[发明专利]一种适于高速局域网环境的SQL注入攻击检测系统

说明书

技术领域

本发明涉及网络安全检测技术领域，特别涉及一种适于高速局域网环境的SQL注入攻击检测系统。

背景技术

SQL(Structure Query Language，结构化查询语言)注入攻击是指攻击者利用已有应用程序中的SQL注入漏洞，将恶意的SQL命令注入到后台数据库引擎中执行，达到偷取数据甚至控制数据库服务器的目的。SQL注入漏洞的根源是应用程序中使用了用户输入数据来构造动态SQL语句，并且未对用户输入数据做安全检查和过滤。SQL注入漏洞常见于利用HTTP协议(Hypertext Transfer Protocol，超文本传输协议)实现客户端和服务器之间通信的Web应用程序中。

SQL注入攻击已经成为当前最为严重的安全攻击事件。据统计，目前发生的安全事件中60％属于SQL注入攻击事件。2006年，国际漏洞组织CVE公布了1078条SQL注入安全漏洞事件，超过其公布的漏洞总数的50％。更为严重的是，这些公布的SQL注入安全漏洞事件仅来自于对通用应用程序的SQL注入漏洞的统计，大量的存在于专用Web应用程序(包括银行、政务网)的SQL注入漏洞根本无法统计。

SQL注入漏洞问题的普遍性和严重性已经引起了客户和网络安全界的重视，一些网络入侵检测/防御厂商也对SQL注入攻击的检测和防御进行了研究，并提出了一些SQL注入攻击检测方法。传统SQL注入攻击检测方法都是基于入侵检测系统攻击特征签名检测技术，比如当发现用户输入数据域中包含了’SELECT’关键词时，表示检测到了可能的SQL注入攻击企图。这种沿 用传统入侵检测系统攻击特征签名的SQL注入攻击检测方法存在以下问题：SQL注入攻击特征签名难于准确提取，导致误报率非常高；SQL注入攻击特征签名容易被欺骗，导致漏报率非常高。

为克服SQL注入攻击特征签名提取不准确和攻击特征签名易被欺骗等缺点，人们提出了基于SQL注入命令语法规则的SQL注入攻击检测方法，其检测依据是：虽然SQL注入攻击手法多变，但万变不离其踪：其注入部分必须部分或全部符合SQL语法。该SQL注入攻击检测方法包括SQL注入攻击检测知识库构建和实时SQL注入攻击检测两个阶段，其中，SQL注入攻击检测知识库构建阶段包括以下步骤(如附图1所示)：1)收集各种场景下的SQL注入攻击样本；2)对这些样本按{动态SQL模板类型，SQL注入点位置}序偶进行分类，每一类代表一种SQL注入攻击手法；3)为各类SQL注入攻击手法建立符合SQL语法的SQL注入攻击检测语法规则；4)基于SQL注入攻击检测语法规则构建SQL词法分析器和语法分析器；所述的实时SQL注入攻击检测阶段包括以下步骤(如附图2所示)：1)从HTTP请求中提取可能包含SQL注入攻击的用户输入数据，包括URL(Universal Resource Locator，统一资源定位器)参数、COOKIE参数(一种隐含地从Web客户端处获取用户输入信息的机制)和FORM表单数据(一种直接从用户处直接获取输入数据的机制)；2)根据用户输入数据类型，将用户输入数据分割成多个{名称，值}序偶，表示为{NAME，VALUE}；3)对每个{NAME，VALUE}序偶中的{VALUE}字串按HTTP解码规范解码，还原成原始的用户数据格式；4)对于每个被解码还原的{VALUE}字串，通过先前构建的SQL词法分析器和语法分析器进行词法分析和语法分析，检测其是否与某一SQL注入攻击检测语法规则相匹配：如果匹配，则检测到了相应的SQL注入攻击企图，并报警。该方法使用SQL注入命令的语法结构定义SQL注入攻击检测规则，而不是使用传统攻击特征签名机制来定义SQL注入攻击检测规则，有效克服了SQL注入攻击事件的攻击特征签名不易提取和易被欺骗等缺 点，可大大降低入侵检测系统检测SQL注入攻击时的误报率和漏报率。在一个典型的SQL注入攻击检测网络应用环境中，一台具有SQL注入攻击检测能力的入侵检测/防御系统需要对进入被保护网络中的所有HTTP请求进行SQL注入攻击检测，但在高速局域网环境下，进入被保护网络的HTTP流量较大，这将给SQL注入攻击检测系统带来较大的处理压力。