[发明专利]一种基于Snort引擎的SQL注入检测方法

说明书

本发明公开了一种基于Snort引擎的SQL注入检测方法，包括以下步骤：生成服务器的疑似流量静态数据包、正常流量静态数据包和恶意流量静态数据包；在Snort引擎中配置初始SQL注入检测规则；并利用初始SQL注入检测规则分别对正常流量静态数据包和恶意流量静态数据包进行规则命中；根据规则命中结果对初始SQL注入检测规则进行修改，生成复测SQL注入检测规则，在Snort引擎中利用复测SQL注入检测规则重新进行配置；利用复测SQL注入检测规则对疑似流量静态数据包进行规则命中并记录相应告警数据，完成注入检测，通过对初始SQL注入规则进行预检测以及修改，降低了检测规则的漏报率和误报率，提高引擎的检测效率。

技术领域

本发明涉及网络安全领域，尤其涉及一种基于Snort引擎的SQL注入检测方法。

背景技术

SQL注入是指web应用程序对用户输入数据的合法性没有判断或过滤不严，攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句，在管理员不知情的情况下实现非法操作，以此来实现欺骗数据库服务器执行非授权的任意查询，攻击者通过SQL注入获取到服务器的库名、表名、字段名，从而获取到整个服务器中的数据，对网站用户的数据安全有极大的威胁。攻击者也可以通过获取到的数据，得到后台管理员的密码，然后对网页页面进行恶意篡改。这样不仅对数据库信息安全造成严重威胁，对整个数据库系统安全也影响重大，在现有网络安全检测引擎中由于开源的原因Sort引擎是使用较为广泛的一种检测引擎，但是由于SQL注入语法花样繁多，而现有的Snort引擎初始SQL注入检测规则不完善，导致在SQL注入检测时存在大量误报和漏报，在实际检测过程中非常影响检测效率。

发明内容

本发明所要解决的技术问题是如何提高SQL注入检测效率，提出一种基于Snort引擎的SQL注入检测方法，在使用Snort引擎对疑似SQL注入流量进行检测前，通过采集到的SQL注入恶意流量和业务正常流量对Snort引擎中存在的初始SQL注入规则进行预检测，通过初始规则修改脚本对进行预检测后的初始SQL注入检测规则进行修改调整，降低初始SQL检测规则的漏报率和误报率，提高基于Snort引擎的SQL注入检测效率。

本发明通过下述技术方案实现：

一种基于Snort引擎的SQL注入检测方法，包括以下步骤：

S1.采集服务器的疑似SQL注入流量和服务器业务正常流量，并分别生成疑似流量静态pcap包和正常流量静态pcap包；采用Burp Suite集成平台生成SQL注入恶意流量并生成恶意流量静态pcap包；

S2.在Snort引擎中配置初始SQL注入检测规则；并利用配置了初始SQL注入检测规则的Snort引擎读取正常流量静态pcap包和恶意流量静态pcap包；并利用所述初始SQL注入检测规则分别对正常流量静态pcap包和恶意流量静态pcap包进行规则命中；

S3.根据规则命中结果对初始SQL注入检测规则进行修改，生成复测SQL注入检测规则，在Snort引擎中利用所述复测SQL注入检测规则重新进行配置；

S4、利用配置了复测SQL注入检测规则的Snort引擎读取疑似流量静态pcap包，并利用复测SQL注入检测规则对疑似流量静态pcap包进行规则命中并记录相应告警数据，完成SQL注入检测。

Sort引擎是现有网络安全检测引擎中使用较为广泛的一种检测引擎，但是由于SQL注入语法花样繁多，而现有的Snort引擎初始SQL注入检测规则不完善，导致在SQL注入检测时存在大量误报和漏报，在实际检测过程中非常影响检测效率，本发明通过在使用Snort引擎对疑似SQL注入流量进行检测前，通过采集到的SQL注入恶意流量和业务正常流量对Snort引擎中存在的初始SQL注入规则进行预检测，并根据预检测的结果，利用初始规则修改脚本对进行预检测后的初始SQL注入检测规则进行修改调整，从而降低初始SQL检测规则的漏报率和误报率，提高基于Snort引擎的SQL注入检测效率。