本發(fā)明涉及一種數(shù)據(jù)庫審計領(lǐng)域的sql注入檢測行為判斷方法，尤其涉及一種基于語法樹對比的數(shù)據(jù)庫審計系統(tǒng)sql注入檢測方法。

背景技術(shù)：

1、當前許多數(shù)據(jù)庫審計系統(tǒng)采用基于關(guān)鍵詞匹配的方法來檢測sql注入攻擊。這種方法通過預(yù)設(shè)一個包含潛在惡意sql關(guān)鍵詞的列表(如“or?1＝1”、“and?1＝1”等)，然后在接收到的sql語句中搜索這些關(guān)鍵詞。如果檢測到匹配的關(guān)鍵詞，系統(tǒng)就會認為該sql語句可能包含sql注入攻擊，并觸發(fā)相應(yīng)的安全響應(yīng)機制，主要缺陷在于：

2、高誤報率：

3、正常業(yè)務(wù)場景誤報：許多合法的業(yè)務(wù)sql語句中也會包含如“and?1＝1”這樣的表達式，尤其是在動態(tài)構(gòu)建sql語句時，為了簡化邏輯或保持代碼一致性，開發(fā)者可能會故意使用這種看似“可疑”的表達式。這導(dǎo)致系統(tǒng)在實際應(yīng)用中頻繁誤報，給管理員帶來不必要的困擾和工作負擔(dān)。

4、語義理解缺失：基于關(guān)鍵詞匹配的方法無法深入理解sql語句的語義和上下文環(huán)境，因此無法準確區(qū)分合法表達式和惡意注入代碼。即使兩個sql語句在結(jié)構(gòu)上非常相似，但它們的執(zhí)行意圖和結(jié)果可能截然不同。

5、漏報風(fēng)險：

6、變種攻擊逃避檢測：攻擊者可以通過對惡意sql語句進行編碼、注釋或拼接等手法，使其避開關(guān)鍵詞匹配的檢測規(guī)則。這些變種攻擊手段使得基于關(guān)鍵詞匹配的方法難以全面覆蓋所有潛在的sql注入威脅。

7、復(fù)雜查詢難以識別：對于包含多個子查詢、復(fù)雜條件邏輯或特殊sql函數(shù)的復(fù)雜查詢語句，基于關(guān)鍵詞匹配的方法往往難以準確判斷其是否包含sql注入行為。

8、靈活性不足：

9、難以適應(yīng)不同數(shù)據(jù)庫：不同的數(shù)據(jù)庫系統(tǒng)可能支持不同的sql方言和語法特性?；陉P(guān)鍵詞匹配的方法往往難以適應(yīng)這種差異，導(dǎo)致在不同數(shù)據(jù)庫環(huán)境下的檢測效果不一致。

10、難以擴展和維護：隨著新sql關(guān)鍵詞和攻擊手法的不斷出現(xiàn)，基于關(guān)鍵詞匹配的方法需要不斷更新和維護其關(guān)鍵詞列表。然而，這種更新過程往往繁瑣且耗時，且難以保證全面性和及時性。

11、綜上所述，基于關(guān)鍵詞匹配的sql注入檢測方法在實際應(yīng)用中存在高誤報率、漏報風(fēng)險以及靈活性不足等缺陷。

技術(shù)實現(xiàn)思路

1、發(fā)明目的：本發(fā)明的目的在于提供一種基于語法樹對比的數(shù)據(jù)庫審計系統(tǒng)sql注入檢測方法，能夠細化sql注入的檢測層次，應(yīng)用不同的防御手段以降低誤報率、降低漏報風(fēng)險，同時提高適應(yīng)性；本發(fā)明還有一個目的在于在盡量節(jié)約系統(tǒng)資源的前提下，提高對sql注入檢測的精度，使得sql注入檢測的精度提高且系統(tǒng)防御能力依舊高卓；同時根據(jù)不同的sql注入行為，提供更細化的應(yīng)對模式，使得管理員和系統(tǒng)有更大的精力應(yīng)對攻擊系統(tǒng)的行為，以提高數(shù)據(jù)庫系統(tǒng)對sql注入攻擊的防御能力。

2、技術(shù)方案：一種基于語法樹對比的數(shù)據(jù)庫審計系統(tǒng)sql注入檢測方法，在數(shù)據(jù)庫審計系統(tǒng)中，按照以下步驟實現(xiàn)：

3、1)獲取數(shù)據(jù)庫審計系統(tǒng)中執(zhí)行的sql語句作為輸入；

4、2)對輸入的sql語句進行預(yù)處理；

5、3)經(jīng)過預(yù)處理篩查后，對不存在惡意字符的sql語句使用antlr進行構(gòu)建基準語法樹；

6、4)對經(jīng)過預(yù)處理篩查后存在惡意字符的sql語句使用antlr構(gòu)建惡意語法樹；

7、5)比對構(gòu)建完成的基準語法樹與惡意語法樹；

8、6)獲取步驟5)所得到的基準語法樹和惡意語法樹的對比結(jié)果，對惡意語法樹對應(yīng)的sql語句進行攻擊判斷；

9、7)根據(jù)步驟6)所得到的攻擊判斷結(jié)果進行不同的預(yù)警操作；

10、8)生成詳細檢測報告。

11、antlr是一個強大的解析器生成工具，能夠基于預(yù)定義的語法規(guī)則，將sql語句解析為抽象語法樹(ast)，通過ast的層次化結(jié)構(gòu)，系統(tǒng)能夠清晰地分辨出sql語句中的關(guān)鍵元素，如操作的表、字段、操作類型(如select、insert、update、delete等)，從而為后續(xù)的數(shù)據(jù)分類與分級提供精準依據(jù)。

12、本技術(shù)中，通過預(yù)處理能夠?qū)ql語句進行初分，使得所需對比的sql語句被分流，降低了字符遍歷對應(yīng)的系統(tǒng)占用資源，然后通過基準語法樹和惡意語法樹的對比，能夠更精確地明確是否產(chǎn)生了注入行為，提高檢測精度，再配合不同的預(yù)警操作，使得防御行為被細化，而不是所有的注入行為都被認定為高危操作而占用系統(tǒng)資源，使得有限的防御能力不會產(chǎn)生冗余而浪費，也不會使得管理員疲于應(yīng)對各類低危行為，無法分身。

13、進一步地，所述步驟2)中，預(yù)處理操作包括以下步驟：

14、a)對輸入的sql語句進行初始化；

15、b)獲取預(yù)設(shè)的惡意字符庫；

16、c)將初始化完成的sql語句比對步驟b)中的惡意字符庫，進行快速篩查，存在惡意字符的進行步驟4)，以構(gòu)建惡意語法樹，不存在惡意字符的，進行步驟3)，以構(gòu)建基準語法樹。

17、預(yù)設(shè)的惡意字符庫(如常見的sql注入關(guān)鍵字、特殊符號等)，為本領(lǐng)域常規(guī)技術(shù)手段，可參考owasp?sql注入check?sheet(https://www.invicti.com/blog/web-security/sql-injection-cheat-sheet/)。

18、進一步地，所述步驟2)的預(yù)處理操作中，對輸入的sql語句進行初始化包括以下步驟：

19、a)獲取輸入的sql語句；

20、b)識別并刪除sql語句中的注釋；

21、c)格式化語句：統(tǒng)一sql語句中的大小寫，刪除多余的空格和換行符并在關(guān)鍵字和符號之間插入空格；

22、d)去除無關(guān)字符：包括去除多余分號、去除多余括號和去除多余無意義字符；

23、e)標準化sql關(guān)鍵字與符號，包括關(guān)鍵字對齊和符號對齊；

24、f)驗證sql語句完整性，以確保其可執(zhí)行。

25、由于已經(jīng)是執(zhí)行的sql語句，所以在初始化前，sql語句是可執(zhí)行的，這里進行初始化后，再次進行驗證，也是對整個初始化行為誤操作的判斷。

26、進一步地，所述步驟3)和步驟4)中，構(gòu)建基準語法樹和惡意語法樹，均包括以下步驟：

27、a)根據(jù)數(shù)據(jù)庫審計系統(tǒng)中的sql語法規(guī)則對antlr進行sql語法規(guī)則定義；

28、b)采用antlr對預(yù)處理完成的sql語句進行解析，得到包含sql語句的語法結(jié)構(gòu)和操作層次的基準語法樹或惡意語法樹。

29、惡意字符只能判斷基本的是否有注入操作，具體的，該注入操作是嘗試注入還是注入攻擊需要進一步的判斷，而通過antlr的語法樹可以去除無效的對比節(jié)點，保留關(guān)鍵節(jié)點，使得對比更加效率，提高了對比的效率和精度，降低了漏報的風(fēng)險。

30、進一步地，所述步驟5)中，比對構(gòu)建完成的基準語法樹與惡意語法樹，包括結(jié)構(gòu)對比、操作深度對比和邏輯對比，其中，結(jié)構(gòu)對比包括節(jié)點類型對比、節(jié)點數(shù)量對比和節(jié)點間的關(guān)系對比；操作深度對比為計算并對比兩者的深度，注意檢查是否有異于常規(guī)增加的深度；邏輯對比為評估惡意語法樹中的變化是否影響了sql語句的執(zhí)行邏輯，特別是檢查條件表達式、數(shù)據(jù)操作語句是否發(fā)生了不期望的改變。

31、進一步地，所述步驟6)中，獲取步驟5)所得到的基準語法樹和惡意語法樹的對比結(jié)果，查看差異部分是否能夠作為注入攻擊的證據(jù)，具體的，如果惡意語法樹與基準語法樹在結(jié)構(gòu)和邏輯上存在會導(dǎo)致sql語句執(zhí)行未授權(quán)操作或改變原始查詢的意圖，則判定為成功的sql注入攻擊；如果惡意語法樹與基準語法樹在結(jié)構(gòu)和邏輯上差異較小而不影響整體執(zhí)行邏輯，但由于存在惡意字符而存在潛在風(fēng)險，則判定為低危的sql注入嘗試。

32、將sql注入行為進行分級，使得能夠后續(xù)對分級的行為進行不同的預(yù)警操作，以降低管理員的工作強度，使得管理員能夠更多精力應(yīng)對高危行為，提高系統(tǒng)防御能力。

33、進一步地，所述步驟7)中，對于sql注入攻擊，標記為高危行為，立即觸發(fā)高優(yōu)先級告警，并采取阻斷措施以防止進一步損害；對于sql注入嘗試，標記為低危行為，生成低優(yōu)先級告警，供管理員參考和后續(xù)分析。

34、低危行為不代表沒有意義，其可能由于進行了注入嘗試而導(dǎo)致了后續(xù)的注入攻擊，所以可以提供管理員參考和分析。

35、進一步地，所述步驟8)中，詳細的檢測報告至少包括惡意sql語句、基準語法樹與惡意語法樹的對比結(jié)果、攻擊類型和影響范圍。

36、需要明確的是，該步驟最終的目的是將已經(jīng)明確的惡意語法樹進行歸置，當具有一定量的基礎(chǔ)惡意語法樹集合后，后續(xù)可以形成惡意語法樹庫，直接將sql語句與惡意語法樹庫中的惡意語法樹進行直接對比，就又進一步節(jié)約了系統(tǒng)資源，提高了檢測效率，且由于該惡意語法樹也可以返回值，可以形成迭代循環(huán)，形成機器學(xué)習(xí)的模式，進一步完善惡意語法樹庫，提高檢測精度。

37、有益效果：本發(fā)明與現(xiàn)有技術(shù)相比：

38、1、通過基于antlr構(gòu)建sql語句的語法樹并進行對比分析，本技術(shù)能夠深入解析sql語句的結(jié)構(gòu)和邏輯，從而更準確地識別出sql注入攻擊，并區(qū)分出嘗試注入和攻擊成功兩個級別，這種分級檢測能力有助于減少誤報和漏報，提高檢測精度；

39、2、基于已經(jīng)對攻擊行為進行了細分，所以分級后的攻擊行為也可以進行了多重的預(yù)警分化，使得有限的系統(tǒng)資源和管理員不會被頻繁的低危誤報操作而占用，提高了系統(tǒng)整體的資源分配效率；

40、3、結(jié)合數(shù)據(jù)庫審計系統(tǒng)，由于本技術(shù)針對的是執(zhí)行中的sql語句，本技術(shù)能夠?qū)崿F(xiàn)對數(shù)據(jù)庫操作的實時審計和sql注入攻擊的即時檢測，一旦發(fā)現(xiàn)sql注入行為，系統(tǒng)能夠迅速判定其威脅級別，并觸發(fā)相應(yīng)的告警和應(yīng)急響應(yīng)機制，對于攻擊成功級別的sql注入，能夠立即采取措施進行阻斷和修復(fù)，有效防止事態(tài)擴大；

41、4、通過區(qū)分嘗試注入和攻擊成功兩個級別的sql注入攻擊，本技術(shù)為數(shù)據(jù)庫管理員和安全團隊提供了更為詳細的威脅情報，這些情報有助于制定更為針對性的防御策略，如加強特定時間段的監(jiān)控、優(yōu)化數(shù)據(jù)庫配置、更新安全補丁等，從而進一步提升數(shù)據(jù)庫的安全防御能力。