本发明专利技术的实施例提供了用于检测SQL注入安全漏洞的方法、装置、设备及存储介质,其在预设时间段内统计在所监控的网络接口收到的来自各个源IP地址的访问请求数量;选出其访问请求数量相对于先前统计的来自各个源IP地址的访问请求数量的平均值的偏离程度大的源IP地址;检测来自除了该源IP地址之外的其余各个源IP地址的访问请求数量是否比较均匀,从而判断该网络接口是否存在安全漏洞。本发明专利技术实施例的技术方案根据网络接口流量统计特征来检测SQL注入安全漏洞,能有效避免现有的基于数据包括内容进行规则匹配的检测方案中可能导致的误报或漏报的情况。
【技术实现步骤摘要】
结构化查询语言注入安全漏洞检测方法、装置、设备及存储介质
本专利技术涉及信息安全
,尤其涉及用于检测结构化查询语言(StructuredQueryLanguage,SQL)注入攻击的方法、装置、设备及存储介质。
技术介绍
SQL注入通常是利用web应用在开发过程中由于对特定请求的不当处理而产生的安全漏洞来进行攻击,其直接后果可能造成该web系统数据库中的数据被全面盗取。业界多次较为严重的数据泄露事件,都是由于SQL注入攻击安全漏洞所导致的。SQL注入常用的攻击方式是通过把SQL命令插入到页面表单提交,或输入域名或页面请求的查询字符串中提交,并欺骗后台服务器执行该恶意的SQL命令以达到窃取数据的目的。现有的检测SQL注入的技术方案主要采用基于规则匹配方式,对网络接口接收到访问请求的内容进行解析,用事先定义好的规则进行匹配,如果匹配成功则认定为黑客对该网络接口发起了SQL注入漏洞,如果不匹配则判定该请求为安全请求。这种匹配规则具有较大的主观性,很可能由于规则的不完善而导致漏报或误报的情况;并且攻击者很容易通过不断修改访问请求内容来隐藏其攻击行为。
技术实现思路
因此,本专利技术实施例的目的在于克服上述现有技术的缺陷,提供一种用于SQL注入安全漏洞检测的方法、装置、设备及存储介质,以有效检测网站服务系统中可能存在的SQL注入安全漏洞。上述目的是通过以下技术方案实现的:根据本专利技术实施例的第一方面,提供了一种用于检测SQL注入安全漏洞的方法,包括:在预设时间段内统计在所监控的网络接口收到的来自各个源IP地址的访问请求数量;判断是否存在其访问请求数量满足第一预设条件的源IP地址,其中所述第一预设条件用于指示某个源IP地址的访问请求数量相对于先前统计的来自各个源IP地址的访问请求数量的平均值的偏离程度;若存在其访问请求数量满足第一预设条件的源IP地址,检测来自除了该源IP地址之外的其余各个源IP地址的访问请求数量是否满足第二预设条件,从而判断该网络接口是否存在安全漏洞,其中所述第二预设条件用于指示所述其余各个源IP地址的访问请求数量的均匀程度。在本专利技术的一些实施例中,所述第一预设条件可以为来自某个源IP地址的访问请求数量与先前统计的来自各个源IP地址的访问请求数量的平均值之间的差值至少为先前统计的来自各个源IP地址的访问请求数量的标准差的两倍。在本专利技术的一些实施例中,所述第一预设条件可以为来自某个源IP地址的访问请求数量至少为先前统计的来自各个源IP地址的访问请求数量的平均值的两倍。在本专利技术的一些实施例中,所述第二预设条件可以为所述其余各个源IP地址的访问请求数量的标准差至少小于先前统计的来自各个源IP地址的访问请求数量的标准差的两倍。在本专利技术的一些实施例中,所述第二预设条件可以为所述其余各个源IP地址的访问请求数量中最大值与最小值的差值不超过先前统计的来自各个源IP地址的访问请求数量的平均值的两倍。在本专利技术的一些实施例中,该方法还可包括:对于其访问请求数量满足第一预设条件的源IP地址,比较来自该源IP地址的各个访问请求中涉及的访问路径和访问参数,若访问路径相同但访问参数不断变化,则生成该网络接口正在受到来自该源IP地址的SQL注入攻击的提示并输出所涉及的访问路径。在本专利技术的一些实施例中,该方法还可包括:对于其访问请求数量满足第一预设条件的源IP地址,判断在所监控的其他各个网络接口是否收到来自该源IP地址的访问请求;以及向已经收到来自该源IP地址的访问请求的网络接口发出警告信息。根据本专利技术实施例的第二方面,提供了一种用于检测SQL注入安全漏洞的装置,包括流量统计模块和漏洞检测模块。其中流量统计模块用于在预设时间段内统计在所监控的网络接口收到的来自各个源IP地址的访问请求数量。漏洞检测模块用于判断是否存在其访问请求数量满足第一预设条件的源IP地址,其中所述第一预设条件用于指示某个源IP地址的访问请求数量相对于先前统计的来自各个源IP地址的访问请求数量的平均值的偏离程度;若存在其访问请求数量满足第一预设条件的源IP地址,检测来自除了该源IP地址之外的其余各个源IP地址的访问请求数量是否满足第二预设条件,从而判断该网络接口是否存在安全漏洞,其中所述第二预设条件用于指示所述其余各个源IP地址的访问请求数量的均匀程度。根据本专利技术实施例的第三方面,提供了一种计算机可读存储介质,其上存储有计算机程序,所述程序被执行时实现如上述实施例第一方面所述的方法。根据本专利技术实施例的第四方面,提供了一种电子设备,包括处理器和存储器,其中存储器用于存储可执行指令;所述处理器被配置为经由执行所述可执行指令来实现如上述实施例第一方面所述的方法。本专利技术实施例提供的技术方案可以包括以下有益效果:本专利技术实施例的技术方案从新的角度来检测SQL注入攻击,不需分析收到的请求的内容,而是通过分析网络流量统计层面的特征来发现网络接口可能存在的SQL注入安全漏洞,不仅能有效避免现有的基于内容的规则匹配方案中由于规则不完善导致的误报或漏报的情况,而且使得攻击者无法通过修改攻击数据包的内容来隐藏其SQL注入攻击行为。应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本专利技术。附图说明此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本专利技术的实施例,并与说明书一起用于解释本专利技术的原理。显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。在附图中:图1示出了根据本专利技术一个实施例的用于检测SQL注入安全漏洞的方法的流程示意图。图2示出了根据本专利技术一个实施例的用于检测SQL注入安全漏洞的装置的功能模块示意图。具体实施方式为了使本专利技术的目的,技术方案及优点更加清楚明白,以下结合附图通过具体实施例对本专利技术进一步详细说明。应当理解,所描述的实施例是本专利技术的一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动下获得的所有其他实施例,都属于本专利技术保护的范围。此外,所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施例中。在下面的描述中,提供许多具体细节从而给出对本专利技术的实施例的充分理解。然而,本领域技术人员将意识到,可以实践本专利技术的技术方案而没有特定细节中的一个或更多,或者可以采用其它的方法、组元、装置、步骤等。在其它情况下,不详细示出或描述公知方法、装置、实现或者操作以避免模糊本专利技术的各方面。附图中所示的方框图仅仅是功能实体,不一定必须与物理上独立的实体相对应。即,可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。附图中所示的流程图仅是示例性说明,不是必须包括所有的内容和操作/步骤,也不是必须按所描述的顺序执行。例如,有的操作/步骤还可以分解,而有的操作/步骤可以合并或部分合并,因此实际执行的顺序有可能根据实际情况改变。如在
技术介绍
部分提到的,现有的检测SQL注入的技术方案主要采用基于规则匹配方式。很可能由于规则的不完善而导致漏报或误报,并且攻击者很容易通过不断修改访问请求内容来隐藏其攻击行为。为解决本文档来自技高网...
【技术保护点】
1.一种用于检测SQL注入安全漏洞的方法,包括:在预设时间段内统计在所监控的网络接口收到的来自各个源IP地址的访问请求数量;判断是否存在其访问请求数量满足第一预设条件的源IP地址,其中所述第一预设条件用于指示某个源IP地址的访问请求数量相对于先前统计的来自各个源IP地址的访问请求数量的平均值的偏离程度;若存在其访问请求数量满足第一预设条件的源IP地址,检测来自除了该源IP地址之外的其余各个源IP地址的访问请求数量是否满足第二预设条件,从而判断该网络接口是否存在安全漏洞,其中所述第二预设条件用于指示所述其余各个源IP地址的访问请求数量的均匀程度。
【技术特征摘要】
1.一种用于检测SQL注入安全漏洞的方法,包括:在预设时间段内统计在所监控的网络接口收到的来自各个源IP地址的访问请求数量;判断是否存在其访问请求数量满足第一预设条件的源IP地址,其中所述第一预设条件用于指示某个源IP地址的访问请求数量相对于先前统计的来自各个源IP地址的访问请求数量的平均值的偏离程度;若存在其访问请求数量满足第一预设条件的源IP地址,检测来自除了该源IP地址之外的其余各个源IP地址的访问请求数量是否满足第二预设条件,从而判断该网络接口是否存在安全漏洞,其中所述第二预设条件用于指示所述其余各个源IP地址的访问请求数量的均匀程度。2.根据权利要求1所述的方法,其特征在于,所述第一预设条件为来自某个源IP地址的访问请求数量与先前统计的来自各个源IP地址的访问请求数量的平均值之间的差值至少为先前统计的来自各个源IP地址的访问请求数量的标准差的两倍。3.根据权利要求1所述的方法,其特征在于,所述第一预设条件为来自某个源IP地址的访问请求数量至少为先前统计的来自各个源IP地址的访问请求数量的平均值的两倍。4.根据权利要求1所述的方法,其特征在于,所述第二预设条件为所述其余各个源IP地址的访问请求数量的标准差至少小于先前统计的来自各个源IP地址的访问请求数量的标准差的两倍。5.根据权利要求1所述的方法,其特征在于,所述第二预设条件为所述其余各个源IP地址的访问请求数量中最大值与最小值的差值不超过先前统计的来自各个源IP地址的访问请求数量的平均值的两倍。6.根据权利要求1所述的方法,其特征在于,还包括:对...
【专利技术属性】
技术研发人员:安丙春,
申请(专利权)人:泰康保险集团股份有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。