本發(fā)明提供了數(shù)據(jù)庫攻擊防御方法及相關(guān)設(shè)備，具體地，獲取待發(fā)送至數(shù)據(jù)庫模塊的數(shù)據(jù)庫操作代碼；數(shù)據(jù)庫操作代碼中包含用戶輸入的操作相關(guān)參數(shù)；對數(shù)據(jù)庫操作代碼進行代碼解析，以確定數(shù)據(jù)庫操作代碼中包含的預設(shè)可執(zhí)行代碼；使用與解析器模塊對應(yīng)的加密規(guī)則加密預設(shè)可執(zhí)行代碼；將加密后的預設(shè)可執(zhí)行代碼與用戶輸入的操作相關(guān)參數(shù)進行拼接，得到拼接語句；將拼接語句發(fā)送至數(shù)據(jù)庫模塊，以使數(shù)據(jù)庫模塊執(zhí)行拼接語句中的加密數(shù)據(jù)得到數(shù)據(jù)庫操作結(jié)果。該方法僅對系統(tǒng)中預設(shè)的可執(zhí)行代碼進行加密，這樣數(shù)據(jù)庫在執(zhí)行拼接語句時，只執(zhí)行加密的可執(zhí)行代碼，并不執(zhí)行用戶輸入的操作相關(guān)參數(shù)，從而避免惡意程序通過操作相關(guān)參數(shù)對數(shù)據(jù)庫的攻擊。

技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，特別是涉及一種數(shù)據(jù)庫攻擊防御方法及系統(tǒng)。

背景技術(shù)

在互聯(lián)網(wǎng)環(huán)境下，數(shù)據(jù)庫系統(tǒng)中可以存儲業(yè)務(wù)信息，用戶可以通過客戶端向數(shù)據(jù)庫系統(tǒng)發(fā)送對數(shù)據(jù)庫的操作請求，如業(yè)務(wù)信息查詢請求、業(yè)務(wù)信息修改請求等。數(shù)據(jù)庫系統(tǒng)接收到操作請求后，執(zhí)行與操作請求對應(yīng)的數(shù)據(jù)庫操作步驟，從而得到操作結(jié)果返回給用戶。

然而，一些惡意程序為了非法從數(shù)據(jù)庫系統(tǒng)中獲取業(yè)務(wù)信息，可以對數(shù)據(jù)庫系統(tǒng)進行網(wǎng)絡(luò)攻擊行為。網(wǎng)絡(luò)攻擊的一種具體手段是，惡意程序利用用戶客戶端的漏洞，在客戶端發(fā)送的操作請求中注入惡意的數(shù)據(jù)庫操作語句，數(shù)據(jù)庫系統(tǒng)在處理操作請求時，會執(zhí)行被惡意注入的數(shù)據(jù)庫操作語句，從而遭受網(wǎng)絡(luò)攻擊。

因此，需要一種防御方法，來防止數(shù)據(jù)庫系統(tǒng)遭受網(wǎng)絡(luò)攻擊行為，進而提高數(shù)據(jù)庫系統(tǒng)的安全性。

發(fā)明內(nèi)容

有鑒于此，本發(fā)明提供了一種數(shù)據(jù)庫攻擊防御方法，以提高數(shù)據(jù)庫系統(tǒng)安全性。另外，本發(fā)明還提供了一種數(shù)據(jù)庫攻擊防御系統(tǒng)，用以保證所述方法在實際中的應(yīng)用及實現(xiàn)。

為實現(xiàn)所述目的，本發(fā)明提供的技術(shù)方案如下：

第一方面，本發(fā)明提供了一種數(shù)據(jù)庫攻擊防御方法，應(yīng)用于解析器模塊，該方法包括：

獲取待發(fā)送至數(shù)據(jù)庫模塊的數(shù)據(jù)庫操作代碼；其中所述數(shù)據(jù)庫操作代碼中包含用戶輸入的操作相關(guān)參數(shù)；

對所述數(shù)據(jù)庫操作代碼進行代碼解析，以確定所述數(shù)據(jù)庫操作代碼中包含的預設(shè)可執(zhí)行代碼；

使用與所述解析器模塊對應(yīng)的加密規(guī)則加密所述預設(shè)可執(zhí)行代碼；

將加密后的預設(shè)可執(zhí)行代碼與用戶輸入的操作相關(guān)參數(shù)進行拼接，得到拼接語句；

將所述拼接語句發(fā)送至數(shù)據(jù)庫模塊，以使所述數(shù)據(jù)庫模塊執(zhí)行所述拼接語句中的加密數(shù)據(jù)得到數(shù)據(jù)庫操作結(jié)果。

第二方面，本發(fā)明提供了一種數(shù)據(jù)庫攻擊防御方法，應(yīng)用于防御控制設(shè)備，該方法包括：

接收多個數(shù)據(jù)庫執(zhí)行設(shè)備發(fā)送的數(shù)據(jù)庫操作結(jié)果；其中，數(shù)據(jù)庫執(zhí)行設(shè)備中包含解析器模塊及數(shù)據(jù)庫模塊，且數(shù)據(jù)庫操作結(jié)果是由各個數(shù)據(jù)庫執(zhí)行設(shè)備通過如下步驟得到的：解析器模塊獲取待發(fā)送至數(shù)據(jù)庫模塊的數(shù)據(jù)庫操作代碼；其中所述數(shù)據(jù)庫操作代碼中包含用戶輸入的操作相關(guān)參數(shù)；對所述數(shù)據(jù)庫操作代碼進行代碼解析，以確定所述數(shù)據(jù)庫操作代碼中包含的預設(shè)可執(zhí)行代碼；使用與所述解析器模塊對應(yīng)的加密規(guī)則加密所述預設(shè)可執(zhí)行代碼；將加密后的預設(shè)可執(zhí)行代碼與用戶輸入的操作相關(guān)參數(shù)進行拼接，得到拼接語句；將所述拼接語句發(fā)送至數(shù)據(jù)庫模塊，以使數(shù)據(jù)庫模塊執(zhí)行所述拼接語句后得到數(shù)據(jù)庫操作結(jié)果；

比對多個所述數(shù)據(jù)庫操作結(jié)果是否一致，得到比對結(jié)果；

根據(jù)比對結(jié)果，確定是否存在對數(shù)據(jù)庫模塊的網(wǎng)絡(luò)攻擊行為。

第三方面，本發(fā)明提供了一種數(shù)據(jù)庫攻擊防御裝置，包括：

數(shù)據(jù)庫操作代碼獲取模塊，用于獲取待發(fā)送至數(shù)據(jù)庫模塊的數(shù)據(jù)庫操作代碼；其中所述數(shù)據(jù)庫操作代碼中包含用戶輸入的操作相關(guān)參數(shù)；