本發明屬于Web安全領域，其公開了一種過濾SQL注入攻擊的方法，解決傳統技術中的過濾方案存在的時間開銷大以及對正常輸入的誤報問題。本發明首先通過IP黑名單過濾一批在黑名單中記錄的IP地址用戶的訪問，然后對用戶輸入是否含有關鍵字進行判斷，對于含有關鍵字的情況還要根據請求類型進行細化區分，對于請求方式為GET的情況，則判定其為SQL注入攻擊，對于請求方式為POST的情況以及不含關鍵字的情況則通過LD算法判斷請求中的用戶輸入是否正常，基于本發明的過濾手段能有效過濾SQL注入攻擊，誤報率更低，過濾速度更快。

技術領域

本發明屬于Web安全領域。具體涉及一種過濾SQL注入攻擊的方法。

背景技術

SQL注入攻擊是一種常用的Web攻擊手段，其通常是以網站數據庫為目標，利用Web應用程序對特殊字符串不完全過濾的缺陷，通過精心構造字符串達到非法訪問網站數據庫獲取機密或者在網站數據庫非法執行命令的目的。SQL注入攻擊和正常用戶的訪問都是一樣利用HTTP協議進行訪問的，普通的防火墻無法對其進行攔截，攻擊發生時網絡流量和用戶行為都沒有明顯的變化，攻擊不易察覺，所以如何有效的過濾SQL注入攻擊是很有必要的。

現有技術中過濾SQL注入攻擊通常有以下幾種手段：

(1)基于機器學習識別SQL輸入攻擊并總結出規律來過濾，但是往往訓練過程復雜，時間開銷比較大；

(2)采用基于敏感字符的積極污點標記，對用戶輸入關鍵字進行過濾；該類方法能從根源上防止SQL注入，但是未考慮用戶請求方式不同而存在對正常輸入的誤報問題；

(3)采用正則匹配結合SQL語法庫進行匹配，但是準確率取決于語法庫涵蓋的范圍，時間開銷也比較大。

發明內容

本發明所要解決的技術問題是：提出一種過濾SQL注入攻擊的方法，解決傳統技術中的過濾方案存在的時間開銷大以及對正常輸入的誤報問題。

本發明解決上述技術問題采用的技術方案是：

一種過濾SQL注入攻擊的方法，包括以下步驟：

a.當用戶訪問時，首先將用戶的IP與已有的黑名單中的IP進行對比，若用戶IP在黑名單中，則丟棄用戶的訪問請求，結束流程，若用戶IP不在黑名單中，則進入步驟b；

b.根據訪問請求獲取用戶輸入后，判斷用戶輸入中是否含有關鍵字，若含有，則進入步驟c，若不含，則進入步驟d；

c.根據用戶請求方式進行區分處理：

若請求方式為GET，則判定其為SQL注入攻擊，并將發送該請求的用戶IP加入黑名單，然后丟棄該請求，結束流程；若請求方式為POST，則進入步驟d；

d.通過LD(Levenshtein Distance)算法判斷請求中的用戶輸入是否異常，若是，則將用戶的IP加入黑名單，然后丟棄該請求，否則，判定用戶輸入為合法輸入，正常執行用戶訪問請求。

作為進一步優化，步驟a中，所述已有的黑名單為預先從網上下載的開源的IP黑名單。

IP黑名單過濾是一種拒絕IP地址已記錄在案的主機過濾操作，首先采用IP黑名單進行過濾，可以減少其他階段的數據處理量，提高了整體處理效率。

作為進一步優化，步驟b中，所述判斷用戶輸入中是否含有關鍵字包括：

將用戶輸入的數據與關鍵字列表進行匹配，檢測用戶輸入中是否含關鍵字列表中所包含的內容。

通過將用戶輸入與關鍵字列表進行匹配，有利于快速檢查判斷用戶輸入中是否含有關鍵字，從而便于后續根據含有關鍵字與否進行不同處理。

作為進一步優化，步驟d中，所述通過LD算法判斷請求中的用戶輸入是否正常，包括：