(19)中华 人民共和国 国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202111617564.6 (22)申请日 2021.12.28 (65)同一申请的已公布的文献号 申请公布号 CN 113992447 A (43)申请公布日 2022.01.28 (73)专利权人 北京未来智安科技有限公司 地址 100080 北京市海淀区海淀街道海淀 大街31号中关村创业大街6号楼b1层 (72)发明人 吴迪　冯文华　陈毓端　唐伽佳　 (74)专利代理 机构 北京三友知识产权代理有限 公司 11127 代理人 周永君　崔博 (51)Int.Cl. H04L 9/40(2022.01) G06F 21/55(2013.01)(56)对比文件 CN 10739 2016 A,2017.1 1.24 CN 106355094 A,2017.01.25 CN 112887274 A,2021.0 6.01 US 2007288526 A1,20 07.12.13 CN 1012673 57 A,2008.09.17 审查员 高凯 (54)发明名称 一种SQL注入告警处理方法及装置 (57)摘要 本发明提供一种SQL注入告警处理方法及装 置， 所述方法包括： 根据SQL注入告警以及攻击 行 为核实规则， 获得所述SQL注入告警的攻击行为 核实结果； 其中， 所述攻击行为核实规则是预设 的； 若获知所述攻击行为核实结果为存在攻击行 为， 则根据所述攻击行为核实结果包括的攻击行 为类型对应的攻击结果核实规则以及所述SQL注 入告警， 获得所述SQL注入告警的核实结果， 所述 核实结果包括核实依据； 其中， 所述攻击结果核 实规则是预设的。 所述装置用于执行上述方法。 本发明实施例提供的SQL注入告警处理方法及装 置， 提高了SQ L注入告警溯源的效率。 权利要求书3页 说明书13页 附图5页 CN 113992447 B 2022.03.15 CN 113992447 B 1.一种SQ L注入告警处 理方法， 其特 征在于， 包括： 根据SQL注入告警以及攻击行为核实规则， 获得所述SQL注入告警的攻击行为核实结 果； 其中， 所述 攻击行为核实规则是 预设的， 所述 攻击行为核实规则有至少一种； 若获知所述攻击行为核实结果为存在攻击行为， 则根据 所述攻击行为核实结果包括的 攻击行为类型对应的攻击结果核实规则以及所述SQL注入告警， 获得所述SQL注入告警的核 实结果， 所述核实结果包括核实依据； 其中， 所述 攻击结果核实规则是 预设的； 其中， 所述根据SQL注入告警 以及攻击行为核实规则， 获得所述SQL注入告警的攻击行 为核实结果包括： 若判断获知 所述SQL注入告警满足任何一种攻击行为核实规则， 则设置所述SQL注入告 警的攻击行为核实结果为存在攻击行为， 且所述SQL注入告警的攻击行为核实结果包括的 攻击行为类型与所述SQL注入告警满足的攻击行为核实规则对应； 其中， 所述攻击行为核实 规则与所述 攻击行为类型一 一对应。 2.根据权利要求1所述的方法， 其特 征在于， 还 包括： 若判断获知所述SQL注入告警不满足任何一种攻击行为核实规则且所述SQL注入告警 包括的业务数据为非正常业务数据， 则 设置所述SQL注入告警的攻击行为核实结果为存在 攻击行为。 3.根据权利要求1所述的方法， 其特征在于， 所述根据所述攻击行为核实结果包括的攻 击行为类型对应的攻击结果核实规则以及所述SQL注入告警， 获得所述SQL注入告警的核实 结果包括： 若所述SQL注入告警的攻击行为类型为第一类攻击且所述SQL注入告警满足通用型资 产漏洞回显判定规则， 则获得所述SQL注入告警的核实结果包括存在漏洞； 其中， 所述通用 型资产漏洞回显判定规则是预设的； 所述第一类攻击为通用型漏洞识别规则对应的攻击行 为类型， 所述 通用型漏洞识别规则是 预设的。 4.根据权利要求1所述的方法， 其特征在于， 所述根据所述攻击行为核实结果包括的攻 击行为类型对应的攻击结果核实规则以及所述SQL注入告警， 获得所述SQL注入告警的核实 结果包括： 若所述SQL注入告警的攻击行为类型为第二类攻击且所述SQL注入告警满足页面SQL报 错回显判定规则， 则获得所述SQL注入告警的核实结果包括存在漏洞； 其中， 所述页面SQL报 错回显判定规则是预设的； 所述第二类攻击为页面SQL执行报错识别规则对应的攻击行为 类型， 所述页面SQ L执行报错识别规则是 预设的。 5.根据权利要求1所述的方法， 其特征在于， 所述根据所述攻击行为核实结果包括的攻 击行为类型对应的攻击结果核实规则以及所述SQL注入告警， 获得所述SQL注入告警的核实 结果包括： 若所述SQL注入告警的攻击行为类型为第三类攻击或者第四类攻击， 且所述SQL注入告 警满足SQL注入流量回显判定规则， 则获得所述SQL注入告警的核实结果包括存在漏洞； 其 中， SQL注入流量回显判定规则是预设的； 所述第三类攻击为黑客工具识别规则对应的攻击 行为类型， 所述黑客工具识别规则是预设的； 所述第四类攻击为扫描行为识别规则对应的 攻击行为类型， 所述扫描行为识别规则是 预设的。 6.根据权利要求1所述的方法， 其特征在于， 所述根据所述攻击行为核实结果包括的攻权　利　要　求　书 1/3 页 2 CN 113992447 B 2击行为类型对应的攻击结果核实规则以及所述SQL注入告警， 获得所述SQL注入告警的核实 结果包括： 若所述SQL注入告警的攻击行为类型为第五类攻击， 则获得所述SQL注入告警的核实结 果包括存在漏洞； 其中， 所述第五类攻击为EDR关联数据判断规则对应的攻击行为类型， 所 述EDR关联 数据判断规则是 预设的。 7.根据权利要求1所述的方法， 其特征在于， 所述根据所述攻击行为核实结果包括的攻 击行为类型对应的攻击结果核实规则以及所述SQL注入告警， 获得所述SQL注入告警的核实 结果包括： 若所述SQL注入告警的攻击行为类型为第六类攻击且所述SQL注入告警满足SQL语句指 令语义识别规则， 则获得所述SQL注入告警的核实结果包括存在漏洞； 其中， 所述SQL语句指 令语义识别规则是预设的； 所述第六类攻击为关联数据库操作数据识别规则对应的攻击行 为类型， 所述关联 数据库操作数据识别规则是 预设的。 8.根据权利要求3 至7任一项所述的方法， 其特 征在于， 还 包括： 若根据所述攻击行为核实结果包括的攻击行为类型对应的攻击结果核实规则以及所 述SQL注入告警， 没有获得所述SQL注入告警的核实结果， 则根据所述SQL注入告警以及无效 页面判定规则， 获得 所述SQL注入告警的核实结果； 其中， 所述无效页面判定规则是 预设的。 9.根据权利要求1所述的方法， 其特征在于， 在根据SQL注入告警以及攻击行为核实规 则， 获得所述SQL注入告警的攻击行为核实结果之前， 还 包括： 对所述SQ L注入告警进行合法性检测 和/或业务逻辑检测。 10.一种SQ L注入告警处 理装置， 其特 征在于， 包括： 第一获得单元， 用于根据SQL注入告警 以及攻击行为核实规则， 获得所述SQL注入告警 的攻击行为核实结果； 其中， 所述攻击行为核实规则是预设的， 所述攻击行为核实规则有至 少一种； 第二获得单元， 用于若获知所述攻击行为核实结果为存在攻击行为， 则根据所述攻击 行为核实结果包括的攻击行为类型对应的攻击结果核实规则以及所述SQL注入告警， 获得 所述SQL注入告警的核实结果， 所述核实结果包括核实依据； 其中， 所述攻击结果核实规则 是预设的； 所述第一获得 单元具体用于： 在判断获知 所述SQL注入告警满足任何一种攻击行为核实规则之后， 设置所述SQL注入 告警的攻击行为核实结果为存在攻击行为， 且所述SQL注入告警的攻击行为核实结果包括 的攻击行为类型与所述SQL注入告警满足的攻击行为核实规则对应； 其中， 所述攻击行为核 实规则与所述 攻击行为类型一 一对应。 11.根据权利要求10所述的装置， 其特 征在于， 还 包括： 判断单元， 用于在判断获知所述SQL注入告警不满足任何一种攻击行为核实规则且所 述SQL注入告警包括的业务数据为非正常业务数据之后， 设置所述SQL注入告警的攻击行为 核实结果 为存在攻击行为。 12.根据权利要求10所述的装置， 其特 征在于， 所述第二获得 单元具体用于： 若所述SQL注入告警的攻击行为类型为第一类攻击且所述SQL注入告警满足通用型资 产漏洞回显判定规则， 则获得所述SQL注入告警的核实结果包括存在漏洞； 其中， 所述通用权　利　要　求　书 2/3 页 3 CN 113992447 B 3