一种混合的SQL注入防护方法专利登记公告

专利名称：一种混合的SQL注入防护方法

摘要：本发明公开了一种混合的SQL注入防护方法，该方法融合了静态模式匹配技术以及动态特征过滤技术。该方法通过在安全环境下自动学习业务系统所有合法SQL语句，构建知识库；然后在实时工作环境下，利用模式匹配算法将SQL语句与知识库进行匹配，匹配成功则判定为合法SQL语句。对于匹配失败的SQL语句并不立即判定为非法，而是采用基于风险值的特征过滤算法进行深度特征检查，识别真正的非法SQL语句。通过将模式匹配与特征过滤两种方法配合使用，相互弥补，从而达到良好的效果，并能够很好解决一般防注入方法带来的准确率与误报率之间的矛

专利类型：发明专利

专利号：CN201110316664.5

专利申请（专利权）人：国网电力科学研究院

专利发明（设计）人：石聪聪;余勇;林为民;张涛;张小建;郭骞;蒋诚智;范杰;冯谷;费稼轩;俞庚申;高鹏;李尼格;鲍兴川;曹宛恬

主权项：一种混合的SQL注入安全防护方法，其特征在于，学习步骤包括如下步骤：301．接收一条SQL语句；302．对SQL语句进行解析，产生SQL语法树，如果解析出错，跳转至步骤301，重新接受SQL语句；303．对语法树进行分析，获取访问行为特征；304．根据预定规则对语法树进行裁剪，得到规范语法树，获取SQL语法树的主干结构特征；305．将SQL语法树与知识库进行匹配，将匹配失败的SQL语句加入知识库；306．通过一段时间全面的学习，构建完整的知识库。过滤步骤包括如下步骤：401．接收一条SQL语句；402．对

专利地区：江苏