本發明提供了一種面向web應用的擬態構造數據庫訪問系統及方法，包括：請求封裝模塊：嵌入各執行體，對各執行體的SQL請求進行封裝處理；擬態數據請求/響應模塊：通過請求標識符識別來自同一次SQL請求的一組SQL封裝指令進行表決；負反饋模塊：對表決出現異常的執行體進行清洗恢復；分發代理模塊：將表決一致的SQL指令的執行結果分發到請求對應的各執行體中。本發明通過SQL語句關鍵字過濾規則以及用戶輸入參數化等傳統防御手段，防御SQL注入等傳統安全威脅，對于web應用的SQL語句執行請求提供了入口級安全防護；分析各執行體的SQL指令，構建SQL語句執行請求表決模式，有效提高數據庫執行效率。

技術領域

本發明涉及網絡安全技術領域，具體地，涉及一種面向web應用的擬態構造數據庫訪問系統及方法。

背景技術

擬態web應用基于鄔江興院士所提出的擬態防御思想，通過構造冗余等價異構執行體，對于多副本的等價異構冗余執行體的返回結果，采取多數表決一致通過的結果作為返回內容。并且通過對表決結果顯示異常的執行體進行清洗和恢復的辦法，與傳統防御手段互相補充實現對于已知和未知威脅的防御。

在互聯網時代，web應用每天都能產生海量的數據，京東、天貓等大型購物網站更是達到了EB級的規模，每天能產生高達PB級的數據，百萬級別的數據處理任務。面對如此龐大的數據量，由于數據庫查詢指令消耗資源相對較少，而數據庫修改指令(增加，刪除，更新)消耗資源相對較大，合適的數據庫訪問系統設計能有效節約資源并提高效率。對于擬態web應用，采用多執行體、多數據庫的方案一方面增加了數倍的存儲成本；另一方面，在處理海量數據時將面臨嚴峻的數據同步問題，這種方案往往更適合數據量較小的嵌入式系統；而采用多執行體、單數據庫的設計方案，則需要提供多副本等價異構執行體與數據庫交互的合路、分發機制。

專利文獻CN110460658A(申請號：201910716372.7)公開了一種基于擬態構造的分布式存儲構建方法，包括：存儲驅動模塊接收用戶請求信息，將其封裝轉換后發給分發器；分發器接收用戶請求信息并對其進行預處理，根據分發規則將用戶請求信息同時發送給多個處于活躍狀態的異構元數據服務執行體；處于活躍狀態的異構元數據服務執行體接收到分發器轉發來的用戶請求信息，進行相應的請求處理操作，并將處理結果發送至裁決器；裁決器接收到各異構元數據服務執行體發來的處理結果信息，并根據請求來源將處理結果信息進行歸類，對同一請求來源的多個處理結果信息進行一致性表決，并將表決后的結果信息經過適當處理后發送給存儲驅動模塊；存儲驅動模塊收到裁決器表決后生成的結果信息后，返回用戶結果信息給用戶。該專利中對于元數據服務執行體也做了冗余處理，而本發明中元數據服務執行體只有一個，與異構執行體之間是一對多的關系。該專利中裁決器表決的的是響應結果，而本發明中內部表決是對SQL指令進行表決。

專利文獻CN111310245A(申請號：202010148651.0)公開了一種面向擬態防御系統的數據加密存儲方法，該方法包括：輸入代理模塊接收用戶的數據讀寫請求，將用戶設置轉換封裝后上送策略控制器并按照策略分發到異構云存儲平臺；經策略控制器綜合分析后，制定并分發多重簽名策略、加密策略、碎片化策略、簽名認證策略到異構云存儲平臺；異構云存儲平臺按照下發策略進行數據的多重簽名、碎片、加密操作或重組、解密、認證操作并上送裁決器；裁決器對簽名認證進行裁決，并上送策略調度器；輸出代理模塊將操作信息進行處理轉換后報送給用戶。該專利中數據為多數據存儲單元分布式存儲；本發明數據由一個數據庫執行體提供。該專利中通過加密對于數據進行保護；而本發明對于數據的保護體現在對于SQL語句的過濾以及表決上。該專利中擬態的動態體現在重簽名策略、加密策略、碎片化策略、簽名認證策略的調度上；而本專利動態性體現在對于表決結果異常執行體的實時清洗、恢復。