CN114218567A - 一种sql攻击的防御方法、装置、设备及可读存储介质 - Google Patents

一种sql攻击的防御方法、装置、设备及可读存储介质 Download PDF

Info

Publication number
CN114218567A
CN114218567A CN202111483907.4A CN202111483907A CN114218567A CN 114218567 A CN114218567 A CN 114218567A CN 202111483907 A CN202111483907 A CN 202111483907A CN 114218567 A CN114218567 A CN 114218567A
Authority
CN
China
Prior art keywords
information
database
query
statement
query statement
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202111483907.4A
Other languages
English (en)
Inventor
赵天龙
江曙光
杨启维
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Citic Bank Corp Ltd
Original Assignee
China Citic Bank Corp Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Citic Bank Corp Ltd filed Critical China Citic Bank Corp Ltd
Priority to CN202111483907.4A priority Critical patent/CN114218567A/zh
Publication of CN114218567A publication Critical patent/CN114218567A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/24Querying
    • G06F16/242Query formulation
    • G06F16/2433Query languages
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Data Mining & Analysis (AREA)
  • Databases & Information Systems (AREA)
  • Computational Linguistics (AREA)
  • Mathematical Physics (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明涉及软件安全领域,具体而言,涉及一种SQL攻击的防御方法、装置、设备及可读存储介质,所述方法包括获取数据库的查询语句和所述查询语句不能访问的第一数据库信息表;将所述数据库的查询语句并分析,得到所述查询语句访问的第二数据库信息表;根据所述第一数据库信息表和第二数据信息表建立蜜罐数据库,得到访问了所述蜜罐数据库的异常查询语句信息;根据所述蜜罐数据库的异常查询语句信息为对异常IP进行告警并封禁,得到所述异常IP的告警并封禁的结果信息。本发明对现有技术实际实际使用中由于误报太多和影响正常业务访问的情况进行改善,本发明从获取应用本身发往数据库的查询语句,从而避免应用层面的编码绕过。

Description

一种SQL攻击的防御方法、装置、设备及可读存储介质
技术领域
本发明涉及软件安全领域,具体而言,涉及一种SQL攻击的防御方法、装置、设备及可读存储介质。
背景技术
已有技术由于是多是基于已知的SQL注入攻击特征,而这些特征在匹配是基于正则匹配等其他技术,难免存在误报会将正常的请求误认为是攻击行为,同时此类检测方式攻击者可以通过一些特定的编码方式或是SQL语句本身的特性进行绕过,从而逃脱检测。另外这些攻击特征也需要随着攻击手法的变化不断更新,以避免不能对新的攻击手法的检测,现有的技术往往在与被攻击后才进行该BUG的修复,往往对数据的丢失起不到作用,而且现有的技术通常在于运用现有的BUG检测方法去检测,对新型的BUG完全不能进行判断。
发明内容
本发明的目的在于提供一种SQL攻击的防御方法、装置、设备及可读存储介质,以改善上述问题。为了实现上述目的,本发明采取的技术方案如下:
一方面,本申请提供了一种SQL攻击的防御方法,所述方法包括:获取第一信息,所述第一信息为数据库的查询语句和所述查询语句不能访问的第一数据库信息表;将所述第一信息输入第一模型进行分析,得到第二信息,所述第一模型为查询所述第一信息的数据库的查询语句并分析的模型,所述第二信息为所述查询语句访问的第二数据库信息表;将所述第二信息发送至第二模型进行处理,得到第三信息,所述第二模型为根据所述第一数据库信息表和第二数据信息表建立蜜罐数据库的模型,所述第三信息为访问了所述蜜罐数据库的异常查询语句信息;将所述第三信息发送至第三模型进行处理,得到第四信息,所述第三模型为对异常IP进行告警并封禁的模型,第四信息为所述异常IP的告警并封禁的结果信息。
可选地,所述将所述第一信息输入第一模型进行分析,得到第二信息,包括:
将所述第一信息中的查询语句进行集中处理,得到第一子信息,所述第一子信息包括所述查询语句的查询时间信息、所述查询语句的查询用户信息、所述查询语句的查询来源信息、所述查询语句的查询第二数据库信息和所述查询语句的具体语句信息,将所述第一子信息进行分类汇总,得到查询语句分类信息表;
将所述查询语句分类信息表的接口进行查询处理,得到所述查询语句分类信息表访问的接口信息;
调用与所述接口信息中的接口连接的第二数据库的信息,将所述第二数据库的信息进行统计处理得到所述第二数据库信息表。
可选地,所述将所述第二信息发送至第二模型进行处理,得到第三信息,包括:
调用所述正常语句不能访问的第一数据库信息表,将所述第一数据库信息表与所述第二数据库信息表进行对比,得到第三数据库信息表,所述第三数据库信息为所述第一数据库信息与所述第二数据库信息相同的信息集合;
建立与所述第三数据库信息表中的相同的蜜罐数据库,获取访问所述蜜罐数据库的查询语句信息,对所述访问所述蜜罐数据库的查询语句信息进行异常判断,得到访问了所述蜜罐数据库的异常查询语句信息。
可选地,所述将所述第三信息发送至第三模型进行处理,得到第四信息,包括:
获取所述访问所述蜜罐数据库的查询语句信息的源IP地址信息;
将所述访问所述蜜罐数据库的查询语句信息和所述源IP地址信息进行标记,并将所述标记查询语句信息发送给运维人员,提示所述查询语句为攻击语句;
调用防火墙的API接口将所有来自所述源IP地址的访问行为禁止。
第二方面,本申请实施例提供了一种SQL攻击的防御装置,所述装置包括:
第一获取单元,用于获取第一信息,所述第一信息为数据库的查询语句和所述查询语句不能访问的第一数据库信息表;
第一处理单元,用于将所述第一信息输入第一模型进行分析,得到第二信息,所述第一模型为查询所述第一信息的数据库的查询语句并分析的模型,所述第二信息为所述查询语句访问的第二数据库信息表;
第二处理单元,用于将所述第二信息发送至第二模型进行处理,得到第三信息,所述第二模型为根据所述第一数据库信息表和第二数据信息表建立蜜罐数据库的模型,所述第三信息为访问了所述蜜罐数据库的异常查询语句信息;
第三处理单元,用于将所述第三信息发送至第三模型进行处理,得到第四信息,所述第三模型为对异常IP进行告警并封禁的模型,第四信息为所述异常IP的告警并封禁的结果信息。
可选地,所述装置包括:
第一处理子单元,用于将所述第一信息中的查询语句进行集中处理,得到第一子信息,所述第一子信息包括所述查询语句的查询时间信息、所述查询语句的查询用户信息、所述查询语句的查询来源信息、所述查询语句的查询第二数据库信息和所述查询语句的具体语句信息,将所述第一子信息进行分类汇总,得到查询语句分类信息表;
第二处理子单元,用于将所述查询语句分类信息表的接口进行查询处理,得到所述查询语句分类信息表访问的接口信息;
第三处理子单元,用于调用与所述接口信息中的接口连接的第二数据库的信息,将所述第二数据库的信息进行统计处理得到所述第二数据库信息表。
可选地,所述装置包括:
第四处理子单元,用于调用所述正常语句不能访问的第一数据库信息表,将所述第一数据库信息表与所述第二数据库信息表进行对比,得到第三数据库信息表,所述第三数据库信息为所述第一数据库信息与所述第二数据库信息相同的信息集合;
第五处理子单元,用于建立与所述第三数据库信息表中的相同的蜜罐数据库,获取访问所述蜜罐数据库的查询语句信息,对所述访问所述蜜罐数据库的查询语句信息进行异常判断,得到访问了所述蜜罐数据库的异常查询语句信息。
可选地,所述装置包括:
第一获取子单元,用于获取所述访问所述蜜罐数据库的查询语句信息的源IP地址信息;
第六处理子单元,用于将所述访问所述蜜罐数据库的查询语句信息和所述源IP地址信息进行标记,并将所述标记查询语句信息发送给运维人员,提示所述查询语句为攻击语句;
第七处理子单元,用于调用防火墙的API接口将所有来自所述源IP地址的访问行为禁止。
第三方面,本申请实施例提供了一种SQL攻击的防御设备,所述设备包括存储器和处理器。存储器用于存储计算机程序;处理器用于执行所述计算机程序时实现上述SQL攻击的防御方法的步骤。
第四方面,本申请实施例提供了一种可读存储介质,所述可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述SQL攻击的防御方法的步骤。
本发明的有益效果为:
1、本发明对现有技术实际实际使用中由于误报太多和影响正常业务访问的情况进行改善,本发明不直接从HTTP请求中获取发往数据库的请求,而直接从获取应用本身发往数据库的查询语句,从而避免应用层面的编码绕过。
2、本发明采用直接从其访问的结果出发,判断所述查询语句是否为异常查询,如果为异常查询,则直接进行处理,防止其造成损失。
3、本发明还设置有蜜罐数据库,以此来防止保密数据的丢失,而且可以设置陷阱来诱导其攻击者,还可以在追求减少损失的情况下对攻击者的IP进行封禁。
本发明的其他特征和优点将在随后的说明书阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明实施例了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本发明实施例中所述的一种SQL攻击的防御方法流程示意图;
图2为本发明实施例中所述的一种SQL攻击的防御装置结构示意图;
图3是本发明实施例中所述的一种SQL攻击的防御设备结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本发明的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
实施例1
如图1所示,本实施例提供了一种SQL攻击的防御方法,其所述方法包括步骤S1、步骤S2、步骤S3和步骤S4。
步骤S1、获取第一信息,所述第一信息为数据库的查询语句和所述查询语句不能访问的第一数据库信息表;
步骤S2、将所述第一信息输入第一模型进行分析,得到第二信息,所述第一模型为查询所述第一信息的数据库的查询语句并分析的模型,所述第二信息为所述查询语句访问的第二数据库信息表;
步骤S3、将所述第二信息发送至第二模型进行处理,得到第三信息,所述第二模型为根据所述第一数据库信息表和第二数据信息表建立蜜罐数据库的模型,所述第三信息为访问了所述蜜罐数据库的异常查询语句信息;
步骤S4、将所述第三信息发送至第三模型进行处理,得到第四信息,所述第三模型为对异常IP进行告警并封禁的模型,第四信息为所述异常IP的告警并封禁的结果信息。
可以理解的是本发明对现有技术实际实际使用中由于误报太多和影响正常业务访问的情况进行改善,本发明不直接从HTTP请求中获取发往数据库的请求,而直接从获取应用本身发往数据库的查询语句,从而避免应用层面的编码绕过。
可以理解的是本发明采用直接从其访问的结果出发,判断所述查询语句是否为异常查询,如果为异常查询,则直接进行处理,防止其造成损失。
可以理解的是本发明还通过设置蜜罐数据库,以此来防止保密数据的丢失,而且可以设置陷阱来诱导其攻击者,还可以在追求减少损失的情况下对攻击者的IP进行封禁。
在本公开的一种具体实施方式中,所述步骤S2包括步骤S21、步骤S22和步骤S23。
步骤S21、将所述第一信息中的查询语句进行集中处理,得到第一子信息,所述第一子信息包括所述查询语句的查询时间信息、所述查询语句的查询用户信息、所述查询语句的查询来源信息、所述查询语句的查询第二数据库信息和所述查询语句的具体语句信息,将所述第一子信息进行分类汇总,得到查询语句分类信息表;
步骤S22、将所述查询语句分类信息表的接口进行查询处理,得到所述查询语句分类信息表访问的接口信息;
步骤S23、调用与所述接口信息中的接口连接的第二数据库的信息,将所述第二数据库的信息进行统计处理得到所述第二数据库信息表。
可以理解的是本发明通过对所述第一子信息进行分类汇总,得到多个不同种类的查询语句,然后通过分析查询语句查询的接口进行分析,得到不同接口连接的数据库的信息,然后通过统计不同的数据库信息进行建表,以此来方便所述查询语句对所述数据库进行查询,并且方便对所述查询语句进行检测,检测所述查询语句是否进行了除语句正常进行的操作之外的其他操作,防止所述查询语句进行盗取信息的操作。
在本公开的一种具体实施方式中,所述步骤S3包括步骤S31和步骤S32。
步骤S31、调用所述正常语句不能访问的第一数据库信息表,将所述第一数据库信息表与所述第二数据库信息表进行对比,得到第三数据库信息表,所述第三数据库信息为所述第一数据库信息与所述第二数据库信息相同的信息集合;
步骤S32、建立与所述第三数据库信息表中的相同的蜜罐数据库,获取访问所述蜜罐数据库的查询语句信息,对所述访问所述蜜罐数据库的查询语句信息进行异常判断,得到访问了所述蜜罐数据库的异常查询语句信息。
可以理解的是本发明通过对所述第一数据库表和第二数据库表进行对比,得到不该访问的数据库信息,进而得知那些语句访问了不该访问的数据库,进而将这些语句标记为异常语句;
可以理解的是本发明通过建立蜜罐数据库来供所述异常查询语句进行查询,防止其查询语句对文件造成损害,并且通过蜜罐数据库来对异常语句进行诱骗查询检测,进而对所述查询语句进行IP封禁处理。
在本公开的一种具体实施方式中,所述步骤S4包括步骤S41、步骤S42和步骤S43。
步骤S41、获取所述访问所述蜜罐数据库的查询语句信息的源IP地址信息;
步骤S42、将所述访问所述蜜罐数据库的查询语句信息和所述源IP地址信息进行标记,并将所述标记查询语句信息发送给运维人员,提示所述查询语句为攻击语句;
步骤S43、调用防火墙的API接口将所有来自所述源IP地址的访问行为禁止。
可以理解的是上述步骤是通过获取查询语句信息的源IP地址信息,然后对所述查询语句信息的源IP地址进行标记和封禁以此来达到防御SQL语句攻击的效果,以此来防止所述SQL语句对数据库信息的获取。
在本公开的一种具体实施方式中,所述步骤S4之后还包括步骤S5、步骤S6和步骤S7。
步骤S5、获取第一阈值,所述第一阈值为所述源IP地址被封禁次数阈值;
步骤S6、将所述源IP地址被封禁次数与所述第一阈值进行对比,若所述源IP地址的封禁次数大于0次且低于所述第一阈值,则将所述源IP地址加入访问红名单,所述访问红名单内的源IP地址输入的查询语句均需要优先判断是否访问异常;
步骤S7、若所述IP地址的封禁次数大于第一阈值,则将所述源IP地址加入访问黑名单,所述访问黑名单内的源IP地址输入的查询语句均不允许进行访问。
可以理解的是上述步骤是为了建立黑名单,对于攻击过的IP地址进行优先处理,对其出现了异常的语句进行封禁,减少受到攻击的可能性。
可以理解的是上述步骤中的红名单是防止由于误判造成的IP地址封禁,进而永久不能访问,减少人工维护的作业量,减少人力物力的浪费。
在本公开的一种具体实施方式中,所述步骤S4之后还包括步骤S8、步骤S9和步骤S10。
步骤S8、获取所述异常查询语句的属性信息,所述属性信息包括SQL关键字信息、IP地址信息、URL信息和操作命令信息;
步骤S9、将所述属性信息进行分析处理,得到所述异常查询语句的访问动作信息,所述访问动作信息为所述异常查询语句的访问路径;
步骤S10、将所述异常查询语句的访问路径进行排序标号,并将所述排序标号后的异常查询语句的访问路径发送至运维人员的通讯设备,并提示所述运维人员对所述访问路径进行排查。
可以理解的是上述步骤通过对所述异常查询语句的访问路径进行排序标号,然后让运维人员对所述异常语句的所有信息进行排查,防止其他攻击的同时,可以对所述攻击的目的和来源有一定的了解,做好防御准备。
实施例2
如图2所示,本实施例提供了一种SQL攻击的防御装置,所述装置包括第一获取单元701、第一处理单元702、第二处理单元703和第三处理单元704。
第一获取单元701,用于获取第一信息,所述第一信息为数据库的查询语句和所述查询语句不能访问的第一数据库信息表;
第一处理单元702,用于将所述第一信息输入第一模型进行分析,得到第二信息,所述第一模型为查询所述第一信息的数据库的查询语句并分析的模型,所述第二信息为所述查询语句访问的第二数据库信息表;
第二处理单元703,用于将所述第二信息发送至第二模型进行处理,得到第三信息,所述第二模型为根据所述第一数据库信息表和第二数据信息表建立蜜罐数据库的模型,所述第三信息为访问了所述蜜罐数据库的异常查询语句信息;
第三处理单元704,用于将所述第三信息发送至第三模型进行处理,得到第四信息,所述第三模型为对异常IP进行告警并封禁的模型,第四信息为所述异常IP的告警并封禁的结果信息。
在本公开的一种具体实施方式中,所述第一处理单元702包括第一处理子单元7021、第二处理子单元7022和第三处理子单元7023。
第一处理子单元7021,用于将所述第一信息中的查询语句进行集中处理,得到第一子信息,所述第一子信息包括所述查询语句的查询时间信息、所述查询语句的查询用户信息、所述查询语句的查询来源信息、所述查询语句的查询第二数据库信息和所述查询语句的具体语句信息,将所述第一子信息进行分类汇总,得到查询语句分类信息表;
第二处理子单元7022,用于将所述查询语句分类信息表的接口进行查询处理,得到所述查询语句分类信息表访问的接口信息;
第三处理子单元7023,用于调用与所述接口信息中的接口连接的第二数据库的信息,将所述第二数据库的信息进行统计处理得到所述第二数据库信息表。
在本公开的一种具体实施方式中,所述第二处理单元703包括第四处理子单元7031和第五处理子单元7032。
第四处理子单元7031,用于调用所述正常语句不能访问的第一数据库信息表,将所述第一数据库信息表与所述第二数据库信息表进行对比,得到第三数据库信息表,所述第三数据库信息为所述第一数据库信息与所述第二数据库信息相同的信息集合;
第五处理子单元7032,用于建立与所述第三数据库信息表中的相同的蜜罐数据库,获取访问所述蜜罐数据库的查询语句信息,对所述访问所述蜜罐数据库的查询语句信息进行异常判断,得到访问了所述蜜罐数据库的异常查询语句信息。
在本公开的一种具体实施方式中,所述第三处理单元704包括第一获取子单元7041、第六处理子单元7042和第七处理子单元7043。
第一获取子单元7041,用于获取所述访问所述蜜罐数据库的查询语句信息的源IP地址信息;
第六处理子单元7042,用于将所述访问所述蜜罐数据库的查询语句信息和所述源IP地址信息进行标记,并将所述标记查询语句信息发送给运维人员,提示所述查询语句为攻击语句;
第七处理子单元7043,用于调用防火墙的API接口将所有来自所述源IP地址的访问行为禁止。
在本公开的一种具体实施方式中,所述第三处理单元704之后还包括第二获取单元705、第一判断单元706和第二判断单元707。
第二获取单元705,用于获取第一阈值,所述第一阈值为所述源IP地址被封禁次数阈值;
第一判断单元706,用于将所述源IP地址被封禁次数与所述第一阈值进行对比,若所述源IP地址的封禁次数大于0次且低于所述第一阈值,则将所述源IP地址加入访问红名单,所述访问红名单内的源IP地址输入的查询语句均需要优先判断是否访问异常;
第二判断单元707,用于若所述IP地址的封禁次数大于第一阈值,则将所述源IP地址加入访问黑名单,所述访问黑名单内的源IP地址输入的查询语句均不允许进行访问。
在本公开的一种具体实施方式中,所述第三处理单元704之后还包括第三获取单元708、第四处理单元709和第五处理单元710。
第三获取单元708,用于获取所述异常查询语句的属性信息,所述属性信息包括SQL关键字信息、IP地址信息、URL信息和操作命令信息;
第四处理单元709,用于将所述属性信息进行分析处理,得到所述异常查询语句的访问动作信息,所述访问动作信息为所述异常查询语句的访问路径;
第五处理单元710,用于将所述异常查询语句的访问路径进行排序标号,并将所述排序标号后的异常查询语句的访问路径发送至运维人员的通讯设备,并提示所述运维人员对所述访问路径进行排查。
需要说明的是,关于上述实施例中的装置,其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
实施例3
相应于上面的方法实施例,本公开实施例还提供了一种SQL攻击的防御设备,下文描述的一种SQL攻击的防御设备与上文描述的一种SQL攻击的防御方法可相互对应参照。
图3是根据一示例性实施例示出的一种SQL攻击的防御设备800的框图。如图3所示,该SQL攻击的防御设备800可以包括:处理器801,存储器802。该SQL攻击的防御设备800还可以包括多媒体组件803,输入/输出(I/O)接口804,以及通信组件805中的一者或多者。
其中,处理器801用于控制该SQL攻击的防御设备800的整体操作,以完成上述的SQL攻击的防御方法中的全部或部分步骤。存储器802用于存储各种类型的数据以支持在该SQL攻击的防御设备800的操作,这些数据例如可以包括用于在该SQL攻击的防御设备800上操作的任何应用程序或方法的指令,以及应用程序相关的数据,例如联系人数据、收发的消息、图片、音频、视频等等。该存储器802可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,例如静态随机存取存储器(Static Random Access Memory,简称SRAM),电可擦除可编程只读存储器(Electrically Erasable Programmable Read-Only Memory,简称EEPROM),可擦除可编程只读存储器(Erasable Programmable Read-Only Memory,简称EPROM),可编程只读存储器(Programmable Read-Only Memory,简称PROM),只读存储器(Read-Only Memory,简称ROM),磁存储器,快闪存储器,磁盘或光盘。多媒体组件803可以包括屏幕和音频组件。其中屏幕例如可以是触摸屏,音频组件用于输出和/或输入音频信号。例如,音频组件可以包括一个麦克风,麦克风用于接收外部音频信号。所接收的音频信号可以被进一步存储在存储器802或通过通信组件805发送。音频组件还包括至少一个扬声器,用于输出音频信号。I/O接口804为处理器801和其他接口模块之间提供接口,上述其他接口模块可以是键盘,鼠标,按钮等。这些按钮可以是虚拟按钮或者实体按钮。通信组件805用于该SQL攻击的防御设备800与其他设备之间进行有线或无线通信。无线通信,例如Wi-Fi,蓝牙,近场通信(Near FieldCommunication,简称NFC),2G、3G或4G,或它们中的一种或几种的组合,因此相应的该通信组件805可以包括:Wi-Fi模块,蓝牙模块,NFC模块。
在一示例性实施例中,SQL攻击的防御设备800可以被一个或多个应用专用集成电路(Application Specific Integrated Circuit,简称ASIC)、数字信号处理器(DigitalSignal Processor,简称DSP)、数字信号处理设备(Digital Signal ProcessingDevice,简称DSPD)、可编程逻辑器件(Programmable Logic Device,简称PLD)、现场可编程门阵列(Field Programmable Gate Array,简称FPGA)、控制器、微控制器、微处理器或其他电子元件实现,用于执行上述的一种SQL攻击的防御方法。
在另一示例性实施例中,还提供了一种包括程序指令的计算机可读存储介质,该程序指令被处理器执行时实现上述的SQL攻击的防御方法的步骤。例如,该计算机可读存储介质可以为上述包括程序指令的存储器802,上述程序指令可由SQL攻击的防御设备800的处理器801执行以完成上述的SQL攻击的防御方法。
实施例4
相应于上面的方法实施例,本公开实施例还提供了一种可读存储介质,下文描述的一种可读存储介质与上文描述的一种SQL攻击的防御方法可相互对应参照。
一种可读存储介质,可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现上述方法实施例的SQL攻击的防御方法的步骤。
该可读存储介质具体可以为U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可存储程序代码的可读存储介质。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。

Claims (10)

1.一种SQL攻击的防御方法,其特征在于,包括:
获取第一信息,所述第一信息为数据库的查询语句和所述查询语句不能访问的第一数据库信息表;
将所述第一信息输入第一模型进行分析,得到第二信息,所述第一模型为查询所述第一信息的数据库的查询语句并分析的模型,所述第二信息为所述查询语句访问的第二数据库信息表;
将所述第二信息发送至第二模型进行处理,得到第三信息,所述第二模型为根据所述第一数据库信息表和第二数据信息表建立蜜罐数据库的模型,所述第三信息为访问了所述蜜罐数据库的异常查询语句信息;
将所述第三信息发送至第三模型进行处理,得到第四信息,所述第三模型为对异常IP进行告警并封禁的模型,第四信息为所述异常IP的告警并封禁的结果信息。
2.根据权利要求1所述的SQL攻击的防御方法,其特征在于,所述将所述第一信息输入第一模型进行分析,得到第二信息,包括:
将所述第一信息中的查询语句进行集中处理,得到第一子信息,所述第一子信息包括所述查询语句的查询时间信息、所述查询语句的查询用户信息、所述查询语句的查询来源信息、所述查询语句的查询第二数据库信息和所述查询语句的具体语句信息,将所述第一子信息进行分类汇总,得到查询语句分类信息表;
将所述查询语句分类信息表的接口进行查询处理,得到所述查询语句分类信息表访问的接口信息;
调用与所述接口信息中的接口连接的第二数据库的信息,将所述第二数据库的信息进行统计处理得到所述第二数据库信息表。
3.根据权利要求1所述的SQL攻击的防御方法,其特征在于,所述将所述第二信息发送至第二模型进行处理,得到第三信息,包括:
调用所述正常语句不能访问的第一数据库信息表,将所述第一数据库信息表与所述第二数据库信息表进行对比,得到第三数据库信息表,所述第三数据库信息为所述第一数据库信息与所述第二数据库信息相同的信息集合;
建立与所述第三数据库信息表中的相同的蜜罐数据库,获取访问所述蜜罐数据库的查询语句信息,对所述访问所述蜜罐数据库的查询语句信息进行异常判断,得到访问了所述蜜罐数据库的异常查询语句信息。
4.根据权利要求1所述的SQL攻击的防御方法,其特征在于,所述将所述第三信息发送至第三模型进行处理,得到第四信息,包括:
获取所述访问所述蜜罐数据库的查询语句信息的源IP地址信息;
将所述访问所述蜜罐数据库的查询语句信息和所述源IP地址信息进行标记,并将所述标记查询语句信息发送给运维人员,提示所述查询语句为攻击语句;
调用防火墙的API接口将所有来自所述源IP地址的访问行为禁止。
5.一种SQL攻击的防御,其特征在于,包括:
第一获取单元,用于获取第一信息,所述第一信息为数据库的查询语句和所述查询语句不能访问的第一数据库信息表;
第一处理单元,用于将所述第一信息输入第一模型进行分析,得到第二信息,所述第一模型为查询所述第一信息的数据库的查询语句并分析的模型,所述第二信息为所述查询语句访问的第二数据库信息表;
第二处理单元,用于将所述第二信息发送至第二模型进行处理,得到第三信息,所述第二模型为根据所述第一数据库信息表和第二数据信息表建立蜜罐数据库的模型,所述第三信息为访问了所述蜜罐数据库的异常查询语句信息;
第三处理单元,用于将所述第三信息发送至第三模型进行处理,得到第四信息,所述第三模型为对异常IP进行告警并封禁的模型,第四信息为所述异常IP的告警并封禁的结果信息。
6.根据权利要求5所述的SQL攻击的防御装置,其特征在于,所述装置包括:
第一处理子单元,用于将所述第一信息中的查询语句进行集中处理,得到第一子信息,所述第一子信息包括所述查询语句的查询时间信息、所述查询语句的查询用户信息、所述查询语句的查询来源信息、所述查询语句的查询第二数据库信息和所述查询语句的具体语句信息,将所述第一子信息进行分类汇总,得到查询语句分类信息表;
第二处理子单元,用于将所述查询语句分类信息表的接口进行查询处理,得到所述查询语句分类信息表访问的接口信息;
第三处理子单元,用于调用与所述接口信息中的接口连接的第二数据库的信息,将所述第二数据库的信息进行统计处理得到所述第二数据库信息表。
7.根据权利要求5所述的SQL攻击的防御装置,其特征在于,所述装置包括:
第四处理子单元,用于调用所述正常语句不能访问的第一数据库信息表,将所述第一数据库信息表与所述第二数据库信息表进行对比,得到第三数据库信息表,所述第三数据库信息为所述第一数据库信息与所述第二数据库信息相同的信息集合;
第五处理子单元,用于建立与所述第三数据库信息表中的相同的蜜罐数据库,获取访问所述蜜罐数据库的查询语句信息,对所述访问所述蜜罐数据库的查询语句信息进行异常判断,得到访问了所述蜜罐数据库的异常查询语句信息。
8.根据权利要求5所述的SQL攻击的防御装置,其特征在于,所述装置包括:
第一获取子单元,用于获取所述访问所述蜜罐数据库的查询语句信息的源IP地址信息;
第六处理子单元,用于将所述访问所述蜜罐数据库的查询语句信息和所述源IP地址信息进行标记,并将所述标记查询语句信息发送给运维人员,提示所述查询语句为攻击语句;
第七处理子单元,用于调用防火墙的API接口将所有来自所述源IP地址的访问行为禁止。
9.一种SQL攻击的防御设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至4任一项所述SQL攻击的防御方法的步骤。
10.一种可读存储介质,其特征在于:所述可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至4任一项所述SQL攻击的防御方法的步骤。
CN202111483907.4A 2021-12-07 2021-12-07 一种sql攻击的防御方法、装置、设备及可读存储介质 Pending CN114218567A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111483907.4A CN114218567A (zh) 2021-12-07 2021-12-07 一种sql攻击的防御方法、装置、设备及可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111483907.4A CN114218567A (zh) 2021-12-07 2021-12-07 一种sql攻击的防御方法、装置、设备及可读存储介质

Publications (1)

Publication Number Publication Date
CN114218567A true CN114218567A (zh) 2022-03-22

Family

ID=80699998

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111483907.4A Pending CN114218567A (zh) 2021-12-07 2021-12-07 一种sql攻击的防御方法、装置、设备及可读存储介质

Country Status (1)

Country Link
CN (1) CN114218567A (zh)

Similar Documents

Publication Publication Date Title
US11792229B2 (en) AI-driven defensive cybersecurity strategy analysis and recommendation system
US11916944B2 (en) Network anomaly detection and profiling
CN109688097B (zh) 网站防护方法、网站防护装置、网站防护设备及存储介质
US10893068B1 (en) Ransomware file modification prevention technique
US20220224723A1 (en) Ai-driven defensive cybersecurity strategy analysis and recommendation system
CN108664793B (zh) 一种检测漏洞的方法和装置
US20220201042A1 (en) Ai-driven defensive penetration test analysis and recommendation system
US11086983B2 (en) System and method for authenticating safe software
CN109246064B (zh) 安全访问控制、网络访问规则的生成方法、装置及设备
CN108932426B (zh) 越权漏洞检测方法和装置
CN110417778B (zh) 访问请求的处理方法和装置
CN111651757A (zh) 攻击行为的监测方法、装置、设备及存储介质
CN112787992A (zh) 一种敏感数据的检测与防护的方法、装置、设备和介质
CN110933104B (zh) 恶意命令检测方法、装置、设备及介质
CN103020526A (zh) 恶意程序主动拦截方法和装置及客户端设备
CN112769833B (zh) 命令注入攻击的检测方法、装置、计算机设备和存储介质
CN108234426B (zh) Apt攻击告警方法和apt攻击告警装置
CN108268773B (zh) Android应用升级包本地存储安全性检测方法
CN113872965B (zh) 一种基于Snort引擎的SQL注入检测方法
CN113190839A (zh) 一种基于SQL注入的web攻击防护方法及系统
CN110716973A (zh) 基于大数据的安全事件上报平台及方法
CN113378161A (zh) 一种安全检测方法、装置、设备及存储介质
CN111314370B (zh) 一种业务漏洞攻击行为的检测方法及装置
CN109462617B (zh) 一种局域网中设备通讯行为检测方法及装置
CN112699369A (zh) 一种通过栈回溯检测异常登录的方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination