技術領域

本發明涉及一種基于代理的能夠準確檢測SQL注入攻擊、惡意頻率請求的系統，其特征在于通過分析網站產生的SQL請求實現對上述兩種攻擊行為的檢測。

背景技術

隨著互聯網通信技術和網站技術的迅猛發展，Web應用已經越來越多樣化。Web已經不再只由靜態網頁提供信息服務，而變成了可與數據庫進行交互的一項技術。正是由于Web技術與數據庫技術的完美融合，如今的Web應用才分布的愈發廣泛。除了云計算、O2O、電子商務等新興領域，Web數據庫技術在傳統教育、政府、醫療等方面發揮了重要作用。

網站技術的發展日新月異，但是網站安全問題也隨之越發突出，近幾年數據庫泄露事件更是頻繁發生。攻擊者針對數據庫的攻擊，主要有兩種方式：一. 攻擊者利用數據庫漏洞或者弱口令等，直接連接數據庫盜取、損害數據；二. 攻擊者利用Web程序等漏洞，間接獲取數據庫中數據。傳統數據庫安全討論的重點是訪問控制、身份認證等安全機制，同時要為可信用戶提供及時、可靠、安全的數據庫服務，即主要防范第一種攻擊方式。然而，通過對國內網站安全現狀數據以及信息泄露事件評估后，攻擊者借助Web程序作為跳板進而攻擊數據庫的情形更加普遍；其中，常見且危害嚴重的漏洞有SQL注入，攻擊者利用Web程序過濾參數不嚴插入惡意的SQL語句，造成數據庫數據庫泄露；另外，暴力破解、撞庫、惡意注冊、接口泄露等都是針對數據庫的攻擊行為。

綜上所述，可以將常見的Web數據庫攻擊行為分為兩類，分別為SQL注入攻擊行為、惡意頻率請求行為，并提出一個基于代理的Web數據庫攻擊行為檢測模型用于及時檢測和告警威脅。本發明除了在檢測SQL注入攻擊技術上的改進外，更創新地提出利用機器學習算法檢測惡意頻率請求行為，這樣可以更好地保護廣大用戶信息，同時也能保護公司、機構的網絡資產不受侵害，因此具有很大的研究價值和應用意義。

Web數據攻擊行為檢測對保護數據庫資產具有十分重要的意義。

Web數據庫攻擊行為主要分為SQL注入攻擊行為以及惡意頻率請求行為。

對于Web數據攻擊行為的檢測，主要需要解決的難題在于：

（1）如何對未知SQL注入攻擊進行檢測；

（2）如何區分惡意頻率請求行為和普通的爬蟲行為。

（3）如何判定檢測出的攻擊行為是否對數據庫造成了損害。

本系統重點對于以上三個問題進行解決，實現一個基于代理的Web數據庫攻擊行為檢測系統。

檢測系統。

發明內容

該發明是采用數據庫代理、隱馬爾可夫模型、C4.5決策樹等技術而開發的先進檢測系統，通過數據庫代理對網站產生的SQL語句進行訓練和檢測，實現對攻擊行為的預警。

該發明旨在實現如下目標：

（1）透明性。在網站與數據庫之間做透明代理，在獲取網站產生的SQL語句的同時，不影響網站用戶的正常訪問。

（2）通用性。系統適用于常見的關系型數據庫如MySQL、Oracle、SQL Server等，關系型數據庫的SQL語法大同小異，針對不同的關系型數據庫設定不同的規則進行關鍵參數的提取。

（3）針對性。針對不同的網站，需要先采集網站產生的SQL請求進行訓練，通過機器學習的方式訓練得到特定的參數值和閾值，從而實現對該網站的檢測和預警。對于不同的網站，訓練的模型參數會不同。

為實現上述目的，該發明采用了如下技術方案：該Web數據庫攻擊行為檢測系統主要部署在代理服務器上。系統主要包括數據庫代理模塊、SQL注入檢測模塊、惡意頻率請求檢測模塊以及攻擊行為驗證和告警模塊。

所述的數據庫代理模塊利用Golang以及Python編寫，主要實現了數據包捕獲、SQL請求以及SQL請求預處理等功能。

所述的SQL注入檢測模塊由人工標記、詞法分析、SQL參數、模型訓練、模型檢測等部分組成，先將模塊設置為訓練模式收集SQL請求進行分析和模型構建，訓練好的模型可用于SQL注入攻擊的檢測。

所述的惡意頻率請求檢測模塊由人工標記、特征提取、特征訓練、攻擊檢測等部分組成，同樣先進行決策樹的參數訓練，待決策樹構建好后可用于惡意頻率請求行為的檢測。

所述的攻擊行為驗證和告警模塊由備份數據庫、攻擊驗證、攻擊行為告警部分組成，通過將檢測出有攻擊傾向的SQL請求送往備份數據庫，通過設定的規則從SQL響應中判斷該條SQL請求是否是一次成功的攻擊行為，最后對所驗證的攻擊行為進行告警。

附圖說明