[发明专利]基于拟态指令集随机化的Web服务器防护方法及数据库代理节点

说明书

本发明公开了一种基于拟态指令集随机化的Web服务器防护方法及数据库代理节点。本方法为：1)对Web服务器上预先设定的SQL查询语句进行随机化处理，生成n条随机化指令并分别与当前输入信息进行组合，生成n条等价的随机化处理后的查询语句传递给数据库代理；2)数据库代理对每一条随机化处理后的查询语句生成一对应的语法树结构并判断语法树结构中的每一项是否符合语法要求；3)根据步骤2)的判断结果确定当前查询语句是否为安全的查询语句；如果是安全的查询语句，则数据库代理将对查询语句进行去随机化操作，并提交给数据库，数据库将查询结果经数据库代理反馈给Web服务器；否则数据库代理将返回错误提示给Web服务器。

技术领域

本发明主要涉及一种基于拟态指令集随机化的Web服务器防护方法，是利用拟态的多模冗余架构下的指令集随机化来抵御SQL注入攻击的安全数据库代理。

背景技术

随着现今互联网技术的迅猛发展，社会信息化和全球网络化也在不断推进。而互联网在快速普及的同时也给人们的生活方式带来了巨大的变化，通过互联网技术提供的服务已经成为了人们社会生活中所获取到的服务的重要组成部分。

无论是从个人、企业或是国家的角度来看，网络安全都是极其重要的。在这之中，数据库以其独特的地位成为了网络安全的一个重要组成部分。数据库作为极具战略意义的重要资产，往往会受到网络攻击者的重点关照。网宿科技的中国互联网安全报告(2018上半年)指出，2018年上半年Web应用攻击总数环比增长97.82％。在对其进行分类统计后发现，SQL注入攻击依然是最常用的Web应用攻击方式。考虑到网络实名制以及许多网站对个人信息的收集，承载了网络化服务的Web应用背后的数据库也存放了巨量的敏感信息，因此无论是从攻击方式发生的频度还是攻击方式产生的结果来说，SQL注入对于数据安全都具有极大的威胁。

对于注入攻击来说，现有的诸如输入过滤、WAF等防御手段均存在一定的不足，例如针对敏感字符的过滤容易产生漏报误报、容易被编码方式注入绕过等。考虑到系统必然存在未知漏洞、后门这一特性，纯粹特征化的被动防御方式在防御面的广度上可能较受限制。毕竟特征的提取需要先验知识，一旦有新的攻击方式，基于现有特征的防御就显得捉襟见肘。

发明内容

针对上述问题，本发明利用了拟态防御的多模冗余架构，配合指令集随机化(Instruction-set Randomization，ISR)技术，部署一个能够进行多模裁决的数据库代理，通过采取化静为动的策略，为Web服务器与数据库之间的交互行为添加了随机性与多样性，从而达到内生的无差别防御效果。

本发明包含了随机化技术、语法分析技术、判决反馈技术、去随机化技术等多种技术，对Web服务器与数据库之间的交互进行保护，提升了对SQL注入攻击的防御能力，加强了整个系统的鲁棒性。数据库代理节点可以通过一个独立节点实现，也可以借助虚拟化技术运行于Web服务器上。

本发明所采用的技术方案的原理是：在Web服务器端的SQL查询上采用指令集随机化的情况下，引入多模冗余架构以及判决反馈机制。在服务器端采用一定的随机策略，利用不同种类的哈希算法配合原指令产生攻击者未知的新SQL指令，形成随机化的查询语句传递给数据库代理。数据库代理通过语法分析技术识别出随机化查询语句中是否存在注入行为。对于安全的查询语句，数据库代理将对查询语句进行去随机化操作，并提交给数据库；而对于不安全的查询语句，数据库代理将返回错误提示给Web服务器，Web服务器根据实际情况反馈调整服务器端的随机化策略。

本发明的技术方案为：

一种基于拟态指令集随机化的Web服务器防护方法，其步骤包括：

1)对Web服务器上预先设定的SQL查询语句进行随机化处理，生成n条随机化指令并分别与当前输入信息进行组合，生成n条等价的随机化处理后的查询语句传递给数据库代理；