(19)中华人民共和国国家知识产权局
(12)发明专利说明书
(10)申请公布号 CN 101370008 A
(43)申请公布日 2009.02.18
(21)申请号 CN200810002168.0
(22)申请日 2008.01.11
(71)申请人 杭州安恒信息技术有限公司
    地址 310053 浙江省杭州市滨江区伟业路1号高新软件园311室
(72)发明人 范渊 杨永清 卢天华
(74)专利代理机构 杭州丰禾专利事务所有限公司
    代理人 王晓峰
(51)Int.CI
      H04L29/06
      H04L12/24
                                                                  权利要求说明书 说明书 幅图
(54)发明名称
      SQL注入WEB攻击的实时入侵检测系统
(57)摘要
      本发明涉及一种SQL注入WEB攻击的实时入侵检测系统,包括:为网站提供学习正常数据库和Web应用标准查询语句(SQL)查询数据的方法;为网站提供捕获实时数据库和Web应用SQL查询数据的方法;基于正常数据库和Web应用SQL访问数据与实时数据库和Web应用SQL访问数据的典型SQL注入攻击检测方法。本发明的有益效果:本发明不仅可以检测常见的SQL注入攻击的检测技术,同时具备低误告警、高侦查率的特点。
法律状态
springframework漏洞
法律状态公告日
法律状态信息
法律状态
权 利 要 求 说 明 书
1.SQL注入WEB攻击的实时入侵检测系统,其特征在于:包括
为网站提供学习正常数据库和Web应用标准查询语句(SQL)查询数据的方法;
为网站提供捕获实时数据库和Web应用SQL查询数据的方法;
基于正常数据库和Web应用SQL访问数据与实时数据库和Web应用SQL访问数据的典型SQL注入攻击检测方法。
2.根据权利要求1所述的SQL注入WEB攻击的实时入侵检测系统,其特征在于,学习的方法包括:
测定数据库层属性的方法;和
测定Web应用层属性的方法。
3.根据权利要求2所述的SQL注入WEB攻击的实时入侵检测系统,其特征在于,测定数据库层属性的方法:侦听网站的WEB服务器与数据库之间流量。
4.根据权利要求2所述的SQL注入WEB攻击的实时入侵检测系统,其特征在于,测定数据库层属性的方法:从数据库审计特征中获得数据库层属性。
5.根据权利要求2所述的SQL注入WEB攻击的实时入侵检测系统,其特征在于,测定数据库层属性的方法:采集该网站发起的SQL操作数据。
6.根据权利要求2所述的SQL注入WEB攻击的实时入侵检测系统,其特征在于,数据库层属性包括:用户数据、操作数据、目标对象数据和状态码数据。
7.根据权利要求6所述的SQL注入WEB攻击的实时入侵检测系统,其特征在于,Web应用层属性至少包括状态码、网站请求流量、网站返回流量和值长度。
8.根据权利要求1所述的SQL注入WEB攻击的实时入侵检测系统,其特征在于,检测的方法包括:
基于正常Web应用SQL访问数据和实时Web应用SQL访问数据产生第一个异常分数的方法。
基于正常数据库SQL访问数据和实时数据库SQL访问数据产生第二个异常分数的方法。
第一个异常分数与第二个异常分数关联的方法。
9.根据权利要求8所述的SQL注入WEB攻击的实时入侵检测系统,其特征在于,根据第一个异常分数(S1)和第二个异常分数(S2),采用如下公式测定关联分数(S)的方法:
S=S1 x S2/(S1+S2)<sub>2</sub> 。
10.根据权利要求1所述的SQL注入WEB攻击的实时入侵检测系统,其特征在于,检测方法适用于检测0-daySQL注入攻击。
11.根据权利要求1所述的SQL注入WEB攻击的实时入侵检测系统,其特征在于,所述的系统无法预知类似的攻击特征/攻击模式。
12.一个计算机程序产品包含了带有指令的计算机可读介质,其特征在于,可以使计算机:
从网站访问数据学习正常数据库和Web应用标准查询语句(SQL)的模型。
为网站捕获实时数据库和网站应用SQL访问数据。
基于正常数据库和Web应用SQL访问数据与实时数据库和Web应用SQL访问数据检测的异常的典型SQL注入攻击。
13.根据权利要求12所述的计算机程序产品,其特征在于,学习指令可以使计算机执行以下操作:
测定数据库层属性;和
测定Web应用层属性。
14.根据权利要求13所述的计算机程序产品,其特征在于,测定数据库层属性的指令可以使计算机执行以下操作:
侦听网站的WEB服务器与数据库间的流量。
15.根据权利要求13所述的计算机程序产品,其特征在于,测定数据库层属性的指令可以使计算机执行以下操作:
从数据库审计特征中获取数据库层属性。
16.根据权利要求13所述的计算机程序产品,其特征在于,测定数据库层属性的指令可以使计算机执行以下操作:
采集网站发起的SQL操作数据。
17.根据权利要求13所述的计算机程序产品,其特征在于,数据库层属性包括用户数据、操作数据、目标对象数据和状态码数据。
18.根据权利要求17所述的计算机程序产品,其特征在于,Web应用系统属性至少包括状态码、网站请求流量、网站返回流量和值长度。
19.根据权利要求12所述的计算机程序产品,其特征在于,检测指令可以使计算机执行以下操作:
基于正常Web应用SQL访问数据和实时Web应用SQL访问数据产生第一个异常分数。
基于正常数据库SQL访问数据和实时数据库SQL访问数据产生第二个异常分数。
第一个异常分数与第二个异常分数进行关联。
20.根据权利要求19所述的计算机程序产品,其特征在于,关联指令可以使计算机执行以下操作:
根据第一个异常分数(S1)和第二个异常分数(S2),采用如下公式测定关联分数(S):
S=S1 x S2/(S1+S2). 。
21.根据权利要求12所述的计算机程序产品,其特征在于,检测指令适用于检测0-daySQL注入攻击。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。