[发明专利]一种基于C/S架构的SQL注入检测方法及其装置

说明书

本发明公开了一种基于C/S架构的SQL注入检测方法及其装置，在当今复杂网络环境下，公司的数据时刻面临各种各样的安全问题，其中较为常见的SQL注入，就是我们每天要进行检测并及时处理的安全问题之一。本发明的主要目的在于提出一种可快速的检查出常规的SQL注入，并采取积极的策略处理相应的SQL注入威胁，旨在提高整个系统的安全性。

技术领域

本发明涉及信息安全技术领域，具体涉及针对结构化查询语言SQL的攻击检测。

背景技术

结构化查询语言SQL注入漏洞攻击是目前互联网最为流行最为热门的黑客攻击方法之一。攻击者通过把SQL命令插入到Web表单提交或者页面请求的查询字符串中欺骗服务器执行恶意的SQL命令，从而获取数据库的管理用户权限，通过将数据库用户权限提升至操作系统管理权限，控制服务器才做系统，获取重要信息或者机密文件。

随着SQL注入越来越普遍的发生，针对SQL注入攻击的检测方法成为业内研究的热点。传统的SQL注入检测和防范方法有对数据库或者服务器进行用户权限最小化的方式，或者利用验证器使用预定的规则校验用户输入数据。SQL注入检测可以分为静态和动态两种方式，静态分析的重点是验证用户输入类型以便减少SQL注入攻击的机会，但需要重写Web应用程序。例如JDBC-Checker使用Java字符串分析库来验证用户输入类型并防止SQL注入攻击，但如果恶意输入数据中均为正确的类型或语法则无法检测出异常。动态分析是在扫描Web应用程序后进行的分析相应，它可以定位来自SQL注入攻击的漏洞而不需要对Web应用程序进行任何修改操作。例如Paros开源程序，使用了预定的攻击代码扫描并确定HTTP响应是否成功，它不仅可以发现SQL注入攻击以及Web应用程序中的其他漏洞，虽然动态分析方法相对于静态分析而言不需要修改Web应用程序，但是对于发现的漏洞必须由开发人员手动修复，而且对于没有预定义的代码攻击漏洞类型不能有效检测。

发明内容

针对现有静态分析和动态分析中存在的问题，本发明提出一种基于C/S架构的静态和动态分析相结合的SQL注入检测方法和装置。

该SQL注入检测方法具体如下：

接收客户端提交的数据；在WebServer端对所述数据执行SQL注入检测，查看WebServer端存储的黑名单，判断用户端网页IP地址否在所述黑名单中；若是，则禁止访问所有请求的URL地址；若否，则基于预设的SQL注入检测算法检测客户端提交的数据，所述预设的SQL注入检测算法为静态分析和动态分析相结合的检测算法；若检测结果为合法，则允许正常访问网站；若检测结果为非法，则禁止访问所有请求的URL地址，并更新WebServer端的黑名单，将所述IP地址添加至黑名单。

进一步地，所述基于预设的SQL注入检测算法检测客户端提交的数据进一步包括：定义函数f，用于删除数据中SQL查询语句的属性值；令FQ为一条SQL查询语句，则FDQ＝f(FQ)，FDQ为FQ删除在‘＝’之后或括号内的字符串值以后的SQL查询语句。

进一步地，所述基于预设的SQL注入检测算法检测客户端提交的数据进一步包括：在Web应用程序运行过程中，遍历该Web应用程序中所有固定SQL查询语句，对于每一条固定SQL查询语句FIX_SQLi，有：DYN_SQLi＝f(FIX_SQLi)，得到对应的动态SQL查询语句DYN_SQLi。

依据下述公式计算得到中间结果result：

result＝FIX_SQLi⊕DYN_SQLi

其中⊕是异或操作；判断所述中间结果result是否为零，若result＝0，则说明数据正常，否则说明数据存在异常。