本發明提出一種SQL注入攔截檢測方法，包括：根據SQL語法樹規則對接收的SQL指令進行檢測，判斷接收的SQL指令是否為惡意指令；若接收的SQL指令沒有命中語法樹規則，則通過分析模型對接收的SQL指令進行分析，判斷接收的SQL指令是否為潛在惡意指令。本發明實施例結合了在線檢測和離線分析兩種方式，可以對入侵的惡意SQL命令進行攔截，還可以通過離線分析發現并補充規則的漏洞。

技術領域

本發明涉及網絡安全技術領域，尤其涉及一種SQL注入攔截檢測方法及裝置、設備和計算機可讀介質。

背景技術

目前互聯網企業面臨大量的黑客攻擊，其中相當大的比例是SQL注入攻擊。

目前的SQL(Structured Query Language，結構化查詢語言)注入攔截主要是靠WAF(Web Application Firewall，網站應用級入侵防御系統)進行攔截。WAF中利用正則進行攔截和檢測，然而由于很多復雜情況難以描述，因此正則規則單純基于文本特性的誤報率高。

發明內容

本發明實施例提供一種SQL注入攔截檢測方法、裝置、設備及計算機可讀介質，以解決或緩解現有技術中的一個或多個技術問題。

第一方面，本發明實施例提供了一種SQL注入攔截檢測方法，包括：

根據SQL語法樹規則對接收的SQL指令進行檢測，判斷接收的SQL指令是否為惡意指令；

若接收的SQL指令沒有命中語法樹規則，則通過分析模型對接收的SQL指令進行分析，判斷接收的SQL指令是否為潛在惡意指令。

結合第一方面，本發明在第一方面的第一種實施方式中，所述根據SQL語法樹規則對接收的SQL指令進行檢測，判斷接收的SQL指令是否為惡意指令的步驟中，包括：

將接收的SQL指令中的SQL語句解析成語法樹結構；

判斷該語法樹結構是否與黑名單中的語法樹的特征匹配；若是，則進行攔截。

結合第一方面，本發明在第一方面的第二種實施方式中，所述通過分析模型對接收的SQL指令進行分析，判斷接收的SQL指令是否為潛在惡意指令的步驟中，包括：

將接收的SQL指令根據語法規則生成向量；

計算接收的SQL指令的向量與惡意SQL指令的向量樣本的相似度；若相似度達到設定閾值，則判定接收的SQL指令為惡意指令。

結合第一方面或第一方面的任意一種實施方式，本發明在第一方面的第三種實施方式中，還包括步驟：

當所述分析模型判定接收的SQL指令為惡意指令時，根據所述接收的SQL指令在黑名單中增加惡意SQL指令的語法結構規則。

第二方面，本發明實施例提供了一種SQL注入攔截檢測裝置，包括：

檢測模塊，用于根據SQL語法樹規則對接收的SQL指令進行檢測，判斷接收的SQL指令是否為惡意指令；

分析模塊，用于若接收的SQL指令沒有命中語法樹規則，則通過分析模型對接收的SQL指令進行分析，判斷接收的SQL指令是否為潛在惡意指令。

結合第二方面，本發明在第二方面的第一種實施方式中，所述檢測模塊包括：

解析子模塊，用于將接收的SQL指令中的SQL語句解析成語法樹結構；

攔截子模塊，用于判斷該語法樹結構是否與黑名單中的語法樹的特征匹配；若是，則進行攔截。

結合第二方面，本發明在第二方面的第二種實施方式中，所述分析模塊包括：

向量生成子模塊，用于將接收的SQL指令根據語法規則生成向量；