[发明专利]结构化查询语言注入安全漏洞检测方法、装置、设备及存储介质

说明书

本发明的实施例提供了用于检测SQL注入安全漏洞的方法、装置、设备及存储介质，其在预设时间段内统计在所监控的网络接口收到的来自各个源IP地址的访问请求数量；选出其访问请求数量相对于先前统计的来自各个源IP地址的访问请求数量的平均值的偏离程度大的源IP地址；检测来自除了该源IP地址之外的其余各个源IP地址的访问请求数量是否比较均匀，从而判断该网络接口是否存在安全漏洞。本发明实施例的技术方案根据网络接口流量统计特征来检测SQL注入安全漏洞，能有效避免现有的基于数据包括内容进行规则匹配的检测方案中可能导致的误报或漏报的情况。

技术领域

本发明涉及信息安全技术领域，尤其涉及用于检测结构化查询语言(StructuredQuery Language，SQL)注入攻击的方法、装置、设备及存储介质。

背景技术

SQL注入通常是利用web应用在开发过程中由于对特定请求的不当处理而产生的安全漏洞来进行攻击，其直接后果可能造成该web系统数据库中的数据被全面盗取。业界多次较为严重的数据泄露事件，都是由于SQL注入攻击安全漏洞所导致的。SQL注入常用的攻击方式是通过把SQL命令插入到页面表单提交，或输入域名或页面请求的查询字符串中提交，并欺骗后台服务器执行该恶意的SQL命令以达到窃取数据的目的。

现有的检测SQL注入的技术方案主要采用基于规则匹配方式，对网络接口接收到访问请求的内容进行解析，用事先定义好的规则进行匹配，如果匹配成功则认定为黑客对该网络接口发起了SQL注入漏洞，如果不匹配则判定该请求为安全请求。这种匹配规则具有较大的主观性，很可能由于规则的不完善而导致漏报或误报的情况；并且攻击者很容易通过不断修改访问请求内容来隐藏其攻击行为。

发明内容

因此，本发明实施例的目的在于克服上述现有技术的缺陷，提供一种用于SQL注入安全漏洞检测的方法、装置、设备及存储介质，以有效检测网站服务系统中可能存在的SQL注入安全漏洞。

上述目的是通过以下技术方案实现的：

根据本发明实施例的第一方面，提供了一种用于检测SQL注入安全漏洞的方法，包括：在预设时间段内统计在所监控的网络接口收到的来自各个源IP地址的访问请求数量；判断是否存在其访问请求数量满足第一预设条件的源IP地址，其中所述第一预设条件用于指示某个源IP地址的访问请求数量相对于先前统计的来自各个源IP地址的访问请求数量的平均值的偏离程度；若存在其访问请求数量满足第一预设条件的源IP地址，检测来自除了该源IP地址之外的其余各个源IP地址的访问请求数量是否满足第二预设条件，从而判断该网络接口是否存在安全漏洞，其中所述第二预设条件用于指示所述其余各个源IP地址的访问请求数量的均匀程度。

在本发明的一些实施例中，所述第一预设条件可以为来自某个源IP地址的访问请求数量与先前统计的来自各个源IP地址的访问请求数量的平均值之间的差值至少为先前统计的来自各个源IP地址的访问请求数量的标准差的两倍。

在本发明的一些实施例中，所述第一预设条件可以为来自某个源IP地址的访问请求数量至少为先前统计的来自各个源IP地址的访问请求数量的平均值的两倍。

在本发明的一些实施例中，所述第二预设条件可以为所述其余各个源IP地址的访问请求数量的标准差至少小于先前统计的来自各个源IP地址的访问请求数量的标准差的两倍。

在本发明的一些实施例中，所述第二预设条件可以为所述其余各个源IP地址的访问请求数量中最大值与最小值的差值不超过先前统计的来自各个源IP地址的访问请求数量的平均值的两倍。

在本发明的一些实施例中，该方法还可包括：对于其访问请求数量满足第一预设条件的源IP地址，比较来自该源IP地址的各个访问请求中涉及的访问路径和访问参数，若访问路径相同但访问参数不断变化，则生成该网络接口正在受到来自该源IP地址的SQL注入攻击的提示并输出所涉及的访问路径。