无法退出的情况。
进一步的,通过Lua程序判断TCP报文是否为交易报文,可以包括:通过Lua程序确定TCP报文的报文体长度,并基于报文体长度判断TCP报文是否为交易报文;如果报文体长度不为零,则TCP报文为交易报文;否则,TCP报文为心跳报文。
TCP报文呼入到本实施例中的监听端口后,通过Lua程序可以先确定TCP报文的报文体长度,如果报文体长度为零,则可以确定该TCP报文为心跳报文,如果报文体长度不为零,则可以确定该TCP报文为交易报文。其中,心跳报文是指一种用于检测器件的运行状态的报文,通过其中的字符串信息表示运行状态,可以用户数据报协议(User DatagramProtocol,UDP)广播或单播方式发送。
进一步的,对TCP报文进行正则匹配和正向设定规则校验,确定目标检测结果,可以包括:如果TCP报文通过正则匹配确定不包括SQL信息,并且TCP报文通过正向设定规则校验,则目标检测结果为不存在SQL注入攻击;否则,目标检测结果为存在SQL注入攻击,其中,SQL信息包括SQL关键字和SQL语句。
其中,正则匹配可以为采用正则表达式实现的方法,正则表达式又称规则表达式,通常被用来检索、替换那些符合某个模式或规则的文本。正向设定规则是本实施例中设定的一种自定义规则,用于进一步对TCP报文进行过滤,具体规则可以根据实际情况进行设定,本实施例中不作限定,例如正向设定规则可以为交易码、报文编号、机构号或特殊字段等。
本实施例中,通过对TCP报文进行正则匹配确定该TCP报文中是否包括SQL信息,若否,则对TCP报文进行正向设定规则的校验,如果上述TCP报文通过正向设定规则的校验,则确定目标检测结果为不存在SQL注入攻击。如果确定该TCP报文中包括SQL信息或者TCP报文未通过正向设定规则的校验,则目标检测结果为存在SQL注入式攻击,将该TCP报文转发至导流端口,以返回空响应。其中,SQL信息是指结构化查询语言的相关信息,可以包括SQL关键字和SQL语句等。
S130、根据目标检测结果转发TCP报文至后端应用程序。
其中,后端应用程序可以为外网所发送的TCP报文的目标程序,后端应用程序可以为Web应用程序。
本实施例中,根据目标检测结果转发TCP报文至后端应用程序,可以包括如果目标检测结果为不存在SQL注入攻击,则将TCP报文转发至后端应用程序;否则,将TCP报文转发至导流端口,以返回空响应。
本实施例提供的SQL注入攻击检测方案,基于设定接口获取TCP报文,其中,设定接口为Haproxy程序中的Lua接口,对TCP报文进行SQL注入攻击检测,得到目标检测结果,根据目标检测结果转发TCP报文至后端应用程序。采用上述技术方案,通过Haproxy程序中的Lua接口在后端应用程序之前截取TCP报文并进行SQL注入攻击检测,将SQL注入攻击检测功能与后端应用程序解耦,减少了后端应用程序的请求压力,提高了检测效率的同时,保证了应用程序的稳定性。
图3为本发明实施例提供的另一种SQL注入攻击检测方法的流程图。本实施例在上述实施例的基础上,进一步对上述SQL注入攻击检测方法进行具体说明。相应的,如图3所示,本实施例的方法具体包括:
S210、通过Lua接口调用Lua程序,获取Haproxy程序的缓存区中的TCP报文。
具体的,SQL注入攻击检测装置通过Haproxy程序可以接收外网发送的TCP报文,并将该TCP报文存储在预先设置好的缓存区中,之后通过Haproxy程序中的Lua接口可以调用Lua程序,获取其缓存区中的TCP报文。
可选的,Haproxy程序启动Lua接口之后,还可以包括配置报文拦截的过程。图4为本发明实施例提供的一种Haproxy程序配置报文拦截的示意图,如图4所示,配置过程包括:配置导流入口,配置后端转发入口,设置请求超时时间,设置请求接收缓存区,设置请求处理调用入口,调用请求程序。上述步骤中除调用请求程序之外,其他步骤的顺序本实施例中不作限定,图4仅为示例。其中,导流入口用于将不符合转发要求的TCP报文转发走。后端转发入口用于将符合转发要求的TCP报文转发。请求超时时间用于当请求超过该时间时退出请求连接,具体可以根据实际情况设定。请求处理调用入口和请求程序用于获取请求之后调用对应的程序进行处理。
本实施例中,Lua程序获取TCP报文的过程可以为:设置调用入口名称和缓冲区名称,例如调用入口名称可以设置为backend_csg,缓冲区名称可以设置为txn;调用核心函数core.register_fetches获取Haproxy程序的缓存区内容;调用dup函数从缓存区内容中获取TCP报文。
S220、通过Lua程序判断TCP报文是否为交易报文。
通过Lua程序确定TCP报文的报文体长度,并基于报文体长度判断TCP报文是否为交易报文;如果报文体长度不为零,则TCP报文为交易报文;否则,TCP报文为心跳报文。
如果TCP报文为交易报文,则执行S230;否则,执行S280。
S230、TCP报文通过正则匹配判断是否包括SQL信息。
其中,SQL信息包括SQL关键字和SQL语句。
如果对TCP报文进行正则匹配,确定该TCP报文中包括SQL信息,则执行S270;如果确定该TCP报文中不包括SQL信息,则执行S240。
S240、TCP报文是否通过正向设定规则校验。
如果上述TCP报文通过正向设定规则的校验,则执行S250;如果TCP报文未通过正向设定规则的校验,则执行S270。
S250、目标检测结果为不存在SQL注入攻击。
如果通过Lua程序判断TCP报文为交易报文、TCP报文通过正则匹配确定不包括SQL信息以及TCP报文通过正向设定规则校验,确定目标检测结果为不存在SQL注入攻击,之后执行S260。
S260、将TCP报文转发至后端应用程序。
S270、目标检测结果为存在SQL注入攻击。
如果TCP报文通过正则匹配确定包括SQL信息或者TCP报文未通过正向设定规则校验,则确定目标检测结果未不存在SQL注入攻击,之后执行S280。
S280、将TCP报文转发至导流端口,以返回空响应。
其中,导流端口又可以称为NC端口。当TCP报文为心跳报文或目标检测结果为存在SQL注入攻击时,可以将该TCP报文发送至导流端口,并返回空响应,以防止请求连接无法退出的情况。
本实施例中,在Haproxy程序中通过Lua接口对用Lua程序,截取TCP报文,再通过SQL注入攻击检测对TCP报文进行筛选,拒绝带有SQL信息的报文通过,并且只允许满足特定条件的报文转发至后端应用程序,对后端应用系统实现了保护。本申请实施例通过使用Haproxy程序和Lua程序,不需要应用程序解析TCP报文就能实现防SQL注入攻击,效率高,防SQL注入攻击的程序独立部署,并且SQL注入攻击的SQL信息和正向设定规则可以根据实际情况自行添加,扩展性强。并且,本申请实施例在应用程序的前置上进行SQL注入攻击拦截,减少了后端应用系统的接收请求压力,提高了吞吐量,拦截了存在SQL注入攻击的TCP请求,节省了系统内部网络资源,缩短了过滤的网络路径,提高了过滤拦截的响应时间。
本实施例提供的SQL注入攻击检测方案,通过Lua接口调用Lua程序,获取Haproxy程序的缓存区中的TCP报文,如果通过Lua程序判断TCP报文为交易报文、TCP报文通过正则匹配确定不包括SQL信息以及TCP报文通过正向设定规则校验,则目标检测结果为不存在SQL注入攻击,将TCP报文转发至后端应用程序。采用上述技术方案,通过Haproxy程序中的Lua接口在后端应用程序之前截取TCP报文并进行SQL注入攻击检测,将SQL注入攻击检测功能与后端应用程序解耦,减少了后端应用程序的请求压力,提高了检测效率的同时,保证了应用程序的稳定性。
图5为本发明实施例提供的一种SQL注入攻击检测装置的结构示意图,本实施例可适用于实现SQL注入攻击检测的情况。本发明实施例所提供的SQL注入攻击检测装置可执行本发明任意实施例所提供的SQL注入攻击检测方法,具备执行方法相应的功能模块和有益效果。该装置具体包括:
报文获取模块310,用于基于设定接口获取TCP报文,其中,所述设定接口为Haproxy程序中的Lua接口;
攻击检测模块320,用于对所述TCP报文进行SQL注入攻击检测,得到目标检测结果;
报文转发模块330,用于根据所述目标检测结果转发所述TCP报文至后端应用程序。
本发明实施例提供的SQL注入攻击检测方案,基于设定接口获取TCP报文,其中,设定接口为Haproxy程序中的Lua接口,对TCP报文进行SQL注入攻击检测,得到目标检测结果,根据目标检测结果转发TCP报文至后端应用程序。采用上述技术方案,通过Haproxy程序中的Lua接口在后端应用程序之前截取TCP报文并进行SQL注入攻击检测,将SQL注入攻击检测功能与后端应用程序解耦,减少了后端应用程序的请求压力,提高了检测效率的同时,保证了应用程序的稳定性。
可选的,所述装置还包括接口启动模块,具体用于:
所述基于设定接口获取TCP报文之前,在所述Haproxy程序中编译并配置Lua程序,以启动Lua接口。
可选的,所述报文获取模块310具体用于:
通过所述Lua接口调用Lua程序,获取所述Haproxy程序的缓存区中的TCP报文。
可选的,所述攻击检测模块320包括:
交易报文判断单元,用于通过所述Lua程序判断所述TCP报文是否为交易报文;
结果确定单元,用于如果所述TCP报文为交易报文,则对所述TCP报文进行正则匹配和正向设定规则校验,确定目标检测结果。
可选的,所述交易报文判断单元具体用于:
通过所述Lua程序确定所述TCP报文的报文体长度,并基于所述报文体长度判断所述TCP报文是否为交易报文;
如果所述报文体长度不为零,则所述TCP报文为交易报文;否则,所述TCP报文为心跳报文。
可选的,所述结果确定单元具体用于:
如果所述TCP报文通过所述正则匹配确定不包括SQL信息,并且所述TCP报文通过所述正向设定规则校验,则所述目标检测结果为不存在SQL注入攻击;否则,所述目标检测结果为存在SQL注入攻击,其中,所述SQL信息包括SQL关键字和SQL语句。
可选的,所述报文转发模块330具体用于:
如果所述目标检测结果为不存在SQL注入攻击,则将所述TCP报文转发至后端应用程序;否则,将所述TCP报文转发至导流端口,以返回空响应。
本发明实施例所提供的SQL注入攻击检测装置可执行本发明任意实施例所提供的SQL注入攻击检测方法,具备执行方法相应的功能模块和有益效果。
图6为本发明实施例提供的一种设备的结构示意图。图6示出了适于用来实现本发明实施方式的示例性设备412的框图。图6显示的设备412仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图6所示,设备412以通用设备的形式表现。设备412的组件可以包括但不限于:一个或者多个处理器416,存储装置428,连接不同系统组件(包括存储装置428和处理器416)的总线418。
总线418表示几类总线结构中的一种或多种,包括存储装置总线或者存储装置控制器,外围总线,图形加速端口,处理器或者使用多种总线结构中的任意总线结构的局域总线。举例来说,这些体系结构包括但不限于工业标准体系结构(Industry SubversiveAlliance,ISA)总线,微通道体系结构(Micro Channel Architecture,MAC)总线,增强型ISA总线、视频电子标准协会(Video Electronics Standards Association,VESA)局域总线以及外围组件互连(Peripheral Component Interconnect,PCI)总线。
设备412典型地包括多种计算机系统可读介质。这些介质可以是任何能够被设备412访问的可用介质,包括易失性和非易失性介质,可移动的和不可移动的介质。
存储装置428可以包括易失性存储器形式的计算机系统可读介质,例如随机存取存储器(Random Access Memory,RAM)430和/或高速缓存存储器432。设备412可以进一步包括其它可移动/不可移动的、易失性/非易失性计算机系统存储介质。仅作为举例,存储系统434可以用于读写不可移动的、非易失性磁介质(图6未显示,通常称为“硬盘驱动器”)。尽管图6中未示出,可以提供用于对可移动非易失性磁盘(例如“软盘”)读写的磁盘驱动器,以及对可移动非易失性光盘,例如只读光盘(Compact Disc Read-Only Memory,CD-ROM),数字视盘(Digital Video Disc-Read Only Memory,DVD-ROM)或者其它光介质)读写的光盘驱动器。在这些情况下,每个驱动器可以通过一个或者多个数据介质接口与总线418相连。存储装置428可以包括至少一个程序产品,该程序产品具有一组(例如至少一个)程序模块,这些程序模块被配置以执行本发明各实施例的功能。
具有一组(至少一个)程序模块442的程序/实用工具440,可以存储在例如存储装置428中,这样的程序模块442包括但不限于操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。程序模块442通常执行本发明所描述的实施例中的功能和/或方法。
设备412也可以与一个或多个外部设备414(例如键盘、指向终端、显示器424等)通信,还可与一个或者多个使得用户能与该设备412交互的终端通信,和/或与使得该设备412能与一个或多个其它计算终端进行通信的任何终端(例如网卡,调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口422进行。并且,设备412还可以通过网络适配器420与一个或者多个网络(例如局域网(Local Area Network,LAN),广域网(Wide Area Network,WAN)和/或公共网络,例如因特网)通信。如图6所示,网络适配器420通过总线418与设备412的其它模块通信。应当明白,尽管图中未示出,可以结合设备412使用其它硬件和/或软件模块,包括但不限于:微代码、终端驱动器、冗余处理器、外部磁盘驱动阵列、磁盘阵列(Redundant Arrays of Independent Disks,RAID)系统、磁带驱动器以及数据备份存储系统等。
处理器416通过运行存储在存储装置428中的程序,从而执行各种功能应用以及数据处理,例如实现本发明实施例所提供的SQL注入攻击检测方法,该方法包括:
基于设定接口获取TCP报文,其中,所述设定接口为Haproxy程序中的Lua接口;
对所述TCP报文进行SQL注入攻击检测,得到目标检测结果;
根据所述目标检测结果转发所述TCP报文至后端应用程序。
本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如本发明实施例所提供的SQL注入攻击检测方法,该方法包括:
基于设定接口获取TCP报文,其中,所述设定接口为Haproxy程序中的Lua接口;
对所述TCP报文进行SQL注入攻击检测,得到目标检测结果;
根据所述目标检测结果转发所述TCP报文至后端应用程序。
本发明实施例的计算机存储介质,可以采用一个或多个计算机可读的介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括——但不限于无线、电线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言或其组合来编写用于执行本发明操作的计算机程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或终端上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
注意,上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解,本发明不限于这里所述的特定实施例,对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此,虽然通过以上实施例对本发明进行了较为详细的说明,但是本发明不仅仅限于以上实施例,在不脱离本发明构思的情况下,还可以包括更多其他等效实施例,而本发明的范围由所附的权利要求范围决定。
Claims (8)
1.一种SQL注入攻击检测方法,其特征在于,包括:
基于设定接口获取TCP报文,其中,所述设定接口为Haproxy程序中的Lua接口;
对所述TCP报文进行SQL注入攻击检测,得到目标检测结果;
根据所述目标检测结果转发所述TCP报文至后端应用程序;
其中,所述基于设定接口获取TCP报文,包括:
通过所述Lua接口调用Lua程序,获取所述Haproxy程序的缓存区中的TCP报文;
所述通过Lua接口调用Lua程序,获取所述Haproxy程序的缓存区中的TCP报文,包括:通过所述Haproxy程序接收外网发送的TCP报文,并将所述TCP报文存储在预先设置的缓存区中,之后通过所述Haproxy程序中的Lua接口调用Lua程序,获取所述缓存区中的所述TCP报文;
其中,对所述TCP报文进行SQL注入攻击检测,得到目标检测结果,包括:通过所述Lua程序判断所述TCP报文是否为交易报文;
如果所述TCP报文为交易报文,则对所述TCP报文进行正则匹配和正向设定规则校验,确定目标检测结果。
2.根据权利要求1所述的方法,其特征在于,所述基于设定接口获取TCP报文之前,还包括:
在所述Haproxy程序中编译并配置Lua程序,以启动Lua接口。
3.根据权利要求1所述的方法,其特征在于,通过所述Lua程序判断所述TCP报文是否为交易报文,包括:
通过所述Lua程序确定所述TCP报文的报文体长度,并基于所述报文体长度判断所述TCP报文是否为交易报文;
如果所述报文体长度不为零,则所述TCP报文为交易报文;否则,所述TCP报文为心跳报文。
4.根据权利要求1所述的方法,其特征在于,对所述TCP报文进行正则匹配和正向设定规则校验,确定目标检测结果,包括:
如果所述TCP报文通过所述正则匹配确定不包括SQL信息,并且所述TCP报文通过所述正向设定规则校验,则所述目标检测结果为不存在SQL注入攻击;否则,所述目标检测结果为存在SQL注入攻击,其中,所述SQL信息包括SQL关键字和SQL语句。
5.根据权利要求4所述的方法,其特征在于,根据所述目标检测结果转发所述TCP报文至后端应用程序,包括:
如果所述目标检测结果为不存在SQL注入攻击,则将所述TCP报文转发至后端应用程序;否则,将所述TCP报文转发至导流端口,以返回空响应。
6.一种SQL注入攻击检测装置,其特征在于,包括:
报文获取模块,用于基于设定接口获取TCP报文,其中,所述设定接口为Haproxy程序中的Lua接口;
攻击检测模块,用于对所述TCP报文进行SQL注入攻击检测,得到目标检测结果;
报文转发模块,用于根据所述目标检测结果转发所述TCP报文至后端应用程序;
其中,所述报文获取模块具体用于:通过所述Lua接口调用Lua程序,获取所述Haproxy程序的缓存区中的TCP报文;
所述通过Lua接口调用Lua程序,获取所述Haproxy程序的缓存区中的TCP报文,包括:通过所述Haproxy程序接收外网发送的TCP报文,并将所述TCP报文存储在预先设置的缓存区中,之后通过所述Haproxy程序中的Lua接口调用Lua程序,获取所述缓存区中的所述TCP报文;
其中,所述攻击检测模块还包括:
交易报文判断单元,用于通过所述Lua程序判断所述TCP报文是否为交易报文;
结果确定单元,用于如果所述TCP报文为交易报文,则对所述TCP报文进行正则匹配和正向设定规则校验,确定目标检测结果。
7.一种电子设备,其特征在于,所述设备包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-5中任一所述的SQL注入攻击检测方法。
8.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-5中任一所述的SQL注入攻击检测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010141522.9A CN111371783B (zh) | 2020-03-02 | 2020-03-02 | 一种sql注入攻击检测方法、装置、设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010141522.9A CN111371783B (zh) | 2020-03-02 | 2020-03-02 | 一种sql注入攻击检测方法、装置、设备和存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111371783A CN111371783A (zh) | 2020-07-03 |
| CN111371783B true CN111371783B (zh) | 2022-06-24 |
Family
ID=71208523
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010141522.9A Active CN111371783B (zh) | 2020-03-02 | 2020-03-02 | 一种sql注入攻击检测方法、装置、设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111371783B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111835757B (zh) * | 2020-07-10 | 2021-04-09 | 北京靠谱云科技有限公司 | 一种基于遗传算法的混合兼容式sql注入检测方法及系统 |
| CN112887274B (zh) * | 2021-01-12 | 2023-04-14 | 恒安嘉新(北京)科技股份公司 | 命令注入攻击的检测方法、装置、计算机设备和存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101459548A (zh) * | 2007-12-14 | 2009-06-17 | 北京启明星辰信息技术股份有限公司 | 一种脚本注入攻击检测方法和系统 |
| CN101594266A (zh) * | 2009-07-01 | 2009-12-02 | 杭州华三通信技术有限公司 | 一种结构化查询语言注入攻击检测方法和装置 |
| CN108737176A (zh) * | 2018-05-20 | 2018-11-02 | 湖北九州云仓科技发展有限公司 | 一种数据网关控制方法、电子设备、存储介质及架构 |
| CN109962927A (zh) * | 2019-04-17 | 2019-07-02 | 杭州安恒信息技术股份有限公司 | 基于威胁情报的防攻击方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1504323B8 (en) * | 2002-05-14 | 2010-05-19 | Cisco Technology, Inc. | Method and system for analyzing and addressing alarms from network intrusion detection systems |
| CN106416171B (zh) * | 2014-12-30 | 2020-06-16 | 华为技术有限公司 | 一种特征信息分析方法及装置 |
-
2020
- 2020-03-02 CN CN202010141522.9A patent/CN111371783B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101459548A (zh) * | 2007-12-14 | 2009-06-17 | 北京启明星辰信息技术股份有限公司 | 一种脚本注入攻击检测方法和系统 |
| CN101594266A (zh) * | 2009-07-01 | 2009-12-02 | 杭州华三通信技术有限公司 | 一种结构化查询语言注入攻击检测方法和装置 |
| CN108737176A (zh) * | 2018-05-20 | 2018-11-02 | 湖北九州云仓科技发展有限公司 | 一种数据网关控制方法、电子设备、存储介质及架构 |
| CN109962927A (zh) * | 2019-04-17 | 2019-07-02 | 杭州安恒信息技术股份有限公司 | 基于威胁情报的防攻击方法 |
Non-Patent Citations (4)
| Title |
|---|
| MySQL Attacks Self-Detection;孙子兵法/dev/random;《孙子兵法/dev/random》;20121101;第3页倒数第1段 * |
| rk295/haproxy-smart-tcp- healthcheck.lua;GitHub;《GitHub》;20181008;第1页第1段至第3页最后一段 * |
| Web入侵防御系统的设计与实现;潘磊等;《河北企业》;20130120(第01期);全文 * |
| 配置Haproxy防范DDOS攻击;星辰大海ゞ;《博客园》;20161123;第1页第1段至第5页最后一段 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111371783A (zh) | 2020-07-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10740459B2 (en) | Kernel- and user-level cooperative security processing | |
| CN105427096B (zh) | 支付安全沙箱实现方法及系统与应用程序监控方法及系统 | |
| US7596809B2 (en) | System security approaches using multiple processing units | |
| CN110519380B (zh) | 一种数据访问方法、装置、存储介质及电子设备 | |
| CN105956474B (zh) | Android平台软件异常行为检测系统 | |
| US9825977B2 (en) | System and method for controlling access to data of a user device using a security application that provides accessibility services | |
| WO2019072008A1 (zh) | 小程序的安全扫描方法、装置以及电子设备 | |
| US10735375B2 (en) | Web application security with service worker | |
| CN111371783B (zh) | 一种sql注入攻击检测方法、装置、设备和存储介质 | |
| US9351167B1 (en) | SMS botnet detection on mobile devices | |
| CN110545269A (zh) | 访问控制方法、设备及存储介质 | |
| CN111464528A (zh) | 网络安全防护方法、系统、计算设备和存储介质 | |
| CN115023699A (zh) | 恶意进程的检测方法、装置、电子设备及存储介质 | |
| CN111818035A (zh) | 一种基于api网关的权限验证的方法及设备 | |
| CN114726633B (zh) | 流量数据处理方法及装置、存储介质及电子设备 | |
| CN115378686A (zh) | 一种工控网络的沙盒应用方法、装置及存储介质 | |
| CN113709136B (zh) | 一种访问请求验证方法和装置 | |
| CN110868410B (zh) | 获取网页木马连接密码的方法、装置、电子设备、及存储介质 | |
| CN112632534A (zh) | 一种恶意行为检测方法及装置 | |
| JP6867552B2 (ja) | 判定方法、判定装置および判定プログラム | |
| CN112532734A (zh) | 报文敏感信息检测方法和装置 | |
| KR102001814B1 (ko) | 모바일 장치 기반의 악성 스크립트 탐지 방법 및 그 장치 | |
| CN110784551A (zh) | 基于多租户的数据处理方法、装置、设备和介质 | |
| CN116055222B (zh) | 一种防止攻击文件绕过waf检测的方法与装置 | |
| US20230247002A1 (en) | Enhanced kernel security in cloud environment |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20220919 Address after: 25 Financial Street, Xicheng District, Beijing 100033 Patentee after: CHINA CONSTRUCTION BANK Corp. Address before: 25 Financial Street, Xicheng District, Beijing 100033 Patentee before: CHINA CONSTRUCTION BANK Corp. Patentee before: Jianxin Financial Science and Technology Co.,Ltd. |
|
| TR01 | Transfer of patent right |