祝贺《如何终结数据库SQL注入攻击》文章发表

由杭州汉领信息科技有限公司副总经理李总撰写的文章《如何终结数据库SQL注入攻击》发表在《互联网安全的40个智慧洞见》一书中。该书作者均是在中国乃至全球具有重要影响力的中外网络安全名家，内容不仅覆盖Web 安全、移动安全、企业安全、电子取证、云与数据、软件安全、APT 等热点安全领域，还涉及国家网络空间战略、新兴威胁、工控安全、车联网安全、信息安全立法等新兴安全领域。

文章从DT时代面临的数据库安全威胁、优雅而坚定的和SQL注入说再见、应用场景三个部分进行阐述。李总指出：大数据和云计算时代的来临，数据安全防护显得尤为重要。众所周知，基础信息网络和重要信息系统安全防护能力不强，企业内部的恶意违规和误操作，以及第三方运维和开发人员留取的后门程序等技术安全风险因素和人为恶意攻击的存在，使得数据库安全乃至信息安全问题频发。

而SQL注入攻击具有广泛存在、手段隐蔽、特征不可枚举、攻击手段及工具平民化的特征。可以说，只要人类还在编写数据库应用，SQL注入漏洞就会一直存在。

NGDAP通过白模型鉴别的非常态阻断模式，对请求数据进行标准化处理，然后将处理后的数据进行规则匹配，合法请求将被传递到真实的数据库当中。而其他所有的SQL请求则会立即被阻断，系统发出攻击告警，并形成记录日志，通过这个过程，NGDAP能轻松的在源头成功遏制SQL注入攻击问题。

汉领将围绕数据安全威胁的发现与防御的核心贡献目标，构建和持续完善数据边界安全产品线，针对数据全生命周期的不同场景，提供相匹配的数据安全保护产品及解决方案。

全文如下：

如何终结数据库SQL注入攻击

随着IT时代的发展，我们的生活越来越便捷，高速信息时代让我们能实现数据的互联互通、信息资源的共享，这就是我们所说的信息技术时代；而随着大数据、云计算等技术的不断兴起与成熟，在大数据时代下的我们体验的是消费行为的智能化，商业价值的数字化，DT数据技术时代的到来让我们数据产生巨大价值的同时，也带来了许多高危风险。

跟我们日常息息相关的一些新闻，比如说某某电商因为用户信息泄露，导致用户流量大减，品牌造成很大的负面影响；某社保局的参保人员信息遭到泄露，个人身份证、手机号码、参保金额等敏感信息被迫曝光；某某某高校新生信息被泄密，不法分子通过精准信息进行诈骗，骗走新生全家多年积攒的学费致使新生猝死等事件频发。但从事件的本质来看，这些客户的数据库均遭受到了拖库攻击。

一、数据库安全威胁分析

那我们的疑问同时也出现了，各大电商企业、金融单位、政府信息中心通过多年的IT建设，各安全设备已经部署很完善了。从边界安全、过程控制、内容审计等多方面进行防护，安全服务团队定期进行漏洞扫描、安全加固等动作，为什么在立体式的防护过程中，数据库还是被拖走了呢，而且在很多情况下是被长时间的、悄无痕迹的窃取掉呢?

我们从两个角度来分析：

第一个从IT建设发展的历程分析。目前大部分客户在对安全体系的设计和治理方案中主要依靠传统边界安全防护，如防火墙、下一代防火墙、IPS、IDS等安全控制类产品；随着边界安全防护的进一步落地，逐步开始向内容安全防护过度，如上网行为管理、堡垒机、数据库审计等安全设备；而随着数据大集中之后，数据库里的数据越来越有价值，而目前的防护体系中针对数据库的安全防护是空白的。很多客户认为自己有灾备软件、有数据库审计就能对数据库进行安全管理，但实际上灾备软件只能恢复数据库原有数据，数据库审计只能事后对访问情况进行追溯，如果业务系统存在SQL注入漏洞，恶意攻击者就可以通过绕过WAF等行为对数据库造成攻击，客户无法实时保障数据不被窃取或篡改，无法做到针对数据库的事前预防和事中阻断。

第二个从目前信息安全等级保护整改遗留的难点分析。等级保护整改中涉及物理安全、网络安全、服务器安全、制度安全等各部分的整改，相对来说通过技术、制度、传统安全设备的配置可以较快速和稳妥的进行加固。但是在数据库安全、应用系统安全上的安全加固以及整改却成棘手之事。不同的数据库以及各版本都有漏洞，但由于业务系统的长时间不间断运行，担心由于补丁及版本升级造成业务瘫痪，故把这部分的安全问题暂时搁置；另外，由于应用系统开发商已经把业务系统交付多年，虽然代码层面可能留有一些漏洞，但是让项目组重新对代码进行加固，阻力和压力都是很大的。由于这些问题的存在，数据库的大门一直向黑客敞开着。不是目前的防护体系已经把核心资产保护的水泄不通，而是黑客目前还没盯上你。

通过Verison2015年企业安全威胁报告我们可以看出，作为数据库的安全威胁越来越高。很多企业以前业务中断已经是很大的安全事故了，但现在随着互联网的成熟，一旦客户或企业的核心敏感信息被曝光，基本上对其发展、品牌以及事件导致的经济损失将会是成指数级别的量级递增。再加之现在的黑客产业链发展，已经由当初的个人散兵作战mssql拖库，发展到现在的有组织、有预谋、有利益、有生态链的规模。由此可见，企业、政府所面临的数据库威胁已迫在眉睫。

二、传统数据库安全防护弊端

我们来分析一下传统安全防护的弊端。数据库防火墙主要是基于网络层的访问控制，很难对数据库协议以及应用层协议作出分析与控制；就算近几年发展的如火如荼的下一代防火墙，也很难对数据库协议进行精准解码并且作出实时阻断；IPS、IDS主要也是对边界攻击进行扫描分析，数据库层面的分析也很难进行控制；再分析一下web应用防火墙，其主要是通过规则库的方式来进行攻击拦截，而目前很多Oday攻击、SQL注入攻击等方式，都可以绕开WAF直接对数据库进行拖库。传统的安全防护手段是无法解决数据库安全的问题。

三、精准拦截SQL注入攻击

接下来看看我们是如何解决数据库安全威胁的。在数据库的众多威胁中，业务系统遭到SQL注入攻击，导致数据库拖库应该算是最大的威胁之一。而SQL注入攻击是广泛存在的，其攻击手段隐蔽、特征不可穷举、攻击手段平民化，这些特点也让其安全防护者头痛。只要人类还在编写数据库应用，就存在SQL注入漏洞的威胁。

为了数据库安全，我们就需要了解数据库遭到攻击或威胁的途径有哪些：1、操作者直接进入机房，通过直连的方式连接并操作数据库；2、操作者通过网络途径使用远程C/S客户端连接数据库并进行操作；3、B/S中间件三层架构操作者通过前端网页连接中间件应用服务器，再通过SQL语句连接数据库。

前面两种通过相应的制度和控制技术可以进行防护，本次重点阐述的是针对中间件业务系统的防护是整个数据库安全行业的重点关注点。

图1：数据库遭受攻击途径

正常的业务访问是使用者按照正常的访问方式进行，应用服务器把前端的请求转换成SQL语句与数据库进行交互。而恶意的业务访问是恶意攻击者构建非正常的SQL语句，我们把它定义为破坏模态化的行为。当一个应用系统开发完交付的那一刻起，其正常的业务交互逻辑或语法就已经固化下来，我们称之为模态化。而恶意攻击的方法或手段的结果就是破坏了正常的模态化。

这就需要我们能对正常的业务流还是恶意的攻击流做到精准的分析。要做到这点是需要有大量的技术基础的，比如：数据库是在IT系统的最后端，前端所有的数据都要汇总过来，实际情况下就存在着大数据的并发。网络中数据包是杂乱无序进行传播的，需要通过流会话技术把数据包进行重组，使其成为有序传播的会话。若重组技术不成熟，将出现各种丢包、错组的情况，给数据库防护带来灾难。另外一个重点就是协议解码，各个数据库都有自己的私有协议，各家数据库厂商未向国内厂商公开。我们的解码工作就是翻译，如果协议解码不全，就像打战一样我们无法获取清楚的情报，基于解码不全的任何阻断都是空谈。

图2：数据建模的方式

那在解决其方法的技术上，我们通过对业务SQL语句的关键字、逻辑关系等特征自动采样学习，并结合高性能的SQL语义分析计算，构建对应的SQL语法树，完成模态数据建模。在实际应用环境中，海量的数据主要包括以下三种数据：业务数据、运维数据、非法数据；而数据量占比最大的就是正常的业务数据。我们通过自动化学习，把正常的业务模态化数据流分离出来，把存在恶意攻击的语句识别出来。在恶意攻击语句中，SQL注入和中间件通道复用两种攻击是难中难，同时也是重中重。其难以被发现，所以成为防护中重要环节的重点防护对象。

举个例子：恶意攻击者通过非法途径获得中间件webshell，通过其发起的对数据库的交互，无论是账号、密码、IP来源都是相同的，不同的地方可能是使用后台木马作为连接工具或直接SQL语句来进行数据库攻击。通过我们自动的SQL语法建模以及来自多维度的准入因子识别技术，可以把恶意攻击挡在我们的安全大门之外。

图3：海量数据分类

我们解决问题以及设计的核心思想就是放水抓鱼，我们通过识别海量正常的业务流使其放行，抓取我们所关注的恶意攻击语句。这不同于传统的规则库的方式，由于采用SQL语法树的建模方式，得以对0DAY、SQL注入等攻击进行防护，保护数据库不被拖库。

（编辑：东营站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!