CN112039900A - 网络安全风险检测方法、系统、计算机设备和存储介质 - Google Patents

Abstract

本发明涉及网络安全领域，提供了一种网络安全风险检测方法，所述方法包括：监听目标SQL语句对目标数据库的操作，并对所述目标SQL语句的操作进行记录，以得到目标SQL日志数据；对目标SQL日志数据进行分析，以判断所述目标SQL日志数据中是否存在风险数据；如果所述目标SQL日志数据中存在所述风险数据，则对风险数据进行漏洞检测，以判断所述风险数据中是否存在漏洞数据；及如果风险数据中存在所述漏洞数据，则根据漏洞数据生成漏洞信息，并将漏洞信息上报到对应的安全运营平台，并将漏洞数据和漏洞信息上传到区块链中。本发明降低了网络安全风险检测的运维成本高，提高了漏洞检测识别的精准率、网络攻击识别精准率以及网络安全风险检测的效率。

Description

网络安全风险检测方法、系统、计算机设备和存储介质

技术领域

本发明实施例涉及网络安全领域，尤其涉及一种网络安全风险检测方法、系统、计算机设备及计算机可读存储介质。

背景技术

随着网络技术的发展，互联网在日常生活各个方面的应用越来越多，与此同时，网络信息传输过程中暴露出更多的互联网安全问题。在我国对网络安全的高度重视背景下，企业对网络安全风险检测技术要求也越来越高。但目前业内传统漏洞检测技术始终各有利弊，各技术方案痛点如下：静态代码扫描：误报多、耗人工、自动化程度低。主动爬虫扫描：业务影响大、检测深度低、人工任务部署，自动化程度低。被动式扫描器：部分漏洞检测对业务影响大、一些场景有误报。IAST扫描(RASP)：大量规模部署推广难、维护成本高、需应用支持，耦合性高。其中IAST扫描及RASP防护技术是近两年最热门的安全检测技术，其基于字节码技术，在应用内部检测应用执行堆栈，可以做到漏洞的几乎零误报。但其在企业实际应用中，需在每台应用服务器中部署安全agent，在企业动辄上万台的应用服务器的环境下，其推广成本、运维成本都是极高的。因此，如何在当前网络安全风险检测中提高漏洞检测识别的精准率，并进一步的提高网络安全风险检测的效率，成为了当前亟需解决的技术问题之一。

发明内容

有鉴于此，有必要提供一种网络安全风险检测方法、系统、计算机设备及计算机可读存储介质，以解决当前在网络安全风险检测中漏洞检测识别的精准率低、网络攻击识别精准率低以及网络安全风险检测的效率低等技术问题。

为实现上述目的，本发明实施例提供了一种网络安全风险检测方法，所述方法步骤包括：

监听目标SQL语句对目标数据库的操作，并对所述目标SQL语句的操作进行记录，以得到目标SQL日志数据；

对所述目标SQL日志数据进行分析，以判断所述目标SQL日志数据中是否存在风险数据；

如果所述目标SQL日志数据中存在所述风险数据，则对所述风险数据进行漏洞检测，以判断所述风险数据中是否存在漏洞数据；及

如果所述风险数据中存在所述漏洞数据，则根据所述漏洞数据生成漏洞信息，并将所述漏洞信息上报到对应的安全运营平台。

示例性的，所述目标SQL语句包括编译型SQL语句和拼接型SQL语句；

所述对所述目标SQL日志数据进行分析，以判断所述目标SQL日志数据中是否存在风险数据，包括；

判断所述目标SQL语句是编译型SQL语句还是所述拼接型SQL语句；

如果所述目标SQL语句为所述编译型SQL语句，则所述目标SQL日志数据不存在风险数据；及

如果所述目标SQL语句为所述拼接型SQL语句，则所述目标SQL日志数据存在风险数据。

示例性的，所述对所述风险数据进行漏洞检测，以判断所述风险数据中是否存在漏洞数据，包括：

对所述风险数据进行mark标识检测；及

如果所述风险数据中存在mark标识，则所述目标SQL日志数据中存在漏洞数据。

示例性的，所述对所述风险数据进行漏洞检测，以判断所述风险数据中是否存在漏洞数据，包括：

所述风险数据进行入参比对检测；及

如果所述入参比对不成功，则所述目标SQL日志数据中存在漏洞数据。

示例性的，所述对所述风险数据进行漏洞检测，以判断所述风险数据中是否存在漏洞数据，包括：

对所述风险数据进行黑名单检测；及

如果所述风险数据中存在黑名单数据，则所述目标SQL日志数据中存在漏洞数据。

示例性的，还包括；

如果所述风险数据中不存在所述漏洞数据，则所述目标SQL日志数据为安全数据。

示例性的，还包括：将所述漏洞数据和所述漏洞信息上传到区块链中。

为实现上述目的，本发明实施例还提供了一种网络安全风险检测系统，包括：

监听模块，用于监听目标SQL语句对目标数据库的操作，并对所述目标SQL语句的操作进行记录，以得到目标SQL日志数据；及

分析模块，用于对所述目标SQL日志数据进行分析，以判断所述目标SQL日志数据中是否存在风险数据；

风险模块，用于如果所述目标SQL日志数据中存在所述风险数据，则对所述风险数据进行漏洞检测，以判断所述风险数据中是否存在漏洞数据；及

漏洞模块，用于如果所述风险数据中存在所述漏洞数据，则根据所述漏洞数据生成漏洞信息，并将所述漏洞信息上报到对应的安全运营平台。。

为实现上述目的，本发明实施例还提供了一种计算机设备，所述计算机设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述计算机程序被处理器执行时实现如上述的网络安全风险检测方法的步骤。

为实现上述目的，本发明实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质内存储有计算机程序，所述计算机程序可被至少一个处理器所执行，以使所述至少一个处理器执行如上述的网络安全风险检测方法的步骤。

本发明实施例提供的网络安全风险检测方法、系统、计算机设备及计算机可读存储介质，本实施例通过对所述目标SQL日志数据进行风险分析，并对存在风险的目标SQL日志数据进行漏洞检测，以实现快速漏洞数据定位，降低了网络安全风险检测的运维成本高，提高了漏洞检测识别的精准率、网络攻击识别精准率以及网络安全风险检测的效率。

附图说明

图1为本发明实施例网络安全风险检测方法的流程示意图。

图2为本发明网络安全风险检测系统实施例二的程序模块示意图。

图3为本发明计算机设备实施例三的硬件结构示意图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

需要说明的是，在本发明中涉及“第一”、“第二”等的描述仅用于描述目的，而不能理解为指示或暗示其相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。另外，各个实施例之间的技术方案可以相互结合，但是必须是以本领域普通技术人员能够实现为基础，当技术方案的结合出现相互矛盾或无法实现时应当认为这种技术方案的结合不存在，也不在本发明要求的保护范围之内。

以下实施例中，将以计算机设备2为执行主体进行示例性描述。

实施例一

参阅图1，示出了本发明实施例之网络安全风险检测方法的步骤流程图。可以理解，本方法实施例中的流程图不用于对执行步骤的顺序进行限定。下面以计算机设备2为执行主体进行示例性描述。具体如下。

步骤S100，监听目标SQL语句对目标数据库的操作，并对所述目标SQL语句的操作进行记录，以得到目标SQL日志数据。

计算机设备2可以向所述目标数据库对应的应用注入agent(自主活动的软件)，以通过所述agent对所述目标数据库进行监测，并记录对所述目标数据库的操作函数(目标SQL语句)的操作信息，以得到目标SQL日志数据(Sql log)，所述目标SQL日志数据包括：应用ID、IP地址、请求接口地址、请求入参、SQL语句、SQL param(标签)。

在一些实施例中，所述计算机设备2可以通过agent对需要安全监测的目标应用对应的目标数据库的操作函数进行hook(数据拉取)，所述目标应用可以是java应用的jdbc.Statementlmpl、jdbc.PreparedStatement，php应用的pdo::query、pdo::exec等等。所述计算机设备2可以通过对所述目标数据库的操作函数的打点，监控agent可以拿到最终进入目标数据库操作的所有SQL语句，形成sql log记录(目标SQL日志数据)，所述目标SQL日志数据可以包括：应用ID、IP地址、请求接口地址、请求入参、SQL语句、sqlparam等信息，(如：{"appid":"xxxx"，"ip":"192.168.1.100"，"source":"URL:/xxx/abc/custInfo.do"，"sql":"select*from t_user where username＝？"，"sqlparam":"username＝zhangsan"})将数据同步至安全分析平台。其中，所述sqlparam为SQL标签<sql:param>标签用于在SQL语句中设置参数值。例如，<sql:param>标签可以用作<sql:update>和<sql:query>的嵌套标签，用于在SQL查询参数中提供值。

步骤S102，对所述目标SQL日志数据进行分析，以判断所述目标SQL日志数据中是否存在风险数据。

示例性的，所述目标SQL语句包括编译型SQL语句和拼接型SQL语句；所述步骤S102可以包括步骤200～204，其中：步骤200，判断所述目标SQL语句是编译型SQL语句还是所述拼接型SQL语句；步骤202，如果所述目标SQL语句为所述编译型SQL语句，则所述目标SQL日志数据不存在风险数据；及步骤204，如果所述目标SQL语句为所述拼接型SQL语句，则所述目标SQL日志数据存在风险数据。

所述目标SQL日志数据对应的目标SQL语句包括编译型SQL语句和拼接型SQL语句。

在示例性的实施例中，所述计算机设备2可以通过分析所述SQL语句是编译型SQL语句还是拼接型SQL语句，来判断所述目标SQL日志数据是否存在风险。其中：

所述编译型SQL语句是通过“？”替换了sqlparam的SQL语句；例如，使用预编译的sql：select username from t_user where userid＝？，即为正常预编译处理的SQL语句，这种SQL进入jdbc时，其sqlparam是“？”占位符，这些是不会存在SQL注入风险的。

所述拼接型SQL语句为完整的应用执行sql的SQL语句；例如，使用拼接的sql：select username from t_user where userid＝‘002’，该拼接型SQL语句的param是直接显示入参值，这种是存在sql注入的风险。

在一些实施例中，所述计算机设备2还可以基于目标SQL日志数据中其他信息(如appid、source等)先初步筛选一遍可能存在sql注入风险的应用及接口。

步骤S104，如果所述目标SQL日志数据中存在所述风险数据，则对所述风险数据进行漏洞检测，以判断所述风险数据中是否存在漏洞数据。

在一些实施例中，存在所述拼接型SQL语句并不代表其param是有用户入口的，也会存在一些应用内部执行的sql或定时sql跑批任务，这一类无用户入口带入的sql并不存在注入风险。所以需要设计一些检测逻辑去判断拼接sql的接口是否真正存在漏洞，以定位漏洞数据。

示例性的，所述步骤S104可以包括步骤300～302，其中：步骤300，对所述风险数据进行mark标识检测；及步骤302，如果所述风险数据中存在mark标识，则所述目标SQL日志数据中存在漏洞数据。

所述计算机设备2可以通过对所述目标SQL日志数据进行检测，以确定所述目标SQL日志数据是否存在预先插入mark标识，如果所述目标SQL日志数据中存在mark标识，则可以确认所述目标SQL日志数据中存在漏洞，如果所述目标SQL日志数据中不存在mark标识则所述目标SQL日志数据为安全数据。

在示例性的实施例中，所述计算机设备2可以对所有应用对外接口进行发包探测(可采用被动扫描器的机制)，对探测的接口参数插入mark标识位，如name＝tom的参数，插入特殊字符串进行注入位标识，如name＝tommarkedbyscanner。其中，目标SQL日志数据(Sql log)安全分析环节只需要检测sqlparam或sql语句中是否存在markedbyscanner字符串。如存在即可判断存在注入，因为该接口的sql语句使用了拼接方式，且存在用户入口(因发包器流量来自于用户)，用户请求带入的参数正常进入了jdbc的sql执行函数。可以确认漏洞一定是存在的。

示例性的，所述步骤S104可以包括步骤400～402，其中：步骤400，所述风险数据进行入参比对检测；及步骤402，如果所述入参比对不成功，则所述目标SQL日志数据中存在漏洞数据。

所述计算机设备2可以获取所述目标数据库的请求接口的接口入参值，将所述接口入参值与所述目标SQL日志数据中的sqlparam的param值进行比对；如果所述接口入参值和所述param值不一致，则可以确认所述目标SQL日志数据中存在漏洞；如果所述接口入参值和所述param值一致，则所述目标SQL日志数据为安全数据。

在示例性的实施例中，所述入参比对检测用于漏洞检测场景下，需要将请求接口的入参值与sqlparam的值进行比对，如果比对结果完全一致，即判定该接口满足sql注入的条件，无需再进行mark检测逻辑的验证；还可以用于安全攻击监控的场景下，通过获取请求入参(排除文本类型数据)，解析入参的输入元素(字符串、空格、特殊字符均为一个元素)，如发现入参元素个数大于1，且该入参作为sqlparam进入jdbc执行函数，即可判定为存在漏洞，且存在真实攻击，这种攻击检测机制可以做到零误报，且检测效率极为高效。

示例性的，所述步骤S104可以包括步骤500～502，其中：步骤500，对所述风险数据进行黑名单检测；及步骤502，如果所述风险数据中存在黑名单数据，则所述目标SQL日志数据中存在漏洞数据。

所述计算机设备2可以对所述目标SQL日志数据中的请求入参进行检查，以判断所述请求入参中是否存在攻击payload，如果所述请求入参中存在攻击payload，则可以确认所述目标SQL日志数据中存在漏洞；如果所述请求入参中不存在攻击payload，则所述目标SQL日志数据为安全数据。

在示例性的实施例中，所述黑名单检查逻辑其原理与WAF一致，通过检查入参是否存在攻击payload来判断是否存在攻击行为。但其与WAF的区别在于，WAF通过在通信链路中检查HTTP的request/response来判断攻击者payload是否被成功执行，但是基于真实场景上的差异，这种检测方法往往在实践中存在很多的误报，需要人工核对。另外，本方案中的黑名单检测位置已在应用堆栈末端，所以进入sql语句的黑名单中攻击payload，是一定会被数据库执行的，即可确认存在真实攻击且存在安全漏洞。目前sql黑名单的检测检测逻辑主要分为两类，一是攻击关键词检测，监控常见攻击关键词：information_schema、load_file、sleep等等。当然这一类是会存在一定误报的。二是分析sql语句中的特殊字符，如一个完整sql中存在的单引号总数量为奇数，这一类通常为攻击者在攻击时进行注入报错的漏洞测试，能够准确的判断存在攻击行为。

步骤S106，如果所述风险数据中存在所述漏洞数据，则根据所述漏洞数据生成漏洞信息，并将所述漏洞信息上报到对应的安全运营平台。

当所述计算机设备2发现所述目标SQL日志数据中存在漏洞时，则所述目标数据库对应的系统存在漏洞，这时所述计算机设备2可以根据所述漏洞数据生成一个对应的漏洞信息，并将所述漏洞信息上报到对应的安全运营平台，以便外部在接收到该漏洞信息后，根据所述该漏洞信息对所述目标数据库对应的系统进行漏洞修复。

在本实施例中，所述计算机设备2通过监测目标SQL语句对目标数据库的操作，并对目标SQL日志数据进行安全监测以确定漏洞数据，可达到目前业界最高的漏洞检测精准率及网络攻击识别精准率，可做到几乎无误报；其检测思路不同于IAST、RASP对部署agent方式的强依赖，绕开安全agent的部署难、兼容弱、巨大维护成本等问题，但可实现其同等检出效果；通过应用监控平台基于字节码技术的agent，可实现快速大规模部署，迅速在企业内铺开落地，无运维、推广的压力。另外，本实施例还可以实现扫描检测一体化特性，同时做到IAST、RASP能力在企业内广泛覆盖，结合已有的安全运营机制，可以做到对安全风险的纵深立体化管理。

示例性的，所述网络安全风险检测方法还包括；如果所述风险数据中不存在所述漏洞数据，则所述目标SQL日志数据为安全数据。

如果所述计算机设备2监测到所述风险数据中不存在所述漏洞数据，则所述目标SQL日志数据为安全数据。

示例性的，所述网络安全风险检测方法还包括：将所述漏洞数据和所述漏洞信息上传到区块链中。

示例性的，将所述漏洞数据和所述漏洞信息上传至区块链可保证其安全性和公正透明性。本示例所指区块链是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新型应用模式。区块链(Blockchain)，本质上是一个去中心化的数据库，是一串使用密码学方法相关联产生的数据块，每一个数据块中包含了一批次网络交易的信息，用于验证其信息的有效性(防伪)和生成下一个区块。区块链可以包括区块链底层平台、平台产品服务层以及应用服务层等。

实施例二

图2为本发明网络安全风险检测系统实施例二的程序模块示意图。网络安全风险检测系统20可以包括或被分割成一个或多个程序模块，一个或者多个程序模块被存储于存储介质中，并由一个或多个处理器所执行，以完成本发明，并可实现上述网络安全风险检测方法。本发明实施例所称的程序模块是指能够完成特定功能的一系列计算机程序指令段，比程序本身更适合于描述网络安全风险检测系统20在存储介质中的执行过程。以下描述将具体介绍本实施例各程序模块的功能：

监听模块200，用于监听目标SQL语句对目标数据库的操作，并对所述目标SQL语句的操作进行记录，以得到目标SQL日志数据。

分析模块202，用于对所述目标SQL日志数据进行分析，以判断所述目标SQL日志数据中是否存在风险数据。

示例性的，所述目标SQL语句包括编译型SQL语句和拼接型SQL语句；所述分析模块202，还用于：判断所述目标SQL语句是编译型SQL语句还是所述拼接型SQL语句；如果所述目标SQL语句为所述编译型SQL语句，则所述目标SQL日志数据不存在风险数据；及如果所述目标SQL语句为所述拼接型SQL语句，则所述目标SQL日志数据存在风险数据。

风险模块204，用于如果所述目标SQL日志数据中存在所述风险数据，则对所述风险数据进行漏洞检测，以判断所述风险数据中是否存在漏洞数据。

示例性的，所述风险模块204，还用于：对所述风险数据进行mark标识检测；及如果所述风险数据中存在mark标识，则所述目标SQL日志数据中存在漏洞数据。

示例性的，所述风险模块204，还用于：所述风险数据进行入参比对检测；及如果所述入参比对不成功，则所述目标SQL日志数据中存在漏洞数据。

示例性的，所述风险模块204，还用于：对所述风险数据进行黑名单检测；及如果所述风险数据中存在黑名单数据，则所述目标SQL日志数据中存在漏洞数据。

漏洞模块206，用于如果所述风险数据中存在所述漏洞数据，则根据所述漏洞数据生成漏洞信息，并将所述漏洞信息上报到对应的安全运营平台。

示例性的，所述网络安全风险检测系统20还包括，安全模块，所述安全模块，如果所述风险数据中不存在所述漏洞数据，则所述目标SQL日志数据为安全数据。

示例性的，所述网络安全风险检测系统20还包括，上传模块，所述上传模块，用于将所述漏洞数据和所述漏洞信息上传到区块链中。

实施例三

参阅图3，是本发明实施例三之计算机设备的硬件架构示意图。本实施例中，所述计算机设备2是一种能够按照事先设定或者存储的指令，自动进行数值计算和/或信息处理的设备。该计算机设备2可以是机架式服务器、刀片式服务器、塔式服务器或机柜式服务器(包括独立的服务器，或者多个服务器所组成的服务器集群)等。如图所示，所述计算机设备2至少包括，但不限于，可通过系统总线相互通信连接存储器21、处理器22、网络接口23、以及网络安全风险检测系统20。

本实施例中，存储器21至少包括一种类型的计算机可读存储介质，所述可读存储介质包括闪存、硬盘、多媒体卡、卡型存储器(例如，SD或DX存储器等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘等。在一些实施例中，存储器21可以是计算机设备2的内部存储单元，例如该计算机设备2的硬盘或内存。在另一些实施例中，存储器21也可以是计算机设备2的外部存储设备，例如该计算机设备2上配备的插接式硬盘，智能存储卡(Smart Media Card，SMC)，安全数字(Secure Digital，SD)卡，闪存卡(Flash Card)等。当然，存储器21还可以既包括计算机设备2的内部存储单元也包括其外部存储设备。本实施例中，存储器21通常用于存储安装于计算机设备2的操作系统和各类应用软件，例如实施例二的网络安全风险检测系统20的程序代码等。此外，存储器21还可以用于暂时地存储已经输出或者将要输出的各类数据。

处理器22在一些实施例中可以是中央处理器(Central Processing Unit，CPU)、控制器、微控制器、微处理器、或其他数据处理芯片。该处理器22通常用于控制计算机设备2的总体操作。本实施例中，处理器22用于运行存储器21中存储的程序代码或者处理数据，例如运行网络安全风险检测系统20，以实现实施例一的网络安全风险检测方法。

所述网络接口23可包括无线网络接口或有线网络接口，该网络接口23通常用于在所述计算机设备2与其他电子装置之间建立通信连接。例如，所述网络接口23用于通过网络将所述计算机设备2与外部终端相连，在所述计算机设备2与外部终端之间的建立数据传输通道和通信连接等。所述网络可以是企业内部网(Intranet)、互联网(Internet)、全球移动通讯系统(Global System of Mobile communicatI/On，GSM)、宽带码分多址(WidebandCode DivisI/On Multiple Access，WCDMA)、4G网络、5G网络、蓝牙(Bluetooth)、Wi-Fi等无线或有线网络。

需要指出的是，图3仅示出了具有部件20-23的计算机设备2，但是应理解的是，并不要求实施所有示出的部件，可以替代的实施更多或者更少的部件。

在本实施例中，存储于存储器21中的网络安全风险检测系统20还可以被分割为一个或者多个程序模块，所述一个或者多个程序模块被存储于存储器21中，并由一个或多个处理器(本实施例为处理器22)所执行，以完成本发明。

例如，图2示出了本发明实施例二之所述实现网络安全风险检测系统20的程序模块示意图，该实施例中，所述网络安全风险检测系统20可以被划分为监听模块200、分析模块202、风险模块204和漏洞模块206。其中，本发明所称的程序模块是指能够完成特定功能的一系列计算机程序指令段，比程序更适合于描述所述网络安全风险检测系统20在所述计算机设备2中的执行过程。所述程序模块200-206的具体功能在实施例二中已有详细描述，在此不再赘述。

实施例四

本实施例还提供一种计算机可读存储介质，如闪存、硬盘、多媒体卡、卡型存储器(例如，SD或DX存储器等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘、服务器、App应用商城等等，其上存储有计算机程序，程序被处理器执行时实现相应功能。本实施例的计算机可读存储介质用于网络安全风险检测系统20，被处理器执行时实现实施例一的网络安全风险检测方法。

上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。

以上仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。

Claims (10)

1.一种网络安全风险检测方法，其特征在于，所述方法包括：

监听目标SQL语句对目标数据库的操作，并对所述目标SQL语句的操作进行记录，以得到目标SQL日志数据；

对所述目标SQL日志数据进行分析，以判断所述目标SQL日志数据中是否存在风险数据；

如果所述目标SQL日志数据中存在所述风险数据，则对所述风险数据进行漏洞检测，以判断所述风险数据中是否存在漏洞数据；及

如果所述风险数据中存在所述漏洞数据，则根据所述漏洞数据生成漏洞信息，并将所述漏洞信息上报到对应的安全运营平台。

2.如权利要求1所述的网络安全风险检测方法，其特征在于，所述目标SQL语句包括编译型SQL语句和拼接型SQL语句；

所述对所述目标SQL日志数据进行分析，以判断所述目标SQL日志数据中是否存在风险数据，包括；

判断所述目标SQL语句是编译型SQL语句还是所述拼接型SQL语句；

如果所述目标SQL语句为所述编译型SQL语句，则所述目标SQL日志数据不存在风险数据；及

如果所述目标SQL语句为所述拼接型SQL语句，则所述目标SQL日志数据存在风险数据。

3.如权利要求1所述的网络安全风险检测方法，其特征在于，所述对所述风险数据进行漏洞检测，以判断所述风险数据中是否存在漏洞数据，包括：

对所述风险数据进行mark标识检测；及

如果所述风险数据中存在mark标识，则所述目标SQL日志数据中存在漏洞数据。

4.如权利要求1所述的网络安全风险检测方法，其特征在于，所述对所述风险数据进行漏洞检测，以判断所述风险数据中是否存在漏洞数据，包括：

所述风险数据进行入参比对检测；及

如果所述入参比对不成功，则所述目标SQL日志数据中存在漏洞数据。

5.如权利要求1所述的网络安全风险检测方法，其特征在于，所述对所述风险数据进行漏洞检测，以判断所述风险数据中是否存在漏洞数据，包括：

对所述风险数据进行黑名单检测；及

如果所述风险数据中存在黑名单数据，则所述目标SQL日志数据中存在漏洞数据。

6.如权利要求1所述的网络安全风险检测方法，其特征在于，还包括；

如果所述风险数据中不存在所述漏洞数据，则所述目标SQL日志数据为安全数据。

7.如权利要求1所述的网络安全风险检测方法，其特征在于，还包括：将所述漏洞数据和所述漏洞信息上传到区块链中。

8.一种网络安全风险检测系统，其特征在于，包括：

监听模块，用于监听目标SQL语句对目标数据库的操作，并对所述目标SQL语句的操作进行记录，以得到目标SQL日志数据；及

分析模块，用于对所述目标SQL日志数据进行分析，以判断所述目标SQL日志数据中是否存在风险数据；

风险模块，用于如果所述目标SQL日志数据中存在所述风险数据，则对所述风险数据进行漏洞检测，以判断所述风险数据中是否存在漏洞数据；及

漏洞模块，用于如果所述风险数据中存在所述漏洞数据，则根据所述漏洞数据生成漏洞信息，并将所述漏洞信息上报到对应的安全运营平台。

9.一种计算机设备，所述计算机设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1至7中任一项所述的网络安全风险检测方法的步骤。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质内存储有计算机程序，所述计算机程序可被至少一个处理器所执行，以使所述至少一个处理器执行如权利要求1至7中任一项所述的网络安全风险检测方法的步骤。

Images