优雅而坚定的 和SQL注入说再见！ 李亚楠 汉领信息科技有限公司 副总经理 目录 DT时代面临的数据库安全威胁 优雅而坚定的SQL注入说再见 应用场景 DT时代的数据库安全威胁 26% Desktop 25% #Verizon 2015 Database 22% Other（server） 12% PaymentCard Cashier File 10% 9% Other（people） 8% WebApplication 8% Unknown 6% 不对数据库通讯协议进行控制 网络防火墙 对数据库通信协议的控制很弱 IPS/IDS 绕过WAF的刷库行为屡见不鲜 无法解决来自业务本身的安全 威胁 WAF NGFW 优雅而坚定的 和SQL注入说再见 SQL注入攻击 广泛存在 手段隐蔽 特征不可穷举 以傲慢与 偏执 攻击手段及工具平民化 微软雅黑 单击此处添加副标题 有代码就有漏洞！ 48号 只要人类还在编写数据库应用 SQL注入漏洞就会一直存在 单击此处添加副标题 微软雅黑13号 字体与字号相联系，视情况而定 数据安全 数据 人 拥有管理权限（高危） 拥有使用权限（中危） C/S 结构化数据 （高） 拥有接触权限（低危） B/S Oracoe SQL Server IBM-DB2 Sybase Informix Mysql 业务系统 系统0day/应用程序0day 直接接触/间接接触数据 非结构化数据 （中） http://leadsino.com/news/id=1 Select * from news where id=1 允许 HTTP/HTTPS…… SQL语句（TNS、TDS……） 拒绝 http://leadsino.com/news/id=1’ and 1=2 union select * form users where id=‘1 X  X Select * from news where id=‘1’ and 1=2 union select * form users where id=‘1’ 核心：数据建模 数据建模： 扩展“无危险不审计”白名单，通过对业务SQL 语句的关键字、逻辑关系等特征自动采样学习， 并结合高性能的SQL语义分析计算，构建对应的 SQL语法树，完成模态数据建模： *此模块对SQL注入的探测与防御有特别的意义*  来源地址  目标地址 计算SQL语法树：select * from userinfo where id=?  端口  数据库账号名  客户端主机名  客户端用户名  客户端程序名  SQL语句  底层交互信息 海量数据 业务模态化 （业务数据、运维 嫌疑犯 数据、非法数据） （水） SQL注入 SQL注入 利用中间件 通道 （鱼） 上传工具 运维 现有工具 核心思想：放水抓鱼鱼 白模型鉴别 非常态阻断 中间件/应用服务器 SQL请求 NGDAP SQL语句鉴别白 模型 自动学习 数据库 正常功能请求， 放行！ 其他所有SQL请 求，阻断！ 攻击告警，攻击 日志 应用场景 防火墙 系统0day/应用程序0day 应用服务器 NGDAP 直接接触/间接接触数据 数据库 数据库全协议解码 Oracle DB2 SQLServer InforMIX MySQL PostgreSQL SYBASE 超低延时，透明网桥模式部署 三层Bypass，健壮可靠 高效 及时 精准 阻断 数据边界安全 汉领将围绕『数据安全威胁的发现与 防御』的核心贡献目标，构建和持续完善 『数据边界安全』产品线。针对数据全生 命周期的不同场景，提供相匹配的数据安 全保护产品及解决方案。