[发明专利]SQL语句异常检测方法、装置、设备及存储介质

权利要求书

1.一种SQL语句异常检测方法，其特征在于，所述方法包括：

获取目标系统在预设历史周期内审计日志；

基于所述预设历史周期内审计日志生成检测规则集合，所述检测规则集合包括所述目标系统在所述预设历史周期所产生的第一SQL语句的特征信息；

获取所述目标系统的当前审计日志；

从所述目标系统的当前审计日志中提取SQL语句并得到第二SQL语句；

计算所述第二SQL语句的特征信息；

基于所述第二SQL语句的特征信息和所述检测规则集合，判断所述第二SQL语句是否为异常SQL语句。

2.如权利要求1所述的方法，其特征在于，所述基于所述预设历史周期内审计日志生成检测规则集合，包括：

基于所述预设历史周期内审计日志提取所述第一SQL语句；

对所述第一SQL语句进行语法分析并生成所述第一SQL语句的语法树；

对所述第一SQL语句的语法树进行序列化处理，以将所述第一SQL语句的语法树转换为第一JSON字符串；

计算所述第一JSON字符串的MD5值；

根据第一JSON字符串的MD5值生成所述检测规则集合。

3.如权利要求1所述的方法，其特征在于，所述计算所述第二SQL语句的特征信息，包括：

对所述第二SQL语句进行语法分析并生成所述第二SQL语句的语法树；

对所述第二SQL语句的语法树进行序列化处理，以将所述第二SQL语句的语法树转换为第二JSON字符串；

计算所述第二JSON字符串的MD5值；

将所述第二JSON字符串的MD5作为所述第二SQL语句的特征信息。

4.如权利要求1所述的方法，其特征在于，所述基于所述第二SQL语句的特征信息和所述检测规则集合，判断所述第二SQL语句是否为异常SQL语句，包括：

判断所述检测规则集合中是否存在与所述第二SQL语句的特征信息匹配的特征信息，若存在于所述第二SQL语句的特征信息匹配的特征信息，则确定所述第二SQL语句为正常SQL语句，若不存在于所述第二SQL语句的特征信息匹配的特征信息，则确定所述第二SQL语句为异常SQL语句。

5.如权利要求1所述的方法，其特征在于，在所述基于所述第二SQL语句的特征信息和所述检测规则集合判断所述第二SQL语句是否为异常SQL语句之后，本申请实施例的方法还包括：

当所述第二SQL语句为异常SQL语句时，触发针对所述第二SQL语句的阻断外发操作。

6.一种SQL语句异常检测装置，其特征在于，所述装置包括：

第一获取模块，用于获取目标系统在预设历史周期内审计日志；

生成模块，用于基于所述预设历史周期内审计日志生成检测规则集合，所述检测规则集合包括所述目标系统在所述预设历史周期所产生的第一SQL语句的特征信息；

第二获取模块，用于获取所述目标系统的当前审计日志；

提取模块，用于从所述目标系统的当前审计日志中提取SQL语句并得到第二SQL语句；

计算模块，用于计算所述第二SQL语句的特征信息；

判断模块，用于基于所述第二SQL语句的特征信息和所述检测规则集合，判断所述第二SQL语句是否为异常SQL语句。

7.如权利要求6所述的装置，其特征在于，所述生成模块包括：

提取子模块，用于基于所述预设历史周期内审计日志提取所述第一SQL语句；

第一语法分析子模块，用于对所述第一SQL语句进行语法分析并生成所述第一SQL语句的语法树；

第一序列化处理子模块，用于对所述第一SQL语句的语法树进行序列化处理，以将所述第一SQL语句的语法树转换为第一JSON字符串；

第一字符串处理子模块，用于计算所述第一JSON字符串的MD5值；

所述第一字符串处理子模块，还用于根据第一JSON字符串的MD5值生成所述检测规则集合。