本發明的實施例提供了用于檢測SQL注入安全漏洞的方法、裝置、設備及存儲介質，其在預設時間段內統計在所監控的網絡接口收到的來自各個源IP地址的訪問請求數量；選出其訪問請求數量相對于先前統計的來自各個源IP地址的訪問請求數量的平均值的偏離程度大的源IP地址；檢測來自除了該源IP地址之外的其余各個源IP地址的訪問請求數量是否比較均勻，從而判斷該網絡接口是否存在安全漏洞。本發明實施例的技術方案根據網絡接口流量統計特征來檢測SQL注入安全漏洞，能有效避免現有的基于數據包括內容進行規則匹配的檢測方案中可能導致的誤報或漏報的情況。

技術領域

本發明涉及信息安全技術領域，尤其涉及用于檢測結構化查詢語言(StructuredQuery Language，SQL)注入攻擊的方法、裝置、設備及存儲介質。

背景技術

SQL注入通常是利用web應用在開發過程中由于對特定請求的不當處理而產生的安全漏洞來進行攻擊，其直接后果可能造成該web系統數據庫中的數據被全面盜取。業界多次較為嚴重的數據泄露事件，都是由于SQL注入攻擊安全漏洞所導致的。SQL注入常用的攻擊方式是通過把SQL命令插入到頁面表單提交，或輸入域名或頁面請求的查詢字符串中提交，并欺騙后臺服務器執行該惡意的SQL命令以達到竊取數據的目的。

現有的檢測SQL注入的技術方案主要采用基于規則匹配方式，對網絡接口接收到訪問請求的內容進行解析，用事先定義好的規則進行匹配，如果匹配成功則認定為黑客對該網絡接口發起了SQL注入漏洞，如果不匹配則判定該請求為安全請求。這種匹配規則具有較大的主觀性，很可能由于規則的不完善而導致漏報或誤報的情況；并且攻擊者很容易通過不斷修改訪問請求內容來隱藏其攻擊行為。

發明內容

因此，本發明實施例的目的在于克服上述現有技術的缺陷，提供一種用于SQL注入安全漏洞檢測的方法、裝置、設備及存儲介質，以有效檢測網站服務系統中可能存在的SQL注入安全漏洞。

上述目的是通過以下技術方案實現的：

根據本發明實施例的第一方面，提供了一種用于檢測SQL注入安全漏洞的方法，包括：在預設時間段內統計在所監控的網絡接口收到的來自各個源IP地址的訪問請求數量；判斷是否存在其訪問請求數量滿足第一預設條件的源IP地址，其中所述第一預設條件用于指示某個源IP地址的訪問請求數量相對于先前統計的來自各個源IP地址的訪問請求數量的平均值的偏離程度；若存在其訪問請求數量滿足第一預設條件的源IP地址，檢測來自除了該源IP地址之外的其余各個源IP地址的訪問請求數量是否滿足第二預設條件，從而判斷該網絡接口是否存在安全漏洞，其中所述第二預設條件用于指示所述其余各個源IP地址的訪問請求數量的均勻程度。

在本發明的一些實施例中，所述第一預設條件可以為來自某個源IP地址的訪問請求數量與先前統計的來自各個源IP地址的訪問請求數量的平均值之間的差值至少為先前統計的來自各個源IP地址的訪問請求數量的標準差的兩倍。

在本發明的一些實施例中，所述第一預設條件可以為來自某個源IP地址的訪問請求數量至少為先前統計的來自各個源IP地址的訪問請求數量的平均值的兩倍。

在本發明的一些實施例中，所述第二預設條件可以為所述其余各個源IP地址的訪問請求數量的標準差至少小于先前統計的來自各個源IP地址的訪問請求數量的標準差的兩倍。

在本發明的一些實施例中，所述第二預設條件可以為所述其余各個源IP地址的訪問請求數量中最大值與最小值的差值不超過先前統計的來自各個源IP地址的訪問請求數量的平均值的兩倍。

在本發明的一些實施例中，該方法還可包括：對于其訪問請求數量滿足第一預設條件的源IP地址，比較來自該源IP地址的各個訪問請求中涉及的訪問路徑和訪問參數，若訪問路徑相同但訪問參數不斷變化，則生成該網絡接口正在受到來自該源IP地址的SQL注入攻擊的提示并輸出所涉及的訪問路徑。