[发明专利]一种电力信息系统SQL注入漏洞检测方法及系统

说明书

本发明涉及一种电力信息系统SQL注入漏洞检测方法及系统。该检测方法包括：根据SQL语句的逻辑语义特征，获取SQL注入漏洞的测试用例的语义特征；不同的语义特征对应不同的测试动作；根据所述语义特征，基于SQL注入漏洞黑盒渗透测试的规则，构建每个语义特征对应的测试用例以及安全特征扩展有限状态机模型；所述安全特征扩展有限状态机模型包括每个测试用例的响应状态以及状态转换规则；根据所述测试用例，采用所述安全特征扩展有限状态机模型对待检测系统的SQL注入漏洞进行检测，得到漏洞证据。本发明可以提高SQL注入漏洞的检测精度。

技术领域

本发明涉及电力信息安全领域，特别是涉及一种电力信息系统SQL注入漏洞检测方法及系统。

背景技术

电力数据的安全问题随着电力信息网与互联网的接入变得尤为严峻，如何有效对安全漏洞及其特征进行分析和检测就成为一种至关重要的问题。其中SQL注入漏洞是危害最为严重的漏洞之一，并且其呈现出越来越高的隐蔽性、逻辑性和时序性，传统的漏洞检测和特征分析方法已不能满足其检测要求，从而造成了检测准确度不足的问题。

随着电力信息系统接入互联网，其所包含的数据与种类规模都变的愈加庞大复杂，电力信息网络安全变得越来越重要。近年来我国电力行业信息系统发展迅速，与多种业务系统智能互联，如用户用电业务系统，充电桩业务系统等。电力业务相关数据不断积累，提高电网信息系统面对外界恶意攻击时的防控能力，保证电网安全、稳定、高效运行非常重要。在电力信息系统所有安全漏洞问题中，SQL注入漏洞(Structure Query LanguageInjection Vulnerability，SQLIV)被公认为影响最严重的信息系统漏洞之一，其可造成敏感信息泄露、认证与授权失效、系统后台劫持等严重的信息系统安全问题。通常会采用黑盒渗透测试来模拟黑客攻击方式以动态地检测在线信系统中的SQLIIV，但其普遍存在准确度不足的问题，主要表现为较高的漏报(False Negative)和误报(False Positive)。

以提高检测准确度为目标，大量研究从渗透测试的信息收集、响应分析和检测攻击生成三个方面展开以提高其对漏洞特征的识别分析能力。在此基础上，很多研究通过融合静态代码分析的黑白盒相结合的方法来提高其检测效果，但对源代码的依赖限制了其在很多实际检测场景中的应用，因而对SQLIV黑盒渗透测试的研究显得至关重要。

传统的黑盒渗透测试方法中，部分方法专注于通过改进漏洞特征识别方法来提高检测响应分析能力，但其大多未考虑到多不同检测响应之间的关联性，因而难以检测出复杂的基于推断的SQLIV，从而容易引入一定的漏报。另一方面，部分方法通过扩充检测模式库或改进攻击生成方法以提高SQLIV检测的覆盖度，其多采用顺序或随机枚举方式，同样未考虑到测试用例之间的逻辑关系，进而增加了引入误报的可能性。另外一些工作采用攻击树模型等建模方法来展开其研究，但同样未考虑到复杂漏洞中包含的逻辑和时序问题，容易引入误报、漏报，因此，传统的检测方法对于SQL注入漏洞检测精度不高。

发明内容

本发明的目的是提供一种电力信息系统SQL注入漏洞检测方法及系统，以提高SQL注入漏洞的检测精度。

为实现上述目的，本发明提供了如下方案：

一种电力信息系统SQL注入漏洞检测方法，包括：

根据SQL语句的逻辑语义特征，获取SQL注入漏洞的测试用例的语义特征；不同的语义特征对应不同的测试动作；

根据所述语义特征，基于SQL注入漏洞黑盒渗透测试的规则，构建每个语义特征对应的测试用例以及安全特征扩展有限状态机模型；所述安全特征扩展有限状态机模型包括每个测试用例的响应状态以及状态转换规则；

根据所述测试用例，采用所述安全特征扩展有限状态机模型对待检测系统的SQL注入漏洞进行检测，得到漏洞证据。

可选的，所述SQL注入漏洞的测试用例的语义特征包括：