一种SQL注入告警处理方法及装置制造方法及图纸

本发明专利技术提供一种SQL注入告警处理方法及装置，所述方法包括：根据SQL注入告警以及攻击行为核实规则，获得所述SQL注入告警的攻击行为核实结果；其中，所述攻击行为核实规则是预设的；若获知所述攻击行为核实结果为存在攻击行为，则根据所述攻击行为核实结果包括的攻击行为类型对应的攻击结果核实规则以及所述SQL注入告警，获得所述SQL注入告警的核实结果，所述核实结果包括核实依据；其中，所述攻击结果核实规则是预设的。所述装置用于执行上述方法。本发明专利技术实施例提供的SQL注入告警处理方法及装置，提高了SQL注入告警溯源的效率。提高了SQL注入告警溯源的效率。提高了SQL注入告警溯源的效率。

【技术实现步骤摘要】
一种SQL注入告警处理方法及装置


[0001]本专利技术涉及网络安全
，具体涉及一种SQL注入告警处理方法及装置。

技术介绍

[0002]SQL注入是比较常见的网络攻击方式之一，可以通过构建特殊的输入作为参数传入Web应用程序，而这些输入大都是SQL语法里的一些组合，通过执行SQL语句进而执行攻击者所要的操作，其主要原因是程序没有细致地过滤用户输入的数据，致使非法数据侵入系统。
[0003]当前大部分的网络安全产品在应对SQL注入告警的检测分析及溯源层面基本围绕安全设备的告警日志，且大部分SQL注入告警数据缺乏上下文关联关系，基本都是围绕单一产品视角进行数据关联，如主机侧安全产品围绕自身数据进行分析溯源、网络侧安全产品同样围绕自身流量侧进行分析溯源，不同安全产品间存在的分析检测和溯源的盲点。因此，如何提出一种SQL注入告警的处理方法，能够实现SQL注入攻击的溯源成为本领取亟待解决的重要课题。

技术实现思路

[0004]针对现有技术中的问题，本专利技术实施例提供一种SQL注入告警处理方法及装置，能够至少部分地解决现有技术中存在的问题。
[0005]一方面，本专利技术提出一种SQL注入告警处理方法，包括：根据SQL注入告警以及攻击行为核实规则，获得所述SQL注入告警的攻击行为核实结果；其中，所述攻击行为核实规则是预设的；若获知所述攻击行为核实结果为存在攻击行为，则根据所述攻击行为核实结果包括的攻击行为类型对应的攻击结果核实规则以及所述SQL注入告警，获得所述SQL注入告警的核实结果，所述核实结果包括核实依据；其中，所述攻击结果核实规则是预设的。
[0006]另一方面，本专利技术提供一种SQL注入告警处理装置，包括：第一获得单元，用于根据SQL注入告警以及攻击行为核实规则，获得所述SQL注入告警的攻击行为核实结果；其中，所述攻击行为核实规则是预设的；第二获得单元，用于若获知所述攻击行为核实结果为存在攻击行为，则根据所述攻击行为核实结果包括的攻击行为类型对应的攻击结果核实规则以及所述SQL注入告警，获得所述SQL注入告警的核实结果，所述核实结果包括核实依据；其中，所述攻击结果核实规则是预设的。
[0007]再一方面，本专利技术提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现上述任一实施例所述SQL注入告警处理方法的步骤。
[0008]又一方面，本专利技术提供一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现上述任一实施例所述SQL注入告警处理方法的步骤。
[0009]本专利技术实施例提供的SQL注入告警处理方法及装置，能够根据SQL注入告警以及攻击行为核实规则，获得SQL注入告警的攻击行为核实结果，在获知攻击行为核实结果为存在攻击行为之后，根据所述攻击行为核实结果包括的攻击行为类型对应的攻击结果核实规则以及SQL注入告警，获得SQL注入告警的包括核实依据的核实结果，实现了SQL注入攻击的溯源，提高了SQL注入告警溯源的效率。
附图说明
[0010]为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。在附图中：图1是本专利技术一实施例提供的SQL注入告警处理方法的流程示意图。
[0011]图2是本专利技术另一实施例提供的SQL注入告警处理方法的流程示意图。
[0012]图3是本专利技术一实施例提供的SQL注入告警处理装置的结构示意图。
[0013]图4是本专利技术另一实施例提供的SQL注入告警处理装置的结构示意图。
[0014]图5是本专利技术又一实施例提供的SQL注入告警处理装置的结构示意图。
[0015]图6是本专利技术再一实施例提供的SQL注入告警处理装置的结构示意图。
[0016]图7是本专利技术一实施例提供的电子设备的实体结构示意图。
具体实施方式
[0017]为使本专利技术实施例的目的、技术方案和优点更加清楚明白，下面结合附图对本专利技术实施例做进一步详细说明。在此，本专利技术的示意性实施例及其说明用于解释本专利技术，但并不作为对本专利技术的限定。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互任意组合。
[0018]下面以服务器作为执行主体为例来说明本专利技术实施例提供的SQL注入告警处理方法的具体实现过程。可理解的是本专利技术实施例提供的SQL注入告警处理方法的执行主体不限于服务器。
[0019]图1是本专利技术一实施例提供的SQL注入告警处理方法的流程示意图，如图1所示，本专利技术实施例提供的SQL注入告警处理方法，包括：S101、根据SQL注入告警以及攻击行为核实规则，获得所述SQL注入告警的攻击行为核实结果；其中，所述攻击行为核实规则是预设的；具体地，对于SQL注入告警，服务器可以根据攻击行为核实规则核实SQL注入告警是否存在SQL注入攻击行为，获得所述SQL注入告警的攻击行为核实结果。所述攻击行为核实结果为存在攻击行为或者不存在攻击行为。对于存在攻击行为的攻击行为核实结果，还可以包括攻击行为类型。其中，所述攻击行为核实规则是预设的，所述攻击行为核实规则与攻击行为类型对应，所述攻击行为类型是预设的。
[0020]例如，针对通用型SQL注入漏洞，可以建立通用型漏洞识别规则作为一种攻击行为核实规则。比如某OA系统SQL注入漏洞，提取OA系统的资产特征为：“URL页面等于WorkflowCenterTreeData.jsp，版本号大于1”，对应的通用型漏洞识别规则为：若判断获知
SQL注入告警中包括URL页面等于WorkflowCenterTreeData.jsp且版本号大于1的信息，则确认SQL注入告警的攻击行为核实结果为存在攻击行为。可以设置通用型漏洞识别规则对应的攻击行为类型为第一类攻击，那么获得的SQL注入告警的攻击行为核实结果包括攻击行为类型为第一类攻击。
[0021]例如，针对使用专业的黑客工具发起SQL注入攻击的情况，建立黑客工具识别规则作为一种攻击行为核实规则。比如通过HTTP请求报文中用户代理字段内容包含“sqlmap”、“Pangolin”等关键字特征，可以设置黑客工具识别规则为：若判断获知SQL注入告警中包括预设关键值特征，则确认SQL注入告警的攻击行为核实结果为存在攻击行为。可以设置黑客工具识别规则对应的攻击行为类型为第三类攻击，那么获得的SQL注入告警的攻击行为核实结果包括攻击行为类型为第三类攻击。其中，预设关键值特征根据实际经验进行设置，比如设置为“sqlmap”、“Pangolin”等，本专利技术实施例不做限定。
[0022]S102、若获知所述攻击行为核实结果为存在攻击行为，则根据所述攻击行为核实结果包括的攻击行为类型对应的攻击结果核实规则以及所述SQL注入告警，获得所述SQL注入告警的核实结果，所本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种SQL注入告警处理方法，其特征在于，包括：根据SQL注入告警以及攻击行为核实规则，获得所述SQL注入告警的攻击行为核实结果；其中，所述攻击行为核实规则是预设的；若获知所述攻击行为核实结果为存在攻击行为，则根据所述攻击行为核实结果包括的攻击行为类型对应的攻击结果核实规则以及所述SQL注入告警，获得所述SQL注入告警的核实结果，所述核实结果包括核实依据；其中，所述攻击结果核实规则是预设的。2.根据权利要求1所述的方法，其特征在于，所述攻击行为核实规则有多种；相应地，所述根据SQL注入告警以及攻击行为核实规则，获得所述SQL注入告警的攻击行为核实结果包括：若判断获知所述SQL注入告警满足任何一种攻击行为核实规则，则设置所述SQL注入告警的攻击行为核实结果为存在攻击行为，且所述SQL注入告警的攻击行为核实结果包括的攻击行为类型与所述SQL注入告警满足的攻击行为核实规则对应；其中，所述攻击行为核实规则与所述攻击行为类型一一对应。3.根据权利要求2所述的方法，其特征在于，还包括：若判断获知所述SQL注入告警不满足任何一种攻击行为核实规则且所述SQL注入告警包括的业务数据为非正常业务数据，则设置所述SQL注入告警的攻击行为核实结果为存在攻击行为。4.根据权利要求1所述的方法，其特征在于，所述根据所述SQL注入告警的攻击行为类型以及对应的攻击结果核实规则，获得所述SQL注入告警的核实结果包括：若所述SQL注入告警的攻击行为类型为第一类攻击且所述SQL注入告警满足通用型资产漏洞回显判定规则，则获得所述SQL注入告警的核实结果包括存在漏洞；其中，所述通用型资产漏洞回显判定规则是预设的。5.根据权利要求1所述的方法，其特征在于，所述根据所述SQL注入告警的攻击行为类型以及对应的攻击结果核实规则，获得所述SQL注入告警的核实结果包括：若所述SQL注入告警的攻击行为类型为第二类攻击且所述SQL注入告警满足页面SQL报错回显判定规则，则获得所述SQL注入告警的核实结果包括存在漏洞；其中，所述页面SQL报错回显判定规则是预设的。6.根据权利要求1所述的方法，其特征在于，所述根据所述SQL注入告警的攻击行为类型以及对应的攻击结果核实规则，获得所述SQL注入告警的核实结果包括：若所述SQL注入告警的攻击行为类型为第三类攻击或者第四类攻击，且所述SQL注入告警满足SQL注入流量回显判定规则，则获得所述SQL注入告警的核实结果包括存在漏洞；其中，SQL注入流量回显判定规则是预设的。7.根据权利要求1所述的方法，其特征在于，所述根据所述SQL注入告警的攻击行为类型以及对应的攻击结果核实规则，获得所述SQL注入告警的核实结果包括：若所述SQL注入告警的攻击行为类型为第五类攻击，则获得所述SQL注入告警的核实结果包括存在漏洞。8.根据权利要求1所述的方法，其特征在于，所述根据所述SQL注入告警的攻击行为类型以及对应的攻击结果核实规则，获得所述SQL注入告警的核实结果包括：若所述SQL注入告警的攻击行为类型为第六类攻击且所述SQL注入告警满足SQL语句指
令语义识别规则，则获得所述SQL注入告警的核实结果包括存在漏洞；其中，所述SQL语句指令语义识别规则是预设的。9.根据权利要求4至8任一项所述的方法，其特征在于，还包括：若根据所述攻击行为核实结果包括的攻击行为类型对应的攻击结果核实规则以及所述SQL注入告警，没有获得所述SQL注入告警的核实结果，则根据所述SQL注入告警以及无效页面判定规则，获得所述SQL注入告警的核实结果；其中，所述无效页面判定规则是预设的。10.根据权利要求1所述的方法，其特征在于，在根据SQL注入告警以及攻击行为核实规则，获得所述SQL注入告警的攻击行为核实结果之前，还包括...

【专利技术属性】
技术研发人员：吴迪，冯文华，陈毓端，唐伽佳，
申请(专利权)人：北京未来智安科技有限公司，
类型：发明
国别省市：