[发明专利]一种基于协议指纹的数据库入侵检测方法

权利要求书

1.一种基于协议指纹的数据库入侵检测方法，其特征在于，包括：

S1、获取网络数据；

S2、对网络数据进行网络层数据解析；

S3、将数据包信息格式和内容与协议指纹库中协议指纹的格式特征、内容特征进行比对分析，找到信息格式和内容特征一致的协议指纹，并通过协议指纹确定数据库访问协议，同时利用数据库访问协议对获取到该网络数据中的应用层数据包进行解析，从而获取SQL语句的信息；

S4、按照SQL语句的结构和语法，对解析到的数据内容还原SQL语句和用户数据；

S5、根据预存的攻击特征和关联规则，采用特征匹配分析还原SQL语句和SQL语句参数；

S6、根据分析结果，判断是否存在攻击特征，并对检测到的攻击特征进行响应；

该步骤S4的该还原SQL语句和用户数据包括：进行词法分析和语法分析；

该词法分析包括：将一条SQL语句内容分为三类信息：标识、运算符号以及保留字，该保留字是SQL语法中自带的关键字，该标识包括数字以及字母，将三类信息中的任何一项信息称为一个词块，将所有词块作为一词法分析工具的输入，利用该词法分析工具生成的规则对SQL内容进行词法分析，得到词法分析结果；

该语法分析包括：根据SQL的语法和结构，利用词法分析结果以及SQL语法分析工具将该词法分析结果解析为SQL语句，按照活动先后顺序对解析得到的SQL语句进行拆分，形成行为序列向量，序列向量中的元素包括数据库的一次活动行为，该活动行为包括用操作类型、操作对象以及操作条件；

根据预存的攻击特征和关联规则，采用特征匹配分析还原的SQL语句和SQL语句参数，包括：根据关联规则以及攻击特征，对数据库访问行为序列进行检测分析，检测分析采用模式匹配分析和活动序列关联分析两种，该模式匹配分析针对字符匹配分析，该活动序列关联分析则针对具有活动序列的数据库活动行为分析；

该模式匹配分析包括：该活动行为的操作类型、操作对象以及操作条件所代表的信息OP_i作为字符串(seq_i1,seq_i2,seq_i3)表示，该活动行为的每个属性进行匹配分析；如果任意一个seq_ij匹配分析成功，则进行告警，如果匹配不成功且seq_j不为条件过滤属性，则下一次匹配对象为seq_ij+1，如果匹配不成功且seq_i为条件过滤属性，则下一次匹配对象为seq_ij的下一个字节；活动序列关联分析过程包括：设该活动序列的向量为C＝(OP₁,OP₂,..OP_L)，设定滑动窗口的大小为L，滑动窗口用H表示；选取活动序列OP_i,到OP_i+L-1作为滑动窗口，令H＝(OP_i,OP_i+1,..OP_i+L-1)，活动序列的长度等于活动序列C的长度，滑动窗口H中选取活动序列的每个活动行为与活动序列C中(OP₁,OP₂,…OP_L)一一对应的活动行为进行比较分析，如H中活动序列的每个活动行为中的操作类型等于活动序列C的活动行为的操作类型,则认为关联匹配成功，如果H中任意一个活动行为与C中对应的活动行为不匹配，则滑动窗口向后滑动一个活动行为，组成新的活动序列，然后再循环进行活动序列关联分析的分析比较，直到匹配成功报警或者H中所有活动序列均与活动序列C进行了一次比较。

2.如权利要求1所述的基于协议指纹的数据库入侵检测方法，其特征在于，在获取该网络数据后，还对该网络数据进行异常检查和报文重组。

3.如权利要求1所述的基于协议指纹的数据库入侵检测方法，其特征在于，对网络数据进行解析为对TCP/IP协议数据解析，包括：对IP报文头部和TCP/UDP头部解析，获取应用层数据包，对比协议指纹库，判断应用层协议是否为数据库访问协议，如果不为数据库访问包，则直接做丢弃处理，如果为数据库访问包，则进入S3。