[发明专利]基于关联WEB请求的数据库风险检测的方法

说明书

本发明提供基于关联WEB请求的数据库风险检测的方法，属于数据库风险检测技术领域。该基于关联WEB请求的数据库风险检测的方法包括以下步骤：S1：获取WEB请求数据和SQL语句数据；S2：挖掘WEB请求数据和SQL语句数据的频繁项集；S3：根据频繁项集生成WEB请求数据和SQL语句数据的关联规则，根据关联规则生成规则库；S4：在一条数据库请求到达时，获取SQL语句数据；S5：根据规则库获取SQL语句数据的前置的WEB请求规则库数据，获取SQL语句数据实际对应的WEB请求数据；S6：判断WEB请求数据是否与WEB请求规则库数据相匹配，如果不匹配则SQL语句数据存在风险，如果匹配则SQL语句数据不存在风险。本发明中的检测结果准确率高。

技术领域

本发明属于数据库技术领域，涉及基于关联WEB请求的数据库风险检测的方法。

背景技术

一般的数据库风险分析检测仅基于SQL语句，致使部分非法发送的SQL语句无法被识别。针对数据库的攻击一般来自三个方面，网络攻击包括网络嗅探，DDoS，主机攻击包括口令破解，操作系统漏洞和木马等。针对数据库系统的攻击防护措施主要包括以下几方面：

口令入侵。数据库都有默认的用户名和密码，如 Oracle有一个默认的用户名 Scott，以及默认的口令tiger；微软的 SQL Server 的 sa 账户。除了普遍存在的默认口令，非默认的数据库口令也是不安全的，通过暴力破解就可以轻易地找到弱口令。

特权提升。特权提升通常与管理员错误的配置有关，如一个用户被误授予超过其实际需要的访问权限。另外，拥有一定访问权限的用户可以轻松地从一个应用程序跳转到数据库，即使他并没有这个数据库的相关访问权限。黑客只需要得到少量特权的用户口令，就可以进入了数据库系统，然后访问读取数据库内的任何表，包括信用卡信息、个人信息。

缓冲区溢出攻击。数据库系统同样会存在一些缓冲区溢出漏洞，比如MicrosoftSQL Server 2000 Resolution 服务存在堆缓冲溢出攻击、Microsoft SQL Server 2000Bulk 插入过程缓冲区溢出漏洞、Microsoft SQL Server 存在远程缓冲溢出、Oracle NetServices Link 查询请求缓冲区溢出漏洞等。这些缓冲区溢出漏洞会被攻击者利用，通过构造恶意参数，以执行恶意代码。比如，2002 年 Internet 上出现的 SQL Slammer 蠕虫就是利用Microsoft SQL Server 2000 Resolution 服务存在堆缓冲溢出漏洞进行传播的。

SQL 注入攻击。SQL 注入攻击是黑客对数据库进行攻击的常用手段之一。随着 B/S 模式应用开发的发展，使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐，相当大一部分程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。用户可以提交一段数据库查询代码，根据程序返回的结果，获得某些他想得知的数据，这就是所谓的 SQL Injection，即SQL 注入。SQL 注入是从正常的 WWW 端口访问，而且表面看起来跟一般的 Web 页面访问没什么区别，所以目前市面的防火墙都不会对 SQL 注入发出警报，如果管理员没查看 IIS日志的习惯，可能被入侵很长时间都不会发觉。但是，SQL注入的手法相当灵活，在注入的时候会碰到很多意外的情况，需要构造巧妙的 SQL 语句，从而成功获取想要的数据。

除了以上常见的直接攻击手段内部的内部攻击、滥用和APT攻击更具威胁。这些攻击形式多变，仅通过SQL语句难以区别，需要综合系统的上下文进行大量的分析才能发现。一般的生产业务系统，其对应的WEB应用固定，对数据的请求有固定的模式，可通过挖掘这些模式来建立检测库，收到的请求不符合这些检测库则可以判断有攻击风险。

发明内容

本发明针对现有的技术存在的上述问题，提供基于关联WEB请求的数据库风险检测的方法，本发明所要解决的技术问题是：如何通过关联WEB请求检测数据库的风险。