[发明专利]SQL语句异常检测方法、装置、设备及存储介质

说明书

本申请提供一种SQL语句异常检测方法、装置、设备及存储介质，其中，SQL语句异常检测方法包括：获取目标系统在预设历史周期内审计日志；基于预设历史周期内审计日志生成检测规则集合，检测规则集合包括目标系统在预设历史周期所产生的第一SQL语句的特征信息；获取目标系统的当前审计日志；从目标系统的当前审计日志中提取SQL语句并得到第二SQL语句；计算第二SQL语句的特征信息；基于第二SQL语句的特征信息和检测规则集合，判断第二SQL语句是否为异常SQL语句。本申请能够提高SQL语句的异常检测的准确性、适用性和安全性。

技术领域

本申请涉及计算机技术领域，具体而言，涉及一种SQL语句异常检测方法、装置、设备及存储介质。

背景技术

数据库作为存放数据的容器，其安全性是非常重要的。通常来说，用户与业务系统进行交互，业务系统与数据库进行交互。业务系统在部署调试投入使用之后，功能是相对固定的，与之对应的是业务系统与数据库交互过程中所使用的SQL语句结构也相对固定。SQL语句的差异化主要体现在携带不同的参数上。因此可以通过以下方法对数据库使用环境中的可疑异常SQL进行检测：对SQL进行词法语法分析，生成语法树，这一过程去除了SQL中的参数，只保留了SQL的结构；对语法树进行序列化，然后进行摘要，生成一条检测规则；将多条检测规则的集合作为检测依据，对可疑异常SQL进行检测。

目前，现有技术是基于内置批量的特征码，对待检测SQL依次使用每个特征码进行正则表达式匹配，根据匹配结果来完成对异常SQL的判定。

然而，这种方式，至少存在以下缺陷：

1、特征码方式与实际使用环境不相关，异常SQL的判定准确性较低；

2、特征码方式适用性差，当攻击方式发生细微变化时，很可能失效；

3、由于特征码是通用公开的，存在被攻击者针对性绕过的风险，安全对抗性较差。

发明内容

本申请实施例的目的在于提供一种SQL语句异常检测方法、装置、设备及存储介质，用于提高SQL语句的异常检测的准确性、适用性和安全性。

本申请第一方面公开一种SQL语句异常检测方法，所述方法包括：

获取目标系统在预设历史周期内审计日志；

基于所述预设历史周期内审计日志生成检测规则集合，所述检测规则集合包括所述目标系统在所述预设历史周期所产生的第一SQL语句的特征信息；

获取所述目标系统的当前审计日志；

从所述目标系统的当前审计日志中提取SQL语句并得到第二SQL语句；

计算所述第二SQL语句的特征信息；

基于所述第二SQL语句的特征信息和所述检测规则集合，判断所述第二SQL语句是否为异常SQL语句。

在本申请第一方面中，由于SQL异常判断的标准是基于使用过程中根据实际环境中存在的SQL而生成的检测规则集合，因此本申请实施例能够提高SQL异常判断的准确性、适用性。另一方面，由于检测规则不是通用公开的，而是与使用环境相关的，攻击者无法针对性地绕过，因此本申请实施例具有更高的安全性。

在本申请第一方面中，作为一种可选的实施方式，所述基于所述预设历史周期内审计日志生成检测规则集合，包括：

基于所述预设历史周期内审计日志提取所述第一SQL语句；

对所述第一SQL语句进行语法分析并生成所述第一SQL语句的语法树；

对所述第一SQL语句的语法树进行序列化处理，以将所述第一SQL语句的语法树转换为第一JSON字符串；

计算所述第一JSON字符串的MD5值；