CN114640530B - 一种数据泄露检测方法、装置、电子设备及可读存储介质 - Google Patents
一种数据泄露检测方法、装置、电子设备及可读存储介质 Download PDFInfo
- Publication number
- CN114640530B CN114640530B CN202210296588.4A CN202210296588A CN114640530B CN 114640530 B CN114640530 B CN 114640530B CN 202210296588 A CN202210296588 A CN 202210296588A CN 114640530 B CN114640530 B CN 114640530B
- Authority
- CN
- China
- Prior art keywords
- leakage
- data
- query
- flow
- abnormal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 133
- 230000002159 abnormal effect Effects 0.000 claims abstract description 147
- 230000004044 response Effects 0.000 claims abstract description 119
- 238000002347 injection Methods 0.000 claims abstract description 63
- 239000007924 injection Substances 0.000 claims abstract description 63
- 238000000034 method Methods 0.000 claims abstract description 37
- 238000013479 data entry Methods 0.000 claims description 31
- 238000004458 analytical method Methods 0.000 claims description 14
- 238000004590 computer program Methods 0.000 claims description 9
- 238000012216 screening Methods 0.000 claims description 4
- 238000012423 maintenance Methods 0.000 abstract description 6
- 230000006399 behavior Effects 0.000 description 12
- 238000004891 communication Methods 0.000 description 8
- 230000008569 process Effects 0.000 description 5
- 230000002776 aggregation Effects 0.000 description 4
- 238000004220 aggregation Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 239000000243 solution Substances 0.000 description 4
- 230000005236 sound signal Effects 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 230000000977 initiatory effect Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 230000004931 aggregating effect Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- KLDZYURQCUYZBL-UHFFFAOYSA-N 2-[3-[(2-hydroxyphenyl)methylideneamino]propyliminomethyl]phenol Chemical compound OC1=CC=CC=C1C=NCCCN=CC1=CC=CC=C1O KLDZYURQCUYZBL-UHFFFAOYSA-N 0.000 description 1
- 230000005856 abnormality Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 201000001098 delayed sleep phase syndrome Diseases 0.000 description 1
- 208000033921 delayed sleep phase type circadian rhythm sleep disease Diseases 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 238000011895 specific detection Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Storage Device Security (AREA)
Abstract
本申请公开了一种数据泄露检测方法、装置、电子设备及计算机可读存储介质,该方法包括:获取异常响应流量,并确定异常响应流量中的数据条目数量;若数据条目数量大于一,则判断是否存在与异常响应流量对应的异常请求流量;若存在异常请求流量,则进行泄露数据量检测,得到泄露检测结果;若数据条目数量为一,或不存在异常请求流量,则基于异常响应流量对应的时间区间进行注入攻击检测,得到泄露检测结果;该方法基于数据泄露的特点,将数据泄露和数据库正常运维操作进行准确区分,能够准确地识别数据泄露,同时提高了对数据泄露的检测实时性。
Description
技术领域
本申请涉及数据安全技术领域,特别涉及一种数据泄露检测方法、数据泄露检测装置、电子设备及计算机可读存储介质。
背景技术
数据库是以一定方式储存在一起、能与多个用户共享、具有尽可能小的冗余度、与应用程序彼此独立的数据集合。拖库(Drag)本来是数据库领域的术语,指从数据库中导出数据,在黑客攻击泛滥的今天,它也被用来指遭到入侵后,黑客窃取其数据库中数据的行为。随着大数据时代的到来,数据作为一种资产,其重要性也越来越高。数据库作为承载数据的载体,其安全也就显得尤为重要,数据库拖库手段从数据库的角度来看,可以被视为基本的数据库查询行为,但是都造成了数据泄露,同时并不具备明显的攻击特征。当前,通常采用日志审计的方式对数据泄露进行检测,然而该方式的准确性较低。
发明内容
有鉴于此,本申请的目的在于提供一种数据泄露检测方法、数据泄露检测装置、电子设备及计算机可读存储介质,提高了对数据泄露的检测准确性。
为解决上述技术问题,本申请提供了一种数据泄露检测方法,包括:
获取异常响应流量,并确定所述异常响应流量中的数据条目数量;
若所述数据条目数量大于一,则判断是否存在与所述异常响应流量对应的异常请求流量;
若存在所述异常请求流量,则进行泄露数据量检测,得到泄露检测结果;
若所述数据条目数量为一,或不存在所述异常请求流量,则基于所述异常响应流量对应的时间区间进行注入攻击检测,得到所述泄露检测结果。
可选地,所述判断是否存在与所述异常响应流量对应的异常请求流量,包括:
从所述异常响应流量中获取数据流标签;
获取请求流量,并判断所述请求流量中是否存在具有所述数据流标签的流量;
若存在,则将具有所述数据流标签的流量确定为所述异常请求流量;
若不存在,则确定不存在所述异常请求流量。
可选地,所述进行泄露数据量检测,得到泄露检测结果,包括:
判断所述异常请求流量是否具有查询数量字段;
若存在所述查询数量字段,则判断所述异常请求流量的查询对象中是否存在多次查询对象;
若不存在所述多次查询对象,则确定所述泄漏检测结果为未泄露;
若存在所述多次查询对象,或不存在所述查询数量字段,则进行泄露数据量检测,得到所述泄露检测结果。
可选地,若存在所述多次查询对象,则进行泄露数据量检测,得到所述泄露检测结果,包括:
判断所述查询数量字段对应的查询条目数量是否小于第一阈值;
若所述查询条目数量小于所述第一阈值,则确定泄漏检测结果为未泄露;
若所述查询条目数量不小于所述第一阈值,则确定泄漏检测结果为泄露。
可选地,若不存在所述查询数量字段,则进行泄露数据量检测,得到所述泄露检测结果,包括:
判断所述数据条目数量是否小于第二阈值;
若所述数据条目数量小于所述第二阈值,则确定泄漏检测结果为未泄露;
若所述数据条目数量不小于所述第二阈值,则确定泄漏检测结果为泄露。
可选地,所述基于所述异常响应流量对应的时间区间进行注入攻击检测,得到所述泄露检测结果,包括:
确定所述异常响应流量对应的所述时间区间;
基于所述时间区间筛选注入攻击日志,判断是否存在所述时间区间内的日志记录;
若不存在所述日志记录,则确定所述泄露检测结果为未泄露;
若存在所述日志记录,则确定所述泄露检测结果为泄露。
可选地,在确定所述泄露检测结果为泄露之后,还包括:
基于所述异常响应流量对应的时间区间,从解析日志中获取查询语句;
在所述查询语句中确定目标查询语句,并从所述目标查询语句中确定攻击负载字段;
基于所述目标查询语句对应的目标时间区间,在所述注入攻击日志确定目标日志记录;
若任一所述目标日志记录具有所述攻击负载字段,则将所述攻击负载字段确定为注入攻击字段。
可选地,所述在所述查询语句中确定目标查询语句,包括:
若所述查询语句的数量为1,则将所述查询语句确定为所述目标查询语句;
若所述查询语句的数量大于1,则判断各个所述查询语句是否具有目标理论响应数量;
若具有所述目标理论响应数量,则将具有所述目标理论响应数量的查询语句确定为所述目标查询语句。
本申请还提供了一种数据泄露装置,包括:
获取模块,用于获取异常响应流量,并确定所述异常响应流量中的数据条目数量;
请求流量判断模块,用于若所述数据条目数量大于一,则判断是否存在与所述异常响应流量对应的异常请求流量;
第一检测模块,用于若存在所述异常请求流量,则进行泄露数据量检测,得到泄露检测结果;
第二检测模块,用于若所述数据条目数量为一,或不存在所述异常请求流量,则基于所述异常响应流量对应的时间区间进行注入攻击检测,得到所述泄露检测结果。
本申请还提供了一种电子设备,包括存储器和处理器,其中:
所述存储器,用于保存计算机程序;
所述处理器,用于执行所述计算机程序,以实现上述的数据泄露方法。
本申请还提供了一种计算机可读存储介质,用于保存计算机程序,其中,所述计算机程序被处理器执行时实现上述的数据泄露方法。
本申请提供的数据泄露方法,获取异常响应流量,并确定异常响应流量中的数据条目数量;若数据条目数量大于一,则判断是否存在与异常响应流量对应的异常请求流量;若存在异常请求流量,则进行泄露数据量检测,得到泄露检测结果;若数据条目数量为一,或不存在异常请求流量,则基于异常响应流量对应的时间区间进行注入攻击检测,得到泄露检测结果。
可见,该方法基于数据泄露的特点进行检测,在检测到异常响应流量后,确定该异常响应流量提供的数据条目的数量。若数据条目数量大于一,说明数据库批量向外提供数据,可能为数据泄露,这种情况下可以进一步判断是否存在异常请求流量。若存在异常请求流量,则通过可能泄露的数据的数量判断是否造成了数据泄露。若数据条目数量为一,或不存在异常请求流量,说明存在利用注入攻击窃取数据的可能,根据异常响应流量对应的时间区间进行注入攻击检测,判断是否遭受到了数据库注入攻击,通过注入攻击情况判断是否造成了数据泄露。基于数据泄露的获取数据的数据量大、容易因注入攻击发起等特点,将数据泄露和数据库正常使用或运维操作进行准确区分,能够准确地识别数据泄露,避免误判漏判,同时提高了对数据泄露的检测实时性。
此外,本申请还提供了一种数据泄露装置、电子设备及计算机可读存储介质,同样具有上述有益效果。
附图说明
为了更清楚地说明本申请实施例或相关技术中的技术方案,下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请实施例提供的一种数据泄露检测方法流程图;
图2为本申请实施例提供的一种具体的数据泄露检测方法流程图;
图3为本申请实施例提供的一种数据泄露检测装置的结构示意图;
图4为本申请实施例提供的一种电子设备的结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
需要说明的是,本申请中的各个步骤可以由指定的电子设备执行,该指定的电子设备可以为服务器、网关设备例如路由器、交换机等,电子设备的数量可以为一个或多个,例如可以由多个设备分别执行不同的步骤,共同完成对数据泄露行为的检测。
需要说明的是,本申请中的数据泄露,不仅包括因外部攻击导致的数据库拖库操作,还包括内部人员监守自盗的拖库操作。由于数据泄露在操作层面上与正常的数据库使用、运维等类似,不具备明显的攻击特征,因此相关技术难以将其与正常的行为进行区分,容易出现误报和漏报。为了解决该问题,本申请从数据泄露行为的数据传输特点,例如容易因注入攻击发起、获取数据的数据量较大等,对数据泄露行为进行检测,提高了检测准确率。
请参考图1,图1为本申请实施例提供的一种数据泄露检测方法流程图。该方法包括:
S101:获取异常响应流量,并确定异常响应流量中的数据条目数量。
异常响应流量,是指数据库向外发送的具有敏感信息的响应流量,其具体内容不做限定。敏感信息,是指需要防止向外泄露的有价值的信息,需要说明的是,敏感信息的类型、数量等不做限定,可以根据实际需要进行设置。例如在一种可行的实施方式中,敏感信息包括个人隐私信息,具体可以为身份证号码、电话号码、邮箱地址、家庭住址等。在另一种可行的实施方式中,敏感信息包括被访问管理严格的保密信息,则敏感信息具体可以为具有保密标记的信息,或者可以为存储于指定保密路径下的信息。本申请并不限定对异常响应流量的具体检测方式,例如可以采用关键字匹配、格式匹配等方式对响应流量进行检测,当检测到满足条件的响应流量时将其确定为异常响应流量。异常响应流量可以为一个或多个,流量的形式可以为数据包形式。
可以理解的是,若响应流量中不存在敏感信息,则说明数据库并未向外泄露任何需要被保护的有价值的信息,在这种情况下,则可以认定并未出现数据泄露。当检测到异常响应流量时,说明数据库向外提供了有价值的信息,该现象可能是正常的数据库使用或运维行为导致的,也可能是因攻击等原因导致的数据泄露行为。为了将数据泄露与正常行为进行区分,首先确定异常响应流量的数据条目数量。数据条目数量,是指异常响应流量中包含的数据条目的数量,通过统计异常响应流量中的数据条目数量,即可得到数据条目数量。具体的,在一种实施方式中,在得到异常响应流量后,可以基于时间范围、五元组信息等对各个异常响应流量进行聚合处理,在聚合过程中,统计处于同一时间区间且具有相同五元组信息的异常响应流量中的数据条目的数量,即可得到初始数据条目数量,并将各个时间区间的相同五元组信息的初始实际响应数量相加,得到数据条目数量。
当数据条目数量为1时,可以认为在这种情况下,不会出现通过人工非法运维等人工方式盗取数据库数据造成的数据泄露,因为其不符合数据泄露行为的短时间获取大量数据的特征,但是不排除其是注入攻击引起的响应。在这种情况下,可以执行S104步骤,从注入攻击的角度进一步检测是否出现数据泄露。当数据条目数量大于1时,说明异常响应数据向外提供了较多数据条目,在这种情况下,可以执行S102步骤,从请求的角度进行进一步检测。
S102:若数据条目数量大于一,则判断是否存在与异常响应流量对应的异常请求流量。
可以理解的是,数据库是根据请求向外提供数据的,因此当检测到响应流量时,正常情况下应当存在与其对应的请求流量。对于异常响应流量来说,其对应的请求流量即为异常请求流量。本实施例并不限定对异常请求流量的存在检测方式,例如在一种实施方式中,可以设置数据流标签(或称为flowbits),每个请求数据流会被分配唯一的数据流标签,在进行响应时,该数据流标签同样会被加入响应流量中。因此,可以从异常响应流量中获取数据流标签,获取请求流量,并判断请求流量中是否存在具有数据流标签的流量。若存在,则将具有数据流标签的流量确定为异常请求流量,否则确定不存在异常请求流量,异常请求流量的数量可以为一个或多个。其中,请求流量可以为所有请求流量,或者可以为经过筛选的请求流量,例如可以为具有关键字或满足格式匹配的请求流量,一般的请求流量通常不会引发异常响应流量。
上述检测过程为一种可行的检测方式,除此以外,对异常请求流量的检测还可以附加其他检测条件,例如可以基于异常响应流量设置时间区间(例如异常响应流量生成的前一段时间),利用该时间区间对请求流量进行初步过滤,并将处于该时间区间内的请求流量进行数据流标签的检测。
当检测到存在异常请求流量时,可以认为异常响应流量因异常请求流量的请求而生成,此时仍无法判定是否出现数据泄露行为,可以执行S103步骤进行下一步检测。当检测到不存在异常请求流量时,可以认为异常响应流量的生成原因不正常,可能因注入攻击而生成,此时可以执行S104步骤。
S103:若存在异常请求流量,则进行泄露数据量检测,得到泄露检测结果。
当存在异常请求流量时,可以从数据泄露会造成大量数据被请求或输出,即大量数据被泄露的角度检测数据泄露行为。泄露数据量检测,是指对被请求获取的数据量或实际被输出的数据量的多少进行的检测。
在一种实施方式中,为了进一步提高检测准确率,避免将特殊的数据库查询或运维操作误认为是数据泄露。在进行泄露数据量检测前,即在确定若存在异常请求流量后,首先判断异常请求流量是否具有查询数量字段。查询数量字段也称为limit字段,其用于表示查询的数据条目的范围和数量。若存在查询数量字段,则说明指定了查询的对象,进一步判断异常请求流量的查询对象中是否存在多次查询对象,即是否对同一个对象,例如数据库中的一个表,进行了多次查询。由于数据泄露行为会对单个对象的查询大量数据,因此若不存在多次查询对象,则可以确定泄漏检测结果为未泄露。若存在多次查询对象,或不存在查询数量字段(为了一次获取大量数据),则说明存在数据泄露的可能,此时对异常请求流量进行泄露数据量检测,得到泄露检测结果。
需要注意的是,若不存在limit字段,则无法从请求方向判断有多少数据被请求获取,在这种情况下,可以从响应方向确定实际有多少数据被输出。具体的,若存在多次查询对象,则判断查询数量字段对应的查询条目数量是否小于第一阈值。查询条目数量,是指异常请求流量请求获取的数据条目的数量,可以利用查询数量字段中记录的查询区间来确定查询条目数量。若不存在查询数量字段,则判断数据条目数量是否小于第二阈值;若查询条目数量小于第一阈值,或数据条目数量小于第二阈值,则说明请求获取的,或数据库实际输出的数据量较少,可以确定泄漏检测结果为未泄露,否则确定泄漏检测结果为泄露。
S104:若数据条目数量为一,或不存在异常请求流量,则基于异常响应流量对应的时间区间进行注入攻击检测,得到泄露检测结果。
若数据条目数量为一,或者检测不到异常请求流量,则说明异常响应流量可能由于注入攻击引起。在这种情况下,可以对异常响应流量对应的时间区间进行注入攻击检测,判断在异常响应流量发生前或发生前后的一段时间内是否检测到了注入攻击,进而得到泄露检测结果。
通常情况下,数据库是否存在注入攻击(SQL注入攻击)由单独的模块进行检测,在检测到攻击时会生成攻击日志,因此在一种具体的实施方式中,在确定异常响应流量对应的时间区间后,可以基于时间区间筛选注入攻击日志,判断是否存在时间区间内的日志记录。由于注入攻击的检测和记录可能存在时延,该时间区间可以为异常请求流量时间戳的前后数秒的所构成的时间区间,当异常请求流量为多个(例如为多个数据包)时,可以为最早时间戳的前几秒到最晚时间戳的后几秒所构成的时间区间。若不存在日志记录,则确定泄露检测结果为未泄露,否则确定泄露检测结果为泄露。在检测出数据泄露后,可以生成告警并上报,提高告警实时性。
进一步的,在检测到存在数据泄露后,且数据泄露由注入攻击引起时,可以进一步对注入攻击的攻击手法进行检测。具体的,在确定泄露检测结果为泄露之后,可以基于异常响应流量对应的时间区间,从解析日志中获取查询语句。其中,解析日志是指电子设备运行时记录了请求方向和响应方向最多数据的日志,例如可以为记录了全量数据的日志。时间区间,是指异常响应流量生成前的一段时间对应的时间区间,具体大小不做限定。由于可以确定发生了注入攻击,而注入攻击需要由请求方向的数据引发,通过时间区间对解析日志进行过滤,可以得到可能用于进行注入攻击的查询语句,即query语句。能够用于注入攻击的查询语句需要满足一定条件,满足该条件的查询语句可以被称为目标查询语句。在查询语句中确定目标查询语句,并从目标查询语句中确定攻击负载字段,攻击负载字段即payload字段。基于目标查询语句对应的目标时间区间,在注入攻击日志确定目标日志记录,目标时间区间,是指目标查询语句时间戳之后一段时间构成的区间。可以理解的是,若目标查询语句确实为引发本次注入攻击的语句,则其在被获取后,在目标时间区间内会被查出并记录在注入攻击日志中。若任一目标日志记录具有攻击负载字段,即当目标查询语句的payload字段被记载在注入攻击日志中的一条目标日志记录时,则可以确定目标查询语句引起了注入攻击,且其采用的注入攻击字段为攻击负载字段,攻击手法被检出。
针对目标查询语句的检测方式,在一种实施方式中,若查询语句的数量为1,则可以直接将查询语句确定为目标查询语句。若查询语句的数量大于1,则判断各个查询语句是否具有目标理论响应数量。具体的,只有用于查询数据的query语句才能被用于进行注入攻击,其他目的(例如用于执行插入操作)的query语句不能用于进行注入攻击。数据库在执行查询目的的query语句时,会统计在执行该请求过程中的查询次数,该查询次数能够推得数据库理论上执行该请求所影响的数据条目的数量,即理论响应数量,理论响应数量会被记录在响应流量中发出,对于执行查询目的的query语句,其理论响应数量会大于等于1,可以将大于等于1的理论响应数量称为目标理论响应数量,其他的则为0或空。因此将具有目标理论响应数量的查询语句确定为所述目标查询语句,其他查询语句不会引起本次注入攻击。
具体的,请参考图2,图2为本申请实施例提供的一种具体的数据泄露检测方法流程图。其中,拖库工具检测,是指利用拖库工具检测模块检测利用拖库工具(如mysqldump、pgdump等)发起的数据查询操作,并在检出后将其聚合,例如根据时间、五元组信息对检出结果(即请求方向的请求流量)进行聚合,以减少数据体积,得到相应的安全日志,并生成告警。
请求方向的查询语句检测,是指对请求方向的拖库查询语句进行基于关键字、格式等的匹配,并对满足匹配的查询语句进行聚合处理(例如根据时间、五元组信息进行聚合)以得到请求方向安全日志。
响应方向敏感内容检测,是指对响应方向的响应流量进行敏感内容(如身份证号码、电话号码、手机号码、邮箱等)匹配,并利用满足匹配的响应流量(即异常响应流量)生成安全日志,然后根据时间、五元组信息进行安全日志聚合,得到响应方向安全日志。
rows数量判断,是指根据响应方向安全日志进行数据条目数量(即rows数量)的判断,对于数据条目数量为单(即1)的情况直接进行时间判断,对于数据条目数量为多(即大于1)的情况则进行行为关联判断。
行为关联判断,利用数据流中的flowbits(即数据流标签)进行请求方向安全日志的关联(指设置flowbits来对数据流进行标记,标记值可作为请求与响应关联的标签),根据响应方向安全日志去匹配请求方向安全日志,判断是否存在具有相同flowbits的请求流量(即异常请求流量),存在的话则对该请求数据流进行limit判断,不存在的话则进行时间判断。
limit判断,对得到的请求方向安全日志(异常请求流向)进行是否存在limit值(即查询数量字段)的判断,若存在limit值的安全日志则进行语句分析,若不存在limit值则进行响应方向安全日志的阈值判断。
语句分析,判断异常请求流量查询的表是否相同,全部不同则代表没有数据泄露,存在查询相同表的query语句,则需要进行limit范围值数量统计,然后进入到阈值判断。
阈值判断,对统计的limit范围值数量或响应方向安全日志的数量进行阈值判断,对于超过阈值的则直接生成告警,不超过阈值的则直接丢弃,代表没有数据泄露。
时间判断,对于需要进行时间判断的响应方向安全日志,根据响应方向安全日志确定时间区间,进而查询SQL注入安全日志,判断在时间区间内是否存在SQL注入安全日志,若存在则进入到解析日志匹配,不存在则直接丢弃,代表没有数据泄露。
解析日志匹配,根据响应方向安全日志的时间戳(基于该时间戳得到时间区间)及五元组信息,到解析日志中进行请求方向query语句的关联匹配,对满足条件的query语句进行query数量判断。
query数量判断,对匹配到的query语句进行query数量统计,对存在多条query的场景需要进行row_cnt判断,以此来确定具体哪一条query能够与响应方向安全日志对应,若只有1条query语句匹配直接注入日志进行匹配。
row_cnt判断,row_cnt是用于查询的query语句执行成功后受影响行数值,如通过select查询100条数据,则row_cnt的值就会为100。从响应方向安全日志中得到row_cnt的值,并判断是否为空或0,对于row_cnt大于或等于1的(即不为空或0),则进行注入日志匹配。
注入日志匹配,根据query语句的时间戳在SQL注入安全日志中进行时间匹配,查找时间戳点前后数秒(即目标时间区间)内的SQL注入安全日志,然后进行一致性判断。
一致性判断,对于匹配到的SQL注入安全日志以及解析日志,提取SQL注入安全日志中的攻击payload并与请求query语句进行匹配,当攻击payload包含于任意一个query语句中时,则确定攻击手段,生成告警。
应用本申请实施例提供的数据泄露检测方法,基于数据泄露的特点进行检测,在检测到异常响应流量后,确定该异常响应流量提供的数据条目的数量。若数据条目数量大于一,说明数据库批量向外提供数据,可能为数据泄露,这种情况下可以进一步判断是否存在异常请求流量。若存在异常请求流量,则通过可能泄露的数据的数量判断是否造成了数据泄露。若数据条目数量为一,或不存在异常请求流量,说明存在利用注入攻击窃取数据的可能,根据异常响应流量对应的时间区间进行注入攻击检测,判断是否遭受到了数据库注入攻击,通过注入攻击情况判断是否造成了数据泄露。基于数据泄露的获取数据的数据量大、容易因注入攻击发起等特点,将数据泄露和数据库正常使用或运维操作进行准确区分,能够准确地识别数据泄露,避免误判漏判,同时提高了对数据泄露的检测实时性。
下面对本申请实施例提供的数据泄露检测装置进行介绍,下文描述的数据泄露检测装置与上文描述的数据泄露检测方法可相互对应参照。
请参考图3,图3为本申请实施例提供的一种数据泄露检测装置的结构示意图,包括:
获取模块110,用于获取异常响应流量,并确定所述异常响应流量中的数据条目数量;
请求流量判断模块120,用于若所述数据条目数量大于一,则判断是否存在与所述异常响应流量对应的异常请求流量;
第一检测模块130,用于若存在所述异常请求流量,则进行泄露数据量检测,得到泄露检测结果;
第二检测模块140,用于若所述数据条目数量为一,或不存在所述异常请求流量,则基于所述异常响应流量对应的时间区间进行注入攻击检测,得到所述泄露检测结果。
可选地,请求流量判断模块120,包括:
标签获取单元,用于从所述异常响应流量中获取数据流标签;
请求流量筛选单元,用于获取请求流量,并判断所述请求流量中是否存在具有所述数据流标签的流量;
请求流量存在确定单元,用于若存在,则将具有所述数据流标签的流量确定为所述异常请求流量;
请求流量不存在确定单元,用于若不存在,则确定不存在所述异常请求流量。
可选地,第一检测模块130,包括:
字段检测单元,用于若存在所述异常请求流量,则判断所述异常请求流量是否具有查询数量字段;
对象判断单元,用于若存在所述查询数量字段,则判断所述异常请求流量的查询对象中是否存在多次查询对象;
第一未泄露检出单元,用于若不存在所述多次查询对象,则确定所述泄漏检测结果为未泄露;
数据量检测单元,用于若存在所述多次查询对象,或不存在所述查询数量字段,则进行泄露数据量检测,得到所述泄露检测结果。
可选地,数据量检测单元,包括:
第一阈值判断子单元,用于若存在所述多次查询对象,则判断所述查询数量字段对应的查询条目数量是否小于第一阈值;
第二阈值判断子单元,用于若不存在所述查询数量字段,则判断所述数据条目数量是否小于第二阈值;
未泄露确定子单元,用于若所述查询条目数量小于所述第一阈值,或所述数据条目数量小于所述第二阈值,则确定泄漏检测结果为未泄露;
泄露确定子单元,用于若所述查询条目数量不小于所述第一阈值,或所述数据条目数量不小于所述第二阈值,则确定泄漏检测结果为泄露。
可选地,第二检测模块140,包括:
区间确定单元,用于确定所述异常响应流量对应的所述时间区间;
记录判断单元,用于基于所述时间区间筛选注入攻击日志,判断是否存在所述时间区间内的日志记录;
第二未泄露检出单元,用于若不存在所述日志记录,则确定所述泄露检测结果为未泄露;
泄露检出单元,用于若存在所述日志记录,则确定所述泄露检测结果为泄露。
可选地,还包括:
查询语句获取模块,用于基于所述异常响应流量对应的时间区间,从解析日志中获取查询语句;
攻击负载确定模块,用于在所述查询语句中确定目标查询语句,并从所述目标查询语句中确定攻击负载字段;
目标记录获取模块,用于基于所述目标查询语句对应的目标时间区间,在所述注入攻击日志确定目标日志记录;
攻击手法检出模块,用于若任一所述目标日志记录具有所述攻击负载字段,则将所述攻击负载字段确定为注入攻击字段。
可选地,攻击负载确定模块,包括:
第一确定单元,用于若所述查询语句的数量为1,则将所述查询语句确定为所述目标查询语句;
判断单元,用于若所述查询语句的数量大于1,则判断各个所述查询语句是否具有目标理论响应数量;
第二确定单元,用于若具有所述目标理论响应数量,则将具有所述目标理论响应数量的查询语句确定为所述目标查询语句。
下面对本申请实施例提供的电子设备进行介绍,下文描述的电子设备与上文描述的数据泄露检测方法可相互对应参照。
请参考图4,图4为本申请实施例提供的一种电子设备的结构示意图。其中电子设备100可以包括处理器101和存储器102,还可以进一步包括多媒体组件103、信息输入/信息输出(I/O)接口104以及通信组件105中的一种或多种。
其中,处理器101用于控制电子设备100的整体操作,以完成上述的数据泄露检测方法中的全部或部分步骤;存储器102用于存储各种类型的数据以支持在电子设备100的操作,这些数据例如可以包括用于在该电子设备100上操作的任何应用程序或方法的指令,以及应用程序相关的数据。该存储器102可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,例如静态随机存取存储器(Static Random Access Memory,SRAM)、电可擦除可编程只读存储器(Electrically Erasable Programmable Read-Only Memory,EEPROM)、可擦除可编程只读存储器(Erasable Programmable Read-Only Memory,EPROM)、可编程只读存储器(Programmable Read-Only Memory,PROM)、只读存储器(Read-OnlyMemory,ROM)、磁存储器、快闪存储器、磁盘或光盘中的一种或多种。
多媒体组件103可以包括屏幕和音频组件。其中屏幕例如可以是触摸屏,音频组件用于输出和/或输入音频信号。例如,音频组件可以包括一个麦克风,麦克风用于接收外部音频信号。所接收的音频信号可以被进一步存储在存储器102或通过通信组件105发送。音频组件还包括至少一个扬声器,用于输出音频信号。I/O接口104为处理器101和其他接口模块之间提供接口,上述其他接口模块可以是键盘,鼠标,按钮等。这些按钮可以是虚拟按钮或者实体按钮。通信组件105用于电子设备100与其他设备之间进行有线或无线通信。无线通信,例如Wi-Fi,蓝牙,近场通信(Near Field Communication,简称NFC),2G、3G或4G,或它们中的一种或几种的组合,因此相应的该通信组件105可以包括:Wi-Fi部件,蓝牙部件,NFC部件。
电子设备100可以被一个或多个应用专用集成电路(Application SpecificIntegrated Circuit,简称ASIC)、数字信号处理器(Digital Signal Processor,简称DSP)、数字信号处理设备(Digital Signal Processing Device,简称DSPD)、可编程逻辑器件(Programmable Logic Device,简称PLD)、现场可编程门阵列(Field ProgrammableGate Array,简称FPGA)、控制器、微控制器、微处理器或其他电子元件实现,用于执行上述实施例给出的数据泄露检测方法。
下面对本申请实施例提供的计算机可读存储介质进行介绍,下文描述的计算机可读存储介质与上文描述的数据泄露检测方法可相互对应参照。
本申请还提供一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现上述的数据泄露检测方法的步骤。
该计算机可读存储介质可以包括:U盘、移动硬盘、只读存储器(Read-OnlyMemory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
本领域技术人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件的方式来执行,取决于技术方案的特定应用和设计约束条件。本领域技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应该认为超出本申请的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系属于仅仅用来将一个实体或者操作与另一个实体或者操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语包括、包含或者其他任何变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。
本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。
Claims (9)
1.一种数据泄露方法,其特征在于,包括:
获取异常响应流量,并确定所述异常响应流量中的数据条目数量;
若所述数据条目数量大于一,则判断是否存在与所述异常响应流量对应的异常请求流量;
若存在所述异常请求流量,则进行泄露数据量检测,得到泄露检测结果;
若所述数据条目数量为一,或不存在所述异常请求流量,则基于所述异常响应流量对应的时间区间进行注入攻击检测,得到所述泄露检测结果;
其中,进行泄露数据量检测,得到泄露检测结果,包括:
判断所述异常请求流量是否具有查询数量字段;
若存在所述查询数量字段,则判断所述异常请求流量的查询对象中是否存在多次查询对象;
若不存在所述多次查询对象,则确定所述泄露检测结果为未泄露;
若存在所述多次查询对象,或不存在所述查询数量字段,则进行泄露数据量检测,得到所述泄露检测结果。
2.根据权利要求1所述的数据泄露方法,其特征在于,所述判断是否存在与所述异常响应流量对应的异常请求流量,包括:
从所述异常响应流量中获取数据流标签;
获取请求流量,并判断所述请求流量中是否存在具有所述数据流标签的流量;
若存在,则将具有所述数据流标签的流量确定为所述异常请求流量;
若不存在,则确定不存在所述异常请求流量。
3.根据权利要求1所述的数据泄露方法,其特征在于,若存在所述多次查询对象,则进行泄露数据量检测,得到所述泄露检测结果,包括:
判断所述查询数量字段对应的查询条目数量是否小于第一阈值;
若所述查询条目数量小于所述第一阈值,则确定泄露检测结果为未泄露;
若所述查询条目数量不小于所述第一阈值,则确定泄露检测结果为泄露。
4.根据权利要求1所述的数据泄露方法,其特征在于,若不存在所述查询数量字段,则进行泄露数据量检测,得到所述泄露检测结果,包括:
判断所述数据条目数量是否小于第二阈值;
若所述数据条目数量小于所述第二阈值,则确定泄露检测结果为未泄露;
若所述数据条目数量不小于所述第二阈值,则确定泄露检测结果为泄露。
5.根据权利要求1至4任一项所述的数据泄露方法,其特征在于,所述基于所述异常响应流量对应的时间区间进行注入攻击检测,得到所述泄露检测结果,包括:
确定所述异常响应流量对应的所述时间区间;
基于所述时间区间筛选注入攻击日志,判断是否存在所述时间区间内的日志记录;
若不存在所述日志记录,则确定所述泄露检测结果为未泄露;
若存在所述日志记录,则确定所述泄露检测结果为泄露。
6.根据权利要求5所述的数据泄露方法,其特征在于,在确定所述泄露检测结果为泄露之后,还包括:
基于所述异常响应流量对应的时间区间,从解析日志中获取查询语句;
在所述查询语句中确定目标查询语句,并从所述目标查询语句中确定攻击负载字段;
基于所述目标查询语句对应的目标时间区间,在所述注入攻击日志确定目标日志记录;
若任一所述目标日志记录具有所述攻击负载字段,则将所述攻击负载字段确定为注入攻击字段。
7.一种数据泄露装置,其特征在于,包括:
获取模块,用于获取异常响应流量,并确定所述异常响应流量中的数据条目数量;
请求流量判断模块,用于若所述数据条目数量大于一,则判断是否存在与所述异常响应流量对应的异常请求流量;
第一检测模块,用于若存在所述异常请求流量,则进行泄露数据量检测,得到泄露检测结果;
第二检测模块,用于若所述数据条目数量为一,或不存在所述异常请求流量,则基于所述异常响应流量对应的时间区间进行注入攻击检测,得到所述泄露检测结果;
其中,第一检测模块,还用于判断所述异常请求流量是否具有查询数量字段;若存在所述查询数量字段,则判断所述异常请求流量的查询对象中是否存在多次查询对象;若不存在所述多次查询对象,则确定所述泄露检测结果为未泄露;若存在所述多次查询对象,或不存在所述查询数量字段,则进行泄露数据量检测,得到所述泄露检测结果。
8.一种电子设备,其特征在于,包括存储器和处理器,其中:
所述存储器,用于保存计算机程序;
所述处理器,用于执行所述计算机程序,以实现如权利要求1至6任一项所述的数据泄露方法。
9.一种计算机可读存储介质,其特征在于,用于保存计算机程序,其中,所述计算机程序被处理器执行时实现如权利要求1至6任一项所述的数据泄露方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210296588.4A CN114640530B (zh) | 2022-03-24 | 2022-03-24 | 一种数据泄露检测方法、装置、电子设备及可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210296588.4A CN114640530B (zh) | 2022-03-24 | 2022-03-24 | 一种数据泄露检测方法、装置、电子设备及可读存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114640530A CN114640530A (zh) | 2022-06-17 |
CN114640530B true CN114640530B (zh) | 2023-12-29 |
Family
ID=81949490
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210296588.4A Active CN114640530B (zh) | 2022-03-24 | 2022-03-24 | 一种数据泄露检测方法、装置、电子设备及可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114640530B (zh) |
Citations (22)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7558796B1 (en) * | 2005-05-19 | 2009-07-07 | Symantec Corporation | Determining origins of queries for a database intrusion detection system |
US8225402B1 (en) * | 2008-04-09 | 2012-07-17 | Amir Averbuch | Anomaly-based detection of SQL injection attacks |
CN105160252A (zh) * | 2015-08-10 | 2015-12-16 | 北京神州绿盟信息安全科技股份有限公司 | 一种结构化查询语言注入攻击的检测方法及装置 |
CN107292170A (zh) * | 2016-04-05 | 2017-10-24 | 阿里巴巴集团控股有限公司 | Sql注入攻击的检测方法及装置、系统 |
CN107563197A (zh) * | 2017-08-30 | 2018-01-09 | 杭州安恒信息技术有限公司 | 一种针对数据库层的拖库撞库攻击防御方法 |
CN107948120A (zh) * | 2016-10-12 | 2018-04-20 | 阿里巴巴集团控股有限公司 | 漏洞检测方法和装置 |
CN109067717A (zh) * | 2018-07-20 | 2018-12-21 | 西安四叶草信息技术有限公司 | 一种检测sql注入漏洞的方法及装置 |
CN110381151A (zh) * | 2019-07-24 | 2019-10-25 | 秒针信息技术有限公司 | 一种异常设备检测方法及装置 |
CN110609780A (zh) * | 2019-08-27 | 2019-12-24 | Oppo广东移动通信有限公司 | 数据监控方法、装置、电子设备及存储介质 |
CN110610090A (zh) * | 2019-08-28 | 2019-12-24 | 北京小米移动软件有限公司 | 信息处理方法及装置、存储介质 |
CN110798472A (zh) * | 2019-11-01 | 2020-02-14 | 杭州数梦工场科技有限公司 | 数据泄露检测方法与装置 |
CN111159706A (zh) * | 2019-12-26 | 2020-05-15 | 深信服科技股份有限公司 | 数据库安全检测方法、装置、设备及存储介质 |
CN111259398A (zh) * | 2020-02-25 | 2020-06-09 | 深信服科技股份有限公司 | 病毒防御方法、装置、设备和可读存储介质 |
US10819732B1 (en) * | 2018-03-20 | 2020-10-27 | State Farm Mutual Automobile Insurance Company | Computing device, software application, and computer-implemented method for system-specific real-time threat monitoring |
CN112000984A (zh) * | 2020-08-24 | 2020-11-27 | 杭州安恒信息技术股份有限公司 | 一种数据泄露检测方法、装置、设备及可读存储介质 |
CN112540991A (zh) * | 2020-12-08 | 2021-03-23 | 杭州讯酷科技有限公司 | 一种基于数据表关系的系统逻辑构建方法 |
CN112565266A (zh) * | 2020-12-07 | 2021-03-26 | 深信服科技股份有限公司 | 一种信息泄露攻击检测方法、装置、电子设备及存储介质 |
CN112688972A (zh) * | 2021-03-19 | 2021-04-20 | 杭州天谷信息科技有限公司 | 一种保护账号安全的方法及系统 |
CN113132311A (zh) * | 2019-12-31 | 2021-07-16 | 中国移动通信集团陕西有限公司 | 异常访问检测方法、装置和设备 |
CN113157854A (zh) * | 2021-01-22 | 2021-07-23 | 奇安信科技集团股份有限公司 | Api的敏感数据泄露检测方法及系统 |
EP3929787A1 (en) * | 2020-06-22 | 2021-12-29 | CA, Inc. | Detecting sensitive data records using a data format analysis |
CN114006746A (zh) * | 2021-10-26 | 2022-02-01 | 深信服科技股份有限公司 | 一种攻击检测方法、装置、设备及存储介质 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
GB0815587D0 (en) * | 2008-08-27 | 2008-10-01 | Applied Neural Technologies Ltd | Computer/network security application |
WO2016186975A1 (en) * | 2015-05-15 | 2016-11-24 | Virsec Systems, Inc. | Detection of sql injection attacks |
CN110443059A (zh) * | 2018-05-02 | 2019-11-12 | 中兴通讯股份有限公司 | 数据保护方法及装置 |
US10853509B2 (en) * | 2018-08-24 | 2020-12-01 | Bank Of America Corporation | Error detection of data leakage in a data processing system |
US20210336987A1 (en) * | 2020-04-26 | 2021-10-28 | Bluedon Information Security Technologies Corp. | Method for Detecting Structured Query Language (SQL) Injection Based on Big Data Algorithm |
-
2022
- 2022-03-24 CN CN202210296588.4A patent/CN114640530B/zh active Active
Patent Citations (22)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7558796B1 (en) * | 2005-05-19 | 2009-07-07 | Symantec Corporation | Determining origins of queries for a database intrusion detection system |
US8225402B1 (en) * | 2008-04-09 | 2012-07-17 | Amir Averbuch | Anomaly-based detection of SQL injection attacks |
CN105160252A (zh) * | 2015-08-10 | 2015-12-16 | 北京神州绿盟信息安全科技股份有限公司 | 一种结构化查询语言注入攻击的检测方法及装置 |
CN107292170A (zh) * | 2016-04-05 | 2017-10-24 | 阿里巴巴集团控股有限公司 | Sql注入攻击的检测方法及装置、系统 |
CN107948120A (zh) * | 2016-10-12 | 2018-04-20 | 阿里巴巴集团控股有限公司 | 漏洞检测方法和装置 |
CN107563197A (zh) * | 2017-08-30 | 2018-01-09 | 杭州安恒信息技术有限公司 | 一种针对数据库层的拖库撞库攻击防御方法 |
US10819732B1 (en) * | 2018-03-20 | 2020-10-27 | State Farm Mutual Automobile Insurance Company | Computing device, software application, and computer-implemented method for system-specific real-time threat monitoring |
CN109067717A (zh) * | 2018-07-20 | 2018-12-21 | 西安四叶草信息技术有限公司 | 一种检测sql注入漏洞的方法及装置 |
CN110381151A (zh) * | 2019-07-24 | 2019-10-25 | 秒针信息技术有限公司 | 一种异常设备检测方法及装置 |
CN110609780A (zh) * | 2019-08-27 | 2019-12-24 | Oppo广东移动通信有限公司 | 数据监控方法、装置、电子设备及存储介质 |
CN110610090A (zh) * | 2019-08-28 | 2019-12-24 | 北京小米移动软件有限公司 | 信息处理方法及装置、存储介质 |
CN110798472A (zh) * | 2019-11-01 | 2020-02-14 | 杭州数梦工场科技有限公司 | 数据泄露检测方法与装置 |
CN111159706A (zh) * | 2019-12-26 | 2020-05-15 | 深信服科技股份有限公司 | 数据库安全检测方法、装置、设备及存储介质 |
CN113132311A (zh) * | 2019-12-31 | 2021-07-16 | 中国移动通信集团陕西有限公司 | 异常访问检测方法、装置和设备 |
CN111259398A (zh) * | 2020-02-25 | 2020-06-09 | 深信服科技股份有限公司 | 病毒防御方法、装置、设备和可读存储介质 |
EP3929787A1 (en) * | 2020-06-22 | 2021-12-29 | CA, Inc. | Detecting sensitive data records using a data format analysis |
CN112000984A (zh) * | 2020-08-24 | 2020-11-27 | 杭州安恒信息技术股份有限公司 | 一种数据泄露检测方法、装置、设备及可读存储介质 |
CN112565266A (zh) * | 2020-12-07 | 2021-03-26 | 深信服科技股份有限公司 | 一种信息泄露攻击检测方法、装置、电子设备及存储介质 |
CN112540991A (zh) * | 2020-12-08 | 2021-03-23 | 杭州讯酷科技有限公司 | 一种基于数据表关系的系统逻辑构建方法 |
CN113157854A (zh) * | 2021-01-22 | 2021-07-23 | 奇安信科技集团股份有限公司 | Api的敏感数据泄露检测方法及系统 |
CN112688972A (zh) * | 2021-03-19 | 2021-04-20 | 杭州天谷信息科技有限公司 | 一种保护账号安全的方法及系统 |
CN114006746A (zh) * | 2021-10-26 | 2022-02-01 | 深信服科技股份有限公司 | 一种攻击检测方法、装置、设备及存储介质 |
Non-Patent Citations (1)
Title |
---|
渗透工具SqlMap GET注入使用及原理分析;王琦;白淼;;计算机安全(06);第73-76页 * |
Also Published As
Publication number | Publication date |
---|---|
CN114640530A (zh) | 2022-06-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108989150B (zh) | 一种登录异常检测方法及装置 | |
CN113489713B (zh) | 网络攻击的检测方法、装置、设备及存储介质 | |
CN111881011A (zh) | 日志管理方法、平台、服务器及存储介质 | |
KR102462128B1 (ko) | 컴퓨터 보안 사건을 보고하기 위한 시스템 및 방법 | |
CN114003903B (zh) | 一种网络攻击追踪溯源方法及装置 | |
CN112463553B (zh) | 一种基于普通告警关联分析智能告警的系统与方法 | |
JP6717206B2 (ja) | マルウェア対策装置、マルウェア対策システム、マルウェア対策方法、及び、マルウェア対策プログラム | |
CN108881271B (zh) | 一种代理主机的反向追踪溯源方法及装置 | |
JP2016033690A (ja) | 不正侵入検知装置、不正侵入検知方法、不正侵入検知プログラム及び記録媒体 | |
US20150113337A1 (en) | Failure symptom report device and method for detecting failure symptom | |
CN111984488B (zh) | 一种内存故障检测方法、装置、电子设备及可读存储介质 | |
US20230007014A1 (en) | Detection of replacement/copy-paste attacks through monitoring and classifying api function invocations | |
CN109409113B (zh) | 一种电网数据安全防护方法和分布式电网数据安全防护系统 | |
CN110941632A (zh) | 一种数据库审计方法、装置及设备 | |
CN111756745A (zh) | 告警方法、告警装置及终端设备 | |
CN114048227A (zh) | Sql语句异常检测方法、装置、设备及存储介质 | |
CN114640530B (zh) | 一种数据泄露检测方法、装置、电子设备及可读存储介质 | |
CN116881962A (zh) | 一种安全监控系统、方法、装置和存储介质 | |
CN115801307A (zh) | 一种利用服务器日志进行端口扫描检测的方法和系统 | |
US11429515B1 (en) | Monitoring execution of software using path signature | |
CN114186278A (zh) | 数据库异常操作识别方法、装置与电子设备 | |
CN111291409B (zh) | 一种数据监控方法及装置 | |
CN113111037A (zh) | 日志审计告警方法、装置及存储介质 | |
CN113961414A (zh) | 一种日志数据的处理方法、装置、设备及存储介质 | |
CN115549990B (zh) | 一种sql注入检测方法、装置、电子设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |