技術領域

本發明涉及SDN領域，確切地說涉及一種基于SDN的SQL注入攻擊檢測方法及系統。

背景技術

SDN最早起源于斯坦福大學的一個叫做clean slate的校園項目。它是一種創新型的網絡體系架構，其核心思想是把轉發平面和控制平面進行分離。通過集中式的控制器controller使用標準的接口來對各種不同的網絡設備進行配置和管理，使得對網絡的管理更加集中化、精細化。OpenFlow作為SDN的原型實現模式，充分體現了SDN的這種管控分離思想。因此通常人們把OpenFlow作為SDN的通信標準，就像TCP/IP協議作為互聯網的通信標準一樣。

SQL語言是一種用于關系數據庫的結構化查詢語言。其典型的執行語句是query。它可以修改數據庫結構和操作數據庫內容。假如攻擊者通過往query中插入一系列的SQL語句來操作數據寫入到應用程序中去，我們把這種方法定義成SQL注入。SQL注入是一種攻擊方式，在這種攻擊方式中，惡意代碼被插入到字符串中，然后將該字符串傳遞到SQL Server進行分析和執行。

SQL注入是目前比較常見的針對數據庫的一種攻擊方式。攻擊者從正常的網頁端口對網頁進行訪問，當遇到網頁需要查詢數據庫時，通過把一些含有特殊含義的語句綁定到SQL語句中等方式改變用戶的初衷，從而達到攻擊者篡改數據等非法的目的。

軟件定義網絡(Software Defined Network，SDN)，是Emulex網絡一種新型網絡創新架構，是網絡虛擬化的一種實現方式，其核心技術OpenFlow通過將網絡設備控制面與數據面分離開來，從而實現了網絡流量的靈活控制，使網絡作為管道變得更加智能。

在SDN網絡中，如果SDN用戶不提供接入認證，只要用戶能接入SDN交換機，就可以訪問SDN網中的設備或資源。這種方式無疑存在嚴重的安全隱患。但是在SDN的現有技術中，還沒有方案能實現如何檢測SQL注入攻擊的方法。

發明內容

本發明所要解決的技術問題是提供一種基于SDN的SQL注入攻擊檢測方法及系統，采用該檢測方法，能確保用戶訪問數據庫的安全性。

本發明解決上述技術問題的技術方案如下：

一種基于SDN的SQL注入攻擊檢測方法，其具體方法包括如下步驟：

(1)SDN控制器接收客戶端發送的數據流并識別客戶端源IP和端口，更改客戶端源IP以及目標IP；

(2)SQL檢測工具緩存接收到的數據流的SQL語句，并查詢本次檢測是否有記錄，若有，則將該數據流返回給SDN控制器，若無，則SQL檢測工具通過檢測語法檢測是否存在異常語句，若存在異常，則濾掉異常語句，進入下一步，若不存在異常，則進入下一步；

(3)將數據流復制下發至仿真數據庫和及仿真運行過程中的監測器；

(4)仿真數據庫通過設定篩選的數據標識ID來篩選接收到的數據流，將篩選通過的數據流下發給配置在網絡中的監測器，監測是否有破壞性語句，如果監測到異常，則丟棄該數據流；若未監測到異常，則將發送給監測器的數據流導出給SQL檢測工具；

(5)SQL檢測工具在其緩存器上添加記錄，并將數據流導出給SDN控制器；

(6)SDN控制器將數據流發送給數據庫。

本發明的有益效果是：

1、在網絡中配置SDN控制器。本發明配置了SDN控制器，SDN控制器包括接收模塊，與客戶端相連，用于接收客戶端發送的數據流；更改模塊，與所述接收模塊相連，用于更改客戶端源IP以及目標IP；發送模塊，與所述數據庫相連，用于將數據流發送給所述數據庫。

2、引進了SQL數據庫檢測器。本發明設置的仿真數據庫，在仿真環境下通過對SQL語句的檢測，比如：檢查輸入的SQL語句內容,過濾敏感字符；加強對用戶輸入的驗證；區分不同帳戶的權限；采用加密機制；使用專業的漏洞掃描工具；定期檢查IIS日志和數據表。進而過濾掉異常語句，防止SQL注入式攻擊的發生。SQL檢測工具中還配置了緩存器，用于緩存接收到的數據流的SQL語句，并查詢本次檢測是否有記錄。

3、對需要保護的數據庫設置仿真數據庫。本發明設置了仿真數據庫，通過對仿真數據庫執行狀況的檢測，可判斷是否有流量突變，或數據庫崩潰的狀況，可以進一步的判斷用戶是否有破壞性訪問。

4、配置了監測器。本發明在仿真數據庫的執行過程中，配置了監測器，通過監測執行狀況是否有異常，進而決定是否將數據流導出給SDN，從而訪問真正的數據庫。

進一步，在所述步驟(1)前還包括配置仿真數據庫，使所述仿真數據庫與數據庫同步。