王苗苗，錢步仁，許瑩瑩，王雪鳳

（1.中國(guó)石油大學(xué)（北京）地球物理與信息工程學(xué)院，北京 102249；2.國(guó)網(wǎng)山東電力公司招遠(yuǎn)市供電公司 山東 招遠(yuǎn)265400）

基于通用規(guī)則的SQL注入攻擊檢測(cè)與防御系統(tǒng)的研究

王苗苗1，錢步仁1，許瑩瑩1，王雪鳳2

（1.中國(guó)石油大學(xué)（北京）地球物理與信息工程學(xué)院，北京 102249；2.國(guó)網(wǎng)山東電力公司招遠(yuǎn)市供電公司 山東 招遠(yuǎn)265400）

Web技術(shù)是通過Web采用HTTP或HTTPS協(xié)議訪問外部并對(duì)外部請(qǐng)求提供服務(wù)和響應(yīng)的應(yīng)用程序，Web應(yīng)用日益成為軟件開發(fā)的主流之一，隨之而來的是，Web應(yīng)用程序中存在的多種安全漏洞漸漸顯露出來，這些給人們的生活、工作、學(xué)習(xí)都帶來了巨大的損失。面對(duì)Web網(wǎng)站存在的種種安全漏洞問題，文章通過對(duì)大量SQL注入攻擊報(bào)文的攻擊特征進(jìn)行總結(jié)分析，結(jié)合SQL注入攻擊的攻擊特征和攻擊原理，提出了一種基于通用規(guī)則的SQL注入攻擊檢測(cè)與防御的方法，并利用SQL注入檢測(cè)工具Sqlmap進(jìn)行SQL注入攻擊模擬同時(shí)對(duì)網(wǎng)絡(luò)流量捕捉抓包，對(duì)上述檢測(cè)防御方法進(jìn)行驗(yàn)證。SQL注入檢測(cè)工具利用自帶網(wǎng)絡(luò)爬蟲通過HTTP協(xié)議和URL鏈接來遍歷網(wǎng)頁并獲取頁面數(shù)據(jù)信息，然后進(jìn)行SQL注入嘗試并通過抓包工具捕捉網(wǎng)絡(luò)攻擊流量，提取攻擊特征，總結(jié)通用規(guī)則，更新規(guī)則庫(kù)，最終結(jié)合IPS入侵防御系統(tǒng)告警或阻斷來提升網(wǎng)絡(luò)環(huán)境的安全性。實(shí)驗(yàn)測(cè)試表明，該方法可有效檢測(cè)SQL注入攻擊漏洞。

SQL注入漏洞；檢測(cè)工具；通用規(guī)則；特征提??；入侵檢測(cè)系統(tǒng)

隨著計(jì)算機(jī)網(wǎng)絡(luò)的普及化，互聯(lián)網(wǎng)給人們的生活、工作、學(xué)習(xí)等帶來了極大的便利，同時(shí)也產(chǎn)生了越來越多的網(wǎng)絡(luò)安全危害。Web技術(shù)是目前應(yīng)用度最高的互聯(lián)網(wǎng)應(yīng)用技術(shù)，它是用戶向服務(wù)器提交請(qǐng)求查詢并得到服務(wù)器響應(yīng)，獲得請(qǐng)求頁面的技術(shù)總稱[1]。Web技術(shù)是通過Web采用HTTP或HTTPS協(xié)議訪問外部并對(duì)外部請(qǐng)求提供服務(wù)和響應(yīng)的應(yīng)用程序，客戶端通過瀏覽器請(qǐng)求訪問Web服務(wù)器，通過統(tǒng)一資源標(biāo)識(shí)符（URI）標(biāo)識(shí)、定位服務(wù)器上的數(shù)據(jù)信息。Web應(yīng)用的易用性好、信息共享度高、擴(kuò)展性好以及多功能復(fù)用性等多種優(yōu)點(diǎn)使互聯(lián)網(wǎng)成為一項(xiàng)必備的社會(huì)基本設(shè)施，Web應(yīng)用也日益成為軟件開發(fā)的主流之一[2]。

在我國(guó)針對(duì)網(wǎng)站SQL注入漏洞的檢測(cè)和研究，特別是通過網(wǎng)絡(luò)爬蟲查找各網(wǎng)頁中所含的漏洞的研究并不是很多，而且還普遍存在著對(duì)SQL注入漏洞檢測(cè)的高漏報(bào)率、低準(zhǔn)確率等現(xiàn)象，并且多半相關(guān)應(yīng)用都沒有詳細(xì)分析SQL注入檢測(cè)與防御技術(shù)的原理。文中針對(duì)SQL注入漏洞檢測(cè)與防御的方法，利用SQL注入檢測(cè)工具中自帶的網(wǎng)絡(luò)爬蟲覆蓋率較高的特點(diǎn)，對(duì)某些鏈接進(jìn)行了檢測(cè)；通過對(duì)網(wǎng)絡(luò)攻擊流量的抓取及攻擊特征的提取，提出了總結(jié)更新SQL注入攻擊對(duì)應(yīng)的漏洞通用規(guī)則庫(kù)，并將該通用規(guī)則應(yīng)用到SQL注入攻擊的檢測(cè)中，最終結(jié)合IPS入侵防御系統(tǒng)的告警或阻斷動(dòng)作來提升網(wǎng)絡(luò)環(huán)境的安全性，降低了SQL注入檢測(cè)防御系統(tǒng)檢測(cè)的漏報(bào)率，并將該系統(tǒng)相關(guān)的核心技術(shù)進(jìn)行了分析。

1 SQL注入攻擊檢測(cè)與防御系統(tǒng)相關(guān)技術(shù)

1.1 SQL注入攻擊

目前雖然還沒有對(duì)SQL注入攻擊技術(shù)進(jìn)行標(biāo)準(zhǔn)定義，但微軟中國(guó)技術(shù)中心從兩個(gè)方面進(jìn)行了闡述[3]：

1）腳本注入式的攻擊；

2）惡意用戶輸入用來影響被執(zhí)行的SQL腳本。

利用SQL注入攻擊，惡意攻擊者就可以獲得并且掌控整個(gè)網(wǎng)站的內(nèi)容，同時(shí)可以篡改網(wǎng)站后端及底層數(shù)據(jù)庫(kù)數(shù)據(jù)，更甚至可以給整個(gè)網(wǎng)站注入木馬程序，從而通過獲取的管理員權(quán)限任意瀏覽獲取網(wǎng)站上的文件數(shù)據(jù)或者給網(wǎng)頁掛上木馬和各種惡意程序，最終達(dá)到控制整個(gè)服務(wù)器的目的[4]。

1.2 SQL注入攻擊方法

當(dāng)我們?cè)L問某個(gè)需要用戶提交數(shù)據(jù)登錄的網(wǎng)頁時(shí)，Web應(yīng)用服務(wù)程序一般都會(huì)通過向數(shù)據(jù)庫(kù)發(fā)出請(qǐng)求查詢命令，驗(yàn)證該用戶登錄信息及身份是否有效。其檢驗(yàn)證的方法大多數(shù)可能就是在請(qǐng)求程序中構(gòu)造SQL查詢語句，例如：

“Select*from Users where UserName=‘”+user +“’and PassWord=‘”+password+“’”；

這里，在用戶登錄頁面上需要輸入的用戶名和密碼就是替代user和password的信息。假使我們使用的登錄用戶名為Admin，密碼為1234，那么Web應(yīng)用向數(shù)據(jù)庫(kù)服務(wù)器發(fā)送請(qǐng)求的SQL語句為：

Select*from Users where UserName=‘Admin’and PassWord=‘1234’；

Web應(yīng)用程序期望數(shù)據(jù)庫(kù)能夠返回一組與所登錄用戶相對(duì)應(yīng)的數(shù)據(jù)。SQL語言與其他編程語言相似，也使用某些字符來表示對(duì)某段代碼進(jìn)行注釋或忽略。其中，符號(hào)“--”為單行注釋符，該符號(hào)代表數(shù)據(jù)庫(kù)服務(wù)器可以忽略掉該注釋付后面的所有內(nèi)容，該注釋符極其有效，下面就簡(jiǎn)單介紹一下它的特殊作用。如果我們不在user中輸入Admin，而是輸入：

Admin’or 1=1--

這樣，數(shù)據(jù)庫(kù)的服務(wù)器接收應(yīng)用程序發(fā)送的SQL語句就變?yōu)椋?/p>

Select*from Users where UserName=‘Admin’or 1=1--‘a(chǎn)nd PassWord=‘1234’；

我們知道，1=1的結(jié)果總是為真（true），由于or運(yùn)算符中兩個(gè)操作數(shù)只要有一個(gè)為真，結(jié)果就會(huì)為真，因此上面提交的查詢語句會(huì)返回Users表中的全部信息。即便所獲取的用戶信息有可能并不完全顯示給用戶，但我們已經(jīng)能夠利用所獲取的信息成功登錄到網(wǎng)站上了，這種情況，我們就稱之為SQL注入攻擊。

1.3 IPS入侵防御系統(tǒng)簡(jiǎn)介

入侵防御系統(tǒng)（IPS）[5]是指不僅能夠檢測(cè)到攻擊入侵的發(fā)生，而且能利用一定的響應(yīng)方式，實(shí)時(shí)地中止入侵行為的發(fā)生和發(fā)展，實(shí)時(shí)地保護(hù)信息系統(tǒng)不受實(shí)質(zhì)性攻擊的一種智能化的安全體系。IPS是一種主動(dòng)的、積極的入侵防范、阻止系統(tǒng)，其設(shè)計(jì)旨在預(yù)先對(duì)入侵活動(dòng)和攻擊性網(wǎng)絡(luò)流量進(jìn)行檢測(cè)和攔截，避免其造成任何損失，而不是簡(jiǎn)單地在惡意流量傳送時(shí)或傳送后才發(fā)出警報(bào)。它部署在網(wǎng)絡(luò)的進(jìn)出口處，當(dāng)它檢測(cè)到攻擊企圖后，它會(huì)自動(dòng)地將攻擊包丟掉或采取措施將攻擊源阻斷[6]。文中通過將通用規(guī)則整合到規(guī)則庫(kù)中，然后將IPS系統(tǒng)中規(guī)則庫(kù)升級(jí)，最終對(duì)攻擊報(bào)文進(jìn)行告警或阻斷。

2 SQL注入攻擊檢測(cè)防御系統(tǒng)結(jié)構(gòu)

文章主要研究的基于通用規(guī)則的SQL注入攻擊檢測(cè)預(yù)防與防御系統(tǒng)是搭建在IPS系統(tǒng)之上的，其框架結(jié)構(gòu)如圖1所示。

圖1 SQL注入攻擊檢測(cè)防御系統(tǒng)結(jié)構(gòu)

2.1 技術(shù)儲(chǔ)備

技術(shù)儲(chǔ)備部分主要分析總結(jié)SQL語言的語言特點(diǎn)及語法操作，以便對(duì)SQL注入語言中中的異常字段進(jìn)行識(shí)別；分析各大主流數(shù)據(jù)庫(kù)的特性，以便了解各大數(shù)據(jù)庫(kù)特有的語法特性及語句特征；分析常見攻擊掃描工具，利用各個(gè)掃描工具進(jìn)行SQL注入攻擊實(shí)驗(yàn)攻防模擬，并抓取攻防過程中的數(shù)據(jù)流量，以便能夠根據(jù)數(shù)據(jù)流量提取出SQL注入攻擊特征的檢測(cè)字符；分析實(shí)際SQL注入攻擊方式，將以上過程所得到的研究成果形成通用化、層次化的SQL注入攻擊模型，即通用規(guī)則，并將該模型形成相應(yīng)的規(guī)則庫(kù)語言，在實(shí)驗(yàn)環(huán)境下進(jìn)行攻防測(cè)試，驗(yàn)證形成的攻擊模型的可行性，進(jìn)而驗(yàn)證該系統(tǒng)下SQL注入攻擊檢測(cè)與防御的性能。如達(dá)到要求，則將該模型特征語言精簡(jiǎn)提煉并更新到IPS系統(tǒng)的特征庫(kù)中。下面詳細(xì)介紹一下通用化、層次化的SQL注入攻擊模型。

2.1.1 SQL注入攻擊模型

SQL注入攻擊模型也就是通用化、層次化的通用規(guī)則。在開始規(guī)則特征提取形成通用規(guī)則之前，先簡(jiǎn)單介紹一下正則表達(dá)式。正則表達(dá)式使用單個(gè)字符串來描述、匹配一系列符合某個(gè)句法規(guī)則的字符串[7]。正則表達(dá)式是對(duì)字符串操作的一種邏輯公式，就是用事先定義好的一些特定字符、及這些特定字符的組合，組成一個(gè)“規(guī)則字符串”，這個(gè)“規(guī)則字符串”用來表達(dá)對(duì)字符串的一種過濾邏輯[8]。

通過實(shí)驗(yàn)?zāi)M抓取報(bào)文及設(shè)備現(xiàn)存攻擊報(bào)文，分析總結(jié)了SQL注入攻擊典型類型的通用規(guī)則，并利用正則表達(dá)式進(jìn)行描述。

在本文中將詳細(xì)介紹一下SQL注入典型的攻擊類型中的盲注、建表操作和跨表查詢。

“盲注”，就是在服務(wù)器沒有錯(cuò)誤回顯時(shí)需要攻擊者手動(dòng)進(jìn)行的暴力猜解，不停地探測(cè)數(shù)據(jù)庫(kù)相關(guān)數(shù)據(jù)信息的值而完成的注入攻擊。因?yàn)槿鄙馘e(cuò)誤信息，服務(wù)器沒有錯(cuò)誤回顯，這對(duì)于攻擊者來說就缺少了極其重要的“調(diào)試信息”，這就需要攻擊者必須找到一種方法來驗(yàn)證注入的SQL語句是否得到了成功執(zhí)行[9]。

1）布爾盲注

利用and 1=1、or 1=1、and 1=2判斷是否存在注入點(diǎn)進(jìn)行抓包，通過掃描進(jìn)行的布爾盲注。

正則表達(dá)式的規(guī)則特征：

2）時(shí)間盲注

基于時(shí)間的盲注是一種高級(jí)技巧，在不同的數(shù)據(jù)庫(kù)中，都有著類似于BENCHMARK（）的延時(shí)函數(shù)，通過延時(shí)函數(shù)的延時(shí)時(shí)間來進(jìn)行時(shí)間盲注[10]。

總結(jié)正則表達(dá)式的規(guī)則特征：

所謂“建表操作”就是在用戶輸入時(shí)額外增加語句進(jìn)行建表操作，使后臺(tái)數(shù)據(jù)庫(kù)中新增惡意用戶添加的新的數(shù)據(jù)表等內(nèi)容[11]。

總結(jié)正則表達(dá)式的規(guī)則特征：

跨表查詢[12]，就是將跨越數(shù)據(jù)庫(kù)的兩個(gè)表聯(lián)合進(jìn)行數(shù)據(jù)查詢操作，將兩個(gè)表中各取得的數(shù)據(jù)合并整合為一個(gè)新的數(shù)據(jù)集，惡意用戶就可通過跨表查詢得到數(shù)據(jù)庫(kù)的各個(gè)表中的信息，從而暴力破解所有列名的值等危害。

總結(jié)正則表達(dá)式的規(guī)則特征為：

2.1.2 更新SQL注入攻擊通用規(guī)則規(guī)則庫(kù)

特征庫(kù)記錄了設(shè)備可識(shí)別的攻擊特征、病毒特征以及針對(duì)需要采取的相應(yīng)動(dòng)作等信息，因此對(duì)于安全設(shè)備來說，必須保證特征庫(kù)能夠?qū)崟r(shí)更新升級(jí)。將上述總結(jié)的SQL注入攻擊特征的通用規(guī)則實(shí)時(shí)更新到IPS入侵檢測(cè)系統(tǒng)的規(guī)則庫(kù)中，然后在規(guī)則庫(kù)中進(jìn)行攻擊報(bào)文的回放檢測(cè)，等待設(shè)備給出相關(guān)動(dòng)作。

2.2 設(shè)備處理

在現(xiàn)實(shí)環(huán)境中運(yùn)用更新好的IPS入侵檢測(cè)系統(tǒng)特征庫(kù)進(jìn)行實(shí)戰(zhàn)檢測(cè)，將網(wǎng)絡(luò)流量進(jìn)行預(yù)處理，處理成設(shè)備可以識(shí)別的數(shù)據(jù)報(bào)文，然后大量投放到設(shè)備中通過與系統(tǒng)中通用規(guī)則進(jìn)行特征匹配。如果檢測(cè)的網(wǎng)絡(luò)流量符合SQL注入攻擊形成的通用模型，規(guī)則庫(kù)就會(huì)做出相應(yīng)反應(yīng)，流量被阻斷并上報(bào)設(shè)備發(fā)生攻擊；若該網(wǎng)絡(luò)流量并不匹配SQL注入攻擊模型，則規(guī)則庫(kù)會(huì)對(duì)流量不作處理，并上報(bào)設(shè)備放行該流量。

3 實(shí)驗(yàn)?zāi)MSQL注入攻擊

通過利用Sqlmap檢測(cè)工具進(jìn)行實(shí)驗(yàn)?zāi)M，抓取攻擊流量，驗(yàn)證該系統(tǒng)是否可用。

Sqlmap[13]是一個(gè)自動(dòng)化的SQL注入工具，其主要功能是通過自帶網(wǎng)絡(luò)爬蟲進(jìn)行掃描，發(fā)現(xiàn)并利用給定URL中的SQL注入漏洞，目前支持的數(shù)據(jù)庫(kù)是MS SQL Server、My SQL、ORACLE和POSTGRESQL。Sqlmap采用四種獨(dú)特的SQL注入技術(shù)，分別是盲推理SQL注入、UNION查詢SQL注入、堆查詢和基于時(shí)間的SQL盲注入。網(wǎng)絡(luò)爬蟲[14]是通過網(wǎng)頁的鏈接地址來尋找網(wǎng)頁的程序，它從網(wǎng)站的某一個(gè)頁面開始逐漸探尋網(wǎng)頁的內(nèi)容，并持續(xù)循環(huán)下去，直到把整個(gè)網(wǎng)站所有的網(wǎng)頁都抓取完或到達(dá)預(yù)期目標(biāo)為止。本文中利用Sqlmap進(jìn)行SQL注入攻擊測(cè)試，在攻擊同時(shí)利用Wireshark抓包工具進(jìn)行抓包，然后數(shù)據(jù)包中的攻擊特征，提取通用規(guī)則。

以下是利用Sqlmap進(jìn)行SQL注入漏洞檢測(cè)的一個(gè)實(shí)例。

對(duì)于目標(biāo)網(wǎng)站http://****.cn/shownews.php?id= 7519，首先我們將抓包工具WireShark和瀏覽器設(shè)置相同的代理端口IP地址，然后點(diǎn)擊start開始抓取SqlMap進(jìn)行注入的攻擊流量。

1）SQL注入掃描

輸入要掃描的Web應(yīng)用地址，Sqlmap檢測(cè)工具將逐一掃描網(wǎng)站下的所有鏈接，根據(jù)自帶網(wǎng)絡(luò)爬蟲判斷出頁面中是否存在SQL注入點(diǎn)；

2）后臺(tái)管理掃描

輸入要掃描的Web應(yīng)用地址，系統(tǒng)逐一掃描網(wǎng)站下的所有鏈接，判斷出各鏈接的存在狀態(tài)，再由鏈接狀態(tài)判斷是否存在后臺(tái)管理的可能；

3）獲取數(shù)據(jù)庫(kù)信息

輸入存在SQL注入的地址，系統(tǒng)將反饋數(shù)據(jù)庫(kù)名稱和數(shù)據(jù)庫(kù)版本信息，判斷當(dāng)前數(shù)據(jù)庫(kù)是否支持多句查詢和子查詢，判斷當(dāng)前連接的數(shù)據(jù)庫(kù)用戶及用戶的權(quán)限；

4）獲取表名及列名

輸入存在SQL注入的地址，系統(tǒng)將猜解數(shù)據(jù)庫(kù)中表名及表中數(shù)據(jù)量，同時(shí)系統(tǒng)可以對(duì)某個(gè)表中的列進(jìn)行猜解，猜解得到表中列名及數(shù)據(jù)量，如圖2所示。

圖2 Sqlmap獲取數(shù)據(jù)庫(kù)字段名稱和類型

5）獲取數(shù)據(jù)內(nèi)容

在上步的基礎(chǔ)上進(jìn)一步探索數(shù)據(jù)表中username和password獲取用戶名和密碼等個(gè)人信息，其結(jié)果如圖3所示。

圖3 Sqlmap獲取數(shù)據(jù)庫(kù)字段值

在進(jìn)行 SqlMap的注入過程中，我們通過WireShark進(jìn)行抓包，分析其中一條攻擊流量，數(shù)據(jù)流量如圖4所示。

圖4 Wireshatk抓包數(shù)據(jù)流量

對(duì)設(shè)備進(jìn)行調(diào)試配置，將全部攻擊流量投入設(shè)備中進(jìn)行報(bào)文回放，看設(shè)備界面是否有命中信息，如圖5所示。

圖5 設(shè)備命中信息

從圖5中可以看出回放的報(bào)文命中了規(guī)則庫(kù)中的兩個(gè)規(guī)則（SID2000135和SID2000132），同時(shí)設(shè)備檢測(cè)出該報(bào)文中攻擊特征的名稱為SQL注入攻擊，IPS系統(tǒng)對(duì)該流量采取的動(dòng)作是Alert告警已提醒人員注意查看該流量。因此，圖5驗(yàn)證了該系統(tǒng)的可行性。

4 實(shí)驗(yàn)測(cè)試與結(jié)果

通過實(shí)驗(yàn)驗(yàn)證基于通用規(guī)則的SQL注入攻擊檢測(cè)與防御系統(tǒng)對(duì)攻擊的檢測(cè)、防御能力。實(shí)驗(yàn)中，首先通過實(shí)驗(yàn)抓取大量SQL注入攻擊報(bào)文，將抓取報(bào)文及系統(tǒng)現(xiàn)有SQL注入報(bào)文編碼并存入設(shè)備中待設(shè)備回放，將通用規(guī)則更新至IPS規(guī)則庫(kù)中，升級(jí)設(shè)備，回放攻擊報(bào)文，看設(shè)備是否識(shí)別攻擊做出告警或者阻斷操作，最后計(jì)算檢出率。

4.1 實(shí)驗(yàn)測(cè)試

進(jìn)行大量報(bào)文的回放，同時(shí)連接虛擬機(jī)，并在虛擬機(jī)中打開Ixia應(yīng)用，連接設(shè)備進(jìn)行檢出率的顯示，將識(shí)別結(jié)果整理成表格，如表1所示。

表1 報(bào)文的檢測(cè)情況

從表格中可以看出，設(shè)備回放了478個(gè)攻擊報(bào)文，其中429個(gè)檢測(cè)出為SQL注入攻擊報(bào)文，49個(gè)未被識(shí)別為攻擊報(bào)文，錯(cuò)誤報(bào)文及跳過報(bào)文個(gè)數(shù)均為0。

4.2 實(shí)驗(yàn)結(jié)果

通過檢出率計(jì)算公式：檢出率=Blocked Strikes Count/Total Strikes Count*100%[15]，可以得出該檢測(cè)防御系統(tǒng)檢出率約為89.75%。針對(duì)未被檢出的報(bào)文可以單獨(dú)分析，查看報(bào)文是否數(shù)據(jù)加密或者數(shù)據(jù)變性，根據(jù)報(bào)文自身攻擊特征單獨(dú)提取攻擊特征更新到規(guī)則庫(kù)中，這樣既可以減少規(guī)則庫(kù)中的總規(guī)則數(shù)量，又可以減少規(guī)則庫(kù)的內(nèi)存，提升運(yùn)行速率。

至此，實(shí)驗(yàn)驗(yàn)證了通過抓取大量抓取SQL注入攻擊報(bào)文，總結(jié)通用規(guī)則，更新IPS入侵檢測(cè)系統(tǒng)規(guī)則庫(kù)，進(jìn)而采取告警或阻斷動(dòng)作，最終實(shí)現(xiàn)提升IPS系統(tǒng)中SQL注入檢測(cè)與防御能力的設(shè)計(jì)是有效可行的，同時(shí)還降低了規(guī)則庫(kù)中規(guī)則的總數(shù)量，降低了內(nèi)存占用。

5 結(jié) 論

文中通過分析SQL注入攻擊原理及攻擊特征，利用檢測(cè)工具進(jìn)行SQL注入攻擊模擬，基于大量攻擊流量總結(jié)出通用規(guī)則，并在IPS入侵檢測(cè)系統(tǒng)防御告警模式下實(shí)現(xiàn)對(duì)攻擊流量的告警或阻斷。實(shí)驗(yàn)證明該方法切實(shí)有效，可有效提升IPS系統(tǒng)中針對(duì)SQL注入攻擊的檢測(cè)防御水平，同時(shí)通用規(guī)則對(duì)防御未知的SQL注入攻擊具有良好的參考價(jià)值。

[1]張哲.Web應(yīng)用中安全漏洞檢測(cè)技術(shù)的研究[D].西安：西安電子科技大學(xué)，2011.

[2]付堂歡，白中英.基于網(wǎng)絡(luò)的Web漏洞掃描系統(tǒng)的分析與設(shè)計(jì)[D].北京:北京郵電大學(xué)，2012.

[3]劉帥.SQL注入攻擊及其防范檢測(cè)技術(shù)的研究[J].電腦知識(shí)與技術(shù)，2009，5（28）:770-772.

[4]Brian Pinkerton.Web Crawler:Finding What People Want[M].Doctor of Philosophy University of Washington，2000.

[5]百度百科.S Intrusion Prevention Systems(IPS)[EB/ OL].[2016-02-21].http://nss.co.uk.

[6]李玉娟，李傳林.一種基于Agent的入侵檢測(cè)系統(tǒng)模型[J].計(jì)算機(jī)應(yīng)用研究，2004，17（6）:77-78.

[7]李小花，孫建華，陳浩.程序分析技術(shù)在SQL注入防御中的應(yīng)用研究 [J].小型微型計(jì)算機(jī)系統(tǒng)，2011，32（6）:1089-1093.

[8]百度百科.S正則表達(dá)式[EB/OL].[2014-3-20].http://baike.baidu.com/link?url=ngfljPWuYY0ewxjgeY0LYRxPb6i0zHt4KuYbzZuUX3u0dyr_z3r6HFm-RdSTumJphWT0Knzu0nmwUyuKtBJ-ru_.

[9]顏浩，蔣巍，蔣天發(fā).SQLI和XSS漏洞檢測(cè)與防御技術(shù)研究[J].信息網(wǎng)絡(luò)安全，2011（12）:51-53.

[10]彭賡，范明鈺.基于改進(jìn)網(wǎng)絡(luò)爬蟲技術(shù)的SQL注入漏洞檢測(cè)[J].計(jì)算機(jī)應(yīng)用研究，2010，27（7）:2605-2607.

[11]丁允超.SQL注入攻擊原理及其防范措施[J].重慶科技學(xué)院學(xué)報(bào)：自然科學(xué)版，2012，14（5）:136-137.

[12]姚振軍.正則表達(dá)式在漢英對(duì)照中國(guó)文化術(shù)語抽取中應(yīng)用[J].大連理工大學(xué)學(xué)報(bào)，2010（2）:56-58.

[13]吳飛.網(wǎng)絡(luò)安全之腳本入侵[J].福建電腦，2010（11）:176-177.

[14]繆綸，葉茂.SQL注入攻擊及WEB應(yīng)用安全防范技術(shù)研究與實(shí)踐[J].計(jì)算機(jī)應(yīng)用，2009（1）:49.

[15]Ixia.S Ixia [EB/OL].[2016-03-01].http://www.ixiacom.com/.

Research of SQL injection attacks detection defense system based on the general rules

WANG Miao-miao1，QIAN Bu-ren1，XU Ying-ying1，WANG Xue-feng2
（1.College of Geophysics and Information Engineering，China University of Petroleum，Beijing 102249，China；2.State Grid Zhaoyuan Power Supply Company，Zhaoyuan 265400，China）

Web technology is to use HTTP or HTTPS protocol to provide service，and the application of the Web application has gradually become one of the mainstream of software development，but the various existing security vulnerabilities in Web application also exposed，bring huge economic losses.To solve the problem of Web site security，based on a large number of SQL injection attacks message，this paper summarizes and analyses attack characteristics，combined with the feature of SQL injection attacks，is put forward based on the general rules of SQL injection detect and defense method，and use the testing tool Sqlmap to SQL injection attacks for network traffic capture caught at the same time，the above testing defensive method is validated.The testing tools using the built-in web crawler through the HTTP protocol and URL link traverse the web information，inject and capture the network attack traffic，extract attack feature，summarizes the general rule and update the rule base，finally combine IPS intrusion prevention system alarms or block to improve the environment of network security.Experiments show that the method can effectively detect SQL injection attacks.

SQL injection vulnerabilities；inspection tools；general rules；feature extraction；IPS

TN91

：A

：1674－6236（2017）05-0024-05

2016-03-10稿件編號(hào)：201603127

王苗苗（1991—），女，山東招遠(yuǎn)人，碩士研究生。研究方向：信號(hào)檢測(cè)與處理技術(shù)。